Social Media & Incident Handling

Transcript

1 Social Media & Incident Handling Presentazione per Danilo Massa GIAC GCIH, GCFA, GREM certified professional Roma 4 febbraio 2013

2 Agenda Introduzione Procedura per la gestione degli incidenti Preparation Detection and Analysis Cont. Erad. Rec. Post Incident Activity Domande e risposte

3 Introduzione Social media Social media è un termine generico che indica tecnologie e pratiche online che le persone adottano per condividere contenuti testuali, immagini, video e audio. I social media rappresentano un cambiamento nel modo in cui la gente apprende, legge e condivide informazioni e contenuti. In essi si verifica una fusione tra sociologia e tecnologia che trasforma il monologo (da uno a molti) in dialogo (da molti a molti) e ha luogo una democratizzazione dell'informazione che trasforma le persone da fruitori di contenuti ad editori.

4 Introduzione Numeri Più di 800 milioni di utenti attivi (più del 50% di essi si collega ogni giorno) Fonti: Sono più di 350 milioni gli utenti che accedono mediante dispositivi mobili Ogni utente ha in media 130 amici Il 75 % degli utenti è al di fuori degli USA In media sono pubblicate 250 milioni di foto al giorno In Italia su 30 milioni di utenti internet, 19.8 milioni sono iscritti a facebook

5 Introduzione Numeri Fonte:

6 Introduzione Tipologie Fonte:

7 Introduzione Utilizzo dei social media Personale Impiegato in genere per pubblicare foto, video, testi, esprimere opinioni, ricercare lavoro Utilizzati per promuovere il brand, la ricerca di personale, comunicare con i propri impiegati o condividere le competenze Aziendale

8 Introduzione Ambito di impiego Personale Aziendale Potrebbero apparire come due impieghi di tipo diverso, ma la correlazione tra loro è molto forte ed un post inserito in uno dei due ambiti può avere pesanti ricadute sull altro Erosione della privacy Diffusione di informazioni aziendali

9 Introduzione Incidenti comuni Reati contro la persona: delitti contro l onore, delitti contro la libertà morale Violazione della privacy (altrui) Violazione delle norme sul copyright, uso improprio di marchi e loghi Violazioni dell art. 4 dello Statuto dei lavoratori (controllo remoto) Procedura per la gestione degli incidenti

10 Introduzione Perchè? Se i nostri sistemi e procedure sono Certificati ISO 27001:2005 COBIT Compliant ITIL Compliant PCI/DSS Compliant

11 Introduzione Perchè? Se possiediamo Firewall, ACL 802.1x, VPN, SSL-VPN Anti-virus, Anti-malware IDS, IPS, HIDS Application Firewall Security Information Management Incident Level Security Remote Incident Handling, SIM, Forensic Software,... Application Level Security Proxy, Reverse-Proxy, Web Application Firewall,... DSI Engine-enabled Security IDS/IPS, HIDS, anti-virus, anti-spam, URL filtering,... Network Layer Connection Security 802.1x, VPN, SSL-VPN,... Network Layer Base Security Firewall, ACL, DOS/Flood prevention,...

12 Introduzione perché Essere preparati è FONDAMENTALE

13 Procedura per la gestione degli incidenti Gestione degli incidenti Incidente NON è solamente attacco di hacker INCIDENTE: ogni azione che reca o possa recare un danno di qualsivoglia natura all organizzazione per cui operiamo Aspetto fondamentale: identificare l incidente Identificato un incidente, è opportuno limitare i danni, e mettere in sicurezza eventuali evidenze digitali di reato

14 Procedura per la gestione degli incidenti Definizioni: Un evento di sicurezza è una qualunque azione, automatica o manuale, eseguita da un sistema ed in qualche modo registrabile ed osservabile Un incidente di sicurezza è una violazione delle policy di sicurezza (o la minaccia che tale violazione stia per avvenire) Nella gestione degli incidenti occorre essere precisi e rigorosi. Quanto si rileva/registra potrà essere portato in tribunale come prova

15 Procedura per la gestione degli incidenti Computer Security Incident Handling guide SP Procedura in 4 macro-fasi Fornisce esempi di checklist e scenari per esercitazioni Preparation Detection and Analysis Containment Eradication Recovery Post- Incident Activity

16 Procedura: Preparation Preparation Questa fase è propedeutica alla gestione degli incidenti, deve necessariamente essere stata eseguita da qualsiasi azienda che dichiari di effettuare una gestione degli incidenti Per essere in grado di gestire correttamente un incidente che coinvolge un social media occorre essere specificatamente preparati: apposite policy e formazione specifica dell utenza sistemi web filtering/data leak prevention software per l acquisizione delle evidenze digitali di reato sistemi di tracking per gli accessi a social media aziendali

17 Procedura: Preparation Preparation Policy: 10 punti da ricordare Definire in modo chiaro che cosa si intende per social media, per tutti è chiaro che cos è Facebook, ma non ci devono essere dubbi nemmeno per Flickr, Digg, forum, blog ed altri Definire la posizione dell azienda o organizzazione rispetto all utilizzo dei social media, alcuni, come per esempio LinkedIn, possono essere utilizzati come strumenti di lavoro, per altri potrebbe essere proibito l accesso oppure consentito in modo limitato (es. durante la pausa pranzo)

18 Procedura: Preparation Preparation Policy: 10 punti da ricordare Rinforzare la classificazione dei dati e soprattutto delle limitazioni alla loro divulgazione anche su social media che apparentemente definiscono dei corretti livelli di riservatezza sui dati (intrusioni «hacker» sono sempre possibili) Definire se è o meno consentito che un impiegato si identifichi su un social media esterno come lavoratore dell azienda

19 Procedura: Preparation Preparation Policy: 10 punti da ricordare Istruire gli utenti ad una corretta gestione dei collegamenti, delle «raccomandazioni» e dei «commenti» nei confronti di altri utenti del social media, sia per evitare problemi di information disclosure, sia per non incorrere in problemi legali (es. violazione della privacy) Lo stesso discorso vale nel caso in cui ci si riferisca a partner, clienti o fornitori, per i quali può essere opportuno richiedere un permesso esplicito prima di effettuare qualsiasi operazione sul social media

20 Procedura: Preparation Preparation Policy: 10 punti da ricordare Ricordare agli utenti le vigenti leggi sul copyright e sulla proprietà intellettuale. E buona norma sottolineare che i marchi ed i loghi sono di proprietà delle rispettive aziende che li detengono, come lo sono anche altri «prodotti» di uso interno (es. codice sorgente, modelli di documento, etc) Molti social media richiedono agli utenti di sottoscrivere dei «termini di servizio» (TOS) che potrebbero però essere in contrasto con le policy aziendali

21 Procedura: Preparation Preparation Policy: 10 punti da ricordare Definire i termini di utilizzo dei social media non aziendali in modo chiaro, per non generare impatti sulla produttività delle risorse aziendali Una corretta policy per l uso dei social media deve anche contemplare quelle che possono essere le conseguenze della sua violazione, espresse sia in termini civili che penali, ma soprattutto aziendali

22 Procedura: Preparation Preparation Sistemi web filtering e data leak prevention Prevenire è sempre meglio che curare è quindi opportuno progettare ed attivare: Un sistema di web filtering (proxy), che limiti l accesso a social media che non sono confacenti alle policy aziendali Un sistema di data leak prevention che intercetti, segnali ed eventualmente arresti la pubblicazione di informazioni aziendali su social media

23 Procedura: Preparation Preparation Software per l acquisizione delle evidenze digitali di reato In caso di incidente su un social media non interno, può essere utile avere a disposizione uno strumento che permetta facilmente di generare un immagine da una intera pagina web L immagine così generata può essere poi firmata digitalmente e conservata come parte delle evidenze digitali di un reato Uno di questi strumenti è FireShot reperibile al seguente URL

24 Procedura: Preparation Preparation Sistemi di tracking accessi a social media aziendali In alcuni social media è possibile tracciare gli utenti che accedono ad un eventuale profilo aziendale. In tal caso è opportuno predisporsi alla gestione di un eventuale incidente, implementando un sistema di acquisizione delle tracciature in modalità forensicamente valida. In altri casi è invece necessario richiedere le informazioni di accesso al fornitore del servizio di social media, è quindi indispensabile predisporsi definendo, nel contratto di fornitura stesso, le modalità di fornitura di tali dati.

25 Procedura: Detection and Analysis Detection and Analysis Questa fase è relativa all analisi degli eventi di sicurezza con lo scopo finale di identificare un eventuale incidente Nel caso di un incidente che coinvolge principalmente un social media, è molto difficile che l individuazione dello stesso possa essere automatizzata. Nella maggior parte dei casi infatti la segnalazione avviene da parte di utenti interni all azienda o esterni ticket di richiesta assistenza da help desk mail/telefonate da parte di utenti

26 Procedura: Detection and Analysis Detection and Analysis Accounting delle operazioni In seguito all identificazione di un incidente è opportuno che tutte le risorse impiegate nelle operazioni di gestione utilizzino un sistema per mantenere traccia del tempo e delle operazioni eseguite. Lo scopo finale di questa attività di registrazione è quello di computare i costi reali per le operazioni di gestione dell incidente stesso. Per fare ciò si può utilizzare: sistema aziendale di tracciamento attività foglio elettronico/quaderno di carta

27 Procedura: Cont. Erad. Rec. Containment Eradication Recovery Questa fase è relativa al contenimento e rimozione dell incidente e delle cause che lo hanno generato Applicare questa fase ad un incidente che coinvolge un social media su sistemi esterni all azienda è molto complesso o addirittura infattibile containment impedire l accesso al social media dall interno dell azienda eradication rimuovere o richiedere di rimuovere eventuali post, pagine, commenti o altro recovery monitorare i contenuti del social media

28 Procedura: Post Incident Activity Post- Incident Activity Questa fase è necessaria per chiudere l incidente, indicare le azioni da eseguire per evitare che accada nuovamente e per (eventualmente) migliorare la preparazione per gestire incidenti analoghi Nel caso di un incidente su un social media esterno all azienda le attività relative alle «lezioni apprese» sono simili a quelle standard: riunione di chiusura incidente incident report (per i tecnici) executive report (per il management) eventuale aggiornamento delle policy eventuale aggiornamento della procedura eventuale aggiornamento degli strumenti

29 Domande e risposte Domande e risposte