Speciale Cyber Crime

specialedicembre 2014

CYBERCRIME

INDICE

1

Information S

ecurity Speciale D

icembre 2014

INDICE

1

My Newsroom è una risorsa aziendale creata per aumentare la funzionalità e lafruibilità delle redazioni tradizionali online e promuovere le attività sui social me-dia e i contenuti multimediali diffusi da un’azienda. My Newsroom è destinata afavorire il dialogo e la condivisione delle informazioni. A differenza di una salastampa online chiusa, il contenuto è accessibile non solo ai giornalisti, ma anchea tutti coloro con i quali l'azienda si impegna - clienti, partner e investitori - dandoloro facile accesso alle notizie in tempo reale, ai contenuti redazionali, alle im-magini, all’audio, ai video e ad altri file multimediali.

4 ATTUALITÀ

6PRIMO PIANO

6 Le frodi nella rete. Il duplice ruolo dell’ICT. Una community per fare scuolaMaria Giulia Mazzoni intervista Alessandro Vallega, SecurityBusiness Development Manager di Oracle Italia

10 (Tutte) Le informazioni utili in tempo reale.“Così abbiamo fatto in Lombardia” Maria Giulia Mazzoni intervista Davide Rovera, PresidenteLombardia Informatica

14 Cyber incident, le imprese di oggi sono pronte arispondere (adeguatamente)? Maria Giulia Mazzoni intervista Darren Anstee, Director ofSolutions Architects di Arbor Networks

19 CLOUD COMPUTING SECURITY

Cloud computing, 20(oggi) tutti ne parlano

ed ecco perchéNunzia Locantore

Attacchi informatici 26al cloud: ma quanto si è sicuri?

Marco R. A. Bozzetti

Il cloud, una tecnologia 30sempre più vicina a startup e PMI

Stefano Sordi

Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codiceQR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzocorrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone,puoi trovarne molti gratuiti nei negozi/store di applicazioni per il tuo cellulare(iTunes, App store, Android market, Blackberry Appworld, Ovi store, ecc.).Q

R

Information S

ecurity n° 25m

ag/giu 2014

ATTACCHI INFORMATICI AL CLOUD: MA QUANTO SI È SICURI?Marco R. A. Bozzetti

SICUREZZA DEI SISTEMIINFORMATICI, LE MINACCESONO IN COSTANTE AUMENTODavide Gastaldon

IL MALWARE DIVENTERÀ(MOLTO) PIÙ CATTIVOMaria Giulia Mazzoni

L’EVOLUZIONE DEL CONCETTO DI SICUREZZAStefano Paganelli

ATTACCHI NTP. IL TEMPO PER LE AZIENDE STA PER SCADEREIvan Straniero

I “BAD GUYS” CONTINUERANNO A VINCERE?Pietro Riva

CARM, LA NUOVA FRONTIERA DELLA SICUREZZA INFORMATICA DI EXCLUSIVE NETWORKS

2

5

10

11

13

17

19

INDICE

1

My Newsroom è una risorsa aziendale creata per aumentare la funzionalità e lafruibilità delle redazioni tradizionali online e promuovere le attività sui social me-dia e i contenuti multimediali diffusi da un’azienda. My Newsroom è destinata afavorire il dialogo e la condivisione delle informazioni. A differenza di una salastampa online chiusa, il contenuto è accessibile non solo ai giornalisti, ma anchea tutti coloro con i quali l'azienda si impegna - clienti, partner e investitori - dandoloro facile accesso alle notizie in tempo reale, ai contenuti redazionali, alle im-magini, all’audio, ai video e ad altri file multimediali.

4 ATTUALITÀ

6PRIMO PIANO

6 Le frodi nella rete. Il duplice ruolo dell’ICT. Una community per fare scuolaMaria Giulia Mazzoni intervista Alessandro Vallega, SecurityBusiness Development Manager di Oracle Italia

10 (Tutte) Le informazioni utili in tempo reale.“Così abbiamo fatto in Lombardia” Maria Giulia Mazzoni intervista Davide Rovera, PresidenteLombardia Informatica

14 Cyber incident, le imprese di oggi sono pronte arispondere (adeguatamente)? Maria Giulia Mazzoni intervista Darren Anstee, Director ofSolutions Architects di Arbor Networks

19 CLOUD COMPUTING SECURITY

Cloud computing, 20(oggi) tutti ne parlano

ed ecco perchéNunzia Locantore

Attacchi informatici 26al cloud: ma quanto si è sicuri?

Marco R. A. Bozzetti

Il cloud, una tecnologia 30sempre più vicina a startup e PMI

Stefano Sordi

Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codiceQR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzocorrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone,puoi trovarne molti gratuiti nei negozi/store di applicazioni per il tuo cellulare(iTunes, App store, Android market, Blackberry Appworld, Ovi store, ecc.).Q

R

Information S

ecurity n° 25m

ag/giu 2014

CYBER ATTACK REMEDIATION & MITIGATION

SPECIALE CYBERCRIMECLOUD COMPUTING SECURITY

Il fenomeno del cloud computing si staconsolidando anche in Italia, come evi-denzia uno studio di Sirmi di febbraio2014, che stima il mercato 2013 delCloud Business nel nostro paese in un va-lore complessivo di 788,8 milioni di euro(+16,9% rispetto al 2012). Questo dato èin controtendenza rispetto al mercatoICT complessivo che nel 2013, sempre se-condo Sirmi, ha avuto una riduzione del5% e che rimarrà negativo anche nel2014, con una stima al - 2,3%. Ma l’ado-zione di cloud in Italia, pur con il tassodi incremento a due cifre di cui sopra, èancora limitata e lenta rispetto ai piùavanzati paesi occidentali, ed uno deimotivi è dato dai possibili problemi di si-curezza e di privacy che i clienti temono.Le tipiche perplessità includono domandequali: dove sono trattati i miei dati? equelli sensibili? E’ affidabile chi li gesti-sce? Sono coinvolti sub-contractor? Sono

sicuri i sistemi ICT di supporto, e quantosicuri? In ambiti multi tenant e virtualiz-zati possono essere vulnerabili le appli-cazioni ed i dati da queste ultime trat-tati? Facendo riferimento al Rapporto 2013OAI, Osservatorio Attacchi Informatici inItalia2, la fig. 1 mostra come quasi il 60%dei rispondenti attualmente terziarizzatutto o una parte del loro sistema infor-mativo. Ma di questi il 35% non intendeutilizzare soluzioni cloud e solo il 27,6 %le utilizza, ripartite tra SaaS, IaaS e PaaScome indicato nella fig. 2,Confrontando i dati sulla terziarizzazionee sul cloud, si evince che la terziarizza-zione, in particolare housing e hosting, èpiù utilizzata dai rispondenti rispetto asoluzioni cloud. È in atto nelleaziende/enti in Italia un chiaro cambio dimentalità e di percezione nel passare aforme di “sourcing”,ma sussiste ancora

27

Information S

ecurity n° 25m

ag/giu 2014

ATTACCHI INFORMATICIAL CLOUD: MA QUANTOSI È SICURI?

CLOUD COMPUTING SECURITY

Fig.1 Modalità di gestione del sistema informativo dal campione di rispondenti di OAI 2013 (fonte: Rapporto 2013 OAI)

Marco R. A. Bozzetti1CEO di Malabo Srl

L’adozione del cloud in Italia, pur con un tasso diincremento a due cifre, è ancora limitata e lenta

rispetto ai più avanzati paesi occidentali, ed uno deimotivi è legato ai possibili problemi di sicurezza e di

privacy che i clienti temono. Assieme a Marco Bozzettianalizziamo il perché

Information S

ecurity Speciale D

icembre 2014

2

SCENARI

IL MALWARE DIVENTERÀ(MOLTO) PIÙ CATTIVO

Maria Giulia MazzoniDirettoreResponsabile

Sicurezza informatica. Un problemasempre più pressante anche, e soprattut-to, alla luce della crescita esponenziale delcosiddetto ‘crimine informatico’. Dottor To-nelli ci aiuti a fare il punto della situazione.Finalmente i dati sono protagonisti. Cosa in-tendo? Fino a non molto tempo fa, quan-do si parlava di sicurezza informatica, gli at-tacchi e gli interessi criminali erano con-centrati in altre aree (come ad esempio gliattacchi di defacing, DoS, DDoS e cosi via).Lo scenario internet era molto diverso daquello odierno così come erano diversi i pla-yer e si tendeva a colpire con attacchi “adeffetto” o davvero tecnicamente complessivolti a “far rumore”, provocare danni di im-magine ed effetti simili. I dati erano sullosfondo. Oggi invece la presenza – o dovreidire onnipresenza – di milioni di utenti, iscrit-ti su qualunque sito e community esisten-te, i social network, le banche dati, gli aspet-ti transazionali in rete, quelli commerciali, l’In-ternet delle cose, rappresentano una ghiot-ta occasione per i criminali informatici di con-centrare le proprie attenzioni su qualcosa diconcreto e facilmente “rivendibile” nel mer-

cato degli illeciti. Questa è la sfida della si-curezza informatica oggi e nei prossimi anni:proteggere i dati, non più solo le infra-strutture.

Il Rapporto Clusit 2014, presentato al Se-curity Summit di Milano, indica come ilCybercrime sia la causa della maggior par-te degli attacchi (oltre il 50%) nel 2013,con una crescita del 258% in due anni. Stento a non credere sia così, proprio per leragioni citate precedentemente. Colpire perprelevare i dati, le identità, il denaro, dal pun-to di vista criminale è più proficuo e gene-ra introiti e vantaggi diretti rispetto a per-petrare attacchi – anche molto più sofisti-cati e di impatto – ma a fini differenti. Unesempio di evoluzione e progressione nelletipologie di attacco, abbiamo avuto mododi illustrarlo con una iniziativa denominataWatchGuard Hack Lab, le cui sessioni videosono fruibili gratuitamente qui:https://www.watchguarditalia.com/hack-lab/ dagli attacchi low-level e molto tecni-ci finalizzati a provocare danni economici in-diretti, agli attacchi “moderni” finalizzati al

furto dei dati e all’intrusione nelle infra-strutture.

Dal report emerge anche un forte aumentodelle attività di Hacktivism e Cyber Espi-onage che registrano una crescita del22,5% e del 131% rispetto al 2012. Questo è un altro argomento caldo che ri-chiederebbe una lunga dissertazione chesconfina in argomenti non strettamente le-gati alle tecnologie. Parlo di politica, com-portamento sociale e antisociale, attivismo,protesta pacifica e non pacifica. La rete ha

40

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014

Emilio Tonelli, Senior Sales Engineer SouthEurope per WatchGuard

Emilio Tonelli, Senior Sales Engineer South Europe perWatchGuard, ci parla delle nuove sfide che si

pongono nel prossimo futuro: “La presenza di milionidi utenti, iscritti su qualunque sito e community

esistente, i social network, le banche dati,rappresenta una ghiotta occasione per i criminaliinformatici. Oggi è necessario quindi proteggere i

dati, non più solo le infrastrutture

SPECIALE CYBERCRIME

3

Information S

ecurity Speciale D

icembre 2014


una certa riluttanza nell’uso del cloud peri motivi sopra indicati. Per il cloudl’aspetto “sicurezza” è una competenza-caratteristica tipica del fornitore, che deveriuscire a garantire al cliente il necessario(e richiesto) livello di sicurezza e fiducia.Ma l’azienda/ente cliente di una solu-zione cloud deve essere in grado di mo-nitorare i livelli di servizio e di sicurezzache il fornitore realmente eroga ed attua,analizzando anche tutti i rischi informa-tici dei propri sistemi e dati in cloud, inmodo da condividere con il fornitore siai rischi che le misure di prevenzione eprotezione. Dal Rapporto 2013 OAI emerge comel’analisi dei rischi ICT sia effettuata daben meno di 1/3 dei rispondenti, anchese poco meno del 10% prevede di effet-tuarla nel prossimo futuro.

LE PROBLEMATICHE DELLA PRIVACY IN AMBITO CLOUDL’azienda/ente cliente di una soluzionecloud rimane Titolare del trattamentodati personali, anche se terziarizzata/incloud, ed il fornitore è, o dovrebbe essere,il Responsabile dei trattamenti a lui affi-dati: questo ruolo deve essere specifi-cato nel contratto, oltre che effettiva-mente accettato e svolto dal provider.Essenziale che il Titolare controlli gli stru-

menti di protezione usati dal fornitoreper poter garantire i diritti degli Interes-sati, così come richiesto dalla legge. In ambito cloud uno dei principali pro-blemi di conformità alla privacy riguardal’ubicazione dei luoghi in cui il tratta-mento e l’archiviazione dei dati avviene:tali luoghi possono non essere definiti alivello contrattuale, e comunque pos-sono variare, anche in funzione di esi-genze operative del fornitore. I dati per-sonali possono essere trattati al di fuoridella area economica europea solo se ilprovider si attiene a precise regole per laprivacy (meglio se dettate da una legi-slazione nazionale) analoghe a quelledella Comunità Europea.Il problema della privacy è aggravatodalla possibilità che il cloud provider asua volta terziarizzi ad altri fornitori, chenon garantiscono i livelli di servizio e disicurezza richiesti e tanto meno sono“compliant” alle normative italiane-eu-ropee. Si può di fatto creare una “catena”di cloud provider, ad esempio un provi-der SaaS che utilizza una o più infra-strutture di diversi provider IaaS, di cui ilcliente nemmeno è a conoscenza e cheben difficilmente può controllare e mo-nitorare. Per poter gestire correttamente simili si-tuazioni non solo occorre stipulare un

opportuno contratto, ma anche scegliereun provider eticamente corretto e tra-sparente, ed essere in grado di control-larlo efficacemente insieme all’eventualesua catena di sub fornitori.Il Garante per la protezione dei dati per-sonali ha emanato una guida per im-prese e pubbliche amministrazioni “Cloudcomputing - proteggere i dati per noncadere dalle nuvole”3 con un utile deca-logo da seguire.

VULNERABILITÀ ED ATTACCHI TIPICIDEL CLOUD Per il cloud computing esistono tutte levulnerabilità di un “tradizionale” sistemainformatico, dal sistema operativo almiddleware, dalle reti alle applicazioni. Aqueste si aggiungono le vulnerabilità ti-piche della virtualizzazione, che è allabase delle soluzioni cloud. Elemento centrale della virtualizzazioneè l’hypervisor, il super-monitor che in-terfaccia l’hardware ed i driver dellamacchina ospitante (chiamata host). Esi-stono due tipi di hypervisor: quello “na-tivo”, chiamato anche bare metal, cheopera direttamente sull’hardware del si-stema ospitante senza appoggiarsi ad al-cun sistema operativo, dato che è luistesso che ne espleta le funzioni prima-rie, e quello “hosted”, che si appoggiasull’esistente sistema operativo dell’har-dware ospitante. Anche le reti sono (o possono essere) vir-tualizzate, in particolare le reti locali LAN,Local Area Network, tramite adattatori eswitch virtuali. Questo consente ai diversiserver virtuali di collegarsi e di comuni-care-interoperare con gli altri server vir-tuali utilizzando gli stessi protocolli cheavrebbero usato come server “fisici”,senza dover utilizzare ulteriore hardwarespecifico. Numerosi sono gli hypervisor presenti edofferti sul mercato, incluse alcuni opensource, ma tutti hanno delle vulnerabilità,come ogni altro sistema operativo.Gli elementi più vulnerabili di una virtu-alizzazione includono, oltre all’hypervisorsia hosted che nativo, la rete virtuale al-l’interno del sistema virtualizzato, in par-ticolare per switch ed adapter, la consolledel sistema virtualizzato, gli storage vir-tualizzati.Il rapporto CSA, Cloud Security Alliance4,di febbraio 20145 dettaglia le nove prin-

28

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014

Fig. 2 Uso di cloud (risposte multiple) dal campione di rispondenti di OAI 2013 che terziarizza(fonte: Rapporto 2013 OAI)

Fig. 3 L’analisi dei rischi ICT in Italia (fonte: Rapporto 2013 OAI)

SPECIALE CYBERCRIME

4

Information S

ecurity Speciale D

icembre 2014


cipali minacce per il cloud: data breaches,data loss, account hijacking, insecureAPIs, malicious insiders, abuse of cloudservices, insufficient “due diligence”, sha-red technology issues.Considerando gli attacchi rilevati nel pas-sato anche recente ai più importanti cloudprovider quelli più diffusi riguardavano lasaturazione di risorse (il DDoS, DistributedDenial of Service) usando vulnerabilità deiprotocolli NTP, Network Time Protocol,SMTP, Simple Mail Transfer Protocol, eDNS, Domain Name System.

QUALI PRECAUZIONI PRENDERE? La sicurezza assoluta non esiste, anche sedelegata ad un fornitore di servizi, ed oc-corre sempre considerare la possibilità diattacchi ed incidenti. Tutte le misure diprevenzione, protezione e ripristino, siatecniche che organizzative, per un si-stema ICT6 dovrebbero essere applicate asoluzioni cloud. Ma è il fornitore che ledeve attuare realmente, il cliente puòsolo verificarle. E’ quindi fondamentalenon firmare ad occhi chiusi un contrattocon un fornitore di cloud, e soprattuttoverificare, almeno di tanto in tanto, cheil provider eroghi i servizi cloud come dacontratto: non è pensabile disinteressarsidei servizi acquisiti, assumendo che ilfornitore operi come concordato. Su Internet si trovano numerose guide ebuone pratiche elaborate da Aziende,Enti ed Associazioni su come scegliere ilfornitore più idoneo e su come impostaree gestire i livelli di sicurezza ed il con-tratto. Tra queste una “Guida al Cloud”,liberamente scaricabile dal mio sito web7

nella colonna di destra, e due webinarcomplementari alla suddetta guida, inti-

tolati rispettivamente “Dalla teoria allapratica: come valutare la convenienza diuna soluzione cloud8” e “Contratti ICTcon SLA e vincoli legislativi: come gestirliin maniera vincente9”. Per problemi dispazio in questo articolo si rimanda perapprofondimenti alla guida ed ai webinarcitati, oltre alle altre guide scaricabili daInternet.Un ulteriore aiuto nella scelta del provi-der cloud è dato, a livello mondiale, dallaCSA Smart, la certificazione per i CloudService Provider di CSA, Cloud SecurityAssociation.CSA Smart è un’iniziativa industriale checonsente di certificare in maniera auto-revole, globale ed affidabile i provider dicloud , integrando anche standard ebuone pratiche quali ISO27001 e AICPASSAE 16 - SOC2.10

Come illustrato nella fig. 4, CSA Star èstrutturata sui seguenti livelli:• Livello 1: autovalutazione del forni-

tore di cloud sulla base di un frame-work per i controlli di sicurezza incloud, sul loro assessment, sull’auto-mazione delle procedure di controllo esulla real-time gestione in tempo realedel GRC, Governance Risk Compliance(GRC Stack). I fornitori di cloud si au-tocertificano nel CSA STAR Registry,accessibile ed utile per chi intende es-sere informato sul livello di sicurezza inessere presso i diversi fornitori; alladata sono presenti in questo Registropiù di 50 aziende;

• Livello 2: certificazione a terze parti delfornitore, sulla base dello standardISO/IEC 27001:2005 integrato con laspecifica check list CSA Cloud ControlMatrix che prevede ulteriori 11 aree di

controllo. Questo schema di certifica-zione è anche “compliant” con gli stan-dard ISO 17021, ISO 27006, ISO 19011.CSA ha una partnership con BritishStandard Institution ma questa certifi-cazione potrà essere attuata anche daaltri enti di certificazione. Iniziano adessere certificati a questo livello i primifornitori quali HP e Pulsant;

• Livello 3: dal 2015 CSA prevede che al-cuni fornitori certificati siano monito-rati sistematicamente e continuamente,per poter garantire una effettivo e sta-bile livello di sicurezza.

NOTE1 Marco Rodolfo Alessandro Bozzetti è CEO diMalabo Srl, società di consulenza e servizi ICT(www.malaboadvisoring.it) ed ha un’esperienzaquarantennale nel settore ICT presso grandiaziende dell’offerta quali Olivetti e Italtel, edella consulenza, quali Arthur AndersenManagement Consultants, GEA e GeaLab. E’stato il primo CIO per l’intero Gruppo ENI. PastPresident del ClubTi di Milano, di FidaInform edi Sicurforum-FTI, ideatore e curatore di OAI,Osservatorio Attacchi Informatici in Italia, e diEAC, Enterprise Architecture Conference, èattualmente nel Consiglio Direttivo di AIPSI e diFIDAInform, oltre che socio di Prospera. 2 L’iniziativa OAI, Osservatorio AttacchiInformatici in Italia, è l’indagine on line via websugli attacchi informatici a livello nazionale sututti i settori merceologici che produceannualmente una Rapporto. Per maggioriinformazioni sui Rapporti OAI si vedawww.malaboadvisoring.it/index.php?option=com_content&view=article&id=24&Itemid=483 http://194.242.234.211/documents/10160/2052659/CLOUD+COMPUTING+-+Proteggere+i+dati+per+non+cadere+dalle+nuvole+-+sing.pdf4 http://cloudsecurityalliance.it/5 The Notorious Nine: Cloud Computing TopThreats in 2013, si vedahttps://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdf6 Per un inquadramento anche di tagliomanageriale delle misure di scurezza sirimanda al recente libro pubblicato dall’autorecon Francesco Zambon “Sicurezza Digitale -Una guida per governare un sistemainformatico sicuro”, ISBN 0788890890109. 7 http://www.malaboadvisoring.it/8 http://blog.seeweb.it/webinar-perche-passare-al-cloud-conviene/9 http://blog.seeweb.it/come-scegliere-il-provider/?utm_source=rss&utm_medium=rss&utm_campaign=come-scegliere-il-provider10 http://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/pages/sorhome.aspx

29

Information S

ecurity n° 25m

ag/giu 2014Fig. 4 Schema della struttura di certificazione Star (Fonte: CSA)

SPECIALE CYBERCRIMEWEB SECURITY

SICUREZZA DEI SISTEMIINFORMATICI, LE MINACCE

SONO IN COSTANTE AUMENTO

Vengono rilasciati quotidianamente migliaia di nuovivirus per i quali si rende necessario adottare soluzionidinamiche che devono essere costantementeaggiornate, ecco perché risulta di estrema importanzaprevedere un adeguato piano di difesa. L’OsservatorioNazionale per la Sicurezza Informatica ci presentaun’analisi statistica relativa alle minacce di sicurezza Davide Gastaldon

SecurityAnalyst di

Rivoira

Con circa 6787 vulnerabilità accertatenell’anno 2013, anche per il 2014 ilmondo IT security è costantemente im-pegnato nella protezione dei propri si-stemi e nella ricerca di adeguati mezzi diprevenzione. Le sfide che si trovano adaffrontare gli esperti di sicurezza sonocostantemente in aumento e l’ammon-tare delle minacce si rivela essere in co-stante crescita anche per il 2014, con untasso maggiore rispetto al 2013. Prendendo come categoria di riferimentoi malware, le statistiche calcolate su basemondiale rivelano per il mese di gennaio2014 più di 9 milioni minacce attive ri-spetto ai 7,5 milioni diagnosticati nellostesso mese del 2013.Le minacce all’IT security sono aumen-tate e si sono evolute divenendo semprepiù complesse, intelligenti e difficili da ri-levare. Vengono rilasciati quotidiana-mente migliaia di nuovi virus per i qualisi rende necessario adottare soluzioni di-namiche che devono essere costante-mente aggiornate.A causa della continua evoluzione delle

minacce, gestire la sicurezza delle retirappresenta una sfida e richiede capacitàdi rilevamento intelligente. Le soluzionidevono inoltre seguire un approccio pro-attivo, anticipando le minacce.Risulta quindi di estrema importanza pre-vedere un adeguato piano di difesa, an-che per realtà medio piccole che solita-mente si illudono di essere immuni dalleattenzioni degli attaccanti. Proteggersiinvestendo sulla sicurezza informaticanon è più un’opzione, ma è divenutanecessità imprescindibile. L’Osservatorio Nazionale per la SicurezzaInformatica presenta alcuni dati di inte-resse raccolti da un’analisi statistica rela-tiva alle minacce di sicurezza rilevate daisistemi di monitoraggio di infrastruttureprotette da Yarix, azienda leader nel set-tore e punto di riferimento per realtàpubbliche e private italiane.Il campione preso in esame contiene re-altà collegate a svariati ambiti operazio-nali: manifatturiero, pubbliche ammini-strazioni, sanità e servizi.L’analisi condotta è relativa al primo tri-

mestre del 2014 e mira ad evidenziare itrend delle minacce affrontate, offrendouna disamina che aiuta aziende e orga-nizzazioni ad approcciarsi correttamentealle problematiche della sicurezza.

ATTACCHI E STRATEGIE AZIENDALI DICOLLOCAZIONE SERVIZILa prima parte dello studio si focalizzasui dati raccolti dall’anello di protezioneesterno, principalmente firewall e IDS(Intrusion detection system).In questo ambito è necessario distin-guere due macrocategorie:• Infrastrutture che gestiscono interna-

mente importanti servizi, quali adesempio ftpserver, webserver e mail-server.

• Sistemi aziendali che affidano i servizicritici a datacenter esterni.

Com’è logico aspettarsi, le reti che hannoservizi pubblicati verso l’esterno risul-tano essere maggiormente esposte ad at-tacchi. Il grafico seguente illustra, in per-centuale, le varie categorie di attivitàsospette rilevate dalle appliance di pro-

35

Information S

ecurity n° 25m

ag/giu 2014

5

Information S

ecurity Speciale D

icembre 2014

SPECIALE CYBERCRIME

6

Information S

ecurity Speciale D

icembre 2014

WEB SECURITY

tezione perimetrale.Si notano in particolare molti alert chesuggeriscono la presenza di possibiliazioni di port scanning. Questo tipo diattività è il primo passo per portare acompimento un attacco e mira ad ana-lizzare il profilo che la rete aziendale for-nisce all’esterno, ricercando eventualivarchi nei sistemi di protezione e vulne-rabilità nei servizi che la rete offre pub-blicamente.L’analisi ha evidenziato una media gior-naliera di 12 scansioni provenienti da IPdiversi. Questi IP appartengono per il50% a blacklist note e già individuate, ilrestante 50% è suddiviso tra IP non ap-

partenenti a liste pubbliche di indirizzinoti per il 30%, mentre il rimanente 20%appartiene alla rete TOR.Di seguito un grafico che riassume leconclusioni appena esposte.Le blacklist sono liste, pubbliche e libe-ramente consultabili, che contengono alloro interno una serie di IP riconosciuticome malevoli; di norma ne fanno parteindirizzi rilevati come distributori di spamo appartenenti a botnet.La diffusione delle botnet sta aumen-tando rapidamente per la particolare ca-pacità di nascondersi. Si tratta di reti for-mate da computer infetti, sparsi nelpianeta e appartenenti alle più diverse re-

altà, che collaborano sotto la guida di uncentro di commando e controllo per por-tare a compimento attacchi informaticidei più svariati tipi. Una volta infettati, ipc, in gergo definiti zombie, vengonoprincipalmente usati per compiere attivitàdi bitcoin mining, click fraud, attacchiDDoS ma soprattutto per rubare dati sen-sibili salvati all’interno del pc. Per bitcoinmining si intende la generazione di bit-coin, la nuova moneta elettronica chesta prendendo sempre più piede. L’atti-vità definita come click fraud mira acompromettere un client per aumentareil profitto di tutte quelle pubblicità on-line che adottano la soluzione pay-per-click. Ulteriore approfondimento merita la pro-venienza di IP sconosciuti. In questa ca-tegoria rientrano gli IP rilevati come sor-genti del port scan, ma che non sonopresenti all’interno delle liste liberamentedisponibili. Il grafico successivo mostra la loro pro-venienza geografica.Un’ulteriore interessante considerazioneriguarda il raffronto tra le realtà che ese-guono periodicamente delle analisi dellevulnerabilità sul profilo esterno, cioè suiservizi che rendono disponibili verso larete mondiale, e quelle che non ese-guono tale verifica in maniera periodicae approfondita.Le infrastrutture costantemente monito-rate, e quindi aggiornate e protette an-che dalle ultime vulnerabilità emerse,sono comunque sottoposte ad attivitàdi port scanning o a tentativi di attacco,ma tali attività hanno una durata tem-porale molto limitata.Tale evidenza conferma la necessità dieseguire controlli periodici sui servizipubblicati esternamente, in modo da ri-durre l’appetibilità dei sistemi agli occhidegli attaccanti esterni. Per quanto riguarda le infrastrutture chenon pubblicano servizi verso l’esterno,le minacce rilevate decrescono fino acirca il 10% degli alert nei sistemi di pro-tezione rispetto a quanto visto prima.Il seguente grafico illustra le proporzionitra le due macrocategorie di cui sopra:• Servizi pubblicati rete interna: catego-

ria di organizzazioni che per sceltastrategico-aziendale decidono di pub-blicare i servizi volti al pubblico tramitela loro infrastruttura IT interna,

36

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014

SPECIALE CYBERCRIME

7

Information S

ecurity Speciale D

icembre 2014

WEB SECURITY

aprendo così l’accesso da internet versoi propri sistemi.

• Servizi affidati a datacenter esterni: ca-tegoria di aziende che decidono diesternalizzare i propri servizi volti al

pubblico appoggiandosi a infrastrut-ture dedicate come i data center ovesono offerte garanzie di SLA (ServiceLevel Agreement) spesso superiori al99,95 %.

MINACCELa parte seguente del report si focalizzasui dati forniti dai sistemi come antiviruse antimalware sulle minacce rilevate egestite nelle varie infrastrutture.

Anche in questocaso si possonosuddividere le varierealtà in due ma-crocategorie sullabase delle scelteoperate da chi ge-stisce l’infrastrut-tura:• Organizzazioni

che implemen-

tano all’interno della rete forti politichedi controllo sulla navigazione versol’esterno e sull’utilizzo di dispositivipersonali come le chiavette USB.

• Realtà con un approccio meno restrit-tivo che consente utilizzo libero dellanavigazione e dei dispositivi personali.

Nel secondo caso il numero di tentativi diinfezione bloccati dai sistemi interni,quali antivirus e antispyware, sono stati-sticamente molto più significativi, conuna media di 5,81 rilevamenti al giorno,durante il periodo considerato, controuna media di 0,8 rilevamenti giornalieri.Di seguito vengono evidenziate le tipo-logie dei virus bloccati.Le molteplici soluzioni antivirus adot-tate permettono di definire metodi etempi di scansione utilizzati, che con-

fluiscono essenzialmente in template co-muni:1. Real time scan, ovvero scansioni ese-

guite in background dall’antivirus ognivolta in cui un file viene ricevuto, sca-ricato, aperto o modificato.

2. Scansioni manuali, avviate dall’utentesu un insieme limitato di file.

3. Scansioni schedulate, pianificate dal-l’amministratore o dall’utente che uti-lizza il client.

4. Scansioni dell’amministratore, ge-stite dall’amministratore di sistema odi rete, volte alla ricerca di particolarifile in uno o più client dell’infrastrut-tura.

37

Information S

ecurity n° 25m

ag/giu 2014

Il campione preso in esame contiene realtà collegatea svariati ambiti operazionali: manifatturiero,

pubbliche amministrazioni, sanità e servizi. Ecco irisultati del primo trimestre 2014“

”

SPECIALE CYBERCRIME

8

Information S

ecurity Speciale D

icembre 2014

WEB SECURITY

Tali template vengono definiti per rag-giungere un compromesso tra libertà diutilizzo del sistema e livello di prote-zione.Alcuni tipi di scansioni sono adatte adessere eseguite su client con configura-zioni HW datate, che non permettonouna politica di scansione in tempo realein background senza diminuire le per-formance fornite all’utente.Le infezioni rilevate vengono suddivise inbase al momento e al tipo di scansioneche ne ha accertato la presenza. Di se-guito le risultanze basate sulle tipologiedelle scansioni.E’ interessante evidenziare come le scan-sioni dell’amministratore e le scansionimanuali nell’80% dei casi risultino essereavviate dopo una segnalazione ricevutaattraverso controlli schedulati o in temporeale.Altro dato interessante viene fornito dallacategoria dei spyware, ossia tutti queimalware appositamente progettati pertracciare il comportamento degli utentidurante la navigazione web, e che pos-sono arrivare perfino a proporre pubbli-cità e a modificare preferiti, estensioni ebarre di ricerca dei principali browser.Tali tipi di infezioni, anche se general-mente sono viste con meno preoccupa-zione rispetto al rilevamento di virus, nonsono da sottovalutare in quanto portanoad una serie di malfunzionamenti chespaziano dalla semplice modifica della

preferenze dei browser alla raccolta diinformazioni sensibili utili a tracciare ilcomportamento dell’utente durante lanavigazione web.

SPAMCome ulteriore analisi, si propongono al-cuni grafici esplicativi delle risultanzeemerse dall’analisi dei filtri antispam,utili a comprendere la portata del feno-meno e ad evidenziare come un’ade-guata protezione dalla posta indesideratasia necessaria, sia per evitare costose per-

dite di tempo, sia per mitigare uno deiprincipali vettori di attacco.In media, per ogni indirizzo email, ven-gono rilevati circa 8 messaggi al giornoclassificati come spam. Com’è prevedibile,la problematica riguarda in maniera vi-stosa tutti quegli indirizzi che per loronatura sono pubblici, come le caselleinfo@. Tolta questa categoria, la mediasi abbassa sensibilmente fino a circa 4messaggi al giorno.E’ interessante evidenziare un significa-tivo dato emerso: circa il 45% dei mes-saggi di spam hanno come fine il phi-shing, il 15% contiene eseguibili, mentrela restante parte sia a scopo pubblicita-rio.Il seguente grafico illustra la proporzione:Interessante risulta essere anche la pro-venienza dei messaggi:

RANSOMWARELe analisi condotte hanno evidenziatoche il pericolo ransomware non è cessato.Solamente nel mese di marzo 2014, Ya-rix è intervenuta in 2 casi di incident re-sponse per mitigare i danni prodotti dainfezioni a scopo di riscatto.In questi episodi i vettori di infezionesono risultati essere:• Vulnerabilità sui servizi pubblicati via

web non adeguatamente gestite, chehanno portato all’infiltrazione del ran-somware.

• Esecuzione da parte dell’utente di un

38

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014

SPECIALE CYBERCRIME

9

Information S

ecurity Speciale D

icembre 2014

WEB SECURITY

file ricevuto per posta elettronica, con-tente codice malevolo.

Le varianti del ransomware riscontratesono le seguenti: • Trojan.Win32.FakeGdF, che propone

all’utente una falsa schermata di bloccoriportante falsi loghi e codice della

guardia di finanza e della polizia po-stale italiana;

• Win32/Crilock.A, comunemente cono-sciuto come cryptolocker, una delleprime versioni del malware.

In altri casi il security team Yarix è inter-venuto per debellare malware rivelatisidopo che gli IP pubblici in dotazione al-l’azienda erano finiti in blacklist a causadi pc infetti che provocavano trafficoanomalo.Le cause di queste situazioni sono daattribuirsi sia ad una configurazione er-rata delle difese perimetrali, sia all’ese-

cuzione di software malevolo da parte diutenti senza restrizioni sulla naviga-zione e sull’utilizzo dei dispositivi per-sonali.Altre tipologie di intervento si sono resenecessarie per bonificare servizi, comead esempio siti web violati e successiva-mente utilizzati come testa di ponte perportare altri attacchi.

CONCLUSIONI E PROSPETTIVEL’analisi svolta evidenzia per il 2014 lanecessità di mantenere costantementeaggiornati i propri sistemi come condi-

tio sine qua non per garantirel’operatività e l’efficienza del-l’infrastruttura, unitamente adun adeguato piano di con-trolli e verifiche sui sistemiaziendali, a partire dai servizinecessari al core business perestendersi in maniera capillarea tutte le zone dell’architetturainformatica.Particolare attenzione va postaalla necessità di un’adeguatapolitica di contenimentodelle minacce rivolte ai pro-dotti in scadenza di sup-

porto, come ad esempio alcuni sistemioperativi Microsoft, ancora largamenteutilizzati.Tentativi di attacchi basati su ingegne-ria sociale, specialmente tramite phi-shing, continuano ad essere usati, unita-mente ad attacchi di tipo APT (AdvancedPersistente Threats) con complessità di ri-levamento sempre maggiore.Da non sottovalutare infine il recentealert noto come Heartbleed e associatoal bug dell’Open SSL.La scoperta di questa vulnerabilità è su-bito stata seguita da una serie di con-tromisure, quali patch dei sistemi e rela-tivo cambio password (tale falla esistevainfatti da circa due anni). Tutto ciò perquanto riguarda l’ambito WAN: ma cosaè stato fatto in ambito LAN, dove spessoi sistemi sono paradossalmente più critici,

meno aggiornati e spesso poco monito-rati?Non si può escludere che venga diffusodel malware che sfrutti tale falla in am-bito LAN per rilevare informazioni sensi-bili come password di amministrazione esuccessivamente infettare i sistemi in-terni delle reti dove spesso le password siripetono.

Maggiori informazioni nel sitohttp://www.osservatoriosicurezzainfor-matica.org/L’Osservatorio Nazionale per la SicurezzaInformatica è anche su Facebook e Twit-ter.

39

Information S

ecurity n° 25m

ag/giu 2014

Tentativi di attacchi basati su ingegneria sociale,specialmente tramite phishing, continuano ad essereusati, unitamente ad attacchi di tipo APT (AdvancedPersistente Threats) con complessità di rilevamento

sempre maggiore“

”

10

Information S

ecurity Speciale D

icembre 2014

BUSINESS SOLUTION

CARM, LA NUOVA FRONTIERA DELLA

SICUREZZA INFORMATICA DI EXCLUSIVE NETWORKS

Essere all’avanguardia per Exclusive Networks non si-gnifica semplicemente es-sere in grado di rispondere alle esigenze di mercato con soluzioni appropriate ed ef-

ficaci, bensì riuscire a prevedere le necessità di un settore in continua evoluzione come quello della Sicu-rezza Informatica. Oggigiorno il tema caldo della IT security è senza dubbio il Cybercrime. Sono numerosi infatti i fattori che negli ultimi anni hanno portato a un significativo aumento nella frequenza e nella gravità degli attacchi ai sistemi informativi azien-dali. Tra questi il crescente numero dei device collegati all’infrastruttura ICT aziendale con le relative poli-cy ‘Bring Your Own Device’ (BYOD) adottate, le nuove opportunità of-ferte agli attacchi esterni dai servizi Cloud, la presenza di minacce sem-pre più sofisticate e quindi sempre più difficili da contrastare, come ad esempio combinazioni delle tecniche chiamate comunemente Advanced Persistent Threats (APTs). Le aziende spesso si concentrano solo sulla pre-

venzione delle eventuali violazioni ma trascurano di organizzare rispo-ste adeguate nel momento in cui, come purtroppo accade, l’intrusione abbia avuto successo.In tale contesto, la proposta di Exclusive Networks è CARM (Cyber Attack Remediation and Mitigation), una piattaforma che integra diverse soluzioni che affrontano le proble-matiche che seguono una violazione qualora le difese messe in campo non siano state in grado di identificare la minaccia. L’unicità di CARM sta nell’offrire una protezione dall’in-terno all’esterno della rete aziendale (accanto alla più tradizionale “dall’e-sterno all’interno”), che si rivela aspetto fondamentale nell’affronta-re gli APT. Essi infatti, possono an-nidarsi inosservati nell’infrastruttura ICT continuando a inviare dati chiave all’esterno della rete. CARM identifi-ca l’esportazione di tutti i dati e può verificare se queste informazioni sono contrarie alle policy aziendali e ai profili utenti offrendo moni-toraggio in tempo reale, analisi su vasta scala con rilevazione anoma-

lie, identificazione e classificazione rapida degli incidenti, rapida formu-lazione di una risposta, e report per avviare automaticamente il processo di protezione, identificazione, iso-lamento, risposta e bonifica. CARM riunisce le migliori soluzioni di Arbor Networks, FireEye, ForeScout, Imper-va, LogRhythm e Palo Alto Networks, combinandoli tra loro in modo tale da potersi integrare perfettamente in un ecosistema di sicurezza preesi-stente, non vanificando o sostituen-do gli investimenti già realizzati ma valorizzandoli e potenziandoli.

Exclusive Networks si conferma quindi come punto di riferimento nel mercato quando si parla di sicu-rezza ‘post breech’, grazie all’intu-izione di aver sviluppato una piat-taforma di soluzioni perfettamente integrate. CARM mette a disposizio-ne dei clienti le tecnologie più avan-zate nei diversi ambiti in una solu-zione completa che permette alle organizzazioni di identificare, conte-nere, rispondere, rimediare e mitiga-re l’impatto degli attacchi.

CYBER ATTACK REMEDIATION & MITIGATION

www.exclusive-networks.it

SCENARI








40

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014






http://www.exclusive-networks.it

SPECIALE CYBERCRIME

11

Information S

ecurity Speciale D

icembre 2014

SCENARI








40

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014






SCENARI








40

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014






SCENARI








40

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014






IL MALWARE DIVENTERÀ (MOLTO)

PIÙ CATTIVOEmilio Tonelli, Senior Sales Engineer South Europe perWatchGuard, ci parla delle nuove sfide che sipongono nel prossimo futuro: “La presenza di milionidi utenti, iscritti su qualunque sito e communityesistente, i social network, le banche dati,rappresenta una ghiotta occasione per i criminaliinformatici. Oggi è necessario quindi proteggere idati, non più solo le infrastrutture

Maria Giulia MazzoniDirettore

Responsabile

SPECIALE CYBERCRIME

12

Information S

ecurity Speciale D

icembre 2014

SCENARI

cambiato per sempre il modo di acquista-re, di relazionarsi, di comunicare tra i citta-dini e ora anche di interagire con (o anchecontro) le istituzioni. La rete ha anche cam-biato, abbattendoli completamente, i con-fini geografici e politici del nostro pianeta.Nato come manifestazione di disobbedienzacivile in qualche modo innovativa, l’hack-tivism ha messo le radici in un terreno fer-tile, poco governato e difficilmente gover-nabile ormai come Internet trasformando-si in un fenomeno complesso e delicato eche può essere sfruttato tanto in positivo,quanto in negativo su scala globale per sca-tenare vere e proprie “guerre digitali” o ani-mare proteste reali ben più movimentate.Così ci si ritrova con estrema rapidità ad en-trare in contatto con gli attivisti del grup-po X che sostengono la causa Y in un cer-to Paese Z e che ricambiano simpatizzan-do per le proprie e tutto questo richiede delcoordinamento e delle infrastrutture (ser-ver, supporto, strumenti). Qui entrano ingioco proprio gli hacktivist il cui scopo èquello di mettere a disposizione strumen-ti e competenze per i fini più disparati sup-portando cause che arrivano anche a met-tere in discussione e in imbarazzo gover-ni, multinazionali, ecc. Da una giusta cau-sa, una protesta pacifica a vere e proprieazioni di spionaggio in rete, atti criminalio a mettersi al servizio delle cause sbagliate,il passo può essere breve.

Un aspetto particolare riguarda quello de-gli attacchi noti contro InfrastruttureCritiche, che si posizionano al 3% del to-tale. Se parliamo di guerra digitale, crimini in-formatici e spionaggio digitale, come in ogniguerra che si possa definire tale, le infra-strutture critiche rappresentano l’obiettivosensibile per eccellenza. Ogni buon ufficia-le militare sa quanto sia importante dan-neggiare le infrastrutture critiche del nemi-co per porsi in condizione di superiorità con-flittuale. Aggiungiamo a questi elementi tat-tici la pervasività degli strumenti informa-tici e della interconnessione alla grande retee capiamo molto rapidamente che l’esposi-zione delle infrastrutture critiche oggi è unaquestione davvero importante, un dato di fat-to e prioritaria per la sicurezza di un Paese.Lei si immagina cosa accadrebbe se graziead un attacco o a una vulnerabilità di unsoftware riuscissero a paralizzare la rete elet-trica o idrica? I numeri relativi ai volumi sem-

brano piccoli e insignificanti, ma in realtà il3% del totale degli attacchi, rispetto allaquantità delle infrastrutture critiche (che nonsono tante quanto tutti gli altri servizi) è unnumero che inizia a diventare piuttosto ri-levante invece.

Per quanto riguarda la classificazionedegli attacchi in base alle tecniche utiliz-zate, spicca un ulteriore incremento de-gli attacchi DDoS che crescono in manie-ra esponenziale rispetto agli scorsi anni ecostituiscono il 14% degli eventi noti.Sebbene i grandi volumi di attacchi si con-centrino sui dati, DoD e DDoS in paricolarecontinuano ad avere la propria validità e ilproprio peso per gli effetti indiretti – dev-astanti – che causano alle vittime. Inter-rompere o rendere infruibile un servizio, ma-gari critico, causa danni economici e realimolto gravi.

Interessante, se così si può dire, l’aumen-to di attacchi basati su Account Crackinge soprattutto della categoria APT (AdvancedPersistent Threats) che passa dal 1% del2012 al 6% del 2013.Il tema delle APT è un tema a cui Wat-chGuard è molto sensibile. Abbiamo rileva-to anche noi un aumento di queste minac-ce e riteniamo essere un protezione così im-portante da richiedere un motore dedicatosui nostri apparati perimetrali. Il fenomenorientra nell’insieme dei processi complessi econtinuativi utilizzati dai cybercriminali perdotarsi di un bacino di host pronti e usabi-li sia per attingere direttamente ai dati del-le vittime sia per riutilizzare le vittime comepiattaforme di lancio di altri attacchi a ter-zi, attacchi a loro volta persistenti. La pro-tezione da queste minacce deve essere ne-cessariamente altrettanto complessa, ag-giornata ed efficace.

Dott Tonelli, studiare il proprio avversa-rio è senza dubbio importantissimo, ma c’èqualcosa che aziende e Istituzioni posso-no comunque fare per prevenire, per cosìdire, i danni? Sicuramente. C’è sempre qualcosa che si puòfare: vigilare dotandosi di strumenti di pro-tezione efficienti ed efficaci, aggiornare (odotarsi) procedure, competenze e cono-scenze. Presto, in alcuni ambienti, le prote-

zioni e le metodologie implementate nel tem-po non saranno più sufficienti, ma bisognaprepararsi da subito o si verrà colti impre-parati quando ormai i danni saranno gravie irreparabili. Effettuare il recovery di un di-sco o di un server è un danno riparabile, per-dere un dato o lasciare che vengo rubato èun danno irreparabile. Data Loss Prevention,APT Blocker e WatchGuard Dimension sonoad esempio alcune risposte che WatchGuardfornisce al mercato.

In questo particolare momento storicoquale potrebbe essere la regola d’oro perrestare immuni, o per lo meno diminui-re il rischio di subire danni gravi in casodi un attacco informatico?L’immunità non esiste, purtroppo. Per di-minuire i rischi invece bisogna agire d’anti-cipo lavorando sulle infrastrutture, sui sistemidi protezione sulle procedure d’uso e frui-zione. Non dimentichiamo anche l’aspettodi cultura generale degli utenti: siamo an-cora molto indietro e c’è ancora molto da faresu questo fronte per sensibilizzare gli uten-ti ad un uso più consapevole e sicuro deglistrumenti informatici moderni.

Potremmo concludere con una riflessio-ne. Il fenomeno globale del crimine in-formatico presenta aspetti preoccupantiche spingono aziende ed Istituzioni a con-frontarsi su un tema sempre più complessoed in perenne evoluzione. Va da se che gio-care d’anticipo potrebbe essere vantag-gioso. E’ possibile, oggi, prevedere comeevolverà il panorama delle minacce in-formatiche?Gli scenari di evoluzione sono complessi epiuttosto imprevedibili ma unendo le fon-ti, l’esperienza pluriennale sul campo e lacompetenza collettiva delle centinaia di mi-gliaia di clienti, WatchGuard ha ipotizzatouna serie di direttrici per il 2014http://www.watchguard.com/predic-tions/2014.asp. Sono tutte piuttosto reali-stiche, tra quelle che mi trovano maggior-mente d’accordo: “l’Internet of Things saràla vittima preferita” e “il malware divente-rà più cattivo”, aggiungo molto più cattivo,“gli hacker molesteranno il sistema sanita-rio”. Sono tre previsioni che condivido e chesi collegano splendidamente ai temi ogget-to di questa intervista!

41

Information S

ecurity n° 25m

ag/giu 2014

L’immunità non esiste, purtroppo. Per diminuire irischi invece bisogna agire d’anticipo lavorando sulle

infrastrutture, sui sistemi di protezione sulleprocedure d’uso e fruizione“ ”





SPECIALE CYBERCRIME

13

Information S

ecurity Speciale D

icembre 2014

Per affrontare la trasformazione di questo scenario, la sicurezzaaziendale deve evolvere per includere risposte veloci, agili e attive,non solo nei confronti delle nuove minacce, ma anche esoprattutto di quelle esistenti.Molte aziende non ci sono ancora riuscite

L’EVOLUZIONEDEL CONCETTODI SICUREZZA

PRIMO PIANO

Stefano PaganelliLine of BusinessNetwork Integration & Securitydi Dimension Data Italia

Le minacce informatiche non sonostatiche e continuano a lavorare attiva-mente ai danni di infrastrutture, applica-zioni, informazioni e del personale delleorganizzazioni. Per affrontare la trasfor-mazione di questo scenario, la sicurezzaaziendale deve evolvere per includere ri-sposte veloci, agili e attive, non solo neiconfronti delle nuove minacce ma anchee soprattutto di quelle esistenti e note chemolte aziende non sono ancora riuscite amitigare. Contrastare questo nuovo sce-nario con soluzioni tradizionali è sinoni-mo di fallimento. Tutte le organizzazio-ni, indipendentemente dalle dimensioni edal settore in cui operano, sono interes-sate da una continua estensione del pe-rimetro aziendale dettata dall’introduzionedei nuovi dispositivi mobili richiesti dai di-pendenti per poter avere sempre accessoa risorse e funzionalità aziendali, desta-bilizzando così il ruolo dei controlli di si-curezza tradizionali. Pertanto, le organizzazioni devono ri-spondere con approcci differenti e un mo-

dello di sicurezza che non è più legato alconcetto di protezione dei singoli dispo-sitivi ma alla protezione di funzionalità edati. Senza basi di sicurezza appropriate,le organizzazioni non sono in grado diabilitare le capacità avanzate e dinamichenecessarie per contrastare le nuove mi-nacce. La sicurezza deve essere insita nelle ap-plicazioni che stanno cominciando a di-ventare portatrici e, in alcuni casi, fontedi rischi aziendali. Non è più tanto unaquestione di quanto l’applicazione sia si-cura ma di come sia stata sviluppata, ar-chitettata, configurata e mantenuta neltempo in modo sicuro.

IL MUTEVOLE PANORAMA DELLEMINACCE INFORMATICHE La sicurezza consta di miglioramenticontinui, vigilanza e risposte alle dina-miche dei cambiamenti. Alcune recentiviolazioni ad alto livello testimoniano lanecessità di fondamentali di sicurezza con-solidati e di come sia importante osser-

vare alcuni controlli basilari come il man-tenere una segmentazione di rete appro-priata, un processo dinamico per la ge-stione delle patch e un processo di rispostaagli eventi. Il Global Threat Intelligen-ce Report, realizzato dalle aziende delgruppo NNT, tra cui Dimension Data, de-scrive come il mutevole mondo delle mi-nacce abbia appena cominciato a impat-tare le implementazioni di sicurezza a lun-go termine e come continuerà a plasma-re l’ambito della sicurezza informaticaaziendale in futuro. Mentre il rischio si modella dinamica-mente, la velocità e l’agilità di business,legate all’elevata mobilità delle nuove or-ganizzazioni, hanno modificato profon-damente il significato e l’impatto dei pas-sati investimenti nella sicurezza. Gli in-dividui, a livello personale e professiona-le, stanno consumando, movimentando earchiviando oggetti di dati come mai pri-ma d’ora. E questi dati non sono più con-finati alla rete aziendale, ma piuttosto di-stribuiti su vasti domini all’interno del-

6

Info

rmat

ion

Sec

urity

n°

26lu

g/ag

o 20

14

ppL’EVOLUZIONEDEL CONCETTODI SICUREZZA

PRIMO PIANO

Stefano PaganelliLine of BusinessNetwork Integration & Securitydi Dimension Data Italia

Le minacce informatiche non sonostatiche e continuano a lavorare attiva-mente ai danni di infrastrutture, applica-zioni, informazioni e del personale delleorganizzazioni. Per affrontare la trasfor-mazione di questo scenario, la sicurezzaaziendale deve evolvere per includere ri-sposte veloci, agili e attive, non solo neiconfronti delle nuove minacce ma anchee soprattutto di quelle esistenti e note chemolte aziende non sono ancora riuscite amitigare. Contrastare questo nuovo sce-nario con soluzioni tradizionali è sinoni-mo di fallimento. Tutte le organizzazio-ni, indipendentemente dalle dimensioni edal settore in cui operano, sono interes-sate da una continua estensione del pe-rimetro aziendale dettata dall’introduzionedei nuovi dispositivi mobili richiesti dai di-pendenti per poter avere sempre accessoa risorse e funzionalità aziendali, desta-bilizzando così il ruolo dei controlli di si-curezza tradizionali. Pertanto, le organizzazioni devono ri-spondere con approcci differenti e un mo-

dello di sicurezza che non è più legato alconcetto di protezione dei singoli dispo-sitivi ma alla protezione di funzionalità edati. Senza basi di sicurezza appropriate,le organizzazioni non sono in grado diabilitare le capacità avanzate e dinamichenecessarie per contrastare le nuove mi-nacce. La sicurezza deve essere insita nelle ap-plicazioni che stanno cominciando a di-ventare portatrici e, in alcuni casi, fontedi rischi aziendali. Non è più tanto unaquestione di quanto l’applicazione sia si-cura ma di come sia stata sviluppata, ar-chitettata, configurata e mantenuta neltempo in modo sicuro.

IL MUTEVOLE PANORAMA DELLEMINACCE INFORMATICHE La sicurezza consta di miglioramenticontinui, vigilanza e risposte alle dina-miche dei cambiamenti. Alcune recentiviolazioni ad alto livello testimoniano lanecessità di fondamentali di sicurezza con-solidati e di come sia importante osser-

vare alcuni controlli basilari come il man-tenere una segmentazione di rete appro-priata, un processo dinamico per la ge-stione delle patch e un processo di rispostaagli eventi. Il Global Threat Intelligen-ce Report, realizzato dalle aziende delgruppo NNT, tra cui Dimension Data, de-scrive come il mutevole mondo delle mi-nacce abbia appena cominciato a impat-tare le implementazioni di sicurezza a lun-go termine e come continuerà a plasma-re l’ambito della sicurezza informaticaaziendale in futuro. Mentre il rischio si modella dinamica-mente, la velocità e l’agilità di business,legate all’elevata mobilità delle nuove or-ganizzazioni, hanno modificato profon-damente il significato e l’impatto dei pas-sati investimenti nella sicurezza. Gli in-dividui, a livello personale e professiona-le, stanno consumando, movimentando earchiviando oggetti di dati come mai pri-ma d’ora. E questi dati non sono più con-finati alla rete aziendale, ma piuttosto di-stribuiti su vasti domini all’interno del-

6

Info

rmat

ion

Sec

urity

n°

26lu

g/ag

o 20

14

ppL’EVOLUZIONEDEL CONCETTODI SICUREZZA

Stefano PaganelliLine of Business

Network Integration & Securitydi Dimension Data Italia

SCENARI








40

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014






SPECIALE CYBERCRIME

14

Information S

ecurity Speciale D

icembre 2014

PRIMO PIANO

Per affrontare la trasformazione di questo scenario, la sicurezzaaziendale deve evolvere per includere risposte veloci, agili e attive,

non solo nei confronti delle nuove minacce, ma anche esoprattutto di quelle esistenti.

Molte aziende non ci sono ancora riuscite

l’organizzazione, su cloud pubblici e pri-vati, tra i social media. La protezione deidati non è più legata ai confini azienda-li ma si estende all’interno di un ambientefluido complesso che supera i confini geo-grafici e organizzativi. I flussi di dati ora sono radicati nel con-testo aziendale, in quanto le applicazio-ni, gli utenti e le reti spostano le infor-mazioni dove necessario, possibilmente ar-chiviandole localmente in caso di richie-ste di accesso future. A tutto ciò si lega la responsabilità dellasicurezza e la gestione del crescente va-lore delle informazioni che può essere pre-teso dal flusso di dati. Le applicazioni nonsono solo una capacità a disposizione de-gli utenti finali ma piuttosto l’involucrodella sicurezza che gestisce il contenito-re di questi flussi di dati. La proliferazione dei “data-objects” è di-ventata un’entità vivente effettiva e se-parata, un Internet of Things, e continueràa evolvere in futuro. Con ciò, la rete del-l’ambiente per la manutenzione della si-

curezza continua a crescere e ad esten-dersi. Le organizzazioni per la sicurezzadevono affrontare molte sfide nell’ambi-to dei modelli operativi di sicurezza esi-stenti per mantenere l’involucro attornoai “data-objects”, soprattutto quandoambienti esterni e interni vengono indi-rizzati differentemente. Mentre le aziende sono costrette a seguireuna sicurezza proprietaria, i cyber-terro-risti e le organizzazion criminali stanno in-calzando il ritmo degli attacchi informa-tici. Gli incidenti legati a queste attivitànon sono più solo eventi di sicurezza iso-lati ma rappresentano un cambiamentoverso incursioni a lungo termine. La re-sponsabilità della sicurezza consiste nel ga-rantire la continuità dell’operatività di bu-siness in ambienti completamente diffe-renti rispetto a quello che le capacità pro-prietarie sono chiamate a gestire. Non sitratta più della protezione delle infra-strutture critiche ma della sicurezza e del-la protezione dell’organizzazione, deidati e delle persone. La sicurezza di base

intrinseca diventa così un nuovo modusoperandi dell’azienda e non un elemen-to secondario. ALCUNI DATIIl Report sottolinea che il perimetro di retetradizionale è sempre più sottile e i sin-goli endpoints stanno diventando il ba-luardo per la mitigazione attiva delle mi-nacce, come dimostrato da alcuni datiquali: • Il 43% degli ingaggi per rispondere agli

incidenti è legato a malware verso unparticolare terminale, evidenziando unamancanza di controlli di base (anti-vi-rus, anti-malware) e della gestione ef-ficace del ciclo di vita di applicazioni,sistemi operativi e strumenti di sicurezza.

• Il 54% dei malware creati per insediar-si nei sistemi compromessi non vengo-no rilevati dalle soluzioni di antivitrusin essere. Inoltre, anche il 71% dei nuo-vi malware creati a scopo di lucro o persottrarre informazioni da questi sisteminon sono stati rilevati. Questo dato sup-porta il presupposto che le semplici so-

7

Information S

ecurity n° 26lug/ago 2014

SPECIALE CYBERCRIME

15

Information S

ecurity Speciale D

icembre 2014

PRIMO PIANO

luzioni antivirus non sono in grado didifendere completamente gli endpointda molti degli attacchi moderni e de-vono essere rafforzate con la rilevazio-ne dei malware di rete e soluzioni pro-gettate allo scopo.

• Un ambiente aperto come quello del-l’istruzione detiene la più alta percen-tuale (42%) di eventi di malware. Que-sto è dovuto in gran parte ai modelli diaccesso aperti, tipici delle università, edall’incapacità di rafforzare i controlli disicurezza delle migliaia di dispositivi de-tenuti dagli studenti.

La sicurezza delle applicazioni è semprestata vista come un’aggiunta all’effetti-va capacità di business e rappresenta an-cora troppo spesso un punto di debolez-za delle organizzazioni. Questo viene di-mostrato da:• La sicurezza di base delle applicazioni

è spesso la causa principale degli inci-denti. All’interno di questo report ven-gono riportati come molti dei costi as-sociati a mitigare gli incidenti sono do-vuti alla mancanza o a impropri controllidi base, pianificazioni inadeguate e

mancanza di formazione. • Le organizzazioni devono comprende-

re il reale costo di un incidente, inclu-si i costi diretti e indiretti che intacca-no la reputazione, e imparare come unpiccolo investimento possa ridurre leperdite di circa il 95%.

• Il 77% delle organizzazioni supporta-te durante le attività di risoluzione de-gli incidenti non aveva implementato unpiano di risposta agli incidenti. Il datoinquietante che emerge è quindi che lamaggior parte delle organizzazioni hainvestito poco o niente nella definizio-ne e validazione (attraverso test effica-ci) di un piano per superare gli eventicritici e minimizzare così i danni ai pro-pri sistemi, ai clienti e nei confronti del-la propria reputazione.

• Il 31% degli ingaggi per rispondere agliincidenti è relativo ad attacchi Distri-buted Denial of Service (DDoS). Molteorganizzazioni non hanno ancora com-preso l’impatto che un simile attaccopuò avere o credono che non sarannomai prese di mira. In questo modo tra-scurano il budget per controlli proatti-

vi per mitigare gli attacchi DDoS. Il fat-to di ricorre a budget, all’acquisto di so-luzioni e all’ottenere l’approvazione perimplementare controlli mentre un at-tacco DDoS è in corso si è dimostratoessere inefficace.

• Gli attacchi botnet corrispondono al34% degli eventi osservati nel 2013. Il60% di questi attacchi hanno come pri-mo obiettivo il settore sanitario, tec-nologico e finanziario. Questo riflettecome molti di questi mercati si affidi-no all’uso e al flusso di informazioni ecome siano dipendenti dal mantenerela sicurezza delle applicazioni per la con-tinuità di business.

Maggiore è il focus sulla sicurezza in unaspecifica area, minore è il rischio per lastessa area. Se questa può sembrare unaconsiderazione ovvia, risulta invece diffi-cile da quantificare realmente. Le metri-che degli investimenti per la sicurezza del-le informazioni non devono necessaria-mente essere paragonate direttamente alsuccesso. Tuttavia le organizzazioni cheaccelerano verso ruoli più proattivi han-no ottenuto delle riduzioni rispetto a pro-

Info

rmat

ion

Sec

urity

n°

26lu

g/ag

o 20

14

8

SPECIALE CYBERCRIME

16

Information S

ecurity Speciale D

icembre 2014

PRIMO PIANO

pri pari meno focalizzati. • Le organizzazioni che adottano le in-

dicazioni Payment Card Industry (PCI)riescono a indirizzare meglio le vulne-rabilità legate al perimetro.

Le organizzazioni che effettuano perio-dicamente analisi esterne tramite PCIAuthorized Scanning Vendor (ASV) pre-sentano minori casi di vulnerabilità cosìcome un miglior tempo di remediation(35%) rispetto a organizzazioni che ef-fettuano analisi ma senza requisiti nor-mativi simili. • La gestione matura delle vulnerabilità

riduce l’esposizione alle minacce e le or-ganizzazioni che utilizzano un proces-so di Vulnerability Lifecycle Manage-ment (VLM) beneficiano di un risparmiodel 20% nelle tempistiche di risoluzio-ne.

Le misure per la sicurezza in essere, di basee ripetibili, sono il fulcro per il successodi un’organizzazione nel soddisfare le sfi-de di sicurezza immediate così come nel-l’indirizzare la direzione futura della si-curezza delle informazioni. Questo vienedimostrato da dati come:• Il 50% delle vulnerabilità rilevate nel

2013 erano già state identificate ed eti-chettate come Common Vulnerabilitiesand Threats (CVE®) tra il 2004 e il 2011.Questo indica un gap significativo tra lefasi di rilevazione e risoluzione di VLM,che indica, ancora una volta, una man-canza dei controlli di sicurezza di base.

• Le organizzazioni sono sempre di più arischio vulnerabilità. I dati raccolti nel2013 dimostrano che molte organizza-zioni non sono protette contro le co-muni vulnerabilità.

• I cosiddetti “Exploit Kits” stanno au-mentando la loro potenzialità di sfrut-tare vulnerabilità recenti. Le ultime ri-cerche indicano che gli sviluppatori diquesti “kits” stanno sia utilizzando gliexploits meno recenti che promuoven-done di più nuovi, come dimostrato dalfatto che il 78% degli attuali “exploitkits” sfruttano vulnerabilità create menodi due anni fa.

RACCOMANDAZIONIMolte sono le opportunità per le azien-de di migliorare il proprio profilo controle minacce ed enfatizzare le tecniche avan-zate per individuare, studiare e risponde-re agli attacchi. Il Report illustra come

molte organizzazioni non stiano mante-nendo i controlli di base e, in virtù del fat-to che le minacce stanno diventando sem-pre più sofisticate, le organizzazioni de-vono evolvere per indirizzare i trend e gliattacchi attuali. Le informazioni del Report possono essereutilizzate per migliorare la sicurezza ope-rativa e dimostrano come un’implemen-tazione e una gestione appropriate insiemea un adattamento di controlli comprova-ti possano aiutare le organizzazioni a ri-durre il rischio, evitando minacce e com-primendo la tempistica di mitigation. • Rispondere alle minacce al perimetro.

Come indicato precedentemente, leminacce stanno cambiando e il peri-

metro aziendale sta mutando comple-tamente rispetto a quello concepito tra-dizionalmente. Per soddisfare un peri-metro più ridotto, i componenti chia-ve che possono essere introdotti oggi in-cludono l’utilizzo della gestione dellepatch e programmi di anti-virus permantenere un’ultima difesa. Se combinato con inventari accurati de-gli asset e aumento degli SLA, questicontrolli di base possono aiutare le or-ganizzazioni a limitare i rischi derivan-ti da vulnerabilità note e dagli elementidi attacco più comuni.

• Utilizzare una gestione efficace dellepatch per proteggersi da minaccereali. La gestione efficace delle patchnon è semplice e l’installazione tem-pestiva di ogni singola patch su ognisingolo sistema è spesso impraticabile.Inoltre, gli attentatori spesso si avvan-taggiano dei lunghi tempi di remeditiondei vendor. Le organizzazioni devono

prestare attenzione alle problematicheche potrebbero incorrere nel mondo rea-le e devono garantire priorità alle con-tromisure contro questi exploit.

• Definire e testare le risposte agli in-cidenti. Ancora troppe organizzazionidispongono di programmi di rispostaagli incidenti non testati, immaturi oinesistenti. Questo le rende imprepara-te ad attacchi inevitabili, soprattutto inun mondo in continua evoluzione dovele organizzazioni non sono più sicure.Una risposta appropriata agli incidentiè cruciale per minimizzare l’impatto del-le violazioni della sicurezza. Tutte le or-ganizzazioni necessitano di documen-tare, testare e mantenere efficaci pro-

cedure di risposta agli incidenti. • Beneficiare delle nuove tecniche e tec-

nologie. Anche se la gestione delle patche gli anti-virus sono componenti criti-ci di un programma di sicurezza, di-venteranno sempre meno fondamentalinei prossimi anni. Le nuove tecnologieincludono funzionalità come le tecni-che di isolamento delle applicazioni, mi-cro VM, gli ambienti di test e appren-dimento automatico. Queste tecnologiesi focalizzano sul controllo e l’isola-mento delle applicazioni, il conteni-mento degli incidenti e la rilevazione ra-pida attraverso analitiche comporta-mentali. Queste tecnologie partonodall’assunto che il perimetro cederà conun inevitabile danno per l’azienda e an-che se alcune tecniche preventive pos-sono aiutare, il miglior approccio di-fensivo è quello di limitare l’esposizio-ne e individuare (e rispondere) veloce-mente agli incidenti.

9

Information S


Mentre le aziende sono costrette a seguire unasicurezza proprietaria, i cyber-terroristi e le

organizzazion criminali stanno incalzando il ritmodegli attacchi informatici“

”

SPECIALE CYBERCRIME

17

Information S

ecurity Speciale D

icembre 2014

ATTACCHI NTPIL TEMPO PER LE AZIENDE

STA PER SCADERE

Gli attacchi a riflessione NTP sfruttano i server NTPpresenti su Internet il cui scopo è quello disincronizzare gli orologi dei nostri laptop,smartphone, tablet e altri dispositivi connessi alleinfrastrutture di rete

WEB SECURITY

ATTACCHI NTPIL TEMPO PER LE AZIENDESTA PER SCADERE

Gli attacchi a riflessione NTP sfruttano i server NTPpresenti su Internet il cui scopo è quello disincronizzare gli orologi dei nostri laptop,

smartphone, tablet e altri dispositivi connessi alleinfrastrutture di rete

Ivan StranieroCountry Manager, Italy &SE Europe Arbor Networks

Le metodologie e i meccanismi di at-tacco sono in costante cambiamento edevoluzione man mano che i malinten-zionati scoprono nuovi metodi (o ne riu-tilizzano di vecchi) per tentare di rag-giungere i loro scopi. Nell’anno in corsoun meccanismo di attacco DDoS (Distrib-uted Denial of Service) si è fatto davveronotare fino a questo momento: l’utilizzodel protocollo NTP (Network Time Pro-tocol) per amplificare i volumi di traf-fico generati dagli attaccanti.Gli attacchi a riflessione NTP sfruttanoi server NTP presenti su Internet il cuiscopo è quello di sincronizzare gliorologi dei nostri laptop, smartphone,tablet e altri dispositivi connessi alle in-frastrutture di rete. Alcuni server NTPpossono essere usati per amplificare lecapacità di un attaccante: il trafficoviene diretto da questi a uno o piùserver NTP vulnerabili con un indirizzodi origine fittizio (corrispondente inquesto caso a quello della vittima); ilserver NTP risponde al comando inviatodall’attaccante, ma la risposta viene di-

retta verso la vittima con un volume ditraffico fino a 1000 volte superiorerispetto a quello generato originaria-mente dall’attaccante.Gli attacchi NTP rappresentano un serioproblema a causa dell’elevato rapportodi amplificazione, del numero relati-vamente grande di server vulnerabilipresenti su Internet, e della mancanzadi filtri anti-spoofing all’interno dimolte reti. Sono diventati facilmentedisponibili appositi tool che lancianoattacchi e contemporaneamente rile-vano i server vulnerabili, tanto che moltiservizi DDoS commerciali supportanoormai questo particolare vettore di at-tacco. Di conseguenza per un attac-cante è facile generare traffico suffi-ciente a saturare la connettività Internetdella maggior parte delle aziende e deidata centre Internet più piccoli.Gli attacchi a riflessione NTP non sonoun problema per niente nuovo, ma è solodall’ottobre 2013 che sono apparsi suiradar di molte aziende. Numerosi attac-chi NTP ben pubblicizzati sono stati lan-

ciati contro servizi di online gaming perostacolare lo svolgimento di eventi pro-fessionali di alto profilo, interferire con ilanci di nuovi prodotti e scatenarevendette contro giocatori concorrenti.L’eco mediatico di questa sequenza di at-tacchi sembra aver reso popolare la rif-lessione NTP come vettore di attacco,portando nel primo trimestre del 2014 aquella che è stata probabilmente la tem-pesta più concentrata di grandi attacchiDDoS volumetrici mai registrata nellastoria.Per spiegare meglio questo punto bastipensare che il sistema Arbor ATLAS, av-valendosi dei dati condivisi da oltre 290service provider di tutto il mondo, haosservato nel 2013 un numero di attac-chi con banda oltre i 20Gb/sec più diotto volte superiore rispetto a quello del2012. Nel primo trimestre del 2014,ATLAS ha registrato 1,5 volte il numerodi attacchi oltre 20 Gb/sec di tutto il2013! Sempre nel primo trimestre diquest’anno sono stati monitorati 72eventi da oltre 100Gb/sec, il maggiore dei

24

Info

rmat

ion

Sec

urity

n°

26lu

g/ag

o 20

14

Ivan StranieroCountry Manager, Italy &

SE Europe Arbor Networks

WEB SECURITY

ATTACCHI NTPIL TEMPO PER LE AZIENDESTA PER SCADERE



Ivan StranieroCountry Manager, Italy &SE Europe Arbor Networks

Le metodologie e i meccanismi di at-tacco sono in costante cambiamento edevoluzione man mano che i malinten-zionati scoprono nuovi metodi (o ne riu-tilizzano di vecchi) per tentare di rag-giungere i loro scopi. Nell’anno in corsoun meccanismo di attacco DDoS (Distrib-uted Denial of Service) si è fatto davveronotare fino a questo momento: l’utilizzodel protocollo NTP (Network Time Pro-tocol) per amplificare i volumi di traf-fico generati dagli attaccanti.Gli attacchi a riflessione NTP sfruttanoi server NTP presenti su Internet il cuiscopo è quello di sincronizzare gliorologi dei nostri laptop, smartphone,tablet e altri dispositivi connessi alle in-frastrutture di rete. Alcuni server NTPpossono essere usati per amplificare lecapacità di un attaccante: il trafficoviene diretto da questi a uno o piùserver NTP vulnerabili con un indirizzodi origine fittizio (corrispondente inquesto caso a quello della vittima); ilserver NTP risponde al comando inviatodall’attaccante, ma la risposta viene di-

retta verso la vittima con un volume ditraffico fino a 1000 volte superiorerispetto a quello generato originaria-mente dall’attaccante.Gli attacchi NTP rappresentano un serioproblema a causa dell’elevato rapportodi amplificazione, del numero relati-vamente grande di server vulnerabilipresenti su Internet, e della mancanzadi filtri anti-spoofing all’interno dimolte reti. Sono diventati facilmentedisponibili appositi tool che lancianoattacchi e contemporaneamente rile-vano i server vulnerabili, tanto che moltiservizi DDoS commerciali supportanoormai questo particolare vettore di at-tacco. Di conseguenza per un attac-cante è facile generare traffico suffi-ciente a saturare la connettività Internetdella maggior parte delle aziende e deidata centre Internet più piccoli.Gli attacchi a riflessione NTP non sonoun problema per niente nuovo, ma è solodall’ottobre 2013 che sono apparsi suiradar di molte aziende. Numerosi attac-chi NTP ben pubblicizzati sono stati lan-

ciati contro servizi di online gaming perostacolare lo svolgimento di eventi pro-fessionali di alto profilo, interferire con ilanci di nuovi prodotti e scatenarevendette contro giocatori concorrenti.L’eco mediatico di questa sequenza di at-tacchi sembra aver reso popolare la rif-lessione NTP come vettore di attacco,portando nel primo trimestre del 2014 aquella che è stata probabilmente la tem-pesta più concentrata di grandi attacchiDDoS volumetrici mai registrata nellastoria.Per spiegare meglio questo punto bastipensare che il sistema Arbor ATLAS, av-valendosi dei dati condivisi da oltre 290service provider di tutto il mondo, haosservato nel 2013 un numero di attac-chi con banda oltre i 20Gb/sec più diotto volte superiore rispetto a quello del2012. Nel primo trimestre del 2014,ATLAS ha registrato 1,5 volte il numerodi attacchi oltre 20 Gb/sec di tutto il2013! Sempre nel primo trimestre diquest’anno sono stati monitorati 72eventi da oltre 100Gb/sec, il maggiore dei

24

Info

rmat

ion

Sec

urity

n°

26lu

g/ag

o 20

14

SCENARI








40

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014






SPECIALE CYBERCRIME

18

Information S

ecurity Speciale D

icembre 2014

WEB SECURITY

quali è stato un attacco da 325 Gb/secdiretto contro un bersaglio in Francia: siè trattato del più grande attacco verifi-cato mai osservato su Internet.Considerate le dimensioni e la frequenzadi questi attacchi, le aziende devonoaccertarsi di disporre di difese adeguatedal DDoS. Dai grandi ISP alle grandiimprese, tutte le aziende devono af-frontare i rischi presentati dai grandi at-tacchi DDoS volumetrici. In presenza diservizi, configurazioni, procedure esoluzioni adeguate, le aziende possonoproteggere efficacemente esse stesse e iloro clienti da questa minaccia:• Prevenendo abusi - i service provider

devono assicurarsi di disporre di filtrianti-spoofing al punto di contatto trale loro reti e quelle dei loro clienti

• Bonificando i servizi NTP - leaziende dovrebbero effettuare proat-tivamente scansioni e bonifiche deiservizi NTP vulnerabili in modo daridurre le capacità a disposizione degliattaccanti

• Rilevando gli attacchi - le aziendedevono sfruttare la telemetria di flussoper rilevare, classificare, ritracciare esegnalare proattivamente gli attacchiDDoS. Idealmente, dovrebbero essereusate configurazioni specifiche per fa-cilitare l’individuazione e la mit-igazione precoce degli attacchi a rif-lessione NTP

• Attivando misure di mitigazione -mediante la preconfigurazione di tec-niche di mitigazione basate su rete(p. es. Flowspec, blackhole, meccan-ismi di QoS ecc.) in modo che sianogià pronte quando occorre. Necessarioanche il deployment di servizi esoluzioni di mitigazione intelligenti

• Mitigando gli attacchi - occorre ac-certarsi che i team addetti alle oper-azioni conoscano bene i tool e i pro-cessi necessari ad affrontareefficientemente l’attuale generazionedi attacchi NTP.

Con la prosecuzione degli attacchi a ri-flessione NTP è diventato quanto maiimportante che le aziende dispongano didifese attivate; configurando le infra-strutture di sicurezza e di rete in modoappropriato e ottenendo una migliorecomprensione di questa minaccia, leaziende possono difendersi con suc-cesso.

25

Information S




In presenza di servizi, configurazioni, procedure esoluzioni adeguate, le aziende possono proteggere

efficacemente esse stesse e i loro clienti: prevenendoabusi, bonificando i servizi NTP, rilevando gli

attacchi, attivando misure di mitigazione emitigando gli attacchi

“”

ABOUT ARBOR NETWORKSArbor Networks, Inc. aiuta a proteggere le più grandi reti enterprise e serviceprovider da attacchi DDoS e minacce avanzate. Secondo Infonetics Research, in-fatti, Arbor è il principale fornitore al mondo di protezione DDoS nei segmentienterprise, carrier e mobile. Le soluzioni alle minacce avanzate di Arbor offronouna visibilità completa della rete combinando cattura dei pacchetti e tecnolo-gia NetFlow, in modo da consentire la rapida individuazione e mitigazione dimalware e minacce interne. Arbor, inoltre, fornisce risorse importanti perl’analisi storica, la visualizzazione, l’indagine e la risposta agli incidenti di si-curezza. Arbor vuole essere un “moltiplicatore di forze”, facendo rete e creandosquadre di esperti. Il nostro obiettivo è quello di fornire un’immagine più ac-curata delle reti e del contesto di sicurezza, così che i clienti possano risolverei problemi più velocemente e ridurre il rischio per il proprio business.Per ulte-riori informazioni sui prodotti e servizi Arbor, è possibile visitare il sito web al-l’indirizzo arbornetworks.com. Ricerche, analisi, approfondimenti e i dati pro-venienti dal sistema di monitoraggio delle minacce globali ATLAS® possonoessere consultati su ATLAS Threat Portal.

SPECIALE CYBERCRIME

19

Information S

ecurity Speciale D

icembre 2014

15

Information S

ecurity n. 28 nov/dic 2014

Si potrebbe pensare che la minac-cia degli attacchi informatici stia dimi-nuendo, ma non è così. I cyber criminali stanno semplicemente diventando più furbi. Sono sempre più abili nel rubare dati archiviati, in transito e cifrati. Per questo motivo, le aziende di ogni set-tore devono comprendere che nessuno è immune dalle violazioni dei dati. La battaglia contro il cybercrime è ancora in corso, e risulta necessario adottare un intervento più mirato. La sfida per tutte le aziende è quindi quella di rimanere in allerta ed essere sempre un passo avanti.

Oggi è disponibile un quadro più chiaro sul mondo della criminalità informati-ca, grazie anche al Verizon 2014 Data Breach Investigations Report (DBIR) che ha identificato le tipologie di attac-co specifiche per ogni settore, introdu-cendo un approccio più mirato ed effi-cace per combattere gli hacker.

Dopo aver analizzato dieci anni di dati nella nostra serie di Data Breach Investi-gations Report, abbiamo compreso che la maggior parte delle aziende non è in grado di tenere testa al cybercrime, e i “Bad Guys” stanno vincendo. Tuttavia, siamo convinti che applicando big data analytics alla gestione del rischio di si-curezza si possa iniziare ad affrontare il

problema e combattere il cybercrime in modo più efficace e strategico.

UNO SGUARDO AL REPORTGiunta al settimo anno di pubblicazio-ne, l’edizione 2014 del report analizza oltre 1.300 violazioni accertate e più di 63.000 incidenti di sicurezza segnalati. Per meglio comprendere il panorama della sicurezza informatica, il DBIR co-pre per la prima volta anche gli incidenti che non hanno dato origine a violazio-ni. Nei dieci anni di vita dello studio, il totale delle violazioni registrate è ora superiore ai 5,900 casi. Verizon è tra le 50 organizzazioni di tutto il mondo che hanno fornito dati e analisi.

Nel report di quest’anno abbiamo raccol-to 10 anni di analisi e abbiamo coinvolto un numero maggiore di partner rispetto al passato. La nostra analisi è cambiata perché il nostro campione è cambiato e siamo quindi stati in grado di identifica-re trend che non erano visibili in prece-denza. Poiché il data set è diventato più ampio, abbiamo dovuto anche modifi-care il nostro approccio all’analisi, non potendo analizzare 100.000 incidenti in un foglio di calcolo. Attraverso l’uti-lizzo degli strumenti di analisi abbiamo potuto quindi individuare tutte quel-le informazioni necessarie alle aziende

Pietro RivaSales Manager Security Services, for Southern Europe, Verizon

I “BAD GUYS” CONTINUERANNO A VINCERE?come prevenire e combattere il cybercrime per stare sempre un passo avanti

CYBERCRIME

CYBERCRIMESCENARI








40

Info

rmat

ion

Sec

urity

n°

25m

ag/g

iu 2

014






SPECIALE CYBERCRIME

20

Information S

ecurity Speciale D

icembre 2014

16

Info

rmat

ion

Sec

urity

n. 2

8 no

v/di

c 20

14

per supportare il processo decisionale. Quando le organizzazioni combinano valide strategie con una buona prassi di esecuzione, allora stanno utilizzando in maniera efficace il proprio budget desti-nato alla sicurezza.

RISULTATI PIÙ MIRATI EVIDENZIANO LE TIPOLOGIE DI MINACCIA SPECIFICHE PER OGNI SETTOREQuest’anno, anziché concentrarci sul confronto fra i diversi settori, abbia-mo adottato un approccio diverso e ci siamo focalizzati sui principali vertical, evidenziando quali modelli di minaccia sono rilevanti per ognuno di loro nel-lo specifico. Abbiamo sempre cercato di promuovere un approccio alla gestione del rischio basato su prove. Questo re-port ha superato quelli precedenti nel rendere tutto ciò possibile, identificando

i principali scenari di violazione di ogni settore e fornendo consigli su come di-fendersi.

Il DBIR identifica nove tipologie: errori vari come l’invio di email a destinatari sbagliati; crimeware (malware che punta al controllo dei sistemi); azioni di perso-nale interno o utilizzo improprio di pri-vilegi e autorizzazioni; perdite o furti fi-sici; attacchi a web app; attacchi Denial of Service; cyberspionaggio; intrusioni nei sistemi POS (Point-of-Sale); skimmer per carte di pagamento. Ciò che risulta impressionante è che l’edizione del Re-port di quest’anno ha rilevato che in me-dia solo tre di queste tipologie coprono il 72% degli incidenti di tutti i settori.

Nel settore dei servizi finanziari, ad esempio, il 75% degli incidenti deriva

da attacchi contro le applicazioni Web, da attacchi DDoS (Distributed Denial of Service) e dallo skimming di carte, mentre il 54% di tutti gli attacchi diretti al settore manifatturiero è attribuito a cyberspionaggio e DDoS. Nel settore re-tail la maggior parte degli attacchi pro-viene da DDoS (33%), con le intrusioni sui POS che seguono al 31%.

In sostanza volevamo che i lettori fos-sero in grado di agire dopo la lettura del report, così ci siamo focalizzati sugli attacchi più comuni presenti nel nostro data set, analizzando i dati per settore merceologico per offrire una panorami-ca degli attacchi specifici di ogni settore e poter intervenire di conseguenza.

Questo nuovo approccio è quindi una buona notizia per chi prende decisioni

CYBERCRIME

SPECIALE CYBERCRIME

21

Information S

ecurity Speciale D

icembre 2014

17

Il report indica come per l’85% degli attacchi causati da insider e da abuso di informazioni privilegiate

sia stata utilizzata la LAN aziendale, mentre per il 22% sia stato sfruttato l’accesso fisico

sulla sicurezza aziendale. Infatti, in questo modo, è più semplice identi-ficare i controlli critici da implementa-re per ogni sistema IT. L’identificazione del rischio nell’information technology è complicata a causa del grande numero di servizi offerti e dell’altrettanto eleva-to numero di minacce ad essi associa-to. E’ facile essere sopraffatti dal vasto numero di metodi con cui gli hacker possono rubare i dati e paralizzare un programma di sicurezza informatica. Le informazioni che emergono dal report di quest’anno rendono più semplice pianificare la sicurezza per un servizio IT chiedendosi semplicemente “come si possono affrontare questi nove schemi di attacco?” E’ vero, ci sono ulteriori minacce al di fuori degli schemi identi-ficati, ma se si è in grado di affrontare questi nove, si è già a buon punto.

ALTRI RISULTATI CHIAVEIl report di quest’anno include anche altri risultati importanti, in particolare:

- Il cyberspionaggio è nuovamente in aumento con un incremento pari a 3 volte rispetto al dato del report 2013, con 511 incidenti (dato parzialmen-te dovuto a un dataset più ampio). Questa tipologia di attacco si verifica quando spie finanziate dai governi violano un’organizzazione, spesso tra-mite attacchi di phishing mirati e furti di proprietà intellettuale. La cosa più importante da notare è che lo spio-naggio non è un problema che riguar-da solo i governi e le organizzazioni militari. Sono bersagli frequenti anche il settore dei servizi professionali, dei trasporti, manifatturiero, minerario e pubblico. Questi attacchi si sono inol-tre rivelati estremamente complessi e diversificati, con un lungo elenco di tipologie. Come evidenziato lo scorso anno, la Cina è ancora il Paese con la maggior attività di cyberspionaggio; ma in classifica sono rappresenta-te anche le altre regioni del mondo, compresa l’Europa orientale con oltre il 20%. E’ importante notare che l’88% degli incidenti in cui l’attività investi-gativa è stata in grado di identifica-re un responsabile sono riconducibili alla Cina, mentre al 73% degli inci-

denti non è stato possibile attribuire un responsabile. Questa percentua-le lascia ampio spazio alle attività di spionaggio degli altri paesi.

- Il report esamina per la prima volta gli attacchi DDoS (Distributed Denial of Service), attacchi che mirano a com-promettere la disponibilità di reti e si-stemi in modo da bloccare, ad esempio, il funzionamento di un sito web. Questi attacchi sono comuni nei servizi finanziari, nel retail, nel set-tore professionale, nei media e nella pubblica ammini-strazione. Il report evidenzia come gli at-tacchi DDoS siano co-stantemente cresciuti negli ultimi tre anni. In genere, que-sta tipologia di attacchi sembra essere lo strumento preferito da chi è guidato da un’ideologia. Ad esempio, gli Izz ad-Din al Quassam Cyber Fighters sono stati i responsabili di molti attacchi DDoS e il motivo dichiarato è stata la protesta contro un video offensivo. Si vocifera che questo sia un gruppo di attacco di stampo governativo, tutta-via è difficile esserne certi. Spesso un attacco DDoS è causato da un botnet generato da un gruppo criminale or-ganizzato, ingaggiato da un gruppo di attivisti. A quanto pare diverse tipo-logie di hacker utilizzano gli attacchi DDoS.

- L’utilizzo di credenziali (nome utente / password) sottratte o usate impropria-mente continua a essere il metodo più diffuso per accedere alle informazioni. I risultati hanno evidenziato che due violazioni su tre approfittano di pas-sword deboli o sottratte, confermando l’importanza di passare a sistemi di autenticazione a due fattori.

CYBERCRIME

SPECIALE CYBERCRIME

22

Information S

ecurity Speciale D

icembre 2014In

form

atio

n S

ecur

ity n

. 28

nov/

dic

2014

18

- Gli attacchi contro i sistemi POS (Point-of-Sale) continuano a diminu-ire proseguendo una tendenza avviata già dal 2011. I settori comunemente colpiti da questo genere di attacchi sono ristoranti, hotel, supermercati e altri punti vendita, nei quali i malin-tenzionati tentano di acquisire i dati relativi alle carte di pagamento. Per quanto le violazioni dei POS occupi-no spesso le prime pagine dei giornali, si tratta di avvenimenti che non sono indicativi del quadro attuale della cri-minalità informatica.

- Sebbene gli attacchi dall’esterno su-perino ancora quelli effettuati dall’in-terno, questi ultimi sono in crescita, particolarmente per quanto riguarda la sottrazione di proprietà intellettuale. Il report indica come per l’85% degli attacchi causati da insider e da abuso di informazioni privilegiate sia stata utilizzata la LAN aziendale, mentre per il 22% sia stato sfruttato l’acces-so fisico. In effetti, il comportamento degli utenti è un grosso problema di sicurezza per le aziende. Anche quan-do ci si fida ciecamente, molti di loro potrebbero contribuire inconsapevol-mente a causare incidenti di sicurezza.

LA PREVENZIONE È LA PRIMA LINEA DI DIFESALa sicurezza non può essere considera-ta come un singolo investimento o una semplice verifica della compliance, ma deve essere una strategia in continua evoluzione che richiede un’attenzione regolare. Le aziende devono adottare un approccio proattivo verso la sicurezza dei dati sia all’interno dell’azienda che

nelle sedi di partner/fornitori, sui device, in mobilità o nel cloud.

Il DBIR è ricco d’informazioni e racco-mandazioni dettagliate che le aziende possono implementare nell’ottica di una strategia di prevenzione. Tuttavia, pos-siamo individuare 7 consigli più impor-tanti:• Essere vigili - le organizzazioni

spesso scoprono le violazioni solo quando ricevono una chiamata dalla polizia o da un cliente. Osser-vare in modo attento i file dei log e i sistemi di change management può aiutare a segnalare in maniera tempestiva eventuali anomalie.

• Fare dei propri dipendenti il pri-mo strumento di difesa - istruire i dipendenti sull’importanza della sicurezza, insegnare loro come in-dividuare i segnali di un attacco e cosa fare quando vedono qualcosa di sospetto.

• Conservare i dati secondo il prin-cipio del “need to know” - limita-re l’accesso solo ai dipendenti che hanno realmente bisogno di quei dati per lavorare. Assicurarsi, inol-tre, di mettere in atto procedure per la revoca degli accessi, in caso di cambio di ruolo o di azienda.

• Intervenire tempestivamente - gli hacker spesso ottengono l’acces-so utilizzando semplici metodi di attacco, dai quali ci si potrebbe tutelare semplicemente con un ambiente IT ben organizzato e un anti-virus aggiornato.

• Cifrare i dati sensibili - in questo modo, se i dati dovessero essere persi o rubati, sarà molto più diffi-

cile, per un hacker, utilizzarli. • Adottare sistemi di autenticazio-

ne a due fattori – non si ridurrà il rischio di password rubate, ma si potrà limitare il danno derivante dal furto e dallo smarrimento delle credenziali.

• Non dimenticare la sicurezza fisi-ca - non tutti i furti di dati avven-gono online. Gli hacker possono manomettere i computer o i termi-nali di pagamento ma anche rubare blocchi di tabulati stampati.

LA CYBERSECURITY PRIMA DI TUTTOAbbiamo scoperto che la capacità di difendersi dalle minacce informatiche è ormai tra le principali preoccupazio-ni per la maggior parte delle aziende; tuttavia la necessità di programmi di cybersicurezza più sofisticati è franca-mente superiore sia alla disponibilità di capitale umano sia alla capacità di una determinata azienda di agire in modo autonomo.

Per colmare questo gap le aziende stan-no cercando di sviluppare e realizzare modelli ibridi di gestione della cyber-sicurezza che combinano un team di esperti di business security in-house con comprovati servizi gestiti di sicurezza per una vasta gamma di funzionalità quali identity management, security analytics e cyber intelligence, governan-ce, risk e compliance. Trovare un provi-der di fiducia è di fondamentale impor-tanza e fra gli elementi da considerare durante il processo di selezione di un MSSP ci sono: il livello di competenza, la solidità finanziaria, la vasta gamma di funzionalità, un modello operativo

CYBERCRIME

La sicurezza non può essere considerata come un singolo investimento o una semplice verifica della compliance, ma deve essere una strategia

in continua evoluzione che richiede un’attenzione regolare

SPECIALE CYBERCRIME

23

Information S

ecurity Speciale D

icembre 2014

19

Information S

ecurity n. 28 nov/dic 2014

h24 e la garanzia di poter mantenere le stesse caratteristiche – per l’azienda - in ogni singolo paese.

Inoltre, il nostro ultimo Data Breach In-vestigations Report mostra chiaramente come negli ultimi dieci anni siano stati fatti pochi passi avanti in ambito sicu-rezza nella scoperta tempestiva degli incidenti; di contro nello stesso arco temporale, gli hacker hanno migliorato le loro tecniche di attacco con il risul-tato di una quantità sempre maggio-re di violazioni portate a termine con successo in pochi giorni. Ciò significa che è necessario un approccio diverso e migliore per la rilevazione degli inciden-ti: è il momento di adottare differenti metodologie di rilevazione così come è necessario rivedere l’importante ruolo della cyber intelligence nel contesto di analytics e monitoraggio della sicurezza.

Gli esperti Verizon lavorano al fianco dei nostri clienti per consigliare loro le prati-che di sicurezza e compliance più adatte per ogni singola esigenza. Crediamo che oggi le aziende globali e gli enti go-vernativi cerchino soluzioni di business complete che possano funzionare sen-za soluzione di continuità, sfruttando l’efficienza dei costi, la professionalità e i benefici di business complementari, e non soluzioni ad hoc implementate per soddisfare una singola esigenza di business.

PASSARE ALL’OFFENSIVA E NON STARE MAI SULLA DIFENSIVAInsomma, per ridurre il rischio, le azien-de devono implementare almeno i prin-cipi base di un programma di Infor-mation Risk Management e mantenere questo investimento iniziale nel corso del tempo. Dalle reti alla tecnologia di base per la difesa dei dati quali firewall, anti-virus, identity e access manage-ment, così come gli aspetti meno tecnici delle policy per la gestione del rischio e della sicurezza e lo sviluppo dei processi.

In poche parole, bisogna passare all’of-fensiva e non stare sulla difensiva, dal momento che il cybercrime esiste, ed è un dato certo. Non bisogna credere nem-meno per un istante che sparirà. u

CYBERCRIME

Information SecurityAnno V - n. 25Maggio/Giugno 2014

Direttore ResponsabileMaria Giulia Mazzoni

CollaboratoriAlberto Blasi, Sarah Ferri

Impaginazione Cecilia Lippi Francesconi

Progetto graficoGiulia Pissagroia

RedazioneOriana Mazzini

Gestione e ServiziRuggero Genna

ROC – Registro Operatori di Comunicazione n.17883 – Pubblicazione bimestrale registratapresso il Tribunale di Roma il 7/10/2010 n.379Codice ISSN: ISSN 2037-5611

Edisef RomaPoste Italiane S.p.A.Spedizione in Abbonamento Postale – D.L.353/2003 (conv. in L. 27/02/2004 n. 46) Art.1 Comma 1 – DCB Roma – Euro 10,00

Abbonamento annualeEuro 52,00

BONIFICO BANCARIOBanca Popolare del Lazio Ag. 45Piazzale della Radio 4100146 ROMAIBAN: IT80 U051 0403 205C C036 0001 434

Siti internetwww.edisef.itwww.ehealthnews.itwww.informationsecuritynews.it

AbbonamentiVia Antonio Toscani, 2600152 Roma Tel. 06.53.730.96Fax 06.58.200.968e-mail: [email protected] di stampare nel mese di Giugno 2014 presso:C.S.R. SRL TIPOGRAFIAVia di Pietralata, 155 00158 Roma

La collaborazione è sempre gradita ma deverispettare alcune caratteristiche tecniche.Articoli – I testi devono essere originali,liberi da diritti d’autore verso terzi e nonsottoposti ad altre pubblicazioni. Ladecisione sull’eventuale pubblicazione è adesclusiva discrezione della Redazione.I testi devono pervenire in formatoelettronico in qualsiasi forma di WordProcessing e non devono superare le 15.000battute (spazi inclusi). Grafici, loghi eimmagini a corredo devono pervenire inredazione in f.to jpg, tigg o eps conrisoluzione minima di 300 dpi.Testi e immagini devono essere inviati a:[email protected] visti in originale a:EDISEF - Via A. Toscani, 26 - 00152 ROMA

www.informationsecuritynews.it

COM

ITAT

O C

ON

SULT

IVO

WATCHGUARD II COP.GDATA III COP.FUTURE TIME IV COP.TREND MICRO PAG. 17GFI PAG. 18IS ABBONAMENTI PAG. 25

Piero Giovanni Caporale - Sicurezza Orga-nizzativa e Gestionale Settore ICT - DigitPA

Raoul Chiesa - Founder, Security BrokersInc.

Isabella Corradini - Professore di Psicolo-gia sociale della Facoltà di Psicologia del-l'Università degli Studi dell'Aquila ePresidente del Centro Ricerche Themis

Mauro Cosmi - Value Team S.p.A

Elena Ferrari - Docente del Dipartimentodi Informatica e Comunicazione dell’Uni-versità dell’Insubria

Pierfrancesco Ghedini - Direttore Diparti-mento Tecnologie dell'Informazione e Bio-mediche - Azienda USL di Modena – inqualità di AISIS (Associazione Italiana Si-stemi Informativi in Sanità)

Gianpiero Guerrieri - Dirigente Analista.Direttore UOC Sistema Informativo, Sistemadi Reporting Aziendale e ICT - AziendaOspedaliera San Giovanni Addolorata

Giovanni Hoz - Direttore Sistemi Informa-tivi Policlinico A. Gemelli

Andrea Lisi - Professore a contratto di In-formatica Giuridica - Scuola Professioni Le-gali, Facoltà Giurisprudenza - Università delSalento, Presidente di ANORC (AssociazioneNazionaleOperatori e Responsabili dellaConservazione Sostitutiva), Coordinatoredel Digital&Law Department Studio LegaleLisi, Studio Associato D&L -Business&Legal Consultancy, ICT &Inter-national Trade, Executive ManagementSCiNT - Study&Research Centre

Giovanni Manca - Esperto di digitalizza-zione documentale nella PA e sicurezza ICT

Alberto Manfredi - MSc, CISA, CISSP,GCFA, CRISC - Presidente Cloud SecurityAlliance - Italy Chapter

Carlo Maria Medaglia - Docente e coordi-natore RFID Lab - CATTID Università LaSapienza di Roma

Baldo Meo - Responsabile ComunicazioneGarante per la protezione dei dati personali

Elio Molteni - Presidente AIPSI, ISSA Ita-lian Chapter

Alessandro Musumeci - Direttore CentraleSistemi Informativi (DCSI), Ferrovie delloStato

Silvano Ongetta - Presidente AIEA, Asso-ciazione Italiana Information Systems Au-ditors

Massimo F. Penco - Presidente Associa-zione Cittadini di Internet, Membro del An-tiphishing Working Group, Vice presidenteGruppo Comodo

Filomena Polito - Presidente APIHM - As-sociazione Privacy and Information Heal-thcare Manager

Andrea Rigoni - Director General GC-SECGlobal Cyber Security Center

Giuseppe Russo - Chief Technology Officer- Oracle Hardware group

Marco Scattareggia - KEY DATA ANALYICS- Practice Manager

Corrado Aaron Visaggio - Ricercatore inIngegneria del Software presso il Diparti-mento di Ingegneria dell’Università degliStudi del Sannio

Anthony Cecil Wright - Presidente AN-SSAIF, Associazione Nazionale SpecialistiSicurezza in Aziende di intermediazione Fi-nanziaria

Stefano Zanero - Responsabile Tecnico,Secure Network

IND

ICE

INSE

RZIO

NIS

TI PER COLLABORARE

Information SecurityAnno V - n. 25Maggio/Giugno 2014

Direttore ResponsabileMaria Giulia Mazzoni

CollaboratoriAlberto Blasi, Sarah Ferri

Impaginazione Cecilia Lippi Francesconi

Progetto graficoGiulia Pissagroia

RedazioneOriana Mazzini

Gestione e ServiziRuggero Genna

ROC – Registro Operatori di Comunicazione n.17883 – Pubblicazione bimestrale registratapresso il Tribunale di Roma il 7/10/2010 n.379Codice ISSN: ISSN 2037-5611

Edisef RomaPoste Italiane S.p.A.Spedizione in Abbonamento Postale – D.L.353/2003 (conv. in L. 27/02/2004 n. 46) Art.1 Comma 1 – DCB Roma – Euro 10,00

Abbonamento annualeEuro 52,00

BONIFICO BANCARIOBanca Popolare del Lazio Ag. 45Piazzale della Radio 4100146 ROMAIBAN: IT80 U051 0403 205C C036 0001 434

Siti internetwww.edisef.itwww.ehealthnews.itwww.informationsecuritynews.it

AbbonamentiVia Antonio Toscani, 2600152 Roma Tel. 06.53.730.96Fax 06.58.200.968e-mail: [email protected] di stampare nel mese di Giugno 2014 presso:C.S.R. SRL TIPOGRAFIAVia di Pietralata, 155 00158 Roma

La collaborazione è sempre gradita ma deverispettare alcune caratteristiche tecniche.Articoli – I testi devono essere originali,liberi da diritti d’autore verso terzi e nonsottoposti ad altre pubblicazioni. Ladecisione sull’eventuale pubblicazione è adesclusiva discrezione della Redazione.I testi devono pervenire in formatoelettronico in qualsiasi forma di WordProcessing e non devono superare le 15.000battute (spazi inclusi). Grafici, loghi eimmagini a corredo devono pervenire inredazione in f.to jpg, tigg o eps conrisoluzione minima di 300 dpi.Testi e immagini devono essere inviati a:[email protected] visti in originale a:EDISEF - Via A. Toscani, 26 - 00152 ROMA

www.informationsecuritynews.it

COM

ITAT

O C

ON

SULT

IVO

WATCHGUARD II COP.GDATA III COP.FUTURE TIME IV COP.TREND MICRO PAG. 17GFI PAG. 18IS ABBONAMENTI PAG. 25

Piero Giovanni Caporale - Sicurezza Orga-nizzativa e Gestionale Settore ICT - DigitPA

Raoul Chiesa - Founder, Security BrokersInc.

Isabella Corradini - Professore di Psicolo-gia sociale della Facoltà di Psicologia del-l'Università degli Studi dell'Aquila ePresidente del Centro Ricerche Themis

Mauro Cosmi - Value Team S.p.A

Elena Ferrari - Docente del Dipartimentodi Informatica e Comunicazione dell’Uni-versità dell’Insubria

Pierfrancesco Ghedini - Direttore Diparti-mento Tecnologie dell'Informazione e Bio-mediche - Azienda USL di Modena – inqualità di AISIS (Associazione Italiana Si-stemi Informativi in Sanità)

Gianpiero Guerrieri - Dirigente Analista.Direttore UOC Sistema Informativo, Sistemadi Reporting Aziendale e ICT - AziendaOspedaliera San Giovanni Addolorata

Giovanni Hoz - Direttore Sistemi Informa-tivi Policlinico A. Gemelli

Andrea Lisi - Professore a contratto di In-formatica Giuridica - Scuola Professioni Le-gali, Facoltà Giurisprudenza - Università delSalento, Presidente di ANORC (AssociazioneNazionaleOperatori e Responsabili dellaConservazione Sostitutiva), Coordinatoredel Digital&Law Department Studio LegaleLisi, Studio Associato D&L -Business&Legal Consultancy, ICT &Inter-national Trade, Executive ManagementSCiNT - Study&Research Centre

Giovanni Manca - Esperto di digitalizza-zione documentale nella PA e sicurezza ICT

Alberto Manfredi - MSc, CISA, CISSP,GCFA, CRISC - Presidente Cloud SecurityAlliance - Italy Chapter

Carlo Maria Medaglia - Docente e coordi-natore RFID Lab - CATTID Università LaSapienza di Roma

Baldo Meo - Responsabile ComunicazioneGarante per la protezione dei dati personali

Elio Molteni - Presidente AIPSI, ISSA Ita-lian Chapter

Alessandro Musumeci - Direttore CentraleSistemi Informativi (DCSI), Ferrovie delloStato

Silvano Ongetta - Presidente AIEA, Asso-ciazione Italiana Information Systems Au-ditors

Massimo F. Penco - Presidente Associa-zione Cittadini di Internet, Membro del An-tiphishing Working Group, Vice presidenteGruppo Comodo

Filomena Polito - Presidente APIHM - As-sociazione Privacy and Information Heal-thcare Manager

Andrea Rigoni - Director General GC-SECGlobal Cyber Security Center

Giuseppe Russo - Chief Technology Officer- Oracle Hardware group

Marco Scattareggia - KEY DATA ANALYICS- Practice Manager

Corrado Aaron Visaggio - Ricercatore inIngegneria del Software presso il Diparti-mento di Ingegneria dell’Università degliStudi del Sannio

Anthony Cecil Wright - Presidente AN-SSAIF, Associazione Nazionale SpecialistiSicurezza in Aziende di intermediazione Fi-nanziaria

Stefano Zanero - Responsabile Tecnico,Secure Network

IND

ICE

INSE

RZIO

NIS

TI PER COLLABORARE

http://www.informationsecuritynews.it

Speciale Cyber Crime

Documents

Transcript of Speciale Cyber Crime