Sicurezza Informatica Nelle Aziende Installfest2007

1,710 views

Published on

Sicurezza Informatica Nelle Aziende

Published in: Technology, Business
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,710
On SlideShare
0
From Embeds
0
Number of Embeds
36
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Sicurezza Informatica Nelle Aziende Installfest2007

  1. 1. <ul><li>Alessandro Tanasi </li></ul><ul><li>[email_address] </li></ul><ul><li>http://www.tanasi.it </li></ul>La sicurezza informatica nelle aziende
  2. 2. Introduzione <ul><li>La dipendenza dalla tecnologia comporta problemi di sicurezza di informazioni e dei sistemi informativi. </li></ul><ul><li>In prima linea si trovano le aziende che devono mantenere e controllare: </li></ul><ul><li>Riservatezza : il corretto livello di confidenzialità </li></ul><ul><li>Integrità : evitate la loro manomissione o la loro perdita </li></ul><ul><li>Disponibilità : risorse sempre pronte per l'uso </li></ul><ul><li>AAA : autenticazione, autorizzazione e registrazione </li></ul><ul><li>società dipendente dalla tecnologia </li></ul><ul><li>definizione di sicurezza informatica </li></ul><ul><li>gli obbiettivi dell'elaborazione dei dati </li></ul>
  3. 3. Chi è a rischio? <ul><li>Potenzialmente può incorrere in problemi di sicurezza informatica chiunque: </li></ul><ul><li>Sia connesso a internet o in generale a una rete </li></ul><ul><li>Legga la posta elettronica </li></ul><ul><li>Abbia dati importanti di cui non dispone di copia </li></ul><ul><li>Installi programmi di provenienza non certa </li></ul><ul><li>...praticamente... tutti ! </li></ul><ul><li>le imprese non comprendono il rischio, nemmeno a crimine commesso </li></ul><ul><li>non si investe in sicurezza informatica </li></ul>
  4. 4. La minaccia concreta <ul><li>Truffe, in particolare spam e phishing </li></ul><ul><li>Attacchi automatizzati e script kiddies (vandali inesperti) </li></ul><ul><li>Virus e spyware : il 99% delle società usa un programma antivirus, l'82% di queste sono state colpite da virus [1] </li></ul><ul><li>Abusi : l'80% delle società riporta che un lavoratore ha abusato dell'accesso a internet, ad esempio scaricando materiale pornografico o protetto da copyright [1] </li></ul><ul><li>Attacchi mirati condotti da professionisti (pagati) </li></ul>[1] CSI/FBI Computer Crime and Security Survey, 2003 http://www.security.fsu.edu/docs/FBI2003.pdf <ul><li>truffatori e criminali in cerca di facili guadagni </li></ul><ul><li>programmi automatici e dilettanti </li></ul><ul><li>attacchi professionali </li></ul>
  5. 5. Nel dettaglio.. <ul><li>la maggior parte dei danni e' causata dai virus (blu) </li></ul><ul><li>l'attacco “umano” professionale e' raro (rosso) </li></ul>
  6. 6. Strumenti <ul><li>La matematica: la crittografia </li></ul><ul><ul><li>archiviazione di dati cifrati e firma digitale </li></ul></ul><ul><ul><li>autenticazione e non ripudio </li></ul></ul><ul><ul><li>realizzazione di comunicazioni sicure su canale insicuro </li></ul></ul><ul><li>Investimenti in tecnologia (apparati di protezione e autenticazione, filtri sui contenuti, aggiornamenti) </li></ul><ul><li>Analisi e definizione dei rischi </li></ul><ul><li>Personale (punto debole) e formazione </li></ul><ul><li>tecniche matematiche (crittografia) </li></ul><ul><li>finanziamenti per strutture e personale </li></ul><ul><li>formazione del personale </li></ul>
  7. 7. Formazione <ul><li>La formazione dovrebbe aiutare a comprendere l'uso e lo scopo degli strumenti informatici </li></ul><ul><li>Come gestire gli allegati? </li></ul><ul><li>Perchè alcuni siti sono pericolosi? </li></ul><ul><li>Chi può accedere a quali informazioni e in che modo? </li></ul><ul><li>La formazione aiuta il personale a prendere consapevolezza delle problematiche e dei rischi, aumenta la produttività e diminuisce gli incidenti informatici </li></ul><ul><li>training sulle tecnologie e i mezzi </li></ul><ul><li>formazione del buon senso nel personale </li></ul>
  8. 8. Livelli di sicurezza <ul><li>La sicurezza è un processo che richiede investimenti costanti , azioni correttive risultanti da una scelta di compromesso tra esigenze dell'utente e impegno richiesto, in coerenza con lo scenario , l'identificazione e valutazione adeguata dei rischi . </li></ul><ul><li>Che informazioni tratto? </li></ul><ul><li>Chi è interessato a queste informazioni? </li></ul><ul><li>Rispetto la Legge? </li></ul><ul><li>Quale livello di sicurezza voglio garantire? </li></ul><ul><li>valutazione di un livello di sicurezza adeguato </li></ul><ul><li>la sicurezza è un processo </li></ul><ul><li>la sicurezza si costruisce ogni giorno </li></ul>Eliminazione del rischio per quanto possibile dalla tecnologia Sicurezza? Cosa? Comprensione del pericolo e sua riduzioni con azioni proporzionali
  9. 9. Problematiche <ul><li>Livelli di problemi diversi , tutti devono essere affrontati: </li></ul><ul><li>sicurezza affrontata a vari livelli </li></ul><ul><li>tutti insieme contribuiscono </li></ul><ul><li>il sistema e' debole quanto il suo livello più debole </li></ul>Comprensione del problema Sicurezza fisica Accesso al mondo Rete interna Host (computer) Applicazione (programma)
  10. 10. Sicurezza Fisica <ul><li>Password su post-it </li></ul><ul><li>Documenti cestinati </li></ul><ul><li>Documenti visibili </li></ul><ul><li>Eccessi di fiducia </li></ul><ul><li>Terminali accesi senza utenti </li></ul><ul><ul><li>Perchè ricorrere a una complicata violazione informatica quando quello che ci serve è appoggiato su una scrivania? </li></ul></ul><ul><li>cose ovvie e semplici </li></ul><ul><li>esempi di errori tipici </li></ul>
  11. 11. Ambiente di lavoro <ul><li>Controllo dell'accesso ai locali, policy (regole) di accesso </li></ul><ul><li>Trattare nel modo dovuto i documenti (ad es. in cartelline) </li></ul><ul><li>Non lasciare informazioni nei rifiuti </li></ul><ul><li>Attenzione a come vengono portati dati fuori dall'ufficio </li></ul><ul><li>Porre attenzione ai piccoli dettagli dei computer (segni di scasso) </li></ul><ul><li>Prevenzione di incendi, allagamenti ecc. </li></ul><ul><li>..e molto altro.. </li></ul>Le cose ovvie spesso vengono trascurate perchè date per scontate ! <ul><li>un minimo di sorveglianza </li></ul><ul><li>controllo sul flusso dell'informazione e sul suo trattamento </li></ul><ul><li>furti di informazione </li></ul>
  12. 12. Social Engineering <ul><li>Le persone danno fiducia al contesto di una conversazione </li></ul><ul><li>Mancanza di paranoia in particolare nella routine quotidiana </li></ul><ul><li>Mancanza di training del personale, mancanza di sanzioni, in generale mancanza di buon senso </li></ul>Social Engineering [1] : ottenere informazioni confidenziali manipolando e ingannando le persone con imbrogli ad arte [1] http://www.securityfocus.com/infocus/1527 <ul><li>facilitato dalla scarsa malizia </li></ul><ul><li>permette la raccolta di informazioni </li></ul><ul><li>semplice da mettere in atto </li></ul>Sono un Tecnico Telecom, devo fare un controllo sulla linea Prego, entri pure, ci vuole molto?
  13. 13. Sicurezza dell'host <ul><li>Virus Melissa: 6,7 miliardi di dollari di danni </li></ul><ul><li>Un sistema Windows collegato a internet senza essere protetto dopo pochi minuti è già compromesso </li></ul><ul><li>Abitudine di cliccare su “avanti” senza leggere </li></ul><ul><li>Configurazioni errate </li></ul><ul><li>Accessi non controllati </li></ul><ul><li>Sistemi installati e mai configurati </li></ul><ul><li>errori comuni dell'utente </li></ul><ul><li>debolezza di sistemi operativi e applicazioni </li></ul><ul><li>continua attività maligna proveniente da internet </li></ul>
  14. 14. Il fattore umano <ul><li>Non aprire email ingenuamente </li></ul><ul><li>Non eseguire programmi di cui non è certa la provenienza </li></ul><ul><li>Utilizzo improprio del ambiente lavorativo (ad es. p2p) </li></ul><ul><li>Scelta di password deboli mai cambiate </li></ul><ul><li>Installazione di programmi di cui non si conosce l'uso </li></ul>Semplicemente bisogna usare del buon senso ! <ul><ul><li>La sicurezza di un singolo computer viene violata in particolare a causa di errori umani </li></ul></ul><ul><li>causa la maggior parte delle violazioni </li></ul><ul><li>la soluzione più efficace è usare il buon senso </li></ul>
  15. 15. Virus <ul><ul><li>Circa 40 nuovi virus e worm vengono creati ogni giorno </li></ul></ul><ul><ul><li>In 10 minuti un virus può infettare oltre 400000 hosts nel mondo </li></ul></ul><ul><ul><li>Spesso un virus espone i dati contenuti nel sistema </li></ul></ul><ul><li>alta virulenza </li></ul><ul><li>necessità di programmi di difesa attiva e passiva </li></ul><ul><li>i programmi di difesa devono essere aggiornati </li></ul>Virus, worm [1] : un programma che si replica e si diffonde autonomamente [1]: http://en.wikipedia.org/wiki/Computer_virus Contromisure: installare un antivirus e un programma anti spyware che devono essere mantenuti costantemente aggiornati (almeno giornalmente).
  16. 16. Firewall <ul><li>Firewall [1] : strato che si interpone tra l'host (o la rete) e il mondo esterno bloccando l'attività di rete non voluta </li></ul>[1]: http://en.wikipedia.org/wiki/Firewall_%28networking%29 <ul><li>Protegge l'host dallo sfruttamento delle sue vulnerabilità (del sistema operativo, delle applicazioni) </li></ul><ul><li>Permette solo il traffico prescelto </li></ul><ul><li>Permette di circoscrivere servizi </li></ul><ul><li>Difende il perimetro </li></ul><ul><li>internet è una fonte di traffico maligno </li></ul><ul><li>non esporre le vulnerabilità dell'host al mondo </li></ul><ul><li>ci permette di controllare il traffico dalla rete all'host </li></ul>
  17. 17. Sicurezza dell'Host <ul><li>Aggiornare il sistema operativo e le applicazioni </li></ul><ul><li>Disabilitare i servizi non necessari </li></ul><ul><li>Pianificare dei backup del sistema (...e farli.. ma farli) </li></ul><ul><li>...ma il tutto deve essere bilanciato tra sicurezza e usabilità </li></ul>Mantenere il proprio computer aggiornato , facendo scansioni, manutenzione e backup periodici . Tutto questo non previene gli errori umani! <ul><li>host non aggiornati sono vulnerabili </li></ul><ul><li>servizi non utilizzati sono un punto d'ingresso in più </li></ul><ul><li>essere sempre pronti alla disfatta facendo dei backup </li></ul>
  18. 18. Sintomi di violazione <ul><li>Rallentamenti del sistema </li></ul><ul><li>Uso anomalo della rete (alto traffico) e suoi rallentamenti </li></ul><ul><li>Comparsa di file sospetti, icone e programmi non voluti </li></ul><ul><li>Malfunzionamento di programmi (in particolare antivirus) </li></ul><ul><li>Tutto quello che è diverso dal normale se non sono stati apportati cambiamenti </li></ul><ul><li>Uso eccessivo della CPU e del Hard Disk </li></ul><ul><li>Eventi strani nei log (registri delle attività) </li></ul><ul><li>come accorgersi di una intrusione </li></ul><ul><li>sintomi da riconoscere </li></ul>
  19. 19. Disaster Recovery <ul><li>E' avvenuto un incidente informatico, cosa fare? </li></ul><ul><li>In caso di disastro cosa fare? </li></ul><ul><li>Pensare alle principali evenienze </li></ul><ul><li>Pianificare una risposta ad esse </li></ul><ul><li>Descrivere la risposta in appositi manuali con un linguaggio semplice </li></ul><ul><li>i disastri accadono sicuramente (prima o poi) </li></ul><ul><li>non facciamoci trovare impreparati </li></ul><ul><li>Esempi: </li></ul><ul><li>Pianificazione dei backup </li></ul><ul><li>Pianificazione di chi chiamare in caso di collasso del collegamento a internet </li></ul>
  20. 20. Sicurezza di rete <ul><li>Per cosa viene usata la nostra banda? </li></ul><ul><li>Cosa può fare un malintenzionato dalla nostra rete? </li></ul><ul><li>Se la nosta rete viene usate per spedire spam? </li></ul><ul><li>... e il phishing? ... e il p2p? </li></ul><ul><li>conoscenza dell'utilizzo che viene fatto </li></ul><ul><li>definire cosa è un utilizzo normale </li></ul><ul><li>riconoscimento delle anomalie </li></ul>
  21. 21. Rete <ul><li>In una rete usata da più persone si deve disporre di: </li></ul><ul><li>AAA – Autenticazione, Autorizzazione, Registrazione </li></ul><ul><li>Possibilità di filtraggio </li></ul><ul><li>Possibilità di monitoraggio </li></ul><ul><li>Esempi: </li></ul><ul><li>Sapete chi utilizza la vostra rete Wi-Fi? </li></ul><ul><li>Sapete chi accede ai vostri documenti condivisi? </li></ul><ul><li>la rete è una risorsa </li></ul><ul><li>il suo utilizzo deve essere regolato </li></ul>amministratore ladro di dati
  22. 22. Monitoraggio di rete <ul><li>Monitoraggio dell'utilizzo da parte del dipendente (proxy) e eventuale blocco automatico (filtraggio) </li></ul><ul><li>Monitoraggio delle risorse (grafici utilizzo banda ecc..) </li></ul><ul><li>Monitoraggio del contenuto del traffico (..e delle persone) </li></ul><ul><li>monitoraggio qualitativo </li></ul><ul><li>monitoraggio quantitativo </li></ul><ul><li>ipotesi sul traffico alla ricerca di anomalie </li></ul><ul><li>In ambiti particolari: </li></ul><ul><li>Sitemi di rilevamento delle intrusioni (IDS) </li></ul><ul><li>Sistemi di prevenzione delle intrusioni (IPS) </li></ul>
  23. 23. Comunicazioni Sicure <ul><li>I dati inviati in chiaro possono essere intercettati </li></ul><ul><li>email </li></ul><ul><li>web (non https) </li></ul><ul><li>chat </li></ul><ul><li>messaggistica </li></ul><ul><li>problema dell'intercettazione </li></ul><ul><li>utilizzo della crittografia </li></ul><ul><li>verificare di utilizzare un canale sicuro </li></ul>Utilizzo della crittografia per rendere incomprensibile la comunicazione <ul><li>Siti web protetti (https, certificati digitali) </li></ul><ul><li>Comunicazioni sicure (ad es. chat che utilizzano SSL o altro) </li></ul><ul><li>Crittografia e firma digitale nelle email </li></ul>
  24. 24. Negazione di servizio <ul><li>Denial of Service (DoS) : attacco mirato all'interruzione dell'erogazione di un servizio </li></ul><ul><li>attacco informatico </li></ul><ul><li>errore umano </li></ul><ul><li>problema tecnico </li></ul>necessità di strutture ridondate <ul><li>Pezzi di ricambio </li></ul><ul><li>Dati replicati </li></ul><ul><li>Collegamenti ridondanti </li></ul><ul><li>Alimentazione controllata (UPS) </li></ul><ul><li>interrompere il servizio è un danno economico </li></ul><ul><li>prevedere alcuni tipi di interruzione </li></ul><ul><li>essere pronti a reagire </li></ul>
  25. 25. Enterprise <ul><li>Sistemi per il rilevamento delle violazione sul singolo host (HIDS, auditing) e per l'apprendimento (honeypots) </li></ul><ul><li>Sistemi per il monitoraggio della rete (monitoring, auditing), rilevazione e prevenzioni delle attività ostili (NIDS, IPS) </li></ul><ul><li>dove la sicurezza viene messa al primo posto </li></ul><ul><li>dove tutto deve funzionare </li></ul><ul><ul><li>Sistemi di sorveglianza e controlli d'accesso </li></ul></ul><ul><ul><li>Aggiornamento costante di strutture e personale </li></ul></ul><ul><ul><li>Simulazioni e penetration test periodici </li></ul></ul><ul><ul><li>Professionisti specializzati </li></ul></ul>AT&T NOC
  26. 26. Conclusioni <ul><li>La sicurezza è un processo da eseguire ogni giorno strutturato a livelli </li></ul><ul><li>La tecnologia non protegge host e reti da errori umani e in particolare dalle persone malintenzionate </li></ul><ul><li>L'uso del buon senso è fondamentale </li></ul><ul><li>...questa è appena la punta dell'iceberg; l'importante non è conoscere la soluzione ma avere la consapevolezza che esistono delle problematiche diverse e un problema sicurezza informatica </li></ul><ul><li>la tecnologia aiuta ma non basta </li></ul><ul><li>la tecnologia non protegge dagli errori umani </li></ul><ul><li>la conoscenza del problema è fondamentale </li></ul>
  27. 27. Domande
  28. 28. Licenza <ul><li>Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute-NonCommercial-ShareALike [1] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa. </li></ul><ul><li>In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte. </li></ul><ul><li>Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le nuove versioni. </li></ul>[1] http://creativecommons.org/licenses/by-nc-sa/2.0/
  29. 29. Slides <ul><li>Le slides di questa presentazione sono già disponibili su: http://www.tanasi.it </li></ul><ul><li>Per informazioni: [email_address] </li></ul>

×