smau milano 2013 marco bozzetti
TRANSCRIPT
Milano, 24 ottobre 2013
IL FENOMENO DEGLI ATTACCHI INFORMATICI IN ITALIA: CONSIDERAZIONI E SUGGERIMENTI
DAI PRIMI DATI EMERSI DA OAI 2013
M. R. A. Bozzetti
CD e Coms Officer AIPSI CEO Malabo Srl (www.malaboadvisoring.it )
Chi siamo
• 1973 Laurea in Ingegneria elettronica al Politecnico di Milano• 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN,
prima rete europea di ricerca (tipo ARPA) a commutazione di pacchetto• 1976-80 Olivetti R&D – Ivrea:Responsabile ONE, Olivetti Network
Environment, e comitati standard ISO, CCITT (ora ITU-C) , ECMA (chairman VFS)
• 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 1982-84 Italtel Telematica : responsabile pianificazione strategica
• 1984-87 Arthur Andersen Management Consultants• 1987-91 fondatore e Partner Ibimaint System Engineers• 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza• 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET • 1995-2000 CIO Gruppo ENI• 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab• Dal 2001 Fondatore e Amministratore Unico Malabo Srl
Marco R.A. Bozzetti
• FTI, Forum delle Tecnologie dell’Informazione (fond atore)
• EITO, European Information Technology Observatory ( Co -ideatore e Chief Scientist)
• ClubTI di Milano (Past President)
• FidaInform, Federazione Italiana delle Associazioni Professionali di Information Management (Past Presid ent)
• AIPSI-ISSA, Consiglio Direttivo
AIPSI: www.aipsi.org
AIPSI - Capitolo Italiano di ISSA ®
Associazione di singoli professionisti
Oltre 13.000 esperti in tutto il mondo
Per richiedere l’iscrizione:http://www.aipsi.org/come-associarsi.html
Codice etico : http://www.issa-italy.org/aipsi_codice_etico.pdfStatuto: http://www.issa-italy.org/statuto_aipsi.pdf
Chi e’ ISSA
•ISSA®, con l’attiva partecipazione dei singoli soci e dei relativi capitoli in tutto il mondo, è la più grande associazi one non-profit di professionisti della sicurezza.
• L’organizzazione di forum educativi, la redazione di d ocumenti e pubblicazioni oltre all’interazione fra i vari profess ionisti della sicurezza contribuiscono ad incrementare la conoscenza e la crescita professionale.
• I soci sono professionisti nel campo della sicurezza a tutti i livelli nei vari settori delle telecomunicazioni, formazione, sanità, finance, industria e government
Obiettivi AIPSI
Organizzazione di forum educativi
Redazione di documenti e pubblicazioni specializzate
Interscambio di esperienze fra i professionisti del settore (nazionali e internazionali)
Riferimento per la ricerca di professionisti di sicurezza ICT
Interazione con altre organizzazioni professionali
Rilascio di attestati e certificazioni specifiche (Eucip. LocSI)
Attacchi: i dati più interessanti
emersi dal Rapporto OAI 2012 e da altri Rapporti
8 Copyright 2008 - Trend Micro Inc.04/27/08 5 8
Siamo sempre potenzialmente sotto attacco … anche se siamo una PMI, uno studio professionale, un esercizio commerciale , …
Sicurezza vo cercando ….
Social network
Consumerizzazione
Ambientepersonale
Ambientelavoro
Servizi ICT in cloud e/o terziarizzati
Servizi ICT in cloud e/o terziarizzati
Sistemi informativiaziendali e delle PA
Fisso + mobile
Internet
DCS
VDS, PLC, A/D Conv.
Internet delle cose
La sicurezza ICT assoluta non esiste ed è sempre più
complesso gestirla
OAI, Osservatorio Attacchi Informatici in Italia
• Che cosa è– Indagine annuale sugli attacchi ai Sistemi Informat ivi di Aziende e
Pubbliche Amministrazioni in Italia condotta attrav erso un questionario on-line indirizzo a CIO, CISO, CSO ed alle terze parti (fornitori, consulenti) che gestiscono la sicurez za informatica
• Gli ideatori e realizzatori
Marco R. A. Bozzetti
Alessandro Betti
Obiettivi OAI
• Avere cadenza periodica annuale
• Coinvolgere tutte le Associazioni e gli Enti coinvolti e/o interessati nella sicurezza informatica
• Divenire uno strumento di ausilio nell’Analisi del Rischio ed il punto di riferimento nazionale sulla sicurezza ICT , analogamente a quanto avviene con il Rapporto CSI statunitense
• Far conoscere e sensibilizzare i vertici delle Aziende/Enti sui pro blemi della sicurezza ICT
• Che cosa non è e non vuole essere OAI :– Un’indagine criminologica estesa a tutti i crimini informatici (es.
pornografia e pedofilia elettronica, pirateria prodotti software, ecc.) – Uno studio accademico – Un’indagine di mercato
I Rapporti OAI annuali
Rapporto OAI 2009-10, di 46 pagine A5, fa il punto sugli attacchi informatici in Italia rilevati nel 2007, nel 2008 e nel 1° quadrimestre 2009
Rapporto OAI 2011 , di 36 pagine A4, fa il punto sugli attacchi informatici in Italia rilevati nel 2009 e nel 1°quadrimestre 2010
Rapporto OAI 2012, di 48 pagine A4, fa il punto sugli attacchi informatici in Italia rilevati nel 2010, 2011 ed il 1°quadrimestre 2012
Altre iniziative OAI
• Da marzo 2010 sulla rivista Office Automation tengo una rubrica fissa mensile per OAI sugli attacchi informatici, con un taglio piùmanageriale che tecnico.
– disponibili in formato elettronico: www.malaboadvisoring.it, www.soiel.it
• Gruppo OAI su LinkedIn
La tassonomia degli attacchi considerata
1) Accesso e uso non autorizzato degli elaboratori, delle applicazioni supportate e delle relative informazioni
2) Modifiche non autorizzate ai programmi applicativi e di sistema, alle configurazioni ecc.3) Modifiche non autorizzate ai dati e alle informazio ni4) Utilizzo codici maligni (malware) di varia natura, quali virus, Trojan horses, Rootkit, bots, exploits,
sia a livello di posto di lavoro che di server5) Utilizzo vulnerabilità del codice software , sia a livello di posto di lavoro che di server: tipici esempi
back-door aperte, SQL injection, buffer overflow ecc.6) Saturazione risorse informatiche e di telecomunicazione: oltre a DoS (Denial of Service) e DDoS
(Distributed Denial of Service), si includono in questa classe anche mail bombing, catene di S. Antonio informatiche, spamming ecc.
7) Furto di apparati informatici contenenti dati (laptop, hard disk, floppy, nastri, chiavette USB ecc.)8) Furto di informazioni o uso illegale di informazioni
a) da dispostivi mobili (palmari, cellulari, laptop)b) da tutte le altre risorse
9) Attacchi alle reti , fisse o wireless, e ai DNS, Domain Name System10) Frodi tramite uso improprio o manipolazioni non autorizzate e illegali del software applicativo (ad
esempio utilizzo di software pirata, copie illegali di applicazioni ecc.)11) Attacchi di Social Engineering e di Phishing per tentare di ottenere con l’inganno (via telefono, e-
mail, chat ecc.) informazioni riservate quali credenziali di accesso e il furto d’identità digitale12) Ricatti sulla continuità operativa e sull’integrità dei dati del sistema informativo (ad esempio se non
paghi attacco il sistema e ti procuro danni, magari con dimostrazione delle capacità di attacco e di danno conseguente…)
13) Altri tipi di attacco, quali ad esempio attacchi di tipo misto (Blended threat), sabotaggi , vandalismi con distruzione di risorse informatiche
14) TA , Targeted Attacks e APT, Advanced Persistent Threat
I trend per gli attacchi
• Motivazioni: – Hactivis m: aspetti di protesta e politici, soprattutto per i paesi con
governi dittatoriali o autoritari (Sud mediterraneo , Paesi arabi, ecc.)– Timori per una crescita di attacchi ICT di tipo ter roristic o (blocco e/o
malfunzionamento infrastrutture critiche …) – Crescita attacchi per spionaggio (anche industriale)– Consolidamento crescita attacchi per frodi (ordine di B $,€/anno)
• ROI attacchi > 750%/mese
• Crescita rischi e vulnerabilità nei sistemi “mobili”• APT, Advanced Persistent Threat ���� da “Aurora” a Flame e Lucycat• Offuscamento (Obfuscation) delle attività dell’attac cante • Proxy anonimi• Sottrazione dati ���� focalizzazione sui contenuti• Crescita dei siti “buoni” (affidabili) con collegame nti a siti maligni• Frodi e ricatti • Disponibilità DIY Kit per la creazione di codici mal igni e botnet sempre più
facili da usare e poco costosi
Le cause delle crescenti minacce
• Tutte le minacce si basano sulle vulnerabilità tecniche e/o umane-organizzative
– Vulnerabilità tecniche (software di base e applicativo, architetture e configurazioni)
• siti web e piattaforme collaborative • Smartphone e tablette � mobilità � >>14.000 malware• Posta elettronica � spamming e phishing• Piattaforme e sistemi virtualizzati• Terziarizzazione e Cloud (XaaS)• Circa il 40% o più delle vulnerabilità non ha patch di correzione
– Vulnerabilità delle persone• Social Engineering e phishing• Utilizzo dei social network, anche a livello aziendale
– Vulnerabilità organizzative• Mancanza o non utilizzo procedure organizzative• Insufficiente o non utilizzo degli standard e delle best practices• Mancanza di formazione e sensibilizzazione• Mancanza di controlli e monitoraggi sistematici • Analisi dei rischi mancante o difettosa• Non efficace controllo dei fornitoriù• Limitata o mancante SoD, Separation of Duties
Targeted Attack (TA) e APT
• I TA, chiamati anche targeted threat , sono una relativamente nuova classe di attacchi informatici rivolta ad uno specifico obiettivo, o ad un limitato numero di obbiettivi, basato sull’ uso di più strumenti di attaccocon lo scopo primario:a) di ottenere informazioni riservate ed importanti � frodi, spionaggiob) di seriamente compromettere funzionalità e disponibilità di un sistema
informatico o di una sua partec) di seriamente compromettere immagine, credibilità ed autorevolezza
dell’obbiettivo attaccato
• Tipici obiettivi target : Pubbliche Amministrazioni, Banche ed Istituti finanziari, grandi Corporazioni , infrastrutture nazionali ad alta criticità
• Nell’ambito dei TA una sottoclasse (logica) è costituita dagli APT, Advanced Persistent Threat attacco mirato ad uno specifico target, usando molteplici e paralleli strumenti di attacco, persistenti per essere in grado di analizzare le vulnerabilità esistenti e le possibilità di attacco �slow and low
• Sia TA che APT richiedono grandi risorse e competenze �cyberwar
Tipiche fasi di un Targeted Attack /APT
Esempi di TA e/o APT
• 2009-10 Operazione Aurora: attacco a Google (gmail) e ad altri giganti statunitensi dell’ICT dalla Cina via vulnerabilità 0-day su IE e sul sw di controllo versioni codice di Google (Perforce)
• 2010 Stuxnet : attaccato il centro nucleare iraniano di Bushehr e altre infrastrutture critiche in Cina, India, Indonesia, Pakistan
• Stuxnet è un codice maligno multicomponente tipo worm che infetta sistemi con sistema operativo Windows, dal vecchio Windows 95 a Windows Server 2003, con installato SIMATIC WinCC, il sistema Siemens per l’automazione dei sistemi SCADA.
• L’obiettivo del worm è prendere il totale controllo del sistema SCADA attaccato• 2011 RSA: attacco a SecureID via spear phishing con Excel malevole che attivava codice
maligno Poison Ivy con funzionalità backdoor• 2011 DigiNotar : CA olandese attaccata creando e diffondendo certificati digitali falsi nei
principali browser; un mese dopo è fallita• 2012 Luckycat : campagna di attacchi in India, Giappone e Tibet ad industrie militari, energia,
aerospaziali, .. 90 attacchi compromettendo >233 server via TROJ_WIMMI, VBS_WIMMI, botnet-C&C, Windows Management Instrumentation
• 2012 Flame: malware modulare e sofisticato di grandi dimensioni (+ 20 M) per ambienti Windows focalizzato allo spionaggio informatico ed al furto di informazioni nei paesi mediorientali
• 2012 Global Payments Inc: attacco per frode al suo sistema di pagamenti con POS e relativecarte di credito, pur essendo certificata PCI-DSS
– Costi del breach: 94 M$, di cui circa 36 M per la frode, il resto per riparare il danno
Gli strumenti tipici per TA e APT
Fonte:IDCc
Le imprese attaccate con APT in Italia 2013
Fonte:IDC
Mappa principali attacchi e relativi impatti al 1° sem 2013
Mappa principali attacchi per nazione al 1° sem 2013
Attacchi ai sistemi bancari e finanziari 2013
Fonte: TrendLabs 2013
Paesi con il maggior numero di collegamenti a botnet
Fonte: TrendLabs 2013
01020304050607080
Malw
are
Social
Eng
.
Satur
azion
e riso
rse
Furto d
isp.
Mod
ifiche n
on a
ut. S
isFro
di
Sfrut. v
ulner
abilit
à
Attacc
hi sic
. fisic
a
Attacc
hi all
e reti
Furto in
fo da
mob
ili
Furto in
fo da
fissi
Ricatti
infor
matici
Acces
si no
n aut.
Mod
ifiche n
on a
ut. d
atiAltr
i
% r
ispo
nden
ti
2010
2011
1° quad 2012
OAI 2012: Principali attacchi subiti 2010-2011-1°quad. 2012
©OAI 2012TA e APT non erano considerati a sé stanti,
come lo saranno in OAI 2013
0102030405060708090
Malw
are
Socia
l Eng
ineer
ing
Satur
azion
e risor
se
Furto
dispo
sitivi
Mod
ifiche
non
aut
. Sis
Frodi
infor
matiche
Sfrut.
vulner
abilit
àAtta
cchi
fisici
Attacc
hi all
e re
ti
Furto
info
da m
obili
Furto
info
da fis
si
Ricatti
infor
mat
ici
Acces
si non
aut
.
Mod
ifiche
non
aut
. dati
Altri
% r
ispo
nden
ti
2008
2009
2010
2011
2012 1° quad.
OAI 2012: Confronto principali attacchi subiti 2008-1°quad. 2012
©OAI 2012
OAI 2012: Impatto dell’attacco
76,4%
6,7%
13,7%
3,2%
76,0%
6,5%
13,7%
3,8%
76,0%
3,8%
16,8%
3,4%
1-10 casi impatto pocosignificativo
1-10 casi impattomolto significativo
>10 casi impatto pocosignificativo
>10 casi impatto moltosignificativo
% rispondenti
1° quad 2012
2011
2010
©OAI 2012
2,5%
2,5%
9,9%
12,3%
18,5%
30,9%
30,9%
32,1%
33,3%
40,7%
Indagini da esterni
Altro
Intervento legali
Rimpiazzo sistemi
Corsi formazione
Nuovi strumenti
Policy e proc. organiz.
Eliminati sistemi
Indagini interne
Patch sul software
% rispondenti
OAI 2012: Azioni (multiple) dopo un attacco
©OAI 2012
61,1%
29,6%
0,0%
3,7%
0,0%
5,6%
Meno di un giorno
Meno di 3 giorni
Meno di una settimana
Meno di un mese
Oltre un mese
Non lo so
% rispondenti
OAI 2012: Tempi medi di ripristino
©OAI 2012
OAI 2012: motivazioni per gli “attacchi temuti nel futuro” nei vari Rapporti OAI
0%10%20%30%40%50%60%
Altr
o
Te
rro
rism
o
Ric
atto
ori
tors
ion
e
Sp
ion
ag
gio
Azi
on
eD
imo
stra
tiva
Sa
bo
tag
gio
Va
nd
alis
mo
Fro
de
info
rma
tica
% r
ispo
nden
ti
OAI 2012 OAI 2011 OAI 2009-10 ©OAI 2012
Crescita vulnerabilità sistemi mobili
Crescita delle minacce per Androidnel 2° trim. 2013
Fonte: TrendLabs 2013
OAI 2013
Sponsor alla data
Patrocinatori alla data
In collaborazione con
Questionario OAI 2013: www.malaboadvisoring.it
• Totalmente anonimo• 30-40 minuti circa per compilarlo
completamente
Grazie per l’attenzione!
[email protected] www.issa.org