1 / 23

Risk Management: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring

Risk Management: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring. Silvio Castorina ET Enterprise Technologies. Grazie per la Vostra attenzione alle esperienze di ET-1Audit. Sono amministratore delegato di ET Enterprise Technologies

deron
Download Presentation

Risk Management: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Risk Management: ridurre la INSICUREZZA mediante la integrazione dei dati di monitoring Silvio Castorina ET Enterprise Technologies

  2. Grazie per la Vostra attenzione alle esperienze di ET-1Audit. Sono amministratore delegato di ET Enterprise Technologies e mi occupo di "Sviluppo Strategie" e "Obiettivi Marketing". Subito dopo parlerà il Dr Mario Sestito, che in Iccrea Banca si occupa di sicurezza logica ed è responsabile della continuità operativa. Non credo nel concetto di sicurezza, credo invece in quello di insicurezza. Mi pare una differenza sostanziale. In concreto sarebbe vano rincorrere una sicurezza che (se mai esistita nella IT) non potrà esserci restituita interamente. Tentiamo invece di allontanare il più possibile da noi quella insicurezza che è, davvero, scientificamente osservabile e – per fortuna – anche efficacemente contrastabile. "Quand'ero vecchio", da tecnico IT, sono stato ben pagato da grandissimi Centri per aumentare la disponibilità dei sistemi e quindi, inevitabilmente, anche aumentarne l’insicurezza. (Disponibilità in senso classico e architetturale). E' il famoso "Terzo Principio Termodinamico", antico ma in perfetta armonia con l’odierna fisica quantistica. Le due grandezze sono condannate a variare con il medesimo segno algebrico, di tal ché: DDisponibilità x DInsicurezza > 0 (Però il Monitoring può, lui solo, sfuggire a questo terribile vincolo). Questo intervento è principalmente dedicato al tema "Accrescere il monitoring di base degli accessi".

  3. The Power to Monitor The Power to Enforce Il prodotto ET-1Audit realizzato per i mainframes z/OS e z/Linux e per i sistemi aperti consente una visione unica della sicurezza di architetture così disomogenee ... ... e consente anche di controllare quel che altrimenti non si controllerebbe. ET-1Audit By ET Enterprise Technologies

  4. L’architettura di ET-1Audit consente che i vari “motori” siano personalizzati con la complessità esattamente necessaria. Perciò una volta tanto è ragionevole prima installare, poi sperimentare ed infine pianificare. Per i primi tempi la Direzione Commerciale vi rinvierà con un sorriso alla Direzione Tecnologica. The ET-1Audit Plug-and-Plan Program ET-1Audit By ET Enterprise Technologies

  5. Attenzione alle pubblicità ingannevoli! ET-1Audit: il primo prodotto per ringiovanire disponibile su piattaforma z/OS ... Mentono entrambi sull’età. Con queste bugie non solo si forniscono nuove occasioni di incomprensione coniugale, ma siccome il prezzo di listino di ET-1Audit non è alla portata di tutte le famiglie, di fatto si stimola la criminalità economica

  6. The Security Software Knights(tra poche slides ...)Anche la domenica, sugli argini del Po, tutte le strutture ETvigilano sulla correttezza dei bonifici in partenza dalle banche che hanno installato ET-1Audit

  7. ET Enterprise Technologies • Ideazione, disegno, realizzazione, distribuzione e supporto di prodotti software • Verifica della affidabilità: sicurezza, funzionalità e prestazioni • Integrazione di: sistemi, sicurezza e monitoring • Auditing, formazione e consulenza • Realizzazioni speciali

  8. ET Enterprise Technologies Security Solutions Mainframe, Sistemi Dipartimentali, Rete, Applicazioni • Consulenza: • Disegno e Pianificazione • Implementazione • Integrazione • Assessment • Formazione • Third Party Software • Sviluppo di Software: • ET-1Audit e sue eventuali estensioni ad hoc • Strumenti per l’integrazione • Nuovi annunci imminenti

  9. Case Study Obiettivo n° 1 Integrazione dei dati di monitoring e realizzazione di un filtraggio intelligente Sull’argomento non occorrerebbe spendere alcuna parola. Tutti sanno che, in assenza di un prodotto quale ET-1Audit, occorrerebbe tener dietro a decine di reports, assolutamente disomogenei e incorrelati, con la chimera di avere informazioni affidabili su quello che è avvenuto (chissà quanto tempo fa!) ET-1Audit fornisce un Audit Data Model unificato, regole enterprise-wide, un repository su DB2 in formato documentato, API per qualsiasi necessità ... La prossima slide mostra un report HTML che integra dati z/OS, Linux e MS/Windows. Il Webserver è del sistema z/OS di ET Enterprise Technologies. La struttura dell'integrazione è quella in corso di personalizzazione in collaborazione con una primaria holding bancaria, che ha installato ET-1Audit su uno dei suoi sistemi.

  10. Case Study Obiettivo n° 2 Implementazione di un super-monitoring sugli accessi ad un determinato database fondato sul cambiamento di valore di alcuni campi Indipendentemente dall’Access Control e dell’eventuale sicurezza applicativa generare automaticamente alerts e/o azioni bloccanti (in base a regole aziendali personalizzabili e dinamiche) quando stanno per essere completate transazioni da ritenersi abnormi in funzione di determinati parametri. Ad esempio un assegno di 300 € che dà origine ad un bonifico su estero di 30 mln di €. E’ la storia raccontata nelle slides sui Security Software Knights (il tecnico ed il saggio) Come chiedere ad ET-1Audit un simile monitoring? Con una regola come questa: SELECT (DB(DB2PROD*(BONIFIC*)) ACCESS(UPDATE) ENVIRONMENT(ALL) ACTION(REDALARM,COLLECT) WHEN(AS AFTERIMAGE(TAB1,INOLTRO)>1000000) )

  11. The Security Software Knightsovvero: come impedire che il primo assegno si trasformi nel secondo (tra poche slides) Cassa di Sovvenzione e Risparmio dei Consulenti Informatici di Via Lorenzo Valla 300 € Trecento Mammoth Islands Imperial Bank 30.000.000 € Thirty Million

  12. This was the night landscape before ET-1Audit ...

  13. ET-1Audit Global View

  14. C’era una volta un CTO preoccupato per la sicurezza ... Nessuno può immaginarlo. Mi fa piacere sapere di non essere il solo. Cosa c’è oltre l’immaginabile? Dipende. Se fossi ottimista direi entrambi. La sicurezza IT è un costo o un beneficio? Dipende. Se fossi ottimista direi entrambi. La sicurezza IT è parte dell’architettura o è un add-on? Sì! Dove i sistemi sono tutti guasti contemporaneamente. Può esistere da qualche parte una sicurezza informatica piena?

  15. La fatica di Sisifo Perchè tutti i sistemi devono rispondere ad esigenze di affidabilità, disponibilità e efficienza ... Affidabilità ed efficienza si basano sulla sicurezza, ma la disponibilità è esattamente all’opposto. Come fai a sapere che la sicurezza totale non esiste? Più sicurezza garantiamo, più rendiamo difficile aumentare la disponibilità. Così lavoreremo sempre per una sicurezza che non raggiungeremo mai? Beh, mentre tu lavori per aumentare la sicurezza del sistema, qualcun altro lavora per aumentarne la disponibilità. Mi fa piacere sapere di non essere il solo.

  16. I quattro elementi Una volta avevo come amico un CTO, che poi è diventato saggio come me... Tutto è impermanente. Ma i quattro elementi della IT Security, a parte l’organizzazione e le procedure, non cambieranno MAI .... Dove hai imparato tutto questo? • Una solida architettura di sistema • Un Access Control accurato • Un’efficiente sicurezza applicativa • Un monitoring intelligente Ci si potrebbe chiedere: a che pro il monitoring se esiste già il controllo accessi? Il controllo dei controlli... Mi fa piacere sapere di non essere il solo a desiderarlo. Perchè è il controllo dei controlli... E può essere veramente completo senza ostacolare la disponibilità dei sistemi.

  17. Vero, vero, vero, falso E’ vero. Non puoi violare l’integrità a meno che tu non possa modificare una libreria autorizzata. E’ vero. Esistono prodotti con cui proteggere anche le risorse virtuali. E’ un po’ impegnativo ma funziona. E’ vero che l’MVS ha una architettura solida? E’ vero che l’MVS permette un controllo accessi accurato? E’ vero. Chi sviluppa può costruire i propri livelli di sicurezza che poi dovrebbero essere integrati con il controllo accessi di sistema. E’ molto impegnativo ma funziona. E’ vero che l’MVS consente una sicurezza a livello applicativo efficiente? Allora è vero che il monitoring intelligente può identificare errori di definizione, non certo attacchi veri e propri, che sono comunque impossibili... Falso! Sicuramente l’MVS è connesso ad ambienti non sicuri: perciò alcuni attacchi potrebbero non essere identificati. Solo un monitoring intelligente può farlo! Non ci posso credere! Adesso ti racconto una storia ...

  18. Un job SMP da 30 mln di € ... di un 54enne e della sua amica di 27 anni. Lei pretendeva che lui comprasse un attico a Portofino e altri beni di lusso. Servivano 30 mln di €. Perciò ha attaccato l’MVS della banca. Che storia? E come ha fatto a trasferire all’estero i 30 mln di €? Li ha trasferiti dal suo conto. Non li aveva...ma 2 settimane prima aveva modificato il programma applicativo. Solo per il suo c/c l’importo della transazione sarebbe stato moltiplicato per 100.000 dopo aver controllato il residuo. Ha dovuto modificare le librerie dei programmi applicativi? Come ha fatto ad attaccare il nucleo MVS? Era un sistemista? Non è stato necessario. Ha fatto in modo che l’MVS program loader alterasse in memoria il programma caricato. Per fare ciò ha applicato una sua USERMOD al sistema. In realtà è stato il sistemista della banca ad eseguire il suo job.

  19. Virus messaggero d’amore Affatto! Il job è stato sottomesso da un virus che aveva infettato il pc del sistemista. Ci sono voluti 20’ per scegliere su internet il virus, e 2 ore di attesa che il sistemista navigasse su internet. Non ci posso credere! Il sistemista era un complice? Come può una banca proteggere meglio l’MVS? Con il monitoring intelligente e con prodotti capaci di generare alert in real-time ogni volta che vengono eseguite transazioni “abnormi”, anche se regolarmente autorizzate. A proposito... l’uomo e la ragazza vissero felici e contenti? Le donne vogliono sempre appartamenti troppo belli. Mi consola non sentirmi il solo... Beh, i 30 mln di € finirono presto, ma lei guadagna benino insegnando sicurezza informatica.

  20. Niente telecamere? Primo perchè non ha senso che un programma controlli da se stesso la propria integrità in memoria. Secondo perchè il monitoring intelligente deve essere guidato da regole aziendali e non da logiche applicative disperse e facilmente aggirabili. Perchè sostieni che è indispensabile un monitoring intelligente? Capisco che l’access control non basta, ma perchè non parli dell’ application security? Terzo perchè in qualunque area e materia i risultati dei controlli vanno sempre osservati e misurati. So che esistono prodotti di monitoring per i sistemi aperti, che cercano soprattutto di capire cosa avviene in rete. Sarà stato inventato qualche tool potente specialmente per il mainframe MVS ? Sissignore! Ma può aiutare anche chi compra bond destinati a perdere ogni valore? Perchè no? Se fosse stato installato in tutti i centri che hanno ospitato transazioni “abnormi” ...

  21. Sono d’accordo con te. Mi fa piacere sapere di non essere il solo a pensarlo.

More Related