Post on 18-Nov-2014
description
1
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Alberto Caporro Director of Security Services
a.caporro@consulthink.it
Chi siamo
L’azienda
Consulthink è un’azienda di consulenza ICT specializzata nella progettazione e nell’implementazione di piattaforme applicative complesse e di soluzioni per la sicurezza ed il networking. • Fondata nel 2004 • Caratterizzata da una crescita continua di fatturato e personale. • Opera su tutti i mercati, dalla Pubblica Amministrazione agli operatori TLC.
• Alberto Caporro – Responsabile BU Security e Mobile Security Lab
Area Security
Consulthink propone un approccio omnicomprensivo, basato su strumenti sia tecnologici che di processo, alla Security Governance, con l’obiettivo di fornire ai suoi Clienti: • Progettazione, implementazione e gestione di sistemi per la sicurezza di
rete e applicativa. • Servizi professionali caratterizzati da elevata specializzazione relativi a tutti
gli aspetti della sicurezza ICT: • Compliance assessment • Penetration Test e Vulnerability Assessment di infrastrutture sia tradizionali che
mobili • Soluzioni per la sicurezza perimetrale e dei dati • Forensic • Event management
Mobile Security Lab
• Progetto dedicato esclusivamente alla creazione di un centro di competenza di livello internazionale sulla tematica della Mobile Security.
• Nato per operare su scenari di rischio finora sconosciuti o ritenuti poco rilevanti per le tradizionali architetture IT
• Offre un portafoglio completo di servizi: • Security Design & Assessment • Security Research • Security Reporting
• Conosciuto in ambito internazionale: • 2nd International ICST Conference on Digital Forensics & Cyber Crime
(ICDF2C) • Hack in the Box Europe 2010 • DeepSec 2009 • BlackHat Europe 2009
Lo stato della sicurezza
Lo stato della sicurezza
Gli attacchi informatici crescono in maniera esponenziale sia come numerosità che come gravità
1: Fonte Rapporto CLUSIT 2012-2013
Frequenza degli incidenti rispetto al 2011
+250%
Attacchi riconducibili a Cyber Crime
54%
Incremento annuale del numero di attacchi
+370%
Lo stato della sicurezza
54% 31%
9% 4% 2%
Tipologia e Distribuzione degli attaccanti
Cybercrime Hacktivism Unknown Cyber Warfare Espionage/Sabotage
CLUSIT – 2013 Rapporto sulla Sicurezza ICT in Italia
Lo stato della sicurezza
32%
16% 15%
11%
9%
5% 5%
2% 1%
1%
1% 1% 1%
Tipologia e Distribuzione delle vittime
Gov - Mil -Le - Intelligence
Others
Industry: Entertainment/News
Industry: Online Services/Cloud
Research - Education
Industry: Software/Hardware Vendor
Industry: Banking/Finance
Industry: Telco
Industry: Gov. Contractors/Consulting
Industry: Security
Religion
Health
Industry: Chemical/Medical
CLUSIT – 2013 Rapporto sulla Sicurezza ICT in Italia
E a livello internazionale?
• Nel corso del solo 2013 abbiamo assistito a decine di attacchi di alto profilo
• Completamente trasversali – aziende, enti governativi, militari, ecc.
• Il denominatore comune è la compromissione di elevatissime quantità di dati sensibili
World's Biggest Data Breaches 2011-2013 Fonte: Information is beautiful
Qualche esempio – Adobe
• 2.9 milioni di account impattati – dati personali, carte di credito (cifrate) • 40 GB di codice sorgente, relativo a molti prodotti differenti
• Attacco reso noto ad ottobre, in corso forse da maggio – 5 mesi
Qualche esempio – Wikileaks, NSAgate
• Portata dell’evento tuttora non ben definita • Gravi danni in termini di immagine e di relazioni internazionali
• Compromissione del “core business”
Qualche esempio – PSN
• 77 milioni di utenti compromessi • PlayStation Network non accessibile per ~1 mese
• Danni per milioni di euro
I rischi
I possibili attacchi
Apps
Dati
Data Center
Esterno Interno
Amministratori Clienti,
Partners, Dipendenti Hackers
Dipendenti, Malintenzio
nati
FW, IPS, NG FW
Technical Attack
Logic Attack
Fraud
DLP Usage
User Rights
Access Control
Vulnerability Scanning &
Virtual Patching
Privileged Activity Audit
Protection
Protection Prevention
Auditing
Management
File
Discovery and Classification
Regolamentazioni sul trattamento dei dati
Requisiti di controllo CobiT (SOX) PCI DSS HIPAA
G.d.P Dlgs
196/2003 e DBA
2009
ISO 27001
EU Data Privacy
Directive
1. System Access
(Successful/Failed Logins; User/Role/Permissions/ Password changes)
ü ü ü ü ü ü
2. Data Access
(Successful/Failed SELECTs) ü ü ü ü ü
3. Data Changes
(Insert, Update, Delete) ü ü ü ü ü
4. Privileged User Activity
(All) ü ü ü ü ü ü
5. Schema Changes
(Create/Drop/Alter Tables, Columns) ü ü ü ü ü
Il costo medio reale della non compliance è pari a circa
il triplo dei costi da sostenere per ottenere e
mantenere la compliance
Il software non è affidabile
2003
2013
Fasi di un attacco
Raccolta Informazioni
Analisi
Probe
Preparazione attacco
Inizio copertura
Inizio attacco
Intrusione
Persistenza
Diffusione
Copertura completa
Mantenimento
Sicurezza fisica
Controlli
Monitoraggio Report
Analisi rischio
Previsione attacco
Rilevamento attacco
Finestra di Vulnerabilità
Contenimento
Risposta
Recovery
Giorni/settimane/mesi
Qualche numero
WhiteHat Website Security Statistics Report, Winter 2011 Verizon 2012 Data Breach Investigations Report
EMA, The Rise of Data-Driven Security, Crawford, Aug 2012
82% Applicazioni Web vulnerabili
75% Attacchi rilevati rivolti contro
piattaforme applicative
85% Attacchi rilevati dopo
molte settimane 116 giorni Tempo medio per la
risoluzione di una vulnerabilità 99% Intrusioni che portano alla compromissione
di uno o più sistemi entro poche ore o giorni
Il risultato…
Costo medio per utente impattato di un data breach su un periodo di quattro anni
Come difendere i propri dati sensibili?
Imperva SecureSphere
La piattaforma Imperva SecureSphere fornisce una soluzione su più livelli in
grado di garantire un livello di sicurezza adeguato
Imperva SecureSphere - Componenti
• Web Application Firewall + DB Firewall + File Firewall • Superano le limitazioni di altri strumenti (Firewall, IDS/PS, ecc.) • Vantaggi • Maggiore efficacia nella protezione degli asset veramente importanti • Migliore utilizzo delle informazioni disponibili sugli ambienti da proteggere • Maggiore comprensione degli eventi ⇒ migliori possibilità di intervento • Possibilità di utilizzare sorgenti di informazioni aggiornate in tempo reale • ThreatRadar
• Virtual patching – gestire i problemi del software • Non sottovalutare il fattore umano • Progettazione, conduzione, analisi e gestione degli eventi…
Sicurezza dei dati
Un nuovo tipo di sicurezza
Network Access (OSI Layer 1 – 3)
Protocols (OSI Layer 4 – 6)
Application (OSI Layer 7)
Network Layer
Transport Layer
Application Layer
• Solo un Web Application Firewall può identificare e bloccare gli attacchi a livello applicativo
• Protezione nei confronti di attività malevole • Deviazioni dai pattern di utilizzo previsti,
• Tentativi di sfruttare vulnerabilità
Web Application Firewall
Customer Site
Lo scanner trova le vulnerabilità
SecureSphere importa i risultati della scansione
Applicazioni web protette
• Patch virtuale delle applicazioni • Integrazione con Vulnerability
Scanner di Web application • Creazione instantanea di policy
di mitigazione
DB Firewall
• Audit di tutti gli accessi a dati sensibili • Segnala o blocca in tempo reale gli attacchi contro i DB e gli accessi
anomali • Identifica e risolve tramite patch virtuale le vulnerabilità dei DB • Identifica scenari di utenti dormienti e/o con diritti eccessivi. • Accelera le attività di incident response ed investigazione forense • Opera secondo il principio di “separation of duties” • Indipendente dai DBA
• Un unico strumento per tutte le principali piattaforme DB
Il framework di compliance
Discover Assess Set Controls
Audit & Secure
Measure & Report
Identificare, mappare e
prioritizzare i dati sensibili
Identificare vulnerabilità e gap rispetto al livello target
Rivedere e validare i
diritti utente
Monitorare, controllare e mettere in sicurezza gli
accessi
Verificare periodicamente e produrre
report
Audit trail
SecureSphere rende automatica la creazione di un processo di audit continuo
File Security
• Audit di tutti gli accessi a file sensibili da parte di qualunque tipo di utente (privilegiato, applicativo, …) • Monitoraggio dell’integrità dei file • Identifica o blocca in tempo reale gli accessi non conformi alle policy
• Identifica gli scenari di gestione non corretta dei diritti utente e permette una gestione completa del ciclo di vita dei diritti.
• Supporta l’enforcement dell’approccio “need to know”
La sfida “mobile”
Il contesto: la diffusione dei dispositivi mobili
• Il tasso di diffusione dei dispositivi mobili (smartphone e tablet) è estremamente elevato ed in rapida crescita
• Strumenti utilizzati sia per uso personale che lavorativo 24x7
Evoluzione dell’ecosistema mobile
• Negli ultimi anni almeno due eventi hanno contribuito a cambiare il panorama mobile aziendale: • Comparsa di terminali mobili sempre più potenti e compatti
(smartphone, phablet, tablet, …) • Connettività portatile a basso costo (o a costo ragionevole) e
disponibile 24/24, quasi ovunque • Questi terminali, vengono utilizzati per attività lavorative anche complesse
quali: • Visualizzazione/modifica di documenti • Invio/ricezione di mail e messaggi aziendali • Utilizzo di software personale/aziendale (appuntamenti, calendari, note,
ecc..) • Storage di dati sensibili aziendali
Rischi e sfide
• La diffusione di questi device pone sfide sempre più complesse per la
sicurezza dei dati e la gestione dei rischi aziendali.
• Aumentano i rischi legati a:
• Sicurezza dei dati
• Assenza o utilizzo improprio di password/PIN
• Perdita/furto dei dispositivi o compromissione da remoto
• Utilizzo “a rischio” del device
• Il problema della gestione e del monitoraggio del parco di dispositivi
• Gestione e distribuzione di configurazioni complesse
• Enforcement di policy aziendali (complessità delle password, cifratura
dei dati, ecc…)
Soluzioni
• Un approccio completo deve prevedere due componenti fondamentali:
• Tecnologica
• Strumenti di gestione
• Soluzioni hardware e software per la sicurezza dei dispositivi, delle
applicazioni e dei dati
• Strategica
• Security Design, Application Security Testing, Platform Security Testing
• Analisi e validazioni di tool di attacco, identificazione di contromisure
• Sviluppo di soluzioni a supporto della sicurezza mobile
36
Grazie! (Domande?)
Our Contacts Web: www.consulthink.it
Mail: sicurezza@consulthink.it Phone:+39-06 4549 2416
Fax:+39-06 4549 2454