Integrarea Threat Intelligence in procesele de … · Threat Intelligence aduce raspunsuri la...
Transcript of Integrarea Threat Intelligence in procesele de … · Threat Intelligence aduce raspunsuri la...
1 © 2016, pentru mai multe informații, contactați Deloitte Romania
Integrarea Threat Intelligence in procesele de management al riscului
Teodor Cimpoesu Senior Manager, Enterprise Risk Services Deloitte Romania
Summer Banking Academy Institutul Bancar Roman 6-10 Iunie 2016
2 © 2016, pentru mai multe informații, contactați Deloitte Romania
Un studiu Word Economic Forum asupra
riscurilor globale (2014) identifica si pozitiona
atacurile cyber in categoria de probabilitate
mare / impact ridicat.
Riscul sistemic – este riscul de de avarii
majore in intregul sistem, spre deosebire
de cel in parti sau componente individuale.
Riscurile sistemice sunt caracterizate prin:
• puncte critice de flexiune mai usor
de atins, ce se pot combina indirect
pentru a produce defectiuni majore
• contagiune, sau partajarea riscului
– o cadere/avarie declanseaza un lant
de altele.
• asimetrie a variatiei – o forma de
instabilitate la variatia parametrilor, ce
face ca sistemul sa nu fie capabil de
revenire la echilibru dupa un soc.
• Vulnerabilitatile cibernetice in arii
cheie (e.g. financiar-bancara)
genereaza riscuri sistemice.
Sursa: World Economic Forum, “Global Risks 2014” Ninth Edition
Riscuri cyber in context global
3 © 2016, pentru mai multe informații, contactați Deloitte Romania
Perspectiva amenintarilor
Raportul anual – Verizon Data Breach Investigations Report
3
Procentaj brese per motive actor in timp (n=6,762)
Sursa: Verizon “2016 Data Breach Investigations Report”
89%
4 © 2016, pentru mai multe informații, contactați Deloitte Romania
Deficitul de detectie
TTC – timpul de
compromitere
TTC – timpul de
descoperire
Procentajul breselor unde timpul de compromitere / timpul de descoperire a fost de zile sau mai putin
Timpul de detectie creste
vs. cel de compromitere
GAP = Amplificator Impact
5 © 2016, pentru mai multe informații, contactați Deloitte Romania
Dinamica amenintarilor
• CLIENTI - Malware-ul bancar este in rapida crestere .e.g. Zeus & SpyEye, Dridex/Bugat (cetatean moldovean arestat de DoJ in 2015, in 2016 e din nou activa)
• COMERCIANTI - Campaniile cu malware PoS afecteaza tot mai multi comercianti – e.g. BlackPOS, AbbandonPOS, ModPOS, TresureHuntPOS, FighterPOS
• BANCI - Noi atacuri sofisticare directe asupra bancilor - e.g. incidentul SWIFT
Cazul SWIFT:
• Legaturi cu grupul Lazarus – Coreea de Nord – gasite prin corelarea instrumentelor folosite
• A scos la iveala incidente anterioare neraportate
• Punctul slab – reutilizarea credentialelor
• Lipsa implementarii de bune practici – e.g. monitorizare si filtrare outbound, lipsa reactie rapida la incident
“Bangladesh Bank totally kept its Board of Directors
ignorant about the matter [...] Two meetings of the
Board of Directors were held on February 23 and 28.
But this issue was not there in the agenda”
– Dr. Aslam Alam, secretar de stat, Banci si Institutii Financiare,
Ministerul Fininantelor Bangladej
6 © 2016, pentru mai multe informații, contactați Deloitte Romania
“Pierderile cauzate de bresele de date sunt
estimate a ajunge la $2.1 trillioane la nivel
global pana in 2019, cu un cost mediu per
incident in exces a $150 millioane pana in
2020. “
– Lockheed Martin
6
7 © 2016, pentru mai multe informații, contactați Deloitte Romania
Provocari strategice - Rezilienta
- Dezvoltarea unei viziuni privind
managementul securitatii si riscului, bazata pe
incredere si rezilienta in dimensiunea digitala a
businessului.
- Adaptarea obiectivelor strategice de risc si
securitate pentru a fi aliniate noilor realitati
digitale.
- Adoptarea celor 6 principii de incredere si
rezilienta (#6 Move from protection only, to detect and respond)
- Dezvoltarea si adaptarea unei arhitecturi
contextuale de securitate.
- Implementarea si gestionarea unui program
formal de management al securitatii si
riscului bazat pe procese interne, care sa
sustina business-ul digital.
Sursa: Gartner, Managing Risk and Security at the Speed
of Digital Business
7
8 © 2016, pentru mai multe informații, contactați Deloitte Romania
Integrarea CTI in Risk Management
Risk Management
Risk = Vulnerability * Threat * Impact
Threat = Intent * Capability * Opportunity
Intent, Capability & Opportunity – toate sunt
analizate prin observarea Threat Actors.
Managementul riscului solicita strategii de
gestionare prin eliminare, minimizare, delegarea
sau asumare.
Riscurile derivate din incidente informatice pot fi
modelate in baza incidentelor din industrie, insa
fiecare organizatie trebuie sa treaca printr-un
proces propriu de modelare (Threat Modeling.)
8
Threat = Intent * Capability * Opportunity
Cine sunt actorii ostili organizatiei?
Ce capabilitati au, ce metode folosesc?
Ce infrastructuri sau aplicatii ataca cu predilectie, pe
ce vectori?
Threat Intelligence = informatie actionabila
suport privind actorii ostili
Intelligence != spionaj Spionajul este colectarea
clandestina de informatii, cu focus pe informatii
clasificate.
Primul pas: stabilirea cerintelor de intelligence
* Ce este acel eveniment? (informatii)
* De ce este relevant pentru mine? (relevanta)
* Ce as putea sa fac? (sustine decizia)
Threat Management
9 © 2016, pentru mai multe informații, contactați Deloitte Romania
Cyber Threat Intelligence
Informatie actionabila suport decizional
Analiza si raportarea de intelligence reprezinta un
proces ciclic ce este contextualizat fiecarei
organizatii. Produsul poate fi intelligence:
Strategic - adresat nivelului executiv, ce viseaza
dinamica riscurilor observate, la nivel mai general
e.g. dinamica globala, competitori, geopolitica
Tactic – adresat CISO, arhitectilor de securitate,
privind moduri de operare ale atacatorilor, informatii
suport pentru blue teams etc.
Operational – pentru specialisti in aparare
informatica; focus pe atacuri curente si viitoare.
Alerte timpurii despre atacuri, activitate social media.
Technical – pentru analisti SOC, raspuns la
incidente (IR), contin feed-uri si fisiere in formate
specifice de IOC (indicatori de compromitere)
9
10 © 2016, pentru mai multe informații, contactați Deloitte Romania
Consultanță fiscală
Deloitte la nivel global
10
Serviciile noastre
Fuziuni și Achiziții
Consultanță în
Capital Uman
Strategia de
externalizare și
asistență în
implementare
Managementul
riscului operațional
Tehnologie
Consultanță
Financiară
Securitatea
cibernetică
Impozite
persoane fizice
Audit
Impozite indirecte
Risc Contractual şi de
Conformitate
Audit & Consultanță
Evaluarea Riscurilor
Consultanță Fiscală și Juridică
Consultanță Financiară
Consultanță în Afaceri
11 © 2016, pentru mai multe informații, contactați Deloitte Romania
Maturitatea Threat Intelligence & Analytics Programul TIA este conceput pentru accelerarea maturiratii threat intelligence.
Continuous Monitoring
Foundational
Ob
iect
ive
Thre
at In
telli
gen
ce
Obiective Operationale
Operational Excellence
Ad Hoc
Hunting, Threat Modeling, Red-Teaming, Insider
Threats AV, Logging, Patching
24x7x365 Monitoring &
Incident Response
Add atomic indicator feeds to SIEM
Reporting
Integrate external strategic & tactical intelligence
Periodic Audits
Generate organization specific threat intelligence
Blind
12 © 2016, pentru mai multe informații, contactați Deloitte Romania
ACCES THREAT PORTAL
RAPOARTE THREAT INTEL
CYBER RECONNAISSANCE
MALWARE REVERSE ENGINEERING
ANALYST DEDICAT
CUSTOM THREAT RESEARCH & ANALYSIS
DIRECTED MALICIOUS ACTIVITY DISRUPTION
CONTINUT IOC THREAT
Threat Intelligence & Analytics (TIA)
PERSONALIZAT
RELEVANT PENTRU BUSINESS
BAZAT PE RISC
IMBOGATIT
ACTIONABIL
Prezinta perspective specifice clientului cu riscuri cibernetice relevante business-ului acestuia. Analistii TIA lucreaza indeaproaper cu clientul pentru transformarea capabilitatilor de securitate conform nevoilor acestuia.
Spre deosebire de TI traditional care pune accentul pe feed-uri, TIA lucreaza indeaproape cu clientii pentru a livra intelligence relevant, exact si in timp util pentru a-i ajuta sa decida actiuni de diminuare a riscului corespunzatoare.
SERVICIU STANDARD SERVICIU PREMIUM
13 © 2016, pentru mai multe informații, contactați Deloitte Romania
Deloitte CIC SIEM Development
FLASH
Rapoarte periodice emise ca raspuns la conditii ostile detectate sau prezise.
1
SUMMARY
Rapoarte lunare care sumarizeaza rapoartele din perioada; includ analize de atribuire, factori declansatori si relatii intre diversele amenintari observate peste luna.
2
ATTRIBUTION
Rapoarte care includ informatii segmentate pe industrii , motivatia actorilor si alte categorii relevante pentru acele campanii.
3
ADVANCED THREAT
Pachete tehnice de accelerare a analizei -Technical Acceleration Packs (TAPs), bazate pe content de ultima ora din Deloitte Advanced Threat (DAT).
4
Tipuri rapoarte de Intelligence
Ce rapoarte cititi zilnic/saptamanal?
14 © 2016, pentru mai multe informații, contactați Deloitte Romania
In gestionarea riscurilor cibernetice nu mai putem planifica realist pentru eliminarea incidentelor; organizatiile mature opereaza pe principiul ‘presupune-te compromis’. O strategie coerenta de crestere a rezilientei la noi atacuri presupune consolidarea unei echipe de aparare, sustinuta si prin raspunsuri si decizii rapide. Threat Intelligence aduce raspunsuri la intrebari ce sustin managementul riscului si crizelor, prioritizand amenintarile si actorii vizati, si raspunzand la intrebari de business la nivel executiv privind impactul acestora. Un ciclu rapid de detectie, prevenire si raspuns duce la cresterea costurilor si complexitatii atacurilor pentru adversari, rezultand intr-o strategie deterenta, de obstructionare; in acelasi timp, costurile apararii fiind scazute.
14
15 © 2016, pentru mai multe informații, contactați Deloitte Romania
Echipa Deloitte
15
Andrei Ionescu
Partener, Deloitte Romania Mobil: +40 728 328 315 E-Mail: [email protected]
Teodor Cimpoesu
Senior Manager, Deloitte Romania Mobil: +40 733 003 903 E-Mail: [email protected]
16 © 2016, pentru mai multe informații, contactați Deloitte Romania
16
Numele Deloitte se referă la organizația Deloitte Touche Tohmatsu Limited, o companie cu răspundere limitată din Marea Britanie, la firmele membre ale acesteia, în cadrul căreia fiecare firmă membră este o persoană juridică independentă. Pentru o descriere amănunțită a structurii legale a Deloitte Touche Tohmatsu Limited și a firmelor membre, vă rugăm să accesați www.deloitte.com/ro/despre. Deloitte furnizează servicii clienților din sectorul public și privat în următoarele domenii profesionale - audit, taxe, consultanță, consultanță financiară – deservind numeroase industrii. Prin intermediul rețelei sale globale de firme membre, care activează în peste 150 de țări, Deloitte pune la dispoziția clienților săi resursele internaționale precum și priceperea locală pentru a-i ajuta sa exceleze indiferent de locul în care aceștia își desfășoară activitatea. Obiectivul celor 225 000 de profesioniști din Deloitte este acela de a deveni un standard de excelență. © 2016 Deloitte România