Scarica numero di ED Link - Elsag Datamat

More documents

Recommendations

Info

COVER STORY da/from pag. 1 IL SECURITY OPERATION CENTER DI ELSAG DATAMAT THE ELSAG DATAMAT SECURITY OPERATION CENTER Se l’uso di tali prodotti software è irrinunciabile, è tuttavia fondamentale l’apporto fornito dal personale del SOC, che con la sua esperienza e professionalità è in grado di governare in maniera appropriata il processo di analisi. Al monitoraggio deve affiancarsi una costante attività di “security intelligence”, ovvero un’azione continua di aggiornamento delle vulnerabilità e delle nuove tecniche di attacco: due processi complementari ed entrambi determinanti per il raggiungimento dell’obiettivo. Con la locuzione “security devices management” viene identificata la seconda macro-area, quella relativa alla gestione dei dispositivi di sicurezza. Una delle attività principali del nostro SOC è di amministrare da remoto (oltre che, all’occorrenza, con interventi on site) i dispositivi di sicurezza del cliente. È questo uno degli aspetti fondamentali della cosiddetta “sicurezza gestita”: il cliente viene liberato dall’onere della gestione diretta dei dispositivi e dalla necessità di disporre al proprio interno di figure specializzate in materia (un ruolo, quello dello specialista di sicurezza, che ha le proprie peculiarità e che molto difficilmente può essere unificato tout-court con il sistemista di rete o il responsabile IT). Tutta l’attività di gestione ruota attorno al concetto di “policy”, ovvero alle regole che vengono applicate nella configurazione degli apparati di sicurezza, le quali sono implementate tenendo conto delle politiche di alto livello definite dalla direzione dell’azienda/organizzazione, delle best practice di settore e dell’esperienza acquisita dagli operatori. Riferen- The services provided by the Elsag Datamat Security Operation Center can be classified into three macro areas: real time network monitoring, security device management and IT incident management. Let’s look at them in this order. Real time device monitoring refers to the real time control of events occurring in a network, in order to identify possible security violations or potentially dangerous or suspect actions. In this area the support provided by vertical tools is essential to gather and analyse events occurring continuously in the network (mainly logs), in order to identify possible threats. But while the use of these software products is vital, the support offered by SOC personnel is also essential, providing the experience and professional skill needed to manage the analysis process correctly. Monitoring must be accompanied by constant security intelligence activities, involving continuous upgrading to protect against vulnerabilities and new attack techniques. These two complementary processes are both essential to achieve the objective. Security devices management is the second macro area. One of the main activities of our SOC is the remote administration of customer security devices (with on-site intervention where necessary). This a key aspect of “managed security”: customers are freed of the burden of managing devices themselves and the need to employ specialists (whose services dosi alle policy di sicurezza, si parla giustamente non soltanto di “policy management”, ovvero del processo di gestione continuativa delle stesse, ma anche di “policy enforcement”, cioè dell’applicazione centralizzata (e in qualche modo “forzata”) delle regole definite a tutto il perimetro dell’organizzazione. Ultima delle tre macro-aree nelle quali abbiamo schematizzato l’operatività del Security Operation Center di Elsag Datamat è quella della gestione degli incidenti. Per una migliore comprensione del concetto d’incidente informatico prendiamo a prestito la definizione utilizzata nella norma internazionale ISO/IEC 18044 (definizione assorbita anche da norme più note quali la ISO 27001) che lo descrive come “un evento o una serie di eventi non voluti o inattesi di sicurezza informatica, i quali hanno una significativa probabilità di compromettere le operazioni di business e di costituire una minaccia per la sicurezza delle informazioni”. Dalla definizione si evince la stretta correlazione del concetto d’incidente informatico con il processo di analisi degli eventi di sicurezza precedentemente descritto. Il processo di gestione degli incidenti informatici è usualmente suddiviso – e tale schematizzazione è ormai consolidata nella letteratura di settore – in quattro sotto-processi, ovvero: incident identification, che consiste nell’individuazione di potenziali attività “maliziose” in corso; incident classification, ovvero la classificazione del livello di criticità della minaccia associata all’evento in corso al fine di individuarne la tipologia e identificare il target dell’attacco; incident notification, cioè la comunicazione dell’incidente all’interno dell’organizzazione di riferimento (in particolare, nell’ambito del “computer security emergency response team”, un gruppo di esperti appositamente costituito per la gestione di situazioni critiche o di emergenza); “response & containment”, che consiste nell’individuazione delle appropriate strategie di contenimento e di reazione all’incidente in corso al fine di limitarne l’impatto sui sistemi e sui servizi. È comunque riduttivo identificare l’attività del nostro SOC esclusivamente nei processi che abbiamo descritto. Tipicamente, infatti, viene fornita una vasta serie di servizi “complementari” a quelli descritti ma non di minor importanza: dalla 8
9 cannot automatically be provided by network engineers or IT managers). All management activity is based on policies or rules which are applied during security equipment configuration and implemented, taking account of the high level policies defined by the management of the company/organisation in question, of best practices in the sector, and of the experience gained by operators. The security policy area covers not only constant policy management, but also policy enforcement, or the centralised (and to a certain extent forced) management of the rules defined across the entire organisation. The last of the three macro areas into which we have divided Elsag Datamat Security Operation Center activities is incident management. To better understand the concept of IT incident, let’s borrow the definition used by international standard ISO/IEC 18044 (and by better known regulations such as ISO 27001), which describes it as “an undesired or unexpected IT security event (or series of events), which has a significant probability of compromising business operations and of representing a threat for information security”. The definition reveals the close correlation of the concept of IT incident with the security event analysis process described above. The IT incident management process is usually divided into four subprocesses (this model is now consolidated in sector literature): incident identification, which entails the identification of potentially “malicious” activities in progress; incident classification, or the classification of the level of criticality of the threat associated with the incident, in order to identify the type and target of the attack; incident notification, or the communication of the incident inside the organisation involved (specifically to the computer security emergency response team, a group of experts set up to manage critical situations or emergencies); response & containment, to identify the appropriate containment and reaction strategies to adopt in relation to the incident in progress, in order to limit its impact on systems and services. valutazione del livello di sicurezza di una rete alla consulenza, all’analisi forense (raccolta e conservazione delle prove digitali ed elettroniche mediante tecniche in grado di preservare la validità probatoria delle evidenze). Quello della sicurezza applicativa, dunque, costituisce uno dei temi con i quali il modello metodologico del Security Operation Center dovrà probabilmente confrontarsi nel prossimo futuro. L’esperienza degli ultimi anni ha mostrato come una rete concettualmente “sicura” dal punto di vista del network possa essere in realtà esposta ad attacchi di tipo applicativo, messi in atto utilizzando una miriade di tecniche che sfruttano le vulnerabilità che vengono continuamente scoperte e che affliggono tutti i prodotti software. È ben nota la frase di Bruce Schneier, uno dei massimi esperti mondiali nel campo della sicurezza, secondo cui questa non può essere identificata in uno o più prodotti commerciali, ma occorre che sia sostenuta da appropriate metodologie e processi. Tale assunto, oltre a essere universalmente applicabile a tutti gli aspetti della sicurezza informatica, è tanto più vero se si parla di sicurezza applicativa: se s’intende realizzare un software sicuro, è necessario revisionare profondamente lo stesso processo di scrittura del codice ed estendere le nuove metodologie all’intero ciclo di vita delle applicazioni. Non a caso, questo tema è stato il filo conduttore della quinta edizione del “Security forum”, l’evento organizzato annualmente a Pescara da Elsag Datamat e aperto a tutti i security e IT manager del Gruppo Finmeccanica nonché ai loro principali clienti e partner, svoltosi il 19 e 20 ottobre. Gestire prontamente il cambiamento, adottare metodologie moderne ed efficaci, consolidare e ampliare gli skill: sono queste le sfide che, nell’ambito del SOC, vengono quotidianamente affrontate con impegno e passione per garantire la sicurezza delle informazioni dei nostri clienti. Marco Piretti Responsabile Project Management, Delivery & Post Sales - Business Unit Cyber Security, Elsag Datamat EDLINK 4 2010 This description of the SOC is, however, reductive because in fact a huge range of complementary services are provided which are no less important, including network security assessment, consultancy and forensic analysis (collection and conservation of digital evidence using techniques that preserve its legal value). Applications security is one of the issues it looks certain the Security Operation Center will have to deal with in the near future. Experience gained in recent years has taught us that a conceptually “secure” network may in fact be open to applications based attacks, launched using numerous techniques that exploit the vulnerabilities which are constantly being discovered and afflict all software producers. According to Bruce Schneier, one of the world’s top security experts, this approach cannot be implemented by one or more commercial products, but needs the support of the right methods and processes. As well as being applicable to all aspects of IT security, this is even truer in terms of applications security. To produce secure software, the process of writing code needs to be reviewed in depth and these new methods applied to the entire applications life cycle. It is no coincidence that this was the main subject of the fifth Security Forum held on October 19th and 20th, an event organised annually in Pescara by Elsag Datamat and open to all Finmeccanica Group security and IT managers, as well as to their main customers and partners. Promptly managing change, adopting modern, effective methods, and consolidating and multiplying skills: these are the challenges faced daily by SOC with commitment and enthusiasm to ensure that our customers’ information is secure. Marco Piretti Manager of the Project Management, Delivery & Post Sales - Business Unit Cyber Security, Elsag Datamat
Page 1: EDLink 37 Il Security Operation Cen
Page 4 and 5: EDITORIAL PASSATO, PRESENTE E FUTUR
Page 6 and 7: EDITORIAL È indubbio che, in quest
Page 10 and 11: SUCCESS STORY ELSAG DATAMAT SI AGGI
Page 12 and 13: SUCCESS STORY La nostra tecnologia
Page 14 and 15: TECHNOLOGY La sempre piu pressante
Page 16 and 17: TECHNOLOGY UNA RIVOLUZIONE NELLA VI
Page 18 and 19: TECHNOLOGY descrivere eventi e situ
Page 20 and 21: TECHNOLOGY grado di costruire dei m
Page 22 and 23: TECHNOLOGY Developed by I.Log and M
Page 24 and 25: TECHNOLOGY L’INNOVAZIONE AL SERVI
Page 26 and 27: statistical plane (statistical, epi
Page 28 and 29: TECHNOLOGY pSHIELD will involve col
Page 30 and 31: FOCUS L’importanza delle tecnolog
Page 32 and 33: FOCUS È proprio per questi motivi
Page 34 and 35: EVENTS Aerei in evoluzione sopra l
Page 36 and 37: EVENTS protezione di un porto (area
Page 38 and 39: EVENTS confronti delle potenzialit
Page 40 and 41: EVENTS MOBILITY TECH Anche quest’
Page 42 and 43: ELSAG DATAMAT WORLD UN NUOVO TOOL P
Page 44 and 45: DID YOU KNOW... CREDERE SEMPRE IN S
Page 46 and 47: DID YOU KNOW... Palazzo Reale a Gen

Scarica numero di ED Link - Elsag Datamat

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?