Metodologia per la simulazione degli attacchi e per l analisi delle minaccie contro le applicazioni web. OWASP Security Summit Roma 9 Giugno 2011
|
|
- Corrado Simonetti
- 8 anni fa
- Visualizzazioni
Transcript
1 Metodologia per la simulazione degli attacchi e per l analisi delle minaccie contro le applicazioni web Marco Morana Sr. VP/TISO Citigroup North America Security Summit Roma 9 Giugno 2011 Copyright 2011 The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation
2 What is? 2
3 Agenda Della Presentazione PARTE I: I nuovi scenari di attacco ai siti web: dati e statistiche PARTE II: La metodologia per la simulazione degli attacchi e delle minaccie PARTE III: Esempio dell uso delle methodologia per l analisi delle minaccie, attachi e calcolo dei rischi causati da banking-malware 3
4 PARTE I: I nuovi scenari di attacco: dati e statistiche 4
5 Il cambiamento dello scenario delle minaccie alle applicazioni Lo scenario delle minaccie e cambiato drammaticamente rispetto a dieci anni fa, alcuni esempi: Gli attori di attacco sono motivati dal denaro (e.g. furto di dati di carta di cerdito per vendita, frodi finanziarie) Gli attori di attacco fanno parte del crimine organizzato (e.g. spie dei segreti/proprieta intelletuale e gruppi terroristici) I target sono le aziende e in particolare il settore finanza SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape 5
6 Dati sulle minaccie del malware e hacking Contribuiscono alla maggioranza delle perdita dei dati (2010) Cosituiscono le minaccie principali per tipologia di attacco Source: Verizon Data Breach investigation Report: 6
7 I targets delle minaccie malware e hacking I siti e le applicazioni web costituiscono la percentuale piu alta presa di mira dagli attacchi di malware e hacking I tipi di dati piu a rischio sono dati sensibili (e.g. carte di credito) Source: Verizon Data Breach investigation Report: 7
8 Gli Attori Delle Minaccie Dietro Gli Attacchi di Hacking e Malware Il presunto hacker si e appena svegliato e sorseggiando il caffe (o tea o magari vodka) inizia la sua giornata di lavoro con una bella lista di indirizzi IP di computer compromessi e di logins per autenticarsi ai siti. Lo step successivo consiste nel spendere alcune ore a distibuire malware nei PC compromessi e rivedere la lista dei PC della settimana scorsa per aggiornarsi sui dati collezionati. Dopo di che e ora di andare a casa ad accudire moglie e figli. CyberCrime & Doing Time A Blog about Cyber Crime and related Justice issues: 8
9 Sherlock Holmes vs. Dr Jerkill/Mr Hyde 9
10 L approccio al rischio conosco ma non faccio nulla
11 L approccio al rischio Paura Incertezza e Dubbio Paura di essere fuori norma => multe e restrizioni e controlli (e.g. SEC, PCI etc) Paura di perdere la reputazione => nel caso di perdita di dati sensibili, forzato a notificare il pubblico (SB 1386) Paura di cause penali => nel caso la vittima della frode e il business-cliente invece che l utente Incerto sulle cause e le conseguenze=> Siamo noi il target? Se lo siamo quanto denaro potremmo perdere? Dubbi sulla efficacia delle contro misure=> Non ci fidiamo delle nostre mezzi, processi e persone
12 L approccio al rischio come antagonista a chi il rischio lo deve mitigate Noi vs. Loro (Dept. Sicurezza vs. Dev/IT/Business Units): Mitigazione faccendo ricorso alla pillola magica Non c e dimostrazione di come gli attachi avvengono e impattano i business Non c e nessun incentivo a collaborare fra chi il rischio lo identifica e chi lo deve mitigare con le contromisure
13 L approccio al rischio Persone, Processi e Technologie Personale preparato e qualificato per rispondere agli incidenti Processi adequati per l identificazione degli errori di design e le vulnerabilita che vengono sfruttati dagli hackers Technologie e contromisure per la mitigazione delle minaccie del malware e hackers 13
14 PARTE II-Introduzione al metodo di Threat Modeling PASTA (Process for Attack Simulation and Threat Analysis) 14
15 La Methodologia Per L Analisi Delle Minaccie [Application] Threat Modeling Un processo strategico che punta a considerare le minaccie, i possibili scenari di attacco e le vulnerabilita che possono essere sfruttate nell ambiente applicativo con lo scopo di gestire rischi e livelli di impatto. Si basa su diversi metodologie per la determinazione delle minaccie e correlazione con le vulnerabilita Si focalizza su diversi aspetti per la mitigazione delle minaccie: Architettura & Software (design) Gli assetti a rischio (dati, server, applicazioni) Prospettiva di attacco o di difesa
16 Metodologia Threat Modeling di Methodolgia simplificata: Focalizzata sulle minaccie al software Non include l analisi ed il calcolo dei rischi L analisi delle minaccie e fatta a diversi livelli Threat Risk Modeling
17 Metodologia Threat Modeling STRIDE di Microsoft User/ Browser I. Spoofing II. Repudiation HTTPs Request HTTPs Responses DMZ (User/Web Server Boundary) Web Server Application Calls (.do) Application Responses Internal (Web Server/ App & DB Server Boundary) Application Server Auth Data XML/HTTPS Authentication Credential Store XML/HTTPS Message XML/JMS Service Message Response SQL Query Call/ JDBC MFA RBA/ Fraud Detection Messaging Bus I. Tampering II. Repudiation III. Info Disclosure IV. Denial OF service Financial Transactions (ACH, wires external transfer) Restricted Network (App & DB Server/Financial Server Boundary) Financial Transaction Processing MainFrame 17
18 Limitazioni Delle Metodologie Di Threat Modeling Usate Oggi Diverse metodologie ma nessuna e adottata a larga scala STRIDE & DREAD non sono metodologie ma modelli per la classificazione delle minaccie e dei rischi Limitate nello scopo (e.g. assetto, attacco, software, security centriche) non tutti gli approcci considerano l analisi degli errori di design Limitate nell adozione nella SDLC sopratutto rispetto ad altre attivita (e.g. review codice sicuro, pen testing) Non sono parte dei processi di InfoSec (e.g. information security risk management, fraud, incident response) Processi soggettivi ed ad-hoc si basano sull esperienza di chi fa l analisi SMEs (Subject Matter Experts)/Security Architects/Consultants
19 La ricetta per la P.A.S.T.A Threat Modeling Si focalizza sugli asset di business come target degli attacchi Include tutti i processi per la (e.g. intelligence) mitigazione strategica dei rischi Si basa sulla analisi degli scenari di attacco Si focalizza nelle minimizzazione dei rischi delle applicazioni e degli impatti per il business
20 The P.A.S.T.A Threat Modeling Methodology 20
21 Gli utenti della metodologia P.A.S.T.A Business managers che in questo modo possono incorporare i requisiti di sicurezza per mitigare i rischi Architetti delle applications che cosi possono identificare gli errori del design e identificare le contromisure per rimediarli e per proteggere i dati e gli assets Sviluppatori che cosi possono capire se il software e vulnerabile ed esposto agli attacchi Security testers che possono usare i casi di use e abuso e le librerie di attacco per testare l applicazione Project managers che cosi possono gestire la remediazione dei diffetti in modo piu efficace CISO che cosi possono prendere decisioni su come mitigate i rischi a livello applicativo 21
22 PART III-Uso della methodologia PASTA per l analisi delle minaccie, attacchi e dei rischi del banking-malware 22
23 Gli steps della analisi del banking malware usando la metodologia P.A.S.T.A. I. Documentazione dei requisiti per l analisi dei rischi delle minaccie banking malware, attachi e vulnerabilita II. Definizione dello scopo tecnico dell analisi III.Analisi della sicurezza del sito dal punto di vista dei controlli di sicurezza a livello architetturale e di funzione IV. Studio e analisi delle minaccie dai dati di intelligence V. Analisi delle vulnerabilita che possono essere sfruttate dalle minaccie per causare un impatto VI. Modelli degli scenari di attacco VII.Formulazione della strategia per la mitigazione del rischio e per la riduzione dell impatto a livello di business 23
24 STAGE I Definizione Degli Obbiettivi di Sicurezza e Del Business: Cattura dei requisiti per l analisi e la gestione dei rischi di banking malware 24
25 Analisi Preliminare Degli Impatti Impatti per l azienda/business Perdita di denaro a causa di frodi (e.g. transferimento illegale di denaro) e perdita di dati sensibili del cliente Non responabilita legale per frodi contro clienti-business e causa di azioni legali da parte degli stessi Perdita di reputazione/immagine a causa della notificazione al pubblico della perdita dei dati sensibili dei clienti, questo ha anche un impatto sulla fedelta dei clienti Non in regola con la legge e la regolamentazione di sicurezza (e.g. PCI-DSS, FFIEC/OCC, GLBA, SB 1386, FACT Act, PATRIOT Act) e causa di multe e controlli costosi compliance Impatti per I clienti Furto di login per l accesso a siti di on-line banking Furto dei dati sensibili Perdita di denaro dal conto nel caso di conti aziendali/privati
26 Obbiettivi Dell Analisi e Requisiti Di Sicurezza e di Regolamentazione Project Business Objective Perform an application risk assessment to analyze malware banking attacks Identify application controls and processes in place to mitigate the threat Comply with FACT Act of 2003 and FFIEC guidelines for authentication in the banking environment Analyze attacks and the targets that include data and high risk transactions Identify a Risk Mitigation Strategy That Includes Detective and Preventive Controls/Processes Security and Compliance Requirement Risk assessment need to assess risk from attacker perspective and identify on-line banking transactions targeted by the attacks Conduct architecture risk analysis to identify the application security controls in place and the effectiveness of these controls. Review current scope for vulnerability and risk assessments. Develop a written program that identifies and detects the relevant warning signs or red flags of identity theft. Perform a risk assessment of online banking high risk transactions such as transfer of money and access of Sensitive Customer Information Analyze attack vectors used for acquisition of customers PII, logging credentials and other sensitive information. Analyze attacks against user account modifications, financial transactions (e.g. wires, bill-pay), new account linkages Include stakeholders from Intelligence, IS, Fraud/Risk, Legal, Business, Engineering/Architecture. Identify application countermeasures that include preventive, detective (e.g. monitoring) and compensating controls against malwarebased banking Trojan attacks
27 STAGE II Definizione dello Scope Tecnico Dell Analisi Definizione dello scopo di threat modeling relativo ai requisiti dell analisi 27
28 Profilo Della Applicazione In Scopo Dell Analisi: Sito Online Banking Application Profile: Online Banking Application General Description The online banking application allows customers to perform banking activities such as financial transactions over the internet. The type of transactions supported by the application includes bill payments, wires, funds transfers between customer s own accounts and other bank institutions, account balance-inquires, transaction inquires, bank statements, new bank accounts loan and credit card applications. New online customers can register an online account using existing debit card, PIN and account information. Customers authenticate to the application using username and password and different types of Multi Factor Authentication (MFA) and Risk Based Authentication (RBA) Application Type Data Classification Inherent Risk High Risk Transactions User roles Number of users Internet Public, Non Confidential, Sensitive and Confidential PII HIGH YES Visitor, customer, administrator, customer support representative 3 million registered customers
29 Definizione Dello Scopo Tecnico Dell Analisi Informazione estratta dai documenti di progetto: Componenti della applicazione web in funzione dei livelli funzionali (presentazione, logica, dati) Topologia della rete (firewall, servers, routers etc) Protocolli e processi che sono parte dell architettura end to end (diagrammi del flow dei dati) Scenari e funzioni d uso (diagrammi di sequenza) Modello della applicazione in supporto dell analisi: Gli assets dell applicazione (e.g. dati/servizi a diverse sezioni della architettura applicativa) I controlli di sicurezza dell applicazione (autenticazione, autorizzazione, crittografia, gestione della session, validazione dell input, archivio e logs) Le interazioni fra l utente e l applicazione per le varie transazioni web (e.g. login, registrazione, query dei dati etc)
30 Scopo della Architettura: On-line Banking Application Architecture Diagram 30
31 Transazioni di On-Line Banking in Scopo Per L Analisi Identifica le transazioni on-line che sono possibili targets per malware e hacking (e.g. transazioni ad alto rischio): Funzioni di login (e.g. registrazione, reset userid/pwd) Funzioni per la gestione del profilo (e.g. cambio del profilo/account , indirizzo, telefono etc) Funzioni di autenticazione con fattore multi-factor Transazioni riguardandi validazione del customer con dati sensibili (e.g. validazione di CCN#, CVV, ACC# and PINs for registrazione e per apertura di conto) Accesso a dati confidenziali e sensibili (e.g. ACC#, CCN#, SSN, DOB) Transazioni bancarie as alto rischio: Transfermienti di denaro a conti esterni ACH Bonifici, Pagamenti 31
32 STAGE III Analisi dell applicazione: Identificazione dei controlli di protezione dei dati/assets e efficacia del controlli stessi nella mitiazione del rischio di attacchi da banking malware 32
33 Analisi del data flow di processo della applicazione di Online Banking User/ Browser HTTPs Request HTTPs Responses DMZ (User/Web Server Boundary) Web Server Application Calls (.do) Application Responses Internal (Web Server/ App & DB Server Boundary) Application Server Auth Data XML/HTTPS Authentication Credential Store XML/HTTPS Message XML/JMS Service Message Response SQL Query Call/ JDBC MFA RBA/ Fraud Detection Messaging Bus Financial Transactions (ACH, wires external transfer) Restricted Network (App & DB Server/Financial Server Boundary) Financial Transaction Processing MainFrame 33
34 Analisi Dell Efficacia Dei Controlli di Sicurezza a Livello delle Transazioni Online 34
35 STAGE IV Identificazione Delle Fonti Di Intelligence Per L Analisi delle Minaccie: Identificazione ed elaborazione di informazioni sulle minaccie dalle fonti di intelligence al fine di poter analizzare gli scenari e vetori di attacco usati dal banking malware 35
36 Identificazione Delle Fonti Di Intelligence Esempio di cosa si puo apprendere dalle fonti di intelligence: 1)Un Fonti nuovo esterne banking di informazioni trojan e distribuito via siti vulnerabili su attacchi di a banking iniezione malware di data in frames oppoure via Fonti spear phishing interne, direttamente per esempioai da clienti di banca (targeted) 2)Il frodi malware e attacchi/incidenti inietta codice (SIRT) HTML nel browser durante Fonti una sessione di informazione autenticata publica di on-line e a banking ai fini di rubare dati pagamento: sensibili dall utente 3)Il malware APWG comunica con il server botnet Commando CERT e Controllo C&C Trusteer Digital PhisNet 4)Il C&C serve codice al trojan e permette UK Payments all hacker Administrationdi FS-ISAC condurre transazioni impersonando Verizonl utente IC3 Verisign idefense 5)Il malware Internet Fraud mantiene Alerts li conto bancario in balance Zeus Tracker per non essere notato dai sistemi anti-frode (ifraudalert.org)
37 Dati Statistici Sui Banking Trojan Targets Source Domini target del Zeus trojan
38 Trends di Banking Malware
39 Scenario di Attacco Del Banking Malware 39
40 Esempi Di Incidenti Di Banking Malware Riportati Dagli Utenti 40
41 Esempi Di Vettori Di Attacco Estratti Dall Intelligence 41
42 Profilo Di Minaccia Del Banking Malware 1. E configurabile per diversi target di banche 2. Utilizza diversi tipi di attacco per infettare il PC utente/browser 3. Accetta e manda comandi al command control server 4. Evade le difese di client e applicazione come Anti-Virus, SS/TLS, MFA C/Q e fraud detection systems 5. Inietta codice HTML nel browser della vittima al fine di catturare conti, logins, data i sensitibili in sessione autenticata 6. Ruba is certificati di autenticazione 7. Ruba input alla tastiera usando keyloggers e form grabbers 8. Permette all hacker di transferire denaro dal conto vittima 42
43 STAGE V Analisi delle vulnerabilita : Analisi delle vulnereabilita e dei gap dei cotnrolli di sicurezza che sono sfrutatte per condurre gli attacchi 43
44 Correlazione Delle Minaccie di Banking Malware con lo sfruttamento delle vulnerabilita Social Engineering/Phishing Sfruttano debolezze in anti-phishing controls (e.g. EV SSL) Mancanza di informazione al client circa minaccie di banking malware Imposessamento delle login e dati sensibili Mancanza di protezione dei dati (e.g. unsecure cookies, tokens, unsecured secrets and certificates for authentication) Injection di malware via Iframe, SQL inj vulns (e.g. per il dropping), Errori di implementazione di autorizzazione Error nella logica di validazione del customer (e.g. PINs, ACC#) Perdite Finanziarie Sfruttano errori dell implementazione e progetto di authenticazione delle transazione (e.g. MFA bypass, weak authentication) Vulnerabilita session management della transazione (e.g. session fixation, session riding/csrf) Vulnerabilita in non repudiazione (e.g. one-way SSL) 44
45 Vulnerabilita Client- Servers A Livello Architettura Presentation Tier Represents the top most level of the application. The purpose of this tier is to translate commands from the user interface into data for processing to other tiers and present back the processed data > Get MY Account Info And Account Activity browser ` > Account#:***8765 Balance: 45,780 $ Last Transaction: 5/25/09 browser ` Weak Anti-Phishing and Anti-UI- Spoofing Controls & Warnings Browser Vulnerabilities & Flaws Logic Tier This layer processes commands and makes decisions based upon the application business logic It also moves and processes data between the presentation and the data tier Servers Servers Authentication, Authorization, Identification and Session Mgmt. Vulnerabilities and Design Flaws Data Tier Is the layer responsible for data storage and retrieval from a database or file system Query commands or messages are processed by the DB server, retrieved from the datasource and passed back to the lo the logical tier for processing before being presented to the user Query Account#, Balance, Transaction History Flaws and Vulnerabilities While Protecting Data/Transaction Confidentiality and Integrity Database Storage 45
46 Top Malware Propagation Vulnerabilities 46
47 Vulnerabilta potenzialmente sfruttate da banking malware Black Box Testing White Box Testing
48 STAGE VI Modello Degli Attacchi: Modello degli attacchi di banking malware 48
49 Analisi Banking Malware Con Attack Trees Fraudster Fraudster Upload Malware on Vulnerable Site Attack Victim s Vulnerable Browser Phishing , FaceBook Social Engineering Use Stolen Banking Credentials/ Challenge C/Q Drive-by Download/ Malicious Ads Upload Banking Malware on Customer s Pc Phish User To Click Link With Malware Remote Access To Compromised PC Through Proxy Steal Digital Certificates For Authentication Man In The Browser Steals Keystrokes with Key-logger Logs into Victim s Online Bank Account Delete Cookies Forcing to Login To Steal Logins Modifies UI Rendered By The Browser Redirect Users To Malicious Sites Perform Unauthorized Money Transfer to Mule Harvest Confidential Data/ Credentials From Victim Sends Stolen Data to Fraudster s Collection Server Money Transferred From Mule to Fraudster 49
50 Analisi di Attacco a Login Con Use and Abuse Cases Login With UserID password over SSL Threatens Key logger/from grabber captures keystrokes incl. credentials Includes Includes Drops Banking Malware on victims/pc Includes User Includes Trust connection by IP and machine tagging/browser attributes Threatens Set IP with Proxy/MiTM to same IP gelocation of the victim Hijacks SessionIDs, Cookies, Machine Tagging Includes Includes Includes Includes Communicate with fraudster C&C Fraudster Includes Enter One Time Password (OTP) to authenticate transaction Threatens Threatens Capture OTP on web channel and authenticate on behalf of the user Includes Includes Threatens Capture C/Qs in transit and authenticate on behalf of user Enter Challenge Question (C/Q) to authenticate transaction Threatens Man In The Browser Injected HTML to capture C/Q 50
51 Attacchi Alle Transazioni e Sfruttamento Di Vulnerabilita 51
52 Threat Modeling Tool` 52
53 STAGE VII Analisi dei Rischi e Degli Impatti: Identificazione della strategia per la mitigazione del rischio del banking malware 53
54 Fattori Per L Analisi Del Rischio Le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurre frodi (transferimento non autorizzato di denaro) Le vulnerabilita (debolezze dell applicazione) Errori nel design di autenticazione e session management; Vulnerabilita in garantire confidenzialita e integrity dei dati; mancanza di logs e di tracciabilita degli eventi e azioni degli hackers sui sistemi L impatto tecnico (compromissione dei controlli) Bypassamento di Challenge/Questions, KBA, OTPs; By-passamento identificazione del client prima di autorizzare transazionis; Compromissione delle web forms al fine di ottenere dati dall utente. Abuso session di autenticazione. L impatto per il business (perdita denaro) Perdita di denaro dovuta a frodi e transferimento di denaro a mules; Perdita di data sensibili; Azioni legali per copertura danni account; Multe per non essere a norma con standards di sicurezza 54
55 Factori Per Il Calcolo Del Rischio Calcolo del rischio basandosi su modelli oggettivi: Qualitativo (e.g. Likelihood x Impact (H, M, L), Threat Source (STRIDE) x Severity (DREAD), Threat X Vulnerability X Impact ()) Quantitativo (e.g. ALE = SLE X ARO) Strategia di mitigazione holistica e multi-layer Controlli per prevenzione e detection Contromisure a diversi livelli (e.g. browser web application, infrastructure) Processi di Governance (e.g. risk based testing, improved fraud detection, threat analysis, cyber intelligence) 55
56 Banking Malware: Application Risk Framework Threat Agents & Motives Misuses and Attack Vectors Security Weaknesses Countermeasures Technical Impacts Business Impacts Hacker Dropper of Malware Attacker targets vulnerable sites to upload malware for drive by download Input validation vulnerabilities allowing for Frame injection of fraudster's URL, file upload via flaws exploits and SQL injection attacks Identification and remediation of common injection vulnerabilities and data /input validation flaws Site integrity is violated, visitors of the site get malware downloaded via malicious ads Reputation loss. Money loss/site taken down, lawsuits Fraudster attacking bank customers and institutions Attacker target banking customer with phishing to exploit browser vulnerabilities and upload banking trojan keylogger on his PC/browser Phishing and social engineering attacks via different channels ( , Facebook, SMS). Lack of customer information about banking malware threats, lack of site to user trust controls (e.g. EV SSL) Consumer education campaigns, EV-SSL certificates to prove authenticity, site to user controls, browser controls Once user selects malicious link, JS on client, install banking malware/trojan compromising the browser Fraud, money losses, reputation loss, data breach disclosure, Banking malware harvest s viictim s account/ data Banking malware/trojan, inject HTML form fields in session using MiTB attack, keylogger to stead data, sends data to C&C and receives commands Browser vulns. allowing MiTB, gaps in anti-automation detection controls, virtual keyboard bypassed by form grabbing Customer education on spoofed Uis, anti-forgey controls, CAPTCHA, Man present controls, antiforgery controls Once customer enter extra data in the HTML form it is sent to C&C: loss of data confidentiality and data integrity since outside application control Loss of customer PII, credentials, PII. Reputational loss via public disclosure of breach, Compliance audit lawsuits, account replacement cost Fraudster attacking bank customers and institutions Attacker sends and receives data to banking malware to perform unauthorized financial transactions using MiTM and session riding attacks Authentication flaws in protecting transaction with adequate strength, session management flaws and vulnerabilities (e.g. session riding/csfr, fixation), nonrepudiation flaws Architecture risk analysis to identify flaws, OOBA, OOBV, transaction signatures, fraud detection/monitoring, event correlation from logs Loss of data confidentiality and transaction integrity, session hijacking, missing logging, detection/monitoring and fraud alerts Money losses associated to fraud from money transfers. Lawsuits compliance/audit risks
57 Contromisure per la mitigazione del rischio PREVENTIVE Misure Anti UI Spoofing/Forging Watermarks nelle web forms che sono difficili da riprodurre Informazioni al clienti al fine di identificare pagine web contraffate dal malware Two-Way Out of Band (OOB) Verification / Transaction Signing Cellulare riceve richiesta di conferma della transazione on-line. Uso di tokens per firmare la transazione DETECTIVE Sistemi di monitoraggio e alerta frodi Anomaly detection Identificazione di cookies e di variables settate dal malware Logs delle sessions/transactions Systemi di identificazione malware/mitb Catturano il profile del browser e gli eventi Anti-automation/CAPTCHA Alerts al cliente via SMS Notifica in tempo reale di azioni sul conto 57
58 Q U E S T I O N S A N S W E R S 58
Banking Cybercrime: Attacchi e scenari di banking malware in Italia IEEE-DEST 2012. The OWASP Foundation. Giorgio Fedon Owasp Italy Technical Director
Banking Cybercrime: Attacchi e scenari di banking malware in Italia Giorgio Fedon Owasp Italy Technical Director IEEE-DEST 2012 giorgio.fedon@owasp.org Copyright The OWASP Foundation Permission is granted
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliAutenticazione avanzata nei pagamenti
Autenticazione avanzata nei pagamenti MASSIMILIANO SALA UNIVERSITÀ DI TRENTO ABI CARTE 2013 APPAGAMENTI PER I CLIENTI METODOLOGIE E SISTEMI DI SICUREZZA EVOLUTI PER NUOVE SOLUZIONI DI PAGAMENTO 5. 12.
DettagliL evoluzione delle minaccie e degli impatti hacking e malware per il settore finance. OWASP Security Summit Milano 20-21-22 Marzo 2012
L evoluzione delle minaccie e degli impatti hacking e malware per il settore finance Marco Morana Global Industry Committee Foundation Security Summit Milano 20-21-22 Marzo 2012 Copyright 2011 - The Foundation
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliProblematiche correlate alla sicurezza informatica nel commercio elettronico
Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference
DettagliSecurity Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager
Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile Francesco Faenzi, Security Practice Manager Agenda Framework & Vision Value Proposition Solution Center Referenze
DettagliManaged Security Service
ANTI-PHISHING Managed Security Service Communication Valley Communication Valley S.p.A. è un Managed Service Provider specializzato nella gestione della sicurezza di reti complesse. Le soluzioni i offerte
DettagliLa sicurezza in banca: un assicurazione sul business aziendale
Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates
DettagliProduct Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013
Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale
Dettaglipenetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliSommario Prefazione... xiii Diventa esperto in sicurezza... xiii Capitolo 1... 1 Codici nocivi... 1
Sommario Prefazione... xiii Diventa esperto in sicurezza... xiii A chi è rivolto questo libro... xiii Una verità scomoda... xiv Il punto della situazione... xv Gli hacker e l hacking... xvii Distinzione
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliEarly Warning. Bollettino VA-IT-130911-01.A
Early Warning Bollettino VA-IT-130911-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130911-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliLa sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione
La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione Direzione Centrale Sistemi Informativi e Tecnologici Massimiliano D Angelo Forum PA, 30 maggio 2013 1 I numeri
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliFabio Guasconi. Partner. Presidente del SC27 di UNINFO e membro del direttivo. Head of Delegation per l Italia, JTC1/SC27 ISO/IEC
Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia, JTC1/SC27 ISO/IEC ISECOM Deputy Director of Communications Membro di CLUSIT, ITSMF, AIIC, ISACA Roma
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliNEAL. Increase your Siebel productivity
NEAL Increase your Siebel productivity Improve your management productivity Attraverso Neal puoi avere il controllo, in totale sicurezza, di tutte le Enterprise Siebel che compongono il tuo Business. Se
DettagliLa sicurezza informatica. Luca Filippi Luca.Filippi@seclab.it
La sicurezza informatica Luca Filippi Luca.Filippi@seclab.it Che cos è SecLab 04/04/2015 http://www.seclab.it 2 Che cos è la sicurezza informatica Le informazioni vanno protette contro chi vuole appropriarsene
Dettagliwww.iks.it informazioni@iks.it 049.870.10.10 Copyright IKS srl
www.iks.it informazioni@iks.it 049.870.10.10 Il nostro obiettivo è fornire ai Clienti soluzioni abilitanti e a valore aggiunto per la realizzazione di servizi di business, nell ambito nell infrastruttura
DettagliProtagonisti di INNOVAZIONE un progetto industriale unico in Italia
Claudio De Paoli IT Security Practice Manager Un approccio innovativo alla sicurezza degli accessi ai servizi di ebanking Roma, gennaio 2011 Cybercrime: Costante aumento di Incidenti e frodi Il mercato
DettagliPARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone
PARTE 1 La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 2 PCI Security Standards Council 2004 A Dicembre viene pubblicata la versione 1.0 della PCI- DSS, gestita da VISA e MasterCard
DettagliPOLITICHE DI GESTIONE DELLE COMUNICAZIONI E LORO IMPLEMENTAZIONE
POLITICHE DI GESTIONE DELLE COMUNICAZIONI E LORO IMPLEMENTAZIONE yvette@yvetteagostini.it vodka@sikurezza.org Consulente sicurezza delle informazioni Security evangelist Moderatrice della mailing list
DettagliCYBER SECURITY COMMAND CENTER
CYBER COMMAND CENTER Il nuovo Cyber Security Command Center di Reply è una struttura specializzata nell erogazione di servizi di sicurezza di livello Premium, personalizzati in base ai processi del cliente,
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
Dettagli- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam?
Perché questo corso - Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam? Cosa spiegheremo - protocolli e le tecnologie internet - quali sono
DettagliIl valore di un processo efficiente di Incident Response: un caso reale
Il valore di un processo efficiente di Incident Response: un caso reale CyberSecurity Summit Milano 9 Aprile,2014 Angelo Colesanto, Pre-Sales System Engineer, RSA 1 Scenario iniziale Primario istituto
DettagliDEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici
DEFENCE in DEPTH Strategie di riduzione della superficie d attacco e dei rischi informatici Luca Bechelli Clusit luca@bechelli.net Ugo Di Nola Sinergy u.dinola@sinergy.it Roberto Banfi Sinergy r.banfi@sinergy.it
DettagliTipologie e metodi di attacco
Tipologie e metodi di attacco Tipologie di attacco Acquisizione di informazioni L obiettivo è quello di acquisire informazioni, attraverso l intercettazione di comunicazioni riservate o ottenendole in
DettagliUn'efficace gestione del rischio per ottenere vantaggi competitivi
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1 Obiettivi della presentazione Dimostrare come
DettagliCarlo, Pelliccioni Security
OWASP Top 10 2007 Le nostre informazioni sono veramente al sicuro? Carlo, Pelliccioni Security Consultant, @Mediaservice.net OWASP-Day Università La Sapienza Rome 10 th September 2007 carlo@mediaservice.net
DettagliModello di sicurezza Datocentrico
Modello di sicurezza Datocentrico I dati sono ovunque Chi accede ai dati, a dove accede ai dati e a quali dati accede? Public Cloud Desktop Virtualization Private Cloud Server Virtualization Proteggere
DettagliApplicazioni software e gestione delle vulnerabilità: un caso concreto di successo
Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,
DettagliSICUREZZA INFORMATICA MINACCE
SICUREZZA INFORMATICA MINACCE Come evitare gli attacchi di phishing e Social Engineering Ver.1.0, 19 febbraio 2015 2 Pagina lasciata intenzionalmente bianca 1. CHE COSA È UN ATTACCO DI SOCIAL ENGINEERING?
Dettaglie quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero
Glossario Account (profilo o identità) insieme dei dati personali e dei contenuti caricati su un sito Internet o su un social network. Anti-spyware programma realizzato per prevenire e rilevare i programmi
DettagliSecurity & Compliance Governance
Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del
Dettagli1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario
1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2
DettagliEvoluzione della sicurezza IT
A causa del cambiamento dei target del cyber crime, dello spionaggio e dell'hacktivism, gli attacchi diventano sempre più vari, come ad esempio l hackeraggio di un sito di news dove è stata riportata la
DettagliSicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliEarly Warning Bollettino VA-IT-130709-01.A
Early Warning Bollettino VA-IT-130709-01.A C A N D I D A T E CORR ISPONDE NZE VULNERABILITY ALERT INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Stack Based Buffer Overflow in AutoTrace Data Pubblicazione
DettagliInternet e posta elettronica. A cura di Massimiliano Buschi
Internet e posta elettronica A cura di Massimiliano Buschi Concetti fondamentali Internet www Tcp/ip Browser Terminologia Esistono un sacco di termini con cui bisogna famigliarizzare http url Link Isp
DettagliMobile Insecurity. Manno, 28 Settembre 2011 D Amato Luigi
Mobile Insecurity Manno, 28 Settembre 2011 D Amato Luigi About us n Luigi D Amato: Senior CyberSecurity Consultant e CTO di Security Lab SAGL. Membro ufficiale del chapter italiano dell Honeynet Project
DettagliLe Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema
Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema Normativa del Garante della privacy sugli amministratori di sistema la normativa: http://www.garanteprivacy.it/garante/doc.jsp?id=1577499
DettagliLa sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.
La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner
DettagliDomande e risposte su Avira ProActiv Community
Domande e risposte su Avira ProActiv Community Avira AntiVir versione 10 sfrutta un innovativa tecnologia protettiva cloud-based, denominata ProActiv, che identifica e blocca i nuovi virus non appena questi
DettagliUNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE
UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE Marco Gallone Sella Holding Banca 28 Novembre 2006 Il Gruppo Banca Sella ed il Commercio Elettronico Dal 1996 Principal Member dei circuiti Visa e MasterCard
DettagliServizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio
Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel
DettagliKASPERSKY SECURITY INTELLIGENCE SERVICES
KASPERSKY SECURITY INTELLIGENCE SERVICES Fabio Sammartino Pre-Sales Manager Kaspersky Lab Italia KASPERSKY LAB MAJOR DISCOVERIES Duqu Flame Gauss miniflame Red October NetTraveler Careto/The Mask 3 MALWARE
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliSymantec Insight e SONAR
Teniamo traccia di oltre 3, miliardi di file eseguibili Raccogliamo intelligence da oltre 20 milioni di computer Garantiamo scansioni del 70% più veloci Cosa sono Symantec Insight e SONAR Symantec Insight
DettagliPresidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC
Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF,
DettagliBollettino VA-IT-131203-01.A
Early Warning Bollettino VA-IT-131203-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - BollettinoVA-IT-131203-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliInformazioni di identificazione personali
Questa Privacy Policy disciplina il modo in cui GIANGI SRL raccoglie, utilizza, conserva e divulga le informazioni raccolte dagli utenti (ciascuno, un Utente ) del sito web www.mamasunpesaro.it ( Sito
DettagliPubblicazioni COBIT 5
Pubblicazioni COBIT 5 Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 La famiglia COBIT 5 3 Aprile
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliRelease Management. Obiettivi. Definizioni. Responsabilità. Attività. Input
Release Management Obiettivi Obiettivo del Release Management è di raggiungere una visione d insieme del cambiamento nei servizi IT e accertarsi che tutti gli aspetti di una release (tecnici e non) siano
DettagliNuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS
Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento
DettagliAgenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti
La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda
DettagliLa Sicurezza in TITAN
La Sicurezza in TITAN Innovazione per Smartcard e Terminali PoI Emiliano Sparaco - Alberto Ferro Trento 08/03/2013 Agenda 2 Innovazione per Smartcard JavaCard e GlobalPlatform Multi-applicazione: L unione
DettagliLa Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server
La Soluzione per Fusioni e acquisizioni, changing management, pianificazione e sviluppo del business, la documentazione correlata ai consigli di amministrazione, il corretto utilizzo dei documenti riservati
DettagliL'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security
L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation
DettagliEarly Warning Bollettino VA-IT-130702-01.A
Early Warning Bollettino VA-IT-130702-01.A P U B L I C CORR ISPONDE NZE VULNERABILITY ALERT INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Local Privilege Escalation nel Kernel di Microsoft Windows Data
DettagliUSO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO
USO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO LA POLIZIA POSTALE E DELLE COMUNICAZIONI La Polizia Postale e delle Comunicazioni si occupa della prevenzione e repressione di tutti i reati commessi per il
DettagliServizio Organizzazione - Monetica e Sistemi di Pagamento. Payment Systems Revolution : an opportunity for (too) many
Servizio Organizzazione - Monetica e Sistemi di Pagamento Payment Systems Revolution : an opportunity for (too) many Banche e Sicurezza 2015 4 giugno 2015 Evoluzione delle frodi in ambito monetica 1980
DettagliSistemi informativi secondo prospettive combinate
Sistemi informativi secondo prospettive combinate direz acquisti direz produz. direz vendite processo acquisti produzione vendite INTEGRAZIONE TRA PROSPETTIVE Informazioni e attività sono condivise da
DettagliIl processo di sviluppo sicuro. Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it
Il processo di sviluppo sicuro Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Kimera Via Bistolfi, 49 20134 Milano www.kimera.it info@kimera.it Argomenti: Perchè farlo Il processo di
DettagliSecurity by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.
Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security
DettagliMonitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)
Monitorare la superficie di attacco Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Vulnerabilità Difetto o debolezza che può essere sfruttata per violare la politica di sicurezza di un sistema(*)
DettagliLa gestione e la prevenzione delle frodi esterne
La gestione e la prevenzione delle frodi esterne Gianluigi Molinari Responsabile Ufficio Prevenzione Frodi Direzione Centrale Organizzazione e Sicurezza Roma 28/29 maggio 2012 Il fenomeno delle frodi è
DettagliFocus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption
Cybercrime e Data Security Banche e aziende come proteggono i clienti? Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption Alessandro Piva Direttore dell Osservatorio
DettagliOperation Bloodninja. Phishing Campaign Analysis Report
Operation Bloodninja Phishing Campaign Analysis Report Sommario Executive Summary... 1 Technical Analysis... 2 Attack Flow... 2 Components Analysis... 4 login_a.php... 4 css.php... 5 wp- config.php...
DettagliBusiness Simulation in ambiente web
Business Simulation in ambiente web Da soluzione Stand Alone ad un ambiente condiviso Lecco, Novembre 2013 Documento riservato. Ogni riproduzione è vietata salvo autorizzazione scritta di MAS Consulting
DettagliBenvenuti. Luca Biffi, Supporto Tecnico Achab supporto@achab.it
Benvenuti Luca Biffi, Supporto Tecnico Achab supporto@achab.it DriveLock: bloccare le applicazioni indesiderate Agenda 3 semplici domande Application control di DriveLock Confronto con Windows 7 Conclusioni
DettagliIntroduzione Kerberos. Orazio Battaglia
Orazio Battaglia Il protocollo Kerberos è stato sviluppato dal MIT (Massachusetts Institute of Tecnology) Iniziato a sviluppare negli anni 80 è stato rilasciato come Open Source nel 1987 ed è diventato
DettagliRischio, sicurezza e analisi giuridica per il passaggio nel cloud. PARTE 2: Organizzare un'architettura cloud sicura
Rischio, sicurezza e analisi giuridica per il passaggio nel cloud PARTE 2: Organizzare un'architettura cloud sicura PARTE 2 SOMMARIO 1. Modelli di sicurezza 2. Rischi Metodi per la progettazione di sistemi
DettagliOperating System For Key
Operating System For Key Non esistono vari gradi di sicurezza. La sicurezza è al 100% oppure non è sicurezza. Assumereste un cassiere che é fedele solo il 98% delle volte? Facciamo una scommessa! Una ricerca
DettagliStrong Authentication, FEA, SPID: la Sicurezza nel Transaction Signing e negli Accessi per Abbattere le Frodi
Strong Authentication, FEA, SPID: la Sicurezza nel Transaction Signing e negli Accessi per Abbattere le Frodi Agostino Ghebbioni Direttore Mercato Servizi Finanziari Indra S.p.A. Antonio Bonsignore CEO
DettagliXXVII Convegno Nazionale AIEA
XXVII Convegno Nazionale AIEA Classificazione delle Informazioni e Data Loss Prevention Impatti normativi da governare Milano, 3 Ottobre 2013 Giuseppe Blasi Alessandro Santacroce 0 2013 Protiviti S.r.l.
DettagliMEMENTO. Enterprise Fraud Management systems
MEMENTO Enterprise Fraud Management systems Chi è MEMENTO Fondata nel 2003 Sede a Burlington, MA Riconosciuta come leader nel settore in forte espansione di soluzioni di Enterprise Fraud Management Tra
DettagliBollettino VA-IT-140901-01.A
Early W a r ning Bollettino VA-IT-140901-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-140901-01.A Pag. 2/6 C A N D I D A T E CORRISPONDENZE EARLY WARNING INFORMAZIONI
DettagliTitolare del trattamento dei dati innanzi descritto è tsnpalombara.it
Decreto Legislativo 196/2003 Codice in materia di protezione dei dati personali COOKIE POLICY La presente informativa è resa anche ai sensi dell art. 13 del D.Lgs 196/03 Codice in materia di protezione
DettagliLa sicurezza nelle comunicazioni Internet
Accesso remoto sicuro a intranet e a server aziendali di posta elettronica Un esempio Cosa ci si deve aspettare di sapere alla fine del corso La sicurezza nelle comunicazioni Internet Esiste un conflitto
DettagliTracciabilità degli utenti in applicazioni multipiattaforma
Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del
DettagliOpen Source Tools for Network Access Control
Open Source Tools for Network Access Control Sicurezza e usabilità per ambienti di rete BYOD Esempio di rete (tradizionale) Esempio di rete (tradizionale) Layout ben definito Numero di end point ben definito
DettagliRetail Network Italy Division rappresenta le 3 Banche Retail di UniCredit presenti sul territorio con 4.500 Agenzie e oltre 7.
Internet Sicuro La gestione del rischio come opportunità per migliorare la customer experience e per incrementare la customer satisfaction dei Clienti Luigi Altavilla Head of Information Security Roma,
DettagliData Loss Prevention. - Security Summit - Milano, 15/03/2011 -
Data Loss Prevention - Security Summit - Milano, 15/03/2011 - Author: P. Mancino Head of Information Security & Security Assessment Premessa DLP e attività propedeutiche Main Step Perimetro di intervento
Dettagli16 novembre E-privacy. Big Data e Cyber Risk. Giuseppe Vaciago
16 novembre E-privacy Big Data e Cyber Risk. Giuseppe Vaciago Alcuni dati: un primato europeo In Italia vi sono 38.4 milioni di utenti nella fascia 11-74 anni con accesso continuo ad Internet, e quasi
DettagliSpike Information Security Awareness Program. Daniele Vitali Senior Security Consultant
Spike Information Security Awareness Program Daniele Vitali Senior Security Consultant Information Security Awareness NIST Special Publication 800-16 Awareness is not training. The purpose of awareness
DettagliSecurity Scan e Penetration Testing
Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration
DettagliSicurezza: esperienze sostenibili e di successo. Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST
Sicurezza: esperienze sostenibili e di successo Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Dott. Sergio Rizzato (Ferplast SpA) Dott. Maurizio
DettagliDalla virtualizzazione al Cloud Computing: identificare le corrette strategie di sicurezza per la protezione dei dati critici
Dalla virtualizzazione al Cloud Computing: identificare le corrette strategie di sicurezza per la protezione dei dati critici Maurizio Martinozzi Manager Sales Engineering Il Datacenter Dinamico L 88%
DettagliReti di Telecomunicazione Lezione 7
Reti di Telecomunicazione Lezione 7 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Il protocollo Programma della lezione file transfer protocol descrizione architetturale descrizione
DettagliINFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it
INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it redatto ai sensi del decreto legislativo n 196/2003 2 GENNAIO 2014 documento pubblico 1 PREMESSA 3 SEZIONE
DettagliLextel Servizi Telematici per l Avvocatura
Lextel Servizi Telematici per l Avvocatura IL PROGETTO 2 Più di un anno fa LEXTEL riceve l incarico da parte della Cassa Nazionale di Previdenza ed Assistenza Forense di iniziare lo studio progettuale
DettagliApriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati
Apriti Sesamo Plus come sistema di Autenticazione Forte AntiPhishing portabilità e protezione dei dati Massimo Penco mpenco@globaltrust.it 1 Sommario -line: il Phishing Una panoramica sulle tecniche più
Dettaglirischi del cloud computing
rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità
DettagliSIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi
SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso
DettagliCrimeware e sua evoluzione Come mitigare il fenomeno
Crimeware e sua evoluzione Come mitigare il fenomeno Roma, 10 maggio 2011 Giovanni Napoli CISSP EMEA South SE Manager 1 Agenda Sicurezza e privacy richiedono un approccio multilivello per mitigare attacchi
Dettagli