Integrarea Threat Intelligence in procesele de … · Threat Intelligence aduce raspunsuri la...

1 © 2016, pentru mai multe informații, contactați Deloitte Romania

Integrarea Threat Intelligence in procesele de management al riscului

Teodor Cimpoesu Senior Manager, Enterprise Risk Services Deloitte Romania

Summer Banking Academy Institutul Bancar Roman 6-10 Iunie 2016


Un studiu Word Economic Forum asupra

riscurilor globale (2014) identifica si pozitiona

atacurile cyber in categoria de probabilitate

mare / impact ridicat.

Riscul sistemic – este riscul de de avarii

majore in intregul sistem, spre deosebire

de cel in parti sau componente individuale.

Riscurile sistemice sunt caracterizate prin:

• puncte critice de flexiune mai usor

de atins, ce se pot combina indirect

pentru a produce defectiuni majore

• contagiune, sau partajarea riscului

– o cadere/avarie declanseaza un lant

de altele.

• asimetrie a variatiei – o forma de

instabilitate la variatia parametrilor, ce

face ca sistemul sa nu fie capabil de

revenire la echilibru dupa un soc.

• Vulnerabilitatile cibernetice in arii

cheie (e.g. financiar-bancara)

genereaza riscuri sistemice.

Sursa: World Economic Forum, “Global Risks 2014” Ninth Edition

Riscuri cyber in context global


Perspectiva amenintarilor

Raportul anual – Verizon Data Breach Investigations Report

3

Procentaj brese per motive actor in timp (n=6,762)

Sursa: Verizon “2016 Data Breach Investigations Report”

89%


Deficitul de detectie

TTC – timpul de

compromitere

TTC – timpul de

descoperire

Procentajul breselor unde timpul de compromitere / timpul de descoperire a fost de zile sau mai putin

Timpul de detectie creste

vs. cel de compromitere

GAP = Amplificator Impact


Dinamica amenintarilor

• CLIENTI - Malware-ul bancar este in rapida crestere .e.g. Zeus & SpyEye, Dridex/Bugat (cetatean moldovean arestat de DoJ in 2015, in 2016 e din nou activa)

• COMERCIANTI - Campaniile cu malware PoS afecteaza tot mai multi comercianti – e.g. BlackPOS, AbbandonPOS, ModPOS, TresureHuntPOS, FighterPOS

• BANCI - Noi atacuri sofisticare directe asupra bancilor - e.g. incidentul SWIFT

Cazul SWIFT:

• Legaturi cu grupul Lazarus – Coreea de Nord – gasite prin corelarea instrumentelor folosite

• A scos la iveala incidente anterioare neraportate

• Punctul slab – reutilizarea credentialelor

• Lipsa implementarii de bune practici – e.g. monitorizare si filtrare outbound, lipsa reactie rapida la incident

“Bangladesh Bank totally kept its Board of Directors

ignorant about the matter [...] Two meetings of the

Board of Directors were held on February 23 and 28.

But this issue was not there in the agenda”

– Dr. Aslam Alam, secretar de stat, Banci si Institutii Financiare,

Ministerul Fininantelor Bangladej


“Pierderile cauzate de bresele de date sunt

estimate a ajunge la $2.1 trillioane la nivel

global pana in 2019, cu un cost mediu per

incident in exces a $150 millioane pana in

2020. “

– Lockheed Martin

6


Provocari strategice - Rezilienta

- Dezvoltarea unei viziuni privind

managementul securitatii si riscului, bazata pe

incredere si rezilienta in dimensiunea digitala a

businessului.

- Adaptarea obiectivelor strategice de risc si

securitate pentru a fi aliniate noilor realitati

digitale.

- Adoptarea celor 6 principii de incredere si

rezilienta (#6 Move from protection only, to detect and respond)

- Dezvoltarea si adaptarea unei arhitecturi

contextuale de securitate.

- Implementarea si gestionarea unui program

formal de management al securitatii si

riscului bazat pe procese interne, care sa

sustina business-ul digital.

Sursa: Gartner, Managing Risk and Security at the Speed

of Digital Business

7

http://www.gartner.com/document/3224717?ref=solrAll&refval=168639426&qid=22205dc3f584b3d0bb2ceaa1416f5601




Integrarea CTI in Risk Management

Risk Management

Risk = Vulnerability * Threat * Impact

Threat = Intent * Capability * Opportunity

Intent, Capability & Opportunity – toate sunt

analizate prin observarea Threat Actors.

Managementul riscului solicita strategii de

gestionare prin eliminare, minimizare, delegarea

sau asumare.

Riscurile derivate din incidente informatice pot fi

modelate in baza incidentelor din industrie, insa

fiecare organizatie trebuie sa treaca printr-un

proces propriu de modelare (Threat Modeling.)

8

Threat = Intent * Capability * Opportunity

Cine sunt actorii ostili organizatiei?

Ce capabilitati au, ce metode folosesc?

Ce infrastructuri sau aplicatii ataca cu predilectie, pe

ce vectori?

Threat Intelligence = informatie actionabila

suport privind actorii ostili

Intelligence != spionaj Spionajul este colectarea

clandestina de informatii, cu focus pe informatii

clasificate.

Primul pas: stabilirea cerintelor de intelligence

* Ce este acel eveniment? (informatii)

* De ce este relevant pentru mine? (relevanta)

* Ce as putea sa fac? (sustine decizia)

Threat Management


Cyber Threat Intelligence

Informatie actionabila suport decizional

Analiza si raportarea de intelligence reprezinta un

proces ciclic ce este contextualizat fiecarei

organizatii. Produsul poate fi intelligence:

Strategic - adresat nivelului executiv, ce viseaza

dinamica riscurilor observate, la nivel mai general

e.g. dinamica globala, competitori, geopolitica

Tactic – adresat CISO, arhitectilor de securitate,

privind moduri de operare ale atacatorilor, informatii

suport pentru blue teams etc.

Operational – pentru specialisti in aparare

informatica; focus pe atacuri curente si viitoare.

Alerte timpurii despre atacuri, activitate social media.

Technical – pentru analisti SOC, raspuns la

incidente (IR), contin feed-uri si fisiere in formate

specifice de IOC (indicatori de compromitere)

9


Consultanță fiscală

Deloitte la nivel global

10

Serviciile noastre

Fuziuni și Achiziții

Consultanță în

Capital Uman

Strategia de

externalizare și

asistență în

implementare

Managementul

riscului operațional

Tehnologie

Consultanță

Financiară

Securitatea

cibernetică

Impozite

persoane fizice

Audit

Impozite indirecte

Risc Contractual şi de

Conformitate

Audit & Consultanță

Evaluarea Riscurilor

Consultanță Fiscală și Juridică

Consultanță Financiară

Consultanță în Afaceri


Maturitatea Threat Intelligence & Analytics Programul TIA este conceput pentru accelerarea maturiratii threat intelligence.

Continuous Monitoring

Foundational

Ob

iect

ive

Thre

at In

telli

gen

ce

Obiective Operationale

Operational Excellence

Ad Hoc

Hunting, Threat Modeling, Red-Teaming, Insider

Threats AV, Logging, Patching

24x7x365 Monitoring &

Incident Response

Add atomic indicator feeds to SIEM

Reporting

Integrate external strategic & tactical intelligence

Periodic Audits

Generate organization specific threat intelligence

Blind


ACCES THREAT PORTAL

RAPOARTE THREAT INTEL

CYBER RECONNAISSANCE

MALWARE REVERSE ENGINEERING

ANALYST DEDICAT

CUSTOM THREAT RESEARCH & ANALYSIS

DIRECTED MALICIOUS ACTIVITY DISRUPTION

CONTINUT IOC THREAT

Threat Intelligence & Analytics (TIA)

PERSONALIZAT

RELEVANT PENTRU BUSINESS

BAZAT PE RISC

IMBOGATIT

ACTIONABIL

Prezinta perspective specifice clientului cu riscuri cibernetice relevante business-ului acestuia. Analistii TIA lucreaza indeaproaper cu clientul pentru transformarea capabilitatilor de securitate conform nevoilor acestuia.

Spre deosebire de TI traditional care pune accentul pe feed-uri, TIA lucreaza indeaproape cu clientii pentru a livra intelligence relevant, exact si in timp util pentru a-i ajuta sa decida actiuni de diminuare a riscului corespunzatoare.

SERVICIU STANDARD SERVICIU PREMIUM


Deloitte CIC SIEM Development

FLASH

Rapoarte periodice emise ca raspuns la conditii ostile detectate sau prezise.

1

SUMMARY

Rapoarte lunare care sumarizeaza rapoartele din perioada; includ analize de atribuire, factori declansatori si relatii intre diversele amenintari observate peste luna.

2

ATTRIBUTION

Rapoarte care includ informatii segmentate pe industrii , motivatia actorilor si alte categorii relevante pentru acele campanii.

3

ADVANCED THREAT

Pachete tehnice de accelerare a analizei -Technical Acceleration Packs (TAPs), bazate pe content de ultima ora din Deloitte Advanced Threat (DAT).

4

Tipuri rapoarte de Intelligence

Ce rapoarte cititi zilnic/saptamanal?


In gestionarea riscurilor cibernetice nu mai putem planifica realist pentru eliminarea incidentelor; organizatiile mature opereaza pe principiul ‘presupune-te compromis’. O strategie coerenta de crestere a rezilientei la noi atacuri presupune consolidarea unei echipe de aparare, sustinuta si prin raspunsuri si decizii rapide. Threat Intelligence aduce raspunsuri la intrebari ce sustin managementul riscului si crizelor, prioritizand amenintarile si actorii vizati, si raspunzand la intrebari de business la nivel executiv privind impactul acestora. Un ciclu rapid de detectie, prevenire si raspuns duce la cresterea costurilor si complexitatii atacurilor pentru adversari, rezultand intr-o strategie deterenta, de obstructionare; in acelasi timp, costurile apararii fiind scazute.

14


Echipa Deloitte

15

Andrei Ionescu

Partener, Deloitte Romania Mobil: +40 728 328 315 E-Mail: [email protected]

Teodor Cimpoesu

Senior Manager, Deloitte Romania Mobil: +40 733 003 903 E-Mail: [email protected]


16

Numele Deloitte se referă la organizația Deloitte Touche Tohmatsu Limited, o companie cu răspundere limitată din Marea Britanie, la firmele membre ale acesteia, în cadrul căreia fiecare firmă membră este o persoană juridică independentă. Pentru o descriere amănunțită a structurii legale a Deloitte Touche Tohmatsu Limited și a firmelor membre, vă rugăm să accesați www.deloitte.com/ro/despre. Deloitte furnizează servicii clienților din sectorul public și privat în următoarele domenii profesionale - audit, taxe, consultanță, consultanță financiară – deservind numeroase industrii. Prin intermediul rețelei sale globale de firme membre, care activează în peste 150 de țări, Deloitte pune la dispoziția clienților săi resursele internaționale precum și priceperea locală pentru a-i ajuta sa exceleze indiferent de locul în care aceștia își desfășoară activitatea. Obiectivul celor 225 000 de profesioniști din Deloitte este acela de a deveni un standard de excelență. © 2016 Deloitte România

Integrarea Threat Intelligence in procesele de … · Threat Intelligence aduce raspunsuri la...

Documents

Transcript of Integrarea Threat Intelligence in procesele de … · Threat Intelligence aduce raspunsuri la...