gdpr e stop kill chain temi alleati - · pdf filets n s self ... pam specific analytics and...
TRANSCRIPT
26 Settembre 2017
Stefano Sali Sr. Principal Consultant, CISP, CISA
GDPR e Stop Kill Chain Temi Alleati
Copyright © 2017 CA. All rights reserved.
Agenda
KILL CHAIN
GDPR ED ACCESSI PRIVILEGIATI
GDPR E STOP KILL CHAIN PROBLEMI SIMILI CON UNA COMUNE SOLUZIONE
CA PAM DEMO
1
2
3
4
2
Copyright © 2017 CA. All rights reserved.
Il furto di identità tra i maggiori vettori di attacco.
Malware e Account Hijacking le principali minacce a livello mondiale.
500 milioni di euro/anno persi dalle banche europee e dai risparmiatori.
Other
4.4
Defaceme
nt
3.3 Vulnerabilit
y
3.3
DDos
5.6
Targeted
Attack
10
Unknow
16.7
Account
Hijacking
22.2
Malware/P
oS
Malware
34.4
Sondaggio “Attack Vectors” Agosto 2017
4
Fonte: Hackmageddon, 2017
Copyright © 2017 CA. All rights reserved.
3,500
3000
2500
2,000
1,500
1,000
1,000
0
Breach Count
2007 2009 2011 2013 2015
HACKING
MALWARE
SOCIAL Of malware use
privileged escalation
& access or phished
credentials
~60%
Aumenta lo spettro d’attacco La “DIGITAL TRANSFORMATION”
Principali Vettori di attacco
Of hacking lost
stolen or weak
credentials
~70%
Verizon Data Breach Investigations Report 2016
“IDENTITY IS NOT ONLY WHO YOU ARE BUT WHAT YOU DO” © 2016 CA. ALL RIGHTS
RESERVED.
La maggior parte degli attacchi sfrutta
la compromissione di Identità Digitali e
la loro possibilità di utilizzare Account
Privilegiati.
Copyright © 2017 CA. All rights reserved.
Kill Chain Una serie programmatica di azioni che i militari utilizzano per trovare ed utilizzare una breccia nelle difese nemiche.
6
La tecnica è stata adottata
dal mondo informatico, dove
gli attaccanti cercano la
modalità per trovare ed
utilizzare Account
Privilegiati.
La “chain” può essere
complessa, ma vi sono
quattro azioni fondamentali:
Copyright © 2017 CA. All rights reserved.
Kill Chain Gain/Expand Access
7
Per accedere ad una rete, gli
utilizzatori interni potranno
sfruttare le credenziali già
in loro possesso.
Gli esterni dovranno trovare
e sfruttare delle vulnerabilità
che permettano di ottenere
le credenziali necessarie.
Copyright © 2017 CA. All rights reserved.
Kill Chain Elevate Privilege e Lateral Movement
8
Una volta entrati, gli utenti
ostili proveranno ad effettuare
una ”escalation di privilegi”.
Ovvero utilizzare account con
diritti elevati, che daranno
accesso a più sistemi e più
risorse, potenzialmente con
possibilità di cancellare le
proprie tracce.
Copyright © 2017 CA. All rights reserved.
Kill Chain Elevate Privilege e Lateral Movement
9
Raramente gli attaccanti
riescono ad ottenere il primo
accesso esattamente dove
vorrebbero.
Devono quindi esplorare la
rete e le risorse a cui possono
accedere, in modo da
avvicinarsi sempre più
all’obbiettivo desiderato,
tramite “movimenti laterali”.
Copyright © 2017 CA. All rights reserved.
Kill Chain Wreak Havoc
10
NetworkPerimeter
EXTERNALTHREATS
INTERNALTHREATS
C&C,Data/IP
Exfiltration
WreakHavocElevatePrivilege
LateralMovement,Reconnaissance
ThreatActor
TrustedInsider
Gain/ExpandAccess
I tentativi per ottenere le
informazioni o gli accessi
desiderati possono durare
anche molto tempo.
Con costanza e pazienza,
una volta riusciti ad effettuare
un’escalation di privilegi, è
possibile accedere in modo
autorizzato e
potenzialmente invisibile.
Copyright © 2017 CA. All rights reserved.
Kill Chain Wreak Havoc
11
NetworkPerimeter
EXTERNALTHREATS
INTERNALTHREATS
C&C,Data/IP
Exfiltration
WreakHavocElevatePrivilege
LateralMovement,Reconnaissance
ThreatActor
TrustedInsider
Gain/ExpandAccess
Alcuni attacchi del 2016/17
Fonte: Rapporto Clusit, 2017
EU General Data Protection Regulation GDPR
13
DATASUBJECTSRIGHTStogivecitizensbackthecontroloftheirpersonaldata
HARMONISATIONtosimplifytheregulatoryenvironmentforinternationalbusinessbyunifyingtheregulationwithintheEU
Data Protection by Design and by Default Art. 25, “The controller shall
implement appropriate technical
and organizational measures for
ensuring that, by default, only
personal data which are necessary
for each specific purpose of the
processing are processed. That
obligation applies to the amount of
personal data collected, the extent of
their processing, the period of their
storage and their accessibility. In
particular, such measures shall ensure
that by default personal data are not
made accessible without the
individual's intervention to an indefinite
number of natural persons”. And
article 30 mandates the recording of
processing activities. 14
Chi accede ai dati personali: Accountability
Article 5.1(f), needs to be taken into
account because it literally states:
“Personal data should be processed
in a manner that ensures appropriate
security of personal data, including
protection against unauthorized or
unlawful processing and against
accidental loss, destruction or
damage, using appropriate technical
or organizational measures (‘integrity
and confidentiality’).”
15
Data Breach Notification in 72h Art. 33, Personal Data Breach means
a breach of security leading to the
accidental or unlawful destruction,
loss, alteration, unauthorized
disclosure of, or access to, personal
data transmitted, stored or otherwise
processed. Data controllers must
notify most data breaches to the DPA.
This must be done without undue
delay and, where feasible, within 72
hours of awareness. A reasoned
justification must be provided if this
timeframe is not met.
In some cases, the data controller
must also notify the affected data
subjects without undue delay 16
Copyright © 2017 CA. All rights reserved.
Come Indirizzare le minacce da Kill-Chain e le sfide GDPR?
Break the Attack Kill Chain with CA Privileged Access Management (PAM)
Si possono prevenire i Data Breach proteggendo le
credenziali amministrative, gestendo e controllando gli
accessi con utenti privilegiati, monitorando proattivamente e
registrando le attività delle sessioni di questi ultimi.
• Strong Authentication
• Restrizioni su Login
• Controllo degli Accessi ai target
• Prevenzione Leap-Frogging
• Command & socket filtering
• Zero trust – deny all, permit by
exception
• Controlli accessi granulari Host-
Based
• Session recording & monitoring
• Activity logging & auditing
• SIEM integration
• Behavioral Analytics
Prevenire Accessi
Non Autorizzati Limitare Escalation
di Privilegi
Monitor, record &
audit
Copyright © 2017 CA. All rights reserved.
Punti in Comune GDPR vs STOP Kill Chain
GDPR
/
Kill-Chain
Strong
Authentication
Gestione
Accessi
Privilegiati
Session
Recording
Password
Vaulting
Prevenzione
LeapFrogging
Controllo
Accessi
Granulare
Threat
Analytics
GDPR: Privacy by Design &
Default ✅ ✅✅ ✅✅ ✅ ✅ ✅ ✅
GDPR: Accountability ✅ ✅✅ ✅✅ ✅✅ ✅ ✅✅ ✅
GDPR: Data Breach
Notification 72h ✅ ✅✅ ✅✅ ✅ ✅ ✅ ✅✅
KC: Gain/Expand Access ✅✅ ✅✅ ✅ ✅✅ ✅✅ ✅✅ ✅✅
KC: Elevate Privilege ✅ ✅✅ ✅ ✅✅ ✅ ✅✅ ✅
KC: Lateral Movement ✅ ✅✅ ✅ ✅ ✅✅ ✅✅ ✅✅
19
✅✅ Fortemente raccomandato
✅ Raccomandato
20 © 2016 CA. ALL RIGHTS RESERVED.
A
cces
s re
qu
est
s
C
erti
fica
tio
n
R
isk
anal
ytic
s Self-contained, hardened appliance
Strong MFA authentication
Centralized Interface, Policy-based Rules
Credential management
Session recording, auditing, attribution
Command filtering
A2A Application password management
Hybrid enterprise protection
In-depth protection for critical servers
Highly-granular access controls
Segregated duties of super-users
Controlled access to system resources
Secured Task Delegation (sudo)
Enforce Trusted Computing Base
MS AD centralized authentication
PAM Native Identity Propagation
IDENTITY-BASED SECURITY HOST-BASED SECURITY
CA PAM Suite - DEFENSE IN DEPTH
CA PAM CA PAM SC
CA
IDEN
TITY
GO
VER
NA
NC
E
PAM specific analytics and behavior analysis
Advanced, dynamic threat analytics
Automated detection of attacks and risk
Response and mitigation
Complements existing SIEM/Fraud systems
CA TAP
Product Names Legenda CA PAM = Privileged Access Manager CA PAM SC = PAM Server Control (PAM version of CA PIM) CA TAP = Threat Analytics for PAM THREAT ANALYTICS
21 © 2016 CA. ALL RIGHTS RESERVED.
CA Privileged Access Manager Privileged Account Management per la Hybrid Enterprise
HYBRID ENTERPRISE
Traditional Data Center
Mainframe, Windows, Linux, Unix, Networking
Enterprise Admin Tools
Software Defined Data Center
SDDC Console and APIs
Public Cloud - IaaS
Cloud Console and APIs
SaaS Applications
SaaS Consoles and APIs
Hardware Appliance AWS AMI OVF Virtual Appliance
Identity Integration Enterprise-Class Core
CA Privileged Access Manager
Vault Credentials Centralized Authentication Access Management Privileged Single Sign-on
Role-Based Access Control Monitor and Enforce Policy Record Sessions and Metadata Application to Application
A New Security Layer - Control and Audit All Privileged Access
Unified Policy Management
22 © 2016 CA. ALL RIGHTS RESERVED.
GDPR fissa in 72h il tempo per le breach notification ….anche per gli accessi privilegiati Le classiche difese Enterprise (incluse alcune soluzioni “Threat Analytics”) sono STATICHE
ProvisioningProvidenewusers
withaccesstoresources
Enterprisesecuritysolutionsdon’tadaptbasedonbehaviorhowdataisaccessed,usedormisused
Compromisedaccounts
Privilegedaccessandinsiders
AWS
SIEM IDS
Untrustedendpoints
AuthenticationValidateidentitywhenaccessrequested
Badguysexploitthisgaptotheiradvantage
PrivilegedAccess
Limitadminandsystemcontrolaccess
Identity&AccessManagement
Manageandreportonaccessprovided
23 © 2016 CA. ALL RIGHTS RESERVED.
CA Threat Analytics colma il Gap di Security Analytics specializzato per le identità digitali
CA è leader di mercato per tecnologie di fraud analytics per i sistemi bancari card-no-present
Lo stesso approccio utilizzato per
credit card security
Analytic aumenta la sicurezza
Continuo behavior monitoring degli accessi alle risorse importanti
Un Modello Matematico che controllo le azioni identifica variazioni nel comportamento abituale
Trigger automatici e adattivi azionani mitigazioni dei rischi e limitano i danni
Insight dei rischi, delle attività e delle operazioni effettuate per un controllo totale
24 © 2016 CA. ALL RIGHTS RESERVED.
CA Threat Analytics for PAM Funzionalità di Behavior Analytic in una soluzione easy-to-deploy, easy-to-use specializzata per gli accessi privilegiati
Advanced analytics
Entity relationships & risk mapping
Automated mitigation
Raw data
Focus su dati specializzati – per PAM, l’autenticazione iniziale & le connessioni
Integrazioni future con altri prodotti CA (ed i loro dati specializzati) potranno incrementare il valore e l’accuratezza dei risultati
Il sistema estrae informazioni critiche dalle attività e dalle sessioni:
⎻ Location
⎻ System access
⎻ Device
⎻ Sensitivity
⎻ Account
I comportamenti sono raccolti e modellati per una immediata valutazione
Cambiamenti nel modello sono valutati per identificare i rischi o le attività malevole
Behavior analytics engine –non regole statiche -
Controlli automatici sono azionati in tempi rapidissimi per mitigare i rischi
Avvio del session recording
Forza una re-autenticazione
Generazione di allarmi attivi
Creazione di context rich reporting
25 © 2016 CA. ALL RIGHTS RESERVED.
CA Threat Analytics for PAM Funzionalità di Behavior Analytic in una soluzione easy-to-deploy, easy-to-use specializzata per gli accessi privilegiati: proattività dinamica per arginare i tentativi di data breaching
Advanced analytics
Entity relationships & risk mapping
Automated mitigation
Raw data
Focus su dati specializzati – per PAM, l’autenticazione iniziale & le connessioni
Integrazioni future con altri prodotti CA (ed i loro dati specializzati) potranno incrementare il valore e l’accuratezza dei risultati
Il sistema estrae informazioni critiche dalle attività e dalle sessioni:
⎻ Location
⎻ System access
⎻ Device
⎻ Sensitivity
⎻ Account
I comportamenti sono raccolti e modellati per una immediata valutazione
Cambiamenti nel modello sono valutati per identificare i rischi o le attività malevole
Behavior analytics engine –non regole statiche -
Controlli automatici sono azionati in tempi rapidissimi per mitigare i rischi
Avvio del session recording
Forza una re-autenticazione
Generazione di allarmi attivi
Creazione di context rich reporting
27 © 2016 CA. ALL RIGHTS RESERVED.
CA PAM Demo Environment Demo Architecture
CA SSO Strong Authentication
SIEM SYSLOG
MS AD LDAP
HTTP/S
ADMINS
Video Records NFS/CIFS
CA PAM
Other Apps
SSH
CA TAP
Jump Server Windows
Or Citrix RDP
Citrix VDA
ADMINS
RDP
Sr Principal Consultant
Stefano Sali
@stefanosali
slideshare.net/CAinc
linkedin.com/in/stefano-sali-86850a2/
ca.com