Il rischio informatico nel mondo Il rischio informatico nel mondo finanziariofinanziario

Nuovi attacchi, nuove difese

TOR VERGATA 9 maggio 2012TOR VERGATA 9 maggio 2012Sabina Di GiuliomariaSabina Di Giuliomariasabina.digiuliomaria@bancaditalia.itsabina.digiuliomaria@bancaditalia.it

Agenda

• Il rischio: una definizione• Di che cosa NON vi parlerò oggi • Di che cosa è bene parlare sempre

– Il processo cardine della sicurezza– 7 principi generali della sicurezza informatica– 5 “W” del rischio informatico– 7 principi base del Social Engineering

• Grandi aziende – grandi rischi• Grandi aziende – risposta al rischio

Focus su….

APT

Defense in depth

The Black swan

Il rischio: una definizione

La probabilità che un evento in grado di produrre danni si verifichi e l'entità dei

danni che ne possono derivare

Di che cosa NON vi parlerò oggi

• Tecnologia (strumenti di attacco e di difesa)

• Carte (credito, debito, prepagate…)

• Quadro giuridico (criminalità informatica, codice privacy, direttive europee su sistemi di pagamento e moneta elettronica, Infrastrutture Critiche)

• FORENSICS (Forensic science)

…………perché……………

Il processo cardine della sicurezza

Classificazione degli asset

Minacce e Vulnerabilità

Individuazione del rischio inerente

ControlliIn uso

Rischio attuale

Rischio residuo

evitaremitigaretrasferireaccettare

Risposta al rischio

La percezione del rischio: le persone esagerano i rischi …..

Spettacolari Rari Oltre il proprio controllo o imposti dall’esterno Di cui si parla molto Intenzionali o causati dall’uomo Immediati Improvvisi Nuovi e non familiari Che non conoscono Diretti contro i propri figli Moralmente offensivi

Bruce Schneier

La percezione del rischio: le persone sottovalutano i rischi …..

Ovvii Comuni Ben conosciuti Anonimi Maggiormente sotto il proprio controllo o assunti volentieri Di cui non si parla Naturali A lungo termine o diffusi Che si evolvono lentamente nel tempo Che riguardano gli altri

Bruce Schneier

I 7 Principi generali della sicurezza informatica

1. Le misure di sicurezza devono essere conformi ai requisiti di business aziendali, nonché alle normative vigenti.

2. La sicurezza riguarda tutti e la consapevolezza individuale gioca un ruolo fondamentale nel conseguimento degli obiettivi di sicurezza prefissati.

3. Le misure di sicurezza devono essere efficaci, comprensibili e bilanciate rispetto ai relativi costi.

4. La sicurezza richiede una combinazione di misure tecniche e organizzative.

5. È necessario che la sicurezza sia pianificata e integrata nelle attività di sviluppo sin dalle fasi iniziali.

6. Le autorizzazioni devono essere basate sul principio del "need-to-know" correlato al business aziendale.

7. La sicurezza deve essere continuamente monitorata.

Fonte: OCSE, Guidelines for the Security of Information Systems; BCE, Information Technology Committee, ESCBInformation Systems Security Policy.

Le 5 “W” del rischio informatico

• WHO?

• WHY?

• WHAT?

• WHERE?

• WHEN?

WHO?

• Underground Hacker Economy: il mercato illegale e sommerso di beni e servizi alla base delle attività criminali perpetrate quotidianamente

• hacker indipendenti + in misura crescente rete organizzata che coinvolge criminali

WHO?

Fonte: Rapporto Clusit 2012 – ICT security

WHO?

Sophos: Distribuzione degli agenti di minaccia

WHO?

Frequentemente i grandi attacchi esterni hanno visto la complicità di un insider all’azienda. Questo è il modo più insidioso e sotterraneo di attacco e può spesso arrecare i danni maggiori all’azienda frodata.

WHO?

Fonte: McAfee threat predictions 2012

WHY?

• Anni ’70: sete di sapere

• Anni ’80: + curiosità

• Anni ’90: + sfida ai sistemi informatici, scambio di informazioni gruppi di hackers, comunità underground

• Anni 2000: rabbia e denaro +

politica (cyber -hacktivism) +

criminalità (cybercrime)

WHY?

Fonte: SYMANTEC

WHY?

La criminalità informatica colpisce i clienti delle banche in maniera sempre più sofisticata trovando modi nuovi per

aumentare il proprio margine di profitto e, contemporaneamente, ridurre le probabilità

di essere rintracciata.

WHAT? trasferimento/deviazione fondi carte di credito credenziali di home banking indirizzi di posta elettronica scambio di servizi di cash out (trasformazione di fondi

provenienti da account di home banking rubati in denaro pulito)

hosting di pagine web dedicate al phishing servizi di traduzione in varie lingue di mail di

phishing vendita o noleggio di tool completamente

automatizzati (crimeware) per poter diventare un phisher in poche ore + contratto garanzia + help desk

Botnet ……

WHAT? • Il cybercrime rappresenta oggi il secondo tipo di

crimine economico più diffuso nell’industria, dietro solo all'appropriazione indebita di asset.

• 38% di tutti i crimini economici ai danni del mondo finanziario= cyberattacks. 

• impatti maggiori:

– il danno d’immagine (54%), – la perdita di dati sensibili (49%), – le perdite finanziarie (39%) – noie regolamentari (32%).

 • Nonostante ciò….. il 29% degli intervistati

ammette che in azienda non c’è alcun piano di formazione legato alla cybersecurity.   

Fonte: PricewaterhouseCoopers - indagine  condotta su 878 rappresentanti di istituti finanziari di 56 Paesi a fine 2011

WHAT?

Fonte: Rapporto Clusit 2012 – ICT security

Nuovi Malware creati nel 2011

Fonte: PandaLabs

Infezioni Malware nel 2011

Fonte: PandaLabs

WHERE?F

onte

: Ver

izon

Dat

a br

each

inve

stig

atio

ns r

epor

t 201

2

- P

aesi

col

piti

da a

lmen

o un

atta

cco

nel 2

009

WHERE?F

onte

: Ver

izon

Dat

a br

each

inve

stig

atio

ns r

epor

t 201

2 -

Pae

si c

olpi

ti da

alm

eno

un a

ttacc

o ne

l 201

0

WHERE?

Fonte: Verizon Data breach investigations report 2012

WHEN?

• Man In The Middle (Man In The Browser, Man In The

Channel/sms)• Botnet• Malware• APT• Social Engineering

– Targattacks

– Events

– BYOD (Android)

– Pagamenti virtuali

– TV on the Net

– Game consolle

2012?

WHEN?

PandaLabs Bulletins 2009

2012?

Fonte Trend Micro

Grandi aziende – grandi rischi

I nuovi campi di battaglia:

-Mobile

-Cloud

-Crisi economica

…… mai sottovalutare i rischi interni ……

Fonte: Pricewaterhouse Coopers (Global Economic Crime Survey – nov 2011)

Fonte: Pricewaterhouse Coopers (Global Economic Crime Survey – nov 2011)

Grandi aziende – la risposta al rischio

• Risk Assessment (classificare le risorse, valutare impatti e probabilità degli scenari di rischio, decidere presidi, accettare rischio residuo)

• Formazione AWARENESS (int.+ext.)

• Business Continuity Plan – Disaster Recovery

• Defense in depth – la difesa in profondità *• Il cigno nero *

Advanced Persistent Threats

Fonte Trend Micro

APT

• Il target

• Le motivazioni

• I punti di attacco– Posti di lavoro-rete aziendale– Strumenti di mobilità (byod)– Social Engineering

APT

Fonte: McAfee dic 2011

Attacco APT

Fonte: Trend Micro

Defense in depth (National Security Agency-NSA)

Fonte: http://www.dbcde.gov.au/__data/assets/pdf_file/0004/88357/Defence-in-full-15-Oct-2008.pdf

Defense in depth

Fonte: http://www.dbcde.gov.au/__data/assets/pdf_file/0004/88357/Defence-in-full-15-Oct-2008.pdf

L’anello più debole della catena

il pericolo maggiore = Social Engineeringil pericolo maggiore = Social Engineering

I 7 principi base del Social Engineering

1. Principio della distrazione2. Principio dell’aderenza alla società3. Principio del gruppo4. Principio della disonestà5. Principio dell’illusione6. Principio del bisogno e dell’opportunismo7. Principio del tempo

University of Cambridge - Computer Laboratory – Agosto 2009Understanding scam victims: seven principles for systems security (Frank Stajano, Paul Wilson)

42

Filosofo, saggista e matematico libanese naturalizzato

statunitense, esperto di matematica finanziaria.

Il suo saggio Il cigno nero (2007) è stato inserito dal

Sunday Times tra i libri che hanno cambiato il m

ondo

Nassim Nicholas Taleb

…della incertezza che avvolge levicende umane…feroce polemica

contro color che cercano di convincerci

che l’incertezza è controllabile e il rischio

non esiste.

43

Giovenale: rara avis in terris nigroque simillima cygno = un fatto impossibile o perlomeno improbabile.

“tutti i cigni sono bianchi”

=> fino alla scoperta del cigno nero australiano Chenopis atrata da parte degli esploratori europei (‘800).

Una falsa premessa può portare a un risultato sbagliato e dei dati limitati producono una conclusione incorretta.

Il limite del ragionamento secondo cui "tutti i cigni sono bianchi" è dato dai limiti dell'esperienza che ci fa credere che non esistano cigni neri.

Il cigno nero

1. è un evento isolato , che non rientra nel campo delle normali aspettative, poiché niente nel passato può indicare in modo plausibile la sua possibilità;

2. ha un impatto enorme;

3. nonostante il suo carattere di evento isolato, la natura umana ci spinge a elaborare a posteriori giustificazioni della sua comparsa per renderlo spiegabile e prevedibile.

The black swan

A black swan

Il processo cardine della sicurezza

Classificazione degli asset

PRESIDIO RECOVERY

Requisiti di sicurezza/security goal

ControlliIn uso

Rischio attuale

Rischio residuo

evitaremitigaretrasferireaccettare

Risposta al rischio

STAY TUNED…and DON’T GIVE UP!