Over Layer 7 – fantasia o realtà? (part 2) Over Layer 7 – fantasia o realtà? (part 2)

M. Della Marina – D. TionM. Della Marina – D. Tion

LO SCENARIO [3]

I PROBLEMI [3] Ho bisogno di lavorareHo bisogno di lavoraredal telefono, dal pc,dal telefono, dal pc,dal mio computerdal mio computer

di casadi casa

Come faccio a garantireCome faccio a garantirele funzionalità ad Alicele funzionalità ad Alice

pur proteggendo l'aziendapur proteggendo l'aziendae i suoi dati?e i suoi dati?

LE NUOVE SFIDEsicurezza perimetrale?

LE NUOVE SFIDEsicurezza perimetrale?

LE NUOVE SFIDEInternet of things [IoT]

LE NUOVE SFIDEeffetti “virali”

Il tuo smartphoneIl tuo smartphone

può infettare può infettare

la rete aziendalela rete aziendale

LE NUOVE SFIDEnuove modalità di accesso al dato

nuove esigenze di controllo Oggi dobbiamo Oggi dobbiamo

poter accedere ai dati poter accedere ai dati in qualunque momentoin qualunque momento

da qualsiasi luogoda qualsiasi luogocon qualsiasi dispositivocon qualsiasi dispositivo

Come distinguo Come distinguo le attività illecite le attività illecite da quelle lecite?da quelle lecite?

NUOVO APPROCCIO

E' necessario spostare il controllo

Dai DISPOSITIVI All' UTENTE

The user is the weakest security link

in a organisation.

Introduciamo il concetto di Layer 8nel modello ISO/OSI

ISO/OSI STACK

MA ESISTE IL LAYER 8?

LAYER 8 PICNIC?

(Problem In Chair, Not In Computer)

Layer 8 problem

Layer 8 is used to refer to "user" or "political" layer on top of the OSI model of computer networking.

The OSI model is a 7-layer abstract model that describes an architecture of data communications for networked computers The layers build upon each other, allowing for abstraction of specific functions in each one. The top (7th) layer is the Application Layer describing methods and protocols of software applications.

It is then held that the user is the 8th layer.

Network appliances vendor like Cyberoam claim that Layer 8 allows IT administrators to identify users,control Internet activity of users in the network, set user based policies and generate reports by username.

According to Bruce Schneier and RSA:

Layer 8: The individual person.Layer 9: The organization.Layer 10: Government or legal compliance

Since the OSI layer numbers are commonly used to discuss networking topics, a troubleshooter may describe an issue caused by a user to be a layer 8 issue (Wikipedia)

RFC 2321 - “RITA” I layer over 7 sono

stati citati (anno 1998) nel RFC 2321

“RITA” (Reliable Internet Troubleshooting Agent)

This tool has broad areas of application at all levels of the OSI model; in addition to uses in the physical,network, transport and application layers, it has been used to successfully address problems at the political and religious layers as well. (April Fools' Day Request for Comments)

ISO/OSI STACK “reloaded” Mah ...

I PROBLEMI [3bis] Ho bisogno di lavorareHo bisogno di lavoraredal telefono, dal pc,dal telefono, dal pc,dal mio computerdal mio computer

di casadi casa

Come faccio a garantireCome faccio a garantirele funzionalità ad Alicele funzionalità ad Alice

pur proteggendo l'aziendapur proteggendo l'aziendae i suoi dati?e i suoi dati?

L'idea di BOB

In accordo con le policy aziendali, per Alice ho necessità di:

● Consentre l'accesso ai dat dell'area “Sales”● Monitorare gli accessi ai dat● Defnire un orario di accesso da remoto (VPN)● Limitare l'utlizzo di Facebook e YouTube● Bloccare l'utlizzo di DropBox● Incrociare i dat del controllo accessi/tmbratura

con gli accessi ai dat● Limitare l'accesso ai dat alle sole aree geografche consentte● Impedire il collegamento VPN se Alice ha installato

sui propri devices applicazioni non sicure

Ho bisogno di definire un insieme di policy di sicurezzache devono essere applicate ad Alice

Indipententemente dalle modalità e da luogo di fruizione dei dati

Mr. BOB (in un ambiente ideale)

● Si confronta con il CISO e assieme identificano le esigenze di security dell'azienda, basandosi su log e dati raccolti dai sistemi in essere

● Si confronta con il fornitore per identificare la soluzione tecnologica più adatta (magari concordando un P.O.C. e documentandosi/testando adeguatamente il prodotto)

● Progetta gruppi e policy da implementare, secondo una roadmap estesa in tempo adeguato (mesi!)

● Configura l' “Identity Based Policy Manager” con la dovutaprudenza e a step successivi

● Monitora il comportamento del sistema e i feedback utente

FORZA, BOB!!![3] Firewall...Firewall...

Ma quanto mi costi... Ma quanto mi costi...

In primo luogo è necessario identificare l'utente, via:

● Credenziali● Token di autenticazione● Sistemi biometrici● IPSEC/VPN● SSL/VPN● Certificati

Il firewall può usare DB locali ointerfacciarsi con LDAP, Radius, SSO...

Identificazione utente

Definizione utenti/gruppi

Identity Based Policy

Come vedete, ogni policy Come vedete, ogni policy è è dinamicamentedinamicamente associabile associabile

a utenti e/o gruppia utenti e/o gruppi

User centric logs/reports Sono in grado di comprendereSono in grado di comprendereil comportamento della reteil comportamento della reteda diversi punti di vista....da diversi punti di vista....

Geo-IP filter Posso bloccare traffico Posso bloccare traffico

relativo a specificherelativo a specifichearee geografichearee geografiche

BotNET filter Utilizzano servizi cloudUtilizzano servizi cloud

per identificare possibili botNETper identificare possibili botNETattive sulla reteattive sulla rete

Endpoint control Tramite un agente Tramite un agente posso controllare posso controllare

l'hardware e il software l'hardware e il software installato sui clientinstallato sui client

Mobile devices control Posso bloccare la connessione Posso bloccare la connessione

a dispositivi con app non autorizzate a dispositivi con app non autorizzate

I player se ritenete Gartner affidabile... se ritenete Gartner affidabile...

User Threat Quotient (UTQ)

Next steps

Time to eat

Over Layer 7 – fantasia o realtà?Over Layer 7 – fantasia o realtà?

Michele Della Marina Michele Della Marina dellamarina@darnetltd.co.uk dellamarina@darnetltd.co.uk

Dario TionDario Tionton@darnetltd.co.ukton@darnetltd.co.uk

Thanks to:Thanks to:Google ImageGoogle Image

DELL-Sonicwall, Sophos, CheckPoint, PaloAlto DELL-Sonicwall, Sophos, CheckPoint, PaloAlto GartnerGartner

Bob Aggiustatuto & Alice nel suo paeseBob Aggiustatuto & Alice nel suo paeseTamron, il cafè e la pastaTamron, il cafè e la pasta

The crazy horse The crazy horse