Speciale Cyber Crime by Edisef Srl

speciale dicembre 2014

CYBERCRIME

INDICE INDICE INDICE

My Newsroom è una risorsa aziendale creata per aumentare la funzionalità e la fruibilità delle redazioni tradizionali online e promuovere le attività sui social media e i contenuti multimediali diffusi da un’azienda. My Newsroom è destinata a favorire il dialogo e la condivisione delle informazioni. A differenza di una sala stampa online chiusa, il contenuto accessibile nonlasolo ai giornalisti, My Newsroom è una risorsa aziendale creataèper aumentare funzionalità e lama anche a tutti coloro con i quali l'azienda impegna - clienti, partner e investitori fruibilità delle redazioni tradizionali online esipromuovere le attività sui social me- - dando loro facile accesso alle notizie in tempo reale, ai contenuti redazionali, dia e i contenuti multimediali diffusi da un’azienda. My Newsroom è destinata a alle imai video edelle ad altri file multimediali. favorire ilmagini, dialogoall’audio, e la condivisione informazioni. A differenza di una sala stampa online chiusa, il contenuto è accessibile non solo ai giornalisti, ma anche a tutti coloro con i quali l'azienda si impegna - clienti, partner e investitori - dando loro facile accesso alle notizie in tempo reale, ai contenuti redazionali, alle imPRIMO PIANO magini, all’audio, ai video e ad altri file multimediali.

4 4

PRIMO PIANO

ATTUALITÀ

Le frodi nella rete. Il duplice ruolo dell’ICT. ATTACCHI INFORMATICI AL CLOUD: Una community per fareSIscuola MA QUANTO È SICURI?

Maria Giulia Mazzoni Alessandro Vallega, Security Marco intervista R. A. Bozzetti Le frodi nella rete. Il duplice ruolo dell’ICT. Business Development Manager di Oracle Italia 6 SICUREZZA DEI SISTEMI UnaINFORMATICI, community per fare scuola LE MINACCE utili in tempo reale. (Tutte) Le informazioni 10 Maria Giulia Mazzoni intervista Alessandro Vallega, Security SONO IN COSTANTE AUMENTO “Così abbiamo fatto in Lombardia” Business Manager di Oracle Italia DavideDevelopment Gastaldon Maria Giulia Mazzoni intervista Davide Rovera, Presidente Le informazioni Informaticautili in tempo reale. 10 (Tutte)Lombardia CARM, LA NUOVA FRONTIERA “Così Cyber abbiamo fatto in Lombardia” DELLA SICUREZZA incident, le imprese di oggi sono pronte a 14 Maria Giulia Mazzoni intervista Davide Rovera, Presidente INFORMATICA rispondere (adeguatamente)? DI EXCLUSIVE NETWORKS Lombardia Informatica Maria Giulia Mazzoni intervista Darren Anstee, Director of incident, le imprese di oggi sono pronte a Architects di Arbor Networks 14 CyberSolutions IL MALWARErispondere DIVENTERÀ (adeguatamente)? (MOLTO) PIÙMaria CATTIVO Giulia Mazzoni intervista Darren Anstee, Director of Maria Giulia Mazzoni Solutions Architects di Arbor Networks

CYBER ATTACK REMEDIATION & MITIGATION

19 13 19

CLOUD COMPUTING SECURITY

L’EVOLUZIONE DEL CONCETTO DI SICUREZZA

Cloud computing, 20COMPUTING SECURITY Stefano Paganelli CLOUD (oggi) tutti ne parlano ed ecco perché Cloud computing, Nunzia Locantore 20 ATTACCHI NTP. IL TEMPO PER (oggi) tutti ne parlano LE AZIENDE STA PER SCADERE Attacchi informatici 26 ed ecco perché Ivan Straniero al cloud: ma quanto si è sicuri?

Nunzia Locantore Marco R. A. Bozzetti

Attacchi Il cloud,informatici una tecnologia 26 30 al cloud: sicuri?e PMICONTINUERANNO semprema piùquanto vicina sia èstartup I “BAD GUYS”

Pietro Riva Il cloud, una tecnologia sempre più vicina a startup e PMI

QR QR

Stefano Sordi Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/store di applicazioni per il tuo cellulare (iTunes, App store,daAndroid Blackberry store, ecc.). Per accedere ai contenuti QRCode,market, devi utilizzare un Appworld, lettore QR.Ovi Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/store di applicazioni per il tuo cellulare (iTunes, App store, Android market, Blackberry Appworld, Ovi store, ecc.).

Security Dicembre n° 25 mag/giu InformationInformation Security Speciale 20142014

Marco R. A.ABozzetti VINCERE? Stefano Sordi

1 1

SCENARI SPECIALESECURITY CYBERCRIME CLOUD COMPUTING

IL MALWARE DIVENTERÀ ATTACCHI INFORMATICI (MOLTO) CATTIVO AL CLOUD: MAPIÙ QUANTO SI È SICURI?

Maria Giulia Mazzoni

Direttore Responsabile CEO di Malabo Srl

sicuri i sistemi ICT di supporto, e quanto Il fenomeno del cloud computing si sta sicuri? In ambiti multi tenant e virtualizconsolidando anche in Italia, come evizati possono essere vulnerabili le applidenzia uno studio di Sirmi di febbraio cazioni ed i dati da queste ultime trat2014, che stima il mercato 2013 del tati? è la sfida della siCloud Business nel nostro paese in unilleciti. va- Questa cato degli Sicurezza informatica. Un problema Facendo riferimento lore complessivo di 788,8 milioni di euro curezza informatica oggi e nei prossimi anni:al Rapporto 2013 sempre più pressante anche, e soprattutOAI, Osservatorio Attacchi Informatici in (+16,9% rispetto al 2012). Questo dato è proteggere i dati, non più solo le infrato, alla luce della crescita esponenziale del Italia2, la fig. 1 mostra come quasi il 60% in controtendenza rispetto al mercato strutture. cosiddetto ‘crimine informatico’ . Dottor Tocomplessivo che nel 2013, sempre sedei rispondenti attualmente terziarizza nelli ci aiuti a fare ilICT punto della situazione. condo Sirmi, ha avuto una riduzione del tutto presentato o una parteal del Il Rapporto Clusit 2014, Se-loro sistema inforFinalmente i dati sono protagonisti. Cosa in5% e che rimarrà mativo. Ma di questi negativo anche nel curity Summit di Milano, indica come ilil 35% non intende tendo? Fino a non molto tempo fa, quanutilizzare soluzioniparcloud e solo il 27,6 % 2014,informatica, con una stima al - 2,3%. Ma l’adoCybercrime sia la causa della maggior do si parlava di sicurezza gli atle utilizza, tra SaaS, IaaS e PaaS di cloud Italia, pur con ilattacchi tasso (oltre te degli il 50%)ripartite nel 2013, tacchi e gli interessizione criminali eranoin concome indicato nella fig. 2, di incremento a due cifre di cui sopra, è con una crescita del 258% in due anni. centrati in altre aree (come ad esempio gli Confrontando i dati sulla ancora limitata e lenta rispetto ai più Stento a non credere sia così, proprio per le terziarizzazione attacchi di defacing, DoS, DDoS e cosi via). Emilio Tonelli, Senior Sales Engineer South e sul cloud, Colpire si evince paesi occidentali, ed uno Lo scenario internetavanzati era molto diverso da ragioni citatedei precedentemente. per che la terziarizzaEurope per WatchGuard zione, in particolare housing e hosting, è motivi è dato dai possibili problemi di siquello odierno così come erano diversi i plaprelevare i dati, le identità, il denaro, dal punpiù utilizzata dai rispondenti rispetto a curezza e di privacy che i clienti temono. furto dei dati e all’intrusione nelle infrayer e si tendeva a colpire con attacchi “ad to di vista criminale è più proficuo e genesoluzioni cloud. È instrutture. atto nelle Le tipiche perplessità domande effetto” o davvero tecnicamente complessiincludono ra introiti e vantaggi diretti rispetto a peraziende/enti dovedanni sonodi trattati i miei attacchi dati? e – anche in Italia volti a “far rumore”,quali: provocare impetrare molto più sofisti-un chiaro cambio di quelliI sensibili? mentalità e di percezione nelreport passare a anche un forte aumento affidabile gesti- – ma Dal emerge magine ed effetti simili. catichi e dili impatto a fini differenti. Un dati eranoE’sullo forme di “sourcing”,ma sussiste ancora sce? Sono coinvolti sub-contractor? Sono delle attività di Hacktivism e Cyber Espiesempio di evoluzione e progressione nelle sfondo. Oggi invece la presenza – o dovrei dire onnipresenza – di milioni di utenti, iscritti su qualunque sito e community esistente, i social network, le banche dati, gli aspetti transazionali in rete, quelli commerciali, l’Internet delle cose, rappresentano una ghiotta occasione per i criminali informatici di concentrare le proprie attenzioni su qualcosa di concreto e facilmente “rivendibile” nel mer-

tipologie di attacco, abbiamo avuto modo di illustrarlo con una iniziativa denominata WatchGuard Hack Lab, le cui sessioni video sono fruibili gratuitamente qui: https://www.watchguarditalia.com/hacklab/ dagli attacchi low-level e molto tecnici finalizzati a provocare danni economici indiretti, agli attacchi “moderni” finalizzati al

Information Security n° 25Dicembre mag/giu 2014 Information Security Speciale 2014

Information Security n° 25 mag/giu 2014

Marco R. A. Bozzetti1

del cloud in Italia, pur con un tasso di per EmilioL’adozione Tonelli, Senior Sales Engineer South Europe incremento a due cifre, è ancora lentache si WatchGuard, ci parla dellelimitata nuove esfide rispetto ai avanzati futuro: paesi occidentali, ed unodidei pongono nelpiùprossimo “La presenza milioni motivi è legato ai possibili problemi di sicurezza e di di utenti, iscritti su qualunque sito e community privacy che i clienti temono. Assieme a Marco Bozzetti esistente, i social network, le banche dati, analizziamo il perché rappresenta una ghiotta occasione per i criminali informatici. Oggi è necessario quindi proteggere i dati, non più solo le infrastrutture

onage che registrano una crescita del 22,5% e del 131% rispetto al 2012. Questo è un altro argomento caldo che richiederebbe una lunga dissertazione che sconfina in argomenti non strettamente legati alle tecnologie. Parlo di politica, comportamento sociale e antisociale, attivismo, protesta pacifica e non pacifica. La rete ha

Fig.1 Modalità di gestione del sistema informativo dal campione di rispondenti di OAI 2013 (fonte: Rapporto 2013 OAI)

27 2

CLOUD COMPUTING SECURITY

Fig. 2 Uso di cloud (risposte multiple) dal campione di rispondenti di OAI 2013 che terziarizza (fonte: Rapporto 2013 OAI)

una certa riluttanza nell’uso del cloud per i motivi sopra indicati. Per il cloud l’aspetto “sicurezza” è una competenzacaratteristica tipica del fornitore, che deve riuscire a garantire al cliente il necessario (e richiesto) livello di sicurezza e fiducia. Ma l’azienda/ente cliente di una soluzione cloud deve essere in grado di monitorare i livelli di servizio e di sicurezza che il fornitore realmente eroga ed attua, analizzando anche tutti i rischi informatici dei propri sistemi e dati in cloud, in modo da condividere con il fornitore sia i rischi che le misure di prevenzione e protezione. Dal Rapporto 2013 OAI emerge come l’analisi dei rischi ICT sia effettuata da ben meno di 1/3 dei rispondenti, anche se poco meno del 10% prevede di effettuarla nel prossimo futuro.

Fig. 3 L’analisi dei rischi ICT in Italia (fonte: Rapporto 2013 OAI)

opportuno contratto, ma anche scegliere un provider eticamente corretto e trasparente, ed essere in grado di controllarlo efficacemente insieme all’eventuale sua catena di sub fornitori. Il Garante per la protezione dei dati personali ha emanato una guida per imprese e pubbliche amministrazioni “Cloud computing - proteggere i dati per non cadere dalle nuvole”3 con un utile decalogo da seguire. VULNERABILITÀ ED ATTACCHI TIPICI DEL CLOUD Per il cloud computing esistono tutte le vulnerabilità di un “tradizionale” sistema informatico, dal sistema operativo al middleware, dalle reti alle applicazioni. A queste si aggiungono le vulnerabilità tipiche della virtualizzazione, che è alla base delle soluzioni cloud. Elemento centrale della virtualizzazione è l’hypervisor, il super-monitor che interfaccia l’hardware ed i driver della macchina ospitante (chiamata host). Esistono due tipi di hypervisor: quello “nativo”, chiamato anche bare metal, che opera direttamente sull’hardware del sistema ospitante senza appoggiarsi ad alcun sistema operativo, dato che è lui stesso che ne espleta le funzioni primarie, e quello “hosted”, che si appoggia sull’esistente sistema operativo dell’hardware ospitante. Anche le reti sono (o possono essere) virtualizzate, in particolare le reti locali LAN, Local Area Network, tramite adattatori e switch virtuali. Questo consente ai diversi server virtuali di collegarsi e di comunicare-interoperare con gli altri server virtuali utilizzando gli stessi protocolli che avrebbero usato come server “fisici”, senza dover utilizzare ulteriore hardware specifico. Numerosi sono gli hypervisor presenti ed offerti sul mercato, incluse alcuni open source, ma tutti hanno delle vulnerabilità, come ogni altro sistema operativo. Gli elementi più vulnerabili di una virtualizzazione includono, oltre all’hypervisor sia hosted che nativo, la rete virtuale all’interno del sistema virtualizzato, in particolare per switch ed adapter, la consolle del sistema virtualizzato, gli storage virtualizzati. Il rapporto CSA, Cloud Security Alliance4, di febbraio 20145 dettaglia le nove prin-

Information Security Speciale Dicembre 2014

LE PROBLEMATICHE DELLA PRIVACY IN AMBITO CLOUD L’azienda/ente cliente di una soluzione cloud rimane Titolare del trattamento dati personali, anche se terziarizzata/in cloud, ed il fornitore è, o dovrebbe essere, il Responsabile dei trattamenti a lui affidati: questo ruolo deve essere specificato nel contratto, oltre che effettivamente accettato e svolto dal provider. Essenziale che il Titolare controlli gli stru-

menti di protezione usati dal fornitore per poter garantire i diritti degli Interessati, così come richiesto dalla legge. In ambito cloud uno dei principali problemi di conformità alla privacy riguarda l’ubicazione dei luoghi in cui il trattamento e l’archiviazione dei dati avviene: tali luoghi possono non essere definiti a livello contrattuale, e comunque possono variare, anche in funzione di esigenze operative del fornitore. I dati personali possono essere trattati al di fuori della area economica europea solo se il provider si attiene a precise regole per la privacy (meglio se dettate da una legislazione nazionale) analoghe a quelle della Comunità Europea. Il problema della privacy è aggravato dalla possibilità che il cloud provider a sua volta terziarizzi ad altri fornitori, che non garantiscono i livelli di servizio e di sicurezza richiesti e tanto meno sono “compliant” alle normative italiane-europee. Si può di fatto creare una “catena” di cloud provider, ad esempio un provider SaaS che utilizza una o più infrastrutture di diversi provider IaaS, di cui il cliente nemmeno è a conoscenza e che ben difficilmente può controllare e monitorare. Per poter gestire correttamente simili situazioni non solo occorre stipulare un

SPECIALE CYBERCRIME

SPECIALESECURITY CYBERCRIME CLOUD COMPUTING

cipali minacce per il cloud: data breaches, data loss, account hijacking, insecure APIs, malicious insiders, abuse of cloud services, insufficient “due diligence”, shared technology issues. Considerando gli attacchi rilevati nel passato anche recente ai più importanti cloud provider quelli più diffusi riguardavano la saturazione di risorse (il DDoS, Distributed Denial of Service) usando vulnerabilità dei protocolli NTP, Network Time Protocol, SMTP, Simple Mail Transfer Protocol, e DNS, Domain Name System. QUALI PRECAUZIONI PRENDERE? La sicurezza assoluta non esiste, anche se delegata ad un fornitore di servizi, ed occorre sempre considerare la possibilità di attacchi ed incidenti. Tutte le misure di prevenzione, protezione e ripristino, sia tecniche che organizzative, per un sistema ICT6 dovrebbero essere applicate a soluzioni cloud. Ma è il fornitore che le deve attuare realmente, il cliente può solo verificarle. E’ quindi fondamentale non firmare ad occhi chiusi un contratto con un fornitore di cloud, e soprattutto verificare, almeno di tanto in tanto, che il provider eroghi i servizi cloud come da contratto: non è pensabile disinteressarsi dei servizi acquisiti, assumendo che il fornitore operi come concordato. Su Internet si trovano numerose guide e buone pratiche elaborate da Aziende, Enti ed Associazioni su come scegliere il fornitore più idoneo e su come impostare e gestire i livelli di sicurezza ed il contratto. Tra queste una “Guida al Cloud”, liberamente scaricabile dal mio sito web7 nella colonna di destra, e due webinar complementari alla suddetta guida, inti-

tolati rispettivamente “Dalla teoria alla pratica: come valutare la convenienza di una soluzione cloud8” e “Contratti ICT con SLA e vincoli legislativi: come gestirli in maniera vincente9”. Per problemi di spazio in questo articolo si rimanda per approfondimenti alla guida ed ai webinar citati, oltre alle altre guide scaricabili da Internet. Un ulteriore aiuto nella scelta del provider cloud è dato, a livello mondiale, dalla CSA Smart, la certificazione per i Cloud Service Provider di CSA, Cloud Security Association. CSA Smart è un’iniziativa industriale che consente di certificare in maniera autorevole, globale ed affidabile i provider di cloud , integrando anche standard e buone pratiche quali ISO27001 e AICPA SSAE 16 - SOC2.10 Come illustrato nella fig. 4, CSA Star è strutturata sui seguenti livelli: • Livello 1: autovalutazione del fornitore di cloud sulla base di un framework per i controlli di sicurezza in cloud, sul loro assessment, sull’automazione delle procedure di controllo e sulla real-time gestione in tempo reale del GRC, Governance Risk Compliance (GRC Stack). I fornitori di cloud si autocertificano nel CSA STAR Registry, accessibile ed utile per chi intende essere informato sul livello di sicurezza in essere presso i diversi fornitori; alla data sono presenti in questo Registro più di 50 aziende; • Livello 2: certificazione a terze parti del fornitore, sulla base dello standard ISO/IEC 27001:2005 integrato con la specifica check list CSA Cloud Control Matrix che prevede ulteriori 11 aree di

NOTE 1 Marco Rodolfo Alessandro Bozzetti è CEO di Malabo Srl, società di consulenza e servizi ICT (www.malaboadvisoring.it) ed ha un’esperienza quarantennale nel settore ICT presso grandi aziende dell’offerta quali Olivetti e Italtel, e della consulenza, quali Arthur Andersen Management Consultants, GEA e GeaLab. E’ stato il primo CIO per l’intero Gruppo ENI. Past President del ClubTi di Milano, di FidaInform e di Sicurforum-FTI, ideatore e curatore di OAI, Osservatorio Attacchi Informatici in Italia, e di EAC, Enterprise Architecture Conference, è attualmente nel Consiglio Direttivo di AIPSI e di FIDAInform, oltre che socio di Prospera. 2 L’iniziativa OAI, Osservatorio Attacchi Informatici in Italia, è l’indagine on line via web sugli attacchi informatici a livello nazionale su tutti i settori merceologici che produce annualmente una Rapporto. Per maggiori informazioni sui Rapporti OAI si veda www.malaboadvisoring.it/index.php?option=co m_content&view=article&id=24&Itemid=48 3 http://194.242.234.211/documents/10160/ 2052659/CLOUD+COMPUTING++Proteggere+i+dati+per+non+cadere+dalle+n uvole+-+sing.pdf 4 http://cloudsecurityalliance.it/ 5 The Notorious Nine: Cloud Computing Top Threats in 2013, si veda https://downloads.cloudsecurityalliance.org/init iatives/top_threats/The_Notorious_Nine_Cloud _Computing_Top_Threats_in_2013.pdf 6 Per un inquadramento anche di taglio manageriale delle misure di scurezza si rimanda al recente libro pubblicato dall’autore con Francesco Zambon “Sicurezza Digitale Una guida per governare un sistema informatico sicuro”, ISBN 0788890890109. 7 http://www.malaboadvisoring.it/ 8 http://blog.seeweb.it/webinar-perche-passareal-cloud-conviene/ 9 http://blog.seeweb.it/come-scegliere-ilprovider/?utm_source=rss&utm_medium=rss& utm_campaign=come-scegliere-il-provider 10 http://www.aicpa.org/interestareas/frc/ assuranceadvisoryservices/pages/sorhome.aspx

Information Security n° 25Dicembre mag/giu 2014 Information Security Speciale 2014

Fig. 4 Schema della struttura di certificazione Star (Fonte: CSA)

controllo. Questo schema di certificazione è anche “compliant” con gli standard ISO 17021, ISO 27006, ISO 19011. CSA ha una partnership con British Standard Institution ma questa certificazione potrà essere attuata anche da altri enti di certificazione. Iniziano ad essere certificati a questo livello i primi fornitori quali HP e Pulsant; • Livello 3: dal 2015 CSA prevede che alcuni fornitori certificati siano monitorati sistematicamente e continuamente, per poter garantire una effettivo e stabile livello di sicurezza. 

29 4

SPECIALEWEB CYBERCRIME SECURITY

SICUREZZA DEI SISTEMI INFORMATICI, LE MINACCE SONO IN COSTANTE AUMENTO Vengono rilasciati quotidianamente migliaia di nuovi virus per i quali si rende necessario adottare soluzioni dinamiche che devono essere costantemente aggiornate, ecco perché risulta di estrema importanza prevedere un adeguato piano di difesa. L’Osservatorio Nazionale per la Sicurezza Informatica ci presenta un’analisi statistica relativa alle minacce di sicurezza

minacce, gestire la sicurezza delle reti rappresenta una sfida e richiede capacità di rilevamento intelligente. Le soluzioni devono inoltre seguire un approccio proattivo, anticipando le minacce. Risulta quindi di estrema importanza prevedere un adeguato piano di difesa, anche per realtà medio piccole che solitamente si illudono di essere immuni dalle attenzioni degli attaccanti. Proteggersi investendo sulla sicurezza informatica non è più un’opzione, ma è divenuta necessità imprescindibile. L’Osservatorio Nazionale per la Sicurezza Informatica presenta alcuni dati di interesse raccolti da un’analisi statistica relativa alle minacce di sicurezza rilevate dai sistemi di monitoraggio di infrastrutture protette da Yarix, azienda leader nel settore e punto di riferimento per realtà pubbliche e private italiane. Il campione preso in esame contiene realtà collegate a svariati ambiti operazionali: manifatturiero, pubbliche amministrazioni, sanità e servizi. L’analisi condotta è relativa al primo tri-

mestre del 2014 e mira ad evidenziare i trend delle minacce affrontate, offrendo una disamina che aiuta aziende e organizzazioni ad approcciarsi correttamente alle problematiche della sicurezza. ATTACCHI E STRATEGIE AZIENDALI DI COLLOCAZIONE SERVIZI La prima parte dello studio si focalizza sui dati raccolti dall’anello di protezione esterno, principalmente firewall e IDS (Intrusion detection system). In questo ambito è necessario distinguere due macrocategorie: • Infrastrutture che gestiscono internamente importanti servizi, quali ad esempio ftpserver, webserver e mailserver. • Sistemi aziendali che affidano i servizi critici a datacenter esterni. Com’è logico aspettarsi, le reti che hanno servizi pubblicati verso l’esterno risultano essere maggiormente esposte ad attacchi. Il grafico seguente illustra, in percentuale, le varie categorie di attività sospette rilevate dalle appliance di pro-

Information Security n° 25Dicembre mag/giu 2014 Information Security Speciale 2014

Con circa 6787 vulnerabilità accertate nell’anno 2013, anche per il 2014 il mondo IT security è costantemente impegnato nella protezione dei propri sistemi e nella ricerca di adeguati mezzi di prevenzione. Le sfide che si trovano ad affrontare gli esperti di sicurezza sono costantemente in aumento e l’ammontare delle minacce si rivela essere in costante crescita anche per il 2014, con un tasso maggiore rispetto al 2013. Prendendo come categoria di riferimento i malware, le statistiche calcolate su base mondiale rivelano per il mese di gennaio 2014 più di 9 milioni minacce attive rispetto ai 7,5 milioni diagnosticati nello stesso mese del 2013. Le minacce all’IT security sono aumentate e si sono evolute divenendo sempre più complesse, intelligenti e difficili da rilevare. Vengono rilasciati quotidianamente migliaia di nuovi virus per i quali si rende necessario adottare soluzioni dinamiche che devono essere costantemente aggiornate. A causa della continua evoluzione delle

Davide Gastaldon

Security Analyst di Rivoira

35 5

SPECIALE CYBERCRIME

WEB SECURITY

tezione perimetrale. Si notano in particolare molti alert che suggeriscono la presenza di possibili azioni di port scanning. Questo tipo di attività è il primo passo per portare a compimento un attacco e mira ad analizzare il profilo che la rete aziendale fornisce all’esterno, ricercando eventuali varchi nei sistemi di protezione e vulnerabilità nei servizi che la rete offre pubblicamente. L’analisi ha evidenziato una media giornaliera di 12 scansioni provenienti da IP diversi. Questi IP appartengono per il 50% a blacklist note e già individuate, il restante 50% è suddiviso tra IP non ap-

partenenti a liste pubbliche di indirizzi noti per il 30%, mentre il rimanente 20% appartiene alla rete TOR. Di seguito un grafico che riassume le conclusioni appena esposte. Le blacklist sono liste, pubbliche e liberamente consultabili, che contengono al loro interno una serie di IP riconosciuti come malevoli; di norma ne fanno parte indirizzi rilevati come distributori di spam o appartenenti a botnet. La diffusione delle botnet sta aumentando rapidamente per la particolare capacità di nascondersi. Si tratta di reti formate da computer infetti, sparsi nel pianeta e appartenenti alle più diverse re-

Information Security Speciale Dicembre 2014

altà, che collaborano sotto la guida di un centro di commando e controllo per portare a compimento attacchi informatici dei più svariati tipi. Una volta infettati, i pc, in gergo definiti zombie, vengono principalmente usati per compiere attività di bitcoin mining, click fraud, attacchi DDoS ma soprattutto per rubare dati sensibili salvati all’interno del pc. Per bitcoin mining si intende la generazione di bitcoin, la nuova moneta elettronica che sta prendendo sempre più piede. L’attività definita come click fraud mira a compromettere un client per aumentare il profitto di tutte quelle pubblicità online che adottano la soluzione pay-perclick. Ulteriore approfondimento merita la provenienza di IP sconosciuti. In questa categoria rientrano gli IP rilevati come sorgenti del port scan, ma che non sono presenti all’interno delle liste liberamente disponibili. Il grafico successivo mostra la loro provenienza geografica. Un’ulteriore interessante considerazione riguarda il raffronto tra le realtà che eseguono periodicamente delle analisi delle vulnerabilità sul profilo esterno, cioè sui servizi che rendono disponibili verso la rete mondiale, e quelle che non eseguono tale verifica in maniera periodica e approfondita. Le infrastrutture costantemente monitorate, e quindi aggiornate e protette anche dalle ultime vulnerabilità emerse, sono comunque sottoposte ad attività di port scanning o a tentativi di attacco, ma tali attività hanno una durata temporale molto limitata. Tale evidenza conferma la necessità di eseguire controlli periodici sui servizi pubblicati esternamente, in modo da ridurre l’appetibilità dei sistemi agli occhi degli attaccanti esterni. Per quanto riguarda le infrastrutture che non pubblicano servizi verso l’esterno, le minacce rilevate decrescono fino a circa il 10% degli alert nei sistemi di protezione rispetto a quanto visto prima. Il seguente grafico illustra le proporzioni tra le due macrocategorie di cui sopra: • Servizi pubblicati rete interna: categoria di organizzazioni che per scelta strategico-aziendale decidono di pubblicare i servizi volti al pubblico tramite la loro infrastruttura IT interna,

“

aprendo così l’accesso da internet verso i propri sistemi. • Servizi affidati a datacenter esterni: categoria di aziende che decidono di esternalizzare i propri servizi volti al

SPECIALEWEB CYBERCRIME SECURITY

Il campione preso in esame contiene realtà collegate a svariati ambiti operazionali: manifatturiero, pubbliche amministrazioni, sanità e servizi. Ecco i risultati del primo trimestre 2014

”

tano all’interno della rete forti politiche di controllo sulla navigazione verso l’esterno e sull’utilizzo di dispositivi personali come le chiavette USB. • Realtà con un approccio meno restrittivo che consente utilizzo libero della navigazione e dei dispositivi personali. Nel secondo caso il numero di tentativi di infezione bloccati dai sistemi interni, quali antivirus e antispyware, sono statisticamente molto più significativi, con una media di 5,81 rilevamenti al giorno, durante il periodo considerato, contro una media di 0,8 rilevamenti giornalieri. Di seguito vengono evidenziate le tipologie dei virus bloccati. Le molteplici soluzioni antivirus adottate permettono di definire metodi e tempi di scansione utilizzati, che con-

pubblico appoggiandosi a infrastrutture dedicate come i data center ove sono offerte garanzie di SLA (Service Level Agreement) spesso superiori al 99,95 %. MINACCE La parte seguente del report si focalizza sui dati forniti dai sistemi come antivirus e antimalware sulle minacce rilevate e gestite nelle varie infrastrutture.

Anche in questo caso si possono suddividere le varie realtà in due macrocategorie sulla base delle scelte operate da chi gestisce l’infrastruttura: • Organizzazioni che implemen-

Information Security n° 25Dicembre mag/giu 2014 Information Security Speciale 2014

fluiscono essenzialmente in template comuni: 1. Real time scan, ovvero scansioni eseguite in background dall’antivirus ogni volta in cui un file viene ricevuto, scaricato, aperto o modificato. 2. Scansioni manuali, avviate dall’utente su un insieme limitato di file. 3. Scansioni schedulate, pianificate dall’amministratore o dall’utente che utilizza il client. 4. Scansioni dell’amministratore, gestite dall’amministratore di sistema o di rete, volte alla ricerca di particolari file in uno o più client dell’infrastruttura.

37 7

SPECIALE CYBERCRIME

WEB SECURITY

dite di tempo, sia per mitigare uno dei principali vettori di attacco. In media, per ogni indirizzo email, vengono rilevati circa 8 messaggi al giorno classificati come spam. Com’è prevedibile, la problematica riguarda in maniera vistosa tutti quegli indirizzi che per loro natura sono pubblici, come le caselle info@. Tolta questa categoria, la media si abbassa sensibilmente fino a circa 4 messaggi al giorno. E’ interessante evidenziare un significativo dato emerso: circa il 45% dei messaggi di spam hanno come fine il phishing, il 15% contiene eseguibili, mentre la restante parte sia a scopo pubblicitario. Il seguente grafico illustra la proporzione: Interessante risulta essere anche la provenienza dei messaggi:

preferenze dei browser alla raccolta di informazioni sensibili utili a tracciare il comportamento dell’utente durante la navigazione web. SPAM Come ulteriore analisi, si propongono alcuni grafici esplicativi delle risultanze emerse dall’analisi dei filtri antispam, utili a comprendere la portata del fenomeno e ad evidenziare come un’adeguata protezione dalla posta indesiderata sia necessaria, sia per evitare costose per-

RANSOMWARE Le analisi condotte hanno evidenziato che il pericolo ransomware non è cessato. Solamente nel mese di marzo 2014, Yarix è intervenuta in 2 casi di incident response per mitigare i danni prodotti da infezioni a scopo di riscatto. In questi episodi i vettori di infezione sono risultati essere: • Vulnerabilità sui servizi pubblicati via web non adeguatamente gestite, che hanno portato all’infiltrazione del ransomware. • Esecuzione da parte dell’utente di un

Information Security Speciale Dicembre 2014

Tali template vengono definiti per raggiungere un compromesso tra libertà di utilizzo del sistema e livello di protezione. Alcuni tipi di scansioni sono adatte ad essere eseguite su client con configurazioni HW datate, che non permettono una politica di scansione in tempo reale in background senza diminuire le performance fornite all’utente. Le infezioni rilevate vengono suddivise in base al momento e al tipo di scansione che ne ha accertato la presenza. Di seguito le risultanze basate sulle tipologie delle scansioni. E’ interessante evidenziare come le scansioni dell’amministratore e le scansioni manuali nell’80% dei casi risultino essere avviate dopo una segnalazione ricevuta attraverso controlli schedulati o in tempo reale. Altro dato interessante viene fornito dalla categoria dei spyware, ossia tutti quei malware appositamente progettati per tracciare il comportamento degli utenti durante la navigazione web, e che possono arrivare perfino a proporre pubblicità e a modificare preferiti, estensioni e barre di ricerca dei principali browser. Tali tipi di infezioni, anche se generalmente sono viste con meno preoccupazione rispetto al rilevamento di virus, non sono da sottovalutare in quanto portano ad una serie di malfunzionamenti che spaziano dalla semplice modifica della

“

file ricevuto per posta elettronica, contente codice malevolo. Le varianti del ransomware riscontrate sono le seguenti: • Trojan.Win32.FakeGdF, che propone all’utente una falsa schermata di blocco riportante falsi loghi e codice della

SPECIALEWEB CYBERCRIME SECURITY

Tentativi di attacchi basati su ingegneria sociale, specialmente tramite phishing, continuano ad essere usati, unitamente ad attacchi di tipo APT (Advanced Persistente Threats) con complessità di rilevamento sempre maggiore

”

porto, come ad esempio alcuni sistemi operativi Microsoft, ancora largamente utilizzati. Tentativi di attacchi basati su ingegneria sociale, specialmente tramite phishing, continuano ad essere usati, unitamente ad attacchi di tipo APT (Advanced Persistente Threats) con complessità di rilevamento sempre maggiore. Da non sottovalutare infine il recente alert noto come Heartbleed e associato al bug dell’Open SSL. La scoperta di questa vulnerabilità è subito stata seguita da una serie di contromisure, quali patch dei sistemi e relativo cambio password (tale falla esisteva infatti da circa due anni). Tutto ciò per quanto riguarda l’ambito WAN: ma cosa è stato fatto in ambito LAN, dove spesso i sistemi sono paradossalmente più critici, guardia di finanza e della polizia postale italiana; • Win32/Crilock.A, comunemente conosciuto come cryptolocker, una delle prime versioni del malware. In altri casi il security team Yarix è intervenuto per debellare malware rivelatisi dopo che gli IP pubblici in dotazione all’azienda erano finiti in blacklist a causa di pc infetti che provocavano traffico anomalo. Le cause di queste situazioni sono da attribuirsi sia ad una configurazione errata delle difese perimetrali, sia all’ese-

cuzione di software malevolo da parte di utenti senza restrizioni sulla navigazione e sull’utilizzo dei dispositivi personali. Altre tipologie di intervento si sono rese necessarie per bonificare servizi, come ad esempio siti web violati e successivamente utilizzati come testa di ponte per portare altri attacchi.

meno aggiornati e spesso poco monitorati? Non si può escludere che venga diffuso del malware che sfrutti tale falla in ambito LAN per rilevare informazioni sensibili come password di amministrazione e successivamente infettare i sistemi interni delle reti dove spesso le password si ripetono.  Maggiori informazioni nel sito http://www.osservatoriosicurezzainformatica.org/ L’Osservatorio Nazionale per la Sicurezza Informatica è anche su Facebook e Twitter.

Information Security n° 25Dicembre mag/giu 2014 Information Security Speciale 2014

CONCLUSIONI E PROSPETTIVE L’analisi svolta evidenzia per il 2014 la necessità di mantenere costantemente aggiornati i propri sistemi come conditio sine qua non per garantire l’operatività e l’efficienza dell’infrastruttura, unitamente ad un adeguato piano di controlli e verifiche sui sistemi aziendali, a partire dai servizi necessari al core business per estendersi in maniera capillare a tutte le zone dell’architettura informatica. Particolare attenzione va posta alla necessità di un’adeguata politica di contenimento delle minacce rivolte ai prodotti in scadenza di sup-

39 9

(MOLTO) PIÙ CATTIVO

lia Mazzoni

BUSINESS SOLUTION

CARM, LA NUOVA FRONTIERA DELLA SICUREZZA INFORMATICA DI EXCLUSIVE NETWORKS

Direttore Responsabile

Emilio Tonelli, Senior Sales Engineer South Europe per WatchGuard, ci parla delle nuove sfide che si pongono nel prossimo futuro: “La presenza di milioni di utenti, iscritti su qualunque sito e community esistente, i social network, le banche dati, rappresenta una ghiotta occasione per i criminali informatici. Oggi è necessario quindi proteggere i dati, non più solo le infrastrutture

cato degli illeciti. Questa è la sfida della siSicurezza informatica. Un problema curezza informatica oggi e nei prossimi anni: sempre più pressante anche, e soprattutproteggere i dati, non più solo le infrato, alla luce della crescita esponenziale del strutture. cosiddetto ‘crimine informatico’. Dottor Tonelli ci aiuti a fare il punto della situazione. Il Rapporto Clusit 2014, presentato al Se- CYBER ATTACK REMEDIATION & MITIGATION Finalmente i dati sono protagonisti. Cosa incurity Summit di Milano, indica come il tendo? Fino a non molto tempo fa, quanCybercrime sia la causa della maggior pardo si parlava di sicurezza informatica, gli atwww.exclusive-networks.it te degli attacchi (oltre il 50%) nel 2013, tacchi e gli interessi criminali erano concon una crescita del 258% in due anni. centrati in altre aree (come ad esempio gli Stento a non credere sia così, proprio per le attacchi di defacing, DoS, DDoS e cosi via). Emilio Tonelli, Senior Sales Engineer South Lo scenario internet era molto diverso da ragioni citate precedentemente. Colpire per Europe per WatchGuard quello odierno così come erano diversi i plaprelevare i dati, le identità, il denaro, dal punfurto deilie,dati e all’intrusione enelle infrayer e si tendeva a ssere colpire con attacchi “ad to criminale delle è più proficuo e geneall’avanguardia perdi vista venzione eventuali violazioni identificazione classificazione strutture. effetto” o davveroExclusive tecnicamente complessi ra introiti e vantaggi diretti rispetto a perNetworks non si- ma trascurano di organizzare rispo- rapida degli incidenti, rapida formuvolti a “far rumore”, provocare danni di impetrare – anche molto più sofisti- in cui, gnifica semplicemente es- attacchi ste adeguate nel momento lazione di una risposta, e report per Dal report emergeautomaticamente anche un forte aumento magine ed effetti sere simili.inI dati cati e di come impatto – ma a finiaccade, differenti. Un erano grado di sullo rispondere purtroppo l’intrusione avviare il processo delle attività di Hacktivism e Cyber Espi- isoesempioabbia di evoluzione e progressione nelle sfondo. Oggi invece la esigenze presenza –dio mercato dovrei con alle avuto successo. di protezione, identificazione, onage abbiamo avuto modo dire onnipresenza –soluzioni di milioni diappropriate utenti, iscrit- ed tipologie registrano una ecrescita del CARM ef- Indi attacco, tale contesto, la proposta di che lamento, risposta bonifica. illustrarlo con unaNetworks iniziativa denominata ti su qualunque sito e community 22,5% eriunisce del 131% rispetto al 2012. di Arbor ficaci, bensì riuscire aesistenprevederedi le Exclusive è CARM (Cyber le migliori soluzioni te, i socialnecessità network, ledibanche dati, gli aspetQuesto èNetworks, un altro argomento caldo che ri-ImperWatchGuard Hack Lab, le cui sessioni video un settore in continua Attack Remediation and Mitigation), FireEye, ForeScout, ti transazionali in rete, quelli commerciali, l’In- Sicuchiederebbe una lunga dissertazione che sono una fruibili gratuitamente qui:diverse evoluzione come quello della piattaforma che integra va, LogRhythm e Palo Alto Networks, ternet delle cose, rappresentano una ghiotsconfina in argomenti non strettamente le- tale https://www.watchguarditalia.com/hackrezza Informatica. Oggigiorno il tema soluzioni che affrontano le proble- combinandoli tra loro in modo ta occasione perdella i criminali informatici di con-dubbio gati alleda tecnologie. di politica, comlab/ daglimatiche attacchi che low-level e molto caldo IT security è senza seguono unatecniviolazione potersi Parlo integrare perfettamente centrare ille Cybercrime. proprie attenzioni su qualcosa di infatti portamento e antisociale, attivismo,preesici finalizzati a provocare danni economici in- non Sono numerosi qualora le difese messe in campo in unsociale ecosistema di sicurezza concretoi efattori facilmente protestastente, pacificanon e nonvanificando pacifica. La rete ha diretti, agli attacchi “moderni” finalizzati al nel anni mer- hanno che“rivendibile” negli ultimi siano state in grado di identificare o sostituen-

la minaccia. L’unicità di CARM sta nell’offrire una protezione dall’interno all’esterno della rete aziendale (accanto alla più tradizionale “dall’esterno all’interno”), che si rivela aspetto fondamentale nell’affrontare gli APT. Essi infatti, possono annidarsi inosservati nell’infrastruttura ICT continuando a inviare dati chiave all’esterno della rete. CARM identifica l’esportazione di tutti i dati e può verificare se queste informazioni sono contrarie alle policy aziendali e ai profili utenti offrendo monitoraggio in tempo reale, analisi su vasta scala con rilevazione anoma-

do gli investimenti già realizzati ma valorizzandoli e potenziandoli.

Exclusive Networks si conferma quindi come punto di riferimento nel mercato quando si parla di sicurezza ‘post breech’, grazie all’intuizione di aver sviluppato una piattaforma di soluzioni perfettamente integrate. CARM mette a disposizione dei clienti le tecnologie più avanzate nei diversi ambiti in una soluzione completa che permette alle organizzazioni di identificare, contenere, rispondere, rimediare e mitigare l’impatto degli attacchi.

Information Security Speciale Dicembre 2014

portato a un significativo aumento nella frequenza e nella gravità degli attacchi ai sistemi informativi aziendali. Tra questi il crescente numero dei device collegati all’infrastruttura ICT aziendale con le relative policy ‘Bring Your Own Device’ (BYOD) adottate, le nuove opportunità offerte agli attacchi esterni dai servizi Cloud, la presenza di minacce sempre più sofisticate e quindi sempre più difficili da contrastare, come ad esempio combinazioni delle tecniche chiamate comunemente Advanced Persistent Threats (APTs). Le aziende spesso si concentrano solo sulla pre-

SCENARI SPECIALE CYBERCRIME

SCENARI

IL MALWARE IL M IL MALWARE DIVEN IL MALWARE DIVENTERÀ DIVENTERÀ (MOLTO) (MO (MOLTO) PIÙ CATTIV (MOLTO) PIÙ CATTIVO PIÙ CATTIVO

Emilio Tonelli, Senior Europe per Senior Sales En Emilio Tonelli, Senior SalesEmilio EngineerTonelli, South Europe per Sales Engineer South WatchGuard, ci parla delle nuove sfideWatchGuard, che si WatchGuard, ci parl ci parla delle nuove sfide che si pongono nel prossimo futuro: “La presenza di milioni pongono nel prossimo futur pongono nel prossimo futuro: “La presenza di milioni di utenti, iscritti su qualunque sito e community di utenti, iscritti su qua di utenti, iscritti su qualunque sito e community esistente, i social network, le banche dati, esistente, i social network, le banche dati,esistente, i social rappresenta una ghiotta occasione per i criminali informatici. Oggi è necessario quindi proteggere iuna ghiotta occasione per i criminali Maria Maria GiuliaGiulia Mazzoni Mazzoni rappresenta una ghiotta rappresenta Direttore Direttore dati, non più solo le infrastrutture Maria Giulia Mazzoni Maria Giulia Mazzoni informatici. Oggi èResponsabile neces

dati, non

Information Security n° 25 mag/giu 2014

Sicurezza in sempre più pres cato degli illeciti. Questa è la sfida della siSicurezza informatica. Un problema cato degli illeciti. Questa è la sfida della sito, alla luce della curezza informatica oggi e nei prossimi anni: pressante anche, e soprattutcurezza informatica oggi e nei sempre prossimi più anni: cosiddetto proteggere i dati, non più solo le ‘crimin infrato, alla della crescita esponenziale del proteggere i dati, non più solo le luce infranelli ci aiuti a far strutture. cosiddetto ‘crimine informatico’ . Dottor Tostrutture. Finalmente i dati nelli ci aiuti a fare il punto della situazione. tendo? Fino no Il Rapporto Clusit 2014, presentato al aSeFinalmente i dati sono protagonisti. Cosa inIl Rapporto Clusit 2014, presentato al Sedo si parlava di curity Summit di Milano, indica come siil tendo? Finoila non molto tempo fa, quancurity Summit di Milano, indica come tacchi e gli parinte Cybercrime sia la causa della maggior do si parlava di sicurezza informatica, gli atCybercrime sia la causa della maggior parcentrati in altre a te degli attacchi (oltre il 50%) nel 2013, tacchi e gli interessi criminali erano conte degli attacchi (oltre il 50%) nel 2013, attacchi di defac con una crescita del 258% in due anni. in altre aree (come ad esempio gli con una crescita del 258% centrati in due anni. Lo proprio scenarioper inte Stento a non credere sia così, di defacing, DoS, DDoS e cosi via). le Stento a non credere sia così, attacchi proprio per le Emilio Tonelli, Senior SalesdaEngineer South quello odierno co Lo scenario internet era molto diverso ragioni citate precedentemente. Colpire per ragioni citate precedentemente. Colpire per Europe per WatchGuard e si tendeva quellodal odierno prelevare i dati, le identità, ilyer denaro, dal punprelevare i dati, le identità, il denaro, pun- così come erano diversi i plaeffetto” yer e si tendeva afurto colpire “ad tonelle di vista criminale è più proficuo oe davver genedeicon datiattacchi e all’intrusione infrato di vista criminale è più proficuo e genevolti a “fararumor effetto”aoperdavverostrutture. tecnicamente complessi ra introiti e vantaggi diretti rispetto perra introiti e vantaggi diretti rispetto magine effett volti “far rumore”, provocare danni di impetrare attacchi – anche molto piùedsofistipetrare attacchi – anche molto piùa sofistisfondo. Oggi Un inv edUn effettiDal simili. I dati cati eaumento di impatto – ma a fini differenti. eranoanche sulloun forte report emerge cati e di impatto – ma a fini magine differenti. dire onnipresenza di evoluzione e progressione nelle sfondo. Oggi la presenza o dovrei eesempio delle attività di– Hacktivism Cyber Espiesempio di evoluzione e progressione nelle invece ti suavuto qualunque attacco, abbiamo modo onnipresenza di milioni utenti, iscrit-una tipologie chedi registrano crescita didel tipologie di attacco, abbiamodire avuto modo –onage te, i social networ di illustrarlo con una iniziativa ti su qualunque sito e community esistendenominata 22,5% e del 131% rispetto al 2012. di illustrarlo con una iniziativa denominata ti transazionali in te, i social network,Questo le banche gliargomento aspetWatchGuard sessioni video è undati, altro WatchGuard Hack Lab, le cui sessioni video caldo che ri-Hack Lab, le cui ternet delle cose, ti transazionali quelli commerciali, l’In- dissertazione sono fruibili gratuitamente qui: sono fruibili gratuitamente qui: in rete, chiederebbe una lunga che ta occasione per i ternet delle cose, rappresentano una ghiothttps://www.watchguarditalia.com/hacksconfina in argomenti non strettamente lehttps://www.watchguarditalia.com/hackcentrare le tecnipropri ta occasione per i criminali informatici di conlab/ dagli attacchi low-level e molto gati alle tecnologie. Parlo di politica, comlab/ dagli attacchi low-level e molto tecniconcreto e facilm centrare le proprie attenzioni su qualcosa di ci finalizzati a provocare danni economici inportamento sociale e antisociale, attivismo, ci finalizzati a provocare danni economici ine facilmente diretti, agli ha attacchi “moderni” finalizzati al “rivendibile” mer-pacifica. protesta pacificanel e non La rete diretti, agli attacchi “moderni”concreto finalizzati al

Information Security Speciale Dicembre 2014

Sicurezza informatica. Un problema sempre più pressante anche, e soprattutto, alla luce della crescita esponenziale del cosiddetto ‘crimine informatico’. Dottor Tonelli ci aiuti a fare il punto della situazione. Finalmente i dati sono protagonisti. Cosa intendo? Fino a non molto tempo fa, quando si parlava di sicurezza informatica, gli attacchi e gli interessi criminali erano concentrati in altre aree (come ad esempio gli attacchi di defacing, DoS, DDoS e cosi via). Lo scenario internet era molto diverso da quello odierno così come erano diversi i player e si tendeva a colpire con attacchi “ad effetto” o davvero tecnicamente complessi volti a “far rumore”, provocare danni di immagine ed effetti simili. I dati erano sullo sfondo. Oggi invece la presenza – o dovrei dire onnipresenza – di milioni di utenti, iscritti su qualunque sito e community esistente, i social network, le banche dati, gli aspetti transazionali in rete, quelli commerciali, l’Internet delle cose, rappresentano una ghiotta occasione per i criminali informatici di concentrare le proprie attenzioni su qualcosa di concreto e facilmente “rivendibile” nel mer-

informatici. Oggi è necessario quindi proteggere i Direttore Responsabile Responsabile dati, non più solo le infrastrutture

Information Security n° 25 mag/giu 2014

Direttore Responsabile

“

cambiato per sempre il modo di acquistare, di relazionarsi, di comunicare tra i cittadini e ora anche di interagire con (o anche contro) le istituzioni. La rete ha anche cambiato, abbattendoli completamente, i confini geografici e politici del nostro pianeta. Nato come manifestazione di disobbedienza civile in qualche modo innovativa, l’hacktivism ha messo le radici in un terreno fertile, poco governato e difficilmente governabile ormai come Internet trasformandosi in un fenomeno complesso e delicato e che può essere sfruttato tanto in positivo, quanto in negativo su scala globale per scatenare vere e proprie “guerre digitali” o animare proteste reali ben più movimentate. Così ci si ritrova con estrema rapidità ad entrare in contatto con gli attivisti del gruppo X che sostengono la causa Y in un certo Paese Z e che ricambiano simpatizzando per le proprie e tutto questo richiede del coordinamento e delle infrastrutture (server, supporto, strumenti). Qui entrano in gioco proprio gli hacktivist il cui scopo è quello di mettere a disposizione strumenti e competenze per i fini più disparati supportando cause che arrivano anche a mettere in discussione e in imbarazzo governi, multinazionali, ecc. Da una giusta causa, una protesta pacifica a vere e proprie azioni di spionaggio in rete, atti criminali o a mettersi al servizio delle cause sbagliate, il passo può essere breve.

L’immunità non esiste, purtroppo. Per diminuire i rischi invece bisogna agire d’anticipo lavorando sulle infrastrutture, sui sistemi di protezione sulle procedure d’uso e fruizione

brano piccoli e insignificanti, ma in realtà il 3% del totale degli attacchi, rispetto alla quantità delle infrastrutture critiche (che non sono tante quanto tutti gli altri servizi) è un numero che inizia a diventare piuttosto rilevante invece. Per quanto riguarda la classificazione degli attacchi in base alle tecniche utilizzate, spicca un ulteriore incremento degli attacchi DDoS che crescono in maniera esponenziale rispetto agli scorsi anni e costituiscono il 14% degli eventi noti. Sebbene i grandi volumi di attacchi si concentrino sui dati, DoD e DDoS in paricolare continuano ad avere la propria validità e il proprio peso per gli effetti indiretti – devastanti – che causano alle vittime. Interrompere o rendere infruibile un servizio, magari critico, causa danni economici e reali molto gravi.

Interessante, se così si può dire, l’aumento di attacchi basati su Account Cracking e soprattutto della categoria APT (Advanced Persistent Threats) che passa dal 1% del 2012 al 6% del 2013. Il tema delle APT è un tema a cui WatchGuard è molto sensibile. Abbiamo rilevato anche noi un aumento di queste minacce e riteniamo essere un protezione così importante da richiedere un motore dedicato sui nostri apparati perimetrali. Il fenomeno rientra nell’insieme dei processi complessi e continuativi utilizzati dai cybercriminali per dotarsi di un bacino di host pronti e usabili sia per attingere direttamente ai dati delle vittime sia per riutilizzare le vittime come piattaforme di lancio di altri attacchi a terzi, attacchi a loro volta persistenti. La protezione da queste minacce deve essere necessariamente altrettanto complessa, aggiornata ed efficace. Dott Tonelli, studiare il proprio avversario è senza dubbio importantissimo, ma c’è qualcosa che aziende e Istituzioni possono comunque fare per prevenire, per così dire, i danni? Sicuramente. C’è sempre qualcosa che si può fare: vigilare dotandosi di strumenti di protezione efficienti ed efficaci, aggiornare (o dotarsi) procedure, competenze e conoscenze. Presto, in alcuni ambienti, le prote-

”

zioni e le metodologie implementate nel tempo non saranno più sufficienti, ma bisogna prepararsi da subito o si verrà colti impreparati quando ormai i danni saranno gravi e irreparabili. Effettuare il recovery di un disco o di un server è un danno riparabile, perdere un dato o lasciare che vengo rubato è un danno irreparabile. Data Loss Prevention, APT Blocker e WatchGuard Dimension sono ad esempio alcune risposte che WatchGuard fornisce al mercato.

In questo particolare momento storico quale potrebbe essere la regola d’oro per restare immuni, o per lo meno diminuire il rischio di subire danni gravi in caso di un attacco informatico? L’immunità non esiste, purtroppo. Per diminuire i rischi invece bisogna agire d’anticipo lavorando sulle infrastrutture, sui sistemi di protezione sulle procedure d’uso e fruizione. Non dimentichiamo anche l’aspetto di cultura generale degli utenti: siamo ancora molto indietro e c’è ancora molto da fare su questo fronte per sensibilizzare gli utenti ad un uso più consapevole e sicuro degli strumenti informatici moderni. Potremmo concludere con una riflessione. Il fenomeno globale del crimine informatico presenta aspetti preoccupanti che spingono aziende ed Istituzioni a confrontarsi su un tema sempre più complesso ed in perenne evoluzione. Va da se che giocare d’anticipo potrebbe essere vantaggioso. E’ possibile, oggi, prevedere come evolverà il panorama delle minacce informatiche? Gli scenari di evoluzione sono complessi e piuttosto imprevedibili ma unendo le fonti, l’esperienza pluriennale sul campo e la competenza collettiva delle centinaia di migliaia di clienti, WatchGuard ha ipotizzato una serie di direttrici per il 2014 http://www.watchguard.com/predictions/2014.asp. Sono tutte piuttosto realistiche, tra quelle che mi trovano maggiormente d’accordo: “l’Internet of Things sarà la vittima preferita” e “il malware diventerà più cattivo”, aggiungo molto più cattivo, “gli hacker molesteranno il sistema sanitario”. Sono tre previsioni che condivido e che si collegano splendidamente ai temi oggetto di questa intervista! 

Information Security n° 25Dicembre mag/giu 2014 Information Security Speciale 2014

Un aspetto particolare riguarda quello degli attacchi noti contro Infrastrutture Critiche, che si posizionano al 3% del totale. Se parliamo di guerra digitale, crimini informatici e spionaggio digitale, come in ogni guerra che si possa definire tale, le infrastrutture critiche rappresentano l’obiettivo sensibile per eccellenza. Ogni buon ufficiale militare sa quanto sia importante danneggiare le infrastrutture critiche del nemico per porsi in condizione di superiorità conflittuale. Aggiungiamo a questi elementi tattici la pervasività degli strumenti informatici e della interconnessione alla grande rete e capiamo molto rapidamente che l’esposizione delle infrastrutture critiche oggi è una questione davvero importante, un dato di fatto e prioritaria per la sicurezza di un Paese. Lei si immagina cosa accadrebbe se grazie ad un attacco o a una vulnerabilità di un software riuscissero a paralizzare la rete elettrica o idrica? I numeri relativi ai volumi sem-

SPECIALE CYBERCRIME SCENARI

41 12

SCENARI SPECIALE CYBERCRIME

PRIMO PIANO

PRIMO P

Per affrontare la trasformazione di questo scenario, la sicurezza aziendale deve evolvere per includere risposte veloci, agili e attive, non solo nei confronti delle nuove minacce, ma anche e soprattutto di quelle esistenti. Molte aziende non ci sono ancora riuscite Maria Giulia Mazzoni

Direttore Responsabile

Line of Business Network Integration & Security di Dimension Data Italia

dello di sicurezza che non è più legato al concetto di protezione dei singoli dispositivi ma alla protezione di funzionalità e dati. Senza basi di sicurezza appropriate, le organizzazioni non sono in grado di abilitare le capacità avanzate e dinamiche necessarie per contrastare le nuove minacce. La sicurezza deve essere insita nelle applicazioni che stanno cominciando a diventare portatrici e, in alcuni casi, fonte di rischi aziendali. Non è più tanto una questione di quanto l’applicazione sia sicura ma di come sia stata sviluppata, architettata, configurata e mantenuta nel tempo in modo sicuro. IL MUTEVOLE PANORAMA DELLE MINACCE INFORMATICHE La sicurezza consta di miglioramenti continui, vigilanza e risposte alle dinamiche dei cambiamenti. Alcune recenti violazioni ad alto livello testimoniano la necessità di fondamentali di sicurezza consolidati e di come sia importante osser-

Stefano StefanoPaganelli Paganelli

Sicurezza informatica. Un problema piùbasilari pressante e soprattutvare alcunisempre controlli comeanche, il manalla luce della crescita esponenziale del tenere unato, segmentazione di rete approinformatico’ . Dottor Topriata, un cosiddetto processo ‘crimine dinamico per la genelli ci aiuti a fare il punto della stione delle patch e un processo di rispostasituazione. dati sonoIntelligenprotagonisti. Cosa inagli eventi.Finalmente Il Globali Threat Fino adalle non molto tempo ce Report,tendo? realizzato aziende del fa, quando sitraparlava di sicurezzaData, informatica, gli atgruppo NNT, cui Dimension detacchi e gli interessi criminali erano conscrive come il mutevole mondo delle micentrati in cominciato altre aree (come ad esempio gli nacce abbia appena a impatattacchi di defacing, DoS, aDDoS tare le implementazioni di sicurezza lun- e cosi via). scenario internet era molto diverso da go termineLoe come continuerà a plasmaquello così come erano diversi i plare l’ambito dellaodierno sicurezza informatica e si tendeva a colpire con attacchi “ad aziendale yer in futuro. Mentre il effetto” rischio osidavvero modellatecnicamente dinamica- complessi a “fare rumore”, provocare danni di immente, la volti velocità l’agilità di business, magine ed effetti simili. I dati legate all’elevata mobilità delle nuove or-erano sullo sfondo. Oggi invece la presenza ganizzazioni, hanno modificato profon- – o dovrei onnipresenza – di milioni di utenti, iscritdamente ildire significato e l’impatto dei pasti su qualunque sito e community sati investimenti nella sicurezza. Gli in- esistente, i social network,e le banche dati, gli aspetdividui, a livello personale professionatransazionali inmovimentando rete, quelli commerciali, l’Inle, stanno ticonsumando, e ternet delledicose, archiviando oggetti dati rappresentano come mai pri-una ghiotoccasione i criminali informatici ma d’ora. Etaquesti datiper non sono più con- di concentrare le proprie attenzioni finati alla rete aziendale, ma piuttosto su di-qualcosa di e facilmente “rivendibile” stribuiti suconcreto vasti domini all’interno del- nel mer-

Line of Busin Network Inte di Dimension

cato degli illeci curezza informa proteggere i d Le minacce strutture. statiche e cont mente ai danni Il Rapporto Clu zioni, curityinformaz Summit organizzazioni. Cybercrime sia mazione que te degli di attacc aziendale con una deve cresc sposte a Stentoveloci, a non cr confronti dellep ragioni citate e prelevare soprattutto di i dati, molte aziende to di vista crimn mitigare. ra introitiContr e van nario conattacch soluz petrare mo catidie falliment di impatt ni,esempio indipendente di evo dal settorediinatt cu tipologie sate da una con di illustrarlo co rimetro aziendal WatchGuard H dei nuovi dispos sono fruibi pendenti per po https://www.w a lab/ risorse funz daglie attac bilizzando così ci finalizzati ap curezza tradizio diretti, agli atta Pertanto, le or spondere con ap Information Security Speciale Dicembre 2014

Le minacce informatiche non sono statiche e continuano a lavorare attivamente ai danni di infrastrutture, applicazioni, informazioni e del personale delle organizzazioni. Per affrontare la trasformazione di questo scenario, la sicurezza aziendale deve evolvere per includere risposte veloci, agili e attive, non solo nei confronti delle nuove minacce ma anche e soprattutto di quelle esistenti e note che molte aziende non sono ancora riuscite a mitigare. Contrastare questo nuovo scenario con soluzioni tradizionali è sinonimo di fallimento. Tutte le organizzazioni, indipendentemente dalle dimensioni e dal settore in cui operano, sono interessate da una continua estensione del perimetro aziendale dettata dall’introduzione dei nuovi dispositivi mobili richiesti dai dipendenti per poter avere sempre accesso a risorse e funzionalità aziendali, destabilizzando così il ruolo dei controlli di sicurezza tradizionali. Pertanto, le organizzazioni devono rispondere con approcci differenti e un mo-

Emilio Tonelli, Watc pongono nel di utent es rappresen informati

Line of Business Network Integration & Security di Dimension Data Italia

Information Security n° 25 mag/giu 2014

efano Paganelli

DI SICUREZZA

Information Security n° 26 lug/ago 2014

L’EVOLUZIONE DEL CONCETTO IL MALWARE L’EVOLUZIONE DIDEL SICUREZZA (MOLTO) PIÙ C CONCETTO

SPECIALE PRIMO CYBERCRIME PIANO

curezza continua a crescere e ad estendersi. Le organizzazioni per la sicurezza devono affrontare molte sfide nell’ambito dei modelli operativi di sicurezza esistenti per mantenere l’involucro attorno ai “data-objects”, soprattutto quando ambienti esterni e interni vengono indirizzati differentemente. Mentre le aziende sono costrette a seguire una sicurezza proprietaria, i cyber-terroristi e le organizzazion criminali stanno incalzando il ritmo degli attacchi informatici. Gli incidenti legati a queste attività non sono più solo eventi di sicurezza isolati ma rappresentano un cambiamento verso incursioni a lungo termine. La responsabilità della sicurezza consiste nel garantire la continuità dell’operatività di business in ambienti completamente differenti rispetto a quello che le capacità proprietarie sono chiamate a gestire. Non si tratta più della protezione delle infrastrutture critiche ma della sicurezza e della protezione dell’organizzazione, dei dati e delle persone. La sicurezza di base

intrinseca diventa così un nuovo modus operandi dell’azienda e non un elemento secondario. ALCUNI DATI Il Report sottolinea che il perimetro di rete tradizionale è sempre più sottile e i singoli endpoints stanno diventando il baluardo per la mitigazione attiva delle minacce, come dimostrato da alcuni dati quali: • Il 43% degli ingaggi per rispondere agli incidenti è legato a malware verso un particolare terminale, evidenziando una mancanza di controlli di base (anti-virus, anti-malware) e della gestione efficace del ciclo di vita di applicazioni, sistemi operativi e strumenti di sicurezza. • Il 54% dei malware creati per insediarsi nei sistemi compromessi non vengono rilevati dalle soluzioni di antivitrus in essere. Inoltre, anche il 71% dei nuovi malware creati a scopo di lucro o per sottrarre informazioni da questi sistemi non sono stati rilevati. Questo dato supporta il presupposto che le semplici so-

Information Security n° 26 lug/ago 2014 Information Security Speciale Dicembre 2014

l’organizzazione, su cloud pubblici e privati, tra i social media. La protezione dei dati non è più legata ai confini aziendali ma si estende all’interno di un ambiente fluido complesso che supera i confini geografici e organizzativi. I flussi di dati ora sono radicati nel contesto aziendale, in quanto le applicazioni, gli utenti e le reti spostano le informazioni dove necessario, possibilmente archiviandole localmente in caso di richieste di accesso future. A tutto ciò si lega la responsabilità della sicurezza e la gestione del crescente valore delle informazioni che può essere preteso dal flusso di dati. Le applicazioni non sono solo una capacità a disposizione degli utenti finali ma piuttosto l’involucro della sicurezza che gestisce il contenitore di questi flussi di dati. La proliferazione dei “data-objects” è diventata un’entità vivente effettiva e separata, un Internet of Things, e continuerà a evolvere in futuro. Con ciò, la rete dell’ambiente per la manutenzione della si-

7 14

SPECIALE CYBERCRIME

PRIMO PIANO

luzioni antivirus non sono in grado di difendere completamente gli endpoint da molti degli attacchi moderni e devono essere rafforzate con la rilevazione dei malware di rete e soluzioni progettate allo scopo. • Un ambiente aperto come quello dell’istruzione detiene la più alta percentuale (42%) di eventi di malware. Questo è dovuto in gran parte ai modelli di accesso aperti, tipici delle università, e dall’incapacità di rafforzare i controlli di sicurezza delle migliaia di dispositivi detenuti dagli studenti. La sicurezza delle applicazioni è sempre stata vista come un’aggiunta all’effettiva capacità di business e rappresenta ancora troppo spesso un punto di debolezza delle organizzazioni. Questo viene dimostrato da: • La sicurezza di base delle applicazioni è spesso la causa principale degli incidenti. All’interno di questo report vengono riportati come molti dei costi associati a mitigare gli incidenti sono dovuti alla mancanza o a impropri controlli di base, pianificazioni inadeguate e

mancanza di formazione. • Le organizzazioni devono comprendere il reale costo di un incidente, inclusi i costi diretti e indiretti che intaccano la reputazione, e imparare come un piccolo investimento possa ridurre le perdite di circa il 95%. • Il 77% delle organizzazioni supportate durante le attività di risoluzione degli incidenti non aveva implementato un piano di risposta agli incidenti. Il dato inquietante che emerge è quindi che la maggior parte delle organizzazioni ha investito poco o niente nella definizione e validazione (attraverso test efficaci) di un piano per superare gli eventi critici e minimizzare così i danni ai propri sistemi, ai clienti e nei confronti della propria reputazione. • Il 31% degli ingaggi per rispondere agli incidenti è relativo ad attacchi Distributed Denial of Service (DDoS). Molte organizzazioni non hanno ancora compreso l’impatto che un simile attacco può avere o credono che non saranno mai prese di mira. In questo modo trascurano il budget per controlli proatti-

vi per mitigare gli attacchi DDoS. Il fatto di ricorre a budget, all’acquisto di soluzioni e all’ottenere l’approvazione per implementare controlli mentre un attacco DDoS è in corso si è dimostrato essere inefficace. • Gli attacchi botnet corrispondono al 34% degli eventi osservati nel 2013. Il 60% di questi attacchi hanno come primo obiettivo il settore sanitario, tecnologico e finanziario. Questo riflette come molti di questi mercati si affidino all’uso e al flusso di informazioni e come siano dipendenti dal mantenere la sicurezza delle applicazioni per la continuità di business. Maggiore è il focus sulla sicurezza in una specifica area, minore è il rischio per la stessa area. Se questa può sembrare una considerazione ovvia, risulta invece difficile da quantificare realmente. Le metriche degli investimenti per la sicurezza delle informazioni non devono necessariamente essere paragonate direttamente al successo. Tuttavia le organizzazioni che accelerano verso ruoli più proattivi hanno ottenuto delle riduzioni rispetto a pro-

Information Security Speciale Dicembre 2014

“

RACCOMANDAZIONI Molte sono le opportunità per le aziende di migliorare il proprio profilo contro le minacce ed enfatizzare le tecniche avanzate per individuare, studiare e rispondere agli attacchi. Il Report illustra come

Mentre le aziende sono costrette a seguire una sicurezza proprietaria, i cyber-terroristi e le organizzazion criminali stanno incalzando il ritmo degli attacchi informatici

”

molte organizzazioni non stiano mantenendo i controlli di base e, in virtù del fatto che le minacce stanno diventando sempre più sofisticate, le organizzazioni devono evolvere per indirizzare i trend e gli attacchi attuali. Le informazioni del Report possono essere utilizzate per migliorare la sicurezza operativa e dimostrano come un’implementazione e una gestione appropriate insieme a un adattamento di controlli comprovati possano aiutare le organizzazioni a ridurre il rischio, evitando minacce e comprimendo la tempistica di mitigation. • Rispondere alle minacce al perimetro. Come indicato precedentemente, le minacce stanno cambiando e il peri-

prestare attenzione alle problematiche che potrebbero incorrere nel mondo reale e devono garantire priorità alle contromisure contro questi exploit. • Definire e testare le risposte agli incidenti. Ancora troppe organizzazioni dispongono di programmi di risposta agli incidenti non testati, immaturi o inesistenti. Questo le rende impreparate ad attacchi inevitabili, soprattutto in un mondo in continua evoluzione dove le organizzazioni non sono più sicure. Una risposta appropriata agli incidenti è cruciale per minimizzare l’impatto delle violazioni della sicurezza. Tutte le organizzazioni necessitano di documentare, testare e mantenere efficaci pro-

metro aziendale sta mutando completamente rispetto a quello concepito tradizionalmente. Per soddisfare un perimetro più ridotto, i componenti chiave che possono essere introdotti oggi includono l’utilizzo della gestione delle patch e programmi di anti-virus per mantenere un’ultima difesa. Se combinato con inventari accurati degli asset e aumento degli SLA, questi controlli di base possono aiutare le organizzazioni a limitare i rischi derivanti da vulnerabilità note e dagli elementi di attacco più comuni. • Utilizzare una gestione efficace delle patch per proteggersi da minacce reali. La gestione efficace delle patch non è semplice e l’installazione tempestiva di ogni singola patch su ogni singolo sistema è spesso impraticabile. Inoltre, gli attentatori spesso si avvantaggiano dei lunghi tempi di remedition dei vendor. Le organizzazioni devono

cedure di risposta agli incidenti. • Beneficiare delle nuove tecniche e tecnologie. Anche se la gestione delle patch e gli anti-virus sono componenti critici di un programma di sicurezza, diventeranno sempre meno fondamentali nei prossimi anni. Le nuove tecnologie includono funzionalità come le tecniche di isolamento delle applicazioni, micro VM, gli ambienti di test e apprendimento automatico. Queste tecnologie si focalizzano sul controllo e l’isolamento delle applicazioni, il contenimento degli incidenti e la rilevazione rapida attraverso analitiche comportamentali. Queste tecnologie partono dall’assunto che il perimetro cederà con un inevitabile danno per l’azienda e anche se alcune tecniche preventive possono aiutare, il miglior approccio difensivo è quello di limitare l’esposizione e individuare (e rispondere) velocemente agli incidenti. 

Information Security n° 26 lug/ago 2014 Information Security Speciale Dicembre 2014

pri pari meno focalizzati. • Le organizzazioni che adottano le indicazioni Payment Card Industry (PCI) riescono a indirizzare meglio le vulnerabilità legate al perimetro. Le organizzazioni che effettuano periodicamente analisi esterne tramite PCI Authorized Scanning Vendor (ASV) presentano minori casi di vulnerabilità così come un miglior tempo di remediation (35%) rispetto a organizzazioni che effettuano analisi ma senza requisiti normativi simili. • La gestione matura delle vulnerabilità riduce l’esposizione alle minacce e le organizzazioni che utilizzano un processo di Vulnerability Lifecycle Management (VLM) beneficiano di un risparmio del 20% nelle tempistiche di risoluzione. Le misure per la sicurezza in essere, di base e ripetibili, sono il fulcro per il successo di un’organizzazione nel soddisfare le sfide di sicurezza immediate così come nell’indirizzare la direzione futura della sicurezza delle informazioni. Questo viene dimostrato da dati come: • Il 50% delle vulnerabilità rilevate nel 2013 erano già state identificate ed etichettate come Common Vulnerabilities and Threats (CVE®) tra il 2004 e il 2011. Questo indica un gap significativo tra le fasi di rilevazione e risoluzione di VLM, che indica, ancora una volta, una mancanza dei controlli di sicurezza di base. • Le organizzazioni sono sempre di più a rischio vulnerabilità. I dati raccolti nel 2013 dimostrano che molte organizzazioni non sono protette contro le comuni vulnerabilità. • I cosiddetti “Exploit Kits” stanno aumentando la loro potenzialità di sfruttare vulnerabilità recenti. Le ultime ricerche indicano che gli sviluppatori di questi “kits” stanno sia utilizzando gli exploits meno recenti che promuovendone di più nuovi, come dimostrato dal fatto che il 78% degli attuali “exploit kits” sfruttano vulnerabilità create meno di due anni fa.

SPECIALE PRIMO CYBERCRIME PIANO

9 16

WEB SEC

ATTACCHI NTP ATTACCHI NTP IL MALWARE D ATT IL TEMPO PER LE AZIENDE IL TEMPO PER LE AZIENDE (MOLTO) PIÙ CA IL TE STA PER SCADERE STA PER SCADERE

STA

Emilio Tonelli, Se WatchG Gli attacchi a riflessione NTP sfruttano ai server NTP NTP sfruttano i server NTP Gli attacchi riflessione presenti su Internet il cui scopo è quello di su Internet il cui scopo è quello dipongono nel pro presenti sincronizzare gli orologi dei nostri laptop, di utenti, is sincronizzare gli orologi dei nostri laptop, smartphone, tablet e altri dispositivi connessi alle esiste smartphone, tablet e altri dispositivi connessi alle infrastrutture di rete rappresenta infrastrutture di rete Maria Giulia Mazzoni informatici. Direttore Responsabile

Country Manager, Italy & SE Europe Arbor Networks

Sicurezza informatica. Un problema sempre pressante anche, e soprattutciati contro più servizi di online gaming per to, allalo luce della crescita ostacolare svolgimento di esponenziale eventi pro- del cosiddetto ‘crimine informatico’ fessionali di alto profilo, interferire. Dottor con i Toaiuti a fare il punto situazione. lancinelli di cinuovi prodotti e della scatenare Finalmente i dati sono protagonisti. Cosa invendette contro giocatori concorrenti. Finodia questa non molto tempodifa,atquanL’ecotendo? mediatico sequenza dosembra si parlavaaver di sicurezza informatica, tacchi reso popolare la rif-gli attacchiNTP e glicome interessi criminali erano conlessione vettore di attacco, centrati in altre aree (come ad esempio portando nel primo trimestre del 2014 a gli attacchi di defacing, DoS, DDoS cosi via). quella che è stata probabilmente la etemscenario internetdi era molto diverso da pestaLopiù concentrata grandi attacchi quello odierno così erano diversi DDoS volumetrici maicome registrata nellai player e si tendeva a colpire con attacchi “ad storia. effetto” omeglio davveroquesto tecnicamente complessi Per spiegare punto basti voltiche a “far rumore”,Arbor provocare danni di impensare il sistema ATLAS, avmagine effetti simili. da I dati erano valendosi deieddati condivisi oltre 290sullo sfondo. Oggi di invece la presenza – oha dovrei service provider tutto il mondo, dire onnipresenza – dinumero milioni di osservato nel 2013 un diutenti, attac-iscritti su banda qualunque e community chi con oltresito i 20Gb/sec più esistendi i social network, le banche dati, glidel aspetotto te, volte superiore rispetto a quello ti transazionali in rete, quelli commerciali, 2012. Nel primo trimestre del 2014, l’Internet delle cose, rappresentano una ghiotATLAS ha registrato 1,5 volte il numero ta occasione i criminali di attacchi oltreper20 Gb/secinformatici di tutto diil concentrare le proprie attenzioni su qualcosa 2013! Sempre nel primo trimestre di di concreto e facilmente “rivendibile” nel quest’anno sono stati monitorati 72mereventi da oltre 100Gb/sec, il maggiore dei Information Security n° 26 lug/ago 2014

retta verso la vittima con un volume di traffico fino a 1000 volte superiore rispetto a quello generato originariamente dall’attaccante. Gli attacchi NTP rappresentano un serio problema a causa dell’elevato rapporto di amplificazione, del numero relativamente grande di server vulnerabili presenti su Internet, e della mancanza di filtri anti-spoofing all’interno di molte reti. Sono diventati facilmente disponibili appositi tool che lanciano attacchi e contemporaneamente rilevano i server vulnerabili, tanto che molti servizi DDoS commerciali supportano ormai questo particolare vettore di attacco. Di conseguenza per un attaccante è facile generare traffico sufficiente a saturare la connettività Internet della maggior parte delle aziende e dei data centre Internet più piccoli. Gli attacchi a riflessione NTP non sono un problema per niente nuovo, ma è solo dall’ottobre 2013 che sono apparsi sui radar di molte aziende. Numerosi attacchi NTP ben pubblicizzati sono stati lan-

IvanStraniero Straniero Ivan

Country Man SE Europe Ar

cato degli illeciti. Qu curezza informatica o proteggere i dati, n strutture.Le metodol tacco sono in c Il Rapporto Clusitma 20 evoluzione curity Summit di M zionati scopron Cybercrime siadi la cau tilizzano vec te degli attacchi (olt giungere i loro con un unameccanismo crescita de Stento a non credere uted Denial of ragioni citatefino precede notare a qu prelevare i dati, le iden del protocollo to ditocol) vista criminale per ampè ra introiti e vantaggi fico generati d petrare Gliattacchi attacchi– aanr cati ei di impatto server NTP– pm esempio di evoluzion scopo è quel tipologie di attacco, orologi dei no di illustrarlo tablet econ altriuna di WatchGuard Hackdi La frastrutture sonopossono fruibili g essere https://www.watchg capacità di un lab/ dagli vieneattacchi direttolo ci finalizzati a provoca server NTP vul diretti, agli attacchi di origine fitt“ questo caso a server NTP risp dall’attaccante Information Security Speciale Dicembre 2014

Le metodologie e i meccanismi di attacco sono in costante cambiamento ed evoluzione man mano che i malintenzionati scoprono nuovi metodi (o ne riutilizzano di vecchi) per tentare di raggiungere i loro scopi. Nell’anno in corso un meccanismo di attacco DDoS (Distributed Denial of Service) si è fatto davvero notare fino a questo momento: l’utilizzo del protocollo NTP (Network Time Protocol) per amplificare i volumi di traffico generati dagli attaccanti. Gli attacchi a riflessione NTP sfruttano i server NTP presenti su Internet il cui scopo è quello di sincronizzare gli orologi dei nostri laptop, smartphone, tablet e altri dispositivi connessi alle infrastrutture di rete. Alcuni server NTP possono essere usati per amplificare le capacità di un attaccante: il traffico viene diretto da questi a uno o più server NTP vulnerabili con un indirizzo di origine fittizio (corrispondente in questo caso a quello della vittima); il server NTP risponde al comando inviato dall’attaccante, ma la risposta viene di-

Information Security n° 25 mag/giu 2014

an Straniero

SCENARI SPECIALE CYBERCRIME

WEB SECURITY

“

In presenza di servizi, configurazioni, procedure e soluzioni adeguate, le aziende possono proteggere efficacemente esse stesse e i loro clienti: prevenendo abusi, bonificando i servizi NTP, rilevando gli attacchi, attivando misure di mitigazione e mitigando gli attacchi

”

ABOUT ARBOR NETWORKS Arbor Networks, Inc. aiuta a proteggere le più grandi reti enterprise e service provider da attacchi DDoS e minacce avanzate. Secondo Infonetics Research, infatti, Arbor è il principale fornitore al mondo di protezione DDoS nei segmenti enterprise, carrier e mobile. Le soluzioni alle minacce avanzate di Arbor offrono una visibilità completa della rete combinando cattura dei pacchetti e tecnologia NetFlow, in modo da consentire la rapida individuazione e mitigazione di malware e minacce interne. Arbor, inoltre, fornisce risorse importanti per l’analisi storica, la visualizzazione, l’indagine e la risposta agli incidenti di sicurezza. Arbor vuole essere un “moltiplicatore di forze”, facendo rete e creando squadre di esperti. Il nostro obiettivo è quello di fornire un’immagine più accurata delle reti e del contesto di sicurezza, così che i clienti possano risolvere i problemi più velocemente e ridurre il rischio per il proprio business.Per ulteriori informazioni sui prodotti e servizi Arbor, è possibile visitare il sito web all’indirizzo arbornetworks.com. Ricerche, analisi, approfondimenti e i dati provenienti dal sistema di monitoraggio delle minacce globali ATLAS® possono essere consultati su ATLAS Threat Portal.

Information Security n° 26 lug/ago 2014 Information Security Speciale Dicembre 2014

quali è stato un attacco da 325 Gb/sec diretto contro un bersaglio in Francia: si è trattato del più grande attacco verificato mai osservato su Internet. Considerate le dimensioni e la frequenza di questi attacchi, le aziende devono accertarsi di disporre di difese adeguate dal DDoS. Dai grandi ISP alle grandi imprese, tutte le aziende devono affrontare i rischi presentati dai grandi attacchi DDoS volumetrici. In presenza di servizi, configurazioni, procedure e soluzioni adeguate, le aziende possono proteggere efficacemente esse stesse e i loro clienti da questa minaccia: • Prevenendo abusi - i service provider devono assicurarsi di disporre di filtri anti-spoofing al punto di contatto tra le loro reti e quelle dei loro clienti • Bonificando i servizi NTP - le aziende dovrebbero effettuare proattivamente scansioni e bonifiche dei servizi NTP vulnerabili in modo da ridurre le capacità a disposizione degli attaccanti • Rilevando gli attacchi - le aziende devono sfruttare la telemetria di flusso per rilevare, classificare, ritracciare e segnalare proattivamente gli attacchi DDoS. Idealmente, dovrebbero essere usate configurazioni specifiche per facilitare l’individuazione e la mitigazione precoce degli attacchi a riflessione NTP • Attivando misure di mitigazione mediante la preconfigurazione di tecniche di mitigazione basate su rete (p. es. Flowspec, blackhole, meccanismi di QoS ecc.) in modo che siano già pronte quando occorre. Necessario anche il deployment di servizi e soluzioni di mitigazione intelligenti • Mitigando gli attacchi - occorre accertarsi che i team addetti alle operazioni conoscano bene i tool e i processi necessari ad affrontare efficientemente l’attuale generazione di attacchi NTP. Con la prosecuzione degli attacchi a riflessione NTP è diventato quanto mai importante che le aziende dispongano di difese attivate; configurando le infrastrutture di sicurezza e di rete in modo appropriato e ottenendo una migliore comprensione di questa minaccia, le aziende possono difendersi con successo. 

SPECIALEWEB CYBERCRIME SECURITY

25 18

CYBERCRIME SPECIALE CYBERCRIME SCENARI

I “BAD GUYS” IL MALWARE CONTINUERANNO A VINCERE? (MOLTO) PIÙ C come prevenire e combattere il cybercrime per stare sempre un passo avanti

Emilio Tonelli Watc pongono nel di utent e rapprese informat

Pietro Riva Sales Manager Security Services, for Southern Europe, Verizon

Information Security n° 25 mag/giu 2014

concreto e facilmente “rivendibile” nel mer-

cato degli illec curezza inform proteggere i strutture.

Il Rapporto Cl curity Summ Cybercrime sia te degli attac con una cresc Stento a non c ragioni citate p prelevare i dati, to di vista crim ra introiti e va petrare attacch cati e di impa esempio di evo tipologie di at di illustrarlo co WatchGuard H sono fruib https://www.w lab/ dagli atta ci finalizzati a p diretti, agli att Information Security Speciale Dicembre 2014 Information Security n. 28 nov/dic 2014

Giulia Mazzoni problema e combattere il cybercrime in Si potrebbe pensare che la minac-Maria Direttore modo più efficace e strategico. cia degli attacchi informatici stia dimiResponsabile nuendo, ma non è così. I cyber criminali UNO SGUARDO AL REPORT stanno semplicemente diventando più Giunta al settimo anno di pubblicaziofurbi. Sono sempre più abili nel rubare ne, l’edizione 2014 del report analizza dati archiviati, in transito e cifrati. Per oltre 1.300 violazioni accertate e più di questo motivo, le aziende di ogni set63.000 incidenti di sicurezza segnalati. tore devono comprendere che nessuno Per meglio comprendere il panorama è immune dalle violazioni dei dati. La Sicurezza informatica. Un problema della sicurezza informatica, il DBIR cobattaglia contro il cybercrime è ancora sempre più pressante anche, e soprattutpre per la prima gli incidenti in corso, e risulta necessario adottare un to, allavolta luce anche della crescita esponenziale del che non hanno dato‘crimine origineinformatico’ a violazio-. Dottor Tointervento più mirato. La sfida per tutte cosiddetto ni. Nei dieci di avita studio, le aziende è quindi quella di rimanere in nellianni ci aiuti fare dello il punto della situazione. il totale delle violazioni registrate è ora Cosa inallerta ed essere sempre un passo avanti. Finalmente i dati sono protagonisti. superiore aitendo? 5,900Fino casi.a non Verizon è tra le fa, quanmolto tempo 50 organizzazioni di tutto il mondo che Oggi è disponibile un quadro più chiaro do si parlava di sicurezza informatica, gli athanno fornito dati e analisi. sul mondo della criminalità informatitacchi e gli interessi criminali erano conca, grazie anche al Verizon 2014 Data centrati in altre aree (come ad esempio gli Nel report di quest’anno abbiamo Breach Investigations Report (DBIR) attacchi di defacing, DoS,raccolDDoS e cosi via). to 10 anni Lo di analisi e abbiamo coinvolto che ha identificato le tipologie di attacscenario internet era molto diverso da un numeroquello maggiore di così partner co specifiche per ogni settore, introduodierno comerispetto erano diversi i plaal passato.yer La enostra analisi è cambiata cendo un approccio più mirato ed effisi tendeva a colpire con attacchi “ad perché il nostro campione cambiato e complessi cace per combattere gli hacker. effetto” o davveroètecnicamente siamo quindi in rumore”, grado di provocare identifica-danni di imvoltistati a “far re trend che non erano visibili in preceDopo aver analizzato dieci anni di dati magine ed effetti simili. I dati erano sullo denza. Poiché il data set è diventato più – o dovrei nella nostra serie di Data Breach Investisfondo. Oggi invece la presenza ampio, abbiamo dovuto anche modifigations Report, abbiamo compreso che dire onnipresenza – di milioni di utenti, iscritcare il nostro non esistenla maggior parte delle aziende non è in ti suapproccio qualunqueall’analisi, sito e community potendo analizzare 100.000 incidenti grado di tenere testa al cybercrime, e i te, i social network, le banche dati, gli aspetin un foglio di calcolo. Attraverso “Bad Guys” stanno vincendo. Tuttavia, ti transazionali in rete, quelli l’uticommerciali, l’Inlizzo degli ternet strumenti di analisi abbiamo una ghiotsiamo convinti che applicando big data delle cose, rappresentano potuto quindi individuare tutte informatici quelanalytics alla gestione del rischio di sita occasione per i criminali di conle informazioni necessarie alle aziende curezza si possa iniziare ad affrontare il centrare le proprie attenzioni su qualcosa di

15 19

CYBERCRIME

per supportare il processo decisionale. Quando le organizzazioni combinano valide strategie con una buona prassi di esecuzione, allora stanno utilizzando in maniera efficace il proprio budget destinato alla sicurezza. RISULTATI PIÙ MIRATI EVIDENZIANO LE TIPOLOGIE DI MINACCIA SPECIFICHE PER OGNI SETTORE Quest’anno, anziché concentrarci sul confronto fra i diversi settori, abbiamo adottato un approccio diverso e ci siamo focalizzati sui principali vertical, evidenziando quali modelli di minaccia sono rilevanti per ognuno di loro nello specifico. Abbiamo sempre cercato di promuovere un approccio alla gestione del rischio basato su prove. Questo report ha superato quelli precedenti nel rendere tutto ciò possibile, identificando

SPECIALE CYBERCRIME

i principali scenari di violazione di ogni settore e fornendo consigli su come difendersi. Il DBIR identifica nove tipologie: errori vari come l’invio di email a destinatari sbagliati; crimeware (malware che punta al controllo dei sistemi); azioni di personale interno o utilizzo improprio di privilegi e autorizzazioni; perdite o furti fisici; attacchi a web app; attacchi Denial of Service; cyberspionaggio; intrusioni nei sistemi POS (Point-of-Sale); skimmer per carte di pagamento. Ciò che risulta impressionante è che l’edizione del Report di quest’anno ha rilevato che in media solo tre di queste tipologie coprono il 72% degli incidenti di tutti i settori. Nel settore dei servizi finanziari, ad esempio, il 75% degli incidenti deriva

da attacchi contro le applicazioni Web, da attacchi DDoS (Distributed Denial of Service) e dallo skimming di carte, mentre il 54% di tutti gli attacchi diretti al settore manifatturiero è attribuito a cyberspionaggio e DDoS. Nel settore retail la maggior parte degli attacchi proviene da DDoS (33%), con le intrusioni sui POS che seguono al 31%. In sostanza volevamo che i lettori fossero in grado di agire dopo la lettura del report, così ci siamo focalizzati sugli attacchi più comuni presenti nel nostro data set, analizzando i dati per settore merceologico per offrire una panoramica degli attacchi specifici di ogni settore e poter intervenire di conseguenza. Questo nuovo approccio è quindi una buona notizia per chi prende decisioni

Information Security Speciale Dicembre 2014

CYBERCRIME SPECIALE CYBERCRIME

sulla sicurezza aziendale. Infatti, in questo modo, è più semplice identificare i controlli critici da implementare per ogni sistema IT. L’identificazione del rischio nell’information technology è complicata a causa del grande numero di servizi offerti e dell’altrettanto elevato numero di minacce ad essi associato. E’ facile essere sopraffatti dal vasto numero di metodi con cui gli hacker possono rubare i dati e paralizzare un programma di sicurezza informatica. Le informazioni che emergono dal report di quest’anno rendono più semplice pianificare la sicurezza per un servizio IT chiedendosi semplicemente “come si possono affrontare questi nove schemi di attacco?” E’ vero, ci sono ulteriori minacce al di fuori degli schemi identificati, ma se si è in grado di affrontare questi nove, si è già a buon punto. ALTRI RISULTATI CHIAVE Il report di quest’anno include anche altri risultati importanti, in particolare:

denti non è stato possibile attribuire un responsabile. Questa percentuale lascia ampio spazio alle attività di spionaggio degli altri paesi. - Il report esamina per la prima volta gli attacchi DDoS (Distributed Denial of Service), attacchi che mirano a compromettere la disponibilità di reti e sistemi in modo da bloccare, ad esempio, il funzionamento di un sito web. Questi attacchi sono comuni nei servizi finanziari, nel retail, nel settore professionale, nei media e nella pubblica amministrazione. Il report evidenzia come gli attacchi DDoS siano costantemente cresciuti negli ultimi tre anni. In genere, questa tipologia di attacchi sembra essere lo strumento preferito da chi è guidato da un’ideologia. Ad esempio, gli Izz ad-Din al Quassam Cyber Fighters sono stati i responsabili di molti attacchi DDoS e il motivo dichiarato è stata la protesta contro un video offensivo. Si vocifera che questo sia un gruppo di attacco di stampo governativo, tuttavia è difficile esserne certi. Spesso un attacco DDoS è causato da un botnet generato da un gruppo criminale organizzato, ingaggiato da un gruppo di attivisti. A quanto pare diverse tipologie di hacker utilizzano gli attacchi DDoS. - L’utilizzo di credenziali (nome utente / password) sottratte o usate impropriamente continua a essere il metodo più diffuso per accedere alle informazioni. I risultati hanno evidenziato che due violazioni su tre approfittano di password deboli o sottratte, confermando l’importanza di passare a sistemi di autenticazione a due fattori.

Information Security Speciale Dicembre 2014

- Il cyberspionaggio è nuovamente in aumento con un incremento pari a 3 volte rispetto al dato del report 2013, con 511 incidenti (dato parzialmente dovuto a un dataset più ampio). Questa tipologia di attacco si verifica quando spie finanziate dai governi violano un’organizzazione, spesso tramite attacchi di phishing mirati e furti di proprietà intellettuale. La cosa più importante da notare è che lo spionaggio non è un problema che riguarda solo i governi e le organizzazioni militari. Sono bersagli frequenti anche il settore dei servizi professionali, dei trasporti, manifatturiero, minerario e pubblico. Questi attacchi si sono inoltre rivelati estremamente complessi e diversificati, con un lungo elenco di tipologie. Come evidenziato lo scorso anno, la Cina è ancora il Paese con la maggior attività di cyberspionaggio; ma in classifica sono rappresentate anche le altre regioni del mondo, compresa l’Europa orientale con oltre il 20%. E’ importante notare che l’88% degli incidenti in cui l’attività investigativa è stata in grado di identificare un responsabile sono riconducibili alla Cina, mentre al 73% degli inci-

Il report indica come per l’85% degli attacchi causati da insider e da abuso di informazioni privilegiate sia stata utilizzata la LAN aziendale, mentre per il 22% sia stato sfruttato l’accesso fisico

17 21

CYBERCRIME

SPECIALE CYBERCRIME

La sicurezza non può essere considerata come un singolo investimento o una semplice verifica della compliance, ma deve essere una strategia in continua evoluzione che richiede un’attenzione regolare

- Gli attacchi contro i sistemi POS (Point-of-Sale) continuano a diminuire proseguendo una tendenza avviata già dal 2011. I settori comunemente colpiti da questo genere di attacchi sono ristoranti, hotel, supermercati e altri punti vendita, nei quali i malintenzionati tentano di acquisire i dati relativi alle carte di pagamento. Per quanto le violazioni dei POS occupino spesso le prime pagine dei giornali, si tratta di avvenimenti che non sono indicativi del quadro attuale della criminalità informatica.

LA PREVENZIONE È LA PRIMA LINEA DI DIFESA La sicurezza non può essere considerata come un singolo investimento o una semplice verifica della compliance, ma deve essere una strategia in continua evoluzione che richiede un’attenzione regolare. Le aziende devono adottare un approccio proattivo verso la sicurezza dei dati sia all’interno dell’azienda che

Il DBIR è ricco d’informazioni e raccomandazioni dettagliate che le aziende possono implementare nell’ottica di una strategia di prevenzione. Tuttavia, possiamo individuare 7 consigli più importanti: • Essere vigili - le organizzazioni spesso scoprono le violazioni solo quando ricevono una chiamata dalla polizia o da un cliente. Osservare in modo attento i file dei log e i sistemi di change management può aiutare a segnalare in maniera tempestiva eventuali anomalie. • Fare dei propri dipendenti il primo strumento di difesa - istruire i dipendenti sull’importanza della sicurezza, insegnare loro come individuare i segnali di un attacco e cosa fare quando vedono qualcosa di sospetto. • Conservare i dati secondo il principio del “need to know” - limitare l’accesso solo ai dipendenti che hanno realmente bisogno di quei dati per lavorare. Assicurarsi, inoltre, di mettere in atto procedure per la revoca degli accessi, in caso di cambio di ruolo o di azienda. • Intervenire tempestivamente - gli hacker spesso ottengono l’accesso utilizzando semplici metodi di attacco, dai quali ci si potrebbe tutelare semplicemente con un ambiente IT ben organizzato e un anti-virus aggiornato. • Cifrare i dati sensibili - in questo modo, se i dati dovessero essere persi o rubati, sarà molto più diffi-

•

cile, per un hacker, utilizzarli. Adottare sistemi di autenticazione a due fattori – non si ridurrà il rischio di password rubate, ma si potrà limitare il danno derivante dal furto e dallo smarrimento delle credenziali. Non dimenticare la sicurezza fisica - non tutti i furti di dati avvengono online. Gli hacker possono manomettere i computer o i terminali di pagamento ma anche rubare blocchi di tabulati stampati.

LA CYBERSECURITY PRIMA DI TUTTO Abbiamo scoperto che la capacità di difendersi dalle minacce informatiche è ormai tra le principali preoccupazioni per la maggior parte delle aziende; tuttavia la necessità di programmi di cybersicurezza più sofisticati è francamente superiore sia alla disponibilità di capitale umano sia alla capacità di una determinata azienda di agire in modo autonomo. Per colmare questo gap le aziende stanno cercando di sviluppare e realizzare modelli ibridi di gestione della cybersicurezza che combinano un team di esperti di business security in-house con comprovati servizi gestiti di sicurezza per una vasta gamma di funzionalità quali identity management, security analytics e cyber intelligence, governance, risk e compliance. Trovare un provider di fiducia è di fondamentale importanza e fra gli elementi da considerare durante il processo di selezione di un MSSP ci sono: il livello di competenza, la solidità finanziaria, la vasta gamma di funzionalità, un modello operativo

Information Security Speciale Dicembre 2014

- Sebbene gli attacchi dall’esterno superino ancora quelli effettuati dall’interno, questi ultimi sono in crescita, particolarmente per quanto riguarda la sottrazione di proprietà intellettuale. Il report indica come per l’85% degli attacchi causati da insider e da abuso di informazioni privilegiate sia stata utilizzata la LAN aziendale, mentre per il 22% sia stato sfruttato l’accesso fisico. In effetti, il comportamento degli utenti è un grosso problema di sicurezza per le aziende. Anche quando ci si fida ciecamente, molti di loro potrebbero contribuire inconsapevolmente a causare incidenti di sicurezza.

nelle sedi di partner/fornitori, sui device, in mobilità o nel cloud.

CYBERCRIME SPECIALE CYBERCRIME

h24 e la garanzia di poter mantenere le stesse caratteristiche – per l’azienda - in ogni singolo paese. Inoltre, il nostro ultimo Data Breach Investigations Report mostra chiaramente come negli ultimi dieci anni siano stati fatti pochi passi avanti in ambito sicurezza nella scoperta tempestiva degli incidenti; di contro nello stesso arco temporale, gli hacker hanno migliorato le loro tecniche di attacco con il risultato di una quantità sempre maggiore di violazioni portate a termine con successo in pochi giorni. Ciò significa che è necessario un approccio diverso e migliore per la rilevazione degli incidenti: è il momento di adottare differenti metodologie di rilevazione così come è necessario rivedere l’importante ruolo della cyber intelligence nel contesto di analytics e monitoraggio della sicurezza. Gli esperti Verizon lavorano al fianco dei nostri clienti per consigliare loro le pratiche di sicurezza e compliance più adatte per ogni singola esigenza. Crediamo che oggi le aziende globali e gli enti governativi cerchino soluzioni di business complete che possano funzionare senza soluzione di continuità, sfruttando l’efficienza dei costi, la professionalità e i benefici di business complementari, e non soluzioni ad hoc implementate per soddisfare una singola esigenza di business.

In poche parole, bisogna passare all’offensiva e non stare sulla difensiva, dal momento che il cybercrime esiste, ed è un dato certo. Non bisogna credere nemmeno per un istante che sparirà. u

Information Security Speciale Dicembre 2014 Information Security n. 28 nov/dic 2014

PASSARE ALL’OFFENSIVA E NON STARE MAI SULLA DIFENSIVA Insomma, per ridurre il rischio, le aziende devono implementare almeno i principi base di un programma di Information Risk Management e mantenere questo investimento iniziale nel corso del tempo. Dalle reti alla tecnologia di base per la difesa dei dati quali firewall, anti-virus, identity e access management, così come gli aspetti meno tecnici delle policy per la gestione del rischio e della sicurezza e lo sviluppo dei processi.

19 23

www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA

Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali

Raoul Chiesa - Founder, Security Brokers Inc.

Elio Molteni - Presidente AIPSI, ISSA Italian Chapter

Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell'Università degli Studi dell'Aquila e Presidente del Centro Ricerche Themis

Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato

Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell'Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT

Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - KEY DATA ANALYICS - Practice Manager Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria Stefano Zanero - Responsabile Tecnico, Secure Network

Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma

WATCHGUARD GDATA FUTURE TIME TREND MICRO GFI IS ABBONAMENTI

II COP. III COP. IV COP. PAG. 17 PAG. 18 PAG. 25

Direttore Responsabile Maria Giulia Mazzoni Collaboratori Alberto Blasi, Sarah Ferri Impaginazione Cecilia Lippi Francesconi Progetto grafico Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Ruggero Genna ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00 Abbonamento annuale Euro 52,00 BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434 Siti internet www.edisef.it www.ehealthnews.it www.informationsecuritynews.it

PER COLLABORARE La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tigg o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Via A. Toscani, 26 - 00152 ROMA

Abbonamenti Via Antonio Toscani, 26 00152 Roma Tel. 06.53.730.96 Fax 06.58.200.968 e-mail: info@edisef.it Finito di stampare nel mese di Giugno 2014 presso: C.S.R. SRL TIPOGRAFIA Via di Pietralata, 155 00158 Roma

www.informationsecuritynews.it

LTIVO

Mauro Cosmi - Value Team S.p.A

Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors

Information Security Anno V - n. 25 Maggio/Giugno 2014

Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA

Baldo Meo - Responsab Garante per la protezion

Raoul Chiesa - Founder, Security Brokers Inc.

Elio Molteni - Presiden lian Chapter

Isabella Corradini - Professore di Psicolo-

Alessandro Musumeci -