network&information security incidents management 09 2015... · sabotaggio, vandalismo, furto,...

Divisione Corporate Affairs | Direzione Tutela Aziendale

I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà

Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.



Network&Information Security Incidents Management

Conferenza nazionale Cyber Security Energia

Roma – CASD 24 settembre 2015




ROMA, settembre 2015

Il contesto di business di TERNA (TSO italiano) …

”Take appropriate technical and organisational measures to

appropriately manage the risks posed to security … ”

” That measures shall be taken to prevent and minimise the

impact of security incidents on networks and systems … ”





Le origini del cyber-risk …

Minacce [1]

(Threats)

Disastri naturali

Fuori servizio

Non compliance legali

Danni non intenzionali

Intercettazioni

Danni/perdite asset IT

Attività malevoli,

Abuse

Attacchi fisici deliberati

Guasti interni

Danni ambientali, incendio, allagamento, etc. che interessano aree tecniche ICT

(CED, server room, server farm) …

Perdite di devices/media, di informazioni, di integrità di informazioni, distruzioni

records …

Interruzioni internet e network, di servizi comuni di supporto, di energia, di

climatizzazione, di risorse …

Furto identità, DOS/DDOS, malware, social engineering

manipulations, impairment, damaging, misuse audit tools,

unauthorized access, badware, targeted attack

Conseguenze di man in the middle, session hijacking, war driving,

intercepting, eavesdropping, interferring, replay of messages

Info-sharing errato, leakage, uso/amministrazione errate, alterazioni non volute

di dati, progetto/realizzazione inadeguate …

Failure di apparato/sistema, malfunzionamenti, guasti o danneggiamenti di

servizi di provider …

Sabotaggio, vandalismo, furto, accesso fisico non autorizzato …

Sanzioni o perdite economiche per violazioni di leggi o di accordi contrattuali … A S

S E

T IC

T

V

Qualsiasi cosa in grado

di agire contro un asset

vulnerabile provocando

un danno

V

(V)ulnerabilità

[1] ENISA Threat Mind Map

V

V

V

V

V

V

V





CYBERSPACE

TSO: Almeno due domini tecnologici

Cyber-threat

Origini: Esterne

Vettori: Networks

Threat

Origini: Molteplici

Vettori: Molteplici

Threat Origini: Molteplici

Vettori: Moltepici

IT : information technologies

OT: operational technologies (ICS/IACS)

CT: communication technologies

ST: security technologies





Scenari temuti e studiati ovunque

EEI’s U.S/International Utility Cybersecurity Dialog – April 2015

http://www.lloyds.com/news-and-insight/risk-insight/library/society-and-security/business-blackout





Si parte da qui …

Sicurezza nel ciclo di vita dei progetti ICT

Network and Communications Security

Sicurezza nel ciclo di vita dei dipendenti e nei rapporti con Terzi

Incident Management

Uso sicuro delle risorse informative

Information Security FRAMEWORK

Controllo degli accessi logici

IT Asset Security (servers, workstations, other ICT platforms)

Sicurezza Fisica ed Ambientale

High

Level

Policy

Str

ate

gic

Guid

elin

es

Specific

Rule

s c

olle

ctions





INCIDENTE

riconosciuto

e

gestito

Prodromi di attacco

Atti ostili

Scenario ormai frequente …

un evento che causa un danno e/o richiede un’azione di

contenimento e/o una reazione da parte delle strutture

preposte.

A questo tipo di incidenti si applica l’intero processo di gestione

incidenti suddivisibile nelle fasi di rilevazione, analisi,

contenimento, eliminazione, ripristino e follow-up

attività “esplorative” non intrusive che

possono però preludere ad un

successivo attacco vero e proprio

azioni che cercano di pregiudicare

un aspetto qualunque dei servizi,

ma che sono contenute da

contromisure esistenti

Evento avverso

di Information

Security

TENTATIVO di ATTACCO Evento/i di sicurezza che non causano danni

e che non richiedono ulteriori azioni di

contenimento o reazioni, da registrare sia a

fini statistici che di valutazione minaccia.

L’evento è gestito “automaticamente” da

contromisure tecnologiche messe in atto per

diminuire i rischi di intrusione sui sistemi





8

Classificare l’evento è un passaggio “chiave” …

Misura qualitativa della gravità dell’incidente in termini di:

• gravità del danno prodotto o potenziale e/o

• entità del disservizio causato e/o

• quantità dei sistemi coinvolti

Indicazione relativa al blocco dei servizi o dei sistemi coinvolti, in

termini:

• bloccanti: servizi impattati compromessi e non attivi;

• non bloccanti: i servizi impattati comunque erogabili, anche se

con degrado di prestazioni e/o limitazioni di utilizzo.

Alta

Media

Bassa

Mapping su ASSET

di priorità

Criticità/Severità

Criticità/Severità





Safety e Gestione Criticità

Rischio sistema elettrico

Rischio frodi

Qual. fornitori

Osservatorio rischi

Information&network Security

Sicurezza Fisica

Rischio Mercato Elettrico

Sistemi IT

Enterprise

Sistemi

IT

Mercato

Sistemi

OT

AOT

CNC

Centri

Reti TLC

(NOC)

Terze

Parti IT

Non possiamo stare “soli” …

CERT

Nazional

e

CNAIPIC

DPC

VVF

F Forze

dell’ordine

e della

sicurezza

Altre IC EU

Altre IC nazionali

http://www.google.it/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRxqFQoTCKaCl-7tgMgCFcXNFAodLdkDcQ&url=http://www.antibot.it/&psig=AFQjCNFCz4f2LK6sJMuoD5c3aoKB-LV3OA&ust=1442675143065490

//upload.wikimedia.org/wikipedia/it/6/66/Scudetto_ricamato_polizia_delle_postale_e_delle_comunicazioni.jpg





10

Tanti i momenti di collaborazione/cooperazione

Analisi e prevenzione

minacce in ingresso

Blocchi attività di rete in

uscita

Analisi

malware

Threat

discovery

Monitoraggio

traffico

Threat intelligence

Incident Handling

Azio

ne s

inerg

ica s

ui confini della

rete






11

Un rapporto che “matura” …

45 segnalazioni da CERT

(marzo-agosto15)

34 azioni di mitigazione …

Antivirus (blocco HASH) … 8

Blocco domini e/o IP su Proxy/FW … 12

Controllo area privata di Terna su sito CERT 4

Filtraggio su sistema Antispam … 5

Richieste aggiornamento SW … 3

Aggiornamento firme IPS … 2

Msg Abuse or “Suspicious activity from host with IP” … 8 (ultimi 30 g.)

Malware/Botnet … 4

Phishing … 2

Leak di credenziali da server ITA … 2

Compromissione WordPress … 1

Compromissioni server di aziende … 3

Vulnerabilità CISCO … 1

CIMBL … 32

Altri scambi non catalogati …






Per la “digital resilience” di sistema

DIS

AISI AISE

DIS

NSC NISP CERT

naz

PCdM

CISR

Org CISR

CNAIPIC “IC” “IC” “IC” “IC”

“IC” Protocolli d’intesa

“Info-sharing” sicuro

Triage “omogeneo”

Requisiti minimi org.vi di SOC/CERT

Investimenti in formazione “collegiale”

“IC”

“IC”

“IC”

“IC”

Altri requisiti di settore

(es.CA, std procurement,

common criteria)

elettrico

gas

…

Rafforzamento

collaboration/cooperation/combined effort

pubblico-privato

network&information security incidents management 09 2015... · sabotaggio, vandalismo, furto,...

Documents