Giugno 2013 Security Summit Roma. Andrea Zapparoli Manzoni Consiglio Direttivo Clusit

Transcript

1 Monitoring, Detecting, InvestigatingInsider Insider Cyber Crime & Insider Threats Giugno 2013 Security Summit Roma Andrea Zapparoli Manzoni Consiglio Direttivo Clusit

2 Il problema degli Insider è ancora sottostimato Le organizzazioni sono esposte a tre tipi di minacce: gli attacchi portati dall esterno quelli realizzati dall interno i danni accidentali dovuti a fenomeni imprevedibili. Le aziende sono oggi efficacemente organizzate per mitigare i rischi derivanti da: attacchi provenienti dall esterno - firewalls, IDS/IPS, anti-malware, etc da catastrofi o eventi naturali imprevedibili - contingency plan, sistemi ridondati per il disaster recovery, backup, La fonte di rischio meno presidiata è l Interno Eppure da li vengono la maggior parte delle minacce gravi. Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 2

3 La percezione del rischio è ancora troppo bassa 25,9% 21,4% 19,4% 22,2% 28,6% 28,4% 19,4% 21,4% 21,6% 32,7% 32,7% Molto Elevato Elevato Medio Basso 20,7% 17,9% 36,1% 23,1% Molto basso 3,4% 10,7% 2,8% 11,5% Totale Piccole Medie Grandi Fonte: NetConsulting (2013) Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 3

4 Mentre l adozione di contromisure va a rilento 24% Non presenti né previste 40% 53% 54% 16% Previste ma oltre 6 mesi 16% 8% Previste entro 6 mesi 5% 19% 11% 39% 6% 22% 36% 53% Già implementate Totale Piccole Medie Grandi Fonte: NetConsulting (2013) Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 4

5 Tipologie di Insider e rischi correlati Da un lato (in particolare in Italia e nei paesi latini in genere) il problema crea imbarazzi, è tabu, non se ne parla volentieri Dall altro le tradizionali difese tecnologiche e organizzative sono poco efficaci e molto parziali contro gli Insiders Peculiarità dell Insider Informatico: tre diverse classi di Insider Unaware Insider, Low Profile, High Profile Psicologia dell Insider: soggetto a Distorsioni cognitive che abbassano la deterrenza e aumentano la propensione al crimine sonoinvulnerabile e intoccabile La Propensione al crimine negli Insider consapevoli è indipendente dal livello: maggiori responsabilità = aumento esponenziale del danno potenziale Identificare gli High-ProfileInsidersè una priorità per le Aziende Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 5

6 Distribuzione delle frodi per tipo di Insider (old but gold) Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 6

7 Il modello SKRAM di descrizione degli Insider (FBI) Modello FBI - SKRAM: combinazione di cinque attributi base Skill, Knowledge, Resources, Access, Motive Skill Knowledge Resources Access Motive Possiede massima Capacità tecnica sui possibili obiettivi di un attacco Elevata intelligenza e capacità di pianificare Possiede la conoscenza dell ambiente e degli interlocutori, dei loro ruoli, etc. Conoscenza profonda delle difese in essere e delle procedure di controllo Dispone di tempo e mezzi per costruire l effrazione Può spegnere i sistemi di difesa ed agire indisturbato, Può operare in più riprese Ha i Privilegi di accesso logico al massimo grado Spesso autorizzato anche alla vicinanza fisica Può essere attratto dallla possibile impunità eliminando le tracce Potrebbe e saprebbe nascondere errori o incidenti Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 7

8 Quali sono le frodi interne più diffuse? falsi pagamenti accesso fraudolento a conti per ottenere/alterare dati fughe di informazioni/ spionaggio industriale accesso sospetto a conti (es. Conti VIP) manipolazione di polizze e richieste di risarcimento furti di identita violazioni di norme / compliance sabotaggio IT hacktivism complicità con cybercriminali esterni Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 8

9 Come vengono scoperte le frodi interne? 40,2% soffiate 1% confessioni 0% confessioni in Europa 0,6% controlli IT in Europa(*) Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2013 ACFE 2010 Global Fraud Study (*) Il datorelativoaicontrolliit complessivo e pariallo0.8% Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 9

10 Come vengono scoperte le frodi? Percent of Cases IT Controls Confession Notified by Police Surveillance/Monitoring External Audit Document Examination Percent of Cases Account Reconciliation By Accident Internal Audit Management Review Tip 0,0% 5,0% 10,0% 15,0% 20,0% 25,0% 30,0% 35,0% 40,0% 45,0% (*) Dati tratti da Report to the Nations on Occupational Fraud and Abuse 2013, ACFE 2013 Global Fraud Study Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 10

11 Quanto costano le frodi(e per quanto tempo)? Costitipicisostenutia causa difrodiinterne (*): per una normale azienda: in media 5% del fatturatoognianno ¼ delle frodi causa un danno di almeno $ la cifra globale e astronomica: $2.9 trilioni Tempo mediotrascorsoprima cheunafrode sia scoperta(*): 18 mesi (*) Datitrattida Report to the Nations on Occupational Fraud and Abuse 2013 ACFE 2013Global Fraud Study Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 11

12 Le tendenze sono preoccupanti UK CIFAS survey ,5% +41% +7,5% Aumento casi di frode nel 2012 (vs 2011) Aumentoazionidi insider consapevoli (vs 2011) Aumento di account oggetto di frodi(vs 2011) Dati tratti da CIFAS Staff Fraud Trends 2012, CIFAS Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 12

13 Frodi interne + cyber crime organizzato = Armageddon Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 13

14 Strategie di contrasto alle frodi interne NB Awareness, responsabilizzazione, organizzazione, policies e tecnologie funzionano solo se applicati insieme. E senza intelligence sharingnon andiamo da nessuna parte! Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 14

15 Grazie! Andrea Zapparoli Manzoni Monitoring, Detecting, Investigating Insider Cyber Crime & Insider Threats 15