«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
Relatore:Alessandro Bonu
“ Ricette e contromisure per la sicurezza delle informazioni ”
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
• « tra perdite di dati sensibili per guasti o errori e interruzioni inattese dei sistemi informatici, le aziende
italiane negli ultimi 12 mesi hanno perso 11,2 miliardi di euro
• a livello mondiale la perdita è stata di 1.700 miliardi di dollari
• in Italia solo il 10% delle aziende è al passo con i tempi per la protezione
• in uno scenario nazionale in cui l'80% delle aziende intervistate ha registrato, negli ultimi dodici mesi, un
blocco inaspettato nei propri sistemi informatici o una perdita di dati sensibili che hanno portato:
• per il 38% a una perdita della produttività
• per il 22% a un decremento del fatturato
• per il 36% al ritardo nello sviluppo di un prodotto
• in totale, emerge dall'inchiesta, il 79% dei professionisti IT delle aziende italiane non nutre piena fiducia
nella propria capacità di recuperare le informazioni a seguito di un incidente »
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
il sistema informatico rappresenta oggi per moltissime aziende il
«sistema nervoso»
tanto più sensibili sono le informazioni detenute, tanto più è necessario dotarsi di
SISTEMI, PROCEDURE E RISORSE che li «mettano al sicuro»
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
ASPETTI DA CONSIDERARE
primo aspetto da considerare
NON ESISTE CERTEZZAche garantisca la sicurezza al 100 per cento
USABILITA’
avere queste garanzie significa
RIDURRE L’USABILITA’
del 100 per cento
SICUREZZA
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
Traffico
Manutenzione
Controllo
Pensate a un’auto nuova..
La dovrete usare?
La dovrete tenere in ordine?
La dovrete manutenere?
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
Traffico
Manutenzione
Controllo
Pensate ad un server che ospita i vostri dati..
Lo dovrete usare e mettere in rete?
Lo dovrete tenere in ordine?
Lo dovrete manutenere?
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
va ricordato che la tutela dei dati oggi non è più
facoltativa ma obbligatoria, la
«Legge sulla Privacy»
impone rigorose e idonee misure di sicurezza
perché i dati trattati non vengano utilizzati in modo
improprio o diffusi indebitamente
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
PRINCIPI SU CUI BASARE IL
CONFIDENZIALITÀ
quali informazioni possono essere
coinvolte con altri
DISPONIBILITÀ
come possono essere accedute
INTEGRITÀ
con quale accuratezza
devono essere trattate queste
informazioni
un sistema informativo per essere considerato sicuro deve soddisfare almeno i seguenti principi
SIGNIFICATO DI SICUREZZA
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
e con quali ingredienti..?
quali strategie devono essere adottate per realizzare delle buone ricette sulla sicurezza
aumentare il costo di un possibile attacco
l’investimento per chi ATTACCA deve essere percepito come «troppo oneroso»
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
RISCHI e MINACCEQUALI CAUSE
INADEMPIENZA
mancataATTUAZIONE
delle procedure di
sicurezza
mancatoRISPETTO
delle procedure di
sicurezza
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
• INTERCETTAZIONE di informazioni: acquisite, alterate o divulgate
• INTRUSIONEattraverso canali esterni per accedere alle risorse aziendali
• ACQUISIZIONE DEI PRIVILEGI per l’accesso alle risorse dell’organizzazione
• DISSERVIZI e/o BACKDOORmessa fuori uso dei servizi erogati dall’azienda e/o apertura di canali privilegiati verso terzi
RISCHI e MINACCEQUALI PROBLEMI
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
• RESPONSABILITA’
1. a carico del dipendente che l’ha commesso il fatto
2. a carico dell’organizzazione che attraverso i «propri sistemi» ha
tecnicamente consentito tale condotta
• DANNI
1. download e utilizzo di software coperto da copyright
2. danni causati da l’utilizzo improprio di diffusissimi tools in grado di
«violare», anche involontariamente, la sicurezza di un sistema informatico
esterno alla propria organizzazione
RISCHI e MINACCEQUALI CONSEGUENZE
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
FRONTI DI ATTACCO
DUE i potenziali fronti di attacco e quindi di difesa
1. OUTSIDERS: più evidente , soggetti che attaccano
dall’esterno rispetto all’organizzazione
2. INSIDERS: meno evidente, soggetti interni
all’organizzazione: sono i principali utilizzatori del
patrimonio informativo aziendale
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
• lasciano quasi sempre dei segnali inequivocabili
• intrusione o attacco su un servizio erogato dall’azienda (DoS)
• impatto «visivo» della violazione è una delle motivazioni principali
• se da un lato questo rappresenta un grande danno in termini di immagine, dall’altro consente di scoprire la violazione e, probabilmente, anche le origini della stessa se condotta male
• in altri casi le intrusioni possono essere silenti e di non immediata individuazione
OUTSIDERS
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
INSIDERSCHI SONO?
• impiegati infedeli o in contrasto con l’azienda e consulenti disonestisono coloro che conoscono meglio le architetture dei sistemi di sicurezza
• rapporto privilegiato con risorse e sistemi interni all’organizzazione che detiene dati e informazioni
• la bassa percentuale di reati denunciati è dovuta dal fatto che molto spesso le imprese vogliono tutelare la propria immagine pubblica
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
• server e perimetro protetti ma.. il resto?
• gli utenti accedono e utilizzano Internet?
• privilegi sulle workstation: accesso amministrativo o accesso utente?
• le workstation ha un OS adeguato, aggiornato e protetto da minacce?
• posso tracciare il loro operato in maniera standardizzata, durante l’attività operativa?
ASPETTI DA NON SOTTOVALUTARE
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
• contro le minacce derivate dai « Malicious Code »
occorre contemplare aspetti UMANI e TECNOLOGICI
• controllo sulle mail » T - U
• procedure per acquisiti in rete » T - U
• scansione dei file locali, rete o su memorie esterne » T - U
• controllo e attendibilità di link e siti web » T
• protezione contro spyware e malware » T
• aggiornamento costante delle definizioni centralizzate » T - U
ASPETTI UMANI E TECNOLOGICI
importante è un intervento rapido ed efficace per ridurre i danni
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
STRATEGIE ADATTIVE
• AUTENTICAZIONE SUPPLEMENTARE
• dispositivi non registrati nel dominio aziendale
• accesso alla rete aziendale da aree ignote
• PROCEDURE INTEGRATIVE
• sopperire a situazioni non previste e temporanee
COMPENSANO TEMPORANEE CARENZE«es.» una patch o aggiornamento mancante che può determinare una vulnerabilità
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
SPOSTARE O ELIMINARE IL BERSAGLIO
« il miglior modo per evitare un colpo è quello di non farsi raggiungere »
• spostiamo o eliminiamo direttamente il bersaglio oggetto dell’attacco: dati «sensibili» non necessari
[SCENARIO]: un sito web raccoglie informazioni per fini statistici, tra questi è presente il Codice Fiscale, che rappresenta un dato identificativo del cliente ma superfluo ai fini di report e indicizzazione:
• perché trattare un dato identificativo personale? (=> bersaglio)• meglio utilizzare altri dati che non riportano all’identificazione di un utente• strategia che comporta meno investimenti in termini di sicurezza e meno
preoccupazioni per chi è responsabile
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
STRATIFICARE LE CONTROMISURE
• PREVENIRE
• sistemi atti ad impedire intrusioni nella rete (IDS)
• RISPONDERE
• contromisure in risposta agli attacchi subiti
• INDIVIDUARE
• rilevamento delle intrusioni all’interno della rete
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
PERSONE E PROCESSI
« un bravo hacker può riuscire a bypassare una nostra regola di firewall e introdursi nel nostro sistema, ma potrebbe non essere
in grado di evitare un sistema di auditing predisposto per esaminare regolarmente log ed eventi proprio alla ricerca di
anomalie e problemi di sicurezza »
altra modalità per progettare contromisure è quella di variare la natura delle contromisure
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
SEPARAZIONE DEI COMPITI
personale competente e specializzato
coordinato per evitare
sovrapposizioni
STAFF vincente!
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
AUTENTICAZIONE
AUTORIZZAZIONE
CONTROLLO
AZIENDA / ORGANIZZAZIONE
da dove iniziare..
DEFINIZIONE DEGLI ACCOUNT
ASSEGNAZIONE DIRITTI E
PRIVILEGI
MONITORAGGIO DI ACCESSI E
TRANSAZIONI
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
processo di definizione in modo univoco dell’identità di un utente (computer o software)
che intende usufruire di risorse e serviziAUTENTICARE
segue all’autenticazione e rappresenta l’insieme di regole e privilegi per l’accesso ai dati e alle risorse di rete da parte di chi viene autenticato
AUTORIZZARE
monitoraggio e registrazione dei log relativi a transazioni di autenticazione e autorizzazioneCONTROLLARE
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
senza una robusta FUNZIONE DI CONTROLLO dell’accesso, dei processi e delle transazioni, non è
possibile sapere se le contromisure poste in atto stiano funzionando correttamente
registro e controllo
CHI HA OPERATO
VERSO CHI
QUANDO E COME
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
AMBITI DI APPLICAZIONE DELLE CONTROMISURE
LIVELLO FISICO
protezione logistica di sistemi
e apparati
LIVELLO DI RETE
utilizzo di firewall, ACL e sistemi atti
a prevenire gli attacchi (IDS)
LIVELLO SISTEMA
controllo amministrativo e
centralizzato degli endpoint (host)
LIVELLO APPLICATIVO
analisi e controllo dello strato applicativo
LIVELLO LOGICO
controllo delle transazioni di
accesso, autenticazione e autorizzazione
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
GESTIONE DEL RISCHIO
ma cosa occorre fare in caso di « EMERGENZA »
il sistema avverte che si è verificato un attacco e
provvede a notificarlo a chi di competenza «NOTIFICA»
il sistema risponde in tempo reale all'attacco in corso e
consente di tracciare la sua origine «REAGISCE»
intervento e applicazione delle procedure«previste e idonee per quel contesto»
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
QUESTI DUE METODI POSSONO PERÒ AVERE UN PROBLEMA
1. falsi positivi: attività anomale non intrusive, ma che vengono rilevate e segnalate come tali
2. falsi negativi: attività anomale ma che non vengono rilevate e segnalate come tali
_______________________________
la situazione più grave si presenta nel caso dei falsi negativi, poiché può compromettere gravemente la sicurezza del sistema
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
FORMAZIONE E INFORMAZIONE
come fare una cosa giusta quando non si conosce come poterla fare?
• la formazione e informazione come ingrediente fondamentale nella formulazione dei criteri di sicurezza e relative contromisure
• integrare la formazione nelle attività quotidiane dei soggetti coinvolti nei processi
• prodotti dedicati vengono incontro a questo tipo di esigenze, integrando la formazione nel contesto delle attività
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
• fondamentale è responsabilizzare il dipendente in qualsiasi livello
gerarchico esso si trovi
• l’attività formativa deve andare di pari passo con l’evoluzione delle
strategie aziendali, inutile implementare complessi sistemi di
sicurezza se poi non li si sa utilizzare:
1. creano ulteriore impegno alle attività di routine
2. necessitano di formazione aggiuntiva
3. determinano una minore produttività
FORMAZIONE E INFORMAZIONE
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
K.I.S.S.
• acronimo usato nell'informatica, che sta per Keep It Simple, Stupid
• il concetto in sintesi è: non complicarsi la vita e mantenere uno stile semplice e lineare, soprattutto nella fase di start-up
• studi statistici dicono che le misure di prevenzione raccomandate rispondono ai requisiti di «semplice ed economico»
• minima percentuale sono identificate come «complesse e costose»
ADATTARE LA MIGLIORE SOLUZIONE IN TERMINI DI COSTI E QUALITA’AL CONTESTO IN CUI SI OPERA
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
[ SCENARI OPERATIVI ]
Client
host endpoint
Server
sistemi
Rete
apparati di rete
Applicazioni
web
database
Mobile
tablet e smart phones
..andremo ad applicare ambiti comuni
fin ora si è parlato di linee generali ma entrandonello specifico di aspetti concreti..
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
gestione economica della sicurezza, compito sicuramente oneroso in termini di risorse e quindi di costo per le aziendeASPETTO ECONOMICO
non è una attività da svolgere una tantum, ma è una attività che va seguita costantemente per poter garantire una adeguata protezione realmente efficace
ATTIVITÀ DI ROUTINE
valutare continuamente il livello tecnologico degli apparati messi in esercizioTECNOLOGIA
implementare sistemi di monitoraggio e relativi allarmi in relazione alle criticità dei servizi in erogazione e risorse aziendali da tutelareMONITORAGGIO
aggiornamento costante sulle nuove minacce provvedendo quindi a determinare quali contromisure adottare in maniera tempestivaAGGIORNAMENTI
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
RETE B
[SCENARI DI RETE]
• non esiste un metodo standard per garantire la sicurezza: dipende dal contesto
• criteri troppo generici rischiano di essere inadeguati
• firewall / ACL granulari su reti segmentate
• hardware recente e aggiornato
CUSTOM
HTTP
FTP
SQL Injection
elemento in primo piano nei piani di prevenzione
RETE A
DMZ
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
[ SCENARI SERVER ]
• l’obiettivo di chi attacca è quello di diventare amministratore: limitare gli accessi amministrativi e consolidare i sistemi di login
• ridurre al minimo l’esposizione dei sistemi e servizi: logistica e rete
• disabilitare servizi non necessari: creano inutile complessità
• manutenzione: aggiornamento costante di sistemi e applicazioni
• monitoraggio e controllo: transazioni ed accessi
• altre strategie: backup e ridondanza dei dati
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
[ SCENARI CLIENT ]
apparentemente meno rilevante della parte server, non tralasciare mai l’aspetto degli endpoint quando si tratta di sicurezza:
• probabilità di una cattiva gestione da parte dell’utente
• evitare che dati sensibili per l’azienda entrino a far parte di questo contesto
• ma gli utenti li devono lavorare e allora?
• implementare robuste procedure di autenticazione, autorizzazione e controllo
• centralizzare le attività amministrative del Sistema Informativo dell’organizzazione
• formazione e informazione constante sul corretto utilizzo degli strumenti messi a disposizione
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
[ SCENARI APPLICATIVI ]DATABASE: BERSAGLIO PRIMARIO
..la continua crescita e nuove funzionalità peggiora le cose
come agire dunque..
• requisiti applicativi adeguati per un sistema in HA
• configurazione appropriata di tutte le componenti applicative
• verifica costante di aggiornamenti e patch
• test di carico e affidabilità su ambiente di stage prima della messa in produzione
• strategie di backup/ridondanza e check di consistenza dei dati replicati
• monitoraggio e controllo schedulato su funzionalità e sicurezza e predisposizione delle relative notifiche
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
[ SCENARI MOBILE ]
• alta diffusione e sempre connessi
• furto, hacking remoto e sms malevoli solo alcuni esempi..
• le contromisure per questi dispositivi devono saper riconoscere questi scenari di alto rischio
• spostare e rimuovere i dati tra le prime possibilità
• nelle mail c’è di tutto dati sensibili compresi
se disposti ad accettare questo rischio cosa resta da fare?
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
• avere particolare cura del dispositivo
• abilitare una login allo stand-by
• blocco del dispositivo e cancellazione dei dati dopo «n» tentativi falliti
• utilizzo di APP certificate e non provenienti da ambienti sconosciuti
• aggiornamento costante di OS e APP
• scegliere con attenzione e documentarsi sulle APP da installare
• abilitare sistemi di geo localizzazione in caso di smarrimento
• abilitare sistemi di crittografia dei dati contenuti nel dispositivo
[ SCENARI MOBILE ]
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
htt
p:/
/cis
ecu
rity
.org
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
RICAPITOLANDO..
EQUILIBRIOtra sicurezza ed usabilità dei dati
DIVERSIFICAREcosto complessivo più elevato per chi
attacca
SEMPLICITÀstrategie e piani
di intervento chiare ed efficaci
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
• i nuovi manager dovranno quindi confrontarsi con scenari di rischio che pongono alla «azienda connessa» una serie di problematiche che prima non aveva
• la protezione dei sistemi deve essere attentamente pianificata e sottoposta a severe e costanti verifiche
• errori nella gestione o una non corretta applicazione delle politiche di sicurezza potrebbero danneggiare l’azienda sia in termini economici che di immagine.
CONCLUSIONI
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
Grazie per l’attenzioneCONTATTI
www.andig.itwww.diricto.it
www.massimofarina.it
«Ricette e contromisure per la sicurezza delle informazioni»Alessandro Bonu
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tu sei libero: di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera di creare opere derivate Alle seguenti condizioni:
Attribuzione. Devi riconoscere il contributo dell'autore originario. Non commerciale. Non puoi usare quest’opera per scopi commerciali. Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi
distribuire l’opera risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza
di quest’opera. Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra
LICENZA
Top Related