Attacchi digitali in Italia: ci dobbiamo veramente E come ci possiamo difendere? - preoccupare? - Malabo Srl
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Attacchi digitali in Italia:
ci dobbiamo veramente
preoccupare?
E come ci possiamo difendere?
M. R. A. Bozzetti
Presidente AIPSI, Ideatore e curatore OAD, CEO Malabo Srl
AIPSI è il Capitolo Italiano AIPSI aiuta i suoi Soci, di ISSA, la più grande singole persone, a associazione non-profit di crescere e ad affermarsi professionisti della professionalmente Sicurezza ICT con circa 13.000 associati al mondo
SERVIZI AI SOCI • Trasferimento di conoscenza: convegni, workshop, newsletter, webinar, ISSA Journal • Piani di carriera • Supporto alle certificazioni professionali • Collaborazione con altre associazioni
OAD, Osservatorio Attacchi Digitali
in Italia (ex OAI)
• Che cosa è
• Indagine via web cui liberamente rispondono i diversi interlocutori:
il Rapporto annuale non ha stretta validità statistica ma fornisce
chiare e valide indicazioni sulla situazione e sul trend in Italia,
basilari per un’efficace analisi dei rischi ICT
• Obiettivi iniziativa
• Fornire informazioni sulla reale situazione degli attacchi informatici
in Italia
• Contribuire alla creazione di una cultura della sicurezza informatica
in Italia
• Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica
• Che cosa fa
• Indagine annuale condotta attraverso un questionario on-line
indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole
aziende
• Gruppo OAI su Linked
• Come
• Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i
costi di realizzazione)
• Stretto anonimato sui rispondenti al questionario on line via web
• Collaborazione con numerose associazioni (Patrocinatori) per
ampliare il bacino dei rispondenti e dei lettori
Rapporto 2016 OAD, Osservatorio
Attacchi Digitali in Italia
Per poter scaricare il Rapporto
OAD 2016
http://www.malaboadvisoring.it/index.php?
option=com_sfg&formid=43
Codice coupon AIPSI: ABmi5VmTIH
Sponsorizzazioni e patrocini OAD 2016
Sponsor Gold
Sponsor Silver
con la collaborazione di
Patrocinatori
Indice del Rapporto 2016
1. Executive Summary in Italiano e in Inglese
2. Introduzione
3. Le tipologie di attacco considerate
4. Gli attacchi informatici rilevati
4.1 Gli impatti dagli attacchi subiti
4.2 Gli attacchi alle infrastrutture critiche italiane: i dati dalla Polizia Postale e delle Comunicazioni e
dal C.N.A.I.P.I.C.
4.3 Financial Cybercrime
4.5 Nuovi e vecchi attacchi • 128 pagine A4
4.6 La situazione a livello europeo secondo ENISA
5. L’individuazione e la gestione degli attacchi
6. Strumenti e misure di sicurezza ICT adottate • 5 Tabelle
6.1 Sicurezza fisica
6.2 Sicurezza logica
6. 3 Gli strumenti per la gestione della sicurezza digitale
• 67 Grafici
6.4 Le misure organizzative
7. Gli attacchi più temuti nel futuro e le probabili motivazioni
Allegato A - Aspetti metodologici dell’indagine OAD
Allegato B - Il campione emerso dall’indagine
Allegato C - Profili Sponsor
Allegato D – Riferimenti e fonti
Allegato E - Glossario dei principali termini ed acronimi sugli attacchi informatici
Allegato F - Profilo dell’Autore
Allegato G - Malabo Srl
Allegato H - Nextvalue Srl
Allegato I - Note
Le risposte al Questionario 2016 OAD
• Questionario online via web con 65 domande e risposte,
multiple o singola, da selezionare con un click tra quelle
predefinite
• Risposte completamente anonime
• Coinvolti potenziali rispondenti dalle mailing list di AIPSI, di
Malabo, di NextValue, dei Patrocinatori
• 294 rispondenti in totaleGli attacchi digitali
in ItaliaAttacchi intenzionali: perché?
Lato target (mondo digitale):
• Crescita e pervasività uso ICT
• innumerevoli vulnerabilità dei sistemi ICT, delle applicazioni, degli utenti,
degli operatori
Lato attaccanti:
• Motivazioni criminali guadagno economicofrodi, ricatti, furti,
spionaggio industriale
• Basso rischio ed alto guadagno (esentasse)
• Hacktivism
• Vendetta-ritorsione individuale
• Esibizionismo competenze attaccante
• Terrorismo
• CyberwarMacro trend evoluzione degli attacchi
4° generazione
Secondi o
Obiettivo e mesi/anni
scopo del
danno • TA/APT
• Zero day
Critical attacks
infrastructure • Attacchi
condotti con
botnet
Corporate 3° generazione • Attività criminali
networks Minuti (ramsonware)
2° generazione • Attacchi alle
• DoS e DDoS infrastrutture
1° generazione Giorni • Attacchi multipli
Internet • Attacchi a IoT
connected (worm + virus +
• Attacchi in
devices Settimane Trojan)
mobilità (reti
• Macro virus
• Attacchi su più wireless,
• Virus in floppy e • E-mail sistemi cellulari e
Single allegati • DoS/DDoS contemporaneame palmari)
system • Script Unix nte
1980s 1990s 2000 Odierni e
futuriAttacchi rilevati dai rispondenti nel 2015
Più di 10 casi 9,4%
37,6%
Meno di 10 casi 28,2%
Mai o non rilevato 62,4%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
% rispondenti
© OAD 2016Confronto percentuale degli attacchi
OAI-OAD (trend non statistico)
80,0%
70,0%
60,0%
% rispondenti
50,0%
40,0%
30,0%
20,0%
10,0%
0,0%
2007 2008 2009 2010 2011 2012 2013 2014 2015
Mai o non rilevati Meno di 10 Più di 10
© OAD 2016% attacchi ripartiti per dimensione di
azienda/ente rispondente
50,0%
> 5001 50,0%
0,0%
Numero dipendenti per Azienda/Ente
50,0%
1001 - 5000 28,6%
21,4%
13,3%
251 - 1000 60,0%
26,7%
Più di 10 casi
8,3%
101 - 250 66,7% Meno di 10 casi
25,0%
Mai
6,7%
51 - 100 53,3%
40,0%
9,6%
< 50 42,3%
48,1%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
% rispondenti
© OAD 2016Ripartizione percentuale per tipologia
di attacco (risposte multiple)
Furto info da risorse fisse 9,2%
APT e TA 9,8%
Acc. non aut. Dati 11,1%
Furto info da PdL mobili 13,7% Sempre ai primi 4
Acc. non aut. Programmi 14,4% posti
Attacchi sic. fisica 15,7%
nelle 6 edizioni
Acc. non aut. Sis. 15,7%
OAI-OAD
Attacchi reti 19,6%
Sfrut. vulnerabilità 27,5%
Ricatti ICT 29,4%
Saturaz. risorse 29,4%
Furto disp. 34,0%
Social Eng. 71,9%
Malware 78,4%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0%
% rispondenti
© OAD 2016Impatto degli attacchi subiti
© OAD 2016
14,6%
85,4%
Impatto poco significativo Impatto molto significativoTempo massimo occorso per il
ripristino dei sistemi ICT
Non lo so 14,0%
Oltre un mese 0,0%
Meno di un mese 3,7%
Meno di una settimana 2,8%
Meno di 3 giorni 35,5%
Meno di un giorno 43,9% 80%
% rispondenti
© OAD 2016Attività C.N.A.I.P.I.C. nel 2015
© OAD 2016
(Fonte: Polizia Postale e delle Comunicazioni)Attacchi più temuti nel futuro
(risposte multiple)
Codici maligni (malware) 73,9%
Attacchi di Social Engineering, incluso il Phishing 54,6%
Ricatti sulla continuità operativa 44,5%
Sfruttamento vulnerabilità del codice software 37,0%
Furto di informazioni da dispositivi mobili 34,5%
Attacchi alle reti e ai DNS 27,7%
Saturazione risorse ICT 26,1%
Accesso a e uso non autorizzato dei sistemi (host - 1° Livello) 25,2%
Accesso a e uso non autorizzato dei dati trattati (3° Livello) 21,0%
Accesso a e uso non autorizzato dei programmi software (2° Livello) 16,8%
Furto di informazioni da dispositivi fissi 16,0%
Furto apparati ICT 15,1%
TA e APT 7,6%
© OAD 2016 Attacco fisico 4,2%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0%
% rispondentiMotivazioni degli attacchi
(risposte multiple)
Frode informatica 52,1%
Ricatto o ritorsione 51,3%
Hacktivism 34,5%
Vandalismo 33,6%
Sabotaggio 28,6%
Azione Dimostrativa 22,7%
Spionaggio (anche industriale) 21,8%
Terrorismo 6,7%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0%
% rispondenti
© OAD 2016Livello di affidabilità del sistema
informatico dei rispondenti
Architettura ad alta affidabilità
52,1%
(disponibilità > 99,9%)
Piano di Business Continuity 41,2%
Fermi necessari per manutenzione
26,9%
ICT
Operatività ICT anche in caso di
24,4%
eventi imprevisti
Fermi dell'ICT richiesti per
21,0%
manutenzione elettricità
Non so 3,4%
© OAD 2016
% rispondentiCome proteggersi ?
Siamo sempre potenzialmente
sotto attacco … anche se siamo
una PMI, uno studio
professionale, un esercizio
commerciale , …
Come proteggersi efficacemente ?
Iniziando ad individuare i rischi più
probabili nel proprio contesto
04/27/08 5 23 23
Copyright 2008 - Trend Micro Inc.Sicurezza digitale … non solo un
problema tecnico
La sicurezza dell’ICT è un elemento chiave per:
• garantire la continuità operativa dell’Azienda o
dell’Ente
• La Business continuity è un problema di business
• le informazioni e le risorse ICT che li trattano sono un
asset e come tali vanno protette
• garantire la compliance alle varie normative e
certificazioniLa sicurezza globale ICT
Sicurezza fisica
Governo
Sicurezza Sicurezza logica
Globale
ICT
Aspetti organizzativi:
• Procedure e normative
• Ruoli & responsabilità
Fonte: dal volume “Sicurezza Digitale” di Marco BozzettiI principali strumenti di difesa
• di prevenzione e protezione
• Crittografia, Stenografia
• Periodiche analisi del rischio vs processi ed organizzazione
• Sicurezza fisica: controlli perimetrali, controlli accessi fisici, videosorveglianza, sistemi
antintrusione, UPS, anti-incendio, fumo, gas …
• Sicurezza delle reti: Firewall, IPS/IDS, DMZ, IPsec, IPv6, antispamming, …
• Identificazione: user-id + pwd, token, biometria
• autenticazione, controllo degli accessi ai sistemi ed agli applicativi: ACL, controller di
dominio (LDAP, Active Directory, ..), SSO, controlli federati, PKI e certificati digitali, …
• Sicurezza intrinseca sw (check list, code inspection, ..) e anti-malware (antivirus,
antispyware, …)
• Architetture hw e sw in alta affidabilità RAID, cloud , …
• di ripristino
• Back-up
• Disaster Recovery
• di gestione
• Tecnica: monitoraggio, verifica SLA, gestione delle patch e delle release del software (
licenze)
• Organizzativa: formazione e addestramento, operation (ITIL v3), help-desk/contact
center, ERT, ..Le misure tecniche
• Le misure tecniche ed organizzative “tradizionali” di prevenzione e protezione
possono non essere sufficienti per individuare e contrastare attacchi come TA
e APT
• ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc.
• Analisi e gestione dei rischi sistematiche
• Sistematica analisi dei comportamenti anche con tecniche di intelligenza
artificiale, fuzzy logic, statistica bayesiana, ecc.
• Sistematico monitoraggio delle risorse ICT (reti, OS, middleware,
applicazioni), del loro utilizzo ed analisi di eventuali anomale variazioni
rispetto alla “normale” media
• Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, …)
• Analisi dei log degli utenti e soprattutto degli operatori di sistema
• Scannerizzazione “intelligente” delle sorgenti di connessioni e di dati
• Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi
• Tecniche euristiche per “problem solving”Le misure organizzative Nuovo
regolamento
europeo sulla
• Non sono burocrazia
privacy
• Non sono solo per le grandi strutture
• Sono necessarie anche per la conformità a numerose norme e leggi nazionali ed
internazionali
• Includono:
• Chiara e pubblica definizione di ruoli e competenzeseparazione dei ruoli
(SoD, Separation of Duties) matrici RACI
• Definizione delle Policy e delle relative procedure organizzative
• Definizione dei controlli e di come attuarli
• Selezione e controllo del personale e dell’uso dell’ICT
• Auditing
• Analisi dei log degli operatori e degli utenti ICT
• Radiazione dei sistemi obsoleti
• Sensibilizzazione, formazione, addestramento degli utenti e degli operatori
ICT (interni o terzi)L’effettiva sicurezza ICT dipende da
come viene gestita
• Sia dal punto di vista tecnico
• Può essere terziarizzata
• Sia dal punto di vista organizzativo e del personale
• Deve essere gestita internamente
• Forte «commitment» dal vertice aziendale
• Fondamentale avere strumenti di misura e controllo, usati
sistematicamente
• Fare riferimento agli standard ed alle best practice consolidate: Famiglia
ISO 27000, Cobit 5 (4.1- DS5) , ITIL, ecc.Come scegliere fornitori e consulenti
realmente competenti?
• La maggior parte delle aziende e degli enti (PAL) italiani sono
dimensionalmente piccoli, e non possono avere qualificate ed
aggiornate competenze interne per la sicurezza digitale (e più in
generale per tutto l’ICT)
• Si avvalgono pertanto di fornitori e di consulenti esterni, cui spesso
delegano completamente e senza alcun controllo tutti gli aspetti della
sicurezza digitale (e/o dell’intero loro sistema informatico)
• Le certificazioni professionali sono uno degli strumenti a livello
sia di singola persona sia di azienda/ente.
• Ne esistono molte, ma quali sono quelle di riferimento e
realmente affidabili?Legislazione italiana per le certificazioni
Dal 2013 in Italia regolamentazione delle certificazioni con il D.Lgs.
13/2013 in base a una direttiva europea
Le modalità di svolgimento delle certificazioni sono affidate ad Accredia
ACCREDIA – Ente Italiano di Accreditamento – è l’unico organismo
nazionale autorizzato dallo Stato a svolgere attività di accreditamento.
Accredia applica la Normativa UNI
UNI 11506 per disciplina delle attività professionali non regolamentate
come ICT
Per le professioni ICT e quindi la sicurezza UNI-Accredia utilizzano
eCF (European Competence Framework) definito dalla UEPerché fare riferimento alle
certificazioni eCF?
• Il «vecchio» problema della scelta di collaboratori realmente
competenti e il cui profilo viene riconosciuto sul mercato del lavoro
• Il sostanziale valore aggiunto della certificazione e-CF (UNI 11506,
CEN 16234) è indicato nei seguenti punti
• ha valore giuridico in Italia e in Europa (se erogata da una
associazione registrata presso il MISE)
• può valorizzare alcune altre certificazioni indipendenti
• si basa sulla provata esperienza maturata sul campo dal
professionista
• qualifica il professionista considerando l’intera sua biografia
professionale e le competenze ed esperienze maturate nella sua vita
professionale (e non solo per aver seguito un corso e superato un
esame)
AIPSI, in collaborazione con AICA, sta promuovendo le certificazioni
eCF per i professionisti della sicurezza ICT, fornendo loro supporto e
formazione personalizzataAlcune considerazioni
• Attacchi «di massa» (es: virus, ransomware, ecc.) vs attacchi target
prevalentemente orientati a grandi organizzazioni
• Entrambi pericolosi
• Le maggiori criticità sono di tipo organizzativo
• Spesso mancano gli strumenti e le misure di base correttamente
gestite, quali la gestione delle password, il controllo degli accessi, i
back up
• Le maggiori vulnerabilità
• comportamento delle persone quali utenti dei sistemi informatici
• la sicurezza intrinseca del software, soprattutto di quello
applicativoI 10 comandamenti per la sicurezza
digitale
1.La sicurezza assoluta non esiste
2.La Legge di Murphy è sempre vera, prima o poi qualche guaio arriva: bisogna essere preparati al
ripristino
3.Il peggior nemico: la “falsa” sicurezza
4.La sicurezza è un processo continuo, sia per la parte tecnica sia per la parte organizzativa e di
gestione
5.La sicurezza “globale” deve essere calata nello specifico contesto dell’Azienda/Ente: i suoi
processi, i suoi sistemi, la sua organizzazione, la sua cultura
6.Per la legge, la forma è sostanza: non solo bisogna fare, ma anche documentare quello che si è
fatto compliance normative vigenti: privacy, safety, quality, ecc.
32
7.Qualunque siano le soluzioni e le modalità di intervento prescelte, è sempre il top management
che deve dare un forte commitment, che deve guidare i fornitori, che deve dare il buon esempio
8.Prevenire, prevenire, prevenire: ma per far questo occorre misurare sistematicamente
9.La velocità e la complessità degli attuali attacchi è tale che i processi di gestione della sicurezza
devono essere automatizzati
10.La sicurezza ICT è come una catena: tanto sicura quanto il suo anello più debole. Essa deve
quindi essere “ben bilanciata” tra le varie misure e strumentiRiferimenti
m.bozzetti@aipsi.org
www.aipsi.org
www.issa.org
www.malaboadvisoring.itPuoi anche leggere
