Managed Security Services Security Operations Center L’organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile SOC Enterprise di FASTWEB SpA Agenda Chi sono Operare come MSSP Perché scegliere un MSSP Cos’è un SOC e com’è organizzato Servizi erogati Come scegliere il migliore MSSP Come realizzare e gestire un SOC – Davide Del Vecchio Chi sono Oggi: • Responsabile del SOC (MSS) di FASTWEB SpA. • Autore freelance per WIRED Italia • Socio fondatore del Centro Studi Hermes (http://logioshermes.org) • Autore del blog http://socstartup.blogspot.com • Socio CLUSIT (autore del rapporto Clusit 2013) • Socio ISACA • Certificato: CISM, ITILv3 • Relatore presso numerosi congressi nazionali ed internazionali In passato: • Consulente in ambito IT Security per 10 anni • Ho partecipato allo startup di 2 SOC • Responsabile per 2 anni della rubrica «vulnerabilità» di ICT Security Magazine • Ricercatore indipendente nell’ambito della sicurezza informatica conosciuto con il nickname «Dante» (pubblicazione di numerosi advisory, ricerche, tool) Cos’è un SOC Un Security Operations Center (SOC) è un centro operativo da cui vengono erogati servizi finalizzati alla Sicurezza dei Sistemi informativi: Un SOC può anche fornire servizi di Incident Response, in questo caso svolge la funzione di C-SIRT (Computer Security Incident Response Team) Anche se le due funzioni sono logicamente e funzionalmente assimilabili, alcune grandi aziende dispongono di strutture SOC e C-SIRT separate. Dedicato alla sicurezza interna dell’azienda stessa (SOC Corporate / Interno); Dedicato all’erogazione dei servizi ai Clienti (Managed Security Services MSS); • Quando un SOC è dedicato alla sicurezza interna dell’azienda stessa il suo principale compito è di fornire la capacità di analizzare le informazioni e rilevare potenziali rischi e/o tentativi di intrusione, nonché rispondere in modo tempestivo ad eventuali incidenti di sicurezza. Un SOC fornisce inoltre tutti quegli strumenti necessari a misurare le performance dei sistemi dedicati alla sicurezza e quindi a valutare correttamente il livello di rischio/esposizione aziendale. • Un provider di servizi in possesso di un SOC dedicato all’erogazione di servizi di sicurezza verso terzi viene solitamente denominato MSSP (Managed Security Service Provider). Un MSSP eroga servizi che sollevano le aziende dalle gestione operativa della sicurezza aziendale. Questi servizi sono solitamente gestiti tramite un centro di eccellenza in cui convergono competenze e tecnologie messe al servizio dei Clienti. Operare come MSSP Managed Security service Provider (MSSP) – Perché ? (1/2) Managed Security service Provider (MSSP) – Perché ? (2/2) I Servizi offerti da un MSSP Security Solution Management Vulnerability Management Change Incident Security Threat Proactive Management Management Monitoring Management Security SOC MSSP - Managed Security Services Security Device Management Esigenza Ottimizzare la gestione degli apparati di sicurezza affidandoli ad un MSSP Il servizio Gestione completa di apparati di sicurezza del Cliente (FIREWALL , IDS/IPS, ANTIVIRUS, HONEYPOT, etc.) Perché un MSSP? • Conoscenza approfondita delle tecnologie • In caso di attacco il team del SOC conosce dove/come agire per riportare la situazione in sicurezza minimizzando i disservizi; • Modifiche in tempi stabiliti (SLA) • Nessuna configurazione improvvisata! Azienda Security Operation Center Secure Connection Service Manager Security Analyst Firewall / IDS / etc. Product Specialist Distribuited Denial of Service Mitigation Esigenza Prevenire un attacco «Distribuited Denial of Service» (DDoS), ovvero quando più sistemi in maniera coordinata inondano la larghezza di banda o le risorse di un sistema, al fine di ostacolare e bloccare le attività arrecando gravi perdite economiche e d’immagine. Il servizio Consiste nella rilevazione dell’attacco DDoS e nell’attuazione di tutte le contromisure necessarie a limitarne l’impatto. Perché un MSSP? L’MSSP infrastrutturale che dispone cioè del controllo della connettività e delle piattaforme tecnologiche antiDDoS è l’unico soggetto in grado di intervenire efficacemente con idonee azioni di mitigation in quanto può intervenire sia presso il Cliente sia a livello di accesso alla rete Azienda Traffico lecito Traffico illecito Security Operation Center Corporate Firewall Anti-DDoS Technology Early Warning Esigenza Prevenire, contenere o contrastare possibili incidenti di natura informatica tramite la consulenza di personale altamente specializzato in grado di aggregare ed analizzare le tematiche di sicurezza che coinvolgono i Clienti. Il servizio Fornire costantemente all’azienda Cliente gli strumenti e le informazioni per decidere in modo consapevole sulle azioni da intraprendere per garantire la sicurezza dei propri sistemi IT. Perché un MSSP? E’ effettivamente possibile individuare le sole minacce che possono avere un impatto reale sulla sicurezza filtrando i casi non significativi e non afferenti alla realtà del Cliente. Security Operation Center Azienda A C. Presentazione (report, web-portal, etc.) Azienda B Security Analyst Azienda C B. Elaborazione dati (analisi e contestualizzazione) A. Raccolta informazioni (analisi di molteplici fonti) Log Management & Collection Esigenza Provvedimento del Garante della privacy 24 dic. 08 Il servizio Raccogliere e conservare tutti i log del cliente, in particolare quelli di “accesso” in conformità alla normativa italiana. Analizzare e correlare gli eventi per individuare comportamenti anomali ed eventuali tentativi di intrusione . Perché un MSSP? Supporto e consulenza nell’identificazione delle sorgenti di log Tempi di implementazione ridotti ed utilizzo di piattaforma tecnologiche leader di mercato Soluzioni Scalabili e Modulari che consentono di crescere facilmente seguendo le necessità del cliente Il Provvedimento Il Provvedimento del Garante della privacy pubblicato nella GU il 24 dic. 08 obbliga tutte le aziende e la pubblica amministrazione a conservare i “log” di tutti gli accessi amministrativi” a dispositivi e applicazioni che contengono “dati personali”. Mobile Security Esigenza Gestire i dispositivi mobili e diminuire il livello di rischio di tali dispositivi (BYOD) Il servizio Una piattaforma di Mobile Device Management (MDM) in modalità SaaS Perché un MSSP? Provare la soluzione in maniera graduale Scalabilità Vantaggi classici di un servizio rispetto alla gestione dell’hardware Professional Services – Security Assessment Il servizio Offrire ai Clienti consulenza professionale specializzata attraverso attività di Security Assessment che simulino il comportamente di un malintenzionato. Esigenza Ottenere una fotografia del livello di sicurezza di un’area della propria infrastruttura IT. Perché un MSSP? È buona norma far svolgere le attività di Security Assessment da parte di una terza parte. Penetration Test PCI-DSS ASV scan Vulnerability Assessment Security Assessment Web Application Assessment Mobile Assessment Wi-Fi Assessment Come scegliere il miglior MSSP Assessment interno: la prima delle attività da svolgere è un assessment interno per individuare ciò di cui si ha realmente bisogno. Individuare i servizi: esistono una pletora di servizi di sicurezza gestita. Di quali avete realmente bisogno? Service Level Agreement (SLA): i service level agreement descrivono le aspettative, in termini di qualità, che un committente può aspettarsi nell’erogazione di un servizio. Avete bisogno di SLA più stringenti rispetto a quelli proposti oppure è possibile negoziare un costo inferiore per degli SLA meno sfidanti? Penali: esistono delle penali associate al rispetto degli SLA? Vi stupirete, ma spesso non sono presenti. Qual è il valore di uno SLA senza penali associate? Nullo... Monitoring degli SLA e di eventuali KPI/KPO: se delegate l’operatività, dovete mantenere il governo. Governare vuol dire dare una direzione, capire e misurare. Se la qualità dei servizi non rispecchia quanto promesso è opportuno che avvenga una rinegoziazione della parte economica. Thank you Riferimenti: [email protected] http://socstartup.blogspot.com https://grandiaziende.fastweb.it