Alessandro Tanasi. Alessandro Tanasi La sicurezza informatica nelle aziende

Transcript

1 La sicurezza informatica nelle aziende Alessandro Tanasi 1

2 Introduzione società dipendente dalla tecnologia definizione di sicurezza informatica gli obbiettivi dell'elaborazione dei dati La dipendenza dalla tecnologia comporta problemi di sicurezza di informazioni e dei sistemi informativi. In prima linea si trovano le aziende che devono mantenere e controllare: Riservatezza: il corretto livello di confidenzialità Integrità: evitate la loro manomissione o la loro perdita Disponibilità: risorse sempre pronte per l'uso AAA: autenticazione, autorizzazione e registrazione 2

3 Chi è a rischio? le imprese non comprendono il rischio, nemmeno a crimine commesso non si investe in sicurezza informatica Potenzialmente può incorrere in problemi di sicurezza informatica chiunque: Sia connesso a internet o in generale a una rete Legga la posta elettronica Abbia dati importanti di cui non dispone di copia Installi programmi di provenienza non certa...praticamente... tutti! 3

4 La minaccia concreta truffatori e criminali in cerca di facili guadagni programmi automatici e dilettanti attacchi professionali Truffe, in particolare spam e phishing Attacchi automatizzati e script kiddies (vandali inesperti) Virus e spyware: il 99% delle società usa un programma antivirus, l'82% di queste sono state colpite da virus [1] Abusi: l'80% delle società riporta che un lavoratore ha abusato dell'accesso a internet, ad esempio scaricando materiale pornografico o protetto da copyright[1] Attacchi mirati condotti da professionisti (pagati) [1] CSI/FBI Computer Crime and Security Survey,

5 Nel dettaglio.. la maggior parte dei danni e' causata dai virus (blu) l'attacco umano professionale e' raro (rosso) 5

6 Strumenti tecniche matematiche (crittografia) finanziamenti per strutture e personale formazione del personale La matematica: la crittografia archiviazione di dati cifrati e firma digitale autenticazione e non ripudio autenticazione realizzazione di comunicazioni sicure su canale insicuro Investimenti in tecnologia (apparati di protezione e autenticazione, filtri sui contenuti, aggiornamenti) Analisi e definizione dei rischi Personale (punto debole) e formazione 6

7 Formazione training sulle tecnologie e i mezzi formazione del buon senso nel personale La formazione dovrebbe aiutare a comprendere l'uso e lo scopo degli strumenti informatici Come gestire gli allegati? Perchè alcuni siti sono pericolosi? Chi può accedere a quali informazioni e in che modo? La formazione aiuta il personale a prendere consapevolezza delle problematiche e dei rischi, aumenta la produttività e diminuisce gli incidenti informatici 7

8 Livelli di sicurezza Che informazioni tratto? Chi è interessato a queste informazioni? Rispetto la Legge? Quale livello di sicurezza voglio garantire? valutazione di un livello di sicurezza adeguato la sicurezza è un processo la sicurezza si costruisce ogni giorno Eliminazione del rischio per quanto possibile dalla tecnologia Comprensione del pericolo e sua riduzioni con azioni proporzionali Sicurezza? Cosa? La sicurezza è un processo che richiede investimenti costanti, azioni correttive risultanti da una scelta di compromesso tra esigenze dell'utente e impegno richiesto, in coerenza con lo scenario, l'identificazione e valutazione adeguata dei rischi. 8

9 Problematiche sicurezza affrontata a vari livelli tutti insieme contribuiscono il sistema e' debole quanto il suo livello più debole Livelli di problemi diversi, tutti devono essere affrontati: Applicazione (programma) Host (computer) Rete interna Accesso al mondo Sicurezza fisica Comprensione del problema 9

10 Sicurezza Fisica cose ovvie e semplici esempi di errori tipici Perchè ricorrere a una complicata violazione informatica quando quello che ci serve è appoggiato su una scrivania? Password su post it Documenti cestinati Documenti visibili Eccessi di fiducia Terminali accesi senza utenti 10

11 Ambiente di lavoro un minimo di sorveglianza controllo sul flusso dell'informazione e sul suo trattamento furti di informazione Controllo dell'accesso ai locali, policy (regole) di accesso Trattare nel modo dovuto i documenti (ad es. in cartelline) Non lasciare informazioni nei rifiuti Attenzione a come vengono portati dati fuori dall'ufficio Porre attenzione ai piccoli dettagli dei computer (segni di scasso) Prevenzione di incendi, allagamenti ecc...e molto altro.. Le cose ovvie spesso vengono trascurate perchè date per scontate! 11

12 Social Engineering Sono un Tecnico Telecom, devo fare un controllo sulla linea Prego, entri pure, ci vuole molto? facilitato dalla scarsa malizia permette la raccolta di informazioni semplice da mettere in atto Social Engineering [1]: ottenere informazioni confidenziali manipolando e ingannando le persone con imbrogli ad arte Le persone danno fiducia al contesto di una conversazione Mancanza di paranoia in particolare nella routine quotidiana Mancanza di training del personale, mancanza di sanzioni, in generale mancanza di buon senso [1] 12

13 Sicurezza dell'host errori comuni dell'utente debolezza di sistemi operativi e applicazioni continua attività maligna proveniente da internet Virus Melissa: 6,7 miliardi di dollari di danni Un sistema Windows collegato a internet senza essere protetto dopo pochi minuti è già compromesso Abitudine di cliccare su avanti senza leggere Configurazioni errate Accessi non controllati Sistemi installati e mai configurati 13

14 Il fattore umano causa la maggior parte delle violazioni la soluzione più efficace è usare il buon senso La sicurezza di un singolo computer viene violata in particolare a causa di errori umani Non aprire ingenuamente Non eseguire programmi di cui non è certa la provenienza Utilizzo improprio del ambiente lavorativo (ad es. p2p) Scelta di password deboli mai cambiate Installazione di programmi di cui non si conosce l'uso Semplicemente bisogna usare del buon senso! 14

15 Virus alta virulenza necessità di programmi di difesa attiva e passiva i programmi di difesa devono essere aggiornati Circa 40 nuovi virus e worm vengono creati ogni giorno In 10 minuti un virus può infettare oltre hosts nel mondo Spesso un virus espone i dati contenuti nel sistema Virus, worm [1]: un programma che si replica e si diffonde autonomamente Contromisure: installare un antivirus e un programma anti spyware che devono essere mantenuti costantemente aggiornati (almeno giornalmente). [1]: 15

16 Firewall internet è una fonte di traffico maligno non esporre le vulnerabilità dell'host al mondo ci permette di controllare il traffico dalla rete all'host Firewall [1]: strato che si interpone tra l'host (o la rete) e il mondo esterno bloccando l'attività di rete non voluta Protegge l'host dallo sfruttamento delle sue vulnerabilità (del sistema operativo, delle applicazioni) Permette solo il traffico prescelto Permette di circoscrivere servizi Difende il perimetro [1]: 16

17 Sicurezza dell'host host non aggiornati sono vulnerabili servizi non utilizzati sono un punto d'ingresso in più essere sempre pronti alla disfatta facendo dei backup Aggiornare il sistema operativo e le applicazioni Disabilitare i servizi non necessari Pianificare dei backup del sistema (...e farli.. ma farli)...ma il tutto deve essere bilanciato tra sicurezza e usabilità Mantenere il proprio computer aggiornato, facendo scansioni, manutenzione e backup periodici. Tutto questo non previene gli errori umani! 17

18 Sintomi di violazione come accorgersi di una intrusione sintomi da riconoscere Rallentamenti del sistema Uso anomalo della rete (alto traffico) e suoi rallentamenti Comparsa di file sospetti, icone e programmi non voluti Malfunzionamento di programmi (in particolare antivirus) Tutto quello che è diverso dal normale se non sono stati apportati cambiamenti Uso eccessivo della CPU e del Hard Disk Eventi strani nei log (registri delle attività) 18

19 Disaster Recovery i disastri accadono sicuramente (prima o poi) non facciamoci trovare impreparati E' avvenuto un incidente informatico, cosa fare? In caso di disastro cosa fare? Pensare alle principali evenienze Pianificare una risposta ad esse Descrivere la risposta in appositi manuali con un linguaggio semplice Esempi: Pianificazione dei backup Pianificazione di chi chiamare in caso di collasso del collegamento a internet 19

20 Sicurezza di rete conoscenza dell'utilizzo che viene fatto definire cosa è un utilizzo normale riconoscimento delle anomalie Per cosa viene usata la nostra banda? Cosa può fare un malintenzionato dalla nostra rete? Se la nosta rete viene usate per spedire spam?... e il phishing?... e il p2p? 20

21 Rete la rete è una risorsa il suo utilizzo deve essere regolato In una rete usata da più persone si deve disporre di: AAA Autenticazione, Autorizzazione, Registrazione Possibilità di filtraggio Possibilità di monitoraggio Esempi: Sapete chi utilizza la vostra rete Wi Fi? Sapete chi accede ai vostri documenti condivisi? ladro di dati amministratore 21

22 Monitoraggio di rete monitoraggio qualitativo monitoraggio quantitativo ipotesi sul traffico alla ricerca di anomalie Monitoraggio dell'utilizzo da parte del dipendente (proxy) e eventuale blocco automatico (filtraggio) Monitoraggio delle risorse (grafici utilizzo banda ecc..) Monitoraggio del contenuto del traffico (..e delle persone) In ambiti particolari: Sitemi di rilevamento delle intrusioni (IDS) Sistemi di prevenzione delle intrusioni (IPS) 22

23 Comunicazioni Sicure problema dell'intercettazione utilizzo della crittografia verificare di utilizzare un canale sicuro I dati inviati in chiaro possono essere intercettati web (non https) chat messaggistica Utilizzo della crittografia per rendere incomprensibile la comunicazione Siti web protetti (https, certificati digitali) Comunicazioni sicure (ad es. chat che utilizzano SSL o altro) Crittografia e firma digitale nelle 23

24 Negazione di servizio interrompere il servizio è un danno economico prevedere alcuni tipi di interruzione essere pronti a reagire Denial of Service (DoS): attacco mirato all'interruzione dell'erogazione di un servizio attacco informatico errore umano problema tecnico necessità di strutture ridondate Pezzi di ricambio Dati replicati Collegamenti ridondanti Alimentazione controllata (UPS) 24

25 Enterprise dove la sicurezza viene messa al primo posto dove tutto deve funzionare Sistemi per il rilevamento delle violazione sul singolo host (HIDS, auditing) e per l'apprendimento (honeypots) Sistemi per il monitoraggio della rete (monitoring, auditing), rilevazione e prevenzioni delle attività ostili (NIDS, IPS) Sistemi di sorveglianza e controlli d'accesso Aggiornamento costante di strutture e personale Simulazioni e penetration test periodici Professionisti specializzati AT&T NOC 25

26 Conclusioni la tecnologia aiuta ma non basta la tecnologia non protegge dagli errori umani la conoscenza del problema è fondamentale La sicurezza è un processo da eseguire ogni giorno strutturato a livelli La tecnologia non protegge host e reti da errori umani e in particolare dalle persone malintenzionate L'uso del buon senso è fondamentale...questa è appena la punta dell'iceberg; l'importante non è conoscere la soluzione ma avere la consapevolezza che esistono delle problematiche diverse e un problema sicurezza informatica 26

27 Domande 27

28 Licenza Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute NonCommercial ShareALike [1] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa. In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte. Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni. [1] nc sa/2.0/ 28

29 Slides Le slides di questa presentazione sono già disponibili su: Per informazioni: 29