26 Settembre 2017

Stefano Sali Sr. Principal Consultant, CISP, CISA

GDPR e Stop Kill Chain Temi Alleati

Copyright © 2017 CA. All rights reserved.

Agenda

KILL CHAIN

GDPR ED ACCESSI PRIVILEGIATI

GDPR E STOP KILL CHAIN PROBLEMI SIMILI CON UNA COMUNE SOLUZIONE

CA PAM DEMO

1

2

3

4

2

Kill Chain

Copyright © 2017 CA. All rights reserved.

Il furto di identità tra i maggiori vettori di attacco.

Malware e Account Hijacking le principali minacce a livello mondiale.

500 milioni di euro/anno persi dalle banche europee e dai risparmiatori.

Other

4.4

Defaceme

nt

3.3 Vulnerabilit

y

3.3

DDos

5.6

Targeted

Attack

10

Unknow

16.7

Account

Hijacking

22.2

Malware/P

oS

Malware

34.4

Sondaggio “Attack Vectors” Agosto 2017

4

Fonte: Hackmageddon, 2017

Copyright © 2017 CA. All rights reserved.

3,500

3000

2500

2,000

1,500

1,000

1,000

0

Breach Count

2007 2009 2011 2013 2015

HACKING

MALWARE

SOCIAL Of malware use

privileged escalation

& access or phished

credentials

~60%

Aumenta lo spettro d’attacco La “DIGITAL TRANSFORMATION”

Principali Vettori di attacco

Of hacking lost

stolen or weak

credentials

~70%

Verizon Data Breach Investigations Report 2016

“IDENTITY IS NOT ONLY WHO YOU ARE BUT WHAT YOU DO” © 2016 CA. ALL RIGHTS

RESERVED.

La maggior parte degli attacchi sfrutta

la compromissione di Identità Digitali e

la loro possibilità di utilizzare Account

Privilegiati.

Copyright © 2017 CA. All rights reserved.

Kill Chain Una serie programmatica di azioni che i militari utilizzano per trovare ed utilizzare una breccia nelle difese nemiche.

6

La tecnica è stata adottata

dal mondo informatico, dove

gli attaccanti cercano la

modalità per trovare ed

utilizzare Account

Privilegiati.

La “chain” può essere

complessa, ma vi sono

quattro azioni fondamentali:

Copyright © 2017 CA. All rights reserved.

Kill Chain Gain/Expand Access

7

Per accedere ad una rete, gli

utilizzatori interni potranno

sfruttare le credenziali già

in loro possesso.

Gli esterni dovranno trovare

e sfruttare delle vulnerabilità

che permettano di ottenere

le credenziali necessarie.

Copyright © 2017 CA. All rights reserved.

Kill Chain Elevate Privilege e Lateral Movement

8

Una volta entrati, gli utenti

ostili proveranno ad effettuare

una ”escalation di privilegi”.

Ovvero utilizzare account con

diritti elevati, che daranno

accesso a più sistemi e più

risorse, potenzialmente con

possibilità di cancellare le

proprie tracce.

Copyright © 2017 CA. All rights reserved.

Kill Chain Elevate Privilege e Lateral Movement

9

Raramente gli attaccanti

riescono ad ottenere il primo

accesso esattamente dove

vorrebbero.

Devono quindi esplorare la

rete e le risorse a cui possono

accedere, in modo da

avvicinarsi sempre più

all’obbiettivo desiderato,

tramite “movimenti laterali”.

Copyright © 2017 CA. All rights reserved.

Kill Chain Wreak Havoc

10

NetworkPerimeter

EXTERNALTHREATS

INTERNALTHREATS

C&C,Data/IP

Exfiltration

WreakHavocElevatePrivilege

LateralMovement,Reconnaissance

ThreatActor

TrustedInsider

Gain/ExpandAccess

I tentativi per ottenere le

informazioni o gli accessi

desiderati possono durare

anche molto tempo.

Con costanza e pazienza,

una volta riusciti ad effettuare

un’escalation di privilegi, è

possibile accedere in modo

autorizzato e

potenzialmente invisibile.

Copyright © 2017 CA. All rights reserved.

Kill Chain Wreak Havoc

11

NetworkPerimeter

EXTERNALTHREATS

INTERNALTHREATS

C&C,Data/IP

Exfiltration

WreakHavocElevatePrivilege

LateralMovement,Reconnaissance

ThreatActor

TrustedInsider

Gain/ExpandAccess

Alcuni attacchi del 2016/17

Fonte: Rapporto Clusit, 2017

GDPR ed Accessi Privilegiati

EU General Data Protection Regulation GDPR

13

DATASUBJECTSRIGHTStogivecitizensbackthecontroloftheirpersonaldata

HARMONISATIONtosimplifytheregulatoryenvironmentforinternationalbusinessbyunifyingtheregulationwithintheEU

Data Protection by Design and by Default Art. 25, “The controller shall

implement appropriate technical

and organizational measures for

ensuring that, by default, only

personal data which are necessary

for each specific purpose of the

processing are processed. That

obligation applies to the amount of

personal data collected, the extent of

their processing, the period of their

storage and their accessibility. In

particular, such measures shall ensure

that by default personal data are not

made accessible without the

individual's intervention to an indefinite

number of natural persons”. And

article 30 mandates the recording of

processing activities. 14

Chi accede ai dati personali: Accountability

Article 5.1(f), needs to be taken into

account because it literally states:

“Personal data should be processed

in a manner that ensures appropriate

security of personal data, including

protection against unauthorized or

unlawful processing and against

accidental loss, destruction or

damage, using appropriate technical

or organizational measures (‘integrity

and confidentiality’).”

15

Data Breach Notification in 72h Art. 33, Personal Data Breach means

a breach of security leading to the

accidental or unlawful destruction,

loss, alteration, unauthorized

disclosure of, or access to, personal

data transmitted, stored or otherwise

processed. Data controllers must

notify most data breaches to the DPA.

This must be done without undue

delay and, where feasible, within 72

hours of awareness. A reasoned

justification must be provided if this

timeframe is not met.

In some cases, the data controller

must also notify the affected data

subjects without undue delay 16

GDPR e STOP Kill Chain Problemi simili risolvibili con una comune soluzione CA PAM

17

Copyright © 2017 CA. All rights reserved.

Come Indirizzare le minacce da Kill-Chain e le sfide GDPR?

Break the Attack Kill Chain with CA Privileged Access Management (PAM)

Si possono prevenire i Data Breach proteggendo le

credenziali amministrative, gestendo e controllando gli

accessi con utenti privilegiati, monitorando proattivamente e

registrando le attività delle sessioni di questi ultimi.

• Strong Authentication

• Restrizioni su Login

• Controllo degli Accessi ai target

• Prevenzione Leap-Frogging

• Command & socket filtering

• Zero trust – deny all, permit by

exception

• Controlli accessi granulari Host-

Based

• Session recording & monitoring

• Activity logging & auditing

• SIEM integration

• Behavioral Analytics

Prevenire Accessi

Non Autorizzati Limitare Escalation

di Privilegi

Monitor, record &

audit

Copyright © 2017 CA. All rights reserved.

Punti in Comune GDPR vs STOP Kill Chain

GDPR

/

Kill-Chain

Strong

Authentication

Gestione

Accessi

Privilegiati

Session

Recording

Password

Vaulting

Prevenzione

LeapFrogging

Controllo

Accessi

Granulare

Threat

Analytics

GDPR: Privacy by Design &

Default ✅ ✅✅ ✅✅ ✅ ✅ ✅ ✅

GDPR: Accountability ✅ ✅✅ ✅✅ ✅✅ ✅ ✅✅ ✅

GDPR: Data Breach

Notification 72h ✅ ✅✅ ✅✅ ✅ ✅ ✅ ✅✅

KC: Gain/Expand Access ✅✅ ✅✅ ✅ ✅✅ ✅✅ ✅✅ ✅✅

KC: Elevate Privilege ✅ ✅✅ ✅ ✅✅ ✅ ✅✅ ✅

KC: Lateral Movement ✅ ✅✅ ✅ ✅ ✅✅ ✅✅ ✅✅

19

✅✅ Fortemente raccomandato

✅ Raccomandato

20 © 2016 CA. ALL RIGHTS RESERVED.

A

cces

s re

qu

est

s

C

erti

fica

tio

n

R

isk

anal

ytic

s Self-contained, hardened appliance

Strong MFA authentication

Centralized Interface, Policy-based Rules

Credential management

Session recording, auditing, attribution

Command filtering

A2A Application password management

Hybrid enterprise protection

In-depth protection for critical servers

Highly-granular access controls

Segregated duties of super-users

Controlled access to system resources

Secured Task Delegation (sudo)

Enforce Trusted Computing Base

MS AD centralized authentication

PAM Native Identity Propagation

IDENTITY-BASED SECURITY HOST-BASED SECURITY

CA PAM Suite - DEFENSE IN DEPTH

CA PAM CA PAM SC

CA

IDEN

TITY

GO

VER

NA

NC

E

PAM specific analytics and behavior analysis

Advanced, dynamic threat analytics

Automated detection of attacks and risk

Response and mitigation

Complements existing SIEM/Fraud systems

CA TAP

Product Names Legenda CA PAM = Privileged Access Manager CA PAM SC = PAM Server Control (PAM version of CA PIM) CA TAP = Threat Analytics for PAM THREAT ANALYTICS

21 © 2016 CA. ALL RIGHTS RESERVED.

CA Privileged Access Manager Privileged Account Management per la Hybrid Enterprise

HYBRID ENTERPRISE

Traditional Data Center

Mainframe, Windows, Linux, Unix, Networking

Enterprise Admin Tools

Software Defined Data Center

SDDC Console and APIs

Public Cloud - IaaS

Cloud Console and APIs

SaaS Applications

SaaS Consoles and APIs

Hardware Appliance AWS AMI OVF Virtual Appliance

Identity Integration Enterprise-Class Core

CA Privileged Access Manager

Vault Credentials Centralized Authentication Access Management Privileged Single Sign-on

Role-Based Access Control Monitor and Enforce Policy Record Sessions and Metadata Application to Application

A New Security Layer - Control and Audit All Privileged Access

Unified Policy Management

22 © 2016 CA. ALL RIGHTS RESERVED.

GDPR fissa in 72h il tempo per le breach notification ….anche per gli accessi privilegiati Le classiche difese Enterprise (incluse alcune soluzioni “Threat Analytics”) sono STATICHE

ProvisioningProvidenewusers

withaccesstoresources

Enterprisesecuritysolutionsdon’tadaptbasedonbehaviorhowdataisaccessed,usedormisused

Compromisedaccounts

Privilegedaccessandinsiders

AWS

SIEM IDS

Untrustedendpoints

AuthenticationValidateidentitywhenaccessrequested

Badguysexploitthisgaptotheiradvantage

PrivilegedAccess

Limitadminandsystemcontrolaccess

Identity&AccessManagement

Manageandreportonaccessprovided

23 © 2016 CA. ALL RIGHTS RESERVED.

CA Threat Analytics colma il Gap di Security Analytics specializzato per le identità digitali

CA è leader di mercato per tecnologie di fraud analytics per i sistemi bancari card-no-present

Lo stesso approccio utilizzato per

credit card security

Analytic aumenta la sicurezza

Continuo behavior monitoring degli accessi alle risorse importanti

Un Modello Matematico che controllo le azioni identifica variazioni nel comportamento abituale

Trigger automatici e adattivi azionani mitigazioni dei rischi e limitano i danni

Insight dei rischi, delle attività e delle operazioni effettuate per un controllo totale

24 © 2016 CA. ALL RIGHTS RESERVED.

CA Threat Analytics for PAM Funzionalità di Behavior Analytic in una soluzione easy-to-deploy, easy-to-use specializzata per gli accessi privilegiati

Advanced analytics

Entity relationships & risk mapping

Automated mitigation

Raw data

Focus su dati specializzati – per PAM, l’autenticazione iniziale & le connessioni

Integrazioni future con altri prodotti CA (ed i loro dati specializzati) potranno incrementare il valore e l’accuratezza dei risultati

Il sistema estrae informazioni critiche dalle attività e dalle sessioni:

⎻ Location

⎻ System access

⎻ Device

⎻ Sensitivity

⎻ Account

I comportamenti sono raccolti e modellati per una immediata valutazione

Cambiamenti nel modello sono valutati per identificare i rischi o le attività malevole

Behavior analytics engine –non regole statiche -

Controlli automatici sono azionati in tempi rapidissimi per mitigare i rischi

Avvio del session recording

Forza una re-autenticazione

Generazione di allarmi attivi

Creazione di context rich reporting

25 © 2016 CA. ALL RIGHTS RESERVED.

CA Threat Analytics for PAM Funzionalità di Behavior Analytic in una soluzione easy-to-deploy, easy-to-use specializzata per gli accessi privilegiati: proattività dinamica per arginare i tentativi di data breaching

Advanced analytics

Entity relationships & risk mapping

Automated mitigation

Raw data

Focus su dati specializzati – per PAM, l’autenticazione iniziale & le connessioni

Integrazioni future con altri prodotti CA (ed i loro dati specializzati) potranno incrementare il valore e l’accuratezza dei risultati

Il sistema estrae informazioni critiche dalle attività e dalle sessioni:

⎻ Location

⎻ System access

⎻ Device

⎻ Sensitivity

⎻ Account

I comportamenti sono raccolti e modellati per una immediata valutazione

Cambiamenti nel modello sono valutati per identificare i rischi o le attività malevole

Behavior analytics engine –non regole statiche -

Controlli automatici sono azionati in tempi rapidissimi per mitigare i rischi

Avvio del session recording

Forza una re-autenticazione

Generazione di allarmi attivi

Creazione di context rich reporting

CA PAM Demo

27 © 2016 CA. ALL RIGHTS RESERVED.

CA PAM Demo Environment Demo Architecture

CA SSO Strong Authentication

SIEM SYSLOG

MS AD LDAP

HTTP/S

ADMINS

Video Records NFS/CIFS

CA PAM

Other Apps

SSH

CA TAP

Jump Server Windows

Or Citrix RDP

Citrix VDA

ADMINS

RDP

Sr Principal Consultant

Stefano.Sali@ca.com

Stefano Sali

@stefanosali

slideshare.net/CAinc

linkedin.com/in/stefano-sali-86850a2/

ca.com

Thank You.