Il Cyber Crime ripaga bene - Atelier - #securitysummit #academy #streamingedition
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Atelier
Il Cyber Crime ripaga bene
Luca Bechelli, Comitato Scientifico Clusit
Ivan De Tomasi, Country Manager Italy & Malta, Watchguard
22 settembre 2020, ore 11:00 - StreamingEdition
#securitysummit #academy #streamingedition
Luca Bechelli
• Practice Leader Information & Cyber Security Advisory Team @
• Membro del Comitato Scientifico
Slide di sfondo
Testo editabile
• Coordinatore GdL «Security Readiness» presso l’Osservatorio
«Cybersecurity & Data Protection» del Politecnico di Milano
• Direttore Didattico Master in Cybersecurity Experis Academy
2
Complexity is everywhere,
Slide di sfondo
bringing uncertainty and interdependence.
Managing it requires "systems thinking".
Testo editabile
John Sterman and Jason Jay
3
Slide di sfondo
Testo editabile
4
Slide di sfondo
Testo editabile
5
Sono aumentati gli incidenti
Slide di sfondo
A causa della "fretta" di fare remote working
Testo
molte aziende si sonoeditabile
trovate esposte
a molte minacce "impreviste"
6
Sono aumentati gli incidenti
Slide di sfondo
Quante piattaforme si sono viste pubblicare all’improvviso
molte vulnerabilità o sono state attaccate a causa di un
Testo editabile
nuovo improvviso successo?
Quante volte a causa di imperizia di utilizzo?
7
Sono aumentati gli incidenti
§
Slide di sfondo
Computer infetti attivi in reti casalinghe non protette
§
Testo editabile
Malware veicolato tramite VPN improvvisate
§ Host violati poiché vulnerabili e pubblicati su Internet (es. RDP)
8
90%
Slide di sfondo
of attacks begin with email
Testo
281B editabile
emails sent daily
9
78 Days
Slide di sfondo
Avg. time to discover breach
Testo editabile
$3.9M
avg. per breach
10Malware e phishing ANCORA (!?!?) la principale minaccia!
Tipologia e distribuzione delle tecniche d'attacco 2019
1%
-4% Malware
2% +24%
4%
Slide di sfondo
5% Unknown
+5%
8% Phishing / Social Engineering
44%
Vulnerabilities
+81% 17% Testo editabile Multiple Threats / APT
Account Cracking
0-day
DDoS
19%
-22%
© Clusit - Rapporto 2020 sulla Sicurezza ICT in Italia
11Il peso del Ransomware
+23%
-8%
Slide di sfondo
Testo editabile
+2%
12Attacco alla filiera
In un contesto precario
Slide di sfondo
dove molte aziende hanno reagito in modo emergenziale
un blocco ad un solo stakeholder
Testo editabile
ha causato effetti domino
rischio di fornitura / delle terze parti
13Attacco alla filiera
n L’ IT aziendale è ormai troppo complesso per essere gestito in autonomia.
Slide di sfondo
Sempre più aziende si evolvono verso un pensiero sistematico e
“appaltando” i propri sistemi a terze parti.
n Un fornitore con scarsa sicurezza informatica può diventare una porta
n
Testo editabile
aperta verso la propria rete.
Le aziende più piccole hanno budget di sicurezza minori, traducendosi in
trampolini di lancio per il cyber crime e utilizzati per infiltrarsi nel loro
obiettivo principale.
14La crescita del cybercrime
Tipologia e distribuzione degli attaccanti 2019
2%
3%
12%
Cybercrime
83%
Espionage / Sabotage
Slide di sfondo
Hacktivism
Information warfare Distribuzione degli attaccanti 2014 - 2019
90% 83%
Testo editabile
79%
76%
80%
72%
68%
© Clusit - Rapporto 2020 sulla Sicurezza ICT in Italia 70%
60%
60% 2014
2015
50%
2016
40%
2017
27%
30% 2018
21%
15% 2019
20% 13% 12%
+162% rispetto al 2014 8% 9% 8%
11%
7%
5% 5% 6%
10% 4% 3% 4%
2% 2%
0%
CYBERCRIME ESPIONAGE HACKTIVISM INFO. WAR.
© Clusit - Rapporto 2020 sulla Sicurezza ICT in Italia
15Attacco «Fearware» COVID-19
•
tramite e-mail Slide di sfondo
Gli attacchi non vengono perpetrati sono solo
•
ogni vettore disponibile
Testo editabile
Chi ci attacca sono criminali che sfruttano
16Tecniche di attacco
+81% Phishing
+54%
Slide di sfondo
Account Cracking
Testo editabile
€18,8M Il danno delle frodi BEC denunciate in Italia
17Kill Chain
Slide di sfondo
Testo editabile
18Alcuni elementi della kill chain sono sotto il nostro controllo… We see that the while Hacking
is a little farther ahead, the
first action in an incident could
Moving on to Figure 32, Malware
makes its grand entrance. It
may not be the opening shot, but
And finally, we get a chance
to see where attacks end in
Figure 33. The most significant
be almost anything. The most it is the trusty 7-iron (or 3 wood, part is how Social is now at the
interesting part is that Malware pick your analogy according to bottom. While social attacks
is at the end of the chart, even your skills), that is your go-to club are significant for starting and
behind Physical, which requires for those middle action shots. continuing attacks as seen in
the attacker to be, well, physically Interestingly, there are almost Figures 31, they’re rarely the
present during the attack. no Misuse and Physical middle three-foot putt followed by
Malware is usually not the actions and no Error in our data the tip of the visor to the
driver you use to get off the tee; set. That’s primarily because sunburned gallery.
remember that most is delivered these are short attack paths
via social or hacking actions. and to be in the middle you have
Slide di sfondo
to have at least three events in
the chain.
23 Hacking Hacking
Error Malware Malware
Testo editabile
At this point, you may be wondering if your sand traps
75% are sandy enough. Figure 34 comes from breach
simulation data.
Social It shows that in testing, defenders Hacking
fail Error
Attack success
50% to stop short paths substantially more often than long
paths. So, just in case you were looking on your systems
25%
and thinkingMisuse
“it’s the other guys that let the attackers
Social Misuse
start on the putting green,” short attacks work.
0% Physical Misuse Physical
0 5 10 15
Number of steps
Figure 34. Attack success by chain length in Malware Physical Social
simulated incidents (n=87)
0% 20% 40% 60% 80% 100% 0% 20% 40% 60% 80% 100% 0% 20% 40% 60% 80% 100%
Incidents Incidents Incidents
Figure 31. Actions in first step of Figure 32. Actions in middle steps of Figure 33. Actions in last step of
incidents (n=909). An additional incidents (n=302) incidents (n=942)
32 incidents, (3.40% of all paths),
started with an unknown action.
Attack Paths and Mitigations the preceding and proceeding events. Wheth-
Our friends at the Center for Internet Security impact how we plan our defenses. Defending
19
er we realize it or not, such interpretations
Verizon 2019 Data Breach Investigation ReportUna questione di velocità
Slide di sfondo
Testo editabile
Ponemon Cost of Data Breach Report
20Ivan De Tomasi
Slide di sfondo
COUNTRY MANAGER ITALY & MALTA,
WATCHGUARD Testo editabile
21Slide di sfondo
NUOVI SCENARI LAVORATIVI ED UNA
Testo editabile
OVVIA ESCALATION DI MINACCE
SIAMO PRONTI A GESTIRLE?
22NUOVI SCENARI LAVORATIVI
Slide di sfondo
Testo editabile
23LE PMI SI MUOVONO OLTRE IL PERIMETRO
SaaS IaaS
Slide di sfondo
Testo editabile
Internet
24… UN’ OVVIA ESCALATION DI ATTACCHI
• Semplici nella loro esecuzione
• Basici: puntavano gli IP
• Brevi
• Unico fine: bypassare la barriera di sicurezza aziendale –
hackerare un sito
Slide di sfondo
• Attacchi piu’ complessi
• Mirano alle applicazioni
Testo editabile
• Intense
• Fine principale: creare un disservizio, danneggiare le
infrastrutture di rete
Gli attributi che contraddistinguono una minaccia APT:
• Avanzata
• Persistente
• Targettizzata
25APT TIMELINE
Nation-states / Political Criminals / Private
China-based C&C Four 0day 0day Word flaw Targeted Lebanon 152M records
Slide di sfondo
Spear Phishing PLC Rootkit Iran, Sudan, Syrian USB LNK Flaw 0day Coldfusion
Political Targets Broke Centrifuges Cyber Espionage APT Bank Trojan Stolen source
GhostNet Stuxnet Duqu Gauss Adobe
Jun. Oct.
Jun. 2012 2013
Testo editabile
Mar. Jan. Mar. Sep.2
2009 2010 2010 2011 011 May Jan. Dec.
2012 2013 2013
Operation Aurora RSA/Lockheed Flame NYTimes Target
IE 0day 0day Flash Flaw 0day MS Cert Flaw China-based
Comment Crew (CN) 0dayTrojan 40M CCNs
Stole IP Spear phishing
Stole Gmail and Src Stole SecureID Info 0day malware
Target Iranian Oil 0day malware
Partner access
2009 2010 2011 2012 2013 2014
26UNA GROSSA DIFFERENZA
Gli antivirus sono la migliore protezione contro attacchi opportunistici non targettizati
offrendo una efficente protazione seguente la creazione di una signature (impronta)
desrcivente la minaccia. Tutto quanto sotto la soglia si chiama ZERO DAY
Host Compromesso
Signature
Opportunistico
Slide di sfondo
Disponibile
SOGLIA DI RILEVAZIONE
Attacco
Obiettivo dell’attaccante e’
Testo editabile
rendere la retta meno ripida
Tempo
Host Compromesso
“Avanzato”
Signature
SOGLIA DI RILEVAZIONE
Attacco
Disponibile?
Obiettivo dell’attaccante e’
rendere la retta meno ripida
27 Tempo
Source: Jeffrey J Guy; Director, Product Management; Bit9/Carbon Black
27I PIU’ DIFFUSI RANDSOMWARE
Cryptolocker, CTB-Locker, CryptoWall, Tesla Script,
CryptorBit, KeyHolder, Operation Global, TorrentLocker,
CryptoDefense, ZeroLocker, Ransom32
Slide di sfondo
Colpiscono utenti Windows, Mac, Linux…
Testo editabile
28GENERATORI DI RANDSOMWARE
Slide di sfondo
Testo editabile
29Slide di sfondo
UN ALTRO PROBLEMA DA NON SOTTOVALUTARE:
Testo
IL FURTO DELLEeditabile
CREDENZIALI
30LE PASSWORD: SOLUZIONE O PROBLEMA?
Prevale ancora il principio che la PWD “deve” essere comoda da ricordare per
l’operatività quotidiana di un utente e questo molto spesso fa rima con PWD
debole
Slide di sfondo
“Non posso ricordarmi la PWD a memoria…la scrivo su un foglietto”……. - “Uso la
stessa PWD ovunque…così è più facile”………….
Testo editabile
“Devo cambiare la PWD….idea! Uso quella precedente e ci aggiungo un 1 J
”………….
31 31LE PASSWORD RUBATE OFFRONO UN ACCESSO VELOCE ALLA VOSTRA RERE
#1 L’azione principalmente utilizzata nei data breaches è il
furto di credenziali
Slide di sfondo
Il numero totale di data breaches che hanno su password
81% rubate o comunque deboli
1.4B Numero di passwords rubate trovato su di un file nel dark
web
Testo editabile
32REGISTRATI SUL NOSTRO SITO ....
Un account di registrazione è ormai step fondamentale per accedere all’area servizi di
una qualsiasi realtà presente nel WEB
Slide di sfondo
Ma “Area Riservata” vuol dire Area Sicura? …. NON SEMPRE !!!
Testo editabile
33 33ESEMPI DI DATA BREACH
- Sfruttata vulnerabilità attraverso una API
Slide di sfondo
- Pur compromettendo il solo 3% delle utenze si è arrivati alla
considerevole cifra di 2mln di utenze colpite
Testo editabile
- La vulnerabilità ha dato accesso a dati personali (Nomi, indirizzi
postali, numeri di telefono, email). Sembra fortunatamente che i dati
delle carte di credito non fossero accessibili da quella vulnerabilità.
- In queste casistiche I DB delle PWD sono crittografati al fine di non
essere direttamente visibili. Capita spesso però che si adottino algoritmi
di hashing semplici o noti come l’MD5 (che sembra essere stato
adottato in questo caso) e da qui una volta individuate si può facilmente
risalire alle PWD leggibili attraverso le tecniche di decodifica
34ESEMPI DI DATA BREACH
Slide di sfondo
- Realtà che si occupa di ricostruzioni storiche legate a parentela e
generazione di albero genealogico
Testo editabile
- Compromessi 92 milioni di account. Nel 2016 ha lanciato un servizio di
raccolta DNA (campione di saliva). 1.4 milioni di utenze avevano aderito
al programma…(sembra che il DB legato al DNA non sia stato intaccato)
- Adottato anche in questo caso l’hashing della PWD con tecniche già
decodificate in passato
- Gli utenti sono stati invitati a cambiare la loro PWD J
35ESEMPI DI DATA BREACH
- Sito Internet di Social News ed intrattenimento
- Violati dati personali e compromesso intero DB del 2007
con le PWD cifrate incluse
-
Slide di sfondo
Rubato accesso di alcuni dipendenti attraverso l’intercettazione di una 2FA
con uso di SMS.
- L’SMS non viene considerato un “tramite” valido per la 2FA perche’ soggetto
Testo editabile
a tecniche di hacking come l’intercettazione (Man in the middle) e il
reinstradamento
(usato per sostituire il numero del destinatario del codice di autenticazione).
36Slide di sfondo
LA SOLUZIONE LAYERED SECURITY
BYTesto editabile
WATCHGUARD
37LE ADVANCED THREADS
RICHIEDONO DEFENSE-IN-DEPTH
Advanced threats, per definizione
utilizzano multipli vettori di attacco.
Slide di sfondo
Non una singola difesa vi
proteggerà completamente da un
attacco APT …
Testo editabile
Più livelli di sicurezza avete,
Firewall maggiore possibilità avete di
identificare e bloccare una advanced
Intrusion Prevention System
persistent threat.
AntiVirus
AntiSpam
Reputation Services
APT Protection
38UN APPROCCIO STRATIFICATO CONTRO LE MINACCE ALLE RETI INFORMATICHE
Slide di sfondo
Testo editabile
39LA DIFESA COMPLETA SI CHIAMA TOTAL SECURITY
SERVIZI DI SICUREZZA FONDAMENTALI
INTRUSION PREVENTION SERVIZIO REPUTATION
Slide di sfondo
SPAMBLOCKER GATEWAY
SERVICE (IPS) ENABLED DEFENSE (RED) ANTIVIRUS (GAV)
FILTRO URL
DI WEBBLOCKER
Testo editabile
NETWORK DISCOVERY
SERVIZI DI SICUREZZA AVANZATI
APPLICATION CONTROL
DNS WATCH APT BLOCKER – DATA LOSS THREAT DETECTION DIMENSION
PROTEZIONE DAL PREVENTION (DLP) AND RESPONSE COMMAND
MALWARE AVANZATO
40Slide di sfondo
LA SOLUZIONE MFA BY WATCHGUARD
Testo ALLE
CONTRO I BREACHES editabile
CREDENZIALI
41CHE COSA E’ LA MULTI-FACTOR AUTHENTICATION (MFA)?
Un sistema che utilizza 2 o più fattori di autenticazione presi da:
• Qualcosa che conoscete (password, PIN) Qualcosa che avete
• Qualcosa che avete (token, smartphone) (un token sul vostro telefono)
• Qualcosa che siete (fingerprint, viso)
Slide di sfondo Qualcosa che siete
(Lettura dell’impronta )
“Password1234”
Testo editabile
Qualcosa che conoscete
(la vostra password)
4243
WATCHGUARD AUTHPOINT – MFA
E’ DAVVERO SEMPLICE !!!
MULTI-FACTOR AUTHENTICATION
Password | Push Message | Phone Biometrics | Mobile Phone DNA
AUTHPOINT MOBILE APPSlide di sfondo
iOS & Android | 11 Languages | OTP | QR Code | Multiple Authenticators
WATCHGUARD CLOUD
Testo editabile
Visibility | Configuration | Management | Token Allocation in Seconds
COPERTURA MFA ESTESA
Dozens of 3rd Party Integrations | Web SSO | Windows/Mac Computer Logon
4344
MULTI-FACTOR AUTHENTICATION
• Funzionalità di autenticazione:
• Push-Based
Slide di sfondo
• QR Code-Based
• Time-Based One-Time Password
• Testo editabile
Funzionalità di sicurezza
• Mobile Device DNA
• Attivazione online con Generazione Dinamica delle chiavi
• PIN, Fingerprint and Face Recognition
4445
AUTHPOINT MOBILE APP
Download the mobile app:
Slide di sfondo
Available for Android and iOS:
Testo editabile
4546
DISTRIBUITO CON WATCHGUARD CLOUD
• Basso TCO, Servizio Cloud-Based § Semplice da installare, ancora più
• Identity Store Synchronization facile da gestire
• Provisioning di tokens automatizzato § Multi-Tier, Multi-Tenancy
Slide di sfondo
Testo editabile
4647
WEB SINGLE SIGN-ON (SSO)
Slide di sfondo
Testo editabile
4748
ECOSISTEMA AUTHPOINT
Slide di sfondo
Testo editabile
48PROTEGGE VPN, APPLICAZIONI WEB, PC Login E
MOLTO ALTRO !
Slide di sfondo
Testo editabile
49SICUREZZA AGGIUNTA CON Mobile Phone DNA
Cosa succede quando tu vi loggate:
Usando il vostro autentico e
Chiave univoca corretto mobile DNA, una OTP
interna
Slide di sfondo
valida viene generata
Access
Approved
Testo editabile
Orologio
interno (UTC)
83-94-50
Encryption/Hash Your valid
algorithm One-Time Password (OTP)
VOSTRO
AUTENTICO
Mobile DNA
RENDETE IL VOSTRO SISTEMA DI AUTENTICAZIONE UNICO!
50SICUREZZA AGGIUNTA CON Mobile Phone DNA
Senza un autentico e corretto
Chiave univoca mobile DNA, una OTP valida
interna
Slide di sfondo
non può essere generata
Access
Denied
Testo editabile
Orologio
interno (UTC)
67-22-12
Encryption/Hash A hacker’s invalid
algorithm One-Time Password (OTP)
HACKER’S
Mobile DNA
RENDETE IL VOSTRO SISTEMA DI AUTENTICAZIONE UNICO!
5152
MULTI-FACTOR AUTHENTICATION ONLINE & OFFLINE
Push-Based Authentication
Autenticazione sicura con approvazione one-touch. Vedi chi sta
tentando di autenticarsi e dove e può bloccare l'accesso non
autorizzato alle tue risorse.
Slide di sfondo
QR Code-Based Authentication
Testo editabile
Usa la tua fotocamera per leggere un codice QR
univoco e crittografato contenente una stringa che
può essere letta solo con la app. La risposta che si
ottiene viene poi digitata per finalizzare
l'autenticazione.
Time-Based One-Time Password (OTP)
Recupera la tua One Time Password dinamica che
viene visualizzata ed inseriscila durante il login
52Q&A
Slide di sfondo
Testo editabile
53Puoi anche leggere
