Social Media & Incident Handling

Transcript

1 Social Media & Incident Handling Presentazione per Danilo Massa GIAC GCIH, GCFA, GREM certified professional Torino 15 dicembre 2011

2 Agenda Introduzione Procedura per la gestione degli incidenti Preparation Detection and Analysis Cont. Erad. Rec. Post Incident Activity Domande e risposte

3 Introduzione Social media Social media è un termine generico che indica tecnologie e pratiche online che le persone adottano per condividere contenuti testuali, immagini, video e audio. I social media rappresentano un cambiamento nel modo in cui la gente apprende, legge e condivide informazioni e contenuti. In essi si verifica una fusione tra sociologia e tecnologia che trasforma il monologo (da uno a molti) in dialogo (da molti a molti) e ha luogo una democratizzazione dell'informazione che trasforma le persone da fruitori di contenuti ad editori.

4 Introduzione Numeri Più di 800 milioni di utenti attivi (più del 50% di essi si collega ogni giorno) Fonti: Sono più di 350 milioni gli utenti che accedono mediante dispositivi mobili Ogni utente ha in media 130 amici Il 75 % degli utenti è al di fuori degli USA In media sono pubblicate 250 milioni di foto al giorno In Italia su 30 milioni di utenti internet, 19.8 milioni sono iscritti a facebook

5 Introduzione Numeri Fonte:

6 Introduzione Utilizzo dei social media Personale Impiegato in genere per pubblicare foto, video, testi, esprimere opinioni, ricercare lavoro Utilizzati per promuovere il brand, la ricerca di personale, comunicare con i propri impiegati o condividere le competenze Aziendale

7 Introduzione Ambito di impiego Personale Aziendale Potrebbero apparire come due impieghi di tipo diverso, ma la correlazione tra loro è molto forte ed un post inserito in uno dei due ambiti può avere pesanti ricadute sull altro Erosione della privacy Diffusione di informazioni aziendali

8 Introduzione Incidenti comuni Reati contro la persona: delitti contro l onore, delitti contro la libertà morale Violazione della privacy (altrui) Violazione delle norme sul copyright, uso improprio di marchi e loghi Violazioni dell art. 4 dello Statuto dei lavoratori (controllo remoto)

9 Introduzione Gestione degli incidenti Incidente NON è solamente attacco di hacker INCIDENTE: ogni azione che reca o possa recare un danno di qualsivoglia natura all organizzazione per cui operiamo Aspetto fondamentale: identificare l incidente Identificato un incidente, è opportuno limitare i danni, e mettere in sicurezza eventuali evidenze digitali di reato

10 Introduzione Computer Security Incident Handling guide SP Procedura in 4 macro-fasi Fornisce esempi di checklist e scenari per esercitazioni Preparation Detection and Analysis Containment Eradication Recovery Post- Incident Activity

11 Procedura: Preparation Preparation Questa fase è propedeutica alla gestione degli incidenti, deve necessariamente essere stata eseguita da qualsiasi azienda che dichiari di effettuare una gestione degli incidenti Per essere in grado di gestire correttamente un incidente che coinvolge un social media occorre essere specificatamente preparati: apposite policy e formazione specifica dell utenza sistemi web filtering/data leak prevention software per la documentazione delle evidenze sistemi di tracking accessi a social media aziendali

12 Procedura: Preparation Preparation Policy: 10 punti da ricordare Definire in modo chiaro che cosa si intende per social media, per tutti è chiaro che cos è Facebook, ma non ci devono essere dubbi nemmeno per Flickr, Digg, forum, blog ed altri Definire la posizione dell azienda o organizzazione rispetto all utilizzo dei social media, alcuni, come per esempio LinkedIn, possono essere utilizzati come strumenti di lavoro, per altri potrebbe essere proibito l accesso oppure consentito in modo limitato (es. durante la pausa pranzo)

13 Procedura: Preparation Preparation Policy: 10 punti da ricordare Rinforzare la classificazione dei dati e soprattutto delle limitazioni alla loro divulgazione anche su social media che apparentemente definiscono dei corretti livelli di riservatezza sui dati (intrusioni «hacker» sono sempre possibili) Definire se è o meno consentito che un impiegato si identifichi su un social media esterno come lavoratore dell azienda

14 Procedura: Preparation Preparation Policy: 10 punti da ricordare Istruire gli utenti ad una corretta gestione dei collegamenti, delle «raccomandazioni» e dei «commenti» nei confronti di altri utenti del social media, sia per evitare problemi di information disclosure, sia per non incorrere in problemi legali (es. violazione della privacy) Lo stesso discorso vale nel caso in cui ci si riferisca a partner, clienti o fornitori, per i quali può essere opportuno richiedere un permesso esplicito prima di effettuare qualsiasi operazione sul social media

15 Procedura: Preparation Preparation Policy: 10 punti da ricordare Ricordare agli utenti le vigenti leggi sul copyright e sulla proprietà intellettuale. E buona norma sottolineare che i marchi ed i loghi sono di proprietà delle rispettive aziende che li detengono, come lo sono anche altri «prodotti» di uso interno (es. codice sorgente, modelli di documento, etc) Molti social media richiedono agli utenti di sottoscrivere dei «termini di servizio» (TOS) che potrebbero però essere in contrasto con le policy aziendali

16 Procedura: Preparation Preparation Policy: 10 punti da ricordare Definire i termini di utilizzo dei social media non aziendali in modo chiaro, per non generare impatti sulla produttività delle risorse aziendali Una corretta policy per l uso dei social media deve anche contemplare quelle che possono essere le conseguenze della sua violazione, espresse sia in termini civili che penali, ma soprattutto aziendali

17 Procedura: Preparation Preparation Sistemi web filtering e data leak prevention Prevenire è sempre meglio che curare è quindi opportuno progettare ed attivare: Un sistema di web filtering (proxy), che limiti l accesso a social media che non sono confacenti alle policy aziendali Un sistema di data leak prevention che intercetti, segnali ed eventualmente arresti la pubblicazione di informazioni aziendali su social media

18 Procedura: Preparation Preparation Software per la documentazione delle evidenze In caso di incidente su un social media non interno, può essere utile avere a disposizione uno strumento che permetta facilmente di generare un immagine da una intera pagina web L immagine così generata può essere poi firmata digitalmente e conservata come parte delle evidenze digitali di un reato Uno di questi strumenti è FireShot reperibile al seguente URL

19 Procedura: Preparation Preparation Sistemi di tracking accessi a social media aziendali In alcuni social media è possibile tracciare gli utenti che accedono ad un eventuale profilo aziendale. In tal caso è opportuno predisporsi alla gestione di un eventuale incidente, implementando un sistema di acquisizione delle tracciature in modalità forensicamente valida. In altri casi è invece necessario richiedere le informazioni di accesso al fornitore del servizio di social media, è quindi indispensabile predisporsi definendo, nel contratto di fornitura stesso, le modalità di fornitura di tali dati.

20 Procedura: Detection and Analysis Detection and Analysis Questa fase è relativa all analisi degli eventi di sicurezza con lo scopo finale di identificare un eventuale incidente Nel caso di un incidente che coinvolge principalmente un social media, è molto difficile che l individuazione dello stesso possa essere automatizzata. Nella maggior parte dei casi infatti la segnalazione avviene da parte di utenti interni all azienda o esterni ticket di richiesta assistenza da help desk mail/telefonate da parte di utenti

21 Procedura: Cont. Erad. Rec. Containment Eradication Recovery Questa fase è relativa al contenimento e rimozione dell incidente e delle cause che lo hanno generato Applicare questa fase ad un incidente che coinvolge un social media su sistemi esterni all azienda è molto complesso o addirittura infattibile containment impedire l accesso al social media dall interno dell azienda eradication rimuovere o richiedere di rimuovere eventuali post, pagine, commenti o altro recovery monitorare i contenuti del social media

22 Procedura: Post Incident Activity Post- Incident Activity Questa fase è necessaria per chiudere l incidente, indicare le azioni da eseguire per evitare che accada nuovamente e per (eventualmente) migliorare la preparazione per gestire incidenti analoghi Nel caso di un incidente su un social media esterno all azienda le attività relative alle «lezioni apprese» sono simili a quelle standard: riunione di chiusura incidente incident report (per i tecnici) executive report (per il management) eventuale aggiornamento delle policy eventuale aggiornamento della procedura eventuale aggiornamento degli strumenti

23 Domande e risposte Domande e risposte