Analisi FASTWEB della situazione italiana in materia di cybercrime ed incidenti informatici

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Analisi FASTWEB della situazione italiana in materia di cybercrime ed incidenti informatici"

Albana Natale
8 anni fa
Visualizzazioni

1 Analisi FASTWEB della situazione italiana in materia di cybercrime ed incidenti informatici

2 Davide Del Vecchio Da sempre appassionato di sicurezza informatica. Responsabile del Security Operations Center di FASTWEB Precedenti esperienze nei SOC di altre Telco di primaria importanza. Socio o Fondatore di: CLUSIT CSA (Cloud Security Alliance) ISACA AIP (Associazione Informatici Professionisti) Hermes (no profit difesa diritti digitali) Collaboratore Freelance per: WIRED, ICT Security Magazine Certificazioni: CISM ITIL v3 IBM Cloud Computing Infrastructure Architect v1 QualysGuard Certified Specialist Fortinet Certified Network Security Administrator Fortinet Certified Network Security Professional

Socio o Fondatore di: CLUSIT CSA (Cloud Security Alliance) ISACA AIP (Associazione Informatici Professionisti) Hermes (no profit difesa diritti

Analisi Effettuata FASTWEB è uno dei più importanti ISP italiani, il cui Autonomous System è formato da circa 200.000 indirizzi IP pubblici.

3 Analisi Effettuata FASTWEB è uno dei più importanti ISP italiani, il cui Autonomous System è formato da circa indirizzi IP pubblici. Il Security Operations Center di FASTWEB gestisce e classifica gli incidenti che impattano FASTWEB, il FASTCloud ed i Clienti. La mole di tali dati può essere quantificata in circa 100 milioni di eventi al giorno. Tali dati sono stati analizzati, classificati e anonimizzati al fine di ottenere una panoramica delle minacce rilevate, permettendo quindi di agire in maniera proattiva ed attuare le giuste contromisure.

La mole di tali dati può essere quantificata in circa 100 milioni di eventi al giorno.

4 Motivazione Attacchi Oggi la motivazione principale per cui vengono compiuti attacchi informatici è di natura criminale. In particolare il 60% degli attacchi è dovuto ad azioni di cybercrime ed il 24% ad azioni di spionaggio industriale volto a sottrarre informazioni (progetti, dati di business, o documenti). Le azioni dimostrative, portate avanti tramite attacchi informatici (Hacktivism), sebbene abbiano conquistato dall estate in poi, quasi settimanalmente, le prime pagine dei giornali, costituiscono in realtà solamente il 16% degli attacchi rilevati.

informazioni (progetti, dati di business, o documenti).

Malware - 2013 Durante il bimestre Novembre/Dicembre 2013 è stata rilevata sulla rete FASTWEB una diffusione massiva sulla rete di malware con specifiche di Bitcoin Mining arrivati a costituire ben

5 Malware Durante il bimestre Novembre/Dicembre 2013 è stata rilevata sulla rete FASTWEB una diffusione massiva sulla rete di malware con specifiche di Bitcoin Mining arrivati a costituire ben il 72% del totale dei malware rilevati che ammonta a poco più di host univoci infetti. La massiccia presenza di malware come Zeroaccess e della sua relativa botnet, forte di più di 2 milioni di host infetti nel mondo, è una conferma di come il fenomeno di Bitcoin Mining sia in continua crescita.

a poco più di 150.000 host univoci infetti.

Malware - 2014 I primi sei mesi del 2014 hanno evidenziato un aumento del numero degli IP univoci infetti, che ha raggiunto quota 285000.

6 Malware I primi sei mesi del 2014 hanno evidenziato un aumento del numero degli IP univoci infetti, che ha raggiunto quota Il maggior numero di indirizzi IP infetti, non univoci, rilevati nel mese di Giugno supera di poco le unità. Questo sta a significa un incremento del 52% della diffusione malware sulla rete pubblica FASTWEB Diffusione mensile diffusione Malware Dati FASTWEB relativi all'anno 2014 ZeroAccess - 65% torpig - 12% ZeuS - 9% GameOver_Zeus - 7% pushdo - 2% IRCBot - 1,5% Pushdo - 0.5% sinkhole - 0,5% Se da un lato abbiamo un incremento del numero degli host infetti, non sono state rilevate variazioni sulle tipologie di Malware. ZeroAccess continua ad essere il malware più rilevato raggiungendo il 65%, confermando la diffusione del fenomeno di Bitcoin mining. Dati FASTWEB relativi all'anno 2014

Questo sta a significa un incremento del 52% della diffusione malware sulla rete pubblica FASTWEB 800000 600000 400000 200000 0 Diffusione mensile diffusione Malware Dati FASTWEB relativi all'anno

Dati DDoS - 2013 Il secondo semestre del 2013 ha registrato una crescita esponenziale degli attacchi di tipo Distributed Denial of Service di quasi 3000 anomalie di traffico.

7 Dati DDoS Il secondo semestre del 2013 ha registrato una crescita esponenziale degli attacchi di tipo Distributed Denial of Service di quasi 3000 anomalie di traffico. E stato altresì registrato un incremento del volume degli attacchi, da poche centinaia di Mbps dei primi mesi del 2013 a diversi Gbps verso la fine dell anno, costituendo una media di circa 1,3 Gbps con lo svilupparsi delle tecniche di tipo «reflection».

E stato altresì registrato un incremento del volume degli attacchi, da poche centinaia di Mbps dei primi

Dati DDoS - 2014 Il 2014 si apre confermando la crescita relativa alle anomalie di traffico rilevata dalle strumentazioni anti DDoS, raggiungendone il picco massimo a giugno 2014 con quasi 4000

8 Dati DDoS Il 2014 si apre confermando la crescita relativa alle anomalie di traffico rilevata dalle strumentazioni anti DDoS, raggiungendone il picco massimo a giugno 2014 con quasi 4000 anomalie di traffico per un totale nell intero semestre di circa anomalie Difatti il numero di mitigation effettuate risulta essere direttamente proporzionale al numero di anomalie di traffico registrate. La causa scatenante di questo incremento quasi esponenziale delle anomalie di traffico e degli attacchi può essere ricondotta alle nuove tecniche di attacco sviluppate negli ultimi mesi. Una delle principali è sicuramente quella che sfrutta un baco dei server NTP i quali permettono ad un attaccante di effettuare attacchi di tipo reflected.

Dati DDoS - 2014 Esempio lampante di quanto affermato lo si può verificare con il seguente grafico che mostra il trend relativo al volume degli attacchi rilevati nel primo semestre 2014, una media di

9 Dati DDoS Esempio lampante di quanto affermato lo si può verificare con il seguente grafico che mostra il trend relativo al volume degli attacchi rilevati nel primo semestre 2014, una media di circa 3,5 Gbps per attacco. Gli attacchi di tipo «reflected» sono stati, specialmente all inizio del 2014, molto sfruttati per generare attacchi che prima avrebbero richiesto l utilizzo di intere botnet e quindi non alla portata di tutti, vulnerabilità di protocolli quali DNS, NTP e SNMP hanno fornito a hacktivist e cybercriminali gli strumenti per portare a termine attacchi sempre più efficaci. La risposta della comunità informatica, grazie a progetti come Open NTP Project, ha dato la possibilità di verificare la presenza di tale vulnerabilità e di provvedere al patching di questa, diminuendone sensibilmente la minaccia.

Gli attacchi di tipo «reflected» sono stati, specialmente all inizio del 2014, molto sfruttati per generare attacchi che prima avrebbero richiesto l utilizzo di intere botnet e quindi non alla

Dati Defacement - 2013 I dati relativi ai defacement, dello scorso anno, indicano che i principali obiettivi di tale tipologia di attacco sono appartenenti al settore privato, in particolare aziende

10 Dati Defacement I dati relativi ai defacement, dello scorso anno, indicano che i principali obiettivi di tale tipologia di attacco sono appartenenti al settore privato, in particolare aziende ed industrie. Il settore relativo alle organizzazioni viene subito dopo seppur rappresentandone una fetta decisamente più piccola. Successivamente abbiamo defacement portati contro target di ambito governativo e finanziario. Le briciole vere e proprie sono rappresentate da attacchi portati contro siti web di persone private (personaggi dello spettacolo o appartenenti al mondo della politica), portali e- commerce e educazione (in particolare siti web di scuole).

Il settore relativo alle organizzazioni viene subito dopo seppur rappresentandone una fetta decisamente più piccola.

Dati Defacement - 2014 Il settore relativo alle organizzazioni è il secondo più attaccato anche se in questo primo semestre abbiamo notato un incremento dei target di tipo Finance.

11 Dati Defacement Il settore relativo alle organizzazioni è il secondo più attaccato anche se in questo primo semestre abbiamo notato un incremento dei target di tipo Finance. I dati esaminati relativi al primo semestre del 2014 tendono a confermare il trend dell anno precedente. I principali obiettivi continuano ad essere le aziende e le industrie. Portali Governativi, Scuole, Persone individuali siti E-commerce comprendono invece solo il 20% dei defacement globali rilevati.

I dati esaminati relativi al primo semestre del 2014 tendono a confermare il trend dell anno precedente.

12 Cattiva Notizia La brutta notizia è che il cybercrime ha una velocità di sviluppo e adattamento incredibilmente veloce. Molto più veloce di chi si deve difendere. Gli attacchi ai dati personali e aziendali continueranno a crescere se gli operatori del settore non implementeranno tempestivamente nuove strategie di sicurezza ed è necessario agire con tempi congrui a quelli dell evoluzione delle minacce.

Gli attacchi ai dati personali e aziendali continueranno a crescere se gli operatori del settore non

Buona Notizia La buona notizia è che finalmente per contrastare quest anno per la prima volta: Le associazioni di esperti/appassionati (Clusit & GCSEC).

per l'adozione di misure a protezione della sicurezza informatica Le aziende/isp (FASTWEB) Pur nascendo con scopi completamente diversi, stanno lavorando

13 Buona Notizia La buona notizia è che finalmente per contrastare quest anno per la prima volta: Le associazioni di esperti/appassionati (Clusit & GCSEC). Il governo italiano che con il recente documento: «Piano nazionale per la protezione cibernetica e la sicurezza informatica» finalmente crea una road map per l'adozione di misure a protezione della sicurezza informatica Le aziende/isp (FASTWEB) Pur nascendo con scopi completamente diversi, stanno lavorando congiuntamente per ottenere lo stesso obiettivo: sensibilizzare ed agire proattivamente tramite la condivisione delle informazioni (Rapporto Clusit/Workshop).

Documenti analoghi

Security Summit Roma 2014 Tavola Rotonda del 18.06.2014

Security Summit Roma 2014 Tavola Rotonda del 18.06.2014 Rapporto Clusit 2014 sulla sicurezza ICT in Italia Modera: Gigi Tagliapietra, Presidente Clusit Intervengono alcuni degli autori:, Direttivo Clusit