Risk Management:
ridurre la INSICUREZZA mediante
la integrazione dei dati di
monitoring
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
Silvio Castorina
ET Enterprise Technologies
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
1
Grazie
per la Vostra attenzione alle esperienze di ET-1Audit.
Sono amministratore delegato di ET Enterprise Technologies
e mi occupo di "Sviluppo Strategie" e "Obiettivi Marketing".
Subito dopo parlerà il Dr Mario Sestito, che in Iccrea Banca si occupa
di sicurezza logica ed è responsabile della continuità operativa.
Non credo nel concetto di sicurezza, credo invece in quello di insicurezza.
Mi pare una differenza sostanziale. In concreto sarebbe vano
rincorrere una sicurezza che (se mai esistita nella IT) non potrà
esserci restituita interamente. Tentiamo invece di allontanare il più
possibile da noi quella insicurezza che è, davvero, scientificamente
osservabile e – per fortuna – anche efficacemente contrastabile.
"Quand'ero vecchio", da tecnico IT, sono stato ben pagato
da grandissimi Centri per aumentare la disponibilità dei sistemi e quindi,
inevitabilmente, anche aumentarne l’insicurezza. (Disponibilità in
senso classico e architetturale).
E' il famoso "Terzo Principio Termodinamico", antico ma in perfetta
armonia con l’odierna fisica quantistica. Le due grandezze sono
condannate a variare con il medesimo segno algebrico, di tal ché:
DDisponibilità x DInsicurezza > 0
(Però il Monitoring può, lui solo, sfuggire a questo terribile vincolo).
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
Questo intervento è principalmente dedicato al tema
"Accrescere il monitoring di base degli accessi".
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
2
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
3
The Power to Monitor
The Power to Enforce
Il prodotto ET-1Audit
realizzato
per i mainframes
z/OS e z/Linux
e per i sistemi
aperti consente
una visione unica
della sicurezza
di architetture così
disomogenee ...
... e consente anche
di controllare quel
che altrimenti non
si controllerebbe.
ET-1Audit
GSE Convegno 21 maggio 2004
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
By
ET
Enterprise
Technologies
IL RISCHIO ACCETTATO
Results Superior by Software Architecture
5
The ET-1Audit
Plug-and-Plan Program
L’architettura
di ET-1Audit
consente
che i vari “motori”
siano personalizzati
con la complessità
esattamente necessaria.
Perciò una volta tanto
è ragionevole
prima installare,
poi sperimentare
ed infine pianificare.
Per i primi tempi la
Direzione Commerciale
vi rinvierà con un
sorriso alla Direzione
Tecnologica.
6
ET-1Audit
GSE Convegno 21 maggio 2004
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
By
ET
Enterprise
Technologies
IL RISCHIO ACCETTATO
Results Superior by Software Architecture
ET-1Audit:
il primo prodotto per ringiovanire
disponibile su piattaforma z/OS ...
Attenzione alle pubblicità ingannevoli!
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
Mentono
entrambi
sull’età.
Con queste
bugie non solo
si forniscono
nuove occasioni
di
incomprensione
coniugale, ma
siccome il
prezzo di listino
di
ET-1Audit
non è alla
portata di tutte
le famiglie, di
fatto si stimola
la criminalità
economica
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
7
The Security Software Knights
(tra poche slides ...)
Anche la domenica, sugli argini del Po, tutte le strutture ET
vigilano sulla correttezza dei bonifici in partenza dalle banche che hanno installato ET-1Audit
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
8
ET Enterprise Technologies
Ideazione, disegno, realizzazione,
distribuzione e supporto di prodotti software
Verifica della affidabilità: sicurezza,
funzionalità e prestazioni
Integrazione di: sistemi, sicurezza e
monitoring
Auditing, formazione e consulenza
Realizzazioni speciali
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
9
ET Enterprise Technologies
Security Solutions
Mainframe, Sistemi Dipartimentali, Rete, Applicazioni
Consulenza:
 Disegno e Pianificazione
 Implementazione
 Integrazione
 Assessment
 Formazione
Third Party Software
 Sviluppo di Software:
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
ET-1Audit e sue eventuali estensioni ad hoc
Strumenti per l’integrazione
Nuovi annunci imminenti
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
10
Case Study
Obiettivo n° 1
Integrazione dei dati di monitoring e
realizzazione di un filtraggio intelligente
Sull’argomento non occorrerebbe spendere alcuna parola.
Tutti sanno che, in assenza di un prodotto quale ET-1Audit, occorrerebbe tener dietro a
decine di reports, assolutamente disomogenei e incorrelati, con la chimera di avere
informazioni affidabili su quello che è avvenuto (chissà quanto tempo fa!)
ET-1Audit fornisce un Audit Data Model unificato, regole enterprise-wide, un repository
su DB2 in formato documentato, API per qualsiasi necessità ...
La prossima slide mostra un report HTML che integra dati z/OS, Linux e MS/Windows. Il
Webserver è del sistema z/OS di ET Enterprise Technologies. La struttura
dell'integrazione è quella in corso di personalizzazione in collaborazione con
una primaria holding bancaria, che ha installato ET-1Audit su uno dei suoi sistemi.
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
11
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
12
Case Study
Obiettivo n° 2
Implementazione di un super-monitoring sugli accessi ad
un determinato database fondato sul cambiamento di
valore di alcuni campi
Indipendentemente dall’Access Control e dell’eventuale sicurezza applicativa generare automaticamente
alerts e/o azioni bloccanti (in base a regole aziendali personalizzabili e dinamiche) quando stanno per
essere completate transazioni da ritenersi abnormi in funzione di determinati parametri.
Ad esempio un assegno di 300 € che dà origine ad un bonifico su estero di 30 mln di €.
E’ la storia raccontata nelle slides sui Security Software Knights (il tecnico ed il saggio)
Come chiedere ad ET-1Audit un simile monitoring?
Con una regola come questa:
SELECT
(DB(DB2PROD*(BONIFIC*))
ACCESS(UPDATE)
ENVIRONMENT(ALL)
ACTION(REDALARM,COLLECT)
Results Superior by Software Architecture
WHEN(AS AFTERIMAGE(TAB1,INOLTRO)>1000000)
GSE Convegno 21 maggio 2004
RISK MANAGEMENT: ridurre
) la INSICUREZZA mediante la integrazione dei dati di monitoring
IL RISCHIO ACCETTATO
13
The Security Software Knights
ovvero: come impedire che il primo assegno si trasformi nel secondo (tra poche slides)
Cassa di Sovvenzione e Risparmio dei
Consulenti Informatici di Via Lorenzo Valla
300 €
Trecento
Mammoth Islands Imperial Bank
30.000.000 €
Thirty Million
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
14
This was the night landscape before
ET-1Audit ...
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
15
ET-1Audit Global View
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
16
C’era una volta un CTO preoccupato per la
sicurezza ...
Mi fa piacere
sapere di non
essere il solo.
Cosa c’è oltre
l’immaginabile?
La sicurezza IT è un costo
o un beneficio?
Nessuno può
immaginarlo.
Dipende.
Se fossi ottimista direi
entrambi.
Dipende.
Se fossi ottimista direi
entrambi.
La sicurezza IT è parte
dell’architettura o è un
add-on?
Può esistere da qualche
parte una sicurezza
informatica piena?
Sì!
Dove i sistemi sono tutti
guasti
contemporaneamente.
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
17
La fatica di Sisifo
Come fai a sapere che la
sicurezza totale non
esiste?
Così lavoreremo sempre
per una sicurezza che
non raggiungeremo mai?
Mi fa piacere
di non
Results Superior sapere
by Software Architecture
essere il solo.
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
Perchè tutti i sistemi devono rispondere ad
esigenze di affidabilità, disponibilità e
efficienza ... Affidabilità ed efficienza si
basano sulla sicurezza, ma la disponibilità è
esattamente all’opposto.
Più sicurezza garantiamo,
più rendiamo difficile
aumentare la disponibilità.
Beh,
mentre tu lavori per
aumentare la sicurezza del
sistema, qualcun altro lavora
per aumentarne la
disponibilità.
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
18
I quattro elementi
Dove hai imparato
tutto questo?
Una volta avevo come
amico un CTO, che
poi è diventato saggio
come me...
Ci si potrebbe chiedere: a
che pro il monitoring se
esiste già il controllo
accessi?
Tutto è impermanente.
Ma i quattro elementi
della IT Security, a parte
l’organizzazione e le
procedure, non
cambieranno MAI ....
1.
2.
3.
4.
Il controllo dei
controlli...
Mi fa piacere sapere di
non
essere
Results Superior
by Software
Architectureil solo a
desiderarlo. RISK MANAGEMENT:
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
Una solida
architettura di sistema
Un Access Control
accurato
Un’efficiente
sicurezza applicativa
Un monitoring
intelligente
Perchè è il controllo dei
controlli...
E può essere veramente
completo senza ostacolare
la disponibilità dei sistemi.
ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
19
Vero, vero, vero, falso
E’ vero che l’MVS ha una
architettura solida?
E’ vero che l’MVS
permette un controllo
accessi accurato?
E’ vero che l’MVS
consente una sicurezza
a livello applicativo
efficiente?
Allora è vero che il monitoring
intelligente può identificare
errori di definizione, non certo
attacchi veri e propri, che
sono comunque impossibili...
E’ vero. Non puoi
violare l’integrità a
meno che tu non
possa modificare
una libreria
autorizzata.
E’ vero. Esistono
prodotti con cui
proteggere anche le
risorse virtuali. E’ un
po’ impegnativo ma
funziona.
E’ vero. Chi sviluppa può
costruire i propri livelli di
sicurezza che poi
dovrebbero essere
integrati con il controllo
accessi di sistema.
E’ molto impegnativo ma
funziona.
Falso! Sicuramente l’MVS è
connesso ad ambienti non sicuri:
perciò alcuni attacchi potrebbero non
essere identificati. Solo un
monitoring intelligente può farlo!
Results Superior by Software Architecture
RISK
MANAGEMENT:
Non ci posso
credere!
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
Adesso ti racconto una
storia ...
ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
20
Un job SMP da 30 mln di €
Che storia?
E come ha fatto a
trasferire all’estero i 30
mln di €?
Ha dovuto modificare le
librerie dei programmi
applicativi?
Come ha fatto ad
attaccare il nucleo
MVS? Era un
sistemista?
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
... di un 54enne e della sua amica di 27
anni. Lei pretendeva che lui comprasse
un attico a Portofino e altri beni di lusso.
Servivano 30 mln di €. Perciò ha
attaccato l’MVS della banca.
Li ha trasferiti dal suo conto.
Non li aveva...ma 2
settimane prima aveva
modificato il programma
applicativo.
Solo per il suo c/c l’importo
della transazione sarebbe
stato moltiplicato per
100.000 dopo aver
controllato il residuo.
Non è stato necessario.
Ha fatto in modo che l’MVS
program loader alterasse in
memoria il programma
In realtà è stato il
caricato.
sistemista della
Per fare ciò ha applicato una
banca ad eseguire
RISK MANAGEMENT:
ridurrejob.
la INSICUREZZA mediante
la integrazione
dei dati al
di monitoring
sua
USERMOD
sistema. 21
il suo
Virus messaggero d’amore
Non ci posso credere! Il
sistemista era un
complice?
Come può una banca
proteggere meglio l’MVS?
A proposito... l’uomo e la
ragazza vissero felici e
contenti?
Le donne vogliono
sempre appartamenti
troppo belli.
consola
Results Superior byMi
Software
Architecture non
sentirmi il solo...
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT:
Affatto! Il job è stato sottomesso da un
virus che aveva infettato il pc del
sistemista. Ci sono voluti 20’ per
scegliere su internet il virus, e 2 ore di
attesa che il sistemista navigasse su
internet.
Con il monitoring
intelligente e con
prodotti capaci di
generare alert in realtime ogni volta che
vengono eseguite
transazioni “abnormi”,
anche se regolarmente
autorizzate.
Beh, i 30 mln di €
finirono presto, ma lei
guadagna benino
insegnando sicurezza
ridurre la INSICUREZZA mediante la integrazione
dei dati di monitoring
informatica.
22
Niente telecamere?
Primo perchè non ha senso che un programma
controlli da se stesso la propria integrità in memoria.
Perchè sostieni che è
indispensabile un monitoring
intelligente? Capisco che
l’access control non basta,
ma perchè non parli dell’
application security?
Secondo perchè il monitoring intelligente deve
essere guidato da regole aziendali e non da logiche
applicative disperse e facilmente aggirabili.
So che esistono prodotti di
monitoring per i sistemi aperti,
che cercano soprattutto di
capire cosa avviene in rete.
Sarà stato inventato qualche
tool potente specialmente per
il mainframe MVS ?
Ma può aiutare anche chi
compra
bond destinati a perdere
Results Superior by Software Architecture
ogni valore?
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT:
Terzo perchè in qualunque
area e materia i risultati
dei controlli vanno sempre
osservati e misurati.
Sissignore!
Perchè no?
Se fosse stato installato in tutti i
centri che hanno ospitato
ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
transazioni “abnormi” ... 23
Sono d’accordo con te.
Mi fa piacere sapere di non essere il solo a
pensarlo.
Results Superior by Software Architecture
GSE Convegno 21 maggio 2004
IL RISCHIO ACCETTATO
RISK MANAGEMENT: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring
24