1. Milano, 24 ottobre 2013IL FENOMENO DEGLI ATTACCHI INFORMATICI IN ITALIA: CONSIDERAZIONI E SUGGERIMENTI DAI PRIMI DATI EMERSI DA OAI 2013M. R. A. Bozzetti CD e Coms Officer AIPSI CEO Malabo Srl (www.malaboadvisoring.it )

2. Chi siamo 3. Marco R.A. Bozzetti 1973 Laurea in Ingegneria elettronica al Politecnico di Milano 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN, prima rete europea di ricerca (tipo ARPA) a commutazione di pacchetto 1976-80 Olivetti R&D Ivrea:Responsabile ONE, Olivetti Network Environment, e comitati standard ISO, CCITT (ora ITU-C) , ECMA (chairman VFS) 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 198284 Italtel Telematica : responsabile pianificazione strategica 1984-87 Arthur Andersen Management Consultants 1987-91 fondatore e Partner Ibimaint System Engineers 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET 1995-2000 CIO Gruppo ENI 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab Dal 2001 Fondatore e Amministratore Unico Malabo Srl FTI, Forum delle Tecnologie dellInformazione (fondatore) EITO, European Information Technology Observatory ( Coideatore e Chief Scientist) ClubTI di Milano (Past President) FidaInform, Federazione Italiana delle Associazioni Professionali di Information Management (Past President) AIPSI-ISSA, Consiglio Direttivo 4. AIPSI: www.aipsi.orgAIPSI - Capitolo Italiano di ISSA Associazione di singoli professionisti Oltre 13.000 esperti in tutto il mondo Per richiedere liscrizione: http://www.aipsi.org/come-associarsi.htmlCodice etico: http://www.issa-italy.org/aipsi_codice_etico.pdf Statuto: http://www.issa-italy.org/statuto_aipsi.pdf 5. Chi e ISSAISSA, con lattiva partecipazione dei singoli soci e dei relativi capitoli in tutto il mondo, la pi grande associazione non-profit di professionisti della sicurezza. Lorganizzazione di forum educativi, la redazione di documenti e pubblicazioni oltre allinterazione fra i vari professionisti della sicurezza contribuiscono ad incrementare la conoscenza e la crescita professionale. I soci sono professionisti nel campo della sicurezza a tutti i livelli nei vari settori delle telecomunicazioni, formazione, sanit, finance, industria e government 6. Obiettivi AIPSIOrganizzazione di forum educativi Redazione di documenti e pubblicazioni specializzate Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) Riferimento per la ricerca di professionisti di sicurezza ICT Interazione con altre organizzazioni professionali Rilascio di attestati e certificazioni specifiche (Eucip. LocSI) 7. Attacchi: i dati pi interessanti emersi dal Rapporto OAI 2012 e da altri Rapporti 8. Siamo sempre potenzialmente sotto attacco anche se siamo una PMI, uno studio professionale, un esercizio commerciale , 04/27/085 88Copyright 2008 - Trend Micro Inc. 9. Sicurezza vo cercando . irla t es gSistemi informativi aziendali e delle PA Consumerizzazione Ambiente lavoro DCSe te isServizi ICT Servizi ICT in cloud e/o in cloud e/o terziarizzati terziarizzatias Lz ez r cu iaT ICSocial networkdse pi e pr mo ss ple + mobile Fisso om cInte es n e ornInternet t d an elle lut o cos ss e a Ambiente personaleVDS, PLC, A/D Conv. 10. OAI, Osservatorio Attacchi Informatici in Italia Che cosa Indagine annuale sugli attacchi ai Sistemi Informativi di Aziende e Pubbliche Amministrazioni in Italia condotta attraverso un questionario on-line indirizzo a CIO, CISO, CSO ed alle terze parti (fornitori, consulenti) che gestiscono la sicurezza informatica Gli ideatori e realizzatori Marco R. A. BozzettiAlessandro Betti 11. Obiettivi OAI Avere cadenza periodica annualeCoinvolgere tutte le Associazioni e gli Enti coinvolti e/o interessati nella sicurezza informaticaDivenire uno strumento di ausilio nellAnalisi del Rischio ed il punto di riferimento nazionale sulla sicurezza ICT, analogamente a quanto avviene con il Rapporto CSI statunitenseFar conoscere e sensibilizzare i vertici delle Aziende/Enti sui problemi della sicurezza ICTChe cosa non e non vuole essere OAI : Unindagine criminologica estesa a tutti i crimini informatici (es. pornografia e pedofilia elettronica, pirateria prodotti software, ecc.) Uno studio accademico Unindagine di mercato 12. I Rapporti OAI annualiRapporto OAI 2012, di 48 pagine A4, fa il punto sugli attacchi informatici in Italia rilevati nel 2010, 2011 ed il 1 quadrimestre 2012Rapporto OAI 2011, di 36 pagine A4, fa il punto sugli attacchi informatici in Italia rilevati nel 2009 e nel 1 quadrimestre 2010Rapporto OAI 2009-10, di 46 pagine A5, fa il punto sugli attacchi informatici in Italia rilevati nel 2007, nel 2008 e nel 1 quadrimestre 2009 13. Altre iniziative OAI Da marzo 2010 sulla rivista Office Automation tengo una rubrica fissa mensile per OAI sugli attacchi informatici, con un taglio pi manageriale che tecnico. disponibili in formato elettronico: www.malaboadvisoring.it, www.soiel.it Gruppo OAI su LinkedIn 14. La tassonomia degli attacchi considerata 1) Accesso e uso non autorizzato degli elaboratori, delle applicazioni supportate e delle relative informazioni 2) Modifiche non autorizzate ai programmi applicativi e di sistema, alle configurazioni ecc. 3) Modifiche non autorizzate ai dati e alle informazioni 4) Utilizzo codici maligni (malware) di varia natura, quali virus, Trojan horses, Rootkit, bots, exploits, sia a livello di posto di lavoro che di server 5) Utilizzo vulnerabilit del codice software, sia a livello di posto di lavoro che di server: tipici esempi back-door aperte, SQL injection, buffer overflow ecc. 6) Saturazione risorse informatiche e di telecomunicazione: oltre a DoS (Denial of Service) e DDoS (Distributed Denial of Service), si includono in questa classe anche mail bombing, catene di S. Antonio informatiche, spamming ecc. 7) Furto di apparati informatici contenenti dati (laptop, hard disk, floppy, nastri, chiavette USB ecc.) 8) Furto di informazioni o uso illegale di informazioni a) da dispostivi mobili (palmari, cellulari, laptop) b) da tutte le altre risorse 9) Attacchi alle reti, fisse o wireless, e ai DNS, Domain Name System 10) Frodi tramite uso improprio o manipolazioni non autorizzate e illegali del software applicativo (ad esempio utilizzo di software pirata, copie illegali di applicazioni ecc.) 11) Attacchi di Social Engineering e di Phishing per tentare di ottenere con linganno (via telefono, email, chat ecc.) informazioni riservate quali credenziali di accesso e il furto didentit digitale 12) Ricatti sulla continuit operativa e sullintegrit dei dati del sistema informativo (ad esempio se non paghi attacco il sistema e ti procuro danni, magari con dimostrazione delle capacit di attacco e di danno conseguente) 13) Altri tipi di attacco, quali ad esempio attacchi di tipo misto (Blended threat), sabotaggi, vandalismi con distruzione di risorse informatiche 14) TA , Targeted Attacks e APT, Advanced Persistent Threat 15. I trend per gli attacchi Motivazioni: Hactivism: aspetti di protesta e politici, soprattutto per i paesi con governi dittatoriali o autoritari (Sud mediterraneo, Paesi arabi, ecc.) Timori per una crescita di attacchi ICT di tipo terroristico (blocco e/o malfunzionamento infrastrutture critiche ) Crescita attacchi per spionaggio (anche industriale) Consolidamento crescita attacchi per frodi (ordine di B $,/anno) ROI attacchi > 750%/mese Crescita rischi e vulnerabilit nei sistemi mobili APT, Advanced Persistent Threat da Aurora a Flame e Lucycat Offuscamento (Obfuscation) delle attivit dellattaccante Proxy anonimi Sottrazione dati focalizzazione sui contenuti Crescita dei siti buoni (affidabili) con collegamenti a siti maligni Frodi e ricatti Disponibilit DIY Kit per la creazione di codici maligni e botnet sempre pi facili da usare e poco costosi 16. Le cause delle crescenti minacce Tutte le minacce si basano sulle vulnerabilit tecniche e/o umane-organizzative Vulnerabilit tecniche (software di base e applicativo, architetture e configurazioni) siti web e piattaforme collaborative Smartphone e tablette mobilit >>14.000 malware Posta elettronica spamming e phishing Piattaforme e sistemi virtualizzati Terziarizzazione e Cloud (XaaS) Circa il 40% o pi delle vulnerabilit non ha patch di correzione Vulnerabilit delle persone Social Engineering e phishing Utilizzo dei social network, anche a livello aziendale Vulnerabilit organizzative Mancanza o non utilizzo procedure organizzative Insufficiente o non utilizzo degli standard e delle best practices Mancanza di formazione e sensibilizzazione Mancanza di controlli e monitoraggi sistematici Analisi dei rischi mancante o difettosa Non efficace controllo dei fornitori Limitata o mancante SoD, Separation of Duties 17. Targeted Attack (TA) e APTI TA, chiamati anche targeted threat, sono una relativamente nuova classe di attacchi informatici rivolta ad uno specifico obiettivo, o ad un limitato numero di obbiettivi, basato sull uso di pi strumenti di attacco con lo scopo primario: a) di ottenere informazioni riservate ed importanti frodi, spionaggio b) di seriamente compromettere funzionalit e disponibilit di un sistema informatico o di una sua parte c) di seriamente compromettere immagine, credibilit ed autorevolezza dellobbiettivo attaccatoTipici obiettivi target: Pubbliche Amministrazioni, Banche ed Istituti finanziari, grandi Corporazioni , infrastrutture nazionali ad alta criticitNellambito dei TA una sottoclasse (logica) costituita dagli APT, Advanced Persistent Threat attacco mirato ad uno specifico target, usando molteplici e paralleli strumenti di attacco, persistenti per essere in grado di analizzare le vulnerabilit esistenti e le possibilit di attacco slow and lowSia TA che APT richiedono grandi risorse e competenzecyberwar 18. Tipiche fasi di un Targeted Attack /APT 19. Esempi di TA e/o APT 2009-10 Operazione Aurora: attacco a Google (gmail) e ad altri giganti statunitensi dellICT dalla Cina via vulnerabilit 0-day su IE e sul sw di controllo versioni codice di Google (Perforce) 2010 Stuxnet: attaccato il centro nucleare iraniano di Bushehr e altre infrastrutture critiche in Cina, India, Indonesia, Pakistan Stuxnet un codice maligno multicomponente tipo worm che infetta sistemi con sistema operativo Windows, dal vecchio Windows 95 a Windows Server 2003, con installato SIMATIC WinCC, il sistema Siemens per lautomazione dei sistemi SCADA. Lobiettivo del worm prendere il totale controllo del sistema SCADA attaccato 2011 RSA: attacco a SecureID via spear phishing con Excel malevole che attivava codice maligno Poison Ivy con funzionalit backdoor 2011 DigiNotar: CA olandese attaccata creando e diffondendo certificati digitali falsi nei principali browser; un mese dopo fallita 2012 Luckycat: campagna di attacchi in India, Giappone e Tibet ad industrie militari, energia, aerospaziali, .. 90 attacchi compromettendo >233 server via TROJ_WIMMI, VBS_WIMMI, botnet-C&C, Windows Management Instrumentation 2012 Flame: malware modulare e sofisticato di grandi dimensioni (+ 20 M) per ambienti Windows focalizzato allo spionaggio informatico ed al furto di informazioni nei paesi mediorientali 2012 Global Payments Inc: attacco per frode al suo sistema di pagamenti con POS e relative carte di credito, pur essendo certificata PCI-DSS Costi del breach: 94 M$, di cui circa 36 M per la frode, il resto per riparare il danno 20. Gli strumenti tipici per TA e APTFonte:IDCc 21. Le imprese attaccate con APT in Italia 2013Fonte:IDC 22. Mappa principali attacchi e relativi impatti al 1 sem 2013 23. Mappa principali attacchi per nazione al 1 sem 2013 24. Attacchi ai sistemi bancari e finanziari 2013Fonte: TrendLabs 2013 25. Paesi con il maggior numero di collegamenti a botnetFonte: TrendLabs 2013 26. a Sa So lwa tu r ra cia e l zi on En g e M ris . od Fu ors if i ch rto e e n o d is p n au . t. Sf Si ru s t. Fr At vul ne o di ta cc r hi abi At sic lit . t Fu a cc fi si c rto hi al a in le Fu fo d re rto a m ti R i nfo ob ic da i li at ti f Ac inf o iss M i od ces rma if i ch si n tici o e no n a u n au t. t. da ti Al t riM% rispondentiOAI 2012: Principali attacchi subiti 2010-2011-1quad. 201280 70 60 50 40 30 20 10 0 201020111 quad 2012TA e APT non erano considerati a s stanti, come lo saranno in OAI 2013OAI 2012 27. Altr iSo cia Ma lw l ar Sa E n e gi tu ne ra er zi in on g e Fu ris M r to or od s di if i sp e ch e os no itiv Fr n au i od t. i in S fo Sf r m is ru a t. vu tich e ln er ab At i ta cc lit At hi ta fis cc ici Fu hi r to al le in re fo ti da Fu r to m ob in ili fo Ri ca da tti fis in si fo Ac rm M ce at od ss ici if i in ch on e no au t n au . t. da ti% rispondentiOAI 2012: Confronto principali attacchi subiti 2008-1quad. 201290 80 70 60 50 40 30 20 10 0 20082009201020112012 1 quad.OAI 2012 28. OAI 2012: Impatto dellattacco>10 casi impatto molto significativo3,4% 3,8% 3,2% 16,8% 13,7% 13,7%>10 casi impatto poco significativo1 quad 2012 20111-10 casi impatto molto significativo3,8% 6,5% 6,7%2010 76,0% 76,0% 76,4%1-10 casi impatto poco significativo % rispondentiOAI 2012 29. OAI 2012: Azioni (multiple) dopo un attaccoPatch sul software40,7%Indagini interne33,3%Eliminati sistemi32,1%Policy e proc. organiz.30,9%Nuovi strumenti30,9% 18,5%Corsi formazione Rimpiazzo sistemi12,3%Intervento legali9,9%Altro2,5%Indagini da esterni2,5% % rispondentiOAI 2012 30. OAI 2012: Tempi medi di ripristinoNon lo so Oltre un mese Meno di un mese Meno di una settimana Meno di 3 giorni5,6% 0,0% 3,7% 0,0% 29,6% 61,1%Meno di un giorno % rispondentiOAI 2012 31. OAI 2012OAI 2011OAI 2009-10Frode informaticaVandalismoSabotaggioAzione DimostrativaSpionaggioRicatto o ritorsioneTerrorismo60% 50% 40% 30% 20% 10% 0% Altro% rispondentiOAI 2012: motivazioni per gli attacchi temuti nel futuro nei vari Rapporti OAIOAI 2012 32. Crescita vulnerabilit sistemi mobili 33. Crescita delle minacce per Android nel 2 trim. 2013Fonte: TrendLabs 2013 34. OAI 2013 Sponsor alla dataIn collaborazione con Patrocinatori alla data 35. Questionario OAI 2013: www.malaboadvisoring.it Totalmente anonimo 30-40 minuti circa per compilarlo completamente 36. Grazie per lattenzione!Info@aipsi.org www.aipsi.org www.issa.org