ABI Lab Centro di Ricerca e Sviluppo delle Tecnologie per la Banca

Transcript

1 ABI Lab Centro di Ricerca e Sviluppo delle Tecnologie per la Banca La difesa delle banche dagli attacchi informatici Romano STASI Ricerca e Sviluppo ABI Lab Roma, 28 Maggio 2003

2 La difesa delle banche: lo scenario degli attacchi informatici Le attuali soluzioni basate sui sistemi informatici e telematici presentano, nella loro crescente complessità, punti vulnerabili e offrono nuove possibilità di comportamenti criminali che assumono una grande varietà di forme. I rischi connessi a tale situazione, seppure da sempre presenti alla sensibilità e all attenzione dei responsabili della sicurezza, risultano senza dubbio notevolmente amplificati nell attuale contesto, contrassegnato dalla sensibile recrudescenza delle minacce terroristiche. Più che mai opportuna risulta, quindi, una rinnovata e vigile attenzione, che si accompagni, quando possibile, con la predisposizione di ulteriori misure di sicurezza, da attivare anche in una logica di mutua cooperazione. Si Si è ritenuto di di lanciare, attraverso ABI ABI Lab, Lab, la la costituzione di di una una struttura di di monitoraggio del del fenomeno degli attacchi informatici, al al fine fine di di mantenere elevato e costantemente aggiornato il il livello di di conoscenza sulle più più recenti evoluzioni e problematiche per per attuare nel nel sistema bancario la la migliore risposta agli agli attacchi. -2 -

3 L iniziativa ABI Lab Centrale d allarmi : Monitorare il contesto La possibilità di monitorare il fenomeno a livello di sistema permetterà di attenuare il conflitto asimmetrico (ordinamento noto - nemici ignoti) ed adeguare continuamente il livello di conoscenza a supporto della protezione della banca. Leggi decreti normative standard Standard e accordi Attori e interdipendenze Ruoli/Responsabilità Obblighi e Sanzioni Controlli/verifiche Monitoraggio di sistema Evoluzione gestionale e tecnologica Nuove modalità gestionali Opportunità di soluzioni e servizi Debolezze architetturali e applicative Bugs Vulnerabilità Tipologie di attacchi e intrusioni Debolezze architetturali Debolezze applicative Vulnerabilità Worms, virus -3 -

4 Monitoraggio del contesto normativo Al fine di mantenere e potenziare lo scambio informativo tra il settore bancario e gli attori che indirizzano le azioni per la prevenzione e repressione dei crimini informatici sono state intraprese azioni per istituire un presidio permanente della tematica. Dipartimento per l Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri L ABI e il Dipartimento per l Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri hanno siglato un accordo quadro per l attivazione di sinergie su temi di ricerca di interesse comune e lo scambio di conoscenze in ambito ICT. L ABI parteciperà attivamente al costituendo Osservatorio Permanente sulla ricerca applicata ICT in Italia, mettendo a disposizione la base di conoscenza prodotta e aggregata da ABI Lab. In particolare sono state individuate le seguenti aree di convergenza: telecomunicazioni, tecnologie applicate alla sicurezza logica e fisica (business continuity, contrasto della criminalità informatica), soluzioni per l accesso ai servizi e ai documenti della P.A. Forze dell Ordine Sul versante dei rapporti di collaborazione, l ABI partecipa ad un attività di studio e ricerca condotta insieme alla Polizia Postale e delle Comunicazioni sui temi della prevenzione e repressione dei crimini informatici in particolare attraverso il web (hacking, diffusione di virus, eversione e intercettazioni telematiche via emissioni teleradiofoniche). D intesa con la Polizia Postale e delle Comunicazioni è stato definita la costituzione di un presidio per contrastare gli attacchi ai sistemi informatici e telematici cui è affidata la continuità dell attività bancaria e dei servizi resi alle banche. A tal fine verrà costruito un modello di monitoraggio operativo del fenomeno. -4 -

5 Monitoraggio delle migliori modalità Il sistema bancario italiano, già fortemente attivo nella predisposizione di tutte le migliori modalità per fronteggiare il fenomeno degli attacchi alle reti telematiche mantiene elevata l attenzione sulle minacce e i rischi della propria infrastruttura. Analisi Rischi Analisi Rischi EDP Auditing Analisi Vulnerabilità Monitor. Vuln. Gestione Incidenti Fonte: Rilevazione stato di automazione (2002 CIPA-ABI) L iniziativa ABI Lab persegue l obiettivo di condividere le modalità di successo a livello di sistema attraverso lo sviluppo del modello trasversale della sicurezza Processi di indirizzo Processi operativi Analisi e valutaz rischio Definizione Normative Gestione del rischio Gestione Policies e normative Diffusione Normative Mitigazione rischio Gestione e controllo accessi Strutture Infrastruttura bancarie tecnologica Banca Multicanale Formazione Progettazione implementazione contromisure Identificazione Progettazione contromisure contromisure Implementazione Certificazione Trattamento del denaro Sicurezza e manutenzione ambienti Sorveglianza e gestione allarmi Auditing Normativo Auditing Sicurezza Informazioni, applicativi e rete Auditing Operativo Pianificazione Costi Definizione esigenze acquisti Definizione Budget Business Continuity Analisi impatti sul business Business continuity planning Test e manutenzione piani/processo Supporto operativo Help Desk Team di di sicurezza intervento Assistenza sul territorio -5-

6 Monitoraggio dell evoluzione tecnologica: soluzioni e servizi La necessità del sistema bancario di rafforzare continuamente le proprie misure di sicurezza crea l esigenza di integrare e utilizzare uno spettro completo di soluzioni tecnologiche e servizi di sicurezza. Fonte: Rilevazione stato di automazione (2002 CIPA-ABI) ABI Lab si propone di aggregare il contributo dei Partner consorziati per facilitare l accesso alle soluzioni di sicurezza Managing Firewall and Intrusion Detection Devices Establishing/Maintaining Antivirus Capability Securing Remote Access to Corporate Network Establishing/Enforcing Security Policy Detecting and Responding to Security Incidents Securing Desktop Computing Environment Securing Wireless Networks and Devices Implementing/Integrating Security Infrastructure Developing Security Architecture Securing E-Business Efforts Priorità nelle future attività di protezione Fonte: Gartner Dataquest (131 US companies 09/2002) -6-

7 Monitoraggio dell evoluzione tecnologica: vulnerabilità La banca si predispone per aggiornare continuamente la propria infrastruttura di rete rispetto alle vulnerabilità conosciute mediante contromisure e le soluzioni (es.patches) a fronte di un fenomeno in forte crescita. Organizzazioni internazionali presidiano le vulnerabilità tecnologiche icat.nist.gov (top ten list) cve.mitre.org #vulnerabilities CERT/CC statistics year La banca raccoglie, da molti fonti, informazioni non specifiche per la propria realtà ABI Lab si propone di aggregare il contributo dei Partner consorziati per facilitare il monitoraggio delle vulnerabilità della singola banca per fornire analisi aggregate a livello di sistema -7-

8 Monitoraggio degli attacchi: l evoluzione in atto Il cambiamento in atto nelle tipologie e modalità di attacco evidenzia un contesto in cui l Hacker necessita di sempre minori competenze specialistiche e attacca principalmente attraverso l infrastruttura WEB Fonte: CERT Conoscere le modalità e gli strumenti per attaccare richiede sempre minore esperienza Numero degli allarmi raddoppiati negli ultimi 5 mesi (aprile 2003) il 20% degli allarmi deriva dal traffico interno 50% degli attacchi sono Worms (Code Red, Nimda, SQL) Tra gli attacchi non legati a worms, un terzo è chiaramente mirato e focalizzato (es. a una azienda, a una tipologia di Host/server/dispositivo) Http è tra le prime 5 vie di esplorazione (con ftp, sql, rpc, ssh) Fonte dati: Ubizen 05/

9 Monitoraggio degli attacchi: le prime analisi effettuate L osservazione continua del contesto dei rischi e degli attacchi permette alla banca di adeguare le contromisure in termini di azioni di risposta, azioni preventive, policy e soluzioni tecnologiche. Eventi maggiormente critici per i security manager Vulnerabilità Hardware e Software Perdita di Intellectual Property / Dati dei clienti External Hackers Attacchi alla RETE AZIENDALE per azioni dimostrative / danni / frodi Attacchi finalizzati all interruzione del servizio (Denial of Service) Errori dei dipendenti sul Software o sull uso del computer Furti Azioni intenzionalmente fraudolente dei dipendenti Fonte: Gartner Dataquest (131 US companies 09/2002) L iniziativa Centrale allarmi vuole vuole monitorare gli gli attacchi e le le reali reali modalità di di intrusione attraverso le le reti reti telematiche del del sistema bancario per per rendere visibile in in modo modo aggregato e riservato il il fenomeno A tal tal fine, fine, in in prima prima analisi, analisi, abbiamo abbiamo raccolto raccolto un un CASO CASO REALE REALE DEL DEL MONDO MONDO BANCARIO BANCARIO EUROPEO EUROPEO -9-

10 Caso reale del mondo bancario europeo Rilevazione reale su 10 istituti finanziari europei nel mese di Aprile 2003 Eventi monitorati sulla rete degli istituti Eventi eventi generati da diversi dispositivi di sicurezza sono stati identificati come allarmi reali (Livello 0, 1 o 2) Allarmi reali Escalations 500 eventi di livello 0: immediatamente gestiti all interno delle finestre temporali eventi di livello 1: segnalati come reali minacce sulle reti monitorate eventi di livello 2: identificati come attacchi incapaci di provocare danni Proposte Correttive Policy 15 proposte di modifica delle policy in esercizio, destinate ad incrementare il livello di sicurezza e l accuratezza dell effettivo monitoraggio fine-tuning correzione delle politiche di monitoraggio delle sonde IDS per ridurre il numero di falsi allarmi generato dai dispositivi di sicurezza. Fonte dati: Ubizen 05/

11 Caso reale del mondo bancario europeo: le modalità di intrusione La rilevazione effettuata ha permesso di identificare le modalità di intrusione maggiormente utilizzate. Attack Assessment Signature Description Frequency/ Occurrences Frequency/ Occurrences ATTACCHI maggiormente critici Remote Command Access IIS Dot Dot Execute Attack 3,1% 3,1% Remote Command Execution Denial of Service WWW WinNT cmd.exe Access FTP Remote Command Execution PHP File Inclusion Remote Exec IIS Dot Dot Crash Attack ICMP Length > ,8% 3,0% 25,6% 32,40% 2,8% 40,80% 38,0% Authentication Failure NT or SAMBA password failure 1,0% 1,0% Info Retrieval ICMP echo request IIS DOT DOT View Attack IIS CGI Double Decode 13,0% 2,3% 1,1% 16,40% Others 6,3% 6,3% Increasing Severity ALLARMI LIVELLO dei 1500 rivolti all infrastruttura Web delle banche sono stati causati de facto da Worm I rimanenti 50 attacchi sono stati identificati come provenienti dalle reti interne delle banche Fonte dati: Ubizen 05/

12 Conclusioni Lo scenario analizzato sottolinea la necessità di creare un punto di vista aggregato e focalizzato sul sistema bancario italiano per mettere a fattor comune la conoscenza, le esperienze di successo e le migliori soluzioni a supporto della protezione dagli attacchi alle reti telematiche. COSA ABBIAMO FATTO Identificati attraverso i Partner ABI Lab servizi informativi sulle vulnerabilità conosciute utilizzabili dalle banche (Information Quest) Effettuata un analisi sui servizi e le modalità di monitoraggio degli allarmi (managed security services) PROSSIME ATTIVITA Costruire un modello di monitoraggio operativo a livello di sistema Raccogliere le migliori modalità operative di gestione e condividerle nella rappresentazione del modello trasversale della sicurezza Istituire modalità continuative di informazione verso il settore bancario del fenomeno degli attacchi alle reti telematiche (workshop dedicato sulle soluzioni disponibili) Realizzare soluzioni pilota con banche per agevolare il monitoraggio attivo del fenomeno a livello di sistema (workshop dedicato sulle soluzioni disponibili) Aggregare soluzioni e servizi complementari a supporto della gestione della sicurezza attraverso i Partner ABI Lab -12-

13 FS-IAC -13-

14 Monitoraggio dell evoluzione tecnologica: soluzioni e servizi Priorità nelle future attività di protezione Managing Firewall and Intrusion Detection Devices Establishing/Maintaining Antivirus Capability Securing Remote Access to Corporate Network Establishing/Enforcing Security Policy Detecting and Responding to Security Incidents Securing Desktop Computing Environment Securing Wireless Networks and Devices Implementing/Integrating Security Infrastructure Developing Security Architecture Securing E-Business Efforts Fonte: Gartner Dataquest (131 US companies 09/2002) -14-

15 Business Continuity Management: modelli gestionali e strumenti operativi Milano, 4 luglio 2003 OBIETTIVI Il seminario si propone di approfondire, anche con contributi europei, le possibili soluzioni che le banche possono adottare per sensibilizzare le proprie organizzazioni sul tema della Business Continuity, trasferendo specifici modelli gestionali e strumenti operativi di diagnosi, analisi e monitoraggio dei processi aziendali. TESTIMONIANZE Lo stato dell arte sulla Business Continuity nel settore bancario Italiano: vincoli ed opportunità - Massimiliano Magi Spinetti ABI La Business Continuity Management: come diffondere e consolidare concretamente la cultura della sicurezza in banca John Sharp CEO del Business Continuity Institute Perchè la Business Continuity genera valore economico per l azienda? Valutare il rapporto costi/investimento Barbara Ferrario Università Bocconi-SPACE (Centro europeo per gli studi sulla protezione aziendale) Profili tecnologici e organizzativi della Business Continuity Romano Stasi - Ricerca e Sviluppo ABI Lab Il ruolo di ABI a sostegno delle Banche: costruire un cruscotto aziendale per la Business Continuity -15-