Se c u r ity a s s e s s m e n t,forges.forumpa.it/assets/Speeches/23556/ad12_marullo_ilaria.pdf ·...
Transcript of Se c u r ity a s s e s s m e n t,forges.forumpa.it/assets/Speeches/23556/ad12_marullo_ilaria.pdf ·...
\
[ t itolo evento]
International Web Association Italia - IWA Italy
[abstract]
Security assessment,
i rischi delle applicazioni nella PA
Quanto osservato nel 2017 ha ulteriormente dimostrato come le tradizionali soluzioni tecnologiche, se pur avanzate, non siano del tutto sufficienti per identificare e contrastare in modo concreto avversari strutturati. In questo intervento verrà analizzato il panorama attuale delle minacce cibernetiche con un focus verticale sui rischi delle applicazioni della PA.
CHI SONO
❖ Technical Account presso TS-WAY srl
TS-Way at a glance 2
International Web Association Italia - IWA Italy
L’associazione internazionale per la professionalità nel Web
partecipazioni internazionali
principali partecipazioni nazionali
http://www.iwa.it
Associazione professionisti Web
(Legge 4/2013), promotrice norme UNI in
materia di professionalità ICT.
Dal 1996 (in Italia dal 2000) è il
riferimento di chi lavora nel Web, sia
nel settore pubblico che privato.
Obiettivo di IWA è creare rete tra i soci,
partecipare all'evoluzione della rete e
divulgare conoscenza tramite i soci con
eventi e iniziative.
CHI SONO?
Technical Account presso TS❖ -WAY SrlCyber Intelligence e Anti Terrorismo presso Commissione ❖
AFET P.E. Bruxelles Analyst ❖ risk assessment, GDPR Compliance, ISO 27001, MMS AgID.Consulente OSINT società di sicurezza❖
ACCADE IN QUESTE SETTIMANE Security AssessmentI rischi delle applicazioni nella PA
“Il 2017 è stato “l’anno del trionfo del malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia”.
Rapporto Clusit 2018
❖ Principali attacchi “Ransomware” infettano pc, criptano i dati dei sistemi e dei dischi di rete connessi, costringendo l’utente al pagamento di un riscatto.
❖ “Miners” in crescita Software in grado di generare Crypto valuta (ad esempio bitcoin) sfruttando la capacita di elaborazione di tutte le macchine “infettate” . Infezione con software malevolo sulla macchina o visita sito web compromesso.
LO SCENARIO
7
DEEP WEB
DARK WEB
SURFACE WEB
Security AssessmentI rischi delle applicazioni nella PA
INFORMAZIONI ACCADEMICHEDATI MEDICIDOCUMENTI LEGALIRISORSE GOVERNATIVEREPOSITORY DI ORGANIZZAZIONIDATABASE
INFORMAZIONI ILLEGALITRAFFICO DI DROGASITI TORCOMUNICAZIONI PRIVATE
8
Security AssessmentI rischi delle applicazioni nella PA
ATTACCHI INFORMATICI GENERALIZZATI⚔ Attacchi organizzati per colpire il maggior
numero possibile di computer e sistemi vulnerabili.
⚔ Modus operandi della maggior parte di Hacker, non identificabili in gruppi specifici.
⚔ Principalmente posso avere come scopo: lo sfruttamento sessuale pedopornografico, frodi sui pagamenti online, generici mercati criminali online
⚔ Si servono di programmi che svolgano operazioni in modo automatico e generalizzato
AVVERSARI CIBERNETICI COMPLESSI (APT)⚔ Gruppi strutturati che attaccano organizzazioni in modo
mirato
⚔ Sono categorizzabili in realtà sponsorizzate da stati, criminali o hackitiviste
⚔ Principalmente posso avere come scopo: lo spionaggio, la distruzione, l’estorsione, il furto, l’utilizzo dei sistemi compromessi per insinuarsi in fornitori o clienti (supply-chain)
⚔ Sviluppano armi digitali e tecniche di intrusione inedite (zero day) – one shot one kill
⚔ Ottenuto un primo accesso all’interno organizzazione target si muovo nella rete interna per garantirsi una attività malevola silente e protratta nel tempo fino al raggiungimento del proprio scopo
9
Security AssessmentI rischi delle applicazioni nella PA
RICOGNIZIONE
PREPARAZIONE ALL’ATTACCO
CONSEGNA
EXPLOITATION
INSTALLAZIONE
COMANDO E CONTROLLO
AZIONE SUGLI OBIETTIVI
TS-Way at a glance 11
ACCADE IN QUESTE SETTIMANE
Security AssessmentI rischi delle applicazioni nella PA
⚡DETECTION: Anonymous attacca la Farnesina: Giugno 2017 compromesso ilsito ufficiale del Ministero degli Affari Esteri.
⚡Il messaggio di Anonymous è destinatoprincipalmente al Ministro Angelino Alfano e al Pubblico Ministero Eugenio Albamonte, esperto
di crimini informatici e da poco a capo dell’ANM.
⚡DANNO CAUSATO: Pubblicazione online dei dati contenuti nei database violati.
⚡Pubblicazione di note spese e note relative a viaggi di servizio.
⚡Danno di immagine.
ACCADE IN QUESTE SETTIMANE Security AssessmentI rischi delle applicazioni nella PA
DETECTION⚡ : Compromessi dispositivi IoT di istituzioni Governative e Militari anche in Italiail Ministero dei Beni Culturali,⚡ Il Comando Militare Regionale Liguria, diversi comuni di tutta Italia, sarebbero solo alcuni degli Ipv4 associati a dispositivi IoT compromessi sfruttando le credenziali di amministrazione di default ed utilizzati, a seguito del caricamento del malwareMirai, per offensive di tipo DDos.
RISCHIO⚡ : Ipotizzabile osservazione e manipolazione di eventuale traffico in ingresso e in uscita dalle organizzazioni (nel caso in cui si tratti di dispositivi di rete).
Security AssessmentI rischi delle applicazioni nella PA
15
Security AssessmentI rischi delle applicazioni nella PA
COMPROMISSIONE INIZIALE
105.875CVE pubblicati dal
MITRE e importati in Infosec
1
DETECTION DELLA COMPROMISSIONE
175 giorniTempo medio trascorsodalla prima evidenza al
momento iniziale di compromissione
(EMEA)
2 3 4 5 6 7
FUORI GIOCO DELL’ATTAC-
CANTE
1,5 mesi in
media dopo la detection.
MESI
$3.62million
COSTO MEDIO DI UN BREACH
(LATO DIFENSORE)
FONTI: IBM- Ponemon 2017 Cost of Cyber Crime Study: Italy, CLUSIT - © Clusit -Rapporto 2018 sulla Sicurezza ICT in Italia, https://www.cvedetails.com/browse-by-date.php
TREND DEGLI ATTACCHI 2017
99,9%MINACCE NEUTRALIZZATE
VULNERABILITA➢ ’ NOTE/CONFIGURAZIONI ERRATE + 100%MALWARE + ➢ 86,36%
PHISHING E INGEGNERIA SOCIALE + ➢ 85,71% TECNICHE ➢ MULTIPLE/APT. + 42,31 %
➢ CYBERCRIME +14,11%➢ SPIONAGGIO + 46,59%➢ INFORMATION WARFARE + 24%
➢ ATTIVISMO - 50,93%
TECNICHE DI ATTACCOTIPOLOGIA DI ATTACCHI
Security AssessmentI rischi delle applicazioni nella PA
“Gli investimenti italiani in ICT Security, pur essendo cresciuti in un anno del 5% e sfiorando ormai il miliardo di euro, sono risultati assolutamente insufficienti rispetto al valore del mercato italiano di beni e servizi ICT (pari a 66 miliardi di euro), e soprattutto rispetto alla percentuale di PIL che oggi viene generata grazie all’applicazione dell’ICT da parte di organizzazioni pubbliche e private e dai privati cittadini”. Clusit 2018
17
TREND ITALIANI
Security AssessmentI rischi delle applicazioni nella PA
Costo Danni causati da attacchi 10 volte superiore alla cifra
per investimenti
10 mld eurodanni derivanti da
crimini informatici nel 2016
- 1/6 utente stessa password per tutti gli
account.- 40% italiani annotta pwd
su carta- 1/10 utente conserva
pwd su file- 16 mln Italiani
vittima di Hacker- 3, 5 mld di Euro
bottino
Secondo PWCIn Italia il Cyber
Crime è la frode più diffusa
DIFESA CIBERNETICA QUALE STRATEGIA?
19
DIRETTIVA UE 2016/1148 RECANTE MISURE PER UN LIVELLO COMUNE ELEVATO DI SICUREZZA DELLE RETI E DEI
SISTEMI INFORMATIVI NELL'UNIONE
Strategia nazionale in materia di sicurezza della rete e dei ➢
sistemi informativiDefinizione ➢ degli operatori di servizi nei settori reputati essenziali dal punto di vista della sicurezza cibernetica, il cui operato è fondamentale per il mantenimento di attività sociali e/o “indispensabili”;Gli Stati membri devono individuare➢ una o più autorità nazionali in materia di sicurezza delle reti e dei sistemi informativi, con funzioni, tra le altre, di controllo circa l’applicazione della direttiva;
Ciascuno Stato ha l➢ ’obbligo di designare un punto di contatto unico nazionale in materia di sicurezza delle reti e dei sistemi informativi.Ciascuno Stato dovrà istituire➢ uno o più Gruppi di intervento per la sicurezza informatica in caso di incidente (Computer Security Incident Response Team CSIRT) con funzioni di responsabilità del monitoraggio degli incidenti a livello nazionale.
➢ Promuovere una cultura di gestione del rischio;➢ Migliorare le capacità nazionali di cyber security;➢ Rafforzare la cooperazione a livello nazionale e in ambito Ue.➢ Le PA, che offrono servizi nei settori trasporti, sanità e
distribuzione di acqua potabile, saranno sottoposte alla normativa NIS, se identificate quali operatori di servizi essenziali.
➢ Autorità nazionali: ministero Sviluppo economico, Infrastrutture e trasporti, Economia, Salute e Ambiente;
➢ Computer Security Incident Response Team (CSIRT) nazionale, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici, presso Presidenza del Consiglio, andrà a sostituire, fondendoli, gli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA (operante presso l’Agenzia per l’Italia Digitale).
DIRETTIVA NIS DLGS RECEPIMENTO DIRETTIVA (16/05/2018)
Security AssessmentI rischi delle applicazioni nella PA
20
Security AssessmentI rischi delle applicazioni nella PA
MISURE MINIME DI SICUREZZA ICT PER LE PA - AGID - DIRETTIVA DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 1
AGOSTO 2015 E SUCCESSIVE CIRCOLARI
❖ Fornire alle PA un riferimento operativo (check list) direttamente utilizzabile;
❖ Stabilire una baseline comune di misure tecniche e organizzative irrinunciabili;
❖ Fornire alle amministrazioni uno strumento di valutazione dello stato corrente di attuazione delle misure di protezione, così da poter evidenziare eventuali GAP e stabilire una RoadMap di miglioramento;
❖ Responsabilizzare le amministrazioni.
MMS AGID - obiettivi
• Inventario dei dispositivi autorizzati e non autorizzati;• Inventario dei software autorizzati e non autorizzati;• Protezione delle configurazioni di hardware e
software su dispositivi mobili, laptop, workstation e server;
• Valutazione e correzione continua delle vulnerabilità;• Uso appropriato dei privilegi di amministratore;• Difese contro i malware;• Copie di sicurezza;• Protezione dei dati.
FAMIGLIE DI CONTROLLI IN SINTESI
99,9%MINACCE NEUTRALIZZATE
Security AssessmentI rischi delle applicazioni nella PA
GDPR – REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI 679/2016
❖ Trattamento lecito, equo e trasparente;❖ Limitazioni uso, raccolta dati e archiviazione;❖ Nuovi diritti: Informazione, accesso, rettifica, revoca del
consenso, opposizione e opposizione al trattamento automatizzato, oblio e portabilità.
❖ Consenso degli interessati;❖ Data Breach Notification;❖ DPO❖ Registro dei trattamenti; ❖ Privacy by Default & by Design;❖ Valutazione di impatto sulla protezione dei dati;❖ Trasferimento dei dati;❖ Formazione.
❖ Pseudonimizzazione e cifratura dati personali;❖ Riservatezza, integrità, disponibilità e resilienza dei
sistemi;❖ Ripristino disponibilità sistemi in caso di attacco;❖ Procedure di validazione e valutazione delle misure
tecniche in atto.
GDPR – punti salienti MISURE TECNICHE NECESSARIE
22
Security AssessmentI rischi delle applicazioni nella PA
❖ Definire i profili di sicurezza delle componenti ICT, a seguito analisi specifica del rischio, fornendo riferimenti tecnici, normativi e organizzativi.
❖ Offrire alle PA supporto alla prevenzione e al trattamento degli incidenti di sicurezza informatica;
❖ Assessment e Verifiche di sicurezza per valutare l’applicazione delle regole di sicurezza nelle PA;
❖ Dare seguito alle attività di implementazione di interazioni elettroniche sicure tra cittadini, imprese e PA, così come indicato dal Regolamento UE sull’identità digitale (Regolamento UE n° 910/2014 – eIDAS).
PIANO TRIENNALE DELL’INFORMATICA NELLA PA- 2017/2019
SICUREZZA – OBIETTIVI STRATEGICI❖ Consolidamento e virtualizzazione delle applicazioni e
dei data Center, nel rispetto del principio di disponibilità, integrità e sicurezza delle informazioni.
❖ Censimento del patrimonio ICT in esercizio presso la Pubblica amministrazione che dispone di infrastrutture fisiche, e individuazione PA come polo strategico nazionale.
❖ CERT-PA: primo embrione di sistema informativo sulle minacce cibernetiche, anche attraverso l’implementazione delle soluzioni: Infosharing CERT PA e National Vulnerability Database.
❖ Continuous monitoring, raccomandato dalle best practices di sicurezza (es. ISO 27001, documentazione NIST), e verifica dello stato di aggiornamento dei software rispetto a vulnerabilità note
ALCUNE AZIONI
23
SECURITY ASSESSMENT
• VERIFICHE CONFIGURAZIONE OPERATIVA• PRESENZA VULNERABILITA’ IN PRODOTTI E SISTEMI• VERIFICA PERIODICA INTEGRITA’ SOFTWARE• SCANSIONI STATO AGGIORNAMENTO SOFTWARE: verifica codice
sorgente in esecuzione e configurazione software in esame
• TEST DI SICUREZZA PRODOTTI E SISTEMI• AUDIT E VALUTAZIONE LABORATORI DI SICUREZZA• ANALISI DOCUMENTAZIONE• PROVE INTRUSIONE DOCUMENTATE E RIPETIBILI
ESECUZIONE CONTROLLI PERIODICI VALUTAZIONE DELLA CORRETTA IMPLEMENTAZIONE e CORRETTA CONFIGURAZIONE
Security AssessmentI rischi delle applicazioni nella PA
ASSESSMENT SECONDO IL FRAMEWORK NAZIONALE DI CYBER SECURITY
LA CYBER THREAT INTELLIGENCE
Security AssessmentI rischi delle applicazioni nella PA
LA DIFESA CIBERNETICA INTELLIGENCE-DRIVEN
SICUREZZA E ATTACCHI
40% CYBER CRIME
60% ADVANCED
PERSISTENT THREATS
PESO DEGLI ATTACCHISUI COSTI AZIENDALI
EFFICACIA DELLE SOLUZIONI IN CASO DI APT
DIFESA TRADIZIONALE
5%DIFESA PROATTIVA
30%DIFESA PREVENTIVA
PREDITTIVA E DI CONTESTO99,9%
EFFICACIA DELLE SOLUZIONI IN CASO DI CYBER CRIME
DIFESA TRADIZIONALE
70%DIFESA PROATTIVA
85%DIFESA PREVENTIVA
PREDITTIVA E DI CONTESTO99,9%
Security AssessmentI rischi delle applicazioni nella PA
30
DIFESA TRADIZIONALE
PERSONALE AZIENDALE♟ Policy♟ Formazione♟ Controllo
SOFTWARE♟ Policy♟ Disciplina♟ Aggiornamenti
SISTEMI E PERIMETRO♟ Firewall♟ Antivirus♟ IPS/IDS
DIFESA PROATTIVA
SECUTIRY OPERATION CENTER (SOC)♝ SIEM♝ Anomaly Detection♝ Cyber Security Analytics
COMPUTER EMERGENCY RESPONSE TEAM (CERT)♝ Risoluzione degli Incidenti♝ Ethical Hacking♝ Information Sharing
DIFESA PREVENTIVAPREDITTIVA E DI CONTESTO
CYBER THREAT INTELLIGENCE♞ Tracciamento, ricerca ed analisi continua degli
avversari (APT)♞ Produzione di report strategici, tattici, operativi e
tecnici su minacce cibernetiche emergenti♞ Produzione di IOC per «Actionable Intelligence»♞ Presidio e monitoraggio dei dati
dell’organizzazione fuori dal proprio perimetro
THREAT HUNTING / ADVANCED IR / INVESTIGATION♞ Ricerca degli avversari nei sistemi
dell’organizzazione♞ Risposta ad incidenti Informatici complessi♞ Risponde alle domande Chi, Come, Perché, Dove,
Quando
37,5%MINACCE NEUTRALIZZATE
57,5%MINACCE NEUTRALIZZATE
99,9%MINACCE NEUTRALIZZATE
ICONS: THE NOUN PROJECT
Security AssessmentI rischi delle applicazioni nella PA
COSTANTE MONITORAGGIO DI AVVERSARI IN RETE, ARMI DIGITALI INFRASTRUTTURE E TECNICHE UTILIZZATE
1. Si traduce in un costante flusso di informazioni per il riconoscimento delle minacce (Indicators Of Compromise)
2. Integra e migliora l’efficacia dei sistemi più tradizionali di cybersecurity(Firewall, Intrusion Detection System, Intrusion Prevention System, che da soli sono solo parzialmente efficaci per bloccare le minacce che tentano di penetrare le difese dell’organizzazione)
3. Consente un approccio di tipo Preventivo e Predittivo
COS’È LA CYBER THREAT INTELLIGENCE
Security AssessmentI rischi delle applicazioni nella PA
IOC – INDICATORI DI COMPROMISSIONE
32ICONS: THE NOUN PROJECT
Security AssessmentI rischi delle applicazioni nella PA
EVIDENZE DI ANOMALIE rilevate in una rete o nei sistemi informatici che con •
alta probabilità possono essere correlate ad attività dannose all’interno di infrastrutture tecnologiche
Aiutano a rilevare violazioni dei dati, infezioni • malware o attività di minaccia persistenti (APT)Non sono sempre facili da accertare poiché l• ’intento di un attaccante è quello di attivarsi all’interno dei computer target rimanendo inosservato il più a lungo possibileQuesta persistenza può passare inosservata per lungo tempo, per problemi di efficienza, •
aggiornamento, tools di rilevazione inefficaci
SOLUZIONE: effettuare preventivamente l• ’analisi delle infrastrutture, con conoscenze acquisite in IOC per evidenziare attività nascoste e dannose
COS’È LA CYBER THREAT INTELLIGENCE E COME AGISCE
33
OSINT PROVIDER COMMERCIALISORGENTI
INFORMATIVE
G R A D O C R E S C E N T E D E L L A Q U A L I T À I N F O R M A T I V A
Utilizzo dei dati per la ricerca di minacce cibernetiche emergenti, tracciamento degli avversari e delle loro evoluzioni, analisi del contesto e delle campagne malevole, produzione di rapporti informativi e actionable intelligence.TECNOLOGIE
+ANALISTI
OUTPUT
Utilizzo delle informazioni strutturate di intelligence per attività operative di protezione: blocco, detection ed enrichment.Informazioni: Operative, Tecniche
Utilizzo delle informazioni strutturate per accrescere la conoscenza del contesto degli avversari, del panorama di rischio e delle minacce cibernetiche emergenti.
Informazioni: Strategiche, TatticheICONS: THE NOUN PROJECT
Security AssessmentI rischi delle applicazioni nella PA
TIPOLOGIA DI INFORMAZIONI
34
STRATEGICOINFORMAZIONI DI ALTO
LIVELLO SUL PANORAMA DI RISCHIO
TATTICOMETODOLOGIE,
STRUMENTI E MODUS OPERANDI UTILIZZATI
DAGLI ATTACCANTI
OPERATIVODETTAGLI DI SPECIFICI
ATTACCHI O MINACCE IN ARRIVO
TECNICOINDICATORI DI SPECIFICHE
MINACCE
UTILI
ZZO
A LU
NGO
TERM
INE
UTILI
ZZO
IMM
EDIA
TO
ALTO LIVELLO DETTAGLIATO
COMPETENZE CONTESTUALIZZAZIONE
COMPETENZE INVESTIGATIVE
COMPETENZETECNICHE
Security AssessmentI rischi delle applicazioni nella PA
OBIETTIVI DELLA CTI
35
OBIETTIVI, INTERESSI E CAMPAGNE MALEVOLE♞
EVOLUZIONI COMPORTAMENTALI E TECNOLOGICHE♞
ARMAMENTI CIBERNETICI IN POSSESSO♞
FORNIRE RAPPORTI COSTANTI SULLE MINACCE CIBERNETICHE E SUGLI AVVERSARI
Security AssessmentI rischi delle applicazioni nella PA
OBIETTIVI DELLA CTI
36
PER EVITARE L♞ ’IMPATTO (PREVENZIONE)
PER INDIVIDUARE COMPROMISSIONI ATTIVE (♞ IDENTIFICAZIONE)
PER AGEVOLARE E VELOCIZZARE LE OPERAZIONI DI RISPOSTA ♞ALL’INCIDENTE (RISPOSTA)
PRECISIONE E TEMPESTIVITÀ DELL’INFORMAZIONE
Security AssessmentI rischi delle applicazioni nella PA
OBIETTIVI DELLA CTI
37
CHI♞ SONO GLI AVVERSARI
DOVE♞ HANNO AGITO IN PRECEDENZA GLI AVVERSARI
COME♞ OPERANO GLI AVVERSARI
PERCHÉ♞ SI È DIVENUTI TARGET
FORNIRE UN CONTESTO ALLE MINACCE
Security AssessmentI rischi delle applicazioni nella PA
38
Chi conosce il proprio nemico e conosce se stesso potrà affrontare cento battaglie senza timore.– Sun Tzu, 500 A.C.
Security AssessmentI rischi delle applicazioni nella PA