I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
Android Security - Key Management at GDG DevFest Rome 2013
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
1. Prevenzione degli attacchi informatici che
coinvolgono dati sensibili aziendali
Alberto Caporro
Director of Security Services
a.caporro@consulthink.it
1
3. L’azienda
Consulthink è un’azienda di consulenza ICT specializzata nella progettazione e
nell’implementazione di piattaforme applicative complesse e di soluzioni per la
sicurezza ed il networking.
• Fondata nel 2004
• Caratterizzata da una crescita continua di fatturato e personale.
• Opera su tutti i mercati, dalla Pubblica Amministrazione agli operatori TLC.
• Alberto Caporro – Responsabile BU Security e Mobile Security Lab
4. Area Security
Consulthink propone un approccio omnicomprensivo, basato su strumenti sia
tecnologici che di processo, alla Security Governance, con l’obiettivo di fornire
ai suoi Clienti:
• Progettazione, implementazione e gestione di sistemi per la sicurezza di
rete e applicativa.
• Servizi professionali caratterizzati da elevata specializzazione relativi a tutti
gli aspetti della sicurezza ICT:
• Compliance assessment
• Penetration Test e Vulnerability Assessment di infrastrutture sia tradizionali che
mobili
• Soluzioni per la sicurezza perimetrale e dei dati
• Forensic
• Event management
5. Mobile Security Lab
• Progetto dedicato esclusivamente alla creazione di un centro di
competenza di livello internazionale sulla tematica della Mobile Security.
• Nato per operare su scenari di rischio finora sconosciuti o ritenuti poco
rilevanti per le tradizionali architetture IT
• Offre un portafoglio completo di servizi:
• Security Design & Assessment
• Security Research
• Security Reporting
• Conosciuto in ambito internazionale:
• 2nd International ICST Conference on Digital Forensics & Cyber Crime
(ICDF2C)
• Hack in the Box Europe 2010
• DeepSec 2009
• BlackHat Europe 2009
7. Lo stato della sicurezza
Gli attacchi informatici crescono in maniera esponenziale sia come numerosità
che come gravità
+250%
Frequenza degli incidenti
rispetto al 2011
+370%
54%
Attacchi riconducibili a
Cyber Crime
Incremento annuale del
numero di attacchi
1: Fonte Rapporto CLUSIT 2012-2013
8. Lo stato della sicurezza
Tipologia e Distribuzione degli attaccanti
9%
31%
4%
2%
54%
Cybercrime
Hacktivism
Unknown
Cyber Warfare
Espionage/Sabotage
CLUSIT – 2013 Rapporto sulla Sicurezza ICT in Italia
9. Lo stato della sicurezza
Tipologia e Distribuzione delle vittime
Gov - Mil -Le - Intelligence
1%
2%
1%
1%
1%
5%
Others
1%
Industry: Entertainment/News
5%
32%
Industry: Online Services/Cloud
Research - Education
9%
Industry: Software/Hardware Vendor
11%
Industry: Banking/Finance
15%
16%
Industry: Telco
Industry: Gov. Contractors/Consulting
Industry: Security
Religion
Health
Industry: Chemical/Medical
CLUSIT – 2013 Rapporto sulla Sicurezza ICT in Italia
10. E a livello internazionale?
• Nel corso del solo
2013 abbiamo assistito
a decine di attacchi di
alto profilo
• Completamente
trasversali – aziende,
enti governativi, militari,
ecc.
• Il denominatore
comune è la
compromissione di
elevatissime quantità di
dati sensibili
World's Biggest Data Breaches 2011-2013
Fonte: Information is beautiful
11. Qualche esempio – Adobe
• 2.9 milioni di account impattati – dati personali, carte di credito (cifrate)
• 40 GB di codice sorgente, relativo a molti prodotti differenti
• Attacco reso noto ad ottobre, in corso forse da maggio – 5 mesi
12. Qualche esempio – Wikileaks, NSAgate
• Portata dell’evento tuttora non ben definita
• Gravi danni in termini di immagine e di relazioni internazionali
• Compromissione del “core business”
13. Qualche esempio – PSN
• 77 milioni di utenti compromessi
• PlayStation Network non accessibile per ~1 mese
• Danni per milioni di euro
15. I possibili attacchi
Esterno
Interno
FW, IPS, NG FW
Technical
Attack
Data Center
Dati
Apps
File
Protection
Fraud
User Rights
Management
Prevention
Clienti,
Partners,
Dipendenti
Hackers
Auditing
Protection
Logic
Attack
Usage
Amministratori
Vulnerability
Scanning &
Virtual Patching
Privileged
Activity
Audit
Discovery and
Classification
Access
Control
Dipendenti,
Malintenzio
nati
DLP
16. Regolamentazioni sul trattamento dei dati
G.d.P
CobiT
(SOX)
PCI DSS
HIPAA
4. Privileged User Activity
(All)
ü
ü
ü
5. Schema Changes
(Create/Drop/Alter Tables, Columns)
ü
ü
ü
Requisiti di controllo
Dlgs
196/2003
e DBA
2009
ISO
27001
EU Data
Privacy
Directive
ü
ü
ü
ü
ü
circa
pari a e
ce è ere
1. System Access
plian otten
c m ü
per ü
(Successful/Failed Logins; User/Role/
ü non ü o
ü
ü
e
a
l
Permissions/ Password changes)
e del a sostener liance
real ti d
2. Data Access
ü ompü
ü
ü
ü
edio i cos
(Successful/Failed SELECTs)
la c
o m o de
c Changes
ene
re
lDataost tripl
3.
I
ü
ü
ü
ü
mant ü
il
(Insert, Update, Delete)
19. Qualche numero
82%
Applicazioni Web vulnerabili
85%
Attacchi rilevati dopo
molte settimane
99%
75%
Attacchi rilevati rivolti contro
piattaforme applicative
116 giorni
Tempo medio per la
risoluzione di una vulnerabilità
Intrusioni che portano alla compromissione
di uno o più sistemi entro poche ore o giorni
WhiteHat Website Security Statistics Report, Winter 2011
Verizon 2012 Data Breach Investigations Report
EMA, The Rise of Data-Driven Security, Crawford, Aug 2012
22. Imperva SecureSphere
La piattaforma Imperva SecureSphere fornisce una soluzione su più livelli in
grado di garantire un livello di sicurezza adeguato
23. Imperva SecureSphere - Componenti
• Web Application Firewall + DB Firewall + File Firewall
• Superano le limitazioni di altri strumenti (Firewall, IDS/PS, ecc.)
• Vantaggi
• Maggiore efficacia nella protezione degli asset veramente importanti
• Migliore utilizzo delle informazioni disponibili sugli ambienti da proteggere
• Maggiore comprensione degli eventi migliori possibilità di intervento
• Possibilità di utilizzare sorgenti di informazioni aggiornate in tempo reale
• ThreatRadar
• Virtual patching – gestire i problemi del software
• Non sottovalutare il fattore umano
• Progettazione, conduzione, analisi e gestione degli eventi…
25. Un nuovo tipo di sicurezza
• Solo un Web Application Firewall può identificare e bloccare gli attacchi a
livello applicativo
• Protezione nei confronti di attività malevole
• Deviazioni dai pattern di utilizzo previsti,
• Tentativi di sfruttare vulnerabilità
Application
Layer
Application
(OSI Layer 7)
Transport
Protocols
Layer
(OSI Layer 4 – 6)
Network
Layer
Network Access
(OSI Layer 1 – 3)
26. Web Application Firewall
Lo scanner trova le
vulnerabilità
Customer
Site
Applicazioni web
protette
SecureSphere importa i
risultati della scansione
• Patch virtuale delle applicazioni
• Integrazione con Vulnerability
Scanner di Web application
• Creazione instantanea di policy
di mitigazione
27. DB Firewall
• Audit di tutti gli accessi a dati sensibili
• Segnala o blocca in tempo reale gli attacchi contro i DB e gli accessi
anomali
• Identifica e risolve tramite patch virtuale le vulnerabilità dei DB
• Identifica scenari di utenti dormienti e/o con diritti eccessivi.
• Accelera le attività di incident response ed investigazione forense
• Opera secondo il principio di “separation of duties”
• Indipendente dai DBA
• Un unico strumento per tutte le principali piattaforme DB
28. Il framework di compliance
Discover
Assess
Identificare,
mappare e
prioritizzare i
dati sensibili
Identificare
vulnerabilità e
gap rispetto al
livello target
Set
Controls
Audit &
Secure
Measure
& Report
Rivedere e
validare i
diritti utente
Monitorare,
controllare e
mettere in
sicurezza gli
accessi
Verificare
periodicamen
te e produrre
report
30. File Security
• Audit di tutti gli accessi a file sensibili da parte di qualunque tipo di utente
(privilegiato, applicativo, …)
• Monitoraggio dell’integrità dei file
• Identifica o blocca in tempo reale gli accessi non conformi alle policy
• Identifica gli scenari di gestione non
corretta dei diritti utente e permette
una gestione completa del ciclo di
vita dei diritti.
• Supporta l’enforcement
dell’approccio “need to know”
32. Il contesto: la diffusione dei dispositivi mobili
• Il tasso di diffusione dei dispositivi mobili (smartphone e tablet) è
estremamente elevato ed in rapida crescita
• Strumenti utilizzati sia per uso personale che lavorativo 24x7
33. Evoluzione dell’ecosistema mobile
• Negli ultimi anni almeno due eventi hanno contribuito a cambiare il
panorama mobile aziendale:
• Comparsa di terminali mobili sempre più potenti e compatti
(smartphone, phablet, tablet, …)
• Connettività portatile a basso costo (o a costo ragionevole) e
disponibile 24/24, quasi ovunque
• Questi terminali, vengono utilizzati per attività lavorative anche complesse
quali:
• Visualizzazione/modifica di documenti
• Invio/ricezione di mail e messaggi aziendali
• Utilizzo di software personale/aziendale (appuntamenti, calendari, note,
ecc..)
• Storage di dati sensibili aziendali
34. Rischi e sfide
• La diffusione di questi device pone sfide sempre più complesse per la
sicurezza dei dati e la gestione dei rischi aziendali.
• Aumentano i rischi legati a:
• Sicurezza dei dati
• Assenza o utilizzo improprio di password/PIN
• Perdita/furto dei dispositivi o compromissione da remoto
• Utilizzo “a rischio” del device
• Il problema della gestione e del monitoraggio del parco di dispositivi
• Gestione e distribuzione di configurazioni complesse
• Enforcement di policy aziendali (complessità delle password, cifratura
dei dati, ecc…)
35. Soluzioni
• Un approccio completo deve prevedere due componenti fondamentali:
• Tecnologica
• Strumenti di gestione
• Soluzioni hardware e software per la sicurezza dei dispositivi, delle
applicazioni e dei dati
• Strategica
• Security Design, Application Security Testing, Platform Security Testing
• Analisi e validazioni di tool di attacco, identificazione di contromisure
• Sviluppo di soluzioni a supporto della sicurezza mobile