CLASSIFICAZIONE DEGLI ALLARMI E GESTIONE DEGLI INCIDENTI DI SICUREZZA
Fabrizio MattaDirettore Servizi ICT Security Management and Consulting
Business-e ITWay group
Definire il processo di gestione degli incidenti informatici
Analizzare gli aspetti di gestione del processo al fine di calarlo in un contesto organizzativo specifico
Implementare un modello formale per la rappresentazione degli allarmi
Implementare un modello gestionale per l’attuazione delle contromisure di contenimento del danno tecnologico
Redigere un rapporto formale per la documentazione degli incidenti
Utilizzare le informazioni prodotte nel corso del processo per effettuare valutazioniqualitative sul grado di efficacia/efficienza del processo
In questa sessione impareremo a:
Si definisce incidente di sicurezza informatica:
Ogni evento, conseguente ad una azione, intenzionale o accidentale, svolta nell’ambito del Sistema Informatico controllato, che è fonte di danno per gli asset informatici protetti, ovvero che può determinare un innalzamento, anche temporaneo, delle soglie di rischio prestabilite per ciascun asset.
La gestione degli incidenti di sicurezza si attua mediante il conseguimento dei seguenti obiettivi:
1. RILEVARE le violazioni di sicurezza
2. CONTENERE i possibili danni agli asset informatici
3. RISTABILIRE le condizioni di sicurezza standard
4. MIGLIORARE le condizioni generali di sicurezza, contribuendo al processo di revisione dell’ISMS.
Miglioramento del grado di copertura del rischio
Tracciamento degli eventi critici per la sicurezza
Generazione degli allarmi di sicurezza
Attuazione delle procedure di contenimento
Analisi post incidente
Ripristino delle condizioni standard
Definizione dei piani correttivi/migliorativi
dell’ISMS
Gestione del sistema informatico
Ristabilire
Migliorare
Rilevare
Contenere
Sviluppo del processo di gestione degli incidenti di sicurezza informatica
eventi critici
eventi sospettio comportamenti
anomali
Sistemidi
Monitoraggio
PersonaleOperativo
Analisi preliminare per la definizione
del livello di allarme
Attuazione dellemisure di
Contenimento
Analisi postincidente
Report analiticodell’incidente
Ripristino dellecondizioni standard
Definizione dei requisiti perIl miglioramento
Dell’ISMS
Piano di revisione
Piano di ripristino
Apparati/Sistemi di rete e infrastrutture di sicurezza perimetrale
Sistemi “ponte” attestati sulla LAN Interna
Sistemi Target (asset controllati)
Agenti di Minaccia
Agenti di Minaccia
Agenti di Minaccia
Gestione e Monitoraggio Supporto utente (Help Desk 1° Livello)
Help Desk 2° Livello
Unità di Crisi per la gestione degli incidenti di sicurezza
Tutela Aziendale Sistemi InformaticiOwner di processo Owner dei dati
Competence Center gestione allarmi e pronto intervento sicurezza
Infrastrutture e Attori coinvolti nel processo di gestione degli incidenti
1° livello di intervento
2° livello di intervento
Strutture di Esercizio Strutture ICT Security Management
Log di eventi rilevanti per la sicurezza
Monitoraggio Help Desk 1° Livello
ALLARME DI SICUREZZAALLARME DI SICUREZZA
Attuazione delle procedure di pronto intervento
Segnalazione di eventi sospettio presunte violazioni della sicurezza
Gestione delle Crisi2° livello di intervento
Classificazione evento e generazione allarme di sicurezza1° livello di intervento
Gestione del Sistema Informatico
Log di eventi rilevanti per la sicurezza
Segnalazione di eventi sospettio presunte violazioni della sicurezza
EVENTI CODIFICATI EVENTI NON CODIFICATI
CLASSIFICAZIONE CORRELAZIONE E CONTESTUALIZZAZIONE DEGLI EVENTI
GENERAZIONE DELL’ALLARME
RICERCA DEGLI EVENTI CODIFICATI CORRELABILI
DEFINIZIONE DELLA CONDIZIONE DI DIFESA (DEFCON)
Tutte le segnalazioni di eventi sospetti devono avere un riscontro oggettivo tra gli eventi codificati correlati con la presunta violazione segnalata.
In assenza di tale riscontro non può essere generato alcun allarme di sicurezza
SegnalazioneEvento
FROM Ricercare ulteriori eventi utili a definire l’origine della violazione di sicurezza
WHAT Ricercare ulteriori eventi utili a definire la natura della violazione di sicurezza e le sue modalità di attuazione
WHERE Ricercare ulteriori eventi utili a definire il contesto nel quale si sta verificando la violazione di sicurezza (sistemi/apparati correlati)
CLASSIFICAZIONE EVENTI
Tutti gli eventi devono essere ricondotti ad un gruppo di macro categorie predefinite, valutate in funzione della loro influenza negativa sulla sicurezza, intesa come potenzialità di determinare un
degrado dei livelli di Riservatezza, Integrità e Disponibilità dell’asset interessato.Questo tipo di classificazione consente di orientare in maniera immediata le prime fasi di analisi
del problema, focalizzando le attività sui target maggiormente sensibili alla violazione.
Peso di influenza sulla sicurezzaCod. Descrizione eventoR I D
VI Propagazione di software malevolo autoreplicante 1 3 3
PM Installazione di software malevolo non autoreplicante 3 3 3
DOS Perdita di disponibilità del servizio 1 1 3
SP Impersonificazione di soggetti 2 2 2
UA Accesso non autorizzato 3 3 2
PA Acquisizione di privilegi appartenenti a soggetti autorizzati 2 2 2
IFR Interferenza sui flussi di dati 2 3 3
INT Intercettazione di flussi di dati 3 1 2
IL Perdita/alterazione di informazioni 1 3 3
PV Violazione di politiche aziendali, norme contrattuali o legislative
2 2 2
FP Falso positivo 0 0 0
CLASSIFICAZIONE DEGLI EVENTI PER MACRO CATEGORIE DI MINACCIA
Classificazione degli allarmi
Il livello di criticità di un allarme è proporzionale al livello di criticità dell’eventoed al livello di criticità del contesto nel quale si è verificato l’evento stesso.
Criticità di un Allarme = X
Criticità assoluta (Ca)
Criticità Relativa (Cr)
Criticità Potenziale (Cp)
Criticità del contestoCriticità dell’evento
Criticità Asset (RID)
Criticità Contestuale (Cc)
La criticità di un allarme esprime la criticità dell’evento in funzione del contesto nel quale questo si è verificato
Valutazioni di criticità degli eventi rilevati
Ciascun evento possiede un valore di criticità intrinseca, definita Criticità Assoluta (Ca), che ne stabilisce la “pericolosità”, indipendentemente dal contesto nel quale si verifica.
Per i sistemi di tracciamento più comuni (IDS, AV) solitamente questi valori di criticità sono formulati dal costruttore, mentre per gli eventi generati dai sistemi operativi, dai Firewall e dagli applicativi, tale valutazione deve essere effettuata in sede di progettazione del sistema di rilevamento e gestione allarmi.
La Criticità Relativa (Cr) esprime il grado di influenza dell’evento sulla Riservatezza, Integrità e Disponibilità,e si ottiene, una volta inquadrato l’evento nella macro categoria di minaccia corrispondente, mediante la formula:
Cr(e) = max(RID(Mc)) x Ca(e)
Dove e = evento rilevato;Cr = Valore di Criticità relativa dell’evento;RID = pesi di influenza sulla Riservatezza, Integrità e DisponibilitàMc = Macro Categoria di rischio relativa all’eventoCa = Valore di criticità assoluta dell’evento
Valutazioni di criticità degli eventi rilevati
Il grado di Criticità Potenziale (Cp) esprime una valutazione qualitativa dell’evento indipendente dal dispositivoche lo ha generato, in quanto rapporta su una scala ordinale normalizzata i valori di Criticità Relativa precedentemente calcolati.
La scala di valori assegnata varia da un valore tra 0 (non compreso) ed una costante con valore 5 che indica il numero massimo di livelli inclusi nella scala ordinale:
Cp(Crd ) = (5 x Crd )/ Max(Crd )
Con, Max(Crd) ≠ 0 che rappresenta il punteggio massimo teorico calcolabile secondo i valori di Ce definiti per ciascuno specifico dispositivo di
tracciamento.d = dispositivo di tracciamento che ha generato l’evento.
Valutazioni di criticità degli eventi rilevati
Il valore di Criticità Contestuale (Cc) permette di valutare la criticità dell’evento in funzione dell’Asset nel quale esso è stato generato. Per effettuare tale valutazione è indispensabile che tutti gli asset protettidall’ISMS, siano stati precedentemente valutati sulla base di una scala ordinale qualitativa che ne esprimaIl grado di criticità (Ca) nei confronti della Riservatezza, Integrità e Disponibilità.
La criticità Contestuale, di un evento si calcola mediante la seguente formula:
Cc(Cp,Ca) = Cp x Ca
Dove: Cc = Criticità ContestualeCp = Criticità PotenzialeCa = Criticità dell’asset esprimente un giudizio sommativo sulla sensibilità RID.
Generazione di un allarme in base al livello di criticità dell’evento rilevato
La classificazione degli allarmi di sicurezza attribuisce a ciascun evento segnalato un Codice progressivo,che esprime in termini qualitativi il grado di criticità dell’allarme, ricavato dal valore di Criticità Contestuale dell’evento che lo ha generato
CcDa a1 2 13 5 26 8 39 11 412 15 5
Alert Level
i valori riportati sono stati ottenuti considerando Ca ∈ [1,3]
Generazione dello stato generale di allarme: DEFCON
Il codice DEFCON definisce lo stato di allarme (condizione di difesa) che ciascuna struttura organizzativa, coinvolta nel processo di gestione degli incidenti, deve assumere a seguito di un allarme di sicurezza.
CcDa a1 2 13 5 26 8 39 11 412 15 5
Alert Level DEFOCON
1
2
3
La codifica DEFCON consente di proceduralizzare le attività di gestione dell’incidente, ripartendocompetenza e responsabilità. I codici DEFCON risultano particolarmente utili nella gestione delle escalation decisionali, durante la gestione di incidenti di sicurezza con rilevanti impatti sul patrimonio informatico e/o
sulla qualità/continuità del servizio
Low Medium High
Medium
Gestione degli allarmi ed escalation di responsabilitàHigh
Low
Live
llo d
i def
iniz
ione
alla
rme
Livello di criticità del contesto
L’allarme può essere gestito dagli operatori attraverso una procedura predefinita
Le strategie di gestione dell’allarme devono essereapprovate dal Responsabile dell’unità di crisi
Le strategie di gestione dell’allarme devono essereapprovate dal Management
Gestione delle attività di analisi post incidente
Rapporto delle attivitàdi pronto intervento
Segnalazione di allarme Analisi di constatazionedel danno
Raccolta delle evidenzee quantificazione del danno
Piano Investigativodi primo livello
(rilevamenti tecnologici)
Report analiticodell’incidente
Pano di ripristinodelle condizioni
standard
Valutazione del grado di efficacia/efficienza del processo di gestione degli incidentiElenco dei dati elementari
Numero complessivo di segnalazioni ricevute (ISS)Numero complessivo di falsi positivi rilevati (IFP)Numero degli allarmi generati, raggruppati per grado di criticità (INAC)Numero complessivo di allarmi generati, (INA)Numero complessivo delle attività di pronto intervento intraprese con successo (IPS)Numero complessivo delle attività di pronto intervento intraprese con insuccesso (IPI)Numero complessivo di tentativi di violazione rilevati (ITV)Numero complessivo di violazioni accertate (IVA)Numero complessivo dei danni alle infrastrutture informatiche e tecnologiche subite (IDT)Tempi medi di chiusura dell’incidente di sicurezza (IMED)Tempi minimi di chiusura dell’incidente di sicurezza (IMIN)Tempi massimi di chiusura dell’incidente di sicurezza (IMAX)Numero complessivo dei piani di ripristino emessi a seguito degli incidenti (IPT)Numero complessivo dei piani di ripristino sospesi (IPO)Numero complessivo dei piani di ripristino conclusi o in corso d’opera (IPC)Somma complessiva delle giornate uomo dichiarate nei piani di ripristino (ITOT)
Esempi di KPI per l’analisi qualitativa del processo di gestione degli incidenti
Efficienza del processo di rilevamento e gestione degli incidenti (EffGi)
Si calcola sulla base del rapporto percentuale tra il numero complessivo di segnalazioni ricevute ed il numero complessivo di allarmi generati
(EffGi =(INA * 100 / ISS));
Efficacia del processo di rilevamento e gestione degli incidenti (EfcGi)
Si calcola sulla base del rapporto percentuale tra il numero complessivo di allarmi generati ed il numero complessivo di attività di pronto intervento intraprese con successo
(EfcGi = (IPS * 100 / INA));
Esempi di KPI per l’analisi qualitativa del processo di gestione degli incidenti
Affidabilità dei sistemi di rilevamento degli eventi critici (AffRe)
Si calcola sulla base del rapporto percentuale tra il numero complessivo di segnalazioni ricevute ed il numero complessivo di falsi positivi riscontrati
(AffRe =(IFP * 100 / ISS));
Efficienza del processo di ripristino/miglioramento della sicurezza (EfcIS)
Si calcola sulla base del rapporto percentuale tra il numero complessivo dei piani di rientro emessi a seguito di incidenti (IPT), ed il numero complessivo dei piani di rientro conclusi
o in corso d’opera (IPC)
(EfcIS = (IPC * 100 / IPT));
Grazie per l’attenzione e…Grazie per l’attenzione e…
Buone Feste a tuttiBuone Feste a tutti