Modulo integrativo -...

Modulo integrativoRicette e contromisure

per la sicurezza delle informazioni di Alessandro Bonu

A.A. 2014/15Corso di Laurea Magistrale in

Ingegneria delle Telecomunicazioni

http://tlc.diee.unica.it/

Nell’ambito del Corso di Diritto dell’Informatica e delle Nuove Tecnologie

Docente: Massimo Farina [email protected]

Cagliari, 04 dicembre 2014 - Presentazione a cura di Alessandro Bonu

Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina

A.A. 2011/12

Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni

Ricette e contromisure per la sicurezza delle informazioni

• « tra perdite di dati sensibili per guasti o errori e interruzioni inattese dei sistemi informatici, le aziende italiane negli ultimi 12 mesi hanno perso 11,2 miliardi di euro

• a livello mondiale la perdita è stata di 1.700 miliardi di dollari

• in Italia solo il 10% delle aziende è al passo con i tempi per la protezione

• in uno scenario nazionale in cui l'80% delle aziende intervistate ha registrato, negli ultimi dodici mesi, un blocco inaspettato nei propri sistemi informatici o una perdita di dati sensibili che hanno portato:

• per il 38% a una perdita della produttività

• per il 22% a un decremento del fatturato

• per il 36% al ritardo nello sviluppo di un prodotto

• in totale, emerge dall'inchiesta, il 79% dei professionisti IT delle aziende italiane non nutre piena fiducia nella propria capacità di recuperare le informazioni a seguito di un incidente »


A.A. 2011/12




A.A. 2011/12



il sistema informatico rappresenta oggi per moltissime aziende il

«sistema nervoso»

tanto più sensibili sono le informazioni detenute, tanto più è necessario dotarsi di

SISTEMI, PROCEDURE E RISORSE che li «mettano al sicuro»


A.A. 2011/12



ASPETTI DA CONSIDERARE

primo aspetto da considerare

NON ESISTE CERTEZZAche garantisca la sicurezza al 100 per cento

USABILITA’

avere queste garanzie significa

RIDURRE L’USABILITA’

del 100 per cento

SICUREZZA


A.A. 2011/12



Traffico

Manutenzione

Controllo

Pensate a un’auto nuova..

La dovrete usare?

La dovrete tenere in ordine?

La dovrete manutenere?


A.A. 2011/12



Traffico

Manutenzione

Controllo

Pensate ad un server che ospita i vostri dati..

Lo dovrete usare e mettere in rete?

Lo dovrete tenere in ordine?

Lo dovrete manutenere?


A.A. 2011/12



va ricordato che la tutela dei dati oggi non è più

facoltativa ma obbligatoria, la

«Legge sulla Privacy»

impone rigorose e idonee misure di sicurezza

perché i dati trattati non vengano utilizzati in modo

improprio o diffusi indebitamente


A.A. 2011/12



PRINCIPI SU CUI BASARE IL

CONFIDENZIALITÀ

quali informazioni possono essere

condivise con altri

DISPONIBILITÀ

come possono essere accedute

INTEGRITÀ

con quale accuratezza

devono essere trattate queste

informazioni

un sistema informativo per essere considerato sicuro deve soddisfare almeno i seguenti principi

SIGNIFICATO DI SICUREZZA


A.A. 2011/12



e con quali ingredienti..?

quali strategie devono essere adottate per realizzare delle buone ricette sulla sicurezza

aumentare il costo di un possibile attacco

l’investimento per chi ATTACCA deve essere percepito come «troppo oneroso»


A.A. 2011/12



RISCHI e MINACCEQUALI CAUSE

INADEMPIENZA

mancataATTUAZIONE

delle procedure di

sicurezza

mancatoRISPETTO

delle procedure di

sicurezza


A.A. 2011/12



• INTERCETTAZIONE di informazioni: acquisite, alterate o divulgate

• INTRUSIONEattraverso canali esterni per accedere alle risorse aziendali

• ACQUISIZIONE DEI PRIVILEGI per l’accesso alle risorse dell’organizzazione

• DISSERVIZI e/o BACKDOORmessa fuori uso dei servizi erogati dall’azienda e/o apertura di canali privilegiati verso terzi

RISCHI e MINACCEQUALI PROBLEMI


A.A. 2011/12



• RESPONSABILITA’

1. a carico del dipendente che ha commesso il fatto

2. a carico dell’organizzazione che attraverso i «propri sistemi» ha

tecnicamente consentito tale condotta

• DANNI

1. download e utilizzo di software coperto da copyright

2. danni causati da l’utilizzo improprio di diffusissimi tools in grado di

«violare», anche involontariamente, la sicurezza di un sistema informatico

esterno alla propria organizzazione

RISCHI e MINACCEQUALI CONSEGUENZE


A.A. 2011/12



FRONTI DI ATTACCO

DUE i potenziali fronti di attacco e quindi di difesa

1. OUTSIDERS: più evidente , soggetti che attaccano

dall’esterno rispetto all’organizzazione

2. INSIDERS: meno evidente, soggetti interni

all’organizzazione: sono i principali utilizzatori del

patrimonio informativo aziendale


A.A. 2011/12



• lasciano quasi sempre dei segnali inequivocabili

• intrusione o attacco su un servizio erogato dall’azienda (DoS)

• impatto «visivo» della violazione è una delle motivazioni principali

• se da un lato questo rappresenta un grande danno in termini di immagine, dall’altro consente di scoprire la violazione e, probabilmente, anche le origini della stessa se condotta male

• in altri casi le intrusioni possono essere silenti e di non immediata individuazione

OUTSIDERS


A.A. 2011/12



INSIDERSCHI SONO?

• impiegati infedeli o in contrasto con l’azienda e consulenti disonestisono coloro che conoscono meglio le architetture dei sistemi di sicurezza

• rapporto privilegiato con risorse e sistemi interni all’organizzazione che detiene dati e informazioni

• la bassa percentuale di reati denunciati è dovuta al fatto che molto spesso le imprese vogliono tutelare la propria immagine pubblica


A.A. 2011/12



• server e perimetro protetti ma.. il resto?

• gli utenti accedono e utilizzano Internet?

• privilegi sulle workstation: accesso amministrativo o accesso utente?

• le workstation ha un OS adeguato, aggiornato e protetto da minacce?

• posso tracciare il loro operato in maniera standardizzata, durante l’attività operativa?

ASPETTI DA NON SOTTOVALUTARE


A.A. 2011/12



• contro le minacce derivanti dai « Malicious Code »

occorre contemplare aspetti UMANI e TECNOLOGICI

• controllo sulle mail » T - U

• procedure per acquisti in rete » T - U

• scansione dei file locali, rete o su memorie esterne » T - U

• controllo e attendibilità di link e siti web » T

• protezione contro spyware e malware » T

• aggiornamento costante delle definizioni centralizzate » T - U

ASPETTI UMANI E TECNOLOGICI

importante è in ogni caso un intervento rapido ed efficaceper ridurre i danni


A.A. 2011/12



STRATEGIE ADATTIVE

• AUTENTICAZIONE SUPPLEMENTARE

• dispositivi non registrati nel dominio aziendale

• accesso alla rete aziendale da aree ignote

• PROCEDURE INTEGRATIVE

• sopperire a situazioni non previste e temporanee

COMPENSANO TEMPORANEE CARENZE..che possono determinare una vulnerabilità


A.A. 2011/12



SPOSTARE O ELIMINARE IL BERSAGLIO

« il miglior modo per evitare un colpo è quello di non farsi raggiungere »

• spostare o eliminare il bersaglio oggetto dell’attacco: dati «sensibili» non necessari

[SCENARIO]: un sito web raccoglie informazioni per fini statistici, tra questi è presente il Codice Fiscale, che rappresenta un dato identificativo del cliente ma superfluo ai fini di report e indicizzazione:

• perché trattare un dato identificativo personale? (=> bersaglio)• meglio utilizzare altri dati che non riportano all’identificazione di un utente• strategia che comporta meno investimenti in termini di sicurezza e meno

preoccupazioni per chi è responsabile


A.A. 2011/12



STRATIFICARE LE CONTROMISURE

• PREVENIRE

• predisporre sistemi atti ad prevenire intrusioni nella rete (IDS)

• RISPONDERE

• attivare contromisure in risposta agli attacchi subiti

• INDIVIDUARE

• procedure per rilevare delle intrusioni all’interno della rete


A.A. 2011/12



PERSONE E PROCESSI

« un bravo hacker può riuscire a bypassare una nostra regola di firewall e introdursi nel nostro sistema, ma potrebbe non essere

in grado di evitare un sistema di auditing predisposto per esaminare regolarmente log ed eventi proprio alla ricerca di

anomalie e problemi di sicurezza »

altra modalità per progettare contromisure è quella di variare la natura delle contromisure


A.A. 2011/12



SEPARAZIONE DEI COMPITI

competenza e specializzazione

del personale

coordinamentoper evitare

sovrapposizioni

STAFF vincente!


A.A. 2011/12



AUTENTICAZIONE

AUTORIZZAZIONE

CONTROLLO

AZIENDA / ORGANIZZAZIONE

DEFINIZIONE DEGLI ACCOUNT

ASSEGNAZIONE DIRITTI E

PRIVILEGI

MONITORAGGIO DI ACCESSI E

TRANSAZIONI

da dove iniziare..


A.A. 2011/12



processo di definizione in modo univoco dell’identità di un utente (computer o software)

che intende usufruire di risorse e serviziAUTENTICARE

segue all’autenticazione e rappresenta l’insieme di regole e privilegi per l’accesso ai dati e alle risorse di rete da parte di chi viene autenticato

AUTORIZZARE

monitoraggio e registrazione dei log relativi a transazioni di autenticazione e autorizzazioneCONTROLLARE


A.A. 2011/12



senza una robusta FUNZIONE DI CONTROLLO dell’accesso, dei processi e delle transazioni, non è

possibile sapere se le contromisure poste in atto stiano funzionando correttamente

registro e controllo

CHI HA OPERATO

VERSO CHI

QUANDO E COME


A.A. 2011/12



AMBITI SPECIFICI DI APPLICAZIONE DELLE CONTROMISURE

LIVELLO FISICO

protezione logistica di sistemi

e apparati

LIVELLO DI RETE

utilizzo di firewall, ACL e sistemi atti

a prevenire gli attacchi (IDS)

LIVELLO SISTEMA

controllo amministrativo e

centralizzato degli endpoint (host)

LIVELLO APPLICATIVO

analisi e controllo dello strato applicativo

LIVELLO LOGICO

controllo delle transazioni di

accesso, autenticazione e autorizzazione


A.A. 2011/12



GESTIONE DEL RISCHIO

ma cosa occorre fare in caso di « EMERGENZA »

il sistema avverte che si è verificato un attacco e

provvede a notificarlo a chi di competenza «NOTIFICA»

il sistema risponde in tempo reale all'attacco in corso e

consente di tracciare la sua origine «REAGISCE»

intervento e applicazione delle procedure previste e «idonee per quel determinato contesto»


A.A. 2011/12



1. falsi positivi: attività anomale non intrusive, ma che vengono rilevate e segnalate come tali

2. falsi negativi: attività anomale ma che non vengono rilevate e segnalate come tali

la situazione più grave si presenta nel caso dei falsi negativi, poiché può compromettere gravemente la

sicurezza del sistema

QUESTI DUE METODI POSSONO AVERE UN PROBLEMA


A.A. 2011/12



FORMAZIONE INFORMAZIONEcome fare una cosa giusta quando non si sa come farla?

• formazione e informazione sono ingredienti fondamentali nella formulazione dei criteri di sicurezza e relative contromisure

• necessario integrare la formazione nelle attività quotidiane dei soggetti coinvolti nei processi

• utilizzo di prodotti dedicati che vengono incontro a queste esigenze, integrando la formazione nel contesto delle attività


A.A. 2011/12



• fondamentale è responsabilizzare il dipendente in qualsiasi livello

gerarchico esso si trovi

• l’attività formativa deve andare di pari passo con l’evoluzione delle

strategie aziendali, inutile implementare complessi sistemi di

sicurezza se poi non li si sa utilizzare:

1. creano ulteriore impegno alle attività di routine

2. necessitano di formazione aggiuntiva e specifica

3. determinano una minore produttività

FORMAZIONE E INFORMAZIONE


A.A. 2011/12



K.I.S.S.

• acronimo usato nell'informatica, che sta per Keep It Simple, Stupid

• il concetto in sintesi è: non complicarsi la vita e mantenere uno stile semplice e lineare, soprattutto nella fase di start-up

• studi statistici dicono che le misure di prevenzione raccomandate rispondono ai requisiti di «semplice ed economico»

• mentre una minima percentuale di tali misure è identificata come «complessa e costosa»

ADATTARE LA MIGLIORE SOLUZIONE IN TERMINI DI COSTI E QUALITA’SEMPRE AL CONTESTO IN CUI SI OPERA


A.A. 2011/12



[ SCENARI OPERATIVI ]

Client

host endpoint

Server

sistemi

Rete

apparati di rete

Applicazioni

web

database

Mobile

tablet e smart phones

..andremo ad applicare ambiti comuni

finora si è parlato di linee generali ma entrandonello specifico di aspetti concreti..


A.A. 2011/12



VALUTAZIONE DEI COSTI PER LE AZIENDEECONOMICO

ATTIVITA’ DI ROUTINE NON UNA TANTUMATTIVITÀ

LIVELLO TECNOLOGICO DI APPARATI E SISTEMITECNOLOGICO

CONTROLLO E MONITORAGGIO DI PROCESSI E TRANSAZIONICONTROLLO

AGGIORNAMENTO SISTEMI E APPLICATIVIAGGIORNAMENTO


A.A. 2011/12



[SCENARI DI RETE]

• non esiste un metodo standard da applicare

• criteri troppo generici rischiano di essere inadeguati

• firewall / ACL granulari su reti segmentate

• hardware recente e aggiornato

CUSTOM

HTTP

FTP

SQL Injection

elemento in primo piano nei piani di prevenzione

RETE B

RETE A

DMZ


A.A. 2011/12



[ SCENARI SERVER ]

• l’obiettivo di chi attacca è quello di diventare amministratore: limitare gli accessi amministrativi e consolidare i sistemi di login

• ridurre al minimo l’esposizione dei sistemi e servizi: logistica e rete

• disabilitare servizi non necessari: creano inutile complessità

• manutenzione: aggiornamento costante di sistemi e applicazioni

• monitoraggio e controllo: transazioni ed accessi

• altre strategie: backup e ridondanza dei dati


A.A. 2011/12



[ SCENARI CLIENT ]

apparentemente meno rilevante della parte server, non tralasciare mai l’aspetto degli endpoint quando si tratta di sicurezza:

• probabilità di una cattiva gestione da parte dell’utente

• evitare che dati sensibili per l’azienda entrino a far parte di questo contesto

• ma gli utenti li devono lavorare e allora?

• implementare robuste procedure di autenticazione, autorizzazione e controllo

• centralizzare le attività amministrative del Sistema Informativo dell’organizzazione

• formazione e informazione constante sul corretto utilizzo degli strumenti messi a disposizione


A.A. 2011/12



[ SCENARI APPLICATIVI ]DATABASE: BERSAGLIO PRIMARIO

..continua crescita e nuove funzionalità peggiorano le cose..

come agire dunque..

• requisiti applicativi adeguati per un sistema in HA

• configurazione appropriata di tutte le componenti applicative

• verifica costante di aggiornamenti e patch

• test di carico e affidabilità su ambiente di stage prima della messa in produzione

• strategie di backup/ridondanza e check di consistenza dei dati replicati

• monitoraggio e controllo schedulato su funzionalità e sicurezza e predisposizione delle relative notifiche


A.A. 2011/12



[ SCENARI MOBILE ]

• alta diffusione e sempre connessi

• furto, hacking remoto e sms malevoli, solo alcuni esempi..

• adeguare le contromisure per questi dispositivi

• spostare e rimuovere i dati tra le prime possibilità

• nelle mail c’è di tutto, dati sensibili compresi

se disposti ad accettare questo rischio cosa resta da fare?


A.A. 2011/12



• avere particolare cura del dispositivo

• abilitare una login allo stand-by

• blocco del dispositivo e cancellazione dei dati dopo «n» tentativi falliti

• utilizzo di APP certificate e non provenienti da ambienti sconosciuti

• aggiornamento costante di OS e APP

• scegliere con attenzione e documentarsi sulle APP da installare

• abilitare sistemi di geo localizzazione in caso di smarrimento

• abilitare sistemi di crittografia dei dati contenuti nel dispositivo

[ SCENARI MOBILE ]


A.A. 2011/12



htt

p:/

/cis

ecu

rity

.org


A.A. 2011/12



EQUILIBRIOtra sicurezza ed usabilità dei dati

DIVERSIFICAREcosto complessivo più elevato per chi

attacca

SEMPLICITÀstrategie e piani

di intervento chiare ed efficaci

CONCLUSIONI


A.A. 2011/12



CONTATTI

[email protected]

ict4forensics.diee.unica.itwww.andig.itwww.diricto.it

www.massimofarina.it

http://it.linkedin.com/in/abonu

@abonu

mailto:[email protected]

http://ict4forensics.diee.unica.it/

http://www.andig.it/

http://www.diricto.it/

http://www.massimofarina.it/

Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5

Tu sei libero: di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o

recitare l'opera di creare opere derivate Alle seguenti condizioni:

Attribuzione. Devi riconoscere il contributo dell'autore originario. Non commerciale. Non puoi usare quest’opera per scopi commerciali. Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi

distribuire l’opera risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza

di quest’opera. Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste

condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

LICENZA

Modulo integrativo -...

Documents

Transcript of Modulo integrativo -...