Monitoraggio degli attacchi

Transcript

ABI Lab
Centro di Ricerca e Sviluppo delle Tecnologie per la Banca
La difesa delle banche dagli attacchi informatici
Romano STASI
Ricerca e Sviluppo ABI Lab
Roma, 28 Maggio 2003
La difesa delle banche:
lo scenario degli attacchi informatici
Le attuali soluzioni basate sui sistemi informatici e telematici presentano, nella loro
crescente complessità, punti vulnerabili e offrono nuove possibilità di comportamenti
criminali che assumono una grande varietà di forme.
I rischi connessi a tale situazione, seppure da sempre presenti alla sensibilità e
all’attenzione dei responsabili della sicurezza, risultano senza dubbio notevolmente
amplificati nell’attuale contesto, contrassegnato dalla sensibile recrudescenza delle
minacce terroristiche.
Più che mai opportuna risulta, quindi, una rinnovata e vigile attenzione, che si
accompagni, quando possibile, con la predisposizione di ulteriori misure di sicurezza,
da attivare anche in una logica di mutua cooperazione.
Si
Sièèritenuto
ritenutodidilanciare,
lanciare,attraverso
attraversoABI
ABILab,
Lab,lalacostituzione
costituzionedidiuna
una
struttura
strutturadi
dimonitoraggio
monitoraggiodel
delfenomeno
fenomenodegli
degliattacchi
attacchiinformatici,
informatici,
alalfine
finedidimantenere
mantenereelevato
elevatoeecostantemente
costantementeaggiornato
aggiornatoilillivello
livellodi
di
conoscenza
conoscenzasulle
sullepiù
piùrecenti
recentievoluzioni
evoluzionieeproblematiche
problematicheper
per
attuare
attuarenel
nelsistema
sistemabancario
bancariolalamigliore
migliorerisposta
rispostaagli
agliattacchi.
attacchi.
Sicurezza 2003
Associazione Bancaria Italiana
-2-
L’iniziativa ABI Lab“Centrale d’allarmi”:
Monitorare il contesto
La possibilità di monitorare il fenomeno a livello di sistema permetterà di attenuare il
conflitto asimmetrico (ordinamento noto - nemici ignoti) ed adeguare continuamente il
livello di conoscenza a supporto della protezione della banca.
•
•
•
•
•
Leggi decreti
normative standard
Monitoraggio
di sistema
•
•
•
•
•
Evoluzione gestionale
e tecnologica
Tipologie di
attacchi e intrusioni
Sicurezza 2003
Standard e accordi
Attori e interdipendenze
Ruoli/Responsabilità
Obblighi e Sanzioni
Controlli/verifiche
•
•
•
•
Nuove modalità gestionali
Opportunità di soluzioni e servizi
Debolezze architetturali e applicative
Bugs
Vulnerabilità
Debolezze architetturali
Debolezze applicative
Vulnerabilità
Worms, virus
-3-
Monitoraggio del contesto normativo
Al fine di mantenere e potenziare lo scambio informativo tra il settore bancario e gli attori
che indirizzano le azioni per la prevenzione e repressione dei crimini informatici sono state
intraprese azioni per istituire un presidio permanente della tematica.
• Dipartimento per l’Innovazione e le Tecnologie della Presidenza del
Consiglio dei Ministri
–
L’ABI e il Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri hanno siglato
un accordo quadro per l’attivazione di sinergie su temi di ricerca di interesse comune e lo scambio di
conoscenze in ambito ICT.
–
L’ABI parteciperà attivamente al costituendo “Osservatorio Permanente sulla ricerca applicata ICT in Italia”,
mettendo a disposizione la base di conoscenza prodotta e aggregata da ABI Lab.
• In particolare sono state individuate le seguenti aree di convergenza: telecomunicazioni, tecnologie
applicate alla sicurezza logica e fisica (business continuity, contrasto della criminalità informatica),
soluzioni per l’accesso ai servizi e ai documenti della P.A.
• Forze dell’Ordine
–
Sul versante dei rapporti di collaborazione, l’ABI partecipa ad un’attività di studio e ricerca condotta insieme
alla Polizia Postale e delle Comunicazioni sui temi della prevenzione e repressione dei crimini informatici in
particolare attraverso il web (hacking, diffusione di virus, eversione e intercettazioni telematiche via emissioni
teleradiofoniche).
–
D’intesa con la Polizia Postale e delle Comunicazioni è stato definita la costituzione di un presidio per
contrastare gli attacchi ai sistemi informatici e telematici cui è affidata la continuità dell’attività bancaria e dei
servizi resi alle banche. A tal fine verrà costruito un modello di monitoraggio operativo del fenomeno.
Sicurezza 2003
-4-
Monitoraggio delle migliori modalità
Il sistema bancario italiano, già fortemente attivo nella predisposizione di tutte le
migliori modalità per fronteggiare il fenomeno degli attacchi alle reti telematiche
mantiene elevata l’attenzione sulle minacce e i rischi della propria infrastruttura.
Analisi Rischi
Analisi
Monitor. Gestione
Analisi Rischi EDP Auditing Vulnerabilità
Vuln.
Vulnerabilità
Vuln. Incidenti
Fonte: “Rilevazione stato di automazione”
(2002 CIPA-ABI)
Processi di indirizzo
Analisi e valutaz
rischio
Mitigazione
rischio
Identificazione
Identificazione
contromisure
contromisure
Pianificazione
Pianificazione Costi
Costi
Progettazione
Progettazione
contromisure
contromisure
Definizione
Definizione
esigenze
esigenze acquisti
acquisti
Definizione
Definizione
Budget
Budget
Implementazione
Implementazione
Gestione
Gestione Policies
Policies ee normative
normative
Definizione
Definizione
Normative
Normative
Diffusione
Diffusione
Normative
Normative
Formazione
Formazione
Auditing
Auditing
Certificazione
Certificazione
Auditing
Auditing
Normativo
Normativo
Auditing
Auditing
Operativo
Operativo
Business
Business Continuity
Continuity
Analisi
Analisi
impatti
impatti sul
sul
business
business
Business
Business
continuity
continuity
planning
planning
Test
Test ee manutenzione
manutenzione
piani/processo
piani/processo
Processi operativi
L’iniziativa ABI Lab persegue
l’obiettivo di condividere le
modalità di successo a
livello di sistema attraverso
lo sviluppo del modello
trasversale della sicurezza
Sicurezza 2003
Progettazione
Progettazione
implementazione
implementazione
contromisure
contromisure
Gestione del rischio
Gestione
Gestione ee controllo
controllo accessi
accessi
Strutture
Strutture
bancarie
bancarie
Infrastruttura
Infrastruttura
tecnologica
tecnologica
Banca
Banca
Multicanale
Multicanale
Trattamento
Trattamento del
del
denaro
denaro
Sicurezza
Sicurezza ee
manutenzione
manutenzione
ambienti
ambienti
Sorveglianza
Sorveglianza ee
gestione
gestione allarmi
allarmi
Sicurezza
Sicurezza
Informazioni,
Informazioni,
applicativi
applicativi
ee rete
rete
Supporto
Supporto operativo
operativo
Help
Help Desk
Desk
sicurezza
sicurezza
Team
Team di
di
intervento
intervento
Assistenza
Assistenza
sul
sul territorio
territorio
-5-
Monitoraggio dell’evoluzione tecnologica:
soluzioni e servizi
La necessità del sistema bancario di rafforzare continuamente le proprie misure di
sicurezza crea l’esigenza di integrare e utilizzare uno spettro completo di
soluzioni tecnologiche e servizi di sicurezza.
Fonte: “Rilevazione
stato di automazione”
(2002 CIPA-ABI)
Priorità nelle future attività di protezione
ABI Lab si propone di
aggregare il contributo
dei Partner consorziati per
facilitare l’accesso alle
soluzioni di sicurezza
Sicurezza 2003
• Managing Firewall and Intrusion Detection Devices
• Establishing/Maintaining Antivirus Capability
• Securing Remote Access to Corporate Network
• Establishing/Enforcing Security Policy
• Detecting and Responding to Security Incidents
• Securing Desktop Computing Environment
• Securing Wireless Networks and Devices
• Implementing/Integrating Security Infrastructure
• Developing Security Architecture
Fonte: Gartner Dataquest
• Securing E-Business Efforts
(131 US companies 09/2002)
-6-
vulnerabilità
La banca si predispone per aggiornare continuamente la propria infrastruttura di rete
rispetto alle vulnerabilità conosciute mediante contromisure e le soluzioni
(es.patches) a fronte di un fenomeno in forte crescita.
Organizzazioni internazionali
presidiano le vulnerabilità
tecnologiche
• www.cert.org
• www.nist.gov
• icat.nist.gov (top ten list)
• cve.mitre.org
• www.ntsecurity.net
• www.sans.org
• www.ntbugtraq.com
• www.ubizen.com
#vulnerabilities
CERT/CC statistics 1995-2002
5.000
4.500
4.000
3.500
3.000
2.500
2.000
1.500
1.000
500
1995
1996
1997
1998
1999
2000
2001
2002
year
La banca raccoglie, da molti
fonti, informazioni non
specifiche per la propria
realtà
Sicurezza 2003
ABI Lab si propone di aggregare il
contributo dei Partner consorziati
per facilitare il monitoraggio delle
vulnerabilità della singola banca per
fornire analisi aggregate a livello di
sistema
-7-
Monitoraggio degli attacchi:
l’evoluzione in atto
Il cambiamento in atto nelle tipologie e modalità di attacco evidenzia un contesto in cui
l’Hacker necessita di sempre minori competenze specialistiche e attacca
principalmente attraverso l’infrastruttura WEB
Fonte: CERT
Conoscere le modalità e gli
strumenti per attaccare richiede
sempre minore esperienza
• Numero degli allarmi raddoppiati negli ultimi 5 mesi (aprile 2003)
• il 20% degli allarmi deriva dal traffico interno
• 50% degli attacchi sono Worms (Code Red, Nimda, SQL)
• Tra gli attacchi non legati a worms, un terzo è chiaramente mirato e focalizzato
(es. a una azienda, a una tipologia di Host/server/dispositivo)
• Http è tra le prime 5 vie di esplorazione (con ftp, sql, rpc, ssh)
Sicurezza 2003
Fonte dati: Ubizen 05/2003
-8-
Monitoraggio degli attacchi:
le prime analisi effettuate
L’osservazione continua del contesto dei rischi e degli attacchi permette alla banca
di adeguare le contromisure in termini di azioni di risposta, azioni preventive, policy
e soluzioni tecnologiche.
• Vulnerabilità Hardware e Software
• Perdita di Intellectual Property / Dati dei clienti
• External Hackers
Eventi
–Attacchi alla RETE AZIENDALE per azioni dimostrative / danni / frodi
maggiormente critici
–Attacchi finalizzati all’interruzione del servizio (Denial of Service)
per i security
• Errori dei dipendenti sul Software o sull’uso del computer
manager
• Furti
• Azioni intenzionalmente fraudolente dei dipendenti
Fonte: Gartner Dataquest (131 US companies 09/2002)
L’iniziativa
L’iniziativa“Centrale
“Centraleallarmi”
allarmi”vuole
vuolemonitorare
monitoraregli
gliattacchi
attacchieelelereali
reali
modalità
modalitàdidiintrusione
intrusioneattraverso
attraversolelereti
retitelematiche
telematichedel
delsistema
sistemabancario
bancario
per
perrendere
renderevisibile
visibilein
inmodo
modoaggregato
aggregatoeeriservato
riservatoililfenomeno
fenomeno
AAtal
talfine,
fine,ininprima
primaanalisi,
analisi,abbiamo
abbiamoraccolto
raccoltoun
un
CASO
REALE
DEL
MONDO
BANCARIO
EUROPEO
CASO REALE DEL MONDO BANCARIO EUROPEO
Sicurezza 2003
-9-
Caso reale del mondo bancario europeo
• Rilevazione reale su 10 istituti finanziari europei nel mese di Aprile 2003
Eventi monitorati sulla rete degli istituti
Proposte Correttive
• Policy
• Eventi
– 5.000.000 eventi generati da diversi dispositivi
di sicurezza
– 250.000 sono stati identificati come allarmi
reali (Livello 0, 1 o 2)
– 15 proposte di modifica delle
policy in esercizio, destinate
ad incrementare il livello di
sicurezza e l’accuratezza
dell’effettivo monitoraggio
• “fine-tuning”
• Allarmi reali“Escalations”
– 500 eventi di livello 0: immediatamente
gestiti all’interno delle “finestre temporali”
– 1.500 eventi di livello 1: segnalati come reali
minacce sulle reti monitorate
– correzione delle politiche di
monitoraggio delle sonde IDS
per ridurre il numero di falsi
allarmi generato dai dispositivi
di sicurezza.
– 248.000 eventi di livello 2: identificati come
attacchi incapaci di provocare danni
Sicurezza 2003
- 10 -
Caso reale del mondo bancario europeo:
le modalità di intrusione
La rilevazione effettuata ha permesso di identificare le modalità di intrusione
maggiormente utilizzate.
Signature
Description
Remote Command Access
IIS Dot Dot Execute Attack
3,1%
3,1%
Remote Command
Execution
WWW WinNT cmd.exe Access
FTP Remote Command Execution
PHP File Inclusion Remote Exec
3,8%
3,0%
25,6%
32,40%
Denial of Service
IIS Dot Dot Crash Attack
ICMP Length > 1024
2,8%
38,0%
40,80%
Authentication Failure
NT or SAMBA password failure
1,0%
1,0%
Info Retrieval
ICMP echo request
IIS DOT DOT View Attack
IIS CGI Double Decode
13,0%
2,3%
1,1%
16,40%
6,3%
6,3%
Others
Frequency/
Frequency/
Occurrences Occurrences
Increasing Severity
ATTACCHI
maggiormente
critici
Attack Assessment
• 1450 dei 1500 rivolti all’infrastruttura Web delle banche sono stati causati
ALLARMI
LIVELLO 1
de facto da Worm
• I rimanenti 50 attacchi sono stati identificati come provenienti dalle reti interne
delle banche
Sicurezza 2003
- 11 -
Conclusioni
Lo scenario analizzato sottolinea la necessità di creare un punto di vista aggregato e
focalizzato sul sistema bancario italiano per mettere a fattor comune la conoscenza, le
esperienze di successo e le migliori soluzioni a supporto della protezione dagli attacchi
alle reti telematiche.
COSA ABBIAMO FATTO
• Identificati attraverso i Partner ABI Lab servizi informativi sulle vulnerabilità conosciute
utilizzabili dalle banche (Information Quest)
• Effettuata un’analisi sui servizi e le modalità di monitoraggio degli allarmi
(managed security services)
PROSSIME ATTIVITA’
• Costruire un modello di monitoraggio operativo a livello di sistema
• Raccogliere le migliori modalità operative di gestione e condividerle nella rappresentazione del
modello trasversale della sicurezza
• Istituire modalità continuative di informazione verso il settore bancario del fenomeno degli
attacchi alle reti telematiche (workshop dedicato sulle soluzioni disponibili)
• Realizzare soluzioni pilota con banche per agevolare il monitoraggio attivo del fenomeno a livello
di sistema (workshop dedicato sulle soluzioni disponibili)
• Aggregare soluzioni e servizi complementari a supporto della gestione della sicurezza
attraverso i Partner ABI Lab
Sicurezza 2003
- 12 -
FS-IAC
Sicurezza 2003
- 13 -
soluzioni e servizi
Priorità nelle future attività di protezione
•Managing Firewall and Intrusion Detection Devices
•Establishing/Maintaining Antivirus Capability
•Securing Remote Access to Corporate Network
•Establishing/Enforcing Security Policy
•Detecting and Responding to Security Incidents
•Securing Desktop Computing Environment
•Securing Wireless Networks and Devices
•Implementing/Integrating Security Infrastructure
•Developing Security Architecture
•Securing E-Business Efforts
Fonte: Gartner Dataquest
(131 US companies 09/2002)
Sicurezza 2003
- 14 -
Business Continuity Management:
modelli gestionali e strumenti operativi
Milano, 4 luglio 2003
OBIETTIVI
Il seminario si propone di approfondire, anche con contributi europei, le
possibili soluzioni che le banche possono adottare per sensibilizzare le
proprie organizzazioni sul tema della Business Continuity, trasferendo
specifici modelli gestionali e strumenti operativi di diagnosi, analisi e
monitoraggio dei processi aziendali.
TESTIMONIANZE Lo “stato dell’arte” sulla Business Continuity nel settore bancario
Italiano: vincoli ed opportunità - Massimiliano Magi Spinetti – ABI
La Business Continuity Management: come diffondere e consolidare
concretamente la cultura della sicurezza in banca – John Sharp – CEO
del Business Continuity Institute
Perchè la Business Continuity genera valore economico per l’azienda?
Valutare il rapporto costi/investimento – Barbara Ferrario – Università
Bocconi-SPACE (Centro europeo per gli studi sulla protezione
aziendale)
Profili tecnologici e organizzativi della Business Continuity – Romano
Stasi - Ricerca e Sviluppo – ABI Lab
Sicurezza 2003
Il ruolo di ABI a sostegno delle Banche: costruire un “cruscotto”
aziendale per la Associazione
Business
Continuity
Bancaria Italiana
- 15 -

Monitoraggio degli attacchi

Transcript

Documenti analoghi

Attacchi di squalo: problema reale o fenomeno

ACQUISTA 1 ANNUARIO E CON SOLO 1 € AVRAI GLI ALTRI DUE

Ettore Carneade

Equipaggiamento Moto Grand Dink 125 150 250 (00 > 07)

Equipaggiamento Moto Beverly Cruiser 250 500 (07 > 11)

the importance of layered security_fin_ITA6

1237-east39_P_88_ItaWeb

N08 Analisi del quadro normativo Italiano

36th Forum EBR

MODEM SPY USB