Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats. Paolo Chieregatti Sales Specialist paolo.chieregatti@attachmate.

Transcript

1 Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats Paolo Chieregatti Sales Specialist 2008 Finsphere Corporation August 31, 2008

2 Agenda Insider Crime & Insider Threats : un fenomeno purtroppo in crescita Approcci IT tradizionali Un approccio innovativo 2

3 5% Stima impatto delle frodi sul fatturato annuo Valore in $ del danno medio causato da una frode su 4 Mesi di tempo medio trascorso prima che una frode sia scoperta (*) Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2010, ACFE 2010 Global Fraud Study 3

4 Enterprise Fraud Management problema significativo Costi tipici sostenuti a cause di frodi interne (*): per una normale azienda: in media 5% del fatturato ogni anno ¼ delle frodi causa un danno di almeno $ la cifra globale e astronomica: $2.9 trilioni Tempo medio trascorso prima che una frode sia scoperta (*): 18 mesi (*) Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2010, ACFE 2010 Global Fraud Study 4

5 40,2% soffiate 1% confessioni 0% confessioni in Europa 0,6% controlli IT in Europa (*) Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2010, ACFE 2010 Global Fraud Study (*) Il dato relativo ai controlli IT complessivo e pari allo 0.8% 5

6 Come vengono attualmente scoperte le Frodi (*) Percent of Cases IT Controls Confession Notified by Police Surveillance/Monitoring External Audit Document Examination Percent of Cases Account Reconciliation By Accident Internal Audit Management Review Tip 0,0% 5,0% 10,0% 15,0% 20,0% 25,0% 30,0% 35,0% 40,0% 45,0% (*) Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2010, ACFE 2010 Global Fraud Study 6

7 UK CIFAS survey ,5% +41% +7,5% Aumento casi di frode nel 2011 (vs 2010) Aumento azioni di insider disonesti (vs 2010) Aumento di account oggetto di frodi (vs 2010) Dati tratti da CIFAS Staff Fraud Trends 2011, CIFAS 7

8 Metodi per la Scoperta Iniziale di Frodi Initial Detection of Occupational Frauds Detection Method Percent of Cases Tip 40.2% Management Review 15.4% Internal Audit 13.9% By Accident 8.3% Account Reconciliation 6.1% Document Examination 5.2% External Audit 4.6% Surveillance/Monitoring 2.6% Notified by Police 1.8% Confession (*) 1.0% IT Controls (*) 0.8% Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2010, ACFE 2010 Global Fraud Study (*) Il dato relativo all Europa per Confession e pari allo 0%, per IT Controls e pari allo 0.6% 8

9 Alcuni casi eclatanti : UK 9

10 Alcuni casi eclatanti : Svizzera 10

11 Alcuni esempi di frode falsi pagamenti accesso fraudolento a conti per ottenere/alterare dati fughe di informazioni accesso sospetto a conti (es. Conti VIP) manipolazione di polizze e richieste di risarcimento furti di identita violazioni di norme / compliance sabotaggio IT 11

12 Agenda Insider Crime & Insider Threats : un fenomeno purtroppo in crescita Approcci IT tradizionali Un approccio innovativo 12

13 Approcci IT tradizionali (1) Desktop Based ILD / ILP (Information Leakage Detection / Prevention) Rilevamento/prevenzione di fuga delle informazioni basandosi sul controllo delle postazioni di lavoro L utilizzo delle workstations da parte degli utilizzatori viene permesso limitando attivita rischiose ed accessi indiscriminati a dati Es. Non si possono stampare ne copiare su supporti esterni tipo memorie USB certi dati ma e possibile visualizzarli e trascriverli su carta o fotografarli, senza che si sappia che sono stati visualizzati 13

14 Approcci IT tradizionali (2) Monitoraggio e sicurezza dei Database Tracciamento delle attivita sui sistemi Database per generare audit trails Vengono analizzate le richieste di dati che convergono verso i database server, permettendo di risalire ai dati oggetto delle richieste di accesso (anche se non sempre si puo risalire all end-user) Es. Un comando che richieda di aggiungere o modificare informazioni in un database viene tracciato e registrato ma la maggior parte degli strumenti non intercetta i comandi di sola lettura, ed inoltre non vi e alcuna traccia su accessi a dati che non risiedano nei database monitorati 14

15 Approcci IT tradizionali (3) Analisi dei Log Il controllo e basato sulla raccolta ed analisi dei log di informazioni provenienti da svariate fonti IT I Log sono generati da sistemi operativi, applicazioni specifiche, sistemi database, sistemi di sicurezza informatica Es. Gli accessi di un utente ad una determinata applicazione vengono tracciati ma, a meno di onerose personalizzazioni o progetti di integrazione di applicazioni, non sono tracciati gli specifici dati che vengono visualizzati (spesso viene solo tracciato il tipo di transazione) 15

16 Agenda Insider Crime & Insider Threats : un fenomeno purtroppo in crescita Approcci IT tradizionali Un approccio innovativo 16

17 Un approccio innovativo.. Basato sulla user experience Con un motore di correlazione di user behaviour 17

18 Enterprise Fraud Management Insider Threat Employees Partners Customers Record & Playback Real-time Alerts Multi-factor Rules Complete Audit Trail Investigation Center See it Record it Analyse it. Luminet catching the bad guys and beating insider threat Encrypted Digitally signed Forensically sound Admissible evidence Mainframes Log files Application Servers Log files Web Servers Log files Database Servers Log files 18

19 Attachmate Luminet L ambiente da monitorare Network Switch Sorgenti esistenti per i dati Mainframe Log Files Utenti esterni ebusiness clienti Utenti interni Utenti Business Utenti IT privilegiati Web Server AS 400 Client/ Server Database Server Databases Tabelle di riferimento 19

20 Attachmate Luminet Auditor Responsabili Compliance Investigatori di Frodi Visual replay Ricerche in stile Google Reports Ricerche in stile Google Alllarmi Casi Profili Gli utenti di Luminet L ambiente da monitorare Network Switch Sorgenti esistenti per i dati Mainframe Log Files Utenti esterni ebusiness clienti Utenti interni Utenti Business Utenti IT privilegiati Web Server AS 400 Client/ Server Database Server Databases Tabelle di riferimento 20

21 Attachmate Luminet Gli utenti di Luminet Auditor Responsabili Compliance Investigatori di Frodi Visual replay Ricerche in stile Google Reports Ricerche in stile Google Alllarmi Casi Profili LUMINET Search Engine Analytic Engine Investigation Center & Case Manager Visual Audit Trail Analyzed Data Data Collector & Consolidator Ambiente da monitorare Network Switch Sorgenti esistenti per i dati Mainframe Log Files Utenti esterni ebusiness clienti Utenti interni Utenti Business Utenti IT privilegiati Web Server AS 400 Client/ Server Database Server Databases Tabelle di riferimento 21

22 Use cases in ambito bancario Accesso anomalo in inquiry ad account VIP Accesso fraudolento ad account per ottenere/alterare dati dopo l orario di lavoro Accesso da IP address diversi con utilizzo dello stesso User Accesso dallo stesso IP address con User differenti Attività sospetta su c/c dormienti Anomali trasferimenti nell arco di 1-3 mesi con cifre significative non su conti correnti in white list 22

23 Use cases in ambito gaming Utenti che si loggano con privileged users per disabilitare controlli applicativi e cambiare informazioni sensibili. Per poi ripristinare la situazione iniziale Utenti che utilizzano user di altri per bypassare la separation of dutie ed accedere ad informazioni riservate (puntate e quotazioni) Accesso a inforrazioni di utenti VIP per capire comportamenti di gioco 23

24 Un approccio ad hoc che colma le lacune Possibilita di memorizzazione completa degli accessi alle informazioni aziendali Visibilita di tutte le azioni per l accesso alle informazioni aziendali, anche in sola lettura Tracciamento di messaggi tra applicazioni Creazione di una forensic audit trail completa Generazione di allarmi in tempo reale 24

25 Scenari di Compliance - Garante 2 Tracciabilità delle operazioni bancarie : Normativa detta Garante 2 Yes we can 25

26 Luminet in sintesi la tecnologia Lettura del traffico in rete senza installazione di agenti software Nessun impatto sulle performance dei sistemi e della rete Architettura ad elevata scalabilita Installazione senza rischi per le normali attivita di IT operations Memorizzazione delle informazioni in formato estremamente compatto I dati memorizzati vengono criptati e firmati digitalmente per l eventualita di un utilizzo anche legale 26

27 What if you could visually replay each screen? 27

28 Quali strutture vanno a beneficiare di una soluzione di Enterprise Fraud Management? 28

29 Transforma l attività di monitoring in azione intelligente Vede l attività in real-time Registra la user experience per poterla anche rivedere in modalità play-back Analizza pattern sospetti per un azione rapida in near real-time Fraud Prevention Regulatory Compliance Risk Management 29

30 Thank You Grazie 2008 Finsphere Corporation August 31, 2008