Download - Smau milano 2013 marco bozzetti

Transcript
Page 1: Smau milano 2013 marco bozzetti

Milano, 24 ottobre 2013

IL FENOMENO DEGLI ATTACCHI INFORMATICI IN ITALIA: CONSIDERAZIONI E SUGGERIMENTI

DAI PRIMI DATI EMERSI DA OAI 2013

M. R. A. Bozzetti

CD e Coms Officer AIPSI CEO Malabo Srl (www.malaboadvisoring.it )

Page 2: Smau milano 2013 marco bozzetti

Chi siamo

Page 3: Smau milano 2013 marco bozzetti

• 1973 Laurea in Ingegneria elettronica al Politecnico di Milano• 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN,

prima rete europea di ricerca (tipo ARPA) a commutazione di pacchetto• 1976-80 Olivetti R&D – Ivrea:Responsabile ONE, Olivetti Network

Environment, e comitati standard ISO, CCITT (ora ITU-C) , ECMA (chairman VFS)

• 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 1982-84 Italtel Telematica : responsabile pianificazione strategica

• 1984-87 Arthur Andersen Management Consultants• 1987-91 fondatore e Partner Ibimaint System Engineers• 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza• 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET • 1995-2000 CIO Gruppo ENI• 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab• Dal 2001 Fondatore e Amministratore Unico Malabo Srl

Marco R.A. Bozzetti

• FTI, Forum delle Tecnologie dell’Informazione (fond atore)

• EITO, European Information Technology Observatory ( Co -ideatore e Chief Scientist)

• ClubTI di Milano (Past President)

• FidaInform, Federazione Italiana delle Associazioni Professionali di Information Management (Past Presid ent)

• AIPSI-ISSA, Consiglio Direttivo

Page 4: Smau milano 2013 marco bozzetti

AIPSI: www.aipsi.org

AIPSI - Capitolo Italiano di ISSA ®

Associazione di singoli professionisti

Oltre 13.000 esperti in tutto il mondo

Per richiedere l’iscrizione:http://www.aipsi.org/come-associarsi.html

Codice etico : http://www.issa-italy.org/aipsi_codice_etico.pdfStatuto: http://www.issa-italy.org/statuto_aipsi.pdf

Page 5: Smau milano 2013 marco bozzetti

Chi e’ ISSA

•ISSA®, con l’attiva partecipazione dei singoli soci e dei relativi capitoli in tutto il mondo, è la più grande associazi one non-profit di professionisti della sicurezza.

• L’organizzazione di forum educativi, la redazione di d ocumenti e pubblicazioni oltre all’interazione fra i vari profess ionisti della sicurezza contribuiscono ad incrementare la conoscenza e la crescita professionale.

• I soci sono professionisti nel campo della sicurezza a tutti i livelli nei vari settori delle telecomunicazioni, formazione, sanità, finance, industria e government

Page 6: Smau milano 2013 marco bozzetti

Obiettivi AIPSI

Organizzazione di forum educativi

Redazione di documenti e pubblicazioni specializzate

Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali)

Riferimento per la ricerca di professionisti di sicurezza ICT

Interazione con altre organizzazioni professionali

Rilascio di attestati e certificazioni specifiche (Eucip. LocSI)

Page 7: Smau milano 2013 marco bozzetti

Attacchi: i dati più interessanti

emersi dal Rapporto OAI 2012 e da altri Rapporti

Page 8: Smau milano 2013 marco bozzetti

8 Copyright 2008 - Trend Micro Inc.04/27/08 5 8

Siamo sempre potenzialmente sotto attacco … anche se siamo una PMI, uno studio professionale, un esercizio commerciale , …

Page 9: Smau milano 2013 marco bozzetti

Sicurezza vo cercando ….

Social network

Consumerizzazione

Ambientepersonale

Ambientelavoro

Servizi ICT in cloud e/o terziarizzati

Servizi ICT in cloud e/o terziarizzati

Sistemi informativiaziendali e delle PA

Fisso + mobile

Internet

DCS

VDS, PLC, A/D Conv.

Internet delle cose

La sicurezza ICT assoluta non esiste ed è sempre più

complesso gestirla

Page 10: Smau milano 2013 marco bozzetti

OAI, Osservatorio Attacchi Informatici in Italia

• Che cosa è– Indagine annuale sugli attacchi ai Sistemi Informat ivi di Aziende e

Pubbliche Amministrazioni in Italia condotta attrav erso un questionario on-line indirizzo a CIO, CISO, CSO ed alle terze parti (fornitori, consulenti) che gestiscono la sicurez za informatica

• Gli ideatori e realizzatori

Marco R. A. Bozzetti

Alessandro Betti

Page 11: Smau milano 2013 marco bozzetti

Obiettivi OAI

• Avere cadenza periodica annuale

• Coinvolgere tutte le Associazioni e gli Enti coinvolti e/o interessati nella sicurezza informatica

• Divenire uno strumento di ausilio nell’Analisi del Rischio ed il punto di riferimento nazionale sulla sicurezza ICT , analogamente a quanto avviene con il Rapporto CSI statunitense

• Far conoscere e sensibilizzare i vertici delle Aziende/Enti sui pro blemi della sicurezza ICT

• Che cosa non è e non vuole essere OAI :– Un’indagine criminologica estesa a tutti i crimini informatici (es.

pornografia e pedofilia elettronica, pirateria prodotti software, ecc.) – Uno studio accademico – Un’indagine di mercato

Page 12: Smau milano 2013 marco bozzetti

I Rapporti OAI annuali

Rapporto OAI 2009-10, di 46 pagine A5, fa il punto sugli attacchi informatici in Italia rilevati nel 2007, nel 2008 e nel 1° quadrimestre 2009

Rapporto OAI 2011 , di 36 pagine A4, fa il punto sugli attacchi informatici in Italia rilevati nel 2009 e nel 1°quadrimestre 2010

Rapporto OAI 2012, di 48 pagine A4, fa il punto sugli attacchi informatici in Italia rilevati nel 2010, 2011 ed il 1°quadrimestre 2012

Page 13: Smau milano 2013 marco bozzetti

Altre iniziative OAI

• Da marzo 2010 sulla rivista Office Automation tengo una rubrica fissa mensile per OAI sugli attacchi informatici, con un taglio piùmanageriale che tecnico.

– disponibili in formato elettronico: www.malaboadvisoring.it, www.soiel.it

• Gruppo OAI su LinkedIn

Page 14: Smau milano 2013 marco bozzetti

La tassonomia degli attacchi considerata

1) Accesso e uso non autorizzato degli elaboratori, delle applicazioni supportate e delle relative informazioni

2) Modifiche non autorizzate ai programmi applicativi e di sistema, alle configurazioni ecc.3) Modifiche non autorizzate ai dati e alle informazio ni4) Utilizzo codici maligni (malware) di varia natura, quali virus, Trojan horses, Rootkit, bots, exploits,

sia a livello di posto di lavoro che di server5) Utilizzo vulnerabilità del codice software , sia a livello di posto di lavoro che di server: tipici esempi

back-door aperte, SQL injection, buffer overflow ecc.6) Saturazione risorse informatiche e di telecomunicazione: oltre a DoS (Denial of Service) e DDoS

(Distributed Denial of Service), si includono in questa classe anche mail bombing, catene di S. Antonio informatiche, spamming ecc.

7) Furto di apparati informatici contenenti dati (laptop, hard disk, floppy, nastri, chiavette USB ecc.)8) Furto di informazioni o uso illegale di informazioni

a) da dispostivi mobili (palmari, cellulari, laptop)b) da tutte le altre risorse

9) Attacchi alle reti , fisse o wireless, e ai DNS, Domain Name System10) Frodi tramite uso improprio o manipolazioni non autorizzate e illegali del software applicativo (ad

esempio utilizzo di software pirata, copie illegali di applicazioni ecc.)11) Attacchi di Social Engineering e di Phishing per tentare di ottenere con l’inganno (via telefono, e-

mail, chat ecc.) informazioni riservate quali credenziali di accesso e il furto d’identità digitale12) Ricatti sulla continuità operativa e sull’integrità dei dati del sistema informativo (ad esempio se non

paghi attacco il sistema e ti procuro danni, magari con dimostrazione delle capacità di attacco e di danno conseguente…)

13) Altri tipi di attacco, quali ad esempio attacchi di tipo misto (Blended threat), sabotaggi , vandalismi con distruzione di risorse informatiche

14) TA , Targeted Attacks e APT, Advanced Persistent Threat

Page 15: Smau milano 2013 marco bozzetti

I trend per gli attacchi

• Motivazioni: – Hactivis m: aspetti di protesta e politici, soprattutto per i paesi con

governi dittatoriali o autoritari (Sud mediterraneo , Paesi arabi, ecc.)– Timori per una crescita di attacchi ICT di tipo ter roristic o (blocco e/o

malfunzionamento infrastrutture critiche …) – Crescita attacchi per spionaggio (anche industriale)– Consolidamento crescita attacchi per frodi (ordine di B $,€/anno)

• ROI attacchi > 750%/mese

• Crescita rischi e vulnerabilità nei sistemi “mobili”• APT, Advanced Persistent Threat ���� da “Aurora” a Flame e Lucycat• Offuscamento (Obfuscation) delle attività dell’attac cante • Proxy anonimi• Sottrazione dati ���� focalizzazione sui contenuti• Crescita dei siti “buoni” (affidabili) con collegame nti a siti maligni• Frodi e ricatti • Disponibilità DIY Kit per la creazione di codici mal igni e botnet sempre più

facili da usare e poco costosi

Page 16: Smau milano 2013 marco bozzetti

Le cause delle crescenti minacce

• Tutte le minacce si basano sulle vulnerabilità tecniche e/o umane-organizzative

– Vulnerabilità tecniche (software di base e applicativo, architetture e configurazioni)

• siti web e piattaforme collaborative • Smartphone e tablette � mobilità � >>14.000 malware• Posta elettronica � spamming e phishing• Piattaforme e sistemi virtualizzati• Terziarizzazione e Cloud (XaaS)• Circa il 40% o più delle vulnerabilità non ha patch di correzione

– Vulnerabilità delle persone• Social Engineering e phishing• Utilizzo dei social network, anche a livello aziendale

– Vulnerabilità organizzative• Mancanza o non utilizzo procedure organizzative• Insufficiente o non utilizzo degli standard e delle best practices• Mancanza di formazione e sensibilizzazione• Mancanza di controlli e monitoraggi sistematici • Analisi dei rischi mancante o difettosa• Non efficace controllo dei fornitoriù• Limitata o mancante SoD, Separation of Duties

Page 17: Smau milano 2013 marco bozzetti

Targeted Attack (TA) e APT

• I TA, chiamati anche targeted threat , sono una relativamente nuova classe di attacchi informatici rivolta ad uno specifico obiettivo, o ad un limitato numero di obbiettivi, basato sull’ uso di più strumenti di attaccocon lo scopo primario:a) di ottenere informazioni riservate ed importanti � frodi, spionaggiob) di seriamente compromettere funzionalità e disponibilità di un sistema

informatico o di una sua partec) di seriamente compromettere immagine, credibilità ed autorevolezza

dell’obbiettivo attaccato

• Tipici obiettivi target : Pubbliche Amministrazioni, Banche ed Istituti finanziari, grandi Corporazioni , infrastrutture nazionali ad alta criticità

• Nell’ambito dei TA una sottoclasse (logica) è costituita dagli APT, Advanced Persistent Threat attacco mirato ad uno specifico target, usando molteplici e paralleli strumenti di attacco, persistenti per essere in grado di analizzare le vulnerabilità esistenti e le possibilità di attacco �slow and low

• Sia TA che APT richiedono grandi risorse e competenze �cyberwar

Page 18: Smau milano 2013 marco bozzetti

Tipiche fasi di un Targeted Attack /APT

Page 19: Smau milano 2013 marco bozzetti

Esempi di TA e/o APT

• 2009-10 Operazione Aurora: attacco a Google (gmail) e ad altri giganti statunitensi dell’ICT dalla Cina via vulnerabilità 0-day su IE e sul sw di controllo versioni codice di Google (Perforce)

• 2010 Stuxnet : attaccato il centro nucleare iraniano di Bushehr e altre infrastrutture critiche in Cina, India, Indonesia, Pakistan

• Stuxnet è un codice maligno multicomponente tipo worm che infetta sistemi con sistema operativo Windows, dal vecchio Windows 95 a Windows Server 2003, con installato SIMATIC WinCC, il sistema Siemens per l’automazione dei sistemi SCADA.

• L’obiettivo del worm è prendere il totale controllo del sistema SCADA attaccato• 2011 RSA: attacco a SecureID via spear phishing con Excel malevole che attivava codice

maligno Poison Ivy con funzionalità backdoor• 2011 DigiNotar : CA olandese attaccata creando e diffondendo certificati digitali falsi nei

principali browser; un mese dopo è fallita• 2012 Luckycat : campagna di attacchi in India, Giappone e Tibet ad industrie militari, energia,

aerospaziali, .. 90 attacchi compromettendo >233 server via TROJ_WIMMI, VBS_WIMMI, botnet-C&C, Windows Management Instrumentation

• 2012 Flame: malware modulare e sofisticato di grandi dimensioni (+ 20 M) per ambienti Windows focalizzato allo spionaggio informatico ed al furto di informazioni nei paesi mediorientali

• 2012 Global Payments Inc: attacco per frode al suo sistema di pagamenti con POS e relativecarte di credito, pur essendo certificata PCI-DSS

– Costi del breach: 94 M$, di cui circa 36 M per la frode, il resto per riparare il danno

Page 20: Smau milano 2013 marco bozzetti

Gli strumenti tipici per TA e APT

Fonte:IDCc

Page 21: Smau milano 2013 marco bozzetti

Le imprese attaccate con APT in Italia 2013

Fonte:IDC

Page 22: Smau milano 2013 marco bozzetti

Mappa principali attacchi e relativi impatti al 1° sem 2013

Page 23: Smau milano 2013 marco bozzetti

Mappa principali attacchi per nazione al 1° sem 2013

Page 24: Smau milano 2013 marco bozzetti

Attacchi ai sistemi bancari e finanziari 2013

Fonte: TrendLabs 2013

Page 25: Smau milano 2013 marco bozzetti

Paesi con il maggior numero di collegamenti a botnet

Fonte: TrendLabs 2013

Page 26: Smau milano 2013 marco bozzetti

01020304050607080

Malw

are

Social

Eng

.

Satur

azion

e riso

rse

Furto d

isp.

Mod

ifiche n

on a

ut. S

isFro

di

Sfrut. v

ulner

abilit

à

Attacc

hi sic

. fisic

a

Attacc

hi all

e reti

Furto in

fo da

mob

ili

Furto in

fo da

fissi

Ricatti

infor

matici

Acces

si no

n aut.

Mod

ifiche n

on a

ut. d

atiAltr

i

% r

ispo

nden

ti

2010

2011

1° quad 2012

OAI 2012: Principali attacchi subiti 2010-2011-1°quad. 2012

©OAI 2012TA e APT non erano considerati a sé stanti,

come lo saranno in OAI 2013

Page 27: Smau milano 2013 marco bozzetti

0102030405060708090

Malw

are

Socia

l Eng

ineer

ing

Satur

azion

e risor

se

Furto

dispo

sitivi

Mod

ifiche

non

aut

. Sis

Frodi

infor

matiche

Sfrut.

vulner

abilit

àAtta

cchi

fisici

Attacc

hi all

e re

ti

Furto

info

da m

obili

Furto

info

da fis

si

Ricatti

infor

mat

ici

Acces

si non

aut

.

Mod

ifiche

non

aut

. dati

Altri

% r

ispo

nden

ti

2008

2009

2010

2011

2012 1° quad.

OAI 2012: Confronto principali attacchi subiti 2008-1°quad. 2012

©OAI 2012

Page 28: Smau milano 2013 marco bozzetti

OAI 2012: Impatto dell’attacco

76,4%

6,7%

13,7%

3,2%

76,0%

6,5%

13,7%

3,8%

76,0%

3,8%

16,8%

3,4%

1-10 casi impatto pocosignificativo

1-10 casi impattomolto significativo

>10 casi impatto pocosignificativo

>10 casi impatto moltosignificativo

% rispondenti

1° quad 2012

2011

2010

©OAI 2012

Page 29: Smau milano 2013 marco bozzetti

2,5%

2,5%

9,9%

12,3%

18,5%

30,9%

30,9%

32,1%

33,3%

40,7%

Indagini da esterni

Altro

Intervento legali

Rimpiazzo sistemi

Corsi formazione

Nuovi strumenti

Policy e proc. organiz.

Eliminati sistemi

Indagini interne

Patch sul software

% rispondenti

OAI 2012: Azioni (multiple) dopo un attacco

©OAI 2012

Page 30: Smau milano 2013 marco bozzetti

61,1%

29,6%

0,0%

3,7%

0,0%

5,6%

Meno di un giorno

Meno di 3 giorni

Meno di una settimana

Meno di un mese

Oltre un mese

Non lo so

% rispondenti

OAI 2012: Tempi medi di ripristino

©OAI 2012

Page 31: Smau milano 2013 marco bozzetti

OAI 2012: motivazioni per gli “attacchi temuti nel futuro” nei vari Rapporti OAI

0%10%20%30%40%50%60%

Altr

o

Te

rro

rism

o

Ric

atto

ori

tors

ion

e

Sp

ion

ag

gio

Azi

on

eD

imo

stra

tiva

Sa

bo

tag

gio

Va

nd

alis

mo

Fro

de

info

rma

tica

% r

ispo

nden

ti

OAI 2012 OAI 2011 OAI 2009-10 ©OAI 2012

Page 32: Smau milano 2013 marco bozzetti

Crescita vulnerabilità sistemi mobili

Page 33: Smau milano 2013 marco bozzetti

Crescita delle minacce per Androidnel 2° trim. 2013

Fonte: TrendLabs 2013

Page 34: Smau milano 2013 marco bozzetti

OAI 2013

Sponsor alla data

Patrocinatori alla data

In collaborazione con

Page 35: Smau milano 2013 marco bozzetti

Questionario OAI 2013: www.malaboadvisoring.it

• Totalmente anonimo• 30-40 minuti circa per compilarlo

completamente

Page 36: Smau milano 2013 marco bozzetti

Grazie per l’attenzione!

[email protected] www.issa.org