il govcert.it gianluigi moxedano
DESCRIPTION
Il GovCERT.it Gianluigi Moxedano. Convegno Forum PA Roma – 9 maggio 2005. Il GovCERT.it è un CSIRT. C OMPUTER. S ECURITY. I NCIDENT. R ESPONSE. T EAM. Agenda. Come è nato il GovCERT.it Gestione degli incidenti di sicurezza ICT 2004: dati 2004 e tendenze - PowerPoint PPT PresentationTRANSCRIPT
1Convegno Forum PA - 9 maggio 2005
Il GovCERT.it
Gianluigi Moxedano
Convegno Forum PA
Roma – 9 maggio 2005
2Convegno Forum PA - 9 maggio 2005
Il GovCERT.it è un CSIRT
COMPUTER
SECURITY
INCIDENT
RESPONSE
TEAM
3Convegno Forum PA - 9 maggio 2005
Agenda
Come è nato il GovCERT.it
Gestione degli incidenti di sicurezza ICT
2004: dati 2004 e tendenze
Organizzazione della gestione degli incidenti nella PA centrale
Il GovCERT.it: profilo e stato dell’arte
Fonti utilizzate: CSI/FBI, F-Secure, McAfee, Oasi-Securitynet, SIRMI, Symantec, Trend Micro
4Convegno Forum PA - 9 maggio 2005
Come è nato il GovCERT.it
Proposto dal “Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni”
Approvato dal Comitato dei ministri per la società dell’informazione
Attuato dal CNIPA attraverso la creazione di una “Unità di gestione degli attacchi informatici“ - maggio 2004
Assume il nome di GovCERT.it in conformità alla nomenclatura in uso nell’Unione Europea
Finanziamenti resi disponibili - settembre 2004
5Convegno Forum PA - 9 maggio 2005
Incidente di sicurezza ICT
EVENTO CHE COMPORTA UNA PERDITA DI RISERVATEZZA, DI INTEGRITÀ O DI
DISPONIBILITÀ DEI DATI
DEFINIZIONE TRADIZIONALE
LA VIOLAZIONE O L'IMMINENTE MINACCIA DI VIOLAZIONE DELLA POLITICA DI SICUREZZA ICT O DELLE PRASSI DI
SICUREZZA STANDARD
DEFINIZONE AGGIORNATA
6Convegno Forum PA - 9 maggio 2005
Importanza della gestione degli incidenti
LA PREVENZIONE BASATA SULLA VALUTAZIONE DEI RISCHI PUÒ RIDURRE IL NUMERO DI INCIDENTI MA GLI INCIDENTI NON POSSONO ESSERE DEL TUTTO EVITATI
LE MINACCE ALLA SICUREZZA SONO DIVENTATE PIÙ NUMEROSE E PIÙ DIROMPENTI
EMERGONO FREQUENTEMENTE NUOVI TIPI DI INCIDENTI
UN APPROCCIO MIRATO ESCLUSIVAMENTE ALLA PROTEZIONE È INCOMPLETO ED INSUFFICIENTE
LA GESTIONE DEGLI INCIDENTI È FONDAMENTALE NELLA SICUREZZA ICT
PREVENZIONE
RILEVAZIONE
REAZIONE
7Convegno Forum PA - 9 maggio 2005
Aumento di adware, spyware, spam, phishing
Attacchi
Vulnerabilità Oltre 2500 nuove vulnerabilità
Oltre il 50% su applicazioni Web
Più del 90% medie e gravi
Presi di mira i browser più diffusi
11.000 nuovi virus del tipo Win32
MyDoom.A più grave infezione di sempre
20.000 nuovi malicious code
L’attacco Slammer è il più comune
Il 2004: vulnerabilità e minacce
8Convegno Forum PA - 9 maggio 2005
Il tempo come fattore sempre più critico
Sasser ha colpito reti e sistemi dopo solo 18 giorni
dalla scoperta della vulnerabilità
Blaster ha messo in ginocchio reti e sistemi
dopo solo 26 giorni dalla scoperta della vulnerabilità
TEMPO DISPONIBILE PER
CORREGGERE VULNERABILITÀ
Durante la diffusione di MyDoom 1 mail su 12 era
infetto
Slammer ha infettato il 90% dei sistemi vulnerabili in
meno di 10 minuti TEMPO DISPONIBILE PER
CONTRASTARE L’ATTACCO
9Convegno Forum PA - 9 maggio 2005
Data Vulnerabilità Giorni trascorsi
Worm
24 Luglio 2002
MS02-039 - Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution
27 gennaio 2003
187 gg
Slammer
16 Luglio 2003
MS02-039 - Buffer Overrun In RPC Interface Could Allow Code Execution
12 Agosto 2003
26 gg
Blaster
13 Aprile 2004
MS04-011- Security Update for Microsoft Windows (LSASS)
1 Maggio 2004
18 gg
Sasser
La finestra temporale si stringe
10Convegno Forum PA - 9 maggio 2005
Alcuni dati italiani
Più del 50% delle aziende italiane non dispone di personale IT specializzato sulla sicurezza
I problemi legati alla sicurezza delle reti informatiche hanno un forte impatto sul sistema Paese
Oltre il 40% delle aziende italiane impiega da 2 a 5 giorni per riprendersi
Il 94% delle aziende italiane ha dovuto affrontare il problema
La PA centrale investe per la sicurezza ICT una percentuale troppo bassa della spesa informatica globale (dati da piano triennale)
11Convegno Forum PA - 9 maggio 2005
Costo degli incidenti nella PA
Danno economico
Non si dispone di dati per la valutazione dei danni economici contestualizzati alla PA italiana
$ 200.000 all’anno per ente/azienda solo per infezioni virali (dato estrapolato da report CSI/FBI USA)
Ricaduta sociale
Disservizi per la collettività
Freno al programma di E-GOVERNMENT
Danno di immagine
Es. web defacement
Problemi legali/giudiziari
12Convegno Forum PA - 9 maggio 2005
DIRETTIVA 16/1/2002
CERT-AM ED UNITÀ LOCALI NELLE PA
CENTRALI
PA CENTRALE
Il tassello mancante nella PAC
CERT-AM
CERT-AM
CERT-AM
CERT-AM
CERT-AM
CERT-AM
CERT-AM
CERT-AM
ISTITUZIONE DEL GovCERT.it
CERT GOVERNATIVO DI COORDINAMENTO
GovCERT.it
13Convegno Forum PA - 9 maggio 2005
La comunità di riferimento
Il GovCERT.it è un CSIRT di coordinamento dei CERT-AM delle PA centrali
Gli interlocutori del GovCERT.it sono stati classificati in:
ISTITUZIONALI
• Consiglieri tecnici del ministro per la sicurezza ICT
• Comitati Sicurezza ICT
• Responsabili sistemi informativi
DI RIFERIMENTO
• Responsabili sicurezza ICT
OPERATIVI
• Gli appartenenti ai gruppi CERT-AM
14Convegno Forum PA - 9 maggio 2005
Piano dei servizi
SETT2004
PROVVISORIO COMPLETO
RACCOLTA INFO
DIFFUSIONE
INFO
WEB ASSESSMENT
OSSERVATORIO
SUPPORTO
INCIDENTI
EARLY
WARNING
LUG2005
OTT2005
NOV2006
GEN2006
PROVVISORIO COMPLETO
WEB
15Convegno Forum PA - 9 maggio 2005
Relazioni del GovCERT.it
Altri CSIRT MEDIA
TF-CSIRT FIRST
FF.OO.
CNIPA eComitato
ISPORGANISMI
EUROPEI
Fornitorisoftware
Operatori TLC
GovCERT.it
16Convegno Forum PA - 9 maggio 2005
CSIRT governativi in Europa
17Convegno Forum PA - 9 maggio 2005
Attività svolte ed in corso
Comunità di riferimento È stata istituita ed è in corso
di ampliamento
Il 4 aprile u.s. si è tenuta la prima riunione operativa
Early warning Da gennaio 2005 inviate 23
informative (20 segnalazioni di vulnerabilità 3 avvisi di minacce imminenti)
Verificati 18 Web defacement nella PAC e 138 nella PAL
Politiche e procedure In corso di istituzione GdL
nell’ambito del CNIPA
Rete informativa Fonti aperte
Fonti private specializzate
Fornitori di tecnologia
Infrastruttura tecnologica In corso di realizzazione
Relazioni Accordi di collaborazione con:
• Fornitori di tecnologia
• Fornitori specializzati
• Operatori TLC ed ISP
• FF.OO.
• Organizzazioni analoghe italiane
Partecipazione a comunità internazionali
18Convegno Forum PA - 9 maggio 2005
Valore aggiunto del GovCERT.it
Servizi Il GovCERT.it erogherà servizi non realizzabili da parte dei singoli CERT-
AM per criteri di economicità e qualità e necessità di visione di insieme quali:
• Early warning
• Raccolta ed analisi delle informazioni provenienti dalla comunità di riferimento a fini statistici, di valutazione delle tendenze ed orientamento degli investimenti
Relazioni Per poter adempiere compiutamente alla sua missione il GovCERT.it
disporrà di una rete di relazioni per:• Erogare servizi di qualità
• Agire come facilitatore nei confronti dei CERT-AM
Rappresenterà l’Italia nei contesti europei ed internazionali
Capacità di coordinamento Definizione di politiche e procedure omogenee per tutta la comunità di
riferimento
In caso di incidenti diffusi
19Convegno Forum PA - 9 maggio 2005
Cosa non è il GovCERT.it
NON È UN ORGANISMO INVESTIGATIVO
NON È UN GRUPPO DI PRONTO INTERVENTO ON SITE
NON È UN CONTACT CENTER APERTO A TUTTA LA PA MA RISERVATO AI SOLI
RAPPRESENTANTI DELLA COMUNITÀ DI RIFERIMENTO
20Convegno Forum PA - 9 maggio 2005
CONTATTI
Posta elettronica:
• Nota: Entro luglio diventeranno caselle postali del dominio govcert.it
Telefoni:
GovCERT.it 06.85264420 06.85264291 06.85264203
Gianluigi Moxedano 06.85264472
• Nota: i numeri di telefono potrebbero cambiare a breve