Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare?

Транскрипт

1 Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare? Alessio L.R. Pennasilico - [email protected] Security Question Time Treviso, Gennaio 2015

2 $whois -=mayhem=- Security Committed: AIP Associazione Informatici Professionisti, CLUSIT AIPSI Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, AIP/OPSI Hacker s Profiling Project, CrISTAL 2

3 L importanza delle informazioni 3

4 Io sono preoccupato 4

5 Quanta attenzione... 5

6 Economia digitale 6

7 Io sono preoccupato 7

8 SMART? 8

9 I prossimi corsi La sicurezza IT in ambito SCADA La sicurezza dei device mobili La verifica del livello di sicurezza aziendale Cloud Security Business Continuity e Disaster Recovery 9

10 Le vostre domande

11 Chi c'è dietro a questi attacchi e quali obiettivi nasconde? 11

12 Rapporto Clusit 2014

13 Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell anno precedente e cosa ci si aspetta dall anno in corso 13

14 Io sono preoccupato 14

15 Cosa emerge? Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci 15

16 Tutti vengono colpiti 16

17 Botnet Una volta infettati i PC per fare SPAM, Phishing, DDoS posso rubare altri dati/identità posso utilizzarli per produrre altro denaro 17

18 Trend? Aumentano i tentativi di intrusione Aumentano i tentativi andati a buon fine Per ogni intrusione perdiamo sempre più denaro 18

19 Perché preoccuparsi? Nel 2013 gli attacchi noti che hanno prodotto un danno ingente a chi li ha subiti in termini economici o di immagine sono aumentati del 245% Campione 1152 attacchi di cui 35 Italiani 19

20 20

21 Attacco = denaro Nel 2013 in diversi incidenti sono stati sottratti 882 milioni di record personali con una media di oltre record per incidente Fonte: DatalossDB 21

22 Quanto denaro? La spesa globale nel 2013 per prodotti e servizi di Cyber Security è stata stimata da Gartner prossima a 70 miliardi di dollari (+16% rispetto al 2012) Il totale di perdite dirette ed indirette causate dal solo Cyber Crime, secondo il Ponemon Institute, nel 2013 sfiora i 500 miliardi di dollari (+ 26% rispetto al 2012) 22

23 Aumento dei Black Swan 23

24 Chi vuole le informazioni? La criminalità organizzata mondiale ha capito da tempo che con quelli dei computer è possibile gestire truffe estremamente redditizie 24

25 Io sono preoccupato 25

26 Visto i recenti accadimenti i network Sony e Xbox e la diffusione di "tool" (Cit. LIZARD) per dedicarsi a varie attività di blocco disturbo, quanto è reale il rischio che qualcuno si rivolga ad hacker malevoli "dilettanti" per recare danno ad un azienda? E quanto il rischio che qualcuno scelga addirittura la strada del "fai-da-te" con gli "strumenti" di cui sopra? 26

27 DDoS 2007 Pay Russian Business Network DDOS Cost: $300 for 24 hours Month long prices available, no need to plan ahead. Also available for $50 per hour

28 DDoS

29 29

30 Io sono preoccupato 30

31 Full Disclosure? 31

32 Come si fa a sapere se la propria azienda è protetta adeguatamente? È possibile avere alcune indicazioni da seguire per avviare un buon piano di sicurezza informatica aziendale? 32

33 Business Lifecycle Support Emergency Response Check & Audit Operate & Maintain Document & Train Choose & Implement Define Processes Define Security Policy 33

34 GRCI Model Governance Incident Management Risk Management Compliance 34

35 Standard & Norme Standard ISO 9000, 14000, 15000, 18000, 17020, 20000, 22301, 26000, 27000, 28000, Standard di mercato ITIL, COBIT, Prince, OSSTMM, OWASP, CC, CEM, CMMI, CSA STAR Normative specifiche per alcuni mercati PCI-DSS, SOX, Basilea, Solvency, FISMM, 263 Leggi D.lgs 196/2003, D.lgs 231/2001, D.lgs 262/2005, D.lgs 81/2008, Legge 48/2008, Legge 155/2005, D.lgs. 30/

36 OSSTMM 36

37 Corsi UNIS&F :) 37

38 Quale può essere il giusto compromesso nell'andare a stilare delle policy aziendali relativamente alla sicurezza? Modello molto rigido vs. modello basato sulla fiducia. 38

39 Quali sono ad oggi le più diffuse o principali tecniche di attacco informatico alle aziende? Ad oggi le tecniche di ingegneria sociale vengono ancora praticate dall'attaccante professionista? 39

40 Ransomware Ti cripto tutti i dati e chiedo il riscatto per dati la chiave per poterli consultare di nuovo 40

41 17 Novembre Novembre infetti x $ 750 = $ % di x $ 750 = $

42 OWASP 10 Ten 42

43 APT? 43

44 Client Side Flash Java PDF Browser... 44

45 Io sono preoccupato 45

46 Pro e contro di tenere i dati sul Cloud, esistono servizi migliori di altri rispetto a sicurezza, gestione dei dati e affidabilità? Applicazioni distribuite e servizi distribuiti implicano certamente di evolvere ad una sicurezza distribuita. In cosa consiste effettivamente e qual è l'evoluzione dei prossimi mesi/anni? Quali sono/saranno gli strumenti? 46

47 Standard & Norme Standard ISO 9000, 14000, 15000, 18000, 17020, 20000, 22301, 26000, 27000, 28000, Standard di mercato ITIL, COBIT, Prince, OSSTMM, OWASP, CC, CEM, CMMI, CSA STAR Normative specifiche per alcuni mercati PCI-DSS, SOX, Basilea, Solvency, FISMM, 263 Leggi D.lgs 196/2003, D.lgs 231/2001, D.lgs 262/2005, D.lgs 81/2008, Legge 48/2008, Legge 155/2005, D.lgs. 30/

48 Scenario Gestire la complessità causa errori Le persone non sono infallibili La statistica favorisce gli errori 48

49 Gestione dei permessi che le applicazioni (Android, ma non solo) richiedono quando vengono installate, è possibile fare qualcosa senza avere i privilegi di root? 49

50 Premere Allow 50

51 Cosa fanno le App? 51

52 FartDroid oltre di download... 52

53 Io sono preoccupato 53

54 Gestione di firewall in modo automatico vs. configurazione ad hoc, quando vale la pena migliorare le proprie competenze in questo ambito? 54

55 Prospettive (in positivo e in negativo) della raccolta dei dati degli utenti, a cosa è bene prestare massima attenzione e quali sono invece fattori meno a rischio. 55

56 Conclusioni

57 Io sono preoccupato 57

58 Evoluzione La tecnologia si evolve e con essa anche le minacce! 58

59 Security... Un inutile impedimento che rallenta le comuni operazioni e danneggia il business? 59

60 Security... O prevenzione e risposta ad eventi che danneggerebbero il business in modo peggiore? 60

61 Io sono preoccupato 61

62 Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sul business 62

63 Rischi facili da prevenire difficili da mitigare a posteriori 63

64 Optional? 64

65 Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso 65

66 These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same licence :) Altre domande? Grazie dell attenzione! Alessio L.R. Pennasilico - [email protected] facebook:alessio.pennasilico - twitter:mayhemspp - linkedin:alessio.pennasilico Security Question Time Treviso, Gennaio 2015

67 Un esempio concreto

68 Autenticazione 68

69 Come funziona di solito 69

70 Autenticazione: dietro le quinte select * from users where username= $_POST[username] AND password= $_POST[password] 70

71 SQL Injection: premesse Inserisco al posto della password: OR 1 = 1 71

72 SQL Injection (video) 72

73 SQL Injection: risultato select * from users where username= $_POST[username] AND password= OR 1 = 1 73

74 Come mi proteggo? Evito di processare i caratteri speciali come Prevedo il processo che si chiama normalizzare l input 74