Risultati survey ZeroUno · Social Eng. +73% Multiple / APT Rapporto 2016 ... Soluzioni gestite...
Transcript of Risultati survey ZeroUno · Social Eng. +73% Multiple / APT Rapporto 2016 ... Soluzioni gestite...
Finance: criticità e aspettative tra security e web experience
Risultati survey ZeroUno
Luca Bechelli Direttivo e Comitato Tecnico-Scientifico Clusit
In Partnership con:
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
RischiBasedirispondenti:30
A quali tipologie di rischio è maggiormente soggetta l’azienda
3%
3%
10%
20%
17%
27%
33%
37%
10%
17%
20%
13%
30%
27%
30%
20%
19%
63%
73%
67%
50%
47%
43%
30%
23%
81%
23%
7%
3%
17%
7%
3%
7%
20%
Basso Medio Alto Molto Alto
Altro
Frode finanziaria
Furto di dati personali dei clienti (es. identità e dati sensibili)
Vulnerabilità degli end point aziendali (ad esempio tramite virus e malware)
Limitare/bloccare la funzionalità dei siti web rivolti ai clienti
Furto di dati importanti (es. progetti, informazioni strategiche)
Limitare/bloccare la funzionalità di altri servizi Internet erogati (ad es. VPN, email)
Sabotaggio (es. alterazione dei dati, cambio di permission)
Limitare/bloccare la funzionalità dei siti web rivolti a dipendenti, fornitori e partner
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
MinacceBasedirispondenti:30
Tipologie di attacco alle applicazioni riscontrate con maggiore frequenza
Malware / Virus
Richiesta di riscatti (ad es. Cryptolocker)
Phishing / Furto credenziali di accesso
Attacco ai siti web: SQL Injection
Attacco ai siti web: altri attacchi applicativi
Social Engineering
Attacco ai siti web: sfruttamento di vulnerabilità 7%
23%
27%
30%
40%
57%
70%
+67%SQL Injection +24% DDoS +50%
Phishing / Social Eng. +73%
Multiple / APT
Rapporto 2016
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Eventi di Sicurezza
Dati Fastweb
Copyright(C) Luca Bechelli - tutti i diritti riservati
2014(5M)
2013 (172k)
Rapporto 2016
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Eventi di Sicurezza
2014(5M)
Dati Fastweb
2013 (172k)
2015 8 m i l i o n i
Rapporto 2016
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Gli incidenti accadono quando una minaccia incontra una vulnerabilità
Basedirispondenti:30
Attacchi applicativi significativi ai siti web dell’azienda
L’azienda dispone di sistemi specifici di protezione / prevenzione?
Nessuno
tra 1 e 2
tra 3 e 5
maggiore di 5 13%
10%
13%
37%Efficaci Bloccati
Non so / dobbiamo valutare25%
No29%
Si46%
Si 77%
In generale, le misure previste sono adeguate?
27%
10%
13%
27%
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Quali Contromisure?Basedirispondenti:30
Sistema di IDS/IPS (Intrusion Detection System / Intrusion prevention System)
Apparato di protezione WAF (Web Application Firewall) on-premise (appliance)
Software WAF sui server applicativi (ad es. mod_security per Apache)
Soluzioni custom svilluppate in proprio
Apparato di protezione WAF (Web Application Firewall) in cloud 7%
33%
43%
47%
57%
26%
35%
39%
Si (continuo / costante / cloud intelligence)Si (giornaliero - signature degli attacchi noti)Nessuna modalità di aggiornamento
I sistemi di protezione dagli attacchi applicativi ai siti web hanno funzionalità di aggiornamento continuativo o di collegamento a servizi di cloud intelligence?
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
+200 giorni in media per scoprire un APT
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Dati Fastweb
2013(1000)
Attacchi DDoS
2014(16k)
2013(1000)
Rapporto 2016
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Dati Fastweb
2013(1000)
Attacchi DDoS
2014(16k)
2013(1000)
51(12,5k)
2 0Rapporto 2016
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Numero e durata attacchi DDoS
< 4h (50%)
<1g (15%)
<2g (12%)
<7g (4%)<14g
(4%)
<8h (15%)
0 1..5 5+
10%10%
43%
0%
17%
47%
Attacchi EfficaciAttacchi Bloccati
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Soluzioni automatizzate (36%)
Tipologie di soluzioni che offrono maggiori garanzie di sicurezza nei confronti degli attacchi DDoS
Tecnologie specifiche per fronteggiare gli attacchi DDoS presenti in azienda, in particolare per proteggere l’erogazione dei servizi online per la clientela
DDoS: le soluzioni6%
29%
35%
29%
Soluzioni on premiseSoluzioni gestite dall’ISP/CarrierSoluzioni cloudNon vi sono differenze
21%
4%
7%
68%
SiPlanned (2016)Planned (2017)Non previste
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Web Experience & SicurezzaBasedirispondenti:30
Range di impatto a seguito di un down tra le 4 e le 8 ore del sito web a disposizione dei clienti
38%
5%
19%
14%
24%
minore di 10.000€tra 10.000 e 50.000€ tra 50.000 e 100.000€tra 100.000 e 200.000€maggiore di 200.000€
Danno alla Brand imageMinor numero di transazioni
Mancati ricaviCalo della Customer satisfation
Altro (specificare)Nessuno
Danno alla Brand imageMinor numero di transazioni
Mancati ricaviCalo della Customer satisfation
AltroNessuno
57%
29%
35%
59%
67%
29%
43%
62%
15%
20%
29%
29%
35%
23%
15%
20%
24%
29%
24%
24%
85%
80%
14%
43%
30%
18%
85%
80%
10%
43%
33%
14%
Basso Medio Elevato
Impatti di una performance scadente nell’erogazione dei siti web e applicazioni mobile a disposizione dei clienti
Porta
le W
ebAp
p M
obili
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Spesa e orientamenti nella sicurezza ICTBasedirispondenti:30
Quanto incide il budget per la security sul budget ICT
maggiore di 25% 8%
Tra 10-25% 15%
Tra 5-10% 46%
Tra 2-5% 31%
55%
2016
17%
50%
25%
8%
2017
18%
36%
45%2018
Calo (0-10%) Stabile Crescita (0-10%) Forte crescita (>10%)
, e qual è la tendenza di spesa:
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Spesa e orientamenti nella sicurezza ICTBasedirispondenti:30
Elevato 37%
Medio 47%
Limitato 17%
Impatto delle evoluzioni normative (compliance settoriali e generiche) sull’azienda in tema di sicurezza
Normative Generiche Normative di Settore
57%
3%
40%
© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016
Investimenti e vincoliBasedirispondenti:30
Intensità degli investimenti per la sicurezza ICT
I possibili freni ad una completa evoluzione dei sistemi di sicurezza nelle aziende
Network Security
Compliance
Governance/Audit
Mobile Security
Identity Management
Cloud Security
Altro
18%
11%
21%
18%
25%
32%
11%
36%
25%
39%
43%
36%
4%
57%
50%
39%
43%
32%
32%
96%
14%
4%
14%
Bassa Media Alta Molto Alta
Crescente Sofisticazione delle minacce
Contesto normativo complesso
Complesso modello di business organizzativo
Scarsa considerazione della problematica
Mancanza di budget
Mancanza di strategia di sicurezza delle informazioni
Scarsa possibilità per l’IT di incidere sulle strategie aziendali
Mancanza di supporto alla gestione esecutiva