Cyber Crime: misure di protezione - Danilo Massa CyberSEC Technology Unit Manager - aizoOn
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cyber Crime:
misure di protezione
Danilo Massa
CyberSEC Technology Unit Manager
Agenda
Introduzione
Incident Handling & Digital Forensic
Procedure per la gestione degli incidenti
Materiale di aizoOn, tutti i diritti sono riservati 2
Introduzione
Definizione
Qualsiasi atto o fatto, contrario alle norme penali, nel quale un
dispositivo di elaborazione digitale è stato coinvolto come
oggetto del fatto o come strumento o mezzo.
► Intrusioni Hacker / Cracker
► Diffusione di Malware
► Attacchi DoS – Denial of Service
► Furti di proprietà intellettuale
► Frodi e furti di identità
► Stalking, pedopornografia, sabotaggio
► … e molto altro …
Materiale di aizoOn, tutti i diritti sono riservati 3
Introduzione
► Reati nel mondo reale
Locus commissi delicti: fisico
Scena criminis: fisica
Identificazione: fisica
► Reati digitali
Locus commissi delicti: virtuale
Scena criminis: virtuale
Identificazione: virtuale
Materiale di aizoOn, tutti i diritti sono riservati 4
Introduzione
Caratteristiche principali
► Delocalizzazione
Difficoltà nello svolgimento delle indagini, per cui può essere necessario
coinvolgere le forze dell’ordine per ottenere mandati internazionali, richieste di
estradizione etc.
► Dematerializzazione
I beni coinvolti nei reati sono per lo più virtuali, per cui è difficile esprimere un
concetto di violenza sulle cose o persone ed a volte quantizzare il reale danno
► Replicabilità
Possibilità di compiere lo stesso reato in più parti del mondo contemporaneamente
► Sanzioni
Generalmente di entità inferiore se commisurate a reati simili perpetrati nel mondo
reale
Materiale di aizoOn, tutti i diritti sono riservati 5
Introduzione
Reati informatici
► in senso stretto
Hanno come oggetto principale uno strumento digitale, per
esempio l’intrusione, la frode informatica, la diffusione
abusiva di codici di accesso
► in senso lato
Lo strumento digitale è un accessorio per il reato, per
esempio l’invio di mail per la richiesta di un riscatto in un
caso di rapimento
Materiale di aizoOn, tutti i diritti sono riservati 6
Introduzione
Statistiche: trend per tipologia (rapporto Clusit 2017)
Materiale di aizoOn, tutti i diritti sono riservati 7
Introduzione
Statistiche: tipologia (2017 – rapporto Clusit)
Materiale di aizoOn, tutti i diritti sono riservati 8
Introduzione
Statistiche: vittime (2017 – rapporto Clusit)
Materiale di aizoOn, tutti i diritti sono riservati 9
Introduzione
Statistiche: aree geografiche (2017 – rapporto Clusit)
Materiale di aizoOn, tutti i diritti sono riservati 10Introduzione
Statistiche: tecniche di attacco (2017 – rapporto Clusit)
11Incident Handling & Digital Forensic
Sono due ambiti operativi fortemente connessi
Incident Digital
Handling Forensic
► Gestione degli incidenti ► Investigazione digitale
► Preservare il business ► Evidenze digitali di reato
► Imparare dagli errori ► Ambito legale (civile o penale)
Il punto di intersezione è relativo
all’acquisizione delle evidenze digitali di reato
Materiale di aizoOn, tutti i diritti sono riservati 12Incident Handling & Digital Forensic
Incident Handling
► ambito
Le procedure per la gestione degli incidenti sono presenti in
organizzazioni strutturate (aziende, pubblica amministrazione,
militari)
► operatori
Sistemisti, responsabili della sicurezza, HR, responsabili della
comunicazione, sviluppatori …
► obiettivo
Minimizzare o meglio, prevenire, danni economici
all’organizzazione
Materiale di aizoOn, tutti i diritti sono riservati 13Incident Handling & Digital Forensic
Digital Forensic
► ambito
Investigazioni e procedimenti legali civili e penali, sia per
aziende sia per privati
► operatori
Esperti nell’individuazione, conservazione ed analisi delle
evidenze digitali di reato
► obiettivo
Analizzare le evidenze digitali e fornire una descrizione
tecnicamente ineccepibile di quanto accaduto
Materiale di aizoOn, tutti i diritti sono riservati 14Incident Handling & Digital Forensic
Punto cardine: acquisizione delle evidenze
Le evidenze digitali di reato hanno importanza fondamentale sia
nell’Incident Handling sia nella Digital Forensic.
L’acquisizione delle evidenze deve essere effettuata in una modalità che
assicuri la conservazione dei dati originali e ad impedirne l’alterazione,
garantendo la conformità dei dati acquisiti a quelli originali e la loro
immodificabilità.
► durante la gestione di un incidente
La fase di acquisizione deve essere contemplata in una procedura standard
► durante una investigazione digitale
L’acquisizione deve essere effettuata ponendo particolare attenzione agli
aspetti legali
Materiale di aizoOn, tutti i diritti sono riservati 15Procedure per la gestione degli incidenti
Esempio di procedura (NIST based)
Containment Lesson
Preparation Detection Eradication
Learned
Recovery
Materiale di aizoOn, tutti i diritti sono riservati 16Procedure per la gestione degli incidenti
Preparation
Diversi aspetti ed elementi da prendere in considerazione:
► Policy
► Composizione/formazione del team
► Accesso a dati e sistemi
► Budget
► Comunicazioni
► Trasporti e luogo di lavoro
► Energia e controlli ambientali
► Documentazione
► Audit & strumenti
Materiale di aizoOn, tutti i diritti sono riservati 17Procedure per la gestione degli incidenti
Preparation – Audit & strumenti
AIZOON BREAK-IN SUCCESS RATE
Unsuccessful 0%
Eseguendo audit tecnici
(Penetration Test, Data Exfiltration
Tests, ecc.) aizoOn è stata in
grado di penetrare almeno un
sistema (ne basta uno) per ogni
bersaglio richiesto dai Clienti…
Successful
100%
Materiale di aizoOn, tutti i diritti sono riservati 18Procedure per la gestione degli incidenti
Preparation – Audit & strumenti
… con buoni risultati … ed utilizzando tecniche diverse …
COMPROMIZED DATA CONFIDENTIALITY DATA COMPROMISATION MOST EFFECTIVE
Other business data Business Critical / Highly
TECHNIQUES
16% confidential
System
17%
misconfiguratio
n 25%
Business Relevant /
Confidential
Proprietary /Internal 28%
use Advanced Exploit and
39% malware and 0Day
social vulnerability
engineering 15%
60%
Materiale di aizoOn, tutti i diritti sono riservati 19Procedure per la gestione degli incidenti
Preparation – Audit & strumenti
Se non conosci te stesso, né conosci il tuo nemico, sii certo
che ogni battaglia sarà per te fonte di pericolo gravissimo.
Un buon audit tecnico permette di:
► Conoscere le proprie vulnerabilità
► Definire linee guida per lo sviluppo sicuro o di hardening
► Verificare l’efficacia dei sistemi di sicurezza in essere
► Collaudare le procedure di sicurezza/governance
► Identificare le (in)competenze
► Incrementare la consapevolezza del personale
Materiale di aizoOn, tutti i diritti sono riservati 20Procedure per la gestione degli incidenti
Preparation – Audit & strumenti
In seguito ad un audit tecnico è necessario procedere con
una fase di «remediation»
Materiale di aizoOn, tutti i diritti sono riservati 21Procedure per la gestione degli incidenti
Preparation – Audit & strumenti
La sicurezza non è un prodotto, ma un processo
Per essere in grado di identificare e gestire correttamente
incidenti di sicurezza è comunque utile avere a disposizione:
► Strumenti di difesa «classici»:
► Firewall
► Antivirus/antispam
► IDS/IPS
► DLP
► SIEM (correttamente configurato)
► Sistemi di sicurezza next-geneneration
► Sistemi per la cyber threat intelligence
► Software per la gestione remota degli incidenti
Materiale di aizoOn, tutti i diritti sono riservati 22Conclusione …
Quesiti:
Avete un responsabile, formalmente incaricato,
della sicurezza informatica?
Sono disponibili e distribuite procedure, processi
e policy riguardanti la Cyber Security?
Vi è un «budget» riservato alla Cyber Security
nella vostra organizzazione?
Materiale di aizoOn, tutti i diritti sono riservati 23Contatti
Per approfondimenti e maggiori informazioni contattare:
Danilo Massa : danilo.massa@aizoongroup.com
oppure Cybersec@aizoongroup.com
25 riservati
Materiale di aizoOn, tutti i diritti sono 24Puoi anche leggere
