1

Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali

Alberto Caporro Director of Security Services

a.caporro@consulthink.it

Chi siamo

L’azienda

Consulthink è un’azienda di consulenza ICT specializzata nella progettazione e nell’implementazione di piattaforme applicative complesse e di soluzioni per la sicurezza ed il networking. •  Fondata nel 2004 •  Caratterizzata da una crescita continua di fatturato e personale. •  Opera su tutti i mercati, dalla Pubblica Amministrazione agli operatori TLC.

•  Alberto Caporro – Responsabile BU Security e Mobile Security Lab

Area Security

Consulthink propone un approccio omnicomprensivo, basato su strumenti sia tecnologici che di processo, alla Security Governance, con l’obiettivo di fornire ai suoi Clienti: •  Progettazione, implementazione e gestione di sistemi per la sicurezza di

rete e applicativa. •  Servizi professionali caratterizzati da elevata specializzazione relativi a tutti

gli aspetti della sicurezza ICT: •  Compliance assessment •  Penetration Test e Vulnerability Assessment di infrastrutture sia tradizionali che

mobili •  Soluzioni per la sicurezza perimetrale e dei dati •  Forensic •  Event management

Mobile Security Lab

•  Progetto dedicato esclusivamente alla creazione di un centro di competenza di livello internazionale sulla tematica della Mobile Security.

•  Nato per operare su scenari di rischio finora sconosciuti o ritenuti poco rilevanti per le tradizionali architetture IT

•  Offre un portafoglio completo di servizi: •  Security Design & Assessment •  Security Research •  Security Reporting

•  Conosciuto in ambito internazionale: •  2nd International ICST Conference on Digital Forensics & Cyber Crime

(ICDF2C) •  Hack in the Box Europe 2010 •  DeepSec 2009 •  BlackHat Europe 2009

Lo stato della sicurezza

Lo stato della sicurezza

Gli attacchi informatici crescono in maniera esponenziale sia come numerosità che come gravità

1: Fonte Rapporto CLUSIT 2012-2013

Frequenza degli incidenti rispetto al 2011

+250%

Attacchi riconducibili a Cyber Crime

54%

Incremento annuale del numero di attacchi

+370%

Lo stato della sicurezza

54% 31%

9% 4% 2%

Tipologia e Distribuzione degli attaccanti

Cybercrime Hacktivism Unknown Cyber Warfare Espionage/Sabotage

CLUSIT – 2013 Rapporto sulla Sicurezza ICT in Italia

Lo stato della sicurezza

32%

16% 15%

11%

9%

5% 5%

2% 1%

1%

1% 1% 1%

Tipologia e Distribuzione delle vittime

Gov - Mil -Le - Intelligence

Others

Industry: Entertainment/News

Industry: Online Services/Cloud

Research - Education

Industry: Software/Hardware Vendor

Industry: Banking/Finance

Industry: Telco

Industry: Gov. Contractors/Consulting

Industry: Security

Religion

Health

Industry: Chemical/Medical

CLUSIT – 2013 Rapporto sulla Sicurezza ICT in Italia

E a livello internazionale?

•  Nel corso del solo 2013 abbiamo assistito a decine di attacchi di alto profilo

•  Completamente trasversali – aziende, enti governativi, militari, ecc.

•  Il denominatore comune è la compromissione di elevatissime quantità di dati sensibili

World's Biggest Data Breaches 2011-2013 Fonte: Information is beautiful

Qualche esempio – Adobe

•  2.9 milioni di account impattati – dati personali, carte di credito (cifrate) •  40 GB di codice sorgente, relativo a molti prodotti differenti

•  Attacco reso noto ad ottobre, in corso forse da maggio – 5 mesi

Qualche esempio – Wikileaks, NSAgate

•  Portata dell’evento tuttora non ben definita •  Gravi danni in termini di immagine e di relazioni internazionali

•  Compromissione del “core business”

Qualche esempio – PSN

•  77 milioni di utenti compromessi •  PlayStation Network non accessibile per ~1 mese

•  Danni per milioni di euro

I rischi

I possibili attacchi

Apps

Dati

Data Center

Esterno Interno

Amministratori Clienti,

Partners, Dipendenti Hackers

Dipendenti, Malintenzio

nati

FW, IPS, NG FW

Technical Attack

Logic Attack

Fraud

DLP Usage

User Rights

Access Control

Vulnerability Scanning &

Virtual Patching

Privileged Activity Audit

Protection

Protection Prevention

Auditing

Management

File

Discovery and Classification

Regolamentazioni sul trattamento dei dati

Requisiti di controllo CobiT (SOX) PCI DSS HIPAA

G.d.P Dlgs

196/2003 e DBA

2009

ISO 27001

EU Data Privacy

Directive

1. System Access

(Successful/Failed Logins; User/Role/Permissions/ Password changes)

ü ü ü ü ü ü

2. Data Access

(Successful/Failed SELECTs) ü ü ü ü ü

3. Data Changes

(Insert, Update, Delete) ü ü ü ü ü

4. Privileged User Activity

(All) ü ü ü ü ü ü

5. Schema Changes

(Create/Drop/Alter Tables, Columns) ü ü ü ü ü

Il costo medio reale della non compliance è pari a circa

il triplo dei costi da sostenere per ottenere e

mantenere la compliance

Il software non è affidabile

2003

2013

Fasi di un attacco

Raccolta Informazioni

Analisi

Probe

Preparazione attacco

Inizio copertura

Inizio attacco

Intrusione

Persistenza

Diffusione

Copertura completa

Mantenimento

Sicurezza fisica

Controlli

Monitoraggio Report

Analisi rischio

Previsione attacco

Rilevamento attacco

Finestra di Vulnerabilità

Contenimento

Risposta

Recovery

Giorni/settimane/mesi

Qualche numero

WhiteHat Website Security Statistics Report, Winter 2011 Verizon 2012 Data Breach Investigations Report

EMA, The Rise of Data-Driven Security, Crawford, Aug 2012

82% Applicazioni Web vulnerabili

75% Attacchi rilevati rivolti contro

piattaforme applicative

85% Attacchi rilevati dopo

molte settimane 116 giorni Tempo medio per la

risoluzione di una vulnerabilità 99% Intrusioni che portano alla compromissione

di uno o più sistemi entro poche ore o giorni

Il risultato…

Costo medio per utente impattato di un data breach su un periodo di quattro anni

Come difendere i propri dati sensibili?

Imperva SecureSphere

La piattaforma Imperva SecureSphere fornisce una soluzione su più livelli in

grado di garantire un livello di sicurezza adeguato

Imperva SecureSphere - Componenti

•  Web Application Firewall + DB Firewall + File Firewall •  Superano le limitazioni di altri strumenti (Firewall, IDS/PS, ecc.) •  Vantaggi •  Maggiore efficacia nella protezione degli asset veramente importanti •  Migliore utilizzo delle informazioni disponibili sugli ambienti da proteggere •  Maggiore comprensione degli eventi ⇒ migliori possibilità di intervento •  Possibilità di utilizzare sorgenti di informazioni aggiornate in tempo reale •  ThreatRadar

•  Virtual patching – gestire i problemi del software •  Non sottovalutare il fattore umano •  Progettazione, conduzione, analisi e gestione degli eventi…

Sicurezza dei dati

Un nuovo tipo di sicurezza

Network Access (OSI Layer 1 – 3)

Protocols (OSI Layer 4 – 6)

Application (OSI Layer 7)

Network Layer

Transport Layer

Application Layer

•  Solo un Web Application Firewall può identificare e bloccare gli attacchi a livello applicativo

•  Protezione nei confronti di attività malevole •  Deviazioni dai pattern di utilizzo previsti,

•  Tentativi di sfruttare vulnerabilità

Web Application Firewall

Customer Site

Lo scanner trova le vulnerabilità

SecureSphere importa i risultati della scansione

Applicazioni web protette

•  Patch virtuale delle applicazioni •  Integrazione con Vulnerability

Scanner di Web application •  Creazione instantanea di policy

di mitigazione

DB Firewall

•  Audit di tutti gli accessi a dati sensibili •  Segnala o blocca in tempo reale gli attacchi contro i DB e gli accessi

anomali •  Identifica e risolve tramite patch virtuale le vulnerabilità dei DB •  Identifica scenari di utenti dormienti e/o con diritti eccessivi. •  Accelera le attività di incident response ed investigazione forense •  Opera secondo il principio di “separation of duties” •  Indipendente dai DBA

•  Un unico strumento per tutte le principali piattaforme DB

Il framework di compliance

Discover Assess Set Controls

Audit & Secure

Measure & Report

Identificare, mappare e

prioritizzare i dati sensibili

Identificare vulnerabilità e gap rispetto al livello target

Rivedere e validare i

diritti utente

Monitorare, controllare e mettere in sicurezza gli

accessi

Verificare periodicamente e produrre

report

Audit trail

SecureSphere rende automatica la creazione di un processo di audit continuo

File Security

•  Audit di tutti gli accessi a file sensibili da parte di qualunque tipo di utente (privilegiato, applicativo, …) •  Monitoraggio dell’integrità dei file •  Identifica o blocca in tempo reale gli accessi non conformi alle policy

•  Identifica gli scenari di gestione non corretta dei diritti utente e permette una gestione completa del ciclo di vita dei diritti.

•  Supporta l’enforcement dell’approccio “need to know”

La sfida “mobile”

Il contesto: la diffusione dei dispositivi mobili

•  Il tasso di diffusione dei dispositivi mobili (smartphone e tablet) è estremamente elevato ed in rapida crescita

•  Strumenti utilizzati sia per uso personale che lavorativo 24x7

Evoluzione dell’ecosistema mobile

•  Negli ultimi anni almeno due eventi hanno contribuito a cambiare il panorama mobile aziendale: •  Comparsa di terminali mobili sempre più potenti e compatti

(smartphone, phablet, tablet, …) •  Connettività portatile a basso costo (o a costo ragionevole) e

disponibile 24/24, quasi ovunque •  Questi terminali, vengono utilizzati per attività lavorative anche complesse

quali: •  Visualizzazione/modifica di documenti •  Invio/ricezione di mail e messaggi aziendali •  Utilizzo di software personale/aziendale (appuntamenti, calendari, note,

ecc..) •  Storage di dati sensibili aziendali

Rischi e sfide

•  La diffusione di questi device pone sfide sempre più complesse per la

sicurezza dei dati e la gestione dei rischi aziendali.

•  Aumentano i rischi legati a:

•  Sicurezza dei dati

•  Assenza o utilizzo improprio di password/PIN

•  Perdita/furto dei dispositivi o compromissione da remoto

•  Utilizzo “a rischio” del device

•  Il problema della gestione e del monitoraggio del parco di dispositivi

•  Gestione e distribuzione di configurazioni complesse

•  Enforcement di policy aziendali (complessità delle password, cifratura

dei dati, ecc…)

Soluzioni

•  Un approccio completo deve prevedere due componenti fondamentali:

•  Tecnologica

•  Strumenti di gestione

•  Soluzioni hardware e software per la sicurezza dei dispositivi, delle

applicazioni e dei dati

•  Strategica

•  Security Design, Application Security Testing, Platform Security Testing

•  Analisi e validazioni di tool di attacco, identificazione di contromisure

•  Sviluppo di soluzioni a supporto della sicurezza mobile

36

Grazie! (Domande?)

Our Contacts Web: www.consulthink.it

Mail: sicurezza@consulthink.it Phone:+39-06 4549 2416

Fax:+39-06 4549 2454