1Convegno Forum PA - 9 maggio 2005

Il GovCERT.it

Gianluigi Moxedano

Convegno Forum PA

Roma – 9 maggio 2005

2Convegno Forum PA - 9 maggio 2005

Il GovCERT.it è un CSIRT

COMPUTER

SECURITY

INCIDENT

RESPONSE

TEAM

3Convegno Forum PA - 9 maggio 2005

Agenda

Come è nato il GovCERT.it

Gestione degli incidenti di sicurezza ICT

2004: dati 2004 e tendenze

Organizzazione della gestione degli incidenti nella PA centrale

Il GovCERT.it: profilo e stato dell’arte

Fonti utilizzate: CSI/FBI, F-Secure, McAfee, Oasi-Securitynet, SIRMI, Symantec, Trend Micro

4Convegno Forum PA - 9 maggio 2005

Come è nato il GovCERT.it

Proposto dal “Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni”

Approvato dal Comitato dei ministri per la società dell’informazione

Attuato dal CNIPA attraverso la creazione di una “Unità di gestione degli attacchi informatici“ - maggio 2004

Assume il nome di GovCERT.it in conformità alla nomenclatura in uso nell’Unione Europea

Finanziamenti resi disponibili - settembre 2004

5Convegno Forum PA - 9 maggio 2005

Incidente di sicurezza ICT

EVENTO CHE COMPORTA UNA PERDITA DI RISERVATEZZA, DI INTEGRITÀ O DI

DISPONIBILITÀ DEI DATI

DEFINIZIONE TRADIZIONALE

LA VIOLAZIONE O L'IMMINENTE MINACCIA DI VIOLAZIONE DELLA POLITICA DI SICUREZZA ICT O DELLE PRASSI DI

SICUREZZA STANDARD

DEFINIZONE AGGIORNATA

6Convegno Forum PA - 9 maggio 2005

Importanza della gestione degli incidenti

LA PREVENZIONE BASATA SULLA VALUTAZIONE DEI RISCHI PUÒ RIDURRE IL NUMERO DI INCIDENTI MA GLI INCIDENTI NON POSSONO ESSERE DEL TUTTO EVITATI

LE MINACCE ALLA SICUREZZA SONO DIVENTATE PIÙ NUMEROSE E PIÙ DIROMPENTI

EMERGONO FREQUENTEMENTE NUOVI TIPI DI INCIDENTI

UN APPROCCIO MIRATO ESCLUSIVAMENTE ALLA PROTEZIONE È INCOMPLETO ED INSUFFICIENTE

LA GESTIONE DEGLI INCIDENTI È FONDAMENTALE NELLA SICUREZZA ICT

PREVENZIONE

RILEVAZIONE

REAZIONE

7Convegno Forum PA - 9 maggio 2005

Aumento di adware, spyware, spam, phishing

Attacchi

Vulnerabilità Oltre 2500 nuove vulnerabilità

Oltre il 50% su applicazioni Web

Più del 90% medie e gravi

Presi di mira i browser più diffusi

11.000 nuovi virus del tipo Win32

MyDoom.A più grave infezione di sempre

20.000 nuovi malicious code

L’attacco Slammer è il più comune

Il 2004: vulnerabilità e minacce

8Convegno Forum PA - 9 maggio 2005

Il tempo come fattore sempre più critico

Sasser ha colpito reti e sistemi dopo solo 18 giorni

dalla scoperta della vulnerabilità

Blaster ha messo in ginocchio reti e sistemi

dopo solo 26 giorni dalla scoperta della vulnerabilità

TEMPO DISPONIBILE PER

CORREGGERE VULNERABILITÀ

Durante la diffusione di MyDoom 1 mail su 12 era

infetto

Slammer ha infettato il 90% dei sistemi vulnerabili in

meno di 10 minuti TEMPO DISPONIBILE PER

CONTRASTARE L’ATTACCO

9Convegno Forum PA - 9 maggio 2005

Data Vulnerabilità Giorni trascorsi

Worm

24 Luglio 2002

MS02-039 - Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution

27 gennaio 2003

187 gg

Slammer

16 Luglio 2003

MS02-039 - Buffer Overrun In RPC Interface Could Allow Code Execution

12 Agosto 2003

26 gg

Blaster

13 Aprile 2004

MS04-011- Security Update for Microsoft Windows (LSASS)

1 Maggio 2004

18 gg

Sasser

La finestra temporale si stringe

10Convegno Forum PA - 9 maggio 2005

Alcuni dati italiani

Più del 50% delle aziende italiane non dispone di personale IT specializzato sulla sicurezza

I problemi legati alla sicurezza delle reti informatiche hanno un forte impatto sul sistema Paese

Oltre il 40% delle aziende italiane impiega da 2 a 5 giorni per riprendersi

Il 94% delle aziende italiane ha dovuto affrontare il problema

La PA centrale investe per la sicurezza ICT una percentuale troppo bassa della spesa informatica globale (dati da piano triennale)

11Convegno Forum PA - 9 maggio 2005

Costo degli incidenti nella PA

Danno economico

Non si dispone di dati per la valutazione dei danni economici contestualizzati alla PA italiana

$ 200.000 all’anno per ente/azienda solo per infezioni virali (dato estrapolato da report CSI/FBI USA)

Ricaduta sociale

Disservizi per la collettività

Freno al programma di E-GOVERNMENT

Danno di immagine

Es. web defacement

Problemi legali/giudiziari

12Convegno Forum PA - 9 maggio 2005

DIRETTIVA 16/1/2002

CERT-AM ED UNITÀ LOCALI NELLE PA

CENTRALI

PA CENTRALE

Il tassello mancante nella PAC

CERT-AM

CERT-AM

CERT-AM

CERT-AM

CERT-AM

CERT-AM

CERT-AM

CERT-AM

ISTITUZIONE DEL GovCERT.it

CERT GOVERNATIVO DI COORDINAMENTO

GovCERT.it

13Convegno Forum PA - 9 maggio 2005

La comunità di riferimento

Il GovCERT.it è un CSIRT di coordinamento dei CERT-AM delle PA centrali

Gli interlocutori del GovCERT.it sono stati classificati in:

ISTITUZIONALI

• Consiglieri tecnici del ministro per la sicurezza ICT

• Comitati Sicurezza ICT

• Responsabili sistemi informativi

DI RIFERIMENTO

• Responsabili sicurezza ICT

OPERATIVI

• Gli appartenenti ai gruppi CERT-AM

14Convegno Forum PA - 9 maggio 2005

Piano dei servizi

SETT2004

PROVVISORIO COMPLETO

RACCOLTA INFO

DIFFUSIONE

INFO

WEB ASSESSMENT

OSSERVATORIO

SUPPORTO

INCIDENTI

EARLY

WARNING

LUG2005

OTT2005

NOV2006

GEN2006

PROVVISORIO COMPLETO

WEB

15Convegno Forum PA - 9 maggio 2005

Relazioni del GovCERT.it

Altri CSIRT MEDIA

TF-CSIRT FIRST

FF.OO.

CNIPA eComitato

ISPORGANISMI

EUROPEI

Fornitorisoftware

Operatori TLC

GovCERT.it

16Convegno Forum PA - 9 maggio 2005

CSIRT governativi in Europa

17Convegno Forum PA - 9 maggio 2005

Attività svolte ed in corso

Comunità di riferimento È stata istituita ed è in corso

di ampliamento

Il 4 aprile u.s. si è tenuta la prima riunione operativa

Early warning Da gennaio 2005 inviate 23

informative (20 segnalazioni di vulnerabilità 3 avvisi di minacce imminenti)

Verificati 18 Web defacement nella PAC e 138 nella PAL

Politiche e procedure In corso di istituzione GdL

nell’ambito del CNIPA

Rete informativa Fonti aperte

Fonti private specializzate

Fornitori di tecnologia

Infrastruttura tecnologica In corso di realizzazione

Relazioni Accordi di collaborazione con:

• Fornitori di tecnologia

• Fornitori specializzati

• Operatori TLC ed ISP

• FF.OO.

• Organizzazioni analoghe italiane

Partecipazione a comunità internazionali

18Convegno Forum PA - 9 maggio 2005

Valore aggiunto del GovCERT.it

Servizi Il GovCERT.it erogherà servizi non realizzabili da parte dei singoli CERT-

AM per criteri di economicità e qualità e necessità di visione di insieme quali:

• Early warning

• Raccolta ed analisi delle informazioni provenienti dalla comunità di riferimento a fini statistici, di valutazione delle tendenze ed orientamento degli investimenti

Relazioni Per poter adempiere compiutamente alla sua missione il GovCERT.it

disporrà di una rete di relazioni per:• Erogare servizi di qualità

• Agire come facilitatore nei confronti dei CERT-AM

Rappresenterà l’Italia nei contesti europei ed internazionali

Capacità di coordinamento Definizione di politiche e procedure omogenee per tutta la comunità di

riferimento

In caso di incidenti diffusi

19Convegno Forum PA - 9 maggio 2005

Cosa non è il GovCERT.it

NON È UN ORGANISMO INVESTIGATIVO

NON È UN GRUPPO DI PRONTO INTERVENTO ON SITE

NON È UN CONTACT CENTER APERTO A TUTTA LA PA MA RISERVATO AI SOLI

RAPPRESENTANTI DELLA COMUNITÀ DI RIFERIMENTO

20Convegno Forum PA - 9 maggio 2005

CONTATTI

Posta elettronica:

govcert@cnipa.it

moxedano@cnipa.it

• Nota: Entro luglio diventeranno caselle postali del dominio govcert.it

Telefoni:

GovCERT.it 06.85264420 06.85264291 06.85264203

Gianluigi Moxedano 06.85264472

• Nota: i numeri di telefono potrebbero cambiare a breve