Security Summit Roma 2014 Tavola Rotonda del 18.06.2014
Rapporto Clusit 2014 sulla sicurezza ICT in Italia Modera: Gigi Tagliapietra, Presidente Clusit Intervengono alcuni degli autori:, Direttivo Clusit Davide Del Vecchio, FASTWEB Partecipano: Andrea Carmignani, IBM Cristiano Cafferata, DELL Sonicwall Federico Santi, HP Security Services Gigi Tagliapietra
Rapporto Clusit 2014 sulla sicurezza ICT in Italia Analisi Clusit della situazione nazionale ed internazionale
OK, ma perchè fate questa ricerca? Because we can Scherzi a parte: Perché mancano dati ufficiali e la velocità di evoluzione dei fenomeni è esponenziale Perché genera awareness ed elimina le (troppe) false certezze Perché i cattivi usano l intelligence contro di noi, 24/7 x 365 Perché è fondamentale per prevenire i rischi ( -> ROSI) Perché è importante per contenere gli incidenti in tempo utile Perché senza informazioni aggiornate oggi siamo ciechi, sordi e muti, ed è su questo che fanno leva gli attaccanti.
Come è fatto il campione? Analizziamo gli incidenti più gravi tra quelli di dominio pubblico A partire da fonti aperte, selezioniamo notizie relative a centinaia di attacchi ogni mese. Consideriamo gravi gli attacchi che hanno portato a danni significativi in termini di immagine, economici, e di diffusione di dati sensibili (personali e di business) o di informazioni segrete. Applichiamo tecniche di OSInt e li classifichiamo per gravità, per tipo di attaccante, tipo di vittima, e tecniche utilizzate. Ogni semestre analizziamo i fenomeni che emergono dalla classificazione e deriviamo le tendenze per il breve-medio termine.
Quali sono i numeri del campione? Negli ultimi 36 mesi abbiamo analizzato in media 77 incidenti gravi al mese, ogni mese (96 al mese nel 2013) 2.804 attacchi analizzati dal gennaio 2011 al dicembre 2013. 469 nel 2011 1.183 nel 2012 1.154 nel 2013 Nel 2013 il numero assoluto di attacchi registrati è rimasto in linea con il 2012, ma è aumentato l impatto dei danni (del 26%).
Distribuzione attaccanti
Distribuzione vittime
Tecniche di attacco
Situazione Italiana 2013 Ehi, dove sono gli attacchi? Quest'anno abbiamo individuato, classificato come gravi ed analizzato 35 attacchi di dominio pubblico contro bersagli italiani, che rappresentano un mero 3% del nostro campione complessivo di 1.152 incidenti del 2013. E improbabile che questa situazione rappresenti la realtà. Questo è evidenziato anche dalla statistica sulla distribuzione degli attaccanti, che non è in linea con quanto è accaduto nel mondo. In pratica in base agli incidenti noti nel nostro Paese sembrerebbe che gli attacchi siano stati prevalentemente causati da azioni di Hacktivism, a fronte di una quota di attacchi noti realizzati dal Cyber Crime che è meno di un terzo (17%) rispetto a quella rilevata a livello internazionale (53%)
In un campione dominato dalla presenza di attaccanti di tipo Hacktivist, prevalgono gli attacchi di tipo DDoS, seguiti da quelli basati sullo sfruttamento di vulnera D'altra parte va detto che i bersagli italiani risultano essere in media particolarmente suscettibili di compromissione anche quando gli attaccanti utilizzino tecnich Situazione Italiana 2013 Ehi, dove sono gli attacchi? In un campione dominato dalla presenza di attaccanti di tipo Hacktivist, prevalgono gli attacchi di tipo DDoS, seguiti da quelli basati sullo sfruttamento di vulnerabilità / misconfigurazioni e su SQL Injection. D'altra parte va detto che i bersagli italiani risultano essere in media particolarmente suscettibili di compromissione anche quando gli attaccanti utilizzino tecniche banali e di semplice attuazione (80% tecniche banali contro 58% nel mondo).
4 Fenomeni notevoli del 2013 Dinamiche da tenere in considerazione emerse nel 2013 In tutto il mondo si moltiplicano gruppi di attaccanti con capacità tecniche sofisticate. Cyber Crime ed Hacktivism diventano concetti sempre più sfumati. Le grandi organizzazioni vengono sempre più spesso colpite tramite i propri fornitori / outsourcer. I Social Network, per la loro natura e diffusione, sono ormai il principale veicolo di attività malevole.
Trends 2014+ Cosa ci aspettiamo per i prossimi 12-24 mesi Cloud e Social Network: il campo di battaglia Malware, APT e "0-day": un fiume in piena Crypto-monete: sempre più diffuse e sempre più attaccate Distributed Denial of Service ai massimi storici Piattaforme Mobile sotto assedio Trasformazioni dell'offerta di Security
Rapporto Clusit 2014 sulla sicurezza ICT in Italia Analisi FASTWEB della situazione italiana Davide Del Vecchio
Malware & Bitcoin Mining Durante il bimestre Novembre/Dicembre 2013 è stata rilevata sulla rete FASTWEB una diffusione massiva sulla rete di malware con specifiche di Bitcoin Mining arrivati a costituire ben il 72% del totale dei malware rilevati che ammonta a poco più di 150.000 host infetti. La massiccia presenza di malware come Zeroaccess e della sua relativa botnet, forte di più di 2 milioni di host infetti nel mondo, è una conferma di come il fenomeno di Bitcoin Mining sia in continua crescita. 180000 160000 140000 120000 100000 80000 60000 40000 20000 0 Distribuzione mensile diffusione Malware 80% 70% 60% 50% 40% 30% 20% 10% ZeroAccess - 72% Zeus - 15% Torpig - 9% Pushdo -2% IRCBot - 1% Citadel - 1% Gamarue - 0% Sality virus - 0% Zeus p2p - 0% Gozi - 0% Ransomware - 0% Dati FASTWEB relativi all'anno 2013 0% Dati FASTWEB relativi all'anno 2013 Slenfbot.5050-0% Analisi FASTWEB della situazione italiana Davide Del Vecchio
Mbps DDoS Attacks Il secondo semestre del 2013 ha registrato una crescita esponenziale degli attacchi di tipo Distributed Denial of Service. È stato altresì registrato un incremento del volume degli attacchi, da poche centinaia di Mbps dei primi mesi del 2013 a diversi Gbps verso la fine dell anno. 9000 8000 7000 6000 5000 4000 3000 2000 1000 0 Dati FASTWEB relativi all'anno 2013 Anomalie DDoS 700 600 500 400 300 200 100 0 Gen Feb Mar Apr Mag Giu Lug Ago Set Ott Nov Dic Dati FASTWEB relativi all'anno 2013 Analisi FASTWEB della situazione italiana Davide Del Vecchio
Cattiva Notizia La brutta notizia è che il cybercrime ha una velocità di sviluppo e adattamento incredibilmente veloce. Molto più veloce di chi si deve difendere. Gli attacchi ai dati personali e aziendali continueranno a crescere se gli operatori del settore non implementeranno tempestivamente nuove strategie di sicurezza ed è necessario agire con tempi congrui a quelli dell evoluzione delle minacce. Analisi FASTWEB della situazione italiana Davide Del Vecchio
Buona Notizia La buona notizia è che finalmente per contrastare quest anno per la prima volta: Le associazioni di esperti/appassionati (Clusit in primis). Il governo italiano che con il recente documento: «Piano nazionale per la protezione cibernetica e la sicurezza informatica» finalmente crea una road map per l'adozione di misure a protezione della sicurezza informatica Le corporation (FASTWEB) Pur nascendo con scopi completamente diversi, stanno lavorando congiuntamente per ottenere lo stesso obiettivo: sensibilizzare ed agire proattivamente.. Analisi FASTWEB della situazione italiana Davide Del Vecchio
Per maggiori informazioni e per chiedere una copia del rapporto in formato digitale: rapporti@clusit.it