Cdx Live Fire Feb 2015 Small

8/15/2019 Cdx Live Fire Feb 2015 Small

1/60

NON CLASSIFICATO

CYBER DEFENCE E SIMULAZIONI LIVE-FIRE :

un approccio organizzativo e tecnico

Seminario M aster in Sicurezza I nformaticaDi partimento di I nformatica dell 'Universitá di Roma " La Sapienza"

3 febbraio 2015

Ten.Col. M arco DE FALCOUfficio Sicurezza

Comando C4 Di fesa

Gen. B. Umberto M aria CASTEL L IComandante del

Comando C4 Di fesa


2/60

NON CLASSIFICATO

• Il Comando C4 Difesa• Esercitazioni di CD in ambito nazionale e NATO

• L'esercitazione "Locked Shields 2014"

• Evoluzioni CD

2

Sommario




3/60

NON CLASSIFICATO

L'acronimo " C4 " sta per:

• C ommand

• C ontrol• C ommunication• C omputer systems

Massimo organo tecnico operativoin ambito Interforze

IL COMANDO C4 DIFESA


4/60

NON CLASSIFICATO

Comando C4 Difesa

IL COMANDO C4 DIFESAUBICAZIONE


5/60

NON CLASSIFICATO

• Garantire il corretto funzionamento dei sistemi ICT e deiservizi applicativi per le F.A. e l’Area di Vertice Interforze(SMD, SGD, Direzioni Generali, Add. Militari, Magistratura Militare ):

SIV, SIV2, SISAD, SIPAD, INFOGEST, SIAC, ETC• Assicurare servizi di connettività (RIFON, AERNI, DIFENET,

INTERNET ) e servizi «core» alle F.A. (DNS, Foresta diDominio , Identity Management, etc)

• Gestire la sicurezza delle reti e dei sistemi interforze (configurazione servizi/apparati di sicurezza, monitoring, incidenthandling, vulnerability / risk assessment )

• Fornire supporto all’utenza dei sistemi di cui sopra (“helpdesk”)

IL COMANDO C4 DIFESACOMPITI ISTITUZIONALI

http://localhost/var/www/apps/conversion/tmp/bona-bionda.jpg


6/60

NON CLASSIFICATO

6

• SIPAD

• GOPERS• WEB ACCESSI• SIRACC• CMD• ePASS

Personale

• SIV 1• SIV 2• INFOGEST• MEF• SACS• SICOS

Economici efinanziari

• SISPAS• SISAD• SDO

Sanità

• GEPADD• SIAC• SILAD

Logistica

• Prot.inf SMD• SIGMIL• WISE• Portale tecnico C4

Documentale

33 Sistemi

Comuni

GEIRD IAM TFS Tab.Ti.Dife

Per un totale di 13.000 utenti

•SISDEV

Analisi e Supportoalle decisioni

• INFOCIV• IMPERS• SICAD• ITAP• SIAFA• MEF

IL COMANDO C4 DIFESASISTEMI INFORMATIVI GESTIONALI


7/60

NON CLASSIFICATO

UFFICIO RETI ESERVIZI

D’INFRASTRUTTURA

COMANDANTE C4D

UFFICIOASSISTENZA

UTENTI

UFFICIO SISTEMIINFORMATIVI

CENTRALIZZATI

UFFICIOSICUREZZA

UFFICIO SUPPORTO GENERALEE PERSONALE SERVIZIO AMMINISTRATIVO

SICRAL

Vice ComandanteUFFICIO

PROGETTI E REQUISITI

Capo Rep. VI SMD

IL COMANDO C4 DIFESASTRUTTURA ORDINATIVA

MODELING &SIMULATION CoE


8/60

NON CLASSIFICATO

SMD-6

NetworkOperationCenter

NOC

InformationOperationCenter

IOC

CyberDefence

CERT

SOC

Modelling&

SimulationCoE

CONTROL ROOM/CALL CENTER

NETWORKINGMANAGEMENT

SERVICES

Comando C4 DifesaCYBER

SECURITY

Centro dicontrollo e

gestioneSICRAL

IL COMANDO C4 DIFESACOMPONENTI CAPACITIVE


9/60

NON CLASSIFICATO

Seminario M aster in Sicurezza I nformaticaDi partimento di I nformatica dell 'Universitá di Roma " La Sapienza"

3 febbraio 2015

Ten.Col. M arco DE FALCOUfficio Sicurezza

Comando C4 Di fesa


10/60

NON CLASSIFICATO


D’INFRASTRUTTURA

COMANDANTE C4D

UFFICIOASSISTENZA

UTENTI

UFFICIO SISTEMIINFORMATIVI

CENTRALIZZATI

UFFICIOSICUREZZA

UFFICIO SUPPORTO GENERALEE PERSONALE SERVIZIO AMMINISTRATIVO

SICRAL

Vice ComandanteUFFICIO

PROGETTI E REQUISITI

Capo Rep. VI SMD

IL COMANDO C4 DIFESAUFFICI TECNICI

MODELING &SIMULATION CoE


11/60

NON CLASSIFICATO


D’INFRASTRUTTURA

UFFICIOSICUREZZA

SEZIONE SERVIZI,INFRASTRUTTURA EINTEROPERABILITA’

SEZIONE DIRETTIVE ECYBER DEFENCE

SEZIONE CERT

SEZIONE CONTROLLIDI SICUREZZA

SEZIONE PKI (CMD)

UFFICI ATTINENTI LACYBER SECURITY

SEZIONE SISTEMICLASSIFICATI

• ANTIVIRUS• ANTISPAM / MAIL FILTERING• WEB CONTENT FILTERING• WEB APPLICATION FIREWALLS• USER POLICIES ENFORCING (GPO)

• FIREWALLS• VPN MANAGEMENT• INTRUSION DETECTION SYSTEMS• INTRUSION PREVENTION SYSTEMS• SIEM (EVENT CORRELATION)• TRAFFIC SHAPERS

• INCIDENT HANDLING

• SECURITY EVALUATIONS• PENTESTING• RISK ASSESSMENT

• PKI (AUTHENTICATION)

IL COMANDO C4 DIFESASTRUTTURA ORDINATIVA

O C ASS CA O


12/60

NON CLASSIFICATO

Computer Emergency Response Team (CERT) :con funzioni di Technical Center per ilcoordinamento dei CERT del dominio Difesa.

Raccogliere segnalazioni di incidenti evulnerabilità sistemi informatici.Direttiva SMD-I- 013 Ed. 2008 “Procedure diRiposta agli Incidenti Informatici”IL COMANDANTE C4 DIFESA è responsabiledella sicurezza informatica per SMD

IL COMANDO C4 DIFESAIL CERT DIFESA

NON CLASSIFICATO


13/60

NON CLASSIFICATO

Esercitazioni di Cyber Defence (CDX)nazionali e NATO

Tipologia Caratteristiche Esempi

PROCEDURALE Esercitazione «a tavolino» dilivello concettuale

CYBER EUROPE

SEMI PROCEDURALE Esercitazione proceduralecon alcuni injects di tipo reale

CYBER COALITION

"LIVE-FIRE" Massimo livello di realismo,riproduzione fedele dellesituazioni ed uso di strumentireali

LOCKED SHIELDSLOCKED SHIELDS

NON CLASSIFICATO


14/60

NON CLASSIFICATO

Tallinn

Roma

EstoniaRussia

Finlandia

Svezia

Lettonia

NON CLASSIFICATO


15/60

NON CLASSIFICATO

• un’entità attualmente finanziata e composta da 14“Sponsoring Nations” ( Estonia, Francia, Germania,Inghilterra, Italia, Lettonia, Lituania, Olanda, RepubblicaCeca, Repubblica Slovacca, Spagna, Ungheria, Polonia eStati Uniti).

• ufficialmente accreditato come Centro di Eccellenza NATO(NATO CoE) sin dal 28 Ottobre 2008

• diretto e investito delle attività da effettuare da uno“Steering Committee” multinazionale composto dalle sopra

menzionate 14 Nazioni, aventi uguale diritto di voto

Il Centro di Eccellenza per la DifesaCooperativa nei conflitti informatici (CCDCoE)

è

Esercitazioni di CD in ambito NATO:Il Cooperative Cyber Defence Centre o f Excellence


16/60

NON CLASSIFICATO


17/60

NON CLASSIFICATO

Esercitazioni CDX “Locked Shields” (“Live-fire Cyber Defense e Xercise ”)

NON CLASSIFICATO


18/60

NON CLASSIFICATO

• Esercitazione tecnica di cyber defence (CDX) l ive f i r e di tipoBlue - Red :

- I Blue Teams (x12) devono mettere in sicurezza e difendereuna propria rete virtuale precostituita da circa 40 macchine,nelle quali sono presenti diverse vulnerabilità non dichiarate

- Il Red Team (x1, Tallinn) conduce attacchi informatici realicontro tutti i Blue Teams secondo un approccio “ white-box ”

• Organizzatori:

CCDCOE (Cooperative Cyber Defence Center of Excellence) ,Forze Armate estoni , Cyber Defence League estone , ForzeArmate finlandesi .

LOCKED SHIELDS 2014CONCEPT

NON CLASSIFICATO


19/60

NON CLASSIFICATO

• Oltre ai teams blue e red, sono presenti anche altri tipi disquadre:

- Legal Teams (1 x ogni Blue Team), sono un «sottoinsieme» deiblue teams, e forniscono consulenza legale al blue team diappartenenza

- White Team (x1, Tallinn), responsabile del controllo deipartecipanti, della corretta applicazione delle regole e delloscoring

- Green Team (x1, Tallinn), responsabile del setup e dellamanutenzione tecnica dell’infrastruttura esercitativa. Supporto tecnico fornito da Cisco, Clarified Networks, ClarifiedSecurity e Codenomicon.


NON CLASSIFICATO


20/60

NON CLASSIFICATO

- Yellow Team (x1, Tallinn), responsabile della situationalawareness dell’esercitazione. Il suo compito è quello dianalizzare informazioni provenienti da diverse fonti e fornire unfeedback al White Team, al Red Team e ai Blue Team ("SAsolutions").


NON CLASSIFICATO


21/60

NON CLASSIFICATO

BLUE_1 BLUE_2 BLUE_n

…

RED

ATTACKS

REPORTS

CONTROL

YELLOW

CO-OP

LEGAL

GREENWHITE

LEGAL LEGAL

Esercitazione “Locked Shields” Relazioni tra teams

NON CLASSIFICATO


22/60

NON CLASSIFICATO

RED TEAM

Esercitazione “Locked Shields” 2012 (“Live-fire Cyber Defense e Xercise ”)

NON CLASSIFICATO


23/60

NON CLASSIFICATO

BLUE TEAM 1


NON CLASSIFICATO


24/60

NON CLASSIFICATO

BLUE TEAM 1


NON CLASSIFICATO


25/60

WHITE TEAM


NON CLASSIFICATO


26/60

• Gli scopi della CDX Locked Shields sono:1) rendere il personale tecnico delle nazioni partecipanti

preparato a sostenere e risolvere attacchi informaticiintensi e su larga scala, costringendolo anche afronteggiare imprevisti e a ricorrere a soluzioniinnovative ( workaround “out -of-the- box” );

2) abituare le nazioni alla cooperazione internazionalespinta e ad un proficuo scambio di informazioni;

3) sviluppare capacitá di gestione della comunicazioneverso i media durante le crisi informatiche;

4) sviluppare competenza professionale anche dal puntodi vista legale.

ESERCITAZIONI LOCKED SHIELDSFINALITA’

NON CLASSIFICATO


27/60

• Situazione fittizia aderente a casi reali (Estonia, NATO, etc.)• Ogni Blue Team rappresenta un Rapid Reaction Team

(RRT) della Berylia , una nazione da poco entrata nellaNATO la cui industria nazionale è molto conosciuta per l'esperienza nello sviluppo di droni militari miniaturizzati.

Il mandato dei RRT è quello di amministrare e difendere isistemi ICT di R&S delle industrie dei droni , rimastiinspiegabilmente privati dei propri "Chief admins" e postisotto attacco da movimenti antagonisti della tecnologiadrone. Da questi siti saranno governati remotamente droniche saranno presentati in una "live demo" al Dubai WorldDrone Expo .

LOCKED SHIELDS 2014SCENARIO (1/2)

NON CLASSIFICATO


28/60

• Il Red Team rappresenta un gruppo di hacktivisti conosciuto come NoForRobots! (NFR) che sostiene lalotta contro la tecnologia dei droni.Il loro intento è quello di attaccare e degradare i sistemiinformatici delle industrie dei droni, allo scopo dicausare un grave danno di immagine (Dubai Expo) e/odi compromettere i segreti industriali a danno dellaBerylia. E' possibile che l' NFR sia sponsorizzato dallaCrimsonia , una nazione rivale della Berylia.

• Quindi, nella pratica, i membri del Red Teamattaccheranno le reti dei Blue Teams , cercando disfruttare le vulnerabilità presenti.

LOCKED SHIELDS 2014SCENARIO (2/2)

NON CLASSIFICATO


29/60

• Tutti gli ambienti di esercitazione sono implementati suinfrastrutture di virtualizzazione VMware vSphere v5.5 ,installate presso il CCDCOE e accedute dai playerstramite VPN su connettività Internet .

LOCKED SHIELDS 2014 AMBIENTE TECNICO

NON CLASSIFICATO


30/60

• I Blue Teams dovranno gestire una rete segmentata in untotale di 7 DMZ , nelle quali saranno presenti le seguentimacchine: - Routers Cisco

- Firewalls e gateways VPN basati su pfSense Linux- Workstations Windows XP, Windows 7 e Ubuntu- Controllers di dominio Windows- Servers web, DNS, SMTP, POP3, IMAP, FTP, SMB (su

piattaforma Windows e Linux)- Sistemi VoIP Cisco UCM- Tablets Android- Sistemi di videosorveglianza basati su IP cams

LOCKED SHIELDS 2014 AMBIENTE TECNICO

NON CLASSIFICATO


31/60

• Ogni Blue Team , da parte sua, deve:1) scoprire ed eliminare tutte le vulnerabilità presenti

nelle proprie reti nel minor tempo possibile (primache il Red Team riesca a sfruttarle);

2) gestire compromissioni di macchine non “patchate”in tempo o compromesse tramite vulnerabilitàapplicative web

3) rilevare e notificare attività malevole, anche di tipo“stealth” (high score!);

Attività di competenza (1/2)

NON CLASSIFICATO


32/60

4) comunicare alle altre Blue Teams gli eventi diattacco secondo una corretta gestione dell’incidente ;

5) inviare periodicamente al White Teams SITREPs erisposte agli injects nel rispetto dei tempi imposti;

6) comunicare ai media gli eventi in corso secondo unacorretta gestione delle pubbliche relazioni;

7) fornire consulenza legale, tramite il proprio “LegalTeam”, riguardo a specifiche richieste inoltrate dalWhite Team. Il Legal Team verrà anche “interrogato”dal White Team per valutare la sua comprensionedegli aspetti tecnici!


NON CLASSIFICATO


33/60

I Blue Teams NON conoscono la configurazione dellemacchine dislocate nella propria rete ma solo unoschema topologico.

Circa una settimana prima dello svolgimento della CDX,vengono loro concessi due sessioni di 8 ore giornaliereper condurre i propri assessment e un DAY0 di test.Viene inoltre loro concessa la possibilità di installare dueVM proprietarie (max 8 vCPU, 8 GB RAM,100 GB disk).

Alla fine del DAY0 tutte le macchine (eccetto le VMproprietarie) vengono ripristinate alla loro configurazioneoriginale (ogni patch è quindi inutile prima del DAY1).


NON CLASSIFICATO


34/60

• Ogni Blue Team viene valutato in termini di punteggioin base alle attività effettivamente condotte in modo damotivarli e misurare i loro skills.

• La valutazione avviene in modo automatico tramitescoring bots e uno scoring server, supervisionata eintegrata/corretta dal White Team.

• TUTTE LE ATTIVITA’ DI COMPETENZAPRECEDENTEMENTE ELENCATE SONO OGGETTODI VALUTAZIONE!

Valutazione e punteggio

NON CLASSIFICATO


35/60

• Tecnici (configurazione, hardening, patching, detectione remediation):- Sistemisti Cisco IOS (routers) e Cisco UCM (VoIP)

- Sistemisti Windows (XP, 7, Active Directory)- Sistemisti Linux (workstation e server)- Web masters / developers (server-side scripts)

• Operatori per coordinamento di Incident Response (information sharing e incident reporting)

• Consulenti legali

• Addetti stampa per comunicazioni ai media

LOCKED SHIELDS 2014PROFILI E RUOLI RICHIESTI

NON CLASSIFICATO


36/60

• Firewall specialists• ISD/IPS "watchkeepers"• Windows system analysts

• Linux system analysts• Malware analysts (incident handlers)• Network specialists• Reporters• Web developers (interventi sui siti web, analisi

di vulnerabilità delle applicazioni web)• Esperti legali

• Public Information Officers

LOCKED SHIELDS 2014ORGANIZZAZIONE DEL BLUE TEAM ITALIANO

NON CLASSIFICATO


37/60


NON CLASSIFICATO


38/60


NON CLASSIFICATO


39/60

Posizione Nazione Punteggio Team

1 POLONIA 27603 BT 6

2 LETTONIA+REP.CECA 24966 BT 10

3 ESTONIA 22003 BT 4

4 AUSTRIA+LITUANIA 20663 BT 5

5 ITALIA 19644 BT 3

6 FINLANDIA 18666 BT 11

7 NATO (NCIRC) 16806 BT 1

8 TURCHIA 12024 BT 7

9 GERMANIA+OLANDA 10517 BT 2

10 UNGHERIA 9189 BT 8

11 FRANCIA 8047 BT 12

12 SPAGNA 6460 BT 9

LOCKED SHIELDS 2014CLASSIFICA FINALE GENERALE

NON CLASSIFICATO


40/60

LOCKED SHIELDS 2014PUNTEGGIO PER TEAM / TIPOLOGIA

NON CLASSIFICATO


41/60

ANALISI DEGLI EVENTI

LOCKED SHIELDS 2014CONSIDERAZIONI GENERALI

NON CLASSIFICATO


42/60

• Esercitazione nettamente piú complessadelle CDX procedurali e semi-proceduralie ancora più complessa della LS2013

• Scenario verosimile ma impegnativo

• L’esercitazione coniugava aspetti tecnicicyber e aspetti procedurali cyber, cosìcome aspetti non-cyber classici diesercitazioni convenzionali (“injects”)

LOCKED SHIELDS 2014CONSIDERAZIONI GENERALI

NON CLASSIFICATO


43/60

• "Patchare" tutto il possibile quanto prima possibile

• Non permettere ai firewall di inoltrare il trafficoinbound/outbound finquando le macchine non

risultino "patchate" ad un livello accettabile (anchese questo significa perdere punteggio per gli SLA)

• Tenere attivamente sotto monitoraggio le macchinein rete con scripts proprietari per rilevare IoCs

(indicatori di compromissione)• Se un positivo viene rilevato, scalare l'evento

immediatamente ad un analista con maggioreesperienza, che provvederà a relazionare i reporters

LOCKED SHIELDS 2014LA NOSTRA STRATEGIA

NON CLASSIFICATO


44/60

• Ambiente eccessivamente popolato da visitatori eosservatori esterni

• Carenza di expertise sulla parte VoIP e Android

• Non corretta valutazione importanza del buonfunzionamento delle workstations utente Windows eAndroid, causando punteggio negativo ad opera delle"blondes"!

• Non corretta gestione degli injects non tecnici (ops,media, legal) e delle attività di reporting, causa dipunteggi negativi in ragione di ritardi

LOCKED SHIELDS 2014PROBLEMATICHE RISCONTRATE

NON CLASSIFICATO


45/60

• Scarsa cooperazione con gli altri BTs(esempio della Polonia)

• Scarsa qualità SITREPs (esempio Germania)• Impossibilità a configurare la VM IDS

proprietaria (Snorby) compatibilmente all'incapsulamento ERSPAN, costringendoci

all'uso dell'IDS di pfSense "preconfezionato “,utile ma non sofisticato

LOCKED SHIELDS 2014PROBLEMATICHE RISCONTRATE

NON CLASSIFICATO


46/60

• Punteggio negativo più basso di tutti i BlueTeam di tipo "Attack" (attacchi portati a

segno), grazie a una buona strategia di difesa(regole sui firewall e patching)• Ottima configurazione dei router BGP

(definita dai giudici di gara " bri l lante ") che ciha permesso di difenderci con successo dalBGP hijacking

LOCKED SHIELDS 2014PUNTI DI FORZA

NON CLASSIFICATO


47/60

LOCKED SHIELDS 2014CONSIDERAZIONI FINALI

NON CLASSIFICATO


48/60

NECESSITA' DI:

• PIU' TEMPO!Abbiamo iniziato a prepararci con troppo ritardo,

nonostatnte il fatto di aver avuto lo stesso problemail precedente anno

• Essere più selettivi sul personale (players). E' benescegliere solo persone realmente ben preparate, epossibilmente già in possesso di esperienza dipartecipazione alle precedenti edizioni della LockedShields

• Disporre di POS e checklists ben definite, e di toolscollaudati e pronti all'uso che hanno dimostrato difunzionare bene (scripts)


NON CLASSIFICATO


49/60

• Essere PUNTUALI nelle risposte agli injects• Ricevere feedback accurati dal White Team

(esempi di come le cose dovrebbero esserefatte) per imparare a produrre buoni reports ebuone risposte agli injects

• Considerare ogni aspetto / dispositivodell'esercitazione senza eccezione per evitaresorprese


NON CLASSIFICATO


50/60

• Esercitazione sbilanciata a favore delRed Team

• Necessità di:- grande impegno comune- personale- skills di alto livello

- coordinamento- comunicazione- preparazione (tempo)

• Ottima opportunità di apprendimento


NON CLASSIFICATO


51/60

Comando C4 Difesa

• Piattaforma di simulazione (ambiente di virtualizzazione) e locali difruizione presso il Comando C4 Difesa

• Coniugazione di risorse elaborative virtuali (VMs) e reali (networkappliances)• Utilizzabile per: ricerca , testing , addestramento , esercitazioni• Possibilitá di sinergia con molteplici partecipanti (Forze Armate,

Istituzioni, Ministeri, Accademia, NATO, industria, etc.)

Virtu al Cyb er Defenc e Batt le Lab

EVOLUZIONI CDVIRTUAL CYBER DEFENCE BATTLE LAB

NON CLASSIFICATO


52/60

Cisco UCS blade servers• Potenza (~ 200 VMs)• Modularitá (8 blades)• Semplicitá di gestione (web GUI)


NON CLASSIFICATO


53/60


SERVERS CISCO UCS (4BLADES + 4 ALIMENTATORI,

0.5 TB RAM)

nBox NETWORKRECORDER (nTop)

SAN QNAP

FIREWALL PALO ALTOFABRICINTERCONNECTS (x2)

NETWORK SWITCH

CASSETTI OTTICI(connettività in fibra)

NON CLASSIFICATO


54/60


INTERNET

DIFENET (PRODUCTION

NETWORK)

LABNETWORK

ATD (Advanced ThreatDefence) device

Cyber labvirtualizationinfrastructure

NON CLASSIFICATO


55/60

Locali di fruizione


NON CLASSIFICATO


56/60

Virtual Cyber Defence Battle Lab

MAX. 20 PLAYERS

MAX. 5 ADMINISTRATORS

OR … 25 SCIENTISTS

NON CLASSIFICATO


57/60


BLUE TEAM 3

NON CLASSIFICATO


58/60


BLUE TEAM 3

NON CLASSIFICATO

EVOLUZIONI CD


59/60

LAB / CDX ROOM

DIFENET

COMANDO C4D

AERONET

PIATTAFORMA DISIMULAZIONE

PLAYERS /SCIENTISTS

INTERNET

SAN

BLADES

FW

FI SWITCH MGMT

LOCALI DI FRUIZIONE

MARINTRANET

EINET

CERT EI

CERT AM

STELMILIT

CERT MM

SCUTI

SMD-2

CII

INDUSTRIE ESETTORE PRIVATO

PUBBLICHE AMMINISTRAZIONI

STRUTTURENATO

PARTNERSNATO

ALTRIPARTNERS

MININTMIUR

MISE

PCM

DIGIT-PA

MAE

NCIRC

CCDCOE

MEF

ENISA

tunnels VPN

QXN

MNE-7


NON CLASSIFICATO

CYBER DEFENCE E SIMULAZIONI LIVE FIRE


60/60

Domande?



Cdx Live Fire Feb 2015 Small

Documents

Transcript of Cdx Live Fire Feb 2015 Small