Vulnerability management da incubo a processo economicamente sostenibile

Transcript

1 Vulnerability management da incubo a processo economicamente sostenibile Alessio L.R. Pennasilico - apennasilico@clusit.it Fabrizio Cassoni - fabrizio.cassoni@f-secure.com 8 Giugno 2017

2 Alessio L.R. Pennasilico, aka -=mayhem=- Cyber Security Advisor Membro del Comitato Direttivo e del Comitato Tecnico Scientifico Vice Presidente del Comitato di Salvaguardia per l Imparzialità Presidente dell Associazione Informatici Professionisti (AIP) Membro del Comitato di Schema UNI Informatico Professionista

3 Fabrizio Cassoni Sales Engineer

4 Vulnerability is defined in the ISO standard as A weakness of an asset or group of assets that can be exploited by one or more threats (International Organization for Standardization, 2005)

5 Objective The main objective of a vulnerability management process is to detect and remediate vulnerabilities in a timely fashion

6 E necessario! 2% 1% Malware DDOS Defacement 97% Rapporto Clusit 2017, Rilevazioni sulla rete Fastweb

7 Chi ci attacca è organizzato e preparato: sa dove colpire!

8 Un incidente Intacca il patrimonio (informativo?) Aziendale E necessario un processo che assicuri la tutela degli asset aziendali con un rapporto costi / benefici positivo

9 Il framework di Cyber Risk Governance

10

11 Vulnerability Management LifeCycle Assess Report Report Verify Prioritise Mitigate Remediate

12 La complessità è il vero problema

13 Il processo di VM è una cartina al tornasole n n n Misura la presenza e l efficacia dei processi di hardening Misura l aderenza ad eventuali policy (compliance) Riscontra l analisi del rischio tecnologico Permette insomma di rispondere alla domanda: Ma tutto quel che stiamo facendo, che costa soldi e fatica Ottiene i risultati voluti?

14 Gestire le vulnerabilità n n n n n Conoscere le minacce Conoscere le vulnerabilità Ratificare il mio piano di gestione dei rischi presenti u Eliminare u Risolvere u Mitigare u Trasferire u Accettare Verificare che le azioni intraprese siano state efficaci Ratificare che il risultato finale sia in linea con il Risk Appetite

15 Un esempio? Mirai botnet Telecamere cinesi con password di default uguale su tutti i device installati nel mondo Un banale vulnerability scan avrebbe individuato il problema, permesso di gestirlo ed evitare di essere coinvolti nell incidente, se non l incidente stesso!

16 Perché lo devo fare? Non farlo costa troppo denaro (tipicamente in danni )

17 Di cosa mi devo preoccupare? Troppo spesso le tecniche di attacco si basano su banali dimenticanze, dovute a: u Assenza di un processo di hardening (efficace) u Assenza di un processo di Vulnerability Management Troppo spesso vengono ancora sfruttate vulnerabilità dovute a: u Software obsoleti u Mancanza di patch u Comuni errori di configurazione o configurazioni di default

18 0 day / APT / (scegliete la parola sexy da brochure che preferite ) Gartner riporta che il 90% degli attacchi che hanno successo vengono portati contro vulnerabilità note per le quali sono già disponibili patch o configurazioni sicure

19 THE RISK IS HUGE Instances of malware have almost doubled every year since On average, 19 new vulnerabilities emerge daily 2 In 2014, cyber attacks reached 117,339 per day 3 Sources: 1) AV Test 2) National Vulnerability Database 3) PwC, The Global State of Information Security Survey 2015

20 YOUR COMPANY IS A TARGET 75% of attacks occur at the application layer (1 86% of web applications have serious security issues (2 52% of the issues are long-known Patch deployment is not immediate (3 Third party applications amount to 80% of vulnerabilities (4 Sources: 1) Gartner 2) HP 2015 Cyber Risk Report 3) SANS Institute 4) National Vulnerability Database

21 Case Study: Dragonfly Dragonfly è un gruppo di criminali-hacker di élite, sospettato di avere sponsor «statali» Noti per una serie di operazioni di spionaggio dal 2014 Durante un indagine condotta su un server C&C attribuito a Dragonfly, sono stati trovati installer per sistemi di controllo industriali trojanizzati

22 Modus operandi di Dragonfly Nel 2016, lo schema di Dragonfly è emerso con chiarezza I trojan erano stati installati manualmente sulle reti di molte aziende manifatturiere Da questo punto di ingresso, gli criminali hanno studiato le reti per trovare i bersagli più vitali L ultimo stage dell attacco è l installazione di un Ransomware che blocca l accesso alle macchine critiche dell azienda, al fine di ricattarla

23 La porta di ingresso Il primo stadio dell attacco, l installazione del trojan, viene portato manualmente Per fare questo, il criminale, effettua una ricerca generica su Internet di macchine accessibili e che presentino vulnerabilità note Crea una lista di priorità e inizia l attacco dei bersagli più interessanti Ricerca > compromissione > ricognizione > attacco alle strutture critiche > richiesta di riscatto

24 Case History: 12 Maggio WannaCry n n n Un malware ibrido, che combina il motore di replicazione di un Worm di rete con le feature caratteristiche di un Ransomware, ha attaccato diversi sistemi appartenenti al sistema sanitario nazionale britannico Da lì, il malware si è diffuso in oltre 60 Paesi, provocando disservizi e perdita di dati Gli alias più comuni con cui viene chiamato questo Ransomware sono: WannaCry, WCry, WannaCryptor, WanaCrypt

25 WannaCry: meccanismo di diffusione n n n n Malgrado le ipotesi iniziali, non sono state scoperte mail utilizzate come vettore dell infezione WannaCry si propaga mediante il protocollo SMB, tipicamente utilizzato sulle reti Windows-based da servizi come la condivisione di file e cartelle Per diffondersi, utilizza un exploit noto da marzo e denominato EternalBlue, la cui scoperta viene attribuita alla NSA Il codice di EternalBlue sarebbe stato sottratto alla NSA da un gruppo di hacker chiamato The Shadow Brokers

26 Attivazione n n n Come avviene nella tipica diffusione di un Worm di rete, la macchina infetta inizia a cercare altri computer vulnerabili (mssecsvc.exe) Quando il Ransomware (tasksche.exe) entra in azione, esegue la cifratura dei file su disco in base alla loro estensione Per sbloccare i dati, chiede un riscatto intorno ai $300 in Bitcoin

27 Vulnerability Management LifeCycle Il processo di Vulnerability Management di chi attacca è più efficiente ed economicamente sostenibile e redditizio rispetto a quello delle sue vittime!

28 MEET F-SECURE RADAR A VULNERABILITY MANAGEMENT SOLUTION THAT GIVES YOU THE TOOLS AND CONTROL TO MANAGE THE RISK

29

30

31

32

33

34

35

36

37

38

39 Conclusioni Per essere efficiente ed efficace deve automatizzare i task nei quali sono più efficienti le macchine e permettere alle persone di concentrarsi su quel che i computer non possono decidere (ancora?) I singoli step sono spesso banali E lo scenario nella sua complessità ad essere difficile da gestire

40 Conclusioni Il processo di Vulnerability Management è e deve essere economicamente vantaggioso Non occuparsene nel modo corretto espone l organizzazione a rischi oggi inaccettabili

41 Grazie dell attenzione! Domande? FaceBook: alessio.pennasilico linkedin: alessio.pennasilico