Inquadramento degli attacchi a SAP nell'ambito dell'indagine OAD 2017 sugli attacchi agli applicativi in Italia - Malabo Srl
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Workshop 5/7/2017 a Milano
Come prevenire e contrastare attacchi digitali alle
applicazioni SAP
Inquadramento degli attacchi a SAP
nell’ambito dell’indagine OAD 2017
sugli attacchi agli applicativi in Italia
Marco R.A. Bozzetti
Presidente AIPSI
Ideatore e curatore OAD
CEO Malabo Srl
Il mondo digitale
è un mondo
complesso e di
vulnerabilità
2
2
La situazione attuale: sicurezza vo cercando ….
Sistemi informativi
aziendali e delle PA
Consumerizzazione Fisso + mobile
DCS Ambiente
lavoro
Servizi ICT
in cloud e/o Internet
terziarizzati
Ambiente
personale
VDS, PLC, A/D Conv.
Social network
3
3La situazione attuale: sicurezza vo cercando ….
Sistemi informativi
aziendali e delle PA
Siamo sempre Fisso + mobile
Consumerizzazione
DCS a rischio attacchi ..
Ambiente
lavoro
Servizi ICT
in cloud e/o Internet
terziarizzati
Ambiente
personale
VDS, PLC, A/D Conv.
Social network
4
4ATTACCO ATTACCO
DATI - INFORMAZIONI
Sicurezza ICT
Applicazioni Business Critical
Applicazioni infrastrutturali
ATTACCO
ATTACCO Middleware
Infrastrutture di Elaborazione
Infrastrutture di Telecomunicazione
Data Center Cloud
ATTACCO
ATTACCO
INTERNET
SMART PHONE
PC TABLET, IoT
ATTACCO
DATI - INFORMAZIONI DATI - INFORMAZIONI
ATTACCO
Sicurezza ICT
Sicurezza ICT
Applicazioni
Client SAP Business Critical Applicazioni Business Critical
AppApplicazioni
SAP infrastrutturali
Browser
Applicazioni infrastrutturali
Browser
Middleware Middleware
Infrastrutture di Elaborazione Infrastrutture di Elaborazione
Infrastrutture di Telecomunicazione Infrastrutture di TelecomunicazionePanoramica attacchi 2014-16
a livello mondiale per tipo e durata
Fonte: IBM Xforce, marzo 2017
6
6Top Ten Vulnerabilità 2017 applicazioni web
OWASP
(Open Web Application Security Project)
• Injection
• Cross-Site Scripting (XSS)
• Cross-Site Request Forgery (CSRF)
• Broken Authentication and Session Management
• Broken Access Control
• Security Misconfiguration
• Sensitive Data Exposure
• Insufficient Attack Protection
• Using Components with Known Vulnerabilities
• Underprotected APIs
7
7La crescita del ransomware a livello mondiale
• WannaCry
• Petya
Come mai?
Mancanza degli elementi di
base della sicurezza digitale:
• Aggiornamenti e patch
• Sistematico back-up
Fonte: TrendMicro
8
8OAD 2016: ripartizione percentuale per
tipologia di attacco (risposte multiple)
Furto info da risorse fisse 9,2%
APT e TA 9,8%
Acc. non aut. Dati 11,1%
Furto info da PdL mobili 13,7% Sempre ai
Acc. non aut. Programmi 14,4% primi 4 posti
Attacchi sic. fisica 15,7% nelle 6 edizioni
Acc. non aut. Sis. 15,7% OAD/OAI
Attacchi reti 19,6%
Sfrut. vulnerabilità 27,5%
Ricatti ICT 29,4%
Saturaz. risorse 29,4%
Furto disp. 34,0%
Social Eng. 71,9%
Malware 78,4%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0%
% rispondenti
© OAD 2016
9
9OAD 2016: Quali gli attacchi più temuti nel
prossimo futuro? (risposte multiple)
Codici maligni (malware) 73,9%
Attacchi di Social Engineering, incluso il Phishing 54,6%
Ricatti sulla continuità operativa 44,5%
Sfruttamento vulnerabilità del codice software 37,0%
Furto di informazioni da dispositivi mobili 34,5%
Attacchi alle reti e ai DNS 27,7%
Saturazione risorse ICT 26,1%
Accesso a e uso non autorizzato dei sistemi (host - 1° Livello) 25,2%
Accesso a e uso non autorizzato dei dati trattati (3° Livello) 21,0%
Accesso a e uso non autorizzato dei programmi software (2° Livello) 16,8%
Furto di informazioni da dispositivi fissi 16,0%
Furto apparati ICT 15,1%
TA e APT 7,6%
Attacco fisico 4,2%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0%
% rispondenti
© OAD 2016
10
10Indice DESI europeo 2017 della digitalizzazione
per nazione
Fonte: Comunità europea , marzo 2017
11
11Attacchi agli
applicativi
da OAD 2017 AA
12
12Gli attacchi intenzionali agli applicativi dipendono da
vulnerabilità dei sistemi ICT e … dagli esseri umani
• Vulnerabilità applicativi
• Vulnerabilità dei software di base - middleware
• Vulnerabilità delle configurazioni e dei settaggi delle opzioni
• Vulnerabilità delle architetture ICT
• Vulnerabilità nel comportamento degli utenti finali e degli
amministratori di sistema
13
13OAD AA 2017: Attacchi agli applicativi rilevati dai
rispondenti
46,9%
Attacchi agli applicativi
Si sono rilevati attacchi specifici agli
applicativi 42,3%
Non si sono rilevati attacchi specifici agli 53,1%
applicativi 57,7%
0,0% 10,0%20,0%30,0%40,0%50,0%60,0%70,0%
% rispondenti
2015 2016
© OAD 2017
14
14OAD AA 2017: Attacchi dovuti alle vulnerabilità del
software di base e del middleware
60,0%
Motivazione
più alta in % 49,2%
50,0% 48,5%
40,0% 37,7%
36,2%
% rispondenti
30,0%
20,0%
13,8% 14,6%
10,0%
0,0%
SI NO Non lo so
Attacchi applicativi causati da vulnerabilità delle infrstrutture ICT, del software di base, del middleware sulle quali si
poggia l'applicazione attaccata
2016 2015
15
15OAD AA 2017: Attacchi dovuti a vulnerabilità del codice
applicativo
70,0%
58,5% 57,7%
60,0%
50,0%
% rispondenti
40,0%
30,0% 25,4% 25,4%
20,0% 16,2% 16,9%
10,0%
0,0%
SI NO Non lo so
Attacchi dovuti a vulnerabilità del codice applicativo
2016 2015
© OAD 2017
16
16OAD AA 2017: Attacchi per vulnerabilità identificazione-
autenticazione-controllo accessi
70,0% 65,4%
62,3%
60,0%
50,0%
% rispondenti
40,0%
30,0%
20,8% 20,8%
20,0% 16,9%
13,8%
10,0%
0,0%
SI NO Non lo so
Attacchi subiti per vulnerabilità dei sistemi di identificazione,
autenticazione e controllo degli accessi
2016 2015
© OAD 2017
17
17OAD AA 2017: Attacchi dovuti al furto di informazioni da
dispositivi mobili
80,0%
70,0% 70,0%
70,0%
60,0%
50,0%
% rispondenti
40,0%
30,0%
19,2% 19,2%
20,0%
10,8% 10,8%
10,0%
0,0%
SI NO Non lo so
Attacchi agli applicativi causati dal furto di informazioni da dispositivi mobili
© OAD 2017 2016 2015
18
18OAD AA 2017: Misure di sicurezza per gli applicativi
(risposte multiple)
• Centralizzazione IAM e Controllo Accessi 84%
• Classificazione delle applicazioni per la criticità dei dati
trattati 70 %
• Test tecnici e sicurezza intrinseca applicazione 69%
• Penetration test 55%
19
19OAD AA 2017: Impatto dell’attacco peggiore
come tempo ripristino
Non significativo: ha richiesto poche ore
per il ripristino della situazione ex ante e 49,1%
non ha causato in pratica danni economici
70,9%
Basso: ha richiesto fino 3 giorni per il
Impatto attacco più critico
ripristino della situazione ex ante ed ha 21,8%
causato qualche danno economico
Medio: ha richiesto tra i 3 giorni e le 2
settimane per il ripristino della situazione
12,7%
ex ante ed ha causato danni economici e
di immagine Valori alti !!
Grave: ha richiesto tra due settimane ed
un mese per il ripristino della situazione
Forte
14,5% impatto
ex ante ed ha causato seri danni
economici e di immagine
Molto grave: ha richiesto più di un mese
per il ripristino della situazione ex ante ed
1,8%
ha causato seri danni economici e di
immagine
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0%
% rispondente
© OAD 2017
20
20OAD 2016: Tempo massimo occorso per il ripristino dei
sistemi ICT
Non lo so 14,0%
Oltre un mese 0,0%
Meno di un mese 3,7%
Meno di una settimana 2,8%
Meno di 3 giorni 35,5%
Meno di un giorno 43,9% 80%
% rispondenti
© OAD 2016
21
21E gli applicativi
SAP?
22
22Top SAP Cybersecurity Incidents (2013-2016)
• October 30, 2012: Attack via an SAP vulnerability on Greek
Ministry of Finance
• November 2013: first SAP Malware for online banking accounts
• 2013 (discovered in 2014, or 2015 ??): attack on USIS, a federal
contractor that provides background checks for DHS, exploiting a
vulnerability in SAP software
• January 2014: NVidia customer service website was attacked via
a vulnerability in SAP NetWeaver.
• May 2016: US-CERT Alert about attacks on 36 SAP systems
Fonti: ERPScan,CSO
23
23Le vulnerabilita di SAP dal DB CVE
Number of Number of
#Vulnerabilities/#Products
Vendor Name Products Vulnerabilities
1 Microsoft 425 4977 12
2 Oracle 439 4356 10
3 Apple 115 3810 33
4 IBM 828 3311 4
5 Cisco 1706 2942 2
6 Google 56 2508 45
7 Adobe 119 2284 19
8 Linux 15 1904 127
9 Mozilla 21 1716 82
10 SUN 204 1630 8
11 Redhat 229 1549 7
12 Novell 118 1514 13
13 HP 2031 1410 1
14 Debian 87 1128 13
15 Canonical 21 850 40
16 Apache 137 783 6
17 PHP 20 561 28
18 GNU 91 479 5
19 Wireshark 1 441 441
20 Symantec 212 439 2
21 Fedoraproject 11 438 40
22 Suse
23 EMC
63
176
423
356
7
2
138 prodotti
24 Freebsd 9 341 38
SAP 26
25 Moodle 1 340 340
339 vulnerabilità
26 SAP 138 339 2
27 Joomla 162 336 2
28 Drupal 137 313 2
29 Wordpress 57 303 5
30 Vmware 81 266 3
31 Mysql
32 Openbsd
33 SGI
8
7
17
261
256
254
33
37
15
2 vuln/prodotto
34 Ffmpeg 3 243 81
35 Mcafee 111 241 2
36 Opera 7 240 34
37 Imagemagick 3 235 78
38 Phpmyadmin 1 234 234
39 Siemens 460 221 0
40 Huawei 589 220 0
41 XEN 4 219 55
42 CA 183 218 1
43 Realnetworks 26 206 8
Fonte: DB CVE Top 50 44 Qemu
45 Typo3
1
76
192
190
192
3
Vendors By Total Number Of 46 Juniper
47 Citrix
113
78
188
186
2
2
48 Openssl 2 181 91
"Distinct" Vulnerabilities 49 BEA 11 172 16
50 Openstack 42 171 4
24
24How secure are SAP applications?
Dal Rapporto 2016 Ponemon
25
25Dopo quanto tempo si scopre un data breach in
SAP?
(Dal Rapporto 2016 Ponemon)
53% oltre un
mese fino a 12
!!??
26
26Per come proteggere
gli applicativi SAP
passo la parola agli esperti di
Qintesi Spa
27
27Riferimenti
m.bozzetti@aipsi.org
www.aipsi.org
www.issa.org
www.malaboadvisoring.it
28
28Puoi anche leggere
