i rischi delle nuvole... mondi virtuali sicurezze reali smau 2012
TRANSCRIPT
Mondi virtuali, sicurezze realiLe minacce, i rischi e i comportamenti delle aziende alle prese con la protezione
degli ambienti Virtuali
Milano 18 Ottobre 2012
The real problem is not whether machines think but whether men do. Burrhus Frederick Skinner
Stefano Chiccarelli
Owner & Ceo di Quantum Leap S.r.l.
18 anni di esperienza nel settore
Fondatore della Metro Olografix
Organizzatore del MOCA (Hacker camp italiano, 2004, 2008 e 2012)
Membro di Cloud Security Alliance
Co-autore con l’avv. Monti di Spaghetti Hacker
Membro del coordinamento di Sikurezza.org
Cybercrime (CaaS Cybercrime as a Service) Attività criminali
Sottobosco nei paesi Cyber-canaglia
Black Market
Hacktivism Anonymous/LulSec
Hackmeeting
Security researcher Società di IPS/AV
Società di PT
Intelligence Agencies
Ecosistema della scena “hacker”
Ecosistema della scena “hacker”
Le dimensioni del fenomeno 2011Incidenti di sicurezza per categoria
Le dimensioni del fenomeno 2012Incidenti di sicurezza per categoria
Le dimensioni del fenomeno 2011Incidenti di sicurezza per vettore
Le dimensioni del fenomeno 2012Incidenti di sicurezza per vettore
L’azienda verso il Cloud
Azienda Classica Azienda nel Cloud
Applicazioni Standalone(HR, CRM, …)
Applicazioni nel Cloud (Web Application)
File Server AziendaleFile Hosting Services
(Dropbox, Hotfile, Megaupload)
Groupware, Collaboration suite, Office Automation Suite
Software as a Service – SaaS(Google Apps, Office 365, iCloud)
Networking (L2 Networking, VPN, APN, …)
Connessione a Internet
Sicurezza Perimetrale End Point Protection
Come evolvono gli attacchi
Azienda Classica Azienda nel Cloud
Vulnerabilità del SistemaOperativo/Applicazioni – Phishing/Insider
Vulnerabilità delle applicazioni sul CloudSQL Inj, XSS, XSRF …
Accesso ad informazioni con credenziali deboli o trafugate
Enumerazione dei documenti,indicizzazione sui motori di ricerca
Vulnerabilità delle applicazioni (Design Flaw, File format, Overflow)
Vulnerabilità sui sistemi di integrazione e gestione del dato (DB, WebServices, ...)
Security Misconfiguration(Credenziali deboli, policy non adeguate)
Cloud Sharing
AV\IDS\IPS Evasion, policy non adeguateClient side exploitation
(Chrome, IExplorer, Adobe, …)Trojan Horse
Contatti
http://[email protected]
RomaPiazza Marconi, 1500193 RomaTel: +39 06 32803612Fax : +39 06 32803283
PescaraVia Colle Scorrano n.5
65100 PescaraTel: +39 085 7998821
Fax : +39 085 7992241
Stefano ChiccarelliQuantum Leap