Milano, 24 ottobre 2013

IL FENOMENO DEGLI ATTACCHI INFORMATICI IN
ITALIA: CONSIDERAZIONI E SUGGERIMENTI
DAI PRIMI DATI EM...
Chi siamo
Marco R.A. Bozzetti
• 1973 Laurea in Ingegneria elettronica al Politecnico di Milano
• 1971-85 CREI, Centro Rete Europea I...
AIPSI: www.aipsi.org

AIPSI - Capitolo Italiano di ISSA ®
Associazione di singoli professionisti
Oltre 13.000 esperti in t...
Chi e’ ISSA

•ISSA®, con l’attiva partecipazione dei singoli soci e dei relativi
capitoli in tutto il mondo, è la più gran...
Obiettivi AIPSI

Organizzazione di forum educativi
Redazione di documenti e pubblicazioni specializzate
Interscambio di es...
Attacchi:
i dati più interessanti
emersi dal
Rapporto OAI 2012
e da altri Rapporti
Siamo sempre
potenzialmente sotto
attacco … anche se siamo
una PMI, uno studio
professionale, un esercizio
commerciale , …...
Sicurezza vo cercando ….
irla
t
es
g

Sistemi informativi
aziendali e delle PA
Consumerizzazione
Ambiente
lavoro
DCS

e
te...
OAI, Osservatorio Attacchi Informatici in Italia

• Che cosa è
– Indagine annuale sugli attacchi ai Sistemi Informativi di...
Obiettivi OAI
•

Avere cadenza periodica annuale

•

Coinvolgere tutte le Associazioni e gli Enti coinvolti e/o interessat...
I Rapporti OAI annuali

Rapporto OAI 2012, di 48 pagine A4, fa il punto sugli
attacchi informatici in Italia rilevati nel ...
Altre iniziative OAI
• Da marzo 2010 sulla rivista Office Automation tengo una rubrica
fissa mensile per OAI sugli attacch...
La tassonomia degli attacchi considerata
1) Accesso e uso non autorizzato degli elaboratori, delle applicazioni supportate...
I trend per gli attacchi
•

Motivazioni:
– Hactivism: aspetti di protesta e politici, soprattutto per i paesi con
governi ...
Le cause delle crescenti minacce
•

Tutte le minacce si basano sulle vulnerabilità tecniche e/o umane-organizzative

– Vul...
Targeted Attack (TA) e APT

•

I TA, chiamati anche targeted threat, sono una relativamente nuova
classe di attacchi infor...
Tipiche fasi di un Targeted Attack /APT
Esempi di TA e/o APT
•
•

•
•
•

•

•

2009-10 Operazione Aurora: attacco a Google (gmail) e ad altri giganti statunitensi...
Gli strumenti tipici per TA e APT

Fonte:IDCc
Le imprese attaccate con APT in Italia
2013

Fonte:IDC
Mappa principali attacchi e relativi impatti
al 1° sem 2013
Mappa principali attacchi per nazione
al 1° sem 2013
Attacchi ai sistemi bancari e finanziari 2013

Fonte: TrendLabs 2013
Paesi con il maggior numero di collegamenti
a botnet

Fonte: TrendLabs 2013
a
Sa
So lwa
tu
r
ra cia e
l
zi
on En
g
e
M
ris .
od
Fu ors
if i
ch
rto e
e
n o d is
p
n
au .
t.
Sf
Si
ru
s
t.
Fr
At vul
ne...
Al

tr i

So
cia Ma
lw
l
ar
Sa E n
e
gi
tu
ne
ra
er
zi
in
on
g
e
Fu
ris
M
r to
or
od
s
di
if i
sp e
ch
e
os
no
itiv
Fr
n
a...
OAI 2012: Impatto dell’attacco

>10 casi impatto molto
significativo

3,4%
3,8%
3,2%
16,8%
13,7%
13,7%

>10 casi impatto p...
OAI 2012: Azioni (multiple) dopo un attacco

Patch sul software

40,7%

Indagini interne

33,3%

Eliminati sistemi

32,1%
...
OAI 2012: Tempi medi di ripristino

Non lo so
Oltre un mese
Meno di un mese
Meno di una settimana
Meno di 3 giorni

5,6%
0...
OAI 2012

OAI 2011

OAI 2009-10

Frode
informatica

Vandalismo

Sabotaggio

Azione
Dimostrativa

Spionaggio

Ricatto o
rit...
Crescita vulnerabilità sistemi mobili
Crescita delle minacce per Android
nel 2° trim. 2013

Fonte: TrendLabs 2013
OAI 2013
Sponsor alla data

In collaborazione con
Patrocinatori alla data
Questionario OAI 2013:
www.malaboadvisoring.it

• Totalmente anonimo
• 30-40 minuti circa per compilarlo
completamente
Grazie per l’attenzione!

Info@aipsi.org
www.aipsi.org
www.issa.org
Upcoming SlideShare
Loading in...5
×

Smau milano 2013 marco bozzetti

432

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
432
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau milano 2013 marco bozzetti

  1. 1. Milano, 24 ottobre 2013 IL FENOMENO DEGLI ATTACCHI INFORMATICI IN ITALIA: CONSIDERAZIONI E SUGGERIMENTI DAI PRIMI DATI EMERSI DA OAI 2013 M. R. A. Bozzetti CD e Coms Officer AIPSI CEO Malabo Srl (www.malaboadvisoring.it )
  2. 2. Chi siamo
  3. 3. Marco R.A. Bozzetti • 1973 Laurea in Ingegneria elettronica al Politecnico di Milano • 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN, prima rete europea di ricerca (tipo ARPA) a commutazione di pacchetto • 1976-80 Olivetti R&D – Ivrea:Responsabile ONE, Olivetti Network Environment, e comitati standard ISO, CCITT (ora ITU-C) , ECMA (chairman VFS) • 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 198284 Italtel Telematica : responsabile pianificazione strategica • 1984-87 Arthur Andersen Management Consultants • 1987-91 fondatore e Partner Ibimaint System Engineers • 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza • 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET • 1995-2000 CIO Gruppo ENI • 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab • Dal 2001 Fondatore e Amministratore Unico Malabo Srl • FTI, Forum delle Tecnologie dell’Informazione (fondatore) • EITO, European Information Technology Observatory ( Coideatore e Chief Scientist) • ClubTI di Milano (Past President) • FidaInform, Federazione Italiana delle Associazioni Professionali di Information Management (Past President) • AIPSI-ISSA, Consiglio Direttivo
  4. 4. AIPSI: www.aipsi.org AIPSI - Capitolo Italiano di ISSA ® Associazione di singoli professionisti Oltre 13.000 esperti in tutto il mondo Per richiedere l’iscrizione: http://www.aipsi.org/come-associarsi.html Codice etico: http://www.issa-italy.org/aipsi_codice_etico.pdf Statuto: http://www.issa-italy.org/statuto_aipsi.pdf
  5. 5. Chi e’ ISSA •ISSA®, con l’attiva partecipazione dei singoli soci e dei relativi capitoli in tutto il mondo, è la più grande associazione non-profit di professionisti della sicurezza. • L’organizzazione di forum educativi, la redazione di documenti e pubblicazioni oltre all’interazione fra i vari professionisti della sicurezza contribuiscono ad incrementare la conoscenza e la crescita professionale. • I soci sono professionisti nel campo della sicurezza a tutti i livelli nei vari settori delle telecomunicazioni, formazione, sanità, finance, industria e government
  6. 6. Obiettivi AIPSI Organizzazione di forum educativi Redazione di documenti e pubblicazioni specializzate Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali) Riferimento per la ricerca di professionisti di sicurezza ICT Interazione con altre organizzazioni professionali Rilascio di attestati e certificazioni specifiche (Eucip. LocSI)
  7. 7. Attacchi: i dati più interessanti emersi dal Rapporto OAI 2012 e da altri Rapporti
  8. 8. Siamo sempre potenzialmente sotto attacco … anche se siamo una PMI, uno studio professionale, un esercizio commerciale , … 04/27/08 5 8 8 Copyright 2008 - Trend Micro Inc.
  9. 9. Sicurezza vo cercando …. irla t es g Sistemi informativi aziendali e delle PA Consumerizzazione Ambiente lavoro DCS e te is Servizi ICT Servizi ICT in cloud e/o in cloud e/o terziarizzati terziarizzati as L z ez r cu i a T IC Social network d se è più e pr m o ss ple + mobile Fisso om c Inte es n e ornInternet t d an elle lut o cos ss e a Ambiente personale VDS, PLC, A/D Conv.
  10. 10. OAI, Osservatorio Attacchi Informatici in Italia • Che cosa è – Indagine annuale sugli attacchi ai Sistemi Informativi di Aziende e Pubbliche Amministrazioni in Italia condotta attraverso un questionario on-line indirizzo a CIO, CISO, CSO ed alle terze parti (fornitori, consulenti) che gestiscono la sicurezza informatica • Gli ideatori e realizzatori Marco R. A. Bozzetti Alessandro Betti
  11. 11. Obiettivi OAI • Avere cadenza periodica annuale • Coinvolgere tutte le Associazioni e gli Enti coinvolti e/o interessati nella sicurezza informatica • Divenire uno strumento di ausilio nell’Analisi del Rischio ed il punto di riferimento nazionale sulla sicurezza ICT, analogamente a quanto avviene con il Rapporto CSI statunitense • Far conoscere e sensibilizzare i vertici delle Aziende/Enti sui problemi della sicurezza ICT • Che cosa non è e non vuole essere OAI : – Un’indagine criminologica estesa a tutti i crimini informatici (es. pornografia e pedofilia elettronica, pirateria prodotti software, ecc.) – Uno studio accademico – Un’indagine di mercato
  12. 12. I Rapporti OAI annuali Rapporto OAI 2012, di 48 pagine A4, fa il punto sugli attacchi informatici in Italia rilevati nel 2010, 2011 ed il 1° quadrimestre 2012 Rapporto OAI 2011, di 36 pagine A4, fa il punto sugli attacchi informatici in Italia rilevati nel 2009 e nel 1° quadrimestre 2010 Rapporto OAI 2009-10, di 46 pagine A5, fa il punto sugli attacchi informatici in Italia rilevati nel 2007, nel 2008 e nel 1° quadrimestre 2009
  13. 13. Altre iniziative OAI • Da marzo 2010 sulla rivista Office Automation tengo una rubrica fissa mensile per OAI sugli attacchi informatici, con un taglio più manageriale che tecnico. – disponibili in formato elettronico: www.malaboadvisoring.it, www.soiel.it • Gruppo OAI su LinkedIn
  14. 14. La tassonomia degli attacchi considerata 1) Accesso e uso non autorizzato degli elaboratori, delle applicazioni supportate e delle relative informazioni 2) Modifiche non autorizzate ai programmi applicativi e di sistema, alle configurazioni ecc. 3) Modifiche non autorizzate ai dati e alle informazioni 4) Utilizzo codici maligni (malware) di varia natura, quali virus, Trojan horses, Rootkit, bots, exploits, sia a livello di posto di lavoro che di server 5) Utilizzo vulnerabilità del codice software, sia a livello di posto di lavoro che di server: tipici esempi back-door aperte, SQL injection, buffer overflow ecc. 6) Saturazione risorse informatiche e di telecomunicazione: oltre a DoS (Denial of Service) e DDoS (Distributed Denial of Service), si includono in questa classe anche mail bombing, catene di S. Antonio informatiche, spamming ecc. 7) Furto di apparati informatici contenenti dati (laptop, hard disk, floppy, nastri, chiavette USB ecc.) 8) Furto di informazioni o uso illegale di informazioni a) da dispostivi mobili (palmari, cellulari, laptop) b) da tutte le altre risorse 9) Attacchi alle reti, fisse o wireless, e ai DNS, Domain Name System 10) Frodi tramite uso improprio o manipolazioni non autorizzate e illegali del software applicativo (ad esempio utilizzo di software pirata, copie illegali di applicazioni ecc.) 11) Attacchi di Social Engineering e di Phishing per tentare di ottenere con l’inganno (via telefono, email, chat ecc.) informazioni riservate quali credenziali di accesso e il furto d’identità digitale 12) Ricatti sulla continuità operativa e sull’integrità dei dati del sistema informativo (ad esempio se non paghi attacco il sistema e ti procuro danni, magari con dimostrazione delle capacità di attacco e di danno conseguente…) 13) Altri tipi di attacco, quali ad esempio attacchi di tipo misto (Blended threat), sabotaggi, vandalismi con distruzione di risorse informatiche 14) TA , Targeted Attacks e APT, Advanced Persistent Threat
  15. 15. I trend per gli attacchi • Motivazioni: – Hactivism: aspetti di protesta e politici, soprattutto per i paesi con governi dittatoriali o autoritari (Sud mediterraneo, Paesi arabi, ecc.) – Timori per una crescita di attacchi ICT di tipo terroristico (blocco e/o malfunzionamento infrastrutture critiche …) – Crescita attacchi per spionaggio (anche industriale) – Consolidamento crescita attacchi per frodi (ordine di B $,€/anno) • ROI attacchi > 750%/mese • • • • • • • • Crescita rischi e vulnerabilità nei sistemi “mobili” APT, Advanced Persistent Threat da “Aurora” a Flame e Lucycat Offuscamento (Obfuscation) delle attività dell’attaccante Proxy anonimi Sottrazione dati focalizzazione sui contenuti Crescita dei siti “buoni” (affidabili) con collegamenti a siti maligni Frodi e ricatti Disponibilità DIY Kit per la creazione di codici maligni e botnet sempre più facili da usare e poco costosi
  16. 16. Le cause delle crescenti minacce • Tutte le minacce si basano sulle vulnerabilità tecniche e/o umane-organizzative – Vulnerabilità tecniche (software di base e applicativo, architetture e configurazioni) • siti web e piattaforme collaborative • Smartphone e tablette mobilità >>14.000 malware • Posta elettronica spamming e phishing • Piattaforme e sistemi virtualizzati • Terziarizzazione e Cloud (XaaS) • Circa il 40% o più delle vulnerabilità non ha patch di correzione – Vulnerabilità delle persone • Social Engineering e phishing • Utilizzo dei social network, anche a livello aziendale – Vulnerabilità organizzative • • • • • • • Mancanza o non utilizzo procedure organizzative Insufficiente o non utilizzo degli standard e delle best practices Mancanza di formazione e sensibilizzazione Mancanza di controlli e monitoraggi sistematici Analisi dei rischi mancante o difettosa Non efficace controllo dei fornitoriù Limitata o mancante SoD, Separation of Duties
  17. 17. Targeted Attack (TA) e APT • I TA, chiamati anche targeted threat, sono una relativamente nuova classe di attacchi informatici rivolta ad uno specifico obiettivo, o ad un limitato numero di obbiettivi, basato sull’ uso di più strumenti di attacco con lo scopo primario: a) di ottenere informazioni riservate ed importanti frodi, spionaggio b) di seriamente compromettere funzionalità e disponibilità di un sistema informatico o di una sua parte c) di seriamente compromettere immagine, credibilità ed autorevolezza dell’obbiettivo attaccato • Tipici obiettivi target: Pubbliche Amministrazioni, Banche ed Istituti finanziari, grandi Corporazioni , infrastrutture nazionali ad alta criticità • Nell’ambito dei TA una sottoclasse (logica) è costituita dagli APT, Advanced Persistent Threat attacco mirato ad uno specifico target, usando molteplici e paralleli strumenti di attacco, persistenti per essere in grado di analizzare le vulnerabilità esistenti e le possibilità di attacco slow and low • Sia TA che APT richiedono grandi risorse e competenze cyberwar
  18. 18. Tipiche fasi di un Targeted Attack /APT
  19. 19. Esempi di TA e/o APT • • • • • • • 2009-10 Operazione Aurora: attacco a Google (gmail) e ad altri giganti statunitensi dell’ICT dalla Cina via vulnerabilità 0-day su IE e sul sw di controllo versioni codice di Google (Perforce) 2010 Stuxnet: attaccato il centro nucleare iraniano di Bushehr e altre infrastrutture critiche in Cina, India, Indonesia, Pakistan • Stuxnet è un codice maligno multicomponente tipo worm che infetta sistemi con sistema operativo Windows, dal vecchio Windows 95 a Windows Server 2003, con installato SIMATIC WinCC, il sistema Siemens per l’automazione dei sistemi SCADA. • L’obiettivo del worm è prendere il totale controllo del sistema SCADA attaccato 2011 RSA: attacco a SecureID via spear phishing con Excel malevole che attivava codice maligno Poison Ivy con funzionalità backdoor 2011 DigiNotar: CA olandese attaccata creando e diffondendo certificati digitali falsi nei principali browser; un mese dopo è fallita 2012 Luckycat: campagna di attacchi in India, Giappone e Tibet ad industrie militari, energia, aerospaziali, .. 90 attacchi compromettendo >233 server via TROJ_WIMMI, VBS_WIMMI, botnet-C&C, Windows Management Instrumentation 2012 Flame: malware modulare e sofisticato di grandi dimensioni (+ 20 M) per ambienti Windows focalizzato allo spionaggio informatico ed al furto di informazioni nei paesi mediorientali 2012 Global Payments Inc: attacco per frode al suo sistema di pagamenti con POS e relative carte di credito, pur essendo certificata PCI-DSS – Costi del breach: 94 M$, di cui circa 36 M per la frode, il resto per riparare il danno
  20. 20. Gli strumenti tipici per TA e APT Fonte:IDCc
  21. 21. Le imprese attaccate con APT in Italia 2013 Fonte:IDC
  22. 22. Mappa principali attacchi e relativi impatti al 1° sem 2013
  23. 23. Mappa principali attacchi per nazione al 1° sem 2013
  24. 24. Attacchi ai sistemi bancari e finanziari 2013 Fonte: TrendLabs 2013
  25. 25. Paesi con il maggior numero di collegamenti a botnet Fonte: TrendLabs 2013
  26. 26. a Sa So lwa tu r ra cia e l zi on En g e M ris . od Fu ors if i ch rto e e n o d is p n au . t. Sf Si ru s t. Fr At vul ne o di ta cc r hi abi At sic lit à . t Fu a cc fi si c rto hi al a in le Fu fo d re rto a m ti R i nfo ob ic da i li at ti f Ac inf o iss M i od ces rma if i ch si n tici o e no n a u n au t. t. da ti Al t ri M % rispondenti OAI 2012: Principali attacchi subiti 2010-2011-1°quad. 2012 80 70 60 50 40 30 20 10 0 2010 2011 1° quad 2012 TA e APT non erano considerati a sé stanti, come lo saranno in OAI 2013 ©OAI 2012
  27. 27. Al tr i So cia Ma lw l ar Sa E n e gi tu ne ra er zi in on g e Fu ris M r to or od s di if i sp e ch e os no itiv Fr n au i od t. i in S fo Sf r m is ru a t. vu tich e ln er ab At i ta cc lità At hi ta fis cc ici Fu hi r to al le in re fo ti da Fu r to m ob in ili fo Ri ca da tti fis in si fo Ac rm M ce at od ss ici if i in ch on e no au t n au . t. da ti % rispondenti OAI 2012: Confronto principali attacchi subiti 2008-1°quad. 2012 90 80 70 60 50 40 30 20 10 0 2008 2009 2010 2011 2012 1° quad. ©OAI 2012
  28. 28. OAI 2012: Impatto dell’attacco >10 casi impatto molto significativo 3,4% 3,8% 3,2% 16,8% 13,7% 13,7% >10 casi impatto poco significativo 1° quad 2012 2011 1-10 casi impatto molto significativo 3,8% 6,5% 6,7% 2010 76,0% 76,0% 76,4% 1-10 casi impatto poco significativo % rispondenti ©OAI 2012
  29. 29. OAI 2012: Azioni (multiple) dopo un attacco Patch sul software 40,7% Indagini interne 33,3% Eliminati sistemi 32,1% Policy e proc. organiz. 30,9% Nuovi strumenti 30,9% 18,5% Corsi formazione Rimpiazzo sistemi 12,3% Intervento legali 9,9% Altro 2,5% Indagini da esterni 2,5% % rispondenti ©OAI 2012
  30. 30. OAI 2012: Tempi medi di ripristino Non lo so Oltre un mese Meno di un mese Meno di una settimana Meno di 3 giorni 5,6% 0,0% 3,7% 0,0% 29,6% 61,1% Meno di un giorno % rispondenti ©OAI 2012
  31. 31. OAI 2012 OAI 2011 OAI 2009-10 Frode informatica Vandalismo Sabotaggio Azione Dimostrativa Spionaggio Ricatto o ritorsione Terrorismo 60% 50% 40% 30% 20% 10% 0% Altro % rispondenti OAI 2012: motivazioni per gli “attacchi temuti nel futuro” nei vari Rapporti OAI ©OAI 2012
  32. 32. Crescita vulnerabilità sistemi mobili
  33. 33. Crescita delle minacce per Android nel 2° trim. 2013 Fonte: TrendLabs 2013
  34. 34. OAI 2013 Sponsor alla data In collaborazione con Patrocinatori alla data
  35. 35. Questionario OAI 2013: www.malaboadvisoring.it • Totalmente anonimo • 30-40 minuti circa per compilarlo completamente
  36. 36. Grazie per l’attenzione! Info@aipsi.org www.aipsi.org www.issa.org
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×