Security Operation Center contro le attuali cyber minacce

Swisscom Dialog Arena 2019

Se

curi

ty O

pe

rati

on

Ce

nte

r co

ntr

o le

att

ua

li c

ybe

r m

ina

cce

2

Negli anni 80 l'accesso

si bloccava così…

Web

ina

r C

ybe

r Sw

issc

om

Sec

uri

ty R

epo

rt 2

01

9 C

1 P

ub

lic

3

Incidenti da tutto il mondo …

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

4

… Ma anche in Ticino

https://www.tio.ch/ticino/cronaca/1393766/taiana-ostaggio-di-cyber-criminali-un-riscatto-da-300mila-franchi

Se

curi

ty O

pe

rati

on

Ce

nte

r co

ntr

o le

att

ua

li c

ybe

r m

ina

cce

La minaccia è realeOgni mese Swisscom…

20Incidenti di sicurezza, Gestiti dal Swisscom CSIRT

2'200Clienti privati contattati a causa di attacchi hacker sugli account dei clienti

3'000Attacchi di phishingriconosciuti e bloccati

3'009'000Tentativi di attacco contro l'infrastruttura di Swisscom bloccati

5

• La situazione della minacce resta complessa e stabile

• Gli attaccanti approfittano del valore crescente degli assets → Attacchi mirati

• La crescita comune del mondo fisico e virtuale propone nuovi vettori d'attacco

6

Radar minacce 2019D

uil

io H

och

stra

sser

, 28

th M

arc

h, S

ecu

rity

Bo

ost

er

Tra

inin

g, C

2 In

tern

al

3D-Printing

Workplace Diversity

Insider ThreatDevice Theft

Drones & Robots Infrastructure Masconfiguration

Decentralised Development

SCADA

IoT DevicesSecurity job marketIoT-Based DDos

Digitalisation

SubscriberCompromisation

AI/Analytics

Political Influence

DigitalIdentity

Destabilising / Centralisation

Automatisation & Scaling

All IPIncreased Complexity

QuantumComputing

Ransomware

Targeted Attacks (APT)

5G SecurityInfrastructureIntegrity

TrendToday

Radar minacce 2019Se

curi

ty O

per

ati

on

Cen

ter

im E

insa

tz g

egen

akt

ue

lle

Cyb

er-B

ed

roh

un

gen

Decentralised Development

Security job market

AI/Analytics

Increased ComplexityTargeted Attacks (APT)

TrendToday

• Security job market: Difficoltà importante per la recluta di talenti

• Targeted Attacks: mirati e complessi → oggettivi specifici

• Ransomware: Cifratura di dati critici → domanda di riscatto per recuperare I dati

• Increased Complexity: LA complessità della architetture aumenta continuamente

• AI/Analytics: Sempre più dati che possono essere utilizzati per influenzare il comportamento di una persona.

• Decentralised Development: Nuovi metodi di sviluppo DevOps

Ransomware

7

8

Panoramica delle minacce cyber

Fattori chiave

Superfice d'attacco

Digitalizzazione

Metodologie degli attacchi

Sofisticazione

Struttura degli attori criminali

Profesionalizzazione

Mercato della criminalità Cyber

Industrializzazione

Du

ilio

Ho

chst

rass

er, 2

8th

Ma

rch

, Sec

uri

ty B

oo

ste

r T

rain

ing

, C2

Inte

rna

l

Se

curi

ty O

pe

rati

on

Ce

nte

r co

ntr

o le

att

ua

li c

ybe

r m

ina

cce

9

>99% delle minacce osservate nel primo semestre 2019 richiedono l'intervento di un utente per riuscire

Proofpoint

Private Clouds

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

10

Security Operation Center in una architettura ibrida

Security Operation

Center

On-Prem

Public Clouds

ManagedEndpoints

BYOD

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

11

Thank You!

C2 Phase

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

12

Propagazione di un Malware

MALSPAMAttached Documents

Malicious Macros or ScriptsMarco/Script

downloads Emotet

Establish

Persistence

Credential

Enumerator Module

Conntects to C2 for further

instructions.

Download follow up malware

Infection Phase Persistence Phase

NetPass.exeWeb Browser

PassView

Mail Clients

PassViewOutlook Scraper

Module

Network Propagation PhaseSMB

Ryuk

Trickbot

Download additional Malware

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

13

Detection Use CaseRilevamento di comportamenti anormali generati dai documenti MS-Office

Swisscom Managed Workplaces

Time Range: January 2019 – August 2019

74%

26%

Action

Allowed Blocked

Terminali (Workplace) monitorati

~ 70'000

847

Erst

elle

r, D

atu

m, D

oku

men

ten

na

me,

C2

Inte

rna

l

14

Security

Operation

Center

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

15

Allerte Analisi Reazione Prevenzione

Dai dati alla reazione

Private Clouds

16

Security Operation Center in una architettura ibrida

Security Operation

Center

On-Prem

Public Clouds

ManagedEndpoints BYOD

Se

curi

ty O

pe

rati

on

Ce

nte

r co

ntr

o le

att

ua

li c

ybe

r m

ina

cce

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

17

Incident Playbooks

Security Alert

Analyse

Containment

Close

False-Positive?

Ticket CSIRTBlock /

Quarantine

YES

NO

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

19

SOC, sfide attuali

Aumento costante delle allerte

Manco di personale formato

Infrastrutture differenti

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

20

Automazione

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

21

SOAR Technology, panoramicaSecurity Orchestration, Automation and Response

Orchestration

• Playbooks, workflows

• Logically organised plan of actions

• Activate and coordinate security

product stack from central

location

Response

• Case management

• Analysis & reporting

• Communication & collaboration

Automation

• Automated scripts

• Extensible integration network

• Machine execution of playbooks

tasks

• Riduzione dei tempi

• Sollievo per gli analisti

• Miglior qualità dei rilevamenti

• Attività di "Response" più efficienti

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

22

Automatizzazione: Opportunità e rischi

• Workflows complessi

• Lavoro per la manutenzione

• Livello di automazione elevato

Opportunità

Rischi

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

23

Applicare le lezioni apprese

Rilevamento

RispostaPrevenzione

Du

ilio

Ho

chst

rass

er, 2

8th

Ma

rch

, Sec

uri

ty B

oo

ste

r T

rain

ing

, C2

Inte

rna

l

24

Key

Messages

Effettuare i

compiti

di base

Training /

Formazione /

Risorse

Automazione /

Orchestrazione

Anticipazione"Keep an eye on the

threat landscape"

Swisscom Cyber Security Report :

https://www.swisscom.ch/it/business/enterprise/downloads/security/report-bedrohungslage-schweiz-2019.html

Documenti interessanti concernete “Cyber Security”

https://www.swisscom.ch/en/business/enterprise/downloads/security.html

Secu

rity

Op

era

tio

n C

ente

r im

Ein

satz

geg

en a

ktu

ell

e C

yber

-Be

dro

hu

ng

en

26

Informazioni diverse