Data Loss Prevention by Francesco Marinuzzi, Ph.D.

DATA LO S S PR E V E N TI O N

GOOD POINT

Come proteggere i dati sensibili in azienda dopo il caso GOOD Wikileaks. POINT Ing. Francesco Marinuzzi, Ph.D.

GOOD POINT Un evento organizzato da Business International MARINUZZI & ASSOCIATES TEMPISMO E PROFESSIONALITĂ&#x20AC;

WWW.MARINUZZI.IT

Milano 18 Febbraio 2011

DATA LOSS PREVENTION

 I principali beni pubblicizzati nel black market: – Informazioni carte di pagamento – Credenziali per l’accesso a conti correnti online  Pubblicizzati anche strumenti e servizi del black market.

DATA LOSS PREVENTION

Rich Internet Applications

Cloud Computing

Social Web

DATA LOSS PREVENTION

Perché ultimamente copiarli è immediato e cancellarli è difficile? I Dati sensibili per la persona e per l’azienda. I tipi di dati semplici e complessi, strutturati e non. I supporti dei dati e i flussi di bit. Le classificazioni possibili dei dati dal punto di vista della sicurezza e della riservatezza. 8

DATA LOSS PREVENTION

 Copiare dei “bit” è sempre possibile ed è quasi gratis. Il risultato della “copia” è “indistinguibile” dall’originale.  Copiare degli “atomi”, se possibile, costa molto e le copie sono “distinguibili”.  Cancellare dei “bit” significa scrivere un “valore diverso” in ogni singola “cella”: richiede spesso molto tempo.  Per distruggere un “complesso di atomi” spesso basta un….cerino! 10

DATA LOSS PREVENTION

 Nei sistemi meccanici a media bassa complessità il valore del tutto è spesso dato dalla “somma” del valore delle parti: il caso del bracciale di diamanti.  I sistemi “digitali” hanno spesso una altissima complessità di vari ordini di grandezza che li rende simili ai sistemi “biologici” dove il valore del tutto è dato dall’armonia fra le parti.

DATA LOSS PREVENTION

 Produrre sistemi digitali “universali” particolarizzati con “strati software (per costruzione reversibili)” è conveniente: si ammortizza con grande economia di scala il costo della progettazione dell’hardware, il resto è …“sabbia” (silicio).  I sistemi “fisici” sono pensati fin dall’inizio specificatamente per ogni singolo uso.  Il valore nei sistemi “digitali universali” è spesso dato dalla “inibizione irreversibile” di una funzionalità piuttosto che dall’aggiunta.

DATA LOSS PREVENTION

 Ipod, itune e il mercato delle “apps” di Apple ha assunto il valore economico che ha grazie all’inibizione della funzione di “copia” a livello irreversibile (hardware).  Paradossalmente “Rompere” meccanicamente una porta USB di un PC può risultare una misura di sicurezza più efficiente di tante altre “software” reversibili per natura centrate nel “controllo della stessa porta”.  Il lucchetto o l’involucro per il cabinet del PC che non lo rende accessibile e aggiornabile. 14

DATA LOSS PREVENTION

Reversibili Volatili: memorie RAM, ecc… Permanenti: hard disk, schede magnetiche, ecc… Irreversibili Cd Rom e DVD non riscrivibili, ecc… Flussi Streaming video, rss, audio, su device mobili o fissi ecc… 15

DATA LOSS PREVENTION

   

Dati pubblici Dati riservati Dati segreti Dati confidenziali…

 E’ importante avere un documento con tutte le policy aziendali che specifica chi/che assegna lo stato e chi/che gestisce il cambio dello stesso.  Deve esser prevista una funzione di controllo indipendente sull’applicazione del processo. 17

DATA LOSS PREVENTION

 Per le persone: l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale Dal Codice sulla protezione dei dati personali (d.lgs. 196/2003), art.4

 Per le aziende: I dati relativi alle possibili acquisizioni o merger con altre aziende, I dati sulle retribuzioni del personale. I dati dei clienti I dati sulla produzione o sui servizi erogati. Altri dati la cui “diffusione” può impattare significativamente sui processi aziendali e/o sull’immagine dell’organizzazione.

DATA LOSS PREVENTION

 Nel 2009 l’88% delle perdite sono state per negligenza e solo il 12% per dolo.  Per ogni record “perso” si stima un costo medio di 200 $.  Il costo per “postazione” di un sistema DLP va da 15$ a 30$.  Il ROI di una installazione per 1.000 postazioni di lavoro è di circa 12 mesi nel caso di un rischio significativo (50%) di perdita di circa almeno 200 record/annui.

DATA LOSS PREVENTION

 Localizzare e catalogare le informazioni sensibili  Monitorare e controllare i movimenti dei dati in rete e presso i sistemi degli utenti finali  Avere un luogo centralizzato per gestire e controllare tutte le policy e le attività (DLP management console).

DATA LOSS PREVENTION

 Prevenire le perdite dei dati.  Formare ed educare gli utenti nel valore dei dati sensibili gestiti ed innescare un cambiamento organizzativo e culturale. I sistemi DLP a differenza degli altri sistemi di sicurezza dei sistemi (antivirus, firewall, ecc…) segnalano esplicitamente ogni evento all’utente per informarlo sulle “implicazioni per la sicurezza” della sua azione e riportarlo nel futuro a comportamenti più “consoni” (educazione on the job). 22

DATA LOSS PREVENTION

      

Log: dell’evento con tutti i suoi attributi. Report: a tutte le figure previste dal workflow. Tag: secondo la tassonomia prevista. Encrypt: con le chiavi centralizzate date. Relocate: secondo l’assegnazione prevista. Classify: secondo la tassonomia prevista. EDRM: digital right management.

DATA LOSS PREVENTION

 “At rest”: fissi memorizzati su alcuni supporti visitabili e catalogabili grazie a degli opportuni “crawlers” o “spider”. Caratterizzati anche dai “path” di residenza.  “In motion”: in trasmissione sulle reti filtrati da opportune “network appliance” che effettuano una “deep packet inspection” ed eventualmente decriptano e ricriptano il canale ed i singoli pacchetti.  “In use”: in uso presso i sistemi utente finali dove vengono installati degli “agenti software” che controllano tutte le azioni (anche il cut & paste!). 24

DATA LOSS PREVENTION

    

Creare e gestire le varie policy. Integrarsi con i servizi di “directory”. Gestire il “workflow” degli incidenti segnalati. Effettuare il backup e restore del sistema. Produrre un articolato e flessibile reporting per tutte le figure coinvolte nella gestione del sistema DLP.

DATA LOSS PREVENTION

2. 3. 4. 5.

Effettuare una tassonomia dei dati e dei flussi fra sistemi e verso l’utente finale. Identificare gli archivi principali e i “percorsi” principali sia prima che dopo l’installazione della soluzione DLP. Disegnare il ciclo di vita dei dati. Definire le policy che correlano le azioni con i tipi di dati, con i ruoli h24, con gli eventi. Implementazione del sistema DLP: in primis solo come “MONITOR”, poi con gradualità per evitare blocchi ai processi di business per aree a maggior rischio coinvolgendo sempre il top management e i responsabili non IT delle aree coinvolte.

DATA LOSS PREVENTION

 Protezione della proprietà intellettuale.  Miglioramento del rispetto a norme e regolamenti sul trattamento dei dati.  Minor rischio di perdita dei dati.  Maggiore formazione e consapevolezza negli utenti del valore dei dati trattati.  Miglioramento dei processi di business che venendo analizzati sono spesso ridefiniti.  Ottimizzazione delle risorse HW (reti, supporti di memoria, ecc…)  Maggior controllo nell’esistenza di codici “maliziosi” o “virali” sulle postazioni utente.

DATA LOSS PREVENTION

 Moduli DLP non adeguati che bloccano i processi, fanno perder tempo, inducono danni a clienti e partner, fanno perdere il supporto degli “stake holder”.  Moduli DLP non dimensionati: che non controllano tutto il traffico di rete o introducono gravi rallentamenti.  Eccessivi falsi positivi  Conflitti con software sottostante e creazione di problemi prestazionali. 28

DATA LOSS PREVENTION

 Gestione della criptazione esistente: il sistema deve poter gestire TUTTE le chiavi per poter aprire e richiudere tutti i files criptati.  Grafica: il sistema non è in grado di capire “il contenuto” più o meno sensibile di una immagine.  Fornitori e terze parti: devo adottare misure simili.  Device mobili: non sono adeguatamente supportati.  Supporto multilingua e caratteri internazionali: spesso non presente.  Supporto di vari sistemi operativi: limitato.  Blocco su un fornitore: non sono previste funzioni di import ed export per supportare il cambio del fornitore. 29

DATA LOSS PREVENTION

 Nel processo decisionale devono esser coinvolti i manager NON IT responsabili dei dati trattati.  I professionisti di assicurazione della qualità devono garantire l’allineamento fra le policy dei DLP e gli obiettivi aziendali.  Le persone coinvolte devono provenire da: ufficio legale, ufficio della sicurezza, sicurezza informatica, sistemi ICT, ufficio del personale, sindacato, manager rappresentativi delle principali linee di business, top manager.  Per ogni processo di business occorre identificare quali sono i dati sensibili.  Occorre verificare che l’implementazione tecnologica sia stata fatta “ad arte”.

DATA LOSS PREVENTION

I principi fondano le metodologie e le policy che vengono attuate con gli opportuni strumenti. Gli strumenti “leader” di mercato hanno al loro interno già “embedded” il supporto per le policy e le metodologie più efficaci per le minacce ed i rischi più “recenti”. Risulta dunque organizzativamente critico saper scegliere lo strumento più adeguato.

DATA LOSS PREVENTION

ď&#x201A;§

Gli attacchi mirati sono la maggior fonte di perdita di dati per le aziende.

Data breaches by cause (2008)

Data breaches by cause (2009)

DATA LOSS PREVENTION

Privacy vs sicurezza 37

DATA LOSS PREVENTION

I dati “sensibili” sono legislativamente equivalenti al materiale “esplosivo”. Perché affidarli a personale “sconosciuto” che lavora spesso in subappalto per catene di terzisti? Più i ruoli e le mansioni sono “inferiori” più i dati devono essere “aggregati” e/o con breve finestra storica. Gli amministratori dei sistemi che gestiscono le credenziali devono sottostare a doveri specifici. 38

DATA LOSS PREVENTION

 Registrazione degli accessi 

Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

 Verifica della attività Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.

 Elenco degli amministratori di sistema e loro caratteristiche Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite. 39

DATA LOSS PREVENTION

 Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza. Si scopre che quando c’e’ bisogno di tutelare un bene vitale della persona o dell’organizzazione sono utili gli albi, ma allora…. 40

DATA LOSS PREVENTION

Il modello del professionista, dello studio associato e della società di ingegneria ha reso l’ingegneria civile italiana leader nel mondo; per il settore ICT c’e’ il DPR 328/2001 che prevede l’”ingegnere dell’informazione”.  Utili soprattutto per le attività di terzietà dove la professionalità e l’indipendenza rappresentano i valori aggiunti principali: auditing, controllo esterno, collaudi, verifiche, stime, studi di fattibilità, documenti di gara o RFP, monitoraggi, scrittura di metodologie e policy. 41

DATA LOSS PREVENTION

 La professionalità e l’indipendenza devono essere predicate “in primis” a livello della persona “fisica” che poi può anche partecipare o appartenere ad un’organizzazione superiore con altri suoi “simili” che può offrire maggiori garanzie.  Studi ben noti effettuali nel settore hanno dimostrato che la produttività di un addetto ICT può variare da 1 a 10 in funzione della competenza, degli strumenti a disposizione e della motivazione dello stesso. 43

DATA LOSS PREVENTION

“Chi sei?”

“Sei chi dici di essere?” Non

DATA LOSS PREVENTION

4 5 • Comportamentali

 Biologici – Impronta – Faccia (2D & 3D) – Iride – Pattern venoso – Geometria della mano – DNA

 Firma  Andatura  Voce

 Dinamica della digitazione

DATA LOSS PREVENTION

 Combinazione di più sistemi biometrici – Livello dell’algoritmo – Livello dei risultati

 Viene applicata una specifica logica all’unione di più risultati attesi.

DATA LOSS PREVENTION

4 7

Current & Future Technology

Accuracy & Throughput

Performance

Risk & Requirement Analysis

Research & Development

Strategy

User Perception

Integration

Business Process

DATA LOSS PREVENTION

ď&#x201A;§ Ricordare e proteggere tutte le proprie profili, email, cellulari, accounts che hanno una user e password con una password molto lunga(*) e difficilmente pronunciabile ma facilmente memorizzabile! ď&#x201A;§ Installare e tenere aggiornati i sofware di protezione per evitare virus e spyware. (*) ad eccezione dei dispositivi che dopo tre tentativi errati si bloccano per un dato periodo.

DATA LOSS PREVENTION

 Capire se si può risolvere da soli oppure occorre rivolgersi ad un società specializzata o ad un professionista di fiducia.  Se si può risolver da soli allora: focalizzare il contesto e il profilo dell’attacco.  Tenere traccia delle “azioni” avvenute.

DATA LOSS PREVENTION

4. Adottare una strumentazione software adeguata che possa proteggere lâ&#x20AC;&#x2122;intero sistema e tener traccia dei tentativi e delle varie prove di intrusione per correlarle. 5. Indurre misure simili nella propria catena del valore di societĂ e/o collaboratori .

DATA LOSS PREVENTION

Chi ci può aiutare:  Società specializzata esperta nell’uso di strumenti specifici di DLP.  Un ingegnere dell’informazione di fiducia per controllare ed eseguire tutti i test necessari e realizzare le misure di prevenzione.  Vedasi il blog AIRIN: » http://caffeit.airin.it » http://www.airin.it

DATA LOSS PREVENTION

Dati contenuti nei database aziendali. Dati dei sistemi di messaggistica. Dati sui forum, sui blog e sui wiki. Dati sui “social network”: il problema della irreversibilità e della proprietà. Dati temporanei che sono “permanenti”. Dati sui device “mobili” Dati di supporto per chi lavora “da casa”…

DATA LOSS PREVENTION

Che cosa è l’analisi Realtime? Perchè è essenziale?

• I sistemi Legacy non si fermano mai • Il Web è il vettore numero uno per gli attacchi • La protezione Real-time può applicarsi a tutte le aree del web 57

DATA LOSS PREVENTION

Totale di 79 giorni … Adobe Flash CVE-2010-2884

7 Days to patch

Adobe Acrobat Reader CVE-2010-2883 JailbreakMe drive-by attacks on iOS 9 Days to patch Apple QuickTime “_MARSHALES_ PUNK” 0-day CVE-2010-1818

Microsoft LNK Vulnerability CVE-2010-2568 15 Days to patch

June

17 Days to patch

July

August

September

2010

DATA LOSS PREVENTION

Grazie dellâ&#x20AC;&#x2122;attenzione. Riferimento:

Francesco Marinuzzi direzione@marinuzzi.it Tel. 06 4522 18 27 1 www.marinuzzi.it

Si ringrazia inoltre Gartner, Symantech, Websense per spunti e segnalazioni utili.

DATA LOSS PREVENTION