Metamorfosi delle minacce: metodologie e strumenti di diagnosi e contrasto

Transcript

1 esperienze, metodologie e strumenti di diagnosi e contrasto delle nuove minacce informatiche: consapevolezza e prevenzione Roma, 10 Ottobre 2014 h Metamorfosi delle minacce: metodologie e strumenti di diagnosi e contrasto CEO P.R.S. Planning Ricerche e Studi srl con il patrocinio di cybersecurity month.eu

2 con il patrocinio di 2

3 Il valore commerciale dei soli dati personali degli oltre 500 milioni di abitanti dei 28 paesi dell Unione Europea è stimato per il 2020 in circa miliardi di Euro (fonte Garante Privacy) La perdita/annua per Cybercrime è valutabile in oltre 1 punto di PIL (fonte Olanda - Centro di Studi e Ricerche Difesa); per Sistema Italia la stima si traduce in miliardi di /anno e tendenza in crescita Dei 1152 attacchi gravi censiti a livello mondiale nel 2013 solo 35 riguardano imprese, istituzioni o enti italiani (fonte Rapporto Clusit 2014) Dei 1152 attacchi gravi censiti a livello mondiale nel 2013 solo 35 riguardano imprese, istituzioni o enti italiani (fonte Rapporto Clusit 2014) con il patrocinio di 3

4 con il patrocinio di 4

5 facciamo un passo indietro con il patrocinio di 5

6 è un neonato è in salute però non è il suo e non è neppure maschio! con il patrocinio di 6

7 e se fossero i nostri dati? con il patrocinio di 7

8 Sistemi di produzione (es. applicazioni SW, impianti a controllo numerico, SCADA ecc.) Organizzazione (azienda/ente/amministrazione) Dati (in ns. data center oppure gestiti in cloud) Stakeholder (azionisti, clienti, fornitori e chiunque altro interessato a ns. prodotti e/o servizi) con il patrocinio di 8

9 tutto è tranquillo nel ns. data center quando è sferrato l attacco cyber i sistemi di alimentazione, di monitoraggio e di supporto operano al meglio con il patrocinio di 9

10 Fase 1 - Irruzione con il patrocinio di 10

11 Irruzione Il bersaglio è individuato, a valle di preventive ricognizioni di informazioni su portali, social network attraverso attività funzionali all adescamento (es. tramite mail di phishing, modifica dei risultati su motori di ricerca, video, campagne pubblicitarie, pendrive USB, ecc.) L obiettivo è creare una breccia attraverso cui accreditarsi all interno dell infrastruttura e sfruttare le sue risorse Target Browsers Runtimes Players/Viewers Punti deboli/elementi di vulnerabilità Corruzioni nell allocazione della memoria, puntamenti obsoleti (dangling pointers), Meccanismi di difesa del codice nativo non sufficientemente robusti (es. ASLR o casualizzazione dello spazio indirizzi) Java Runtime, servizi esposti ecc con il patrocinio di 11

12 Fase 2 - Insediamento con il patrocinio di 12

13 Insediamento Malware, backdoor e altre tipologie di codice malevolo si insediano nel sistema ospitante con l obiettivo di creare un punto di appoggio Le caratteristiche della psicologia umana possono contribuire ad amplificare le vulnerabilità dei ns. sistemi Beneficiari Sistema di Comando e Controllo dell entità criminale Strumenti Man in the Browser malware (disponibili anche pronti per l uso), HTML injection, POS malware, Remote Access Tool In generale si tratta di soluzioni in grado di sopravvivere a riavvii del sistema con il patrocinio di 13

14 Fase 3 - Espansione con il patrocinio di 14

15 Espansione Si è dentro al sistema e si può avviare il processo di sfruttamento delle sue risorse Il focus è su password presenti all interno della cache, accessi aperti ecc. Attraverso appositi strumenti si procede alla mappatura della rete alla ricerca dei dispositivi di interesse (routers, server, PC, mobile) Una volta individuati i dispositivi di maggiore interesse si procede a saltarci attraverso strumenti standard (o semi standard) Beneficiari Sistema di Comando e Controllo dell entità criminale Strumenti Tools standard o semi standard (pass the hash, psexec ecc) Tools per la mappatura della rete con il patrocinio di 15

16 Fase 4 - Sfruttamento con il patrocinio di 16

17 Sfruttamento Si è ancora dentro al sistema in cui si procede all aggregazione e inoltro verso l esterno di dati (con trasferimento/organizzazione in un luogo sicuro) In genere, gli hacker preferiscono utilizzare, come scalo tecnico, computer in rete piuttosto che server tendono a accumulare le info di interesse per poi esportarle in un colpo solo (i trasferimenti progressivi è più probabile possano essere scoperti) Beneficiari Sistema di Comando e Controllo dell entità criminale Strumenti "tunnel" telematici per la connessione in remoto, via Internet a server protetti Tool per mascherare l aumento dell utilizzo della memoria del server con il patrocinio di 17

18 Fase 5 - Disimpegno con il patrocinio di 18

19 Il danno è fatto L obiettivo è raggiunto L identità protetta dell attaccante rende complessa la sua individuazione anche perchè Disimpegno per l organizzazione colpita è prioritario contenere e rimediare tempestivamente al danno subito operativo economico di immagine con il patrocinio di 19

20 e se fossero i nostri dati? con il patrocinio di 20

21 Queste sono soddisfazioni! Quest azienda ha fatto proprio il suo dovere Ora vedrà cosa lo attende! Cosa non ha funzionato? Perché non funziona? Rifunzionerà? Cos è successo ai MIEI DATI? eppure il modulo G1ter dice che Rivoglio i MIEI DATI!!!! ORAAAAA! con il patrocinio di 21

22 Come prevenire la minaccia cyber? Protezione iniziale con il patrocinio di 22

23 Come prevenire la minaccia cyber? Soluzione tradizionale Protezione aggiuntiva Protezione iniziale Non è detto sia la migliore soluzione! Non è detto sia sufficiente! con il patrocinio di 23

24 - Facciamo un salto fino ai nostri giorni Obiettivo dell attacco: azienda multinazionale operante nel settore media & entertainment Autore dell attacco: gruppo Lulz Security (LulzSec) Effetti dell attacco: Tipologia di attacco: compromissione dei dati relativi a 77 milioni di utenti SQL Injection (rischio elevato OWASP Top10) -- Curiosi di vederlo? con il patrocinio di 24

25 Utente Password roberto apritisesamo login SELECT ID_Utente FROM Utenti WHERE UserName= 'roberto' AND Password= 'apritisesamo'; Utente roberto -- SELECT ID_Utente FROM Utenti Password non_so login WHERE UserName= 'roberto' --' AND Password= 'non_so'; con il patrocinio di 25

26 Come prevenire la minaccia cyber? Best practice (esempio imprese ICT USA) con il patrocinio di 26

27 Come prevenire la minaccia cyber? Best practice (esempio imprese ICT USA) con il patrocinio di 27

28 L approccio di per la consapevolezza e prevenzione delle minacce informatiche aree di indagine e di risultato ocus sul rischio con il patrocinio di 28

29 6 aree di indagine e di risultato Organizzazione, processi e risorse Cyber Risk e Control Assessment Gestione incidenti Cyber Consapevolezza Risk Mgmt Minacce/Vulnerab. Governo sicurezza Cyber f ocus sul rischio con il patrocinio di 29

30 Organizzazione, processi e risorse Cyber Risk e Control Assessment Gestione incidenti Cyber Ruoli, responsabilità e obiettivi Ownership e sistemi di delega Risorse finanziarie Staff Consapevolezza Risk Mgmt Minacce/Vulnerab. Formazione e training Governo sicurezza Cyber con il patrocinio di 30

31 Organizzazione, processi e risorse Cyber Risk e Control Assessment Gestione incidenti Cyber Regolarità e completezza di Risk assessment Prove di vulnerabilità Verifiche su terze parti Consapevolezza Risk Mgmt Minacce/Vulnerab. Governo sicurezza Cyber Prove di attacco e di recovery Esecuzione dei piani di mitigazione con il patrocinio di 31

32 Organizzazione, processi e risorse Cyber Risk e Control Assessment Gestione incidenti Cyber Efficacia delle Linee Guida Struttura di Comando e Controllo Procedure di monitoraggio, analisi, risposta e mitigazione di incidenti Consapevolezza Risk Mgmt Minacce/Vulnerab. Procedure di escalation Protocolli di comunicazione Governo sicurezza Cyber con il patrocinio di 32

33 Organizzazione, processi e risorse Cyber Risk e Control Assessment Efficacia e diffusione delle Basi di Conoscenza (hw, sw, network, perimetri ) Analisi degli storici Analisi correlata tra eventi, incidenti e investimenti Gestione incidenti Cyber Consapevolezza Risk Mgmt Minacce/Vulnerab. Governo sicurezza Cyber con il patrocinio di 33

34 Interc.ne/prevenzione di perdite di dati e incidenti cyber Software security Infrastrutture di rete Organizzazione, processi e risorse Cyber Risk e Control Assessment Config.ne e gestione degli standard Controllo accessi Gestione terze parti Clienti Gestione incidenti Cyber Consapevolezza Risk Mgmt Minacce/Vulnerab. Governo sicurezza Cyber con il patrocinio di 34

35 Policy e strategie Linee di difesa Audit interno Organi di vigilanza Benchmarking Condivisione esterna Organizzazione, processi e risorse Cyber Risk e Control Assessment Gestione incidenti Cyber Consapevolezza Risk Mgmt Minacce/Vulnerab. Governo sicurezza Cyber con il patrocinio di 35

36 Light aree di indagine e di risultato Approfondito Continuativo + modalità con il patrocinio di 36

37 + benefici Stato dell arte organizzazione per la sicurezza infrastruttura applicazioni Prima valutazione del grado di esposizione alla minaccia cyber Identificazione delle aree di intervento prioritario con il patrocinio di 37

38 in + + benefici Analisi del rischio Analisi delle vulnerabilità (rete, applicazioni, codice sw ) Ethical hacking Ruoli e responsabilità Procedure con il patrocinio di 38

39 in + + benefici in + Ripetizione periodica Monitoraggio iniziative Analisi causale eventi/incidenti Supporto alla governance con il patrocinio di 39

40 L approccio in sintesi 6 + aree di indagine e di risultato f + rischio modalità cyber security ocus sul benefici e 3 con il patrocinio di 40

41 se + 6 consapevole cyber security 6 + già sicuro con il patrocinio di 41

42 Grazie per l attenzione! con il patrocinio di 42