Information Security: le sfide future e i problemi di sempre

Transcript

1 Massimo Cappelli Operations Planning Manager Global Cyber Security Center Information Security: le sfide future e i problemi di sempre

2 Futuro digitale - IoT mld 7 10 oggetti a persona 1. Sistemi di sorveglianza 2. Elettrodomestici 3. Smartphone 4. Impianti luce acqua gas 5. Impianti video e audio 6. Impianti irrigazione 7. Autovetture 8. PC Tablet Laptop 9. Impianti biomedici 10.Sistemi industriali 11.Abbigliamento

3 Informazioni in circolazione Amicizie Nome/Cognome/Alias Segni particolari Codice Fiscale Viaggi Affetti Lavoro Educazione Hobby Veicoli posseduti Dati biometrici Dati sanitari Casa vacanze Residenza Data/Luogo nascita Informazioni finanziarie Traumi Nucleo famigliare Orientamenti Anniversari Abitudini sociali Passioni 3

4 Posizionamento Italia Digital Economy & Society Index Connettività: Banda larga largamente diffusa no quella ultraveloce Capitale umano: Bassa la specializzazione in ambito digitale Uso di Internet: 1/3 Popolazione non utilizza Internet regolarmente 28 Integrazione Tecnologie Digitali: Bassa fatturazione elettronica e ecommerce 20 Italy: 25 su 28 5 Servizi pubblici digitali: Buona presenza di servizi pubblici online, non dell utilizzo 17 4

5 Evoluzione della minaccia Duqu 2.0 TeamSpy Darkhotel - part 2. Darkhotel Naikon Miniduke MsnMM Compaigns CosmicDuke Hellsing Gauss RedOctober Regin Sofacy Satellite Turla Stuxnet Duqu Flame miniflame Icefog Winnti Careto / The Mask Carbanak Wild Neutron Epic Turla Desert Falcons APT Timeline NetTraveler Kimsuky Energetic Bear / Crouching Yeti Equation Blue Termite Spring Dragon Animal Farm 5

6 Insider o Outsider Esempio: attacco sistema SWIFT Sistema Banca Bangladesh Sistema SWIFT Conti filippini 81mln Federal Reserve New York 5 Conto Sri Lanka 20mln Attaccante, probabilmente attraverso un attacco mirato ma con modalità ignota riesce a installare un maleware su uno o più sistemi SWIFT Il malware si predispone ad operare in tale ambiente come se fosse un servizio SWIFT o riconosciuto da SWIFT Il malware monitora il traffico per poi estrarre e modificare transazioni sul db del sistema SWIFT. Questa funzionalità ha operato ciclicamente per circa 2 giorni sotto il controllo remotizzato dell attaccante (Command & Control) Il malware è stato in grado di compromettere il sistema di verifica dei codici autorizzativi delle transazioni, disabilitando la verifica stessa e garantendo l autenticità della falsa transazione Il malware ha intercettato il messaggio di conferma, generato dal network SWIFT, per inviare alla stampante il messaggio manipolato Ultima fase è la monetizzazione verso conti in Sri Lanka e nelle Filippine. Attualmente non sono stati ancora recuperati 81 mln di dollari versati su conti delle Filippine Ipotesi Da fonti pubbliche Sistemi potenzialmente compromessi 6

7 La Fondazione GCSEC lavora su 4 aree Filoni di attività Information Sharing Creazione di modelli di information sharing pubblico - privato 4 Sensibilizzazione Campagne di sensibilizzazione multi-livello GCSEC 2 Formazione Attività di formazione a corsi di specializzazione e master 3 Threat Intelligence Analisi di modelli di attacco e delle tecnologie necessarie a velocizzare l analisi stessa 7

8 Information sharing: una mole ingestibile Come si fa solitamente Quantità di informazioni eccessiva e ridondante Informazioni incomprensibili e da analizzare Come si potrebbe fare Informazione puntuale e strutturate in base alle mie esigenze 8

9 Information sharing: necessità e volontà Come si fa solitamente Come si potrebbe fare Esigenza Non è realmente percepito il valore aggiunto di uno scambio di informazioni Definire chiaramente quale è l oggetto dello scambio informazioni (minacce, vulnerabilità, contromisure,) Volontà La volontà è puramente formale per qualche foto di rito: scatola vuota o il tipico MoU Identificare un piano di lavori condiviso con obiettivi, tempistiche, risorse e e solo dopo passare agli aspetti formali con la firma di un MoU Metodologia/p olicy Una parte che viene spesso tralasciata. Nel MoU si declina a documentazione successiva più approfondita che poi non viene mai realizzata Creare un tavolo di lavoro comune, operativo, in grado di definire quali sono i risultati desiderati, quale la metodologia per raggiungerli e quali sono le policy e i processi a supporto Tecnologia Viene raramente presa in considerazione l idea di condividere piattaforme e quando ciò avviene sono abbandonate a se stesse Sulla base dei risultati da ottenere definire i requisiti funzionali della tecnologia per poi disegnare i requisiti tecnici Cultura e commitment Lo scambio di informazioni avviene a livello personale tramite un rapporto peer to peer o perché forzati a farlo: vogliono le informazioni? Gli riverso il mondo addosso.. Il tavolo di lavoro deve coinvolgere prettamente persone operative, coloro che avranno a che fare con il sistema e lo dovranno utilizzare tutti i giorni Budget E la parte più ostica per un manager, dover rischiare di investire in un concetto spesso astratto e in cui non si crede fortemente. Partecipo se non mi costa nulla Il budget è soprattutto legato alla creazione degli strumenti e alla manutenzione di essi. Si può sopperire alla mancanza di fondi anche grazie ai contributi pubblici 9

10 Information sharing: stesso linguaggio Company A Company B Company Application STIX TAXII Standards Information Security IT Security Information Security IT Security Information Security IT Security Classi composte da operatori e analisi di diverse aziende per apprendere un linguaggio comune di scambio informazioni STIX Structured Threat Information expression TAXII Trusted Automated exchange of Indicator Information 10

11 Formazione: esigenze The 2015 (ISC) 2 Global Information Security Workforce Study Frost & Sullivan Intervistati circa professionisti dell Information Security nel mondo Quali fra le seguenti figure o categorie non sono abbastanza attualmente nella tua azienda? Quali sono le competenze e abilità che sarà necessario acquisire o rafforzare all interno della tua azienda per rispondere agli scenari di minaccia nei prossimi 3 anni? 11

12 Formazione: un modello virtuoso da creare Sviluppare corsi avanzati propedeutici per il mondo del lavoro o per l Università Formazione continua specialistica fuori e dentro l impresa Asilo Elementari Medie Superiori Università Corsi specifici Impresa Migliorare competenze e abilità nelle Scienze, Tecnologie, Ingegneria e Matematica Rivedere le percentuali di insegnamento fra teoria e pratica 22 STEM DESI 12

13 Formazione: National Initiative for Cybersecurity Education Category 7 Protect & Defend Securely Provision Specialty Areas 31 Information Assurance Compliance Software Assurance and Security Engineering System Development Systems Requirements Planning Task KSA Level of Knowledge Skill and Ability + Investigate Analyze Oversee & Govern Operate and Maintain Collect & Operate Sviluppo modelli di monitoraggio e di misurazione del rischio, della conformità e del calcolo assicurativo. Sviluppo specifiche di sicurezza. KSA 19 Conoscenze di computer network defense, degli strumenti di valutazione delle vulnerabilità,. Knowledge, Skill and Ability per la valutazione delle risorse JOB TITLE 200 Accreditor Auditor Authorizing Official Designated representative Certification Agent Certyfing Official Compliance Manager Designated Accrediting Authority Information Assurance Auditor Information Assurance Compliance Analyst/Manager Information Assurance Manager Information Assurance Officer Portfolio Manager Quality Assurance Specialist Risk/Vulnerability Analyst Security Control Assessor System Analyst Validator 13

14 Formazione: matrimonio dei framework National Initiative for Cybersecurity Education National Cybersecurity Framework 14

15 Threat Intelligence: Azienda sempre più parte della rete Perimetro Esterno CLIENTI Perimetro Interno Informazioni sull azienda presenti fuori dal perimetro Clienti, dipendenti e fornitori aumentano superficie di vulnerabilità Interdipendenze sempre più critiche 15

16 Threat intelligence: uno sforzo congiunto Le aziende devono sopperire alla mancanza di awareness dei propri clienti monitorando il web anche alla ricerca di informazioni non direttamente riconducibili a minacce all azienda ma che indirettamente possono impattare sul business o sulla integrità dei propri servizi - Awareness End User + Capacità End User Presidio Azienda Phishing, Typo squatting, Ransomware, Falsi siti di ecommerce, + Ambito Monitoriaggio Aziendale - Web Monitoraggio Deep Web 16

17 Threat intelligence: minaccia sempre più sofisticata Aumento nella quantità degli attacchi Commenti Aumento nella qualità deli attacchi La minaccia è sempre più sofisticata e attenta al target di attacco (social engineering più meticolosa) Le Tecniche, Tattiche e Procedure (TTP) di attacco spesso vengono replicate con variazioni più o meno significative La collaborazione fra attaccanti è molto più efficace e rapida di quanto avvenga fra i difensori L aumento dei servizi digitali e delle competenze digitali in generale porterà un aumento del crimine di nuova generazione 17

18 Threat intelligence: i problemi di sempre Application 1 Infrastructur e/tools Facility Core/Critical Service Critico Operating system Application 2 Application 2 Infrastructur e/tools Facility Support Service Infrastructur e/tools Facility Non critico La mancanza di conoscenza della mappatura aggiornata della catena tecnologica alla base dei servizi è critica per la mirata identificazione delle minacce I dati sulle minacce, attacchi avvenuti e incidenti non sono omogenei e pertanto è difficile valutare quali dati considerare all interno della propria analisi del rischio per prioritizzare gli investimenti in contromisure La difficoltà di integrazione delle informazioni sulle minacce nel monitoraggio quotidiano L approccio a silos fra funzioni interne (es. IT Security, Esercizio, Information Security) crea mancanza di condivisione e collaborazione 18

19 Sensibilizzazione 95% Delle compromissioni a livello aziendale deriva da errore umano non intenzionale 19

20 Attività GCSEC 2016: Highlight Pubblicazione ATM A Look at the Future and Emerging Security Threats Landscape Evento Sicurezza degli ATM scenari di minaccia per il settore bancario Pubblicazione Attacchi APT casi reali di attacco e raccomandazion i per le contromisure Formazione Standard di condivisione STIX e TAXII casi applicativi giugno luglio agosto settembre ottobre novembre dicembre Evento Attacco Cyber Esperienze operative per la resilienza del business Progetto Ecrime Scenari di attacco alle infrastrutture critiche e modellizzazione dei costi Manifesto Coordinated vulnerability disclosure Campagna sensibilizzazione per il cittadino nel mese della cyber security Evento EECTF Casi reali di attacchi APT Modelli di attacco e contromisure Collaborazioni 20

21 For more information contact: Massimo Cappelli Operations Planning Manager Global Cyber Security Center