social media security 2013 - andrea zapparoli manzoni

Andrea Zapparoli Manzoni

� Founder, General Manager, Security Brokers

� Founder, CEO, iDIALOGHI

� Membro Osservatorio Sicurezza Nazionale (OSN)

Presentazioni

� Membro Osservatorio Sicurezza Nazionale (OSN)

� CD Assintel

� CD e Docente Clusit (SCADA, Social Media Sec,

Antifrode, DLP…)

� Co-autore Rapporto Clusit 2012 e 2013

Social Media Security

“I Social Media sono un insieme di piattaforme Web 2.0 tramite le quali gli utenti

interagiscono direttamente, producendo e condividendo contenuti propri e/o

elaborando contenuti altrui, in tempo reale”.

Questo è certamente vero, però…

� Perché sono per lo più gratuiti?

� Di chi sono? Chi li controlla?

� Come sono regolati contrattualmente?

OK… ma cosa sono davvero i Social Media?

� Come sono regolati contrattualmente?

� Cosa ci fanno con i social graph di tutti?

� E con i dati immessi dagli utenti?

� E con le foto?

� Sono “filtrati”?

� Sono “neutrali”?

� Sono “liberi”

� Sono “sicuri”?


Nel corso degli ultimi 3-4 anni i Social Media sono diventati

armi a tutti gli effetti, e fanno ormai parte dell’arsenale di

strumenti “cyber” a disposizione di eserciti, servizi segreti,

polizie, terroristi, mercenari, gruppi antagonisti e

corporations.

Alcuni fatti (noti) tra i più eclatanti:

I Social Media sono… Armi

� Utilizzati attivamente da Anonymous (e gruppi simili)

� Utilizzati attivamente dai Governi (Iran, Siria, Cina, USA etc)

per PsyOps, OSInt ed acquisizione bersagli

� Utilizzati dai ribelli delle “primavere arabe” come C4ISR1 ed

in Libia dalle Forze Speciali, a supporto di operazioni NATO

� Utilizzati da Aziende contro concorrenti ed attivisti1 Command, Control, Computers, Communications, Intelligence, Surveillance and Reconnaissance


Essendo diventati a tutti gli effetti un’arma ed un campo di battaglia, i Social

Media sono inevitabilmente anche diventati un obiettivo.

Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e

resi irraggiungibili, oppure più semplicemente inutilizzabili.

In effetti è già successo, a causa di:

I Social Media sono… un Bersaglio

� rivolte, insurrezioni e guerre civili

� attacchi cyber di vario genere e scopo

� azioni di sabotaggio e di protesta

� censura di Stato

(Meglio non darli troppo per scontati)….


I Social Media sono… il paradiso del Cybercrime

Oggi i Social Media sono diventati una dei principali terreni di caccia

per il cybercrime organizzato trans-nazionale, che ha raggiunto un

“fatturato” nel 2012 (stimato) di 15 miliardi di dollari, in crescita del

250% sull’anno precedente.

Nel 2011 74 milioni di persone sono stati vittime di cybercrime negli

USA, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ di

perdite dirette. Nel mondo la stima 2011 è di oltre 110 Md $.

Il costo totale worldwide (perdite dirette, costi & tempo dedicati a

rimediare agli attacchi) nel 2012 è stato stimato in 388 Md $. E’ più del

PIL del Vietnam, dell’Ucraina e della Romania sommati!

Se il trend continua, nel 2013questi costi saranno pari a metà del PIL

italiano….

(Fonti: Symantec, Kaspersky, DHS, KPMG, Hackmageddon.com, Infosec Island, iDialoghi)


I Social Media sono una importante fonte di rischio d’impresa… anche per le

Aziende che non li utilizzano! Attacchi informatici, frodi, furti di dati e di denaro,

di proprietà intellettuale, concorrenza sleale, danni a terze parti e di immagine…

I Social Media sono un Rischio per il Business


I Social Media sono un Rischio per gli Utenti

Sfruttando la notizia della morte di Bin Laden, decine

Un solo esempio per tutti….

Ne potremmo fare alcune

migliaia, ogni giorno ce ne

sono di nuovi…

Sfruttando la notizia della morte di Bin Laden, decine

di migliaia di utenti Facebook sono stati infettati da

un trojan (non rilevato dagli antivirus) che ruba dati

personali e trasforma i PC delle vittime in zombie, al

servizio dei cybercriminali…

Per la natura dei Social Media, i criminali informatici

hanno la possibilità di infettare e compromettere

milioni di sistemi nel giro di poche ore…




Hacking dell’account Twitter di BBC Weather



Phishing via Facebook



Spear Phishing con mittente Facebook



Spear Phishing su LinkedIn



Spear Phishing con mittente Badoo

Dal momento che subire un incidente è solo questione di tempo, è di fondamentale

importanza implementare un insieme di processi di gestione del rischio, armonizzati

e coordinati all’interno di un piano complessivo di Social Media Management:

� Definizione di policies e responsabilità

� Moderazione della conversazione in real time

� Prevenzione delle minacce tramite Cyber Intelligence

Quali contromisure ?

� Analisi dei Rischi e suo aggiornamento continuo

� Tutela legale (proattiva e reattiva)

� Gestione degli incidenti e degli attacchi informatici

Questo sia per ottimizzare il ROI del Social Business, sia per evitare

danni economici o d’immagine (anche importanti e complessi

da sanare), sia per impedire la perdita di dati sensibili o per

rimediare ove gli incidenti si siano già verificati.


• Fare formazione ed aggiornamento a tutti i livelli (i VIP sono

pericolosi!)

• Definire regole chiare e condivise specifiche per l’utilizzo dei

Social Media

Formazione ed Awareness

La conoscenza è potere. In contesto tanto nuovo e complesso, è necessario

impostare dei processi di formazione continua per il management, gli utenti ed

i partner.

Social Media

• Controllare e misurare il loro livello di adozione e la loro

efficacia nel tempo rispetto all’evoluzione delle minacce

• Responsabilizzare gli utenti e le strutture aziendali coinvolte,

a qualsiasi titolo, dall’uso dei Social Media.

NB diciamolo una volta per tutte: i SM non sono un problema

(solo) dell’IT ne un ambito di pertinenza esclusiva del

Marketing!


Stimolare il necessario commitment a livello di Direzione e di

Stakeholders, sostenendolo con argomentazioni scientifiche (ROI, KPI,

KSI…. NB basta chiacchiere!)

Organizzazione e Processi

“La potenza è nulla senza controllo”. Il Web 2.0 ed il Social Business in particolare non

sono un “evoluzione” del Web, sono una rivoluzione epocale, un nuovo mondo.

Le aziende devono modificarsi ed organizzarsi di conseguenza (NB Darwin docet!)

Creare una struttura multidisciplinare per la gestione della Social

Business Strategy, che includa ed integri competenze di Marketing,

Legali, di HR e di Information Security Management

Nominare un unico responsabile per la Social Business Strategy che abbia

una visione globale dei problemi e delle opportunità

Scegliere i consulenti giusti ? ☺


Sul “fronte interno” (NB non c’è più il perimetro!)

� Strong Authentication + Network Access Control + Next Generation Firewall

� Endpoint protection / Application control / Device control (anche mobile!)

� Data Loss & Leakage prevention / DRM / Encryption end to end

Sul “fronte esterno” (il resto del mondo)

Monitoraggio, Prevenzione e Contrasto

Sul “fronte esterno” (il resto del mondo)

� Cloud based antimalware / Reputation based monitoring

� Reputation Management / Brand Management

� OSInt / Analisi e correlazione dei contenuti a livello semantico (testi e immagini)

Tutto questo in un’ottica di Risk Management, Governance & Compliance!

Senza queste contromisure combinate, i Social Media sono eccessivamente pericolosi.


Grazie!


Andrea Zapparoli Manzoni

[email protected]

social media security 2013 - andrea zapparoli manzoni

Documents