Metodologia per la simulazione degli attacchi e per l analisi delle minaccie contro le applicazioni web. OWASP Security Summit Roma 9 Giugno 2011

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Metodologia per la simulazione degli attacchi e per l analisi delle minaccie contro le applicazioni web. OWASP Security Summit Roma 9 Giugno 2011"

Transcript

1 Metodologia per la simulazione degli attacchi e per l analisi delle minaccie contro le applicazioni web Marco Morana Sr. VP/TISO Citigroup North America Security Summit Roma 9 Giugno 2011 Copyright 2011 The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

2 What is? 2

3 Agenda Della Presentazione PARTE I: I nuovi scenari di attacco ai siti web: dati e statistiche PARTE II: La metodologia per la simulazione degli attacchi e delle minaccie PARTE III: Esempio dell uso delle methodologia per l analisi delle minaccie, attachi e calcolo dei rischi causati da banking-malware 3

4 PARTE I: I nuovi scenari di attacco: dati e statistiche 4

5 Il cambiamento dello scenario delle minaccie alle applicazioni Lo scenario delle minaccie e cambiato drammaticamente rispetto a dieci anni fa, alcuni esempi: Gli attori di attacco sono motivati dal denaro (e.g. furto di dati di carta di cerdito per vendita, frodi finanziarie) Gli attori di attacco fanno parte del crimine organizzato (e.g. spie dei segreti/proprieta intelletuale e gruppi terroristici) I target sono le aziende e in particolare il settore finanza SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape 5

6 Dati sulle minaccie del malware e hacking Contribuiscono alla maggioranza delle perdita dei dati (2010) Cosituiscono le minaccie principali per tipologia di attacco Source: Verizon Data Breach investigation Report: 6

7 I targets delle minaccie malware e hacking I siti e le applicazioni web costituiscono la percentuale piu alta presa di mira dagli attacchi di malware e hacking I tipi di dati piu a rischio sono dati sensibili (e.g. carte di credito) Source: Verizon Data Breach investigation Report: 7

8 Gli Attori Delle Minaccie Dietro Gli Attacchi di Hacking e Malware Il presunto hacker si e appena svegliato e sorseggiando il caffe (o tea o magari vodka) inizia la sua giornata di lavoro con una bella lista di indirizzi IP di computer compromessi e di logins per autenticarsi ai siti. Lo step successivo consiste nel spendere alcune ore a distibuire malware nei PC compromessi e rivedere la lista dei PC della settimana scorsa per aggiornarsi sui dati collezionati. Dopo di che e ora di andare a casa ad accudire moglie e figli. CyberCrime & Doing Time A Blog about Cyber Crime and related Justice issues: 8

9 Sherlock Holmes vs. Dr Jerkill/Mr Hyde 9

10 L approccio al rischio conosco ma non faccio nulla

11 L approccio al rischio Paura Incertezza e Dubbio Paura di essere fuori norma => multe e restrizioni e controlli (e.g. SEC, PCI etc) Paura di perdere la reputazione => nel caso di perdita di dati sensibili, forzato a notificare il pubblico (SB 1386) Paura di cause penali => nel caso la vittima della frode e il business-cliente invece che l utente Incerto sulle cause e le conseguenze=> Siamo noi il target? Se lo siamo quanto denaro potremmo perdere? Dubbi sulla efficacia delle contro misure=> Non ci fidiamo delle nostre mezzi, processi e persone

12 L approccio al rischio come antagonista a chi il rischio lo deve mitigate Noi vs. Loro (Dept. Sicurezza vs. Dev/IT/Business Units): Mitigazione faccendo ricorso alla pillola magica Non c e dimostrazione di come gli attachi avvengono e impattano i business Non c e nessun incentivo a collaborare fra chi il rischio lo identifica e chi lo deve mitigare con le contromisure

13 L approccio al rischio Persone, Processi e Technologie Personale preparato e qualificato per rispondere agli incidenti Processi adequati per l identificazione degli errori di design e le vulnerabilita che vengono sfruttati dagli hackers Technologie e contromisure per la mitigazione delle minaccie del malware e hackers 13

14 PARTE II-Introduzione al metodo di Threat Modeling PASTA (Process for Attack Simulation and Threat Analysis) 14

15 La Methodologia Per L Analisi Delle Minaccie [Application] Threat Modeling Un processo strategico che punta a considerare le minaccie, i possibili scenari di attacco e le vulnerabilita che possono essere sfruttate nell ambiente applicativo con lo scopo di gestire rischi e livelli di impatto. Si basa su diversi metodologie per la determinazione delle minaccie e correlazione con le vulnerabilita Si focalizza su diversi aspetti per la mitigazione delle minaccie: Architettura & Software (design) Gli assetti a rischio (dati, server, applicazioni) Prospettiva di attacco o di difesa

16 Metodologia Threat Modeling di Methodolgia simplificata: Focalizzata sulle minaccie al software Non include l analisi ed il calcolo dei rischi L analisi delle minaccie e fatta a diversi livelli Threat Risk Modeling

17 Metodologia Threat Modeling STRIDE di Microsoft User/ Browser I. Spoofing II. Repudiation HTTPs Request HTTPs Responses DMZ (User/Web Server Boundary) Web Server Application Calls (.do) Application Responses Internal (Web Server/ App & DB Server Boundary) Application Server Auth Data XML/HTTPS Authentication Credential Store XML/HTTPS Message XML/JMS Service Message Response SQL Query Call/ JDBC MFA RBA/ Fraud Detection Messaging Bus I. Tampering II. Repudiation III. Info Disclosure IV. Denial OF service Financial Transactions (ACH, wires external transfer) Restricted Network (App & DB Server/Financial Server Boundary) Financial Transaction Processing MainFrame 17

18 Limitazioni Delle Metodologie Di Threat Modeling Usate Oggi Diverse metodologie ma nessuna e adottata a larga scala STRIDE & DREAD non sono metodologie ma modelli per la classificazione delle minaccie e dei rischi Limitate nello scopo (e.g. assetto, attacco, software, security centriche) non tutti gli approcci considerano l analisi degli errori di design Limitate nell adozione nella SDLC sopratutto rispetto ad altre attivita (e.g. review codice sicuro, pen testing) Non sono parte dei processi di InfoSec (e.g. information security risk management, fraud, incident response) Processi soggettivi ed ad-hoc si basano sull esperienza di chi fa l analisi SMEs (Subject Matter Experts)/Security Architects/Consultants

19 La ricetta per la P.A.S.T.A Threat Modeling Si focalizza sugli asset di business come target degli attacchi Include tutti i processi per la (e.g. intelligence) mitigazione strategica dei rischi Si basa sulla analisi degli scenari di attacco Si focalizza nelle minimizzazione dei rischi delle applicazioni e degli impatti per il business

20 The P.A.S.T.A Threat Modeling Methodology 20

21 Gli utenti della metodologia P.A.S.T.A Business managers che in questo modo possono incorporare i requisiti di sicurezza per mitigare i rischi Architetti delle applications che cosi possono identificare gli errori del design e identificare le contromisure per rimediarli e per proteggere i dati e gli assets Sviluppatori che cosi possono capire se il software e vulnerabile ed esposto agli attacchi Security testers che possono usare i casi di use e abuso e le librerie di attacco per testare l applicazione Project managers che cosi possono gestire la remediazione dei diffetti in modo piu efficace CISO che cosi possono prendere decisioni su come mitigate i rischi a livello applicativo 21

22 PART III-Uso della methodologia PASTA per l analisi delle minaccie, attacchi e dei rischi del banking-malware 22

23 Gli steps della analisi del banking malware usando la metodologia P.A.S.T.A. I. Documentazione dei requisiti per l analisi dei rischi delle minaccie banking malware, attachi e vulnerabilita II. Definizione dello scopo tecnico dell analisi III.Analisi della sicurezza del sito dal punto di vista dei controlli di sicurezza a livello architetturale e di funzione IV. Studio e analisi delle minaccie dai dati di intelligence V. Analisi delle vulnerabilita che possono essere sfruttate dalle minaccie per causare un impatto VI. Modelli degli scenari di attacco VII.Formulazione della strategia per la mitigazione del rischio e per la riduzione dell impatto a livello di business 23

24 STAGE I Definizione Degli Obbiettivi di Sicurezza e Del Business: Cattura dei requisiti per l analisi e la gestione dei rischi di banking malware 24

25 Analisi Preliminare Degli Impatti Impatti per l azienda/business Perdita di denaro a causa di frodi (e.g. transferimento illegale di denaro) e perdita di dati sensibili del cliente Non responabilita legale per frodi contro clienti-business e causa di azioni legali da parte degli stessi Perdita di reputazione/immagine a causa della notificazione al pubblico della perdita dei dati sensibili dei clienti, questo ha anche un impatto sulla fedelta dei clienti Non in regola con la legge e la regolamentazione di sicurezza (e.g. PCI-DSS, FFIEC/OCC, GLBA, SB 1386, FACT Act, PATRIOT Act) e causa di multe e controlli costosi compliance Impatti per I clienti Furto di login per l accesso a siti di on-line banking Furto dei dati sensibili Perdita di denaro dal conto nel caso di conti aziendali/privati

26 Obbiettivi Dell Analisi e Requisiti Di Sicurezza e di Regolamentazione Project Business Objective Perform an application risk assessment to analyze malware banking attacks Identify application controls and processes in place to mitigate the threat Comply with FACT Act of 2003 and FFIEC guidelines for authentication in the banking environment Analyze attacks and the targets that include data and high risk transactions Identify a Risk Mitigation Strategy That Includes Detective and Preventive Controls/Processes Security and Compliance Requirement Risk assessment need to assess risk from attacker perspective and identify on-line banking transactions targeted by the attacks Conduct architecture risk analysis to identify the application security controls in place and the effectiveness of these controls. Review current scope for vulnerability and risk assessments. Develop a written program that identifies and detects the relevant warning signs or red flags of identity theft. Perform a risk assessment of online banking high risk transactions such as transfer of money and access of Sensitive Customer Information Analyze attack vectors used for acquisition of customers PII, logging credentials and other sensitive information. Analyze attacks against user account modifications, financial transactions (e.g. wires, bill-pay), new account linkages Include stakeholders from Intelligence, IS, Fraud/Risk, Legal, Business, Engineering/Architecture. Identify application countermeasures that include preventive, detective (e.g. monitoring) and compensating controls against malwarebased banking Trojan attacks

27 STAGE II Definizione dello Scope Tecnico Dell Analisi Definizione dello scopo di threat modeling relativo ai requisiti dell analisi 27

28 Profilo Della Applicazione In Scopo Dell Analisi: Sito Online Banking Application Profile: Online Banking Application General Description The online banking application allows customers to perform banking activities such as financial transactions over the internet. The type of transactions supported by the application includes bill payments, wires, funds transfers between customer s own accounts and other bank institutions, account balance-inquires, transaction inquires, bank statements, new bank accounts loan and credit card applications. New online customers can register an online account using existing debit card, PIN and account information. Customers authenticate to the application using username and password and different types of Multi Factor Authentication (MFA) and Risk Based Authentication (RBA) Application Type Data Classification Inherent Risk High Risk Transactions User roles Number of users Internet Public, Non Confidential, Sensitive and Confidential PII HIGH YES Visitor, customer, administrator, customer support representative 3 million registered customers

29 Definizione Dello Scopo Tecnico Dell Analisi Informazione estratta dai documenti di progetto: Componenti della applicazione web in funzione dei livelli funzionali (presentazione, logica, dati) Topologia della rete (firewall, servers, routers etc) Protocolli e processi che sono parte dell architettura end to end (diagrammi del flow dei dati) Scenari e funzioni d uso (diagrammi di sequenza) Modello della applicazione in supporto dell analisi: Gli assets dell applicazione (e.g. dati/servizi a diverse sezioni della architettura applicativa) I controlli di sicurezza dell applicazione (autenticazione, autorizzazione, crittografia, gestione della session, validazione dell input, archivio e logs) Le interazioni fra l utente e l applicazione per le varie transazioni web (e.g. login, registrazione, query dei dati etc)

30 Scopo della Architettura: On-line Banking Application Architecture Diagram 30

31 Transazioni di On-Line Banking in Scopo Per L Analisi Identifica le transazioni on-line che sono possibili targets per malware e hacking (e.g. transazioni ad alto rischio): Funzioni di login (e.g. registrazione, reset userid/pwd) Funzioni per la gestione del profilo (e.g. cambio del profilo/account , indirizzo, telefono etc) Funzioni di autenticazione con fattore multi-factor Transazioni riguardandi validazione del customer con dati sensibili (e.g. validazione di CCN#, CVV, ACC# and PINs for registrazione e per apertura di conto) Accesso a dati confidenziali e sensibili (e.g. ACC#, CCN#, SSN, DOB) Transazioni bancarie as alto rischio: Transfermienti di denaro a conti esterni ACH Bonifici, Pagamenti 31

32 STAGE III Analisi dell applicazione: Identificazione dei controlli di protezione dei dati/assets e efficacia del controlli stessi nella mitiazione del rischio di attacchi da banking malware 32

33 Analisi del data flow di processo della applicazione di Online Banking User/ Browser HTTPs Request HTTPs Responses DMZ (User/Web Server Boundary) Web Server Application Calls (.do) Application Responses Internal (Web Server/ App & DB Server Boundary) Application Server Auth Data XML/HTTPS Authentication Credential Store XML/HTTPS Message XML/JMS Service Message Response SQL Query Call/ JDBC MFA RBA/ Fraud Detection Messaging Bus Financial Transactions (ACH, wires external transfer) Restricted Network (App & DB Server/Financial Server Boundary) Financial Transaction Processing MainFrame 33

34 Analisi Dell Efficacia Dei Controlli di Sicurezza a Livello delle Transazioni Online 34

35 STAGE IV Identificazione Delle Fonti Di Intelligence Per L Analisi delle Minaccie: Identificazione ed elaborazione di informazioni sulle minaccie dalle fonti di intelligence al fine di poter analizzare gli scenari e vetori di attacco usati dal banking malware 35

36 Identificazione Delle Fonti Di Intelligence Esempio di cosa si puo apprendere dalle fonti di intelligence: 1)Un Fonti nuovo esterne banking di informazioni trojan e distribuito via siti vulnerabili su attacchi di a banking iniezione malware di data in frames oppoure via Fonti spear phishing interne, direttamente per esempioai da clienti di banca (targeted) 2)Il frodi malware e attacchi/incidenti inietta codice (SIRT) HTML nel browser durante Fonti una sessione di informazione autenticata publica di on-line e a banking ai fini di rubare dati pagamento: sensibili dall utente 3)Il malware APWG comunica con il server botnet Commando CERT e Controllo C&C Trusteer Digital PhisNet 4)Il C&C serve codice al trojan e permette UK Payments all hacker Administrationdi FS-ISAC condurre transazioni impersonando Verizonl utente IC3 Verisign idefense 5)Il malware Internet Fraud mantiene Alerts li conto bancario in balance Zeus Tracker per non essere notato dai sistemi anti-frode (ifraudalert.org)

37 Dati Statistici Sui Banking Trojan Targets Source Domini target del Zeus trojan

38 Trends di Banking Malware

39 Scenario di Attacco Del Banking Malware 39

40 Esempi Di Incidenti Di Banking Malware Riportati Dagli Utenti 40

41 Esempi Di Vettori Di Attacco Estratti Dall Intelligence 41

42 Profilo Di Minaccia Del Banking Malware 1. E configurabile per diversi target di banche 2. Utilizza diversi tipi di attacco per infettare il PC utente/browser 3. Accetta e manda comandi al command control server 4. Evade le difese di client e applicazione come Anti-Virus, SS/TLS, MFA C/Q e fraud detection systems 5. Inietta codice HTML nel browser della vittima al fine di catturare conti, logins, data i sensitibili in sessione autenticata 6. Ruba is certificati di autenticazione 7. Ruba input alla tastiera usando keyloggers e form grabbers 8. Permette all hacker di transferire denaro dal conto vittima 42

43 STAGE V Analisi delle vulnerabilita : Analisi delle vulnereabilita e dei gap dei cotnrolli di sicurezza che sono sfrutatte per condurre gli attacchi 43

44 Correlazione Delle Minaccie di Banking Malware con lo sfruttamento delle vulnerabilita Social Engineering/Phishing Sfruttano debolezze in anti-phishing controls (e.g. EV SSL) Mancanza di informazione al client circa minaccie di banking malware Imposessamento delle login e dati sensibili Mancanza di protezione dei dati (e.g. unsecure cookies, tokens, unsecured secrets and certificates for authentication) Injection di malware via Iframe, SQL inj vulns (e.g. per il dropping), Errori di implementazione di autorizzazione Error nella logica di validazione del customer (e.g. PINs, ACC#) Perdite Finanziarie Sfruttano errori dell implementazione e progetto di authenticazione delle transazione (e.g. MFA bypass, weak authentication) Vulnerabilita session management della transazione (e.g. session fixation, session riding/csrf) Vulnerabilita in non repudiazione (e.g. one-way SSL) 44

45 Vulnerabilita Client- Servers A Livello Architettura Presentation Tier Represents the top most level of the application. The purpose of this tier is to translate commands from the user interface into data for processing to other tiers and present back the processed data > Get MY Account Info And Account Activity browser ` > Account#:***8765 Balance: 45,780 $ Last Transaction: 5/25/09 browser ` Weak Anti-Phishing and Anti-UI- Spoofing Controls & Warnings Browser Vulnerabilities & Flaws Logic Tier This layer processes commands and makes decisions based upon the application business logic It also moves and processes data between the presentation and the data tier Servers Servers Authentication, Authorization, Identification and Session Mgmt. Vulnerabilities and Design Flaws Data Tier Is the layer responsible for data storage and retrieval from a database or file system Query commands or messages are processed by the DB server, retrieved from the datasource and passed back to the lo the logical tier for processing before being presented to the user Query Account#, Balance, Transaction History Flaws and Vulnerabilities While Protecting Data/Transaction Confidentiality and Integrity Database Storage 45

46 Top Malware Propagation Vulnerabilities 46

47 Vulnerabilta potenzialmente sfruttate da banking malware Black Box Testing White Box Testing

48 STAGE VI Modello Degli Attacchi: Modello degli attacchi di banking malware 48

49 Analisi Banking Malware Con Attack Trees Fraudster Fraudster Upload Malware on Vulnerable Site Attack Victim s Vulnerable Browser Phishing , FaceBook Social Engineering Use Stolen Banking Credentials/ Challenge C/Q Drive-by Download/ Malicious Ads Upload Banking Malware on Customer s Pc Phish User To Click Link With Malware Remote Access To Compromised PC Through Proxy Steal Digital Certificates For Authentication Man In The Browser Steals Keystrokes with Key-logger Logs into Victim s Online Bank Account Delete Cookies Forcing to Login To Steal Logins Modifies UI Rendered By The Browser Redirect Users To Malicious Sites Perform Unauthorized Money Transfer to Mule Harvest Confidential Data/ Credentials From Victim Sends Stolen Data to Fraudster s Collection Server Money Transferred From Mule to Fraudster 49

50 Analisi di Attacco a Login Con Use and Abuse Cases Login With UserID password over SSL Threatens Key logger/from grabber captures keystrokes incl. credentials Includes Includes Drops Banking Malware on victims/pc Includes User Includes Trust connection by IP and machine tagging/browser attributes Threatens Set IP with Proxy/MiTM to same IP gelocation of the victim Hijacks SessionIDs, Cookies, Machine Tagging Includes Includes Includes Includes Communicate with fraudster C&C Fraudster Includes Enter One Time Password (OTP) to authenticate transaction Threatens Threatens Capture OTP on web channel and authenticate on behalf of the user Includes Includes Threatens Capture C/Qs in transit and authenticate on behalf of user Enter Challenge Question (C/Q) to authenticate transaction Threatens Man In The Browser Injected HTML to capture C/Q 50

51 Attacchi Alle Transazioni e Sfruttamento Di Vulnerabilita 51

52 Threat Modeling Tool` 52

53 STAGE VII Analisi dei Rischi e Degli Impatti: Identificazione della strategia per la mitigazione del rischio del banking malware 53

54 Fattori Per L Analisi Del Rischio Le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurre frodi (transferimento non autorizzato di denaro) Le vulnerabilita (debolezze dell applicazione) Errori nel design di autenticazione e session management; Vulnerabilita in garantire confidenzialita e integrity dei dati; mancanza di logs e di tracciabilita degli eventi e azioni degli hackers sui sistemi L impatto tecnico (compromissione dei controlli) Bypassamento di Challenge/Questions, KBA, OTPs; By-passamento identificazione del client prima di autorizzare transazionis; Compromissione delle web forms al fine di ottenere dati dall utente. Abuso session di autenticazione. L impatto per il business (perdita denaro) Perdita di denaro dovuta a frodi e transferimento di denaro a mules; Perdita di data sensibili; Azioni legali per copertura danni account; Multe per non essere a norma con standards di sicurezza 54

55 Factori Per Il Calcolo Del Rischio Calcolo del rischio basandosi su modelli oggettivi: Qualitativo (e.g. Likelihood x Impact (H, M, L), Threat Source (STRIDE) x Severity (DREAD), Threat X Vulnerability X Impact ()) Quantitativo (e.g. ALE = SLE X ARO) Strategia di mitigazione holistica e multi-layer Controlli per prevenzione e detection Contromisure a diversi livelli (e.g. browser web application, infrastructure) Processi di Governance (e.g. risk based testing, improved fraud detection, threat analysis, cyber intelligence) 55

56 Banking Malware: Application Risk Framework Threat Agents & Motives Misuses and Attack Vectors Security Weaknesses Countermeasures Technical Impacts Business Impacts Hacker Dropper of Malware Attacker targets vulnerable sites to upload malware for drive by download Input validation vulnerabilities allowing for Frame injection of fraudster's URL, file upload via flaws exploits and SQL injection attacks Identification and remediation of common injection vulnerabilities and data /input validation flaws Site integrity is violated, visitors of the site get malware downloaded via malicious ads Reputation loss. Money loss/site taken down, lawsuits Fraudster attacking bank customers and institutions Attacker target banking customer with phishing to exploit browser vulnerabilities and upload banking trojan keylogger on his PC/browser Phishing and social engineering attacks via different channels ( , Facebook, SMS). Lack of customer information about banking malware threats, lack of site to user trust controls (e.g. EV SSL) Consumer education campaigns, EV-SSL certificates to prove authenticity, site to user controls, browser controls Once user selects malicious link, JS on client, install banking malware/trojan compromising the browser Fraud, money losses, reputation loss, data breach disclosure, Banking malware harvest s viictim s account/ data Banking malware/trojan, inject HTML form fields in session using MiTB attack, keylogger to stead data, sends data to C&C and receives commands Browser vulns. allowing MiTB, gaps in anti-automation detection controls, virtual keyboard bypassed by form grabbing Customer education on spoofed Uis, anti-forgey controls, CAPTCHA, Man present controls, antiforgery controls Once customer enter extra data in the HTML form it is sent to C&C: loss of data confidentiality and data integrity since outside application control Loss of customer PII, credentials, PII. Reputational loss via public disclosure of breach, Compliance audit lawsuits, account replacement cost Fraudster attacking bank customers and institutions Attacker sends and receives data to banking malware to perform unauthorized financial transactions using MiTM and session riding attacks Authentication flaws in protecting transaction with adequate strength, session management flaws and vulnerabilities (e.g. session riding/csfr, fixation), nonrepudiation flaws Architecture risk analysis to identify flaws, OOBA, OOBV, transaction signatures, fraud detection/monitoring, event correlation from logs Loss of data confidentiality and transaction integrity, session hijacking, missing logging, detection/monitoring and fraud alerts Money losses associated to fraud from money transfers. Lawsuits compliance/audit risks

57 Contromisure per la mitigazione del rischio PREVENTIVE Misure Anti UI Spoofing/Forging Watermarks nelle web forms che sono difficili da riprodurre Informazioni al clienti al fine di identificare pagine web contraffate dal malware Two-Way Out of Band (OOB) Verification / Transaction Signing Cellulare riceve richiesta di conferma della transazione on-line. Uso di tokens per firmare la transazione DETECTIVE Sistemi di monitoraggio e alerta frodi Anomaly detection Identificazione di cookies e di variables settate dal malware Logs delle sessions/transactions Systemi di identificazione malware/mitb Catturano il profile del browser e gli eventi Anti-automation/CAPTCHA Alerts al cliente via SMS Notifica in tempo reale di azioni sul conto 57

58 Q U E S T I O N S A N S W E R S 58

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director

Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director Banking Cybercrime: Attacchi e scenari di banking malware in Italia Giorgio Fedon Owasp Italy Technical Director IEEE-DEST 2012 giorgio.fedon@owasp.org Copyright The OWASP Foundation Permission is granted

Dettagli

Protagonisti di INNOVAZIONE un progetto industriale unico in Italia

Protagonisti di INNOVAZIONE un progetto industriale unico in Italia Claudio De Paoli IT Security Practice Manager Un approccio innovativo alla sicurezza degli accessi ai servizi di ebanking Roma, gennaio 2011 Cybercrime: Costante aumento di Incidenti e frodi Il mercato

Dettagli

L evoluzione delle minaccie e degli impatti hacking e malware per il settore finance. OWASP Security Summit Milano 20-21-22 Marzo 2012

L evoluzione delle minaccie e degli impatti hacking e malware per il settore finance. OWASP Security Summit Milano 20-21-22 Marzo 2012 L evoluzione delle minaccie e degli impatti hacking e malware per il settore finance Marco Morana Global Industry Committee Foundation Security Summit Milano 20-21-22 Marzo 2012 Copyright 2011 - The Foundation

Dettagli

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile Francesco Faenzi, Security Practice Manager Agenda Framework & Vision Value Proposition Solution Center Referenze

Dettagli

CYBER SECURITY COMMAND CENTER

CYBER SECURITY COMMAND CENTER CYBER COMMAND CENTER Il nuovo Cyber Security Command Center di Reply è una struttura specializzata nell erogazione di servizi di sicurezza di livello Premium, personalizzati in base ai processi del cliente,

Dettagli

SECurity Online. lo scenario e le evoluzioni di sicurezza per servizi bancari

SECurity Online. lo scenario e le evoluzioni di sicurezza per servizi bancari SECurity Online lo scenario e le evoluzioni di sicurezza per servizi bancari Febbraio 2012 AGENDA Presentazione generale La Società Numeri chiave e clienti Linee guida trasversali La sicurezza in SEC Servizi

Dettagli

Crimeware e sua evoluzione Come mitigare il fenomeno

Crimeware e sua evoluzione Come mitigare il fenomeno Crimeware e sua evoluzione Come mitigare il fenomeno Roma, 10 maggio 2011 Giovanni Napoli CISSP EMEA South SE Manager 1 Agenda Sicurezza e privacy richiedono un approccio multilivello per mitigare attacchi

Dettagli

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC

Fabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia, JTC1/SC27 ISO/IEC ISECOM Deputy Director of Communications Membro di CLUSIT, ITSMF, AIIC, ISACA Roma

Dettagli

KASPERSKY SECURITY INTELLIGENCE SERVICES

KASPERSKY SECURITY INTELLIGENCE SERVICES KASPERSKY SECURITY INTELLIGENCE SERVICES Fabio Sammartino Pre-Sales Manager Kaspersky Lab Italia KASPERSKY LAB MAJOR DISCOVERIES Duqu Flame Gauss miniflame Red October NetTraveler Careto/The Mask 3 MALWARE

Dettagli

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti

Le problematiche di Web Application Security: la visione di ABI Lab. The OWASP Foundation http://www.owasp.org. Matteo Lucchetti Le problematiche di Web Application Security: la visione di ABI Lab Matteo Lucchetti Senior Research Analyst ABI Lab OWASP-Day II Università La Sapienza, Roma 31st, March 2008 Copyright 2008 - The OWASP

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

Modello di sicurezza Datocentrico

Modello di sicurezza Datocentrico Modello di sicurezza Datocentrico I dati sono ovunque Chi accede ai dati, a dove accede ai dati e a quali dati accede? Public Cloud Desktop Virtualization Private Cloud Server Virtualization Proteggere

Dettagli

Banking Malware evolution in Italy: defense approach

Banking Malware evolution in Italy: defense approach Banking Malware evolution in Italy: defense approach (Giorgio Fedon OWASP-Italy Minded Security ) 17 Aprile 2012 Pag. 1 Presentazione Ricerca OWASP Italy Board Member OWASP Antimalware project leader Testing

Dettagli

Pubblicazioni COBIT 5

Pubblicazioni COBIT 5 Pubblicazioni COBIT 5 Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 La famiglia COBIT 5 3 Aprile

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

Evoluzione e rischi derivanti dai nuovi sistemi Banking Malware

Evoluzione e rischi derivanti dai nuovi sistemi Banking Malware Evoluzione e rischi derivanti dai nuovi sistemi Banking Malware Giuseppe Bonfà Security Consultant Minded Security SecuritySummit 2013-Italy Milan, 12 March 2013 Copyright 2008 - The OWASP Foundation Permission

Dettagli

Apriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati

Apriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati Apriti Sesamo Plus come sistema di Autenticazione Forte AntiPhishing portabilità e protezione dei dati Massimo Penco mpenco@globaltrust.it 1 Sommario -line: il Phishing Una panoramica sulle tecniche più

Dettagli

Elsag Datamat. Soluzioni di Cyber Security

Elsag Datamat. Soluzioni di Cyber Security Elsag Datamat Soluzioni di Cyber Security CYBER SECURITY Cyber Security - Lo scenario La minaccia di un attacco informatico catastrofico è reale. Il problema non è se ma piuttosto quando l attacco ci sarà.

Dettagli

Convegno Nazionale di Information Systems Auditing

Convegno Nazionale di Information Systems Auditing Convegno Nazionale di Information Systems Auditing Strategie di difesa dalle frodi: IT Governance e metodologie Verona, 25 Maggio 2006 Massimo Chiusi UniCredit S.p.A. Divisione Global Banking Services

Dettagli

Frodi online e Cybercrime

Frodi online e Cybercrime Frodi online e Cybercrime Cosa li accomuna e come mitigarli Giovanni Napoli - RSA Pre-Sales Manager Rusudan Losaberidze - RSA Fraud Risk Intelligence Specialist 1 La cruda realtà del software engineering

Dettagli

Mobile Business Treviso, 9 Maggio 2014

Mobile Business Treviso, 9 Maggio 2014 i tuoi dispositivi visti con gli occhi di un hacker Alessio L.R. Pennasilico - apennasilico@clusit.it Mobile Business Treviso, 9 Maggio 2014 $whois -=mayhem=- Security Evangelist @! Committed: AIP Associazione

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

DIVISIONE DATA & NETWORK SECURITY

DIVISIONE DATA & NETWORK SECURITY DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it

Dettagli

Mobile Insecurity. Manno, 28 Settembre 2011 D Amato Luigi

Mobile Insecurity. Manno, 28 Settembre 2011 D Amato Luigi Mobile Insecurity Manno, 28 Settembre 2011 D Amato Luigi About us n Luigi D Amato: Senior CyberSecurity Consultant e CTO di Security Lab SAGL. Membro ufficiale del chapter italiano dell Honeynet Project

Dettagli

Autenticazione avanzata nei pagamenti

Autenticazione avanzata nei pagamenti Autenticazione avanzata nei pagamenti MASSIMILIANO SALA UNIVERSITÀ DI TRENTO ABI CARTE 2013 APPAGAMENTI PER I CLIENTI METODOLOGIE E SISTEMI DI SICUREZZA EVOLUTI PER NUOVE SOLUZIONI DI PAGAMENTO 5. 12.

Dettagli

CYBER SECURITY E SOCIAL NETWORKS: MINACCE, RISCHI E CONTROMISURE INFORMATION RISK MANAGEMENT

CYBER SECURITY E SOCIAL NETWORKS: MINACCE, RISCHI E CONTROMISURE INFORMATION RISK MANAGEMENT CYBER SECURITY E SOCIAL NETWORKS: MINACCE, RISCHI E CONTROMISURE INFORMATION RISK MANAGEMENT Agenda TASSONOMIA DEGLI AGENTI OSTILI E DELLE MINACCE ATTACCHI RECENTI E RELATIVI IMPATTI SCENARI DI RISCHIO

Dettagli

Security Summit 2011 Milano

<Insert Picture Here> Security Summit 2011 Milano Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A. I servizi di Security

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting

Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Pattern Recognition and Applications Lab Analisi di vulnerabilità e prevenzione di attacchi SQL injection e Cross-site Scripting Dott. Ing. Igino Corona igino.corona (at) diee.unica.it Corso Sicurezza

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

CYBER SECURITY IN CAMPO

CYBER SECURITY IN CAMPO CYBER SECURITY IN CAMPO LA VISIONE ED I SERVIZI FASTWEB PER LE IMPRESE Dario Merletti CONVEGNO CIONet Cuneo 10 Luglio 2015 AGENDA UNO SCENARIO DINAMICO ICT SECURITY: LA VISIONE ED I SERVIZI DI FASTWEB

Dettagli

Dynamic Threat Protection

Dynamic Threat Protection Dynamic Threat Protection Stefano Volpi Internet Security Systems 25 gennaio 2003, il worm SQL Slammer ha colpito centinaia di milioni di servers in meno di 12 ore. Ha fatto interrompere il network ATM,

Dettagli

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM Raffaella D Alessandro IBM GTS Security and Compliance Consultant CISA, CRISC, LA ISO 27001, LA BS 25999, ISMS Senior Manager, ITIL v3 Roma, 16 maggio 2012 IBM SmartCloud Le regole per la Sicurezza nel

Dettagli

Progetti Open Source Per La Sicurezza Delle Web Applications OWASP. The OWASP Foundation http://www.owasp.org

Progetti Open Source Per La Sicurezza Delle Web Applications OWASP. The OWASP Foundation http://www.owasp.org Progetti Open Source Per La Sicurezza Delle Web Applications Marco Morana Mercoledi 5 Novembre 2008 Giornata Della Sicurezza Informatica In Sardegna Copyright 2008 - The Foundation Permission is granted

Dettagli

Security Summit 2010

<Insert Picture Here> Security Summit 2010 Security Summit 2010 Log Management per il Risk e la compliance F. Pierri - Xech Risk e Compliance La continua ricerca alla conformità attira l'attenzione dei CFO, CEO, CIO e delle

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

Il valore di un processo efficiente di Incident Response: un caso reale

Il valore di un processo efficiente di Incident Response: un caso reale Il valore di un processo efficiente di Incident Response: un caso reale CyberSecurity Summit Milano 9 Aprile,2014 Angelo Colesanto, Pre-Sales System Engineer, RSA 1 Scenario iniziale Primario istituto

Dettagli

ATM. Compatibile con diversi Canali di Comunicazione. Call Center / Interactive Voice Response

ATM. Compatibile con diversi Canali di Comunicazione. Call Center / Interactive Voice Response Compatibile con diversi Canali di Comunicazione Call Center / Interactive Voice Response ATM PLUS + Certificato digitale Dispositivi Portatili Mutua Autenticazione per E-mail/documenti 46 ,classico richiamo

Dettagli

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl

www.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

Incontri a cena Checkpoint Zerouno Security management: dal caos alla governance

Incontri a cena Checkpoint Zerouno Security management: dal caos alla governance Incontri a cena Checkpoint Zerouno Security management: dal caos alla governance Riccardo Zanchi Partner NetConsulting Milano, Osteria del Treno 24 giugno 2008 Agenda Il contesto del mercato della security

Dettagli

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management Alfonso Ponticelli Soluzioni Tivoli di Security Information and Event Management Compliance and Security secondo IBM Gestione delle identità e controllo degli accessi alle risorse aziendali: le soluzioni

Dettagli

ISACA VENICE MEETING 2014

ISACA VENICE MEETING 2014 Verso il GOVERNO dei SISTEMI INFORMATIVI ISACA VENICE MEETING 2014 Information & Data Classification, un approccio strutturato Giuseppe Blasi Andrea Gaglietto Padova, 29 maggio 2014 1 Agenda Il contesto

Dettagli

Le linee guida OWASP per la sicurezza applicativa

Le linee guida OWASP per la sicurezza applicativa Le linee guida per la sicurezza applicativa Matteo Meucci, CISSP, CISA -Italy Chair Testing Guide Lead Convegno ABI 22 Maggio 2007, Roma matteo.meucci@owasp.org Copyright 2007 - The Foundation Permission

Dettagli

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF,

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

Il Monitoraggio delle frodi informatiche in Banca

Il Monitoraggio delle frodi informatiche in Banca Il Monitoraggio delle frodi informatiche in Banca Nuove minacce e strategie di contrasto: l esperienza di UBI.S Ing. Paolo Colombini Resp. Ufficio Eventi e Controlli di Sicurezza Informatica UBI.S paolo.colombini@ubiss.it

Dettagli

The OWASP Foundation http://www.owasp.org

The OWASP Foundation http://www.owasp.org Secure Banking Expert Community: Unire forze e competenze tecniche per arginare il crimine (sempre più) organizzato" Claudio Santacesaria Head of R&D Rototype -Italy Day2012 Rome, 23 November 2012 Copyright

Dettagli

Securing the World of IP Payments

Securing the World of IP Payments November 2010 Securing the World of IP Payments TNS Security Solutions Agenda TNS Background IP Tendenze emergenti e implicazioni per la sicurezza nei pagamenti Approcci suggeriti per migliorare la sicurezza

Dettagli

Vodafone Mobile Security e Sistema Paese

Vodafone Mobile Security e Sistema Paese Vodafone Mobile e Sistema Paese Presented by Massimo Simeone Operations & Privacy Roma, 25 Ottobre 2013 Vodafone nel mondo Ad oggi, 1 telefono su 5 è connesso alla rete Vodafone 2 La diffusione del Mobile

Dettagli

Cyber Security e Social Networks: Minacce, Rischi e Contromisure. Padova, 10 Settembre 2015

Cyber Security e Social Networks: Minacce, Rischi e Contromisure. Padova, 10 Settembre 2015 Cyber Security e Social Networks: Minacce, Rischi e Contromisure Padova, 10 Settembre 2015 1 Agenda TASSONOMIA DEGLI AGENTI OSTILI E DELLE MINACCE ATTACCHI RECENTI E RELATIVI IMPATTI SCENARI DI RISCHIO

Dettagli

Mission. Proteggiamo il Business dei nostri Clienti

Mission. Proteggiamo il Business dei nostri Clienti 2013 idialoghi- ICT Security Consulting 1 Mission La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo Proteggiamo il Business dei nostri Clienti Da 15 anni realizziamo per

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

Nordic Startup Awards 2012 Winner ENCAP. Bridging the gap between. Security and user experience. Distribuito in Italia da:

Nordic Startup Awards 2012 Winner ENCAP. Bridging the gap between. Security and user experience. Distribuito in Italia da: Nordic Startup Awards 2012 Winner ENCAP Bridging the gap between Security and user experience Distribuito in Italia da: About Encap Encap è un azienda Norvegese che fornisce una soluzione software per

Dettagli

Operation Bloodninja. Phishing Campaign Analysis Report

Operation Bloodninja. Phishing Campaign Analysis Report Operation Bloodninja Phishing Campaign Analysis Report Sommario Executive Summary... 1 Technical Analysis... 2 Attack Flow... 2 Components Analysis... 4 login_a.php... 4 css.php... 5 wp- config.php...

Dettagli

Il business risk reporting: lo. gestione continua dei rischi

Il business risk reporting: lo. gestione continua dei rischi 18 ottobre 2012 Il business risk reporting: lo strumento essenziale per la gestione continua dei rischi Stefano Oddone, EPM Sales Consulting Senior Manager di Oracle 1 AGENDA L importanza di misurare Business

Dettagli

Identity Management: dalla gestione degli utenti all'autenticazione in un contesto di integrazione globale

Identity Management: dalla gestione degli utenti all'autenticazione in un contesto di integrazione globale Identity Management: dalla gestione degli utenti all'autenticazione in un contesto di integrazione globale Dr. Elio Molteni, CISSP-BS7799 elio.molteni@ca.com Business Development Owner, Security Computer

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

I controlli di sicurezza nell online Banking

I controlli di sicurezza nell online Banking Soluzioni e sicurezza per applicazioni mobile e payments I controlli di sicurezza nell online Banking Gianluca Salvalaggio Venezia, 27 settembre 2013 1 I controlli di sicurezza nell online Banking Minacce

Dettagli

Application Security Governance

Application Security Governance Application Security Governance 28 ottobre 2010 Francesco Baldi Security & Risk Management Practice Principal 1 AGENDA Problematiche di sicurezza applicativa Modello di riferimento Processo di sicurezza

Dettagli

IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci

IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci IP Intelligence IP Fingerprinting per l antifrode Emanuele Bracci Techub: presenza sul territorio Siti principali: Roma Milano Parma Presidi: L Aquila Mestre Più di 80 specialisti sul territorio nazionale

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014

MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE. ABI Banche e Sicurezza 2014 MOBILITY ERA LA SFIDA PER LA SICUREZZA NELLE BANCHE 27 Maggio 2014 CHI SIAMO NTT WORLD $130B Annual revenue $14B 1st Telco in revenue worldwide Interna9onal telecom Mobile operator $11B $44B $3,5B In RD

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

DIVISIONE INFORMATICA FORENSE E SICUREZZA

DIVISIONE INFORMATICA FORENSE E SICUREZZA DIVISIONE INFORMATICA FORENSE E SICUREZZA Divisione Informatica Forense e Sicurezza DIFS La Divisione Informatica Forense e Sicurezza (DIFS) dell'agenzia, avvalendosi di un team di esperti, offre servizi

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

GLI ILLECITI COMMESSI ATTRAVERSO IL WEB FINALIZZATI AL FURTO D IDENTITA

GLI ILLECITI COMMESSI ATTRAVERSO IL WEB FINALIZZATI AL FURTO D IDENTITA GLI ILLECITI COMMESSI ATTRAVERSO IL WEB FINALIZZATI AL FURTO D IDENTITA Torino, 10 dicembre 2013 LA POLIZIA POSTALE E DELLE COMUNICAZIONI 20 COMPARTIMENTI 80 SEZIONI 2000 OPERATORI Contrasto Reati Informatici

Dettagli

Tecnologia avanzata e project engineering al servizio della PA Sicurezza delle reti della PA, dei servizi pubblici e delle attività digitali degli impiegati pubblici FORUM PA Digital Security per la PA

Dettagli

Indice sommario INDICE SOMMARIO CAPITOLO I IL PHISHING: TIPOLOGIE E NUMERI

Indice sommario INDICE SOMMARIO CAPITOLO I IL PHISHING: TIPOLOGIE E NUMERI ix INDICE SOMMARIO Prefazione di Giuseppe Corasaniti... v Introduzione... 1 Prologo... 7 SEZIONE PRIMA PHISHING, PHARMING ET SIMILIA: STORIA ED ANALISI DEL FURTO DI IDENTITÀ DIGITALE CAPITOLO I IL PHISHING:

Dettagli

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Un'efficace gestione del rischio per ottenere vantaggi competitivi Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come

Dettagli

Applications Management

Applications Management Applications Management isecurity for Power i Applications Management Il Package è stato composto per fornire ai clienti un valido supporto sulla gestione delle applicazioni, consentendo determinate attività

Dettagli

Tutto il VoIP in 45 minuti!! Giuseppe Tetti. Ambiente Demo. VoIP IP PBX SIP

Tutto il VoIP in 45 minuti!! Giuseppe Tetti. Ambiente Demo. VoIP IP PBX SIP Tutto il in 45 minuti!! Giuseppe Tetti Ambiente Demo 1 Ambiente Demo Ambiente Demo 2 Ambiente Demo ATA Ambiente Demo Internet ATA 3 Ambiente Demo Internet ATA Rete Telefonica pubblica Ambiente Demo Internet

Dettagli

Expanding the Horizons of Payment System Development. Università Luiss «Guido Carli» Sala delle Colonne Viale Pola, 12 Roma

Expanding the Horizons of Payment System Development. Università Luiss «Guido Carli» Sala delle Colonne Viale Pola, 12 Roma Expanding the Horizons of Payment System Development Università Luiss «Guido Carli» Sala delle Colonne Viale Pola, 12 Roma Enterprise Fraud Management Systems Panoramica della Soluzione Focus su Wire Fraud

Dettagli

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia

La sicurezza secondo ITIL. Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia La sicurezza secondo ITIL Relazioni fra ITIL e la sicurezza Andrea Praitano Consigliere itsmf Italia Agenda itsmf Italia: cos è e che cosa fa; Cos è l IT Service Management; Introduzione a ITIL v3; Il

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Contenuti. Reply Security. Fraud Management

Contenuti. Reply Security. Fraud Management Fraud Management Contenuti Reply Security SOC Fraud Management 2 Consulting & Services Reply Security Managed Security Services Security Strategy Security Assessment & Early Warning Regulatory Compliance

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

Modalità di Attacco e Tecniche di Difesa

Modalità di Attacco e Tecniche di Difesa Modalità di Attacco e Tecniche di Difesa Domenico Raguseo, IBM Europe Technical Sales Manager, Security Systems Phishing... Tecniche di difesa Phishing o Fishing? Non dimenticare le buone pratiche Attenzione

Dettagli

Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare?

Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare? Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare? Alessio L.R. Pennasilico - apennasilico@clusit.it Security Question Time Treviso, Gennaio 2015 $whois -=mayhem=- Security

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010 AIPSI- ISSA European Security Conference 2010 Roma, 28 ottobre 2010 L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010 Marco R.A. Bozzetti Founder OAI Direttivo AIPSI Indice 1. L iniziativa

Dettagli

Corporate Data Center. Partner Data Center

Corporate Data Center. Partner Data Center Corporate Data Center Partner Data Center Regulated Data (Compliance) Credit Card Data (PCI) Privacy Data Health care information Financial (SOX) Corporate Secrets Intellectual Property (Source Code,

Dettagli

NEAL. Increase your Siebel productivity

NEAL. Increase your Siebel productivity NEAL Increase your Siebel productivity Improve your management productivity Attraverso Neal puoi avere il controllo, in totale sicurezza, di tutte le Enterprise Siebel che compongono il tuo Business. Se

Dettagli

Sicurezza informatica: Nozioni di base Come proteggere il proprio computer Suggerimenti e linee guida

Sicurezza informatica: Nozioni di base Come proteggere il proprio computer Suggerimenti e linee guida Carlo Carlesi Istituto di Scienza e Tecnologie dell'informazione A. Faedo 1 Sicurezza informatica: Nozioni di base Come proteggere il proprio computer Suggerimenti e linee guida Le minacce della rete 2

Dettagli

e-payment: normative di sicurezza e best practice

e-payment: normative di sicurezza e best practice e-payment: normative di sicurezza e best practice Trento, 08 Marzo 2013 Vanni Galesso Security Architect@IKS www.iks.it informazioni@iks.it 049.870.10.10 Il gruppo IKS 1999 Capogruppo e azienda leader

Dettagli

Attacchi e Contromisure

Attacchi e Contromisure Sicurezza in Internet Attacchi e Contromisure Ph.D. Carlo Nobile 1 Tipi di attacco Difese Sommario Firewall Proxy Intrusion Detection System Ph.D. Carlo Nobile 2 Attacchi e Contromisure Sniffing Connection

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats. Paolo Chieregatti Sales Specialist paolo.chieregatti@attachmate.

Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats. Paolo Chieregatti Sales Specialist paolo.chieregatti@attachmate. Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats Paolo Chieregatti Sales Specialist paolo.chieregatti@attachmate.com 2008 Finsphere Corporation August 31, 2008 Agenda Insider

Dettagli

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 La Sicurezza e i benefici per il business Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 Lo scenario di riferimento Gli attacchi diventano più sofisticati Le difese

Dettagli

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit. Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security

Dettagli

IP TV and Internet TV

IP TV and Internet TV IP TV e Internet TV Pag. 1 IP TV and Internet TV IP TV e Internet TV Pag. 2 IP TV and Internet TV IPTV (Internet Protocol Television) is the service provided by a system for the distribution of digital

Dettagli

Retail Network Italy Division rappresenta le 3 Banche Retail di UniCredit presenti sul territorio con 4.500 Agenzie e oltre 7.

Retail Network Italy Division rappresenta le 3 Banche Retail di UniCredit presenti sul territorio con 4.500 Agenzie e oltre 7. Internet Sicuro La gestione del rischio come opportunità per migliorare la customer experience e per incrementare la customer satisfaction dei Clienti Luigi Altavilla Head of Information Security Roma,

Dettagli

Service Manager Operations. Emerson Process Management

Service Manager Operations. Emerson Process Management Ronca Vito Service Manager Operations Emerson Process Management Italia Emerson e Cyber Security Nel settore industria ed energia, uno dei punti critici da un punto di vista CybSec è il sistema di controllo

Dettagli

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE Marco Gallone Sella Holding Banca 28 Novembre 2006 Il Gruppo Banca Sella ed il Commercio Elettronico Dal 1996 Principal Member dei circuiti Visa e MasterCard

Dettagli

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano L analisi del fenomeno delle frodi informatiche nel settore bancario italiano La convenzione ABI Polizia di Stato per la costruzione di una piattaforma tecnologica per lo scambio reciproco di alert Romano

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management Sergio Petronzi Inprotec S.p.A. Distributore ServiTecno Area centro sud s.petronzi@inprotec.it Agenda SCADA/HMI le funzioni

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Blocca le minacce avanzate e proteggi i tuoi dati sensibili per gli utenti in roaming

Blocca le minacce avanzate e proteggi i tuoi dati sensibili per gli utenti in roaming TRITON AP-ENDPOINT Blocca le minacce avanzate e proteggi i tuoi dati sensibili per gli utenti in roaming Da una reputazione compromessa a multe e sanzioni normative, una violazione dei dati può avere conseguenze

Dettagli