cdx live fire feb 2015 small
TRANSCRIPT
-
8/15/2019 Cdx Live Fire Feb 2015 Small
1/60
NON CLASSIFICATO
CYBER DEFENCE E SIMULAZIONI LIVE-FIRE :
un approccio organizzativo e tecnico
Seminario M aster in Sicurezza I nformaticaDi partimento di I nformatica dell 'Universitá di Roma " La Sapienza"
3 febbraio 2015
Ten.Col. M arco DE FALCOUfficio Sicurezza
Comando C4 Di fesa
Gen. B. Umberto M aria CASTEL L IComandante del
Comando C4 Di fesa
-
8/15/2019 Cdx Live Fire Feb 2015 Small
2/60
NON CLASSIFICATO
• Il Comando C4 Difesa• Esercitazioni di CD in ambito nazionale e NATO
• L'esercitazione "Locked Shields 2014"
• Evoluzioni CD
2
Sommario
CYBER DEFENCE E SIMULAZIONI LIVE-FIRE :
un approccio organizzativo e tecnico
-
8/15/2019 Cdx Live Fire Feb 2015 Small
3/60
NON CLASSIFICATO
L'acronimo " C4 " sta per:
• C ommand
• C ontrol• C ommunication• C omputer systems
Massimo organo tecnico operativoin ambito Interforze
IL COMANDO C4 DIFESA
-
8/15/2019 Cdx Live Fire Feb 2015 Small
4/60
NON CLASSIFICATO
Comando C4 Difesa
IL COMANDO C4 DIFESAUBICAZIONE
-
8/15/2019 Cdx Live Fire Feb 2015 Small
5/60
NON CLASSIFICATO
• Garantire il corretto funzionamento dei sistemi ICT e deiservizi applicativi per le F.A. e l’Area di Vertice Interforze(SMD, SGD, Direzioni Generali, Add. Militari, Magistratura Militare ):
SIV, SIV2, SISAD, SIPAD, INFOGEST, SIAC, ETC• Assicurare servizi di connettività (RIFON, AERNI, DIFENET,
INTERNET ) e servizi «core» alle F.A. (DNS, Foresta diDominio , Identity Management, etc)
• Gestire la sicurezza delle reti e dei sistemi interforze (configurazione servizi/apparati di sicurezza, monitoring, incidenthandling, vulnerability / risk assessment )
• Fornire supporto all’utenza dei sistemi di cui sopra (“helpdesk”)
IL COMANDO C4 DIFESACOMPITI ISTITUZIONALI
http://localhost/var/www/apps/conversion/tmp/bona-bionda.jpg
-
8/15/2019 Cdx Live Fire Feb 2015 Small
6/60
NON CLASSIFICATO
6
• SIPAD
• GOPERS• WEB ACCESSI• SIRACC• CMD• ePASS
Personale
• SIV 1• SIV 2• INFOGEST• MEF• SACS• SICOS
Economici efinanziari
• SISPAS• SISAD• SDO
Sanità
• GEPADD• SIAC• SILAD
Logistica
• Prot.inf SMD• SIGMIL• WISE• Portale tecnico C4
Documentale
33 Sistemi
Comuni
GEIRD IAM TFS Tab.Ti.Dife
Per un totale di 13.000 utenti
•SISDEV
Analisi e Supportoalle decisioni
• INFOCIV• IMPERS• SICAD• ITAP• SIAFA• MEF
IL COMANDO C4 DIFESASISTEMI INFORMATIVI GESTIONALI
-
8/15/2019 Cdx Live Fire Feb 2015 Small
7/60
NON CLASSIFICATO
UFFICIO RETI ESERVIZI
D’INFRASTRUTTURA
COMANDANTE C4D
UFFICIOASSISTENZA
UTENTI
UFFICIO SISTEMIINFORMATIVI
CENTRALIZZATI
UFFICIOSICUREZZA
UFFICIO SUPPORTO GENERALEE PERSONALE SERVIZIO AMMINISTRATIVO
SICRAL
Vice ComandanteUFFICIO
PROGETTI E REQUISITI
Capo Rep. VI SMD
IL COMANDO C4 DIFESASTRUTTURA ORDINATIVA
MODELING &SIMULATION CoE
-
8/15/2019 Cdx Live Fire Feb 2015 Small
8/60
NON CLASSIFICATO
SMD-6
NetworkOperationCenter
NOC
InformationOperationCenter
IOC
CyberDefence
CERT
SOC
Modelling&
SimulationCoE
CONTROL ROOM/CALL CENTER
NETWORKINGMANAGEMENT
SERVICES
Comando C4 DifesaCYBER
SECURITY
Centro dicontrollo e
gestioneSICRAL
IL COMANDO C4 DIFESACOMPONENTI CAPACITIVE
-
8/15/2019 Cdx Live Fire Feb 2015 Small
9/60
NON CLASSIFICATO
Seminario M aster in Sicurezza I nformaticaDi partimento di I nformatica dell 'Universitá di Roma " La Sapienza"
3 febbraio 2015
Ten.Col. M arco DE FALCOUfficio Sicurezza
Comando C4 Di fesa
-
8/15/2019 Cdx Live Fire Feb 2015 Small
10/60
NON CLASSIFICATO
UFFICIO RETI ESERVIZI
D’INFRASTRUTTURA
COMANDANTE C4D
UFFICIOASSISTENZA
UTENTI
UFFICIO SISTEMIINFORMATIVI
CENTRALIZZATI
UFFICIOSICUREZZA
UFFICIO SUPPORTO GENERALEE PERSONALE SERVIZIO AMMINISTRATIVO
SICRAL
Vice ComandanteUFFICIO
PROGETTI E REQUISITI
Capo Rep. VI SMD
IL COMANDO C4 DIFESAUFFICI TECNICI
MODELING &SIMULATION CoE
-
8/15/2019 Cdx Live Fire Feb 2015 Small
11/60
NON CLASSIFICATO
UFFICIO RETI ESERVIZI
D’INFRASTRUTTURA
UFFICIOSICUREZZA
SEZIONE SERVIZI,INFRASTRUTTURA EINTEROPERABILITA’
SEZIONE DIRETTIVE ECYBER DEFENCE
SEZIONE CERT
SEZIONE CONTROLLIDI SICUREZZA
SEZIONE PKI (CMD)
UFFICI ATTINENTI LACYBER SECURITY
SEZIONE SISTEMICLASSIFICATI
• ANTIVIRUS• ANTISPAM / MAIL FILTERING• WEB CONTENT FILTERING• WEB APPLICATION FIREWALLS• USER POLICIES ENFORCING (GPO)
• FIREWALLS• VPN MANAGEMENT• INTRUSION DETECTION SYSTEMS• INTRUSION PREVENTION SYSTEMS• SIEM (EVENT CORRELATION)• TRAFFIC SHAPERS
• INCIDENT HANDLING
• SECURITY EVALUATIONS• PENTESTING• RISK ASSESSMENT
• PKI (AUTHENTICATION)
IL COMANDO C4 DIFESASTRUTTURA ORDINATIVA
O C ASS CA O
-
8/15/2019 Cdx Live Fire Feb 2015 Small
12/60
NON CLASSIFICATO
Computer Emergency Response Team (CERT) :con funzioni di Technical Center per ilcoordinamento dei CERT del dominio Difesa.
Raccogliere segnalazioni di incidenti evulnerabilità sistemi informatici.Direttiva SMD-I- 013 Ed. 2008 “Procedure diRiposta agli Incidenti Informatici”IL COMANDANTE C4 DIFESA è responsabiledella sicurezza informatica per SMD
IL COMANDO C4 DIFESAIL CERT DIFESA
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
13/60
NON CLASSIFICATO
Esercitazioni di Cyber Defence (CDX)nazionali e NATO
Tipologia Caratteristiche Esempi
PROCEDURALE Esercitazione «a tavolino» dilivello concettuale
CYBER EUROPE
SEMI PROCEDURALE Esercitazione proceduralecon alcuni injects di tipo reale
CYBER COALITION
"LIVE-FIRE" Massimo livello di realismo,riproduzione fedele dellesituazioni ed uso di strumentireali
LOCKED SHIELDSLOCKED SHIELDS
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
14/60
NON CLASSIFICATO
Tallinn
Roma
EstoniaRussia
Finlandia
Svezia
Lettonia
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
15/60
NON CLASSIFICATO
• un’entità attualmente finanziata e composta da 14“Sponsoring Nations” ( Estonia, Francia, Germania,Inghilterra, Italia, Lettonia, Lituania, Olanda, RepubblicaCeca, Repubblica Slovacca, Spagna, Ungheria, Polonia eStati Uniti).
• ufficialmente accreditato come Centro di Eccellenza NATO(NATO CoE) sin dal 28 Ottobre 2008
• diretto e investito delle attività da effettuare da uno“Steering Committee” multinazionale composto dalle sopra
menzionate 14 Nazioni, aventi uguale diritto di voto
Il Centro di Eccellenza per la DifesaCooperativa nei conflitti informatici (CCDCoE)
è
Esercitazioni di CD in ambito NATO:Il Cooperative Cyber Defence Centre o f Excellence
-
8/15/2019 Cdx Live Fire Feb 2015 Small
16/60
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
17/60
NON CLASSIFICATO
Esercitazioni CDX “Locked Shields” (“Live-fire Cyber Defense e Xercise ”)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
18/60
NON CLASSIFICATO
• Esercitazione tecnica di cyber defence (CDX) l ive f i r e di tipoBlue - Red :
- I Blue Teams (x12) devono mettere in sicurezza e difendereuna propria rete virtuale precostituita da circa 40 macchine,nelle quali sono presenti diverse vulnerabilità non dichiarate
- Il Red Team (x1, Tallinn) conduce attacchi informatici realicontro tutti i Blue Teams secondo un approccio “ white-box ”
• Organizzatori:
CCDCOE (Cooperative Cyber Defence Center of Excellence) ,Forze Armate estoni , Cyber Defence League estone , ForzeArmate finlandesi .
LOCKED SHIELDS 2014CONCEPT
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
19/60
NON CLASSIFICATO
• Oltre ai teams blue e red, sono presenti anche altri tipi disquadre:
- Legal Teams (1 x ogni Blue Team), sono un «sottoinsieme» deiblue teams, e forniscono consulenza legale al blue team diappartenenza
- White Team (x1, Tallinn), responsabile del controllo deipartecipanti, della corretta applicazione delle regole e delloscoring
- Green Team (x1, Tallinn), responsabile del setup e dellamanutenzione tecnica dell’infrastruttura esercitativa. Supporto tecnico fornito da Cisco, Clarified Networks, ClarifiedSecurity e Codenomicon.
LOCKED SHIELDS 2014CONCEPT
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
20/60
NON CLASSIFICATO
- Yellow Team (x1, Tallinn), responsabile della situationalawareness dell’esercitazione. Il suo compito è quello dianalizzare informazioni provenienti da diverse fonti e fornire unfeedback al White Team, al Red Team e ai Blue Team ("SAsolutions").
LOCKED SHIELDS 2014CONCEPT
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
21/60
NON CLASSIFICATO
BLUE_1 BLUE_2 BLUE_n
…
RED
ATTACKS
REPORTS
CONTROL
YELLOW
CO-OP
LEGAL
GREENWHITE
LEGAL LEGAL
Esercitazione “Locked Shields” Relazioni tra teams
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
22/60
NON CLASSIFICATO
RED TEAM
Esercitazione “Locked Shields” 2012 (“Live-fire Cyber Defense e Xercise ”)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
23/60
NON CLASSIFICATO
BLUE TEAM 1
Esercitazione “Locked Shields” 2013 (“Live-fire Cyber Defense e Xercise ”)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
24/60
NON CLASSIFICATO
BLUE TEAM 1
Esercitazione “Locked Shields” 2013 (“Live-fire Cyber Defense e Xercise ”)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
25/60
WHITE TEAM
Esercitazione “Locked Shields” 2013 (“Live-fire Cyber Defense e Xercise ”)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
26/60
• Gli scopi della CDX Locked Shields sono:1) rendere il personale tecnico delle nazioni partecipanti
preparato a sostenere e risolvere attacchi informaticiintensi e su larga scala, costringendolo anche afronteggiare imprevisti e a ricorrere a soluzioniinnovative ( workaround “out -of-the- box” );
2) abituare le nazioni alla cooperazione internazionalespinta e ad un proficuo scambio di informazioni;
3) sviluppare capacitá di gestione della comunicazioneverso i media durante le crisi informatiche;
4) sviluppare competenza professionale anche dal puntodi vista legale.
ESERCITAZIONI LOCKED SHIELDSFINALITA’
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
27/60
• Situazione fittizia aderente a casi reali (Estonia, NATO, etc.)• Ogni Blue Team rappresenta un Rapid Reaction Team
(RRT) della Berylia , una nazione da poco entrata nellaNATO la cui industria nazionale è molto conosciuta per l'esperienza nello sviluppo di droni militari miniaturizzati.
Il mandato dei RRT è quello di amministrare e difendere isistemi ICT di R&S delle industrie dei droni , rimastiinspiegabilmente privati dei propri "Chief admins" e postisotto attacco da movimenti antagonisti della tecnologiadrone. Da questi siti saranno governati remotamente droniche saranno presentati in una "live demo" al Dubai WorldDrone Expo .
LOCKED SHIELDS 2014SCENARIO (1/2)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
28/60
• Il Red Team rappresenta un gruppo di hacktivisti conosciuto come NoForRobots! (NFR) che sostiene lalotta contro la tecnologia dei droni.Il loro intento è quello di attaccare e degradare i sistemiinformatici delle industrie dei droni, allo scopo dicausare un grave danno di immagine (Dubai Expo) e/odi compromettere i segreti industriali a danno dellaBerylia. E' possibile che l' NFR sia sponsorizzato dallaCrimsonia , una nazione rivale della Berylia.
• Quindi, nella pratica, i membri del Red Teamattaccheranno le reti dei Blue Teams , cercando disfruttare le vulnerabilità presenti.
LOCKED SHIELDS 2014SCENARIO (2/2)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
29/60
• Tutti gli ambienti di esercitazione sono implementati suinfrastrutture di virtualizzazione VMware vSphere v5.5 ,installate presso il CCDCOE e accedute dai playerstramite VPN su connettività Internet .
LOCKED SHIELDS 2014 AMBIENTE TECNICO
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
30/60
• I Blue Teams dovranno gestire una rete segmentata in untotale di 7 DMZ , nelle quali saranno presenti le seguentimacchine: - Routers Cisco
- Firewalls e gateways VPN basati su pfSense Linux- Workstations Windows XP, Windows 7 e Ubuntu- Controllers di dominio Windows- Servers web, DNS, SMTP, POP3, IMAP, FTP, SMB (su
piattaforma Windows e Linux)- Sistemi VoIP Cisco UCM- Tablets Android- Sistemi di videosorveglianza basati su IP cams
LOCKED SHIELDS 2014 AMBIENTE TECNICO
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
31/60
• Ogni Blue Team , da parte sua, deve:1) scoprire ed eliminare tutte le vulnerabilità presenti
nelle proprie reti nel minor tempo possibile (primache il Red Team riesca a sfruttarle);
2) gestire compromissioni di macchine non “patchate”in tempo o compromesse tramite vulnerabilitàapplicative web
3) rilevare e notificare attività malevole, anche di tipo“stealth” (high score!);
Attività di competenza (1/2)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
32/60
4) comunicare alle altre Blue Teams gli eventi diattacco secondo una corretta gestione dell’incidente ;
5) inviare periodicamente al White Teams SITREPs erisposte agli injects nel rispetto dei tempi imposti;
6) comunicare ai media gli eventi in corso secondo unacorretta gestione delle pubbliche relazioni;
7) fornire consulenza legale, tramite il proprio “LegalTeam”, riguardo a specifiche richieste inoltrate dalWhite Team. Il Legal Team verrà anche “interrogato”dal White Team per valutare la sua comprensionedegli aspetti tecnici!
Attività di competenza (2/2)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
33/60
I Blue Teams NON conoscono la configurazione dellemacchine dislocate nella propria rete ma solo unoschema topologico.
Circa una settimana prima dello svolgimento della CDX,vengono loro concessi due sessioni di 8 ore giornaliereper condurre i propri assessment e un DAY0 di test.Viene inoltre loro concessa la possibilità di installare dueVM proprietarie (max 8 vCPU, 8 GB RAM,100 GB disk).
Alla fine del DAY0 tutte le macchine (eccetto le VMproprietarie) vengono ripristinate alla loro configurazioneoriginale (ogni patch è quindi inutile prima del DAY1).
Attività di competenza (3/3)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
34/60
• Ogni Blue Team viene valutato in termini di punteggioin base alle attività effettivamente condotte in modo damotivarli e misurare i loro skills.
• La valutazione avviene in modo automatico tramitescoring bots e uno scoring server, supervisionata eintegrata/corretta dal White Team.
• TUTTE LE ATTIVITA’ DI COMPETENZAPRECEDENTEMENTE ELENCATE SONO OGGETTODI VALUTAZIONE!
Valutazione e punteggio
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
35/60
• Tecnici (configurazione, hardening, patching, detectione remediation):- Sistemisti Cisco IOS (routers) e Cisco UCM (VoIP)
- Sistemisti Windows (XP, 7, Active Directory)- Sistemisti Linux (workstation e server)- Web masters / developers (server-side scripts)
• Operatori per coordinamento di Incident Response (information sharing e incident reporting)
• Consulenti legali
• Addetti stampa per comunicazioni ai media
LOCKED SHIELDS 2014PROFILI E RUOLI RICHIESTI
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
36/60
• Firewall specialists• ISD/IPS "watchkeepers"• Windows system analysts
• Linux system analysts• Malware analysts (incident handlers)• Network specialists• Reporters• Web developers (interventi sui siti web, analisi
di vulnerabilità delle applicazioni web)• Esperti legali
• Public Information Officers
LOCKED SHIELDS 2014ORGANIZZAZIONE DEL BLUE TEAM ITALIANO
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
37/60
Esercitazione “Locked Shields” 2014 (“Live-fire Cyber Defense e Xercise ”)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
38/60
Esercitazione “Locked Shields” 2014 (“Live-fire Cyber Defense e Xercise ”)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
39/60
Posizione Nazione Punteggio Team
1 POLONIA 27603 BT 6
2 LETTONIA+REP.CECA 24966 BT 10
3 ESTONIA 22003 BT 4
4 AUSTRIA+LITUANIA 20663 BT 5
5 ITALIA 19644 BT 3
6 FINLANDIA 18666 BT 11
7 NATO (NCIRC) 16806 BT 1
8 TURCHIA 12024 BT 7
9 GERMANIA+OLANDA 10517 BT 2
10 UNGHERIA 9189 BT 8
11 FRANCIA 8047 BT 12
12 SPAGNA 6460 BT 9
LOCKED SHIELDS 2014CLASSIFICA FINALE GENERALE
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
40/60
LOCKED SHIELDS 2014PUNTEGGIO PER TEAM / TIPOLOGIA
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
41/60
ANALISI DEGLI EVENTI
LOCKED SHIELDS 2014CONSIDERAZIONI GENERALI
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
42/60
• Esercitazione nettamente piú complessadelle CDX procedurali e semi-proceduralie ancora più complessa della LS2013
• Scenario verosimile ma impegnativo
• L’esercitazione coniugava aspetti tecnicicyber e aspetti procedurali cyber, cosìcome aspetti non-cyber classici diesercitazioni convenzionali (“injects”)
LOCKED SHIELDS 2014CONSIDERAZIONI GENERALI
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
43/60
• "Patchare" tutto il possibile quanto prima possibile
• Non permettere ai firewall di inoltrare il trafficoinbound/outbound finquando le macchine non
risultino "patchate" ad un livello accettabile (anchese questo significa perdere punteggio per gli SLA)
• Tenere attivamente sotto monitoraggio le macchinein rete con scripts proprietari per rilevare IoCs
(indicatori di compromissione)• Se un positivo viene rilevato, scalare l'evento
immediatamente ad un analista con maggioreesperienza, che provvederà a relazionare i reporters
LOCKED SHIELDS 2014LA NOSTRA STRATEGIA
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
44/60
• Ambiente eccessivamente popolato da visitatori eosservatori esterni
• Carenza di expertise sulla parte VoIP e Android
• Non corretta valutazione importanza del buonfunzionamento delle workstations utente Windows eAndroid, causando punteggio negativo ad opera delle"blondes"!
• Non corretta gestione degli injects non tecnici (ops,media, legal) e delle attività di reporting, causa dipunteggi negativi in ragione di ritardi
LOCKED SHIELDS 2014PROBLEMATICHE RISCONTRATE
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
45/60
• Scarsa cooperazione con gli altri BTs(esempio della Polonia)
• Scarsa qualità SITREPs (esempio Germania)• Impossibilità a configurare la VM IDS
proprietaria (Snorby) compatibilmente all'incapsulamento ERSPAN, costringendoci
all'uso dell'IDS di pfSense "preconfezionato “,utile ma non sofisticato
LOCKED SHIELDS 2014PROBLEMATICHE RISCONTRATE
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
46/60
• Punteggio negativo più basso di tutti i BlueTeam di tipo "Attack" (attacchi portati a
segno), grazie a una buona strategia di difesa(regole sui firewall e patching)• Ottima configurazione dei router BGP
(definita dai giudici di gara " bri l lante ") che ciha permesso di difenderci con successo dalBGP hijacking
LOCKED SHIELDS 2014PUNTI DI FORZA
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
47/60
LOCKED SHIELDS 2014CONSIDERAZIONI FINALI
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
48/60
NECESSITA' DI:
• PIU' TEMPO!Abbiamo iniziato a prepararci con troppo ritardo,
nonostatnte il fatto di aver avuto lo stesso problemail precedente anno
• Essere più selettivi sul personale (players). E' benescegliere solo persone realmente ben preparate, epossibilmente già in possesso di esperienza dipartecipazione alle precedenti edizioni della LockedShields
• Disporre di POS e checklists ben definite, e di toolscollaudati e pronti all'uso che hanno dimostrato difunzionare bene (scripts)
LOCKED SHIELDS 2014CONSIDERAZIONI FINALI
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
49/60
• Essere PUNTUALI nelle risposte agli injects• Ricevere feedback accurati dal White Team
(esempi di come le cose dovrebbero esserefatte) per imparare a produrre buoni reports ebuone risposte agli injects
• Considerare ogni aspetto / dispositivodell'esercitazione senza eccezione per evitaresorprese
LOCKED SHIELDS 2014CONSIDERAZIONI FINALI
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
50/60
• Esercitazione sbilanciata a favore delRed Team
• Necessità di:- grande impegno comune- personale- skills di alto livello
- coordinamento- comunicazione- preparazione (tempo)
• Ottima opportunità di apprendimento
LOCKED SHIELDS 2014CONSIDERAZIONI FINALI
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
51/60
Comando C4 Difesa
• Piattaforma di simulazione (ambiente di virtualizzazione) e locali difruizione presso il Comando C4 Difesa
• Coniugazione di risorse elaborative virtuali (VMs) e reali (networkappliances)• Utilizzabile per: ricerca , testing , addestramento , esercitazioni• Possibilitá di sinergia con molteplici partecipanti (Forze Armate,
Istituzioni, Ministeri, Accademia, NATO, industria, etc.)
Virtu al Cyb er Defenc e Batt le Lab
EVOLUZIONI CDVIRTUAL CYBER DEFENCE BATTLE LAB
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
52/60
Cisco UCS blade servers• Potenza (~ 200 VMs)• Modularitá (8 blades)• Semplicitá di gestione (web GUI)
EVOLUZIONI CDVIRTUAL CYBER DEFENCE BATTLE LAB
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
53/60
EVOLUZIONI CDVIRTUAL CYBER DEFENCE BATTLE LAB
SERVERS CISCO UCS (4BLADES + 4 ALIMENTATORI,
0.5 TB RAM)
nBox NETWORKRECORDER (nTop)
SAN QNAP
FIREWALL PALO ALTOFABRICINTERCONNECTS (x2)
NETWORK SWITCH
CASSETTI OTTICI(connettività in fibra)
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
54/60
EVOLUZIONI CDVIRTUAL CYBER DEFENCE BATTLE LAB
INTERNET
DIFENET (PRODUCTION
NETWORK)
LABNETWORK
ATD (Advanced ThreatDefence) device
Cyber labvirtualizationinfrastructure
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
55/60
Locali di fruizione
EVOLUZIONI CDVIRTUAL CYBER DEFENCE BATTLE LAB
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
56/60
Virtual Cyber Defence Battle Lab
MAX. 20 PLAYERS
MAX. 5 ADMINISTRATORS
OR … 25 SCIENTISTS
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
57/60
Virtual Cyber Defence Battle Lab
BLUE TEAM 3
NON CLASSIFICATO
-
8/15/2019 Cdx Live Fire Feb 2015 Small
58/60
Virtual Cyber Defence Battle Lab
BLUE TEAM 3
NON CLASSIFICATO
EVOLUZIONI CD
-
8/15/2019 Cdx Live Fire Feb 2015 Small
59/60
LAB / CDX ROOM
DIFENET
COMANDO C4D
AERONET
PIATTAFORMA DISIMULAZIONE
PLAYERS /SCIENTISTS
INTERNET
SAN
BLADES
FW
FI SWITCH MGMT
LOCALI DI FRUIZIONE
MARINTRANET
EINET
CERT EI
CERT AM
STELMILIT
CERT MM
SCUTI
SMD-2
CII
INDUSTRIE ESETTORE PRIVATO
PUBBLICHE AMMINISTRAZIONI
STRUTTURENATO
PARTNERSNATO
ALTRIPARTNERS
MININTMIUR
MISE
PCM
DIGIT-PA
MAE
NCIRC
CCDCOE
MEF
ENISA
tunnels VPN
QXN
MNE-7
EVOLUZIONI CDVIRTUAL CYBER DEFENCE BATTLE LAB
NON CLASSIFICATO
CYBER DEFENCE E SIMULAZIONI LIVE FIRE
-
8/15/2019 Cdx Live Fire Feb 2015 Small
60/60
Domande?
CYBER DEFENCE E SIMULAZIONI LIVE-FIRE :
un approccio organizzativo e tecnico