Diapositiva 1

CLASSIFICAZIONE DEGLI ALLARMI
E GESTIONE DEGLI INCIDENTI DI SICUREZZA
Fabrizio Matta
Direttore Servizi ICT Security Management and Consulting
Business-e ITWay group
In questa sessione impareremo a:
‰ Definire il processo di gestione degli incidenti informatici
‰ Analizzare gli aspetti di gestione del processo al fine di calarlo
in un contesto organizzativo specifico
‰ Implementare un modello formale per la rappresentazione degli allarmi
‰ Implementare un modello gestionale per l’attuazione delle contromisure di
contenimento del danno tecnologico
‰ Redigere un rapporto formale per la documentazione degli incidenti
‰ Utilizzare le informazioni prodotte nel corso del processo per effettuare valutazioni
qualitative sul grado di efficacia/efficienza del processo
Si definisce incidente di sicurezza informatica:
Ogni evento, conseguente ad una azione, intenzionale o accidentale, svolta nell’ambito del
Sistema Informatico controllato, che è fonte di danno per gli asset informatici protetti, ovvero
che può determinare un innalzamento, anche temporaneo, delle soglie di rischio prestabilite
per ciascun asset.
La gestione degli incidenti di sicurezza si attua mediante il conseguimento dei
seguenti obiettivi:
1. RILEVARE le violazioni di sicurezza
2. CONTENERE i possibili danni agli asset informatici
3. RISTABILIRE le condizioni di sicurezza standard
4. MIGLIORARE le condizioni generali di sicurezza, contribuendo al processo di
revisione dell’ISMS.
Miglioramento del grado di copertura del rischio
Migliorare
Definizione dei piani
correttivi/migliorativi
dell’ISMS
Ristabilire
Ripristino delle condizioni
standard
Analisi post incidente
Contenere
Rilevare
Attuazione delle procedure di contenimento
Generazione degli allarmi di sicurezza
Tracciamento degli eventi critici per la sicurezza
Gestione del sistema informatico
Sviluppo del processo di gestione degli incidenti di sicurezza informatica
Sistemi
di
Monitoraggio
Personale
Operativo
Piano di ripristino
Piano di revisione
eventi critici
Analisi preliminare
per la definizione
del livello di allarme
Attuazione delle
misure di
Contenimento
Report analitico
dell’incidente
Analisi post
incidente
eventi sospetti
o comportamenti
anomali
Ripristino delle
condizioni standard
Definizione dei requisiti per
Il miglioramento
Dell’ISMS
Infrastrutture e Attori coinvolti nel processo di gestione degli incidenti
Agenti di Minaccia
Apparati/Sistemi di rete e infrastrutture
di sicurezza perimetrale
Agenti di Minaccia
Sistemi “ponte” attestati sulla LAN Interna
Agenti di Minaccia
Sistemi Target (asset controllati)
Gestione e Monitoraggio
Supporto utente (Help Desk 1° Livello)
Help Desk 2° Livello
Competence Center gestione allarmi e pronto intervento sicurezza
1° livello di intervento
Unità di Crisi per la gestione degli incidenti di sicurezza
2° livello di intervento
Tutela Aziendale Sistemi Informatici Owner di processo Owner dei dati
Strutture di Esercizio
Strutture ICT Security
Management
Gestione del Sistema Informatico
Monitoraggio
Help Desk 1° Livello
Log di eventi rilevanti per la
sicurezza
Segnalazione di eventi sospetti
o presunte violazioni della sicurezza
1° livello di intervento
Classificazione evento e generazione allarme di sicurezza
ALLARME DI SICUREZZA
Attuazione delle procedure di pronto intervento
2° livello di intervento
Gestione delle Crisi
Log di eventi rilevanti per la
sicurezza
Segnalazione di eventi sospetti
o presunte violazioni della sicurezza
EVENTI CODIFICATI
EVENTI NON CODIFICATI
RICERCA DEGLI EVENTI
CODIFICATI CORRELABILI
CLASSIFICAZIONE CORRELAZIONE E CONTESTUALIZZAZIONE DEGLI EVENTI
GENERAZIONE DELL’ALLARME
DEFINIZIONE DELLA CONDIZIONE DI DIFESA (DEFCON)
Tutte le segnalazioni di eventi sospetti devono avere un riscontro oggettivo tra gli eventi codificati
correlati con la presunta violazione segnalata.
In assenza di tale riscontro non può essere generato alcun allarme di sicurezza
Segnalazione
Evento
FROM
Ricercare ulteriori eventi utili a definire l’origine della violazione di
sicurezza
WHERE
Ricercare ulteriori eventi utili a definire il contesto nel quale si sta
verificando la violazione di sicurezza (sistemi/apparati correlati)
WHAT
Ricercare ulteriori eventi utili a definire la natura della violazione di
sicurezza e le sue modalità di attuazione
CLASSIFICAZIONE EVENTI
Tutti gli eventi devono essere ricondotti ad un gruppo di macro categorie predefinite, valutate in
funzione della loro influenza negativa sulla sicurezza, intesa come potenzialità di determinare un
degrado dei livelli di Riservatezza, Integrità e Disponibilità dell’asset interessato.
Questo tipo di classificazione consente di orientare in maniera immediata le prime fasi di analisi
del problema, focalizzando le attività sui target maggiormente sensibili alla violazione.
CLASSIFICAZIONE DEGLI EVENTI PER MACRO CATEGORIE DI MINACCIA
Cod.
Descrizione evento
Peso di influenza sulla sicurezza
R
I
D
VI
Propagazione di software malevolo autoreplicante
1
3
3
PM
Installazione di software malevolo non autoreplicante
3
3
3
DOS
Perdita di disponibilità del servizio
1
1
3
SP
Impersonificazione di soggetti
2
2
2
UA
Accesso non autorizzato
3
3
2
PA
Acquisizione di privilegi appartenenti a soggetti autorizzati
2
2
2
IFR
Interferenza sui flussi di dati
2
3
3
INT
Intercettazione di flussi di dati
3
1
2
IL
Perdita/alterazione di informazioni
1
3
3
PV
Violazione di politiche aziendali, norme contrattuali o
legislative
2
2
2
FP
Falso positivo
0
0
0
Classificazione degli allarmi
Il livello di criticità di un allarme è proporzionale al livello di criticità dell’evento
ed al livello di criticità del contesto nel quale si è verificato l’evento stesso.
Criticità di un Allarme = Criticità dell’evento
X
Criticità del contesto
Criticità assoluta (Ca)
Criticità Asset (RID)
Criticità Relativa (Cr)
Criticità Contestuale (Cc)
Criticità Potenziale (Cp)
La criticità di un allarme esprime la criticità dell’evento
in funzione del contesto nel quale questo si è verificato
Valutazioni di criticità degli eventi rilevati
Ciascun evento possiede un valore di criticità intrinseca, definita Criticità Assoluta (Ca), che ne stabilisce la
“pericolosità”, indipendentemente dal contesto nel quale si verifica.
Per i sistemi di tracciamento più comuni (IDS, AV) solitamente questi valori di criticità sono formulati dal
costruttore, mentre per gli eventi generati dai sistemi operativi, dai Firewall e dagli applicativi, tale valutazione
deve essere effettuata in sede di progettazione del sistema di rilevamento e gestione allarmi.
La Criticità Relativa (Cr) esprime il grado di influenza dell’evento sulla Riservatezza, Integrità e Disponibilità,
e si ottiene, una volta inquadrato l’evento nella macro categoria di minaccia corrispondente, mediante la
formula:
Cr(e) = max(RID(Mc)) x Ca(e)
Dove
e = evento rilevato;
Cr = Valore di Criticità relativa dell’evento;
RID = pesi di influenza sulla Riservatezza, Integrità e Disponibilità
Mc = Macro Categoria di rischio relativa all’evento
Ca = Valore di criticità assoluta dell’evento
Valutazioni di criticità degli eventi rilevati
Il grado di Criticità Potenziale (Cp) esprime una valutazione qualitativa dell’evento indipendente dal dispositivo
che lo ha generato, in quanto rapporta su una scala ordinale normalizzata i valori di Criticità Relativa
precedentemente calcolati.
La scala di valori assegnata varia da un valore tra 0 (non compreso) ed una costante con valore 5 che indica
il numero massimo di livelli inclusi nella scala ordinale:
Cp(Crd ) = (5 x Crd )/ Max(Crd )
Con, Max(Crd) ≠ 0 che rappresenta il punteggio massimo teorico calcolabile
secondo i valori di Ce definiti per ciascuno specifico dispositivo di
tracciamento.
d = dispositivo di tracciamento che ha generato l’evento.
Valutazioni di criticità degli eventi rilevati
Il valore di Criticità Contestuale (Cc) permette di valutare la criticità dell’evento in funzione dell’Asset
nel quale esso è stato generato. Per effettuare tale valutazione è indispensabile che tutti gli asset protetti
dall’ISMS, siano stati precedentemente valutati sulla base di una scala ordinale qualitativa che ne esprima
Il grado di criticità (Ca) nei confronti della Riservatezza, Integrità e Disponibilità.
La criticità Contestuale, di un evento si calcola mediante la seguente formula:
Cc(Cp,Ca) = Cp x Ca
Dove:
Cc = Criticità Contestuale
Cp = Criticità Potenziale
Ca = Criticità dell’asset esprimente un giudizio sommativo sulla sensibilità RID.
Generazione di un allarme in base al livello di criticità dell’evento rilevato
La classificazione degli allarmi di sicurezza attribuisce a ciascun evento segnalato un Codice progressivo,
che esprime in termini qualitativi il grado di criticità dell’allarme, ricavato dal valore di Criticità Contestuale
dell’evento che lo ha generato
Cc
Da
a
Alert Level
1
2
1
3
5
2
6
8
3
9
11
4
12 15
5
i valori riportati sono stati ottenuti considerando Ca ∈ [1,3]
Generazione dello stato generale di allarme: DEFCON
Il codice DEFCON definisce lo stato di allarme (condizione di difesa) che ciascuna struttura organizzativa,
coinvolta nel processo di gestione degli incidenti, deve assumere a seguito di un allarme di sicurezza.
Cc
Da
a
Alert Level
DEFOCON
1
1
2
1
3
5
2
6
8
3
9
11
4
12 15
5
2
3
La codifica DEFCON consente di proceduralizzare le attività di gestione dell’incidente, ripartendo
competenza e responsabilità. I codici DEFCON risultano particolarmente utili nella gestione delle escalation
decisionali, durante la gestione di incidenti di sicurezza con rilevanti impatti sul patrimonio informatico e/o
sulla qualità/continuità del servizio
Gestione degli allarmi ed escalation di responsabilità
Livello di definizione allarme
High
Medium
Low
Low
Medium
Livello di criticità del contesto
L’allarme può essere gestito dagli operatori
attraverso una procedura predefinita
Le strategie di gestione dell’allarme devono essere
approvate dal Responsabile dell’unità di crisi
Le strategie di gestione dell’allarme devono essere
approvate dal Management
High
Gestione delle attività di analisi post incidente
Segnalazione di allarme
Analisi di constatazione
del danno
Rapporto delle attività
di pronto intervento
Piano Investigativo
di primo livello
(rilevamenti tecnologici)
Report analitico
dell’incidente
Raccolta delle evidenze
e quantificazione del danno
Pano di ripristino
delle condizioni
standard
Valutazione del grado di efficacia/efficienza del processo di gestione degli incidenti
Elenco dei dati elementari
‰Numero complessivo di segnalazioni ricevute (ISS)
‰Numero complessivo di falsi positivi rilevati (IFP)
‰Numero degli allarmi generati, raggruppati per grado di criticità (INAC)
‰Numero complessivo di allarmi generati, (INA)
‰Numero complessivo delle attività di pronto intervento intraprese con successo (IPS)
‰Numero complessivo delle attività di pronto intervento intraprese con insuccesso (IPI)
‰Numero complessivo di tentativi di violazione rilevati (ITV)
‰Numero complessivo di violazioni accertate (IVA)
‰Numero complessivo dei danni alle infrastrutture informatiche e tecnologiche subite (IDT)
‰Tempi medi di chiusura dell’incidente di sicurezza (IMED)
‰Tempi minimi di chiusura dell’incidente di sicurezza (IMIN)
‰Tempi massimi di chiusura dell’incidente di sicurezza (IMAX)
‰Numero complessivo dei piani di ripristino emessi a seguito degli incidenti (IPT)
‰Numero complessivo dei piani di ripristino sospesi (IPO)
‰Numero complessivo dei piani di ripristino conclusi o in corso d’opera (IPC)
‰Somma complessiva delle giornate uomo dichiarate nei piani di ripristino (ITOT)
Esempi di KPI per l’analisi qualitativa del processo di gestione degli incidenti
Efficienza del processo di rilevamento e gestione degli incidenti (EffGi)
Si calcola sulla base del rapporto percentuale tra il numero complessivo di segnalazioni ricevute
ed il numero complessivo di allarmi generati
(EffGi =(INA * 100 / ISS));
Efficacia del processo di rilevamento e gestione degli incidenti (EfcGi)
Si calcola sulla base del rapporto percentuale tra il numero complessivo di allarmi generati
ed il numero complessivo di attività di pronto intervento intraprese con successo
(EfcGi = (IPS * 100 / INA));
Esempi di KPI per l’analisi qualitativa del processo di gestione degli incidenti
Affidabilità dei sistemi di rilevamento degli eventi critici (AffRe)
Si calcola sulla base del rapporto percentuale tra il numero complessivo di segnalazioni ricevute
ed il numero complessivo di falsi positivi riscontrati
(AffRe =(IFP * 100 / ISS));
Efficienza del processo di ripristino/miglioramento della sicurezza (EfcIS)
Si calcola sulla base del rapporto percentuale tra il numero complessivo dei piani di rientro
emessi a seguito di incidenti (IPT), ed il numero complessivo dei piani di rientro conclusi
o in corso d’opera (IPC)
(EfcIS = (IPC * 100 / IPT));
Grazie per l’attenzione e…
Buone Feste a tutti