Transcript Document 7589169

Il rischio informatico nel mondo
finanziario
Nuovi attacchi, nuove difese
TOR VERGATA 9 maggio 2012
Sabina Di Giuliomaria
[email protected]
Agenda
• Il rischio: una definizione
• Di che cosa NON vi parlerò oggi
• Di che cosa è bene parlare sempre
–
–
–
–
Il processo cardine della sicurezza
7 principi generali della sicurezza informatica
5 “W” del rischio informatico
7 principi base del Social Engineering
• Grandi aziende – grandi rischi
• Grandi aziende – risposta al rischio
Focus su….
APT
Defense in depth
The Black swan
Il rischio: una definizione
La probabilità che un evento in grado di
produrre danni si verifichi e l'entità dei
danni che ne possono derivare
Di che cosa NON vi parlerò oggi
• Tecnologia (strumenti di attacco e di difesa)
• Carte (credito, debito, prepagate…)
• Quadro giuridico (criminalità informatica,
codice privacy, direttive europee su sistemi
di pagamento e moneta elettronica,
Infrastrutture Critiche)
• FORENSICS (Forensic science)
…………perché……………
Il processo cardine della sicurezza
Classificazione
degli asset
Individuazione
del rischio
inerente
Minacce e
Vulnerabilità
Controlli
In uso
Rischio attuale
Risposta
al rischio
Rischio residuo
evitare
mitigare
trasferire
accettare
La percezione del rischio: le persone
esagerano i rischi …..
Spettacolari
Rari
Oltre il proprio controllo o imposti dall’esterno
Di cui si parla molto
Intenzionali o causati dall’uomo
Immediati
Improvvisi
Nuovi e non familiari
Che non conoscono
Diretti contro i propri figli
Moralmente offensivi
Bruce Schneier
La percezione del rischio: le persone
sottovalutano i rischi …..
Ovvii
Comuni
Ben conosciuti
Anonimi
Maggiormente sotto il proprio controllo o assunti volentieri
Di cui non si parla
Naturali
A lungo termine o diffusi
Che si evolvono lentamente nel tempo
Che riguardano gli altri
Bruce Schneier
I 7 Principi generali della sicurezza
informatica
1. Le misure di sicurezza devono essere conformi ai requisiti di business aziendali,
nonché alle normative vigenti.
2. La sicurezza riguarda tutti e la consapevolezza individuale gioca un ruolo
fondamentale nel conseguimento degli obiettivi di sicurezza prefissati.
3. Le misure di sicurezza devono essere efficaci, comprensibili e bilanciate rispetto
ai relativi costi.
4. La sicurezza richiede una combinazione di misure tecniche e organizzative.
5. È necessario che la sicurezza sia pianificata e integrata nelle
attività di sviluppo sin dalle fasi iniziali.
6. Le autorizzazioni devono essere basate sul principio del "need-to-know"
correlato al business aziendale.
7. La sicurezza deve essere continuamente monitorata.
Fonte: OCSE, Guidelines for the Security of Information Systems; BCE, Information Technology Committee, ESCB
Information Systems Security Policy.
Le 5 “W” del rischio informatico
• WHO?
• WHY?
• WHAT?
• WHERE?
• WHEN?
WHO?
• Underground Hacker Economy: il mercato illegale e
sommerso di beni e servizi alla base delle attività
criminali perpetrate quotidianamente
• hacker indipendenti + in misura crescente rete
organizzata che coinvolge criminali
WHO?
Fonte: Rapporto Clusit 2012 – ICT security
WHO?
Sophos: Distribuzione degli agenti di minaccia
WHO?
Frequentemente i grandi attacchi esterni hanno
visto la complicità di un insider all’azienda.
Questo è il modo più insidioso e sotterraneo di
attacco e può spesso arrecare i danni maggiori
all’azienda frodata.
WHO?
Fonte: McAfee threat predictions 2012
WHY?
• Anni ’70: sete di sapere
• Anni ’80: + curiosità
• Anni ’90: + sfida ai sistemi informatici,
scambio di informazioni  gruppi di
hackers, comunità underground
• Anni 2000: rabbia e denaro +
politica (cyber -hacktivism) +
criminalità (cybercrime)
WHY?
Fonte: SYMANTEC
WHY?
La criminalità informatica colpisce i clienti
delle banche in maniera sempre più
sofisticata trovando modi nuovi per
aumentare il proprio margine di profitto e,
contemporaneamente, ridurre le probabilità
di essere rintracciata.
WHAT?





trasferimento/deviazione fondi
carte di credito
credenziali di home banking
indirizzi di posta elettronica
scambio di servizi di cash out (trasformazione di fondi
provenienti da account di home banking rubati in denaro
pulito)
 hosting di pagine web dedicate al phishing
 servizi di traduzione in varie lingue di mail di
phishing
 vendita o noleggio di tool completamente
automatizzati (crimeware) per poter diventare un
phisher in poche ore + contratto garanzia + help
desk
 Botnet ……
WHAT?
•
•
•
Il cybercrime rappresenta oggi il secondo tipo di
crimine economico più diffuso nell’industria,
dietro solo all'appropriazione indebita di asset.
38% di tutti i crimini economici ai danni del
mondo finanziario= cyberattacks.
impatti maggiori:
–
–
–
–
•
il danno d’immagine (54%),
la perdita di dati sensibili (49%),
le perdite finanziarie (39%)
noie regolamentari (32%).
Nonostante ciò….. il 29% degli intervistati
ammette che in azienda non c’è alcun piano di
formazione legato alla cybersecurity.
Fonte: PricewaterhouseCoopers - indagine condotta su 878 rappresentanti di istituti finanziari di 56 Paesi a fine 2011
WHAT?
Fonte: Rapporto Clusit 2012 – ICT security
Nuovi Malware creati nel 2011
Fonte: PandaLabs
Infezioni Malware nel 2011
Fonte: PandaLabs
- Paesi colpiti da almeno un attacco nel 2009
Fonte: Verizon Data breach investigations report 2012
WHERE?
Fonte: Verizon Data breach investigations report 2012
- Paesi colpiti da almeno un attacco nel 2010
WHERE?
WHERE?
Fonte: Verizon Data breach investigations report 2012
WHEN?
• Man In The Middle (Man In The Browser, Man In The
Channel/sms)
• Botnet
• Malware
• APT
• Social Engineering
2012?
–
–
–
–
–
–
Targattacks
Events
BYOD (Android)
Pagamenti virtuali
TV on the Net
Game consolle
WHEN?
PandaLabs Bulletins 2009
2012?
Fonte Trend Micro
Grandi aziende – grandi rischi
I nuovi campi di battaglia:
-Mobile
-Cloud
-Crisi economica
…… mai sottovalutare i rischi interni ……
Fonte: Pricewaterhouse Coopers (Global Economic Crime Survey – nov 2011)
Fonte: Pricewaterhouse Coopers (Global Economic Crime Survey – nov 2011)
Grandi aziende – la risposta al
rischio
• Risk Assessment (classificare le risorse,
valutare impatti e probabilità degli scenari
di rischio, decidere presidi, accettare rischio
residuo)
• Formazione AWARENESS (int.+ext.)
• Business Continuity Plan – Disaster
Recovery
• Defense in depth – la difesa in profondità *
• Il cigno nero *
Advanced Persistent Threats
Fonte Trend Micro
APT
• Il target
• Le motivazioni
• I punti di attacco
– Posti di lavoro-rete aziendale
– Strumenti di mobilità (byod)
– Social Engineering
APT
Fonte: McAfee dic 2011
Attacco APT
Fonte: Trend Micro
Defense in depth (National Security AgencyNSA)
Fonte: http://www.dbcde.gov.au/__data/assets/pdf_file/0004/88357/Defence-in-full-15-Oct-2008.pdf
Defense in depth
Fonte: http://www.dbcde.gov.au/__data/assets/pdf_file/0004/88357/Defence-in-full-15-Oct-2008.pdf
L’anello più debole della catena
il pericolo maggiore = Social Engineering
I 7 principi base del Social Engineering
1. Principio della distrazione
2. Principio dell’aderenza alla società
3. Principio del gruppo
4. Principio della disonestà
5. Principio dell’illusione
6. Principio del bisogno e dell’opportunismo
7. Principio del tempo
University of Cambridge - Computer Laboratory – Agosto 2009
Understanding scam victims: seven principles for systems security
(Frank Stajano, Paul Wilson)
Nassim Nicholas Taleb
42
Il cigno nero
Giovenale: rara avis in terris nigroque simillima cygno = un fatto
impossibile o perlomeno improbabile.
“tutti i cigni sono bianchi”
=> fino alla scoperta del cigno nero australiano Chenopis atrata
da parte degli esploratori europei (‘800).
Una falsa premessa può portare a un risultato sbagliato e dei
dati limitati producono una conclusione incorretta.
Il limite del ragionamento secondo cui "tutti i cigni sono bianchi"
è dato dai limiti dell'esperienza che ci fa credere che non
esistano cigni neri.
43
The black swan
1.
2.
3.
è un evento isolato , che non rientra nel campo delle
normali aspettative, poiché niente nel passato può
indicare in modo plausibile la sua possibilità;
ha un impatto enorme;
nonostante il suo carattere di evento isolato,
la natura umana ci spinge a elaborare a posteriori
giustificazioni della sua comparsa per renderlo
spiegabile e prevedibile.
A black swan
Il processo cardine della sicurezza
Classificazione
degli asset
Requisiti di sicurezza
/security goal
PRESIDIO
RECOVERY
Controlli
In uso
Rischio attuale
Risposta
al rischio
Rischio residuo
evitare
mitigare
trasferire
accettare
STAY TUNED…and DON’T GIVE UP!