Se c u r ity a s s e s s m e n t,forges.forumpa.it/assets/Speeches/23556/ad12_marullo_ilaria.pdf ·...

\

[ t itolo evento]

International Web Association Italia - IWA Italy

[abstract]

Security assessment,

i rischi delle applicazioni nella PA

Quanto osservato nel 2017 ha ulteriormente dimostrato come le tradizionali soluzioni tecnologiche, se pur avanzate, non siano del tutto sufficienti per identificare e contrastare in modo concreto avversari strutturati. In questo intervento verrà analizzato il panorama attuale delle minacce cibernetiche con un focus verticale sui rischi delle applicazioni della PA.

CHI SONO

❖ Technical Account presso TS-WAY srl

TS-Way at a glance 2

International Web Association Italia - IWA Italy

L’associazione internazionale per la professionalità nel Web

partecipazioni internazionali

principali partecipazioni nazionali

http://www.iwa.it

Associazione professionisti Web

(Legge 4/2013), promotrice norme UNI in

materia di professionalità ICT.

Dal 1996 (in Italia dal 2000) è il

riferimento di chi lavora nel Web, sia

nel settore pubblico che privato.

Obiettivo di IWA è creare rete tra i soci,

partecipare all'evoluzione della rete e

divulgare conoscenza tramite i soci con

eventi e iniziative.

CHI SONO?

Technical Account presso TS❖ -WAY SrlCyber Intelligence e Anti Terrorismo presso Commissione ❖

AFET P.E. Bruxelles Analyst ❖ risk assessment, GDPR Compliance, ISO 27001, MMS AgID.Consulente OSINT società di sicurezza❖

LO SCENARIO

Security AssessmentI rischi delle applicazioni nella PA

ACCADE IN QUESTE SETTIMANE Security AssessmentI rischi delle applicazioni nella PA

“Il 2017 è stato “l’anno del trionfo del malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia”.

Rapporto Clusit 2018

❖ Principali attacchi “Ransomware” infettano pc, criptano i dati dei sistemi e dei dischi di rete connessi, costringendo l’utente al pagamento di un riscatto.

❖ “Miners” in crescita Software in grado di generare Crypto valuta (ad esempio bitcoin) sfruttando la capacita di elaborazione di tutte le macchine “infettate” . Infezione con software malevolo sulla macchina o visita sito web compromesso.

LO SCENARIO

6

SURFACE WEB


LO SCENARIO

7

DEEP WEB

DARK WEB

SURFACE WEB


INFORMAZIONI ACCADEMICHEDATI MEDICIDOCUMENTI LEGALIRISORSE GOVERNATIVEREPOSITORY DI ORGANIZZAZIONIDATABASE

INFORMAZIONI ILLEGALITRAFFICO DI DROGASITI TORCOMUNICAZIONI PRIVATE

8


ATTACCHI INFORMATICI GENERALIZZATI⚔ Attacchi organizzati per colpire il maggior

numero possibile di computer e sistemi vulnerabili.

⚔ Modus operandi della maggior parte di Hacker, non identificabili in gruppi specifici.

⚔ Principalmente posso avere come scopo: lo sfruttamento sessuale pedopornografico, frodi sui pagamenti online, generici mercati criminali online

⚔ Si servono di programmi che svolgano operazioni in modo automatico e generalizzato

AVVERSARI CIBERNETICI COMPLESSI (APT)⚔ Gruppi strutturati che attaccano organizzazioni in modo

mirato

⚔ Sono categorizzabili in realtà sponsorizzate da stati, criminali o hackitiviste

⚔ Principalmente posso avere come scopo: lo spionaggio, la distruzione, l’estorsione, il furto, l’utilizzo dei sistemi compromessi per insinuarsi in fornitori o clienti (supply-chain)

⚔ Sviluppano armi digitali e tecniche di intrusione inedite (zero day) – one shot one kill

⚔ Ottenuto un primo accesso all’interno organizzazione target si muovo nella rete interna per garantirsi una attività malevola silente e protratta nel tempo fino al raggiungimento del proprio scopo

9


RICOGNIZIONE

PREPARAZIONE ALL’ATTACCO

CONSEGNA

EXPLOITATION

INSTALLAZIONE

COMANDO E CONTROLLO

AZIONE SUGLI OBIETTIVI

AVVERSARI STRUTTURATI PIÙ ATTIVI

TS-Way at a glance 11

ACCADE IN QUESTE SETTIMANE


⚡DETECTION: Anonymous attacca la Farnesina: Giugno 2017 compromesso ilsito ufficiale del Ministero degli Affari Esteri.

⚡Il messaggio di Anonymous è destinatoprincipalmente al Ministro Angelino Alfano e al Pubblico Ministero Eugenio Albamonte, esperto

di crimini informatici e da poco a capo dell’ANM.

⚡DANNO CAUSATO: Pubblicazione online dei dati contenuti nei database violati.

⚡Pubblicazione di note spese e note relative a viaggi di servizio.

⚡Danno di immagine.

ACCADE IN QUESTE SETTIMANE Security AssessmentI rischi delle applicazioni nella PA

DETECTION⚡ : Compromessi dispositivi IoT di istituzioni Governative e Militari anche in Italiail Ministero dei Beni Culturali,⚡ Il Comando Militare Regionale Liguria, diversi comuni di tutta Italia, sarebbero solo alcuni degli Ipv4 associati a dispositivi IoT compromessi sfruttando le credenziali di amministrazione di default ed utilizzati, a seguito del caricamento del malwareMirai, per offensive di tipo DDos.

RISCHIO⚡ : Ipotizzabile osservazione e manipolazione di eventuale traffico in ingresso e in uscita dalle organizzazioni (nel caso in cui si tratti di dispositivi di rete).


NUMERI DEGLI ATTACCHI CIBERNETICI


15


COMPROMISSIONE INIZIALE

105.875CVE pubblicati dal

MITRE e importati in Infosec

1

DETECTION DELLA COMPROMISSIONE

175 giorniTempo medio trascorsodalla prima evidenza al

momento iniziale di compromissione

(EMEA)

2 3 4 5 6 7

FUORI GIOCO DELL’ATTAC-

CANTE

1,5 mesi in

media dopo la detection.

MESI

$3.62million

COSTO MEDIO DI UN BREACH

(LATO DIFENSORE)

FONTI: IBM- Ponemon 2017 Cost of Cyber Crime Study: Italy, CLUSIT - © Clusit -Rapporto 2018 sulla Sicurezza ICT in Italia, https://www.cvedetails.com/browse-by-date.php

TREND DEGLI ATTACCHI 2017

99,9%MINACCE NEUTRALIZZATE

VULNERABILITA➢ ’ NOTE/CONFIGURAZIONI ERRATE + 100%MALWARE + ➢ 86,36%

PHISHING E INGEGNERIA SOCIALE + ➢ 85,71% TECNICHE ➢ MULTIPLE/APT. + 42,31 %

➢ CYBERCRIME +14,11%➢ SPIONAGGIO + 46,59%➢ INFORMATION WARFARE + 24%

➢ ATTIVISMO - 50,93%

TECNICHE DI ATTACCOTIPOLOGIA DI ATTACCHI


“Gli investimenti italiani in ICT Security, pur essendo cresciuti in un anno del 5% e sfiorando ormai il miliardo di euro, sono risultati assolutamente insufficienti rispetto al valore del mercato italiano di beni e servizi ICT (pari a 66 miliardi di euro), e soprattutto rispetto alla percentuale di PIL che oggi viene generata grazie all’applicazione dell’ICT da parte di organizzazioni pubbliche e private e dai privati cittadini”. Clusit 2018

17

TREND ITALIANI


Costo Danni causati da attacchi 10 volte superiore alla cifra

per investimenti

10 mld eurodanni derivanti da

crimini informatici nel 2016

- 1/6 utente stessa password per tutti gli

account.- 40% italiani annotta pwd

su carta- 1/10 utente conserva

pwd su file- 16 mln Italiani

vittima di Hacker- 3, 5 mld di Euro

bottino

Secondo PWCIn Italia il Cyber

Crime è la frode più diffusa

DIFESA CIBERNETICA QUALE STRATEGIA?

DIFESA CIBERNETICA


19

DIRETTIVA UE 2016/1148 RECANTE MISURE PER UN LIVELLO COMUNE ELEVATO DI SICUREZZA DELLE RETI E DEI

SISTEMI INFORMATIVI NELL'UNIONE

Strategia nazionale in materia di sicurezza della rete e dei ➢

sistemi informativiDefinizione ➢ degli operatori di servizi nei settori reputati essenziali dal punto di vista della sicurezza cibernetica, il cui operato è fondamentale per il mantenimento di attività sociali e/o “indispensabili”;Gli Stati membri devono individuare➢ una o più autorità nazionali in materia di sicurezza delle reti e dei sistemi informativi, con funzioni, tra le altre, di controllo circa l’applicazione della direttiva;

Ciascuno Stato ha l➢ ’obbligo di designare un punto di contatto unico nazionale in materia di sicurezza delle reti e dei sistemi informativi.Ciascuno Stato dovrà istituire➢ uno o più Gruppi di intervento per la sicurezza informatica in caso di incidente (Computer Security Incident Response Team CSIRT) con funzioni di responsabilità del monitoraggio degli incidenti a livello nazionale.

➢ Promuovere una cultura di gestione del rischio;➢ Migliorare le capacità nazionali di cyber security;➢ Rafforzare la cooperazione a livello nazionale e in ambito Ue.➢ Le PA, che offrono servizi nei settori trasporti, sanità e

distribuzione di acqua potabile, saranno sottoposte alla normativa NIS, se identificate quali operatori di servizi essenziali.

➢ Autorità nazionali: ministero Sviluppo economico, Infrastrutture e trasporti, Economia, Salute e Ambiente;

➢ Computer Security Incident Response Team (CSIRT) nazionale, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici, presso Presidenza del Consiglio, andrà a sostituire, fondendoli, gli attuali CERT Nazionale (operante presso il Ministero dello Sviluppo Economico) e CERT-PA (operante presso l’Agenzia per l’Italia Digitale).

DIRETTIVA NIS DLGS RECEPIMENTO DIRETTIVA (16/05/2018)


20


MISURE MINIME DI SICUREZZA ICT PER LE PA - AGID - DIRETTIVA DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 1

AGOSTO 2015 E SUCCESSIVE CIRCOLARI

❖ Fornire alle PA un riferimento operativo (check list) direttamente utilizzabile;

❖ Stabilire una baseline comune di misure tecniche e organizzative irrinunciabili;

❖ Fornire alle amministrazioni uno strumento di valutazione dello stato corrente di attuazione delle misure di protezione, così da poter evidenziare eventuali GAP e stabilire una RoadMap di miglioramento;

❖ Responsabilizzare le amministrazioni.

MMS AGID - obiettivi

• Inventario dei dispositivi autorizzati e non autorizzati;• Inventario dei software autorizzati e non autorizzati;• Protezione delle configurazioni di hardware e

software su dispositivi mobili, laptop, workstation e server;

• Valutazione e correzione continua delle vulnerabilità;• Uso appropriato dei privilegi di amministratore;• Difese contro i malware;• Copie di sicurezza;• Protezione dei dati.

FAMIGLIE DI CONTROLLI IN SINTESI



GDPR – REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI 679/2016

❖ Trattamento lecito, equo e trasparente;❖ Limitazioni uso, raccolta dati e archiviazione;❖ Nuovi diritti: Informazione, accesso, rettifica, revoca del

consenso, opposizione e opposizione al trattamento automatizzato, oblio e portabilità.

❖ Consenso degli interessati;❖ Data Breach Notification;❖ DPO❖ Registro dei trattamenti; ❖ Privacy by Default & by Design;❖ Valutazione di impatto sulla protezione dei dati;❖ Trasferimento dei dati;❖ Formazione.

❖ Pseudonimizzazione e cifratura dati personali;❖ Riservatezza, integrità, disponibilità e resilienza dei

sistemi;❖ Ripristino disponibilità sistemi in caso di attacco;❖ Procedure di validazione e valutazione delle misure

tecniche in atto.

GDPR – punti salienti MISURE TECNICHE NECESSARIE

22


❖ Definire i profili di sicurezza delle componenti ICT, a seguito analisi specifica del rischio, fornendo riferimenti tecnici, normativi e organizzativi.

❖ Offrire alle PA supporto alla prevenzione e al trattamento degli incidenti di sicurezza informatica;

❖ Assessment e Verifiche di sicurezza per valutare l’applicazione delle regole di sicurezza nelle PA;

❖ Dare seguito alle attività di implementazione di interazioni elettroniche sicure tra cittadini, imprese e PA, così come indicato dal Regolamento UE sull’identità digitale (Regolamento UE n° 910/2014 – eIDAS).

PIANO TRIENNALE DELL’INFORMATICA NELLA PA- 2017/2019

SICUREZZA – OBIETTIVI STRATEGICI❖ Consolidamento e virtualizzazione delle applicazioni e

dei data Center, nel rispetto del principio di disponibilità, integrità e sicurezza delle informazioni.

❖ Censimento del patrimonio ICT in esercizio presso la Pubblica amministrazione che dispone di infrastrutture fisiche, e individuazione PA come polo strategico nazionale.

❖ CERT-PA: primo embrione di sistema informativo sulle minacce cibernetiche, anche attraverso l’implementazione delle soluzioni: Infosharing CERT PA e National Vulnerability Database.

❖ Continuous monitoring, raccomandato dalle best practices di sicurezza (es. ISO 27001, documentazione NIST), e verifica dello stato di aggiornamento dei software rispetto a vulnerabilità note

ALCUNE AZIONI

23

SECURITY ASSESSMENT

• VERIFICHE CONFIGURAZIONE OPERATIVA• PRESENZA VULNERABILITA’ IN PRODOTTI E SISTEMI• VERIFICA PERIODICA INTEGRITA’ SOFTWARE• SCANSIONI STATO AGGIORNAMENTO SOFTWARE: verifica codice

sorgente in esecuzione e configurazione software in esame

• TEST DI SICUREZZA PRODOTTI E SISTEMI• AUDIT E VALUTAZIONE LABORATORI DI SICUREZZA• ANALISI DOCUMENTAZIONE• PROVE INTRUSIONE DOCUMENTATE E RIPETIBILI

ESECUZIONE CONTROLLI PERIODICI VALUTAZIONE DELLA CORRETTA IMPLEMENTAZIONE e CORRETTA CONFIGURAZIONE


ASSESSMENT SECONDO IL FRAMEWORK NAZIONALE DI CYBER SECURITY

24


25


LA CYBER THREAT INTELLIGENCE


LA DIFESA CIBERNETICA INTELLIGENCE-DRIVEN

27


WANNACRY

28


SICUREZZA E ATTACCHI

40% CYBER CRIME

60% ADVANCED

PERSISTENT THREATS

PESO DEGLI ATTACCHISUI COSTI AZIENDALI

EFFICACIA DELLE SOLUZIONI IN CASO DI APT

DIFESA TRADIZIONALE

5%DIFESA PROATTIVA

30%DIFESA PREVENTIVA

PREDITTIVA E DI CONTESTO99,9%

EFFICACIA DELLE SOLUZIONI IN CASO DI CYBER CRIME

DIFESA TRADIZIONALE

70%DIFESA PROATTIVA

85%DIFESA PREVENTIVA

PREDITTIVA E DI CONTESTO99,9%


30

DIFESA TRADIZIONALE

PERSONALE AZIENDALE♟ Policy♟ Formazione♟ Controllo

SOFTWARE♟ Policy♟ Disciplina♟ Aggiornamenti

SISTEMI E PERIMETRO♟ Firewall♟ Antivirus♟ IPS/IDS

DIFESA PROATTIVA

SECUTIRY OPERATION CENTER (SOC)♝ SIEM♝ Anomaly Detection♝ Cyber Security Analytics

COMPUTER EMERGENCY RESPONSE TEAM (CERT)♝ Risoluzione degli Incidenti♝ Ethical Hacking♝ Information Sharing

DIFESA PREVENTIVAPREDITTIVA E DI CONTESTO

CYBER THREAT INTELLIGENCE♞ Tracciamento, ricerca ed analisi continua degli

avversari (APT)♞ Produzione di report strategici, tattici, operativi e

tecnici su minacce cibernetiche emergenti♞ Produzione di IOC per «Actionable Intelligence»♞ Presidio e monitoraggio dei dati

dell’organizzazione fuori dal proprio perimetro

THREAT HUNTING / ADVANCED IR / INVESTIGATION♞ Ricerca degli avversari nei sistemi

dell’organizzazione♞ Risposta ad incidenti Informatici complessi♞ Risponde alle domande Chi, Come, Perché, Dove,

Quando




ICONS: THE NOUN PROJECT


COSTANTE MONITORAGGIO DI AVVERSARI IN RETE, ARMI DIGITALI INFRASTRUTTURE E TECNICHE UTILIZZATE

1. Si traduce in un costante flusso di informazioni per il riconoscimento delle minacce (Indicators Of Compromise)

2. Integra e migliora l’efficacia dei sistemi più tradizionali di cybersecurity(Firewall, Intrusion Detection System, Intrusion Prevention System, che da soli sono solo parzialmente efficaci per bloccare le minacce che tentano di penetrare le difese dell’organizzazione)

3. Consente un approccio di tipo Preventivo e Predittivo

COS’È LA CYBER THREAT INTELLIGENCE


IOC – INDICATORI DI COMPROMISSIONE

32ICONS: THE NOUN PROJECT


EVIDENZE DI ANOMALIE rilevate in una rete o nei sistemi informatici che con •

alta probabilità possono essere correlate ad attività dannose all’interno di infrastrutture tecnologiche

Aiutano a rilevare violazioni dei dati, infezioni • malware o attività di minaccia persistenti (APT)Non sono sempre facili da accertare poiché l• ’intento di un attaccante è quello di attivarsi all’interno dei computer target rimanendo inosservato il più a lungo possibileQuesta persistenza può passare inosservata per lungo tempo, per problemi di efficienza, •

aggiornamento, tools di rilevazione inefficaci

SOLUZIONE: effettuare preventivamente l• ’analisi delle infrastrutture, con conoscenze acquisite in IOC per evidenziare attività nascoste e dannose

COS’È LA CYBER THREAT INTELLIGENCE E COME AGISCE

33

OSINT PROVIDER COMMERCIALISORGENTI

INFORMATIVE

G R A D O C R E S C E N T E D E L L A Q U A L I T À I N F O R M A T I V A

Utilizzo dei dati per la ricerca di minacce cibernetiche emergenti, tracciamento degli avversari e delle loro evoluzioni, analisi del contesto e delle campagne malevole, produzione di rapporti informativi e actionable intelligence.TECNOLOGIE

+ANALISTI

OUTPUT

Utilizzo delle informazioni strutturate di intelligence per attività operative di protezione: blocco, detection ed enrichment.Informazioni: Operative, Tecniche

Utilizzo delle informazioni strutturate per accrescere la conoscenza del contesto degli avversari, del panorama di rischio e delle minacce cibernetiche emergenti.

Informazioni: Strategiche, TatticheICONS: THE NOUN PROJECT


TIPOLOGIA DI INFORMAZIONI

34

STRATEGICOINFORMAZIONI DI ALTO

LIVELLO SUL PANORAMA DI RISCHIO

TATTICOMETODOLOGIE,

STRUMENTI E MODUS OPERANDI UTILIZZATI

DAGLI ATTACCANTI

OPERATIVODETTAGLI DI SPECIFICI

ATTACCHI O MINACCE IN ARRIVO

TECNICOINDICATORI DI SPECIFICHE

MINACCE

UTILI

ZZO

A LU

NGO

TERM

INE

UTILI

ZZO

IMM

EDIA

TO

ALTO LIVELLO DETTAGLIATO

COMPETENZE CONTESTUALIZZAZIONE

COMPETENZE INVESTIGATIVE

COMPETENZETECNICHE


OBIETTIVI DELLA CTI

35

OBIETTIVI, INTERESSI E CAMPAGNE MALEVOLE♞

EVOLUZIONI COMPORTAMENTALI E TECNOLOGICHE♞

ARMAMENTI CIBERNETICI IN POSSESSO♞

FORNIRE RAPPORTI COSTANTI SULLE MINACCE CIBERNETICHE E SUGLI AVVERSARI


OBIETTIVI DELLA CTI

36

PER EVITARE L♞ ’IMPATTO (PREVENZIONE)

PER INDIVIDUARE COMPROMISSIONI ATTIVE (♞ IDENTIFICAZIONE)

PER AGEVOLARE E VELOCIZZARE LE OPERAZIONI DI RISPOSTA ♞ALL’INCIDENTE (RISPOSTA)

PRECISIONE E TEMPESTIVITÀ DELL’INFORMAZIONE


OBIETTIVI DELLA CTI

37

CHI♞ SONO GLI AVVERSARI

DOVE♞ HANNO AGITO IN PRECEDENZA GLI AVVERSARI

COME♞ OPERANO GLI AVVERSARI

PERCHÉ♞ SI È DIVENUTI TARGET

FORNIRE UN CONTESTO ALLE MINACCE


38

Chi conosce il proprio nemico e conosce se stesso potrà affrontare cento battaglie senza timore.– Sun Tzu, 500 A.C.


Ilaria MarulloTechnical Account TS-WAY [email protected]. +39 3938983458

mailto:[email protected]

Se c u r ity a s s e s s m e n t,forges.forumpa.it/assets/Speeches/23556/ad12_marullo_ilaria.pdf ·...

Documents

Transcript of Se c u r ity a s s e s s m e n t,forges.forumpa.it/assets/Speeches/23556/ad12_marullo_ilaria.pdf ·...