i fattori critici nel calcolo del rischio informatico · corso on line di security awareness 1. la...
TRANSCRIPT
![Page 1: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/1.jpg)
Antonio Capobianco
CEO di Fata Informatica
I fattori critici nel calcolo del
rischio informatico
![Page 2: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/2.jpg)
Who We Are?
System Integration
Software
Development
Training and
Certification
Servizio di Securiti
Operation Center in cloud,
connessi a servizi di
gestione e monitoraggio
infrastrutture IT
complesse.
Piattaforma di Intelligent
Proactive monitoring.
Servizi di sicurezza IT:
VAPT
Code Review
Risk Assessment
Analisi Fornese
Malware analysis
Security Operation
Center
Intelligent
monitoringCyber Security Up
![Page 3: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/3.jpg)
Intelligent Proactive Monitoring
![Page 4: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/4.jpg)
Intelligent Proactive Monitoring
![Page 5: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/5.jpg)
The only italian system listed in
«Gartner’s Market guide
for IT monitoring tools»
![Page 6: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/6.jpg)
Step necessari per il calcolo del rischio IT
Risk
Ricerca all’interno
dell’infrastruttura dell’Asset
Hw e Sw
Scansione
In base alla metodologia
utilizzata
Identificazione del
metodoIn base alle vulnerabilità note
sull’asset
Ricerca vulnerabilità
Calcolo del rischio
Rischio
!!__
__
![Page 7: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/7.jpg)
Calcolo del Rischio
1. Metodo Frequency (Umesh, Chanchala«Quantitative Security Risk Evaluation using CVSS by Estimation of Frequency»)
2. Cvss ver. 3.0 secondo le best practicefornite dal NIST per l’applicazione nelle Agenzie Federali (US)
![Page 8: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/8.jpg)
Ve ttore baseMaturitàminacc ia
Fre que nzaattacco YOUR TITLE
Fornito dal Mitre Temporal Score Frequency Score
Metodo FrequencyProcedura di calcolo
Risk
![Page 9: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/9.jpg)
Metodo FrequencyCalcolo del Temporal Score
1. Il Temporal Score tiene conto della maturità dell’exploit rispetto alla disponibilità delle patch
2. Temporal Score = BaseScore∗𝑀𝑎𝑡𝑢𝑟𝑖𝑡𝑦𝑂𝑓𝐸𝑥𝑝𝑙𝑜𝑖𝑡𝐶𝑜𝑑𝑒
𝑅𝑒𝑚𝑒𝑑𝑖𝑎𝑡𝑖𝑜𝑛 𝐿𝑒𝑣𝑒𝑙
3. Stima del Remediation Level in base allo studio di Thripati e Singh «Estimating risklevel for vunerability using CVSS»
– Stimano che il tempo medio di rilascio di una patch vari tra i 23 ed i 40 giorni.
![Page 10: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/10.jpg)
Metodo FrequencyCalcolo del Frequency Score
1. Il Frequency Score vuole stimare la frequenza che questa vulnerabilità venga sfruttata, basandosi sull’assunzione che la frequenza aumenta con la facilità di sfruttare la vulnerabilità stessa
2. Si basa sul Temporal Score e sui parametri AV, AC e AU del vettore base
3. Frequency Score = (AV*AC*AU) + Temporal Score
![Page 11: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/11.jpg)
Metodo FrequencyDifetti
1. Non tiene conto della sensibilità dell’asset
2. Una playstation o un server che comanda l’apertura delle saracinesche della diga di Ham hanno lo stesso valore.
![Page 12: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/12.jpg)
Metodo CVSS 3.0Calcolo del Frequency Score
![Page 13: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/13.jpg)
Sentinet3® Security AnalyzerDashboard
• Trend del rischio
• Trend vulnerabilità
• Statistiche
• Top 10 elementi a rischio
• …
![Page 14: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/14.jpg)
Sentinet3® Security AnalyzerRisk report
![Page 15: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/15.jpg)
Password
Servizi
Patch di sicurezza
Privilegi utente
User account
Porte TCP/UDP aperte
Tempo
Password
Servizi
Patch di sicurezza
Privilegi utente
User account
Porte TCP/UDP
aperte
T0T-n
Processo di Hardening
![Page 16: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/16.jpg)
Processo di HardeningFase finale
![Page 17: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/17.jpg)
Information Security Continuous Monitoring
Tier1 Organizzazione
(Fattore Umano)
Tier 2
Mission/Business Processes
Tier 3
Information Systems
![Page 18: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/18.jpg)
«Una azienda può spendere centinaia di migliaia di dollari in firewall,
sistemi di intrusion detection o di crittografia, ma se un hacker può
chiamare una persona fidata all’interno dell’azienda e riesce a farsi rilasciare informazioni sensibili allora
tutti i soldi spesi per la tecnologia sono stati buttati al vento!»
Kevin David Mitnick, detto Condor
Il fattore umano
![Page 19: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/19.jpg)
Truffe BECBusiness Email Compromise
Fasi della truffa
Viene violata la mailbox della vittima
ottenendo l’accesso a tutta la sua
corrispondenza.
Violazione della mailbox
Il criminale studia la corrispondenza
facendosi una idea chiara delle gerarchie e
delle procedure aziendali.
Studio
Il criminale sferra una attacco mirato.
Attacco
01
02
03
“ Caro A. dovresti fare un bonifico di mezzo
milione di euro su questo contocorrente xxxxxxx.
Metti come causale “Prima tranche per avvio
attività rif. Contratto 784784”. Non mi chiamare
perché sono in giro con il presidente e non posso
parlare”
$13.000.000.000,
00
Perdite totali dal 2013 al 2018
400
Aziende cha cadono
giornalmente vittima di truffe
BEC
![Page 20: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/20.jpg)
Può capitare a tutti!
![Page 21: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/21.jpg)
![Page 22: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/22.jpg)
Corso on line di Security Awareness1. La minaccia2. Password e loro gestione3. La crittografia per la protezione delle informazioni personali4. Il Phishing5. Le Fake News6. Il social engineering7. Online e mobile banking
8. Shopping on line9. I Social network10.Accesso alle reti Wireless11.I supporti removibili12.I servizi di Geolocalizzazione13.Le truffe Business Email Compromise14.Il GDPR
![Page 23: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/23.jpg)
Sviluppato secondo i seguenti principi:
• Coinvolgere le persona nelpercorso formativo.
• A basso impatto rispetto allanormale attività lavorativa.
• Comprensibile a tutti.
• Utilizzo di tecniche di gaming.
![Page 24: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/24.jpg)
Formazione continua1. Campagne di phishing
automatizzate2. News da Cert-PA, CRAMM,
CNAIPIC, Google Alert
![Page 25: I fattori critici nel calcolo del rischio informatico · Corso on line di Security Awareness 1. La minaccia 2. Password e loro gestione 3. La crittografia per la protezione delle](https://reader033.vdocuments.net/reader033/viewer/2022042908/5f399edccedf591f523d7da8/html5/thumbnails/25.jpg)
Antonio Capobianco
Tel. 0640800490
Fata Informatica srl
Via Tiburtina 912
00156 Roma
THANK YOU.