Risultati survey ZeroUno · Social Eng. +73% Multiple / APT Rapporto 2016 ... Soluzioni gestite...

Finance: criticità e aspettative tra security e web experience

Risultati survey ZeroUno

Luca Bechelli Direttivo e Comitato Tecnico-Scientifico Clusit

[email protected]

In Partnership con:

mailto:[email protected]

© Zero Uno – Finance: criticità e aspettative tra security e web experience – 28 giugno 2016

RischiBasedirispondenti:30

A quali tipologie di rischio è maggiormente soggetta l’azienda

3%

3%

10%

20%

17%

27%

33%

37%

10%

17%

20%

13%

30%

27%

30%

20%

19%

63%

73%

67%

50%

47%

43%

30%

23%

81%

23%

7%

3%

17%

7%

3%

7%

20%

Basso Medio Alto Molto Alto

Altro

Frode finanziaria

Furto di dati personali dei clienti (es. identità e dati sensibili)

Vulnerabilità degli end point aziendali (ad esempio tramite virus e malware)

Limitare/bloccare la funzionalità dei siti web rivolti ai clienti

Furto di dati importanti (es. progetti, informazioni strategiche)

Limitare/bloccare la funzionalità di altri servizi Internet erogati (ad es. VPN, email)

Sabotaggio (es. alterazione dei dati, cambio di permission)

Limitare/bloccare la funzionalità dei siti web rivolti a dipendenti, fornitori e partner


MinacceBasedirispondenti:30

Tipologie di attacco alle applicazioni riscontrate con maggiore frequenza

Malware / Virus

Richiesta di riscatti (ad es. Cryptolocker)

Phishing / Furto credenziali di accesso

Attacco ai siti web: SQL Injection

Attacco ai siti web: altri attacchi applicativi

Social Engineering

Attacco ai siti web: sfruttamento di vulnerabilità 7%

23%

27%

30%

40%

57%

70%

+67%SQL Injection +24% DDoS +50%

Phishing / Social Eng. +73%

Multiple / APT

Rapporto 2016


Eventi di Sicurezza

Dati Fastweb

Copyright(C) Luca Bechelli - tutti i diritti riservati

2014(5M)

2013 (172k)

Rapporto 2016


Eventi di Sicurezza

2014(5M)

Dati Fastweb

2013 (172k)

2015 8 m i l i o n i

Rapporto 2016


Gli incidenti accadono quando una minaccia incontra una vulnerabilità

Basedirispondenti:30

Attacchi applicativi significativi ai siti web dell’azienda

L’azienda dispone di sistemi specifici di protezione / prevenzione?

Nessuno

tra 1 e 2

tra 3 e 5

maggiore di 5 13%

10%

13%

37%Efficaci Bloccati

Non so / dobbiamo valutare25%

No29%

Si46%

Si 77%

In generale, le misure previste sono adeguate?

27%

10%

13%

27%


Quali Contromisure?Basedirispondenti:30

Sistema di IDS/IPS (Intrusion Detection System / Intrusion prevention System)

Apparato di protezione WAF (Web Application Firewall) on-premise (appliance)

Software WAF sui server applicativi (ad es. mod_security per Apache)

Soluzioni custom svilluppate in proprio

Apparato di protezione WAF (Web Application Firewall) in cloud 7%

33%

43%

47%

57%

26%

35%

39%

Si (continuo / costante / cloud intelligence)Si (giornaliero - signature degli attacchi noti)Nessuna modalità di aggiornamento

I sistemi di protezione dagli attacchi applicativi ai siti web hanno funzionalità di aggiornamento continuativo o di collegamento a servizi di cloud intelligence?


+200 giorni in media per scoprire un APT


Dati Fastweb

2013(1000)

Attacchi DDoS

2014(16k)

2013(1000)

Rapporto 2016


Dati Fastweb

2013(1000)

Attacchi DDoS

2014(16k)

2013(1000)

51(12,5k)

2 0Rapporto 2016


Numero e durata attacchi DDoS

< 4h (50%)

<1g (15%)

<2g (12%)

<7g (4%)<14g

(4%)

<8h (15%)

0 1..5 5+

10%10%

43%

0%

17%

47%

Attacchi EfficaciAttacchi Bloccati


Soluzioni automatizzate (36%)

Tipologie di soluzioni che offrono maggiori garanzie di sicurezza nei confronti degli attacchi DDoS

Tecnologie specifiche per fronteggiare gli attacchi DDoS presenti in azienda, in particolare per proteggere l’erogazione dei servizi online per la clientela

DDoS: le soluzioni6%

29%

35%

29%

Soluzioni on premiseSoluzioni gestite dall’ISP/CarrierSoluzioni cloudNon vi sono differenze

21%

4%

7%

68%

SiPlanned (2016)Planned (2017)Non previste


Web Experience & SicurezzaBasedirispondenti:30

Range di impatto a seguito di un down tra le 4 e le 8 ore del sito web a disposizione dei clienti

38%

5%

19%

14%

24%

minore di 10.000€tra 10.000 e 50.000€ tra 50.000 e 100.000€tra 100.000 e 200.000€maggiore di 200.000€

Danno alla Brand imageMinor numero di transazioni

Mancati ricaviCalo della Customer satisfation

Altro (specificare)Nessuno

Danno alla Brand imageMinor numero di transazioni

Mancati ricaviCalo della Customer satisfation

AltroNessuno

57%

29%

35%

59%

67%

29%

43%

62%

15%

20%

29%

29%

35%

23%

15%

20%

24%

29%

24%

24%

85%

80%

14%

43%

30%

18%

85%

80%

10%

43%

33%

14%

Basso Medio Elevato

Impatti di una performance scadente nell’erogazione dei siti web e applicazioni mobile a disposizione dei clienti

Porta

le W

ebAp

p M

obili


Spesa e orientamenti nella sicurezza ICTBasedirispondenti:30

Quanto incide il budget per la security sul budget ICT

maggiore di 25% 8%

Tra 10-25% 15%

Tra 5-10% 46%

Tra 2-5% 31%

55%

2016

17%

50%

25%

8%

2017

18%

36%

45%2018

Calo (0-10%) Stabile Crescita (0-10%) Forte crescita (>10%)

, e qual è la tendenza di spesa:


Spesa e orientamenti nella sicurezza ICTBasedirispondenti:30

Elevato 37%

Medio 47%

Limitato 17%

Impatto delle evoluzioni normative (compliance settoriali e generiche) sull’azienda in tema di sicurezza

Normative Generiche Normative di Settore

57%

3%

40%


Investimenti e vincoliBasedirispondenti:30

Intensità degli investimenti per la sicurezza ICT

I possibili freni ad una completa evoluzione dei sistemi di sicurezza nelle aziende

Network Security

Compliance

Governance/Audit

Mobile Security

Identity Management

Cloud Security

Altro

18%

11%

21%

18%

25%

32%

11%

36%

25%

39%

43%

36%

4%

57%

50%

39%

43%

32%

32%

96%

14%

4%

14%

Bassa Media Alta Molto Alta

Crescente Sofisticazione delle minacce

Contesto normativo complesso

Complesso modello di business organizzativo

Scarsa considerazione della problematica

Mancanza di budget

Mancanza di strategia di sicurezza delle informazioni

Scarsa possibilità per l’IT di incidere sulle strategie aziendali

Mancanza di supporto alla gestione esecutiva

Risultati survey ZeroUno · Social Eng. +73% Multiple / APT Rapporto 2016 ... Soluzioni gestite...

Documents

Transcript of Risultati survey ZeroUno · Social Eng. +73% Multiple / APT Rapporto 2016 ... Soluzioni gestite...