Monitoraggio degli attacchi
Transcript
Monitoraggio degli attacchi
ABI Lab Centro di Ricerca e Sviluppo delle Tecnologie per la Banca La difesa delle banche dagli attacchi informatici Romano STASI Ricerca e Sviluppo ABI Lab Roma, 28 Maggio 2003 La difesa delle banche: lo scenario degli attacchi informatici Le attuali soluzioni basate sui sistemi informatici e telematici presentano, nella loro crescente complessità, punti vulnerabili e offrono nuove possibilità di comportamenti criminali che assumono una grande varietà di forme. I rischi connessi a tale situazione, seppure da sempre presenti alla sensibilità e all’attenzione dei responsabili della sicurezza, risultano senza dubbio notevolmente amplificati nell’attuale contesto, contrassegnato dalla sensibile recrudescenza delle minacce terroristiche. Più che mai opportuna risulta, quindi, una rinnovata e vigile attenzione, che si accompagni, quando possibile, con la predisposizione di ulteriori misure di sicurezza, da attivare anche in una logica di mutua cooperazione. Si Sièèritenuto ritenutodidilanciare, lanciare,attraverso attraversoABI ABILab, Lab,lalacostituzione costituzionedidiuna una struttura strutturadi dimonitoraggio monitoraggiodel delfenomeno fenomenodegli degliattacchi attacchiinformatici, informatici, alalfine finedidimantenere mantenereelevato elevatoeecostantemente costantementeaggiornato aggiornatoilillivello livellodi di conoscenza conoscenzasulle sullepiù piùrecenti recentievoluzioni evoluzionieeproblematiche problematicheper per attuare attuarenel nelsistema sistemabancario bancariolalamigliore migliorerisposta rispostaagli agliattacchi. attacchi. Sicurezza 2003 Associazione Bancaria Italiana -2- L’iniziativa ABI Lab“Centrale d’allarmi”: Monitorare il contesto La possibilità di monitorare il fenomeno a livello di sistema permetterà di attenuare il conflitto asimmetrico (ordinamento noto - nemici ignoti) ed adeguare continuamente il livello di conoscenza a supporto della protezione della banca. • • • • • Leggi decreti normative standard Monitoraggio di sistema • • • • • Evoluzione gestionale e tecnologica Tipologie di attacchi e intrusioni Sicurezza 2003 Standard e accordi Attori e interdipendenze Ruoli/Responsabilità Obblighi e Sanzioni Controlli/verifiche • • • • Nuove modalità gestionali Opportunità di soluzioni e servizi Debolezze architetturali e applicative Bugs Vulnerabilità Debolezze architetturali Debolezze applicative Vulnerabilità Worms, virus Associazione Bancaria Italiana -3- Monitoraggio del contesto normativo Al fine di mantenere e potenziare lo scambio informativo tra il settore bancario e gli attori che indirizzano le azioni per la prevenzione e repressione dei crimini informatici sono state intraprese azioni per istituire un presidio permanente della tematica. • Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri – L’ABI e il Dipartimento per l’Innovazione e le Tecnologie della Presidenza del Consiglio dei Ministri hanno siglato un accordo quadro per l’attivazione di sinergie su temi di ricerca di interesse comune e lo scambio di conoscenze in ambito ICT. – L’ABI parteciperà attivamente al costituendo “Osservatorio Permanente sulla ricerca applicata ICT in Italia”, mettendo a disposizione la base di conoscenza prodotta e aggregata da ABI Lab. • In particolare sono state individuate le seguenti aree di convergenza: telecomunicazioni, tecnologie applicate alla sicurezza logica e fisica (business continuity, contrasto della criminalità informatica), soluzioni per l’accesso ai servizi e ai documenti della P.A. • Forze dell’Ordine – Sul versante dei rapporti di collaborazione, l’ABI partecipa ad un’attività di studio e ricerca condotta insieme alla Polizia Postale e delle Comunicazioni sui temi della prevenzione e repressione dei crimini informatici in particolare attraverso il web (hacking, diffusione di virus, eversione e intercettazioni telematiche via emissioni teleradiofoniche). – D’intesa con la Polizia Postale e delle Comunicazioni è stato definita la costituzione di un presidio per contrastare gli attacchi ai sistemi informatici e telematici cui è affidata la continuità dell’attività bancaria e dei servizi resi alle banche. A tal fine verrà costruito un modello di monitoraggio operativo del fenomeno. Sicurezza 2003 Associazione Bancaria Italiana -4- Monitoraggio delle migliori modalità Il sistema bancario italiano, già fortemente attivo nella predisposizione di tutte le migliori modalità per fronteggiare il fenomeno degli attacchi alle reti telematiche mantiene elevata l’attenzione sulle minacce e i rischi della propria infrastruttura. Analisi Rischi Analisi Monitor. Gestione Analisi Rischi EDP Auditing Vulnerabilità Vuln. Vulnerabilità Vuln. Incidenti Fonte: “Rilevazione stato di automazione” (2002 CIPA-ABI) Processi di indirizzo Analisi e valutaz rischio Mitigazione rischio Identificazione Identificazione contromisure contromisure Pianificazione Pianificazione Costi Costi Progettazione Progettazione contromisure contromisure Definizione Definizione esigenze esigenze acquisti acquisti Definizione Definizione Budget Budget Implementazione Implementazione Gestione Gestione Policies Policies ee normative normative Definizione Definizione Normative Normative Diffusione Diffusione Normative Normative Formazione Formazione Auditing Auditing Certificazione Certificazione Auditing Auditing Normativo Normativo Auditing Auditing Operativo Operativo Business Business Continuity Continuity Analisi Analisi impatti impatti sul sul business business Business Business continuity continuity planning planning Test Test ee manutenzione manutenzione piani/processo piani/processo Processi operativi L’iniziativa ABI Lab persegue l’obiettivo di condividere le modalità di successo a livello di sistema attraverso lo sviluppo del modello trasversale della sicurezza Sicurezza 2003 Progettazione Progettazione implementazione implementazione contromisure contromisure Gestione del rischio Gestione Gestione ee controllo controllo accessi accessi Strutture Strutture bancarie bancarie Infrastruttura Infrastruttura tecnologica tecnologica Banca Banca Multicanale Multicanale Associazione Bancaria Italiana Trattamento Trattamento del del denaro denaro Sicurezza Sicurezza ee manutenzione manutenzione ambienti ambienti Sorveglianza Sorveglianza ee gestione gestione allarmi allarmi Sicurezza Sicurezza Informazioni, Informazioni, applicativi applicativi ee rete rete Supporto Supporto operativo operativo Help Help Desk Desk sicurezza sicurezza Team Team di di intervento intervento Assistenza Assistenza sul sul territorio territorio -5- Monitoraggio dell’evoluzione tecnologica: soluzioni e servizi La necessità del sistema bancario di rafforzare continuamente le proprie misure di sicurezza crea l’esigenza di integrare e utilizzare uno spettro completo di soluzioni tecnologiche e servizi di sicurezza. Fonte: “Rilevazione stato di automazione” (2002 CIPA-ABI) Priorità nelle future attività di protezione ABI Lab si propone di aggregare il contributo dei Partner consorziati per facilitare l’accesso alle soluzioni di sicurezza Sicurezza 2003 • Managing Firewall and Intrusion Detection Devices • Establishing/Maintaining Antivirus Capability • Securing Remote Access to Corporate Network • Establishing/Enforcing Security Policy • Detecting and Responding to Security Incidents • Securing Desktop Computing Environment • Securing Wireless Networks and Devices • Implementing/Integrating Security Infrastructure • Developing Security Architecture Fonte: Gartner Dataquest • Securing E-Business Efforts (131 US companies 09/2002) Associazione Bancaria Italiana -6- Monitoraggio dell’evoluzione tecnologica: vulnerabilità La banca si predispone per aggiornare continuamente la propria infrastruttura di rete rispetto alle vulnerabilità conosciute mediante contromisure e le soluzioni (es.patches) a fronte di un fenomeno in forte crescita. Organizzazioni internazionali presidiano le vulnerabilità tecnologiche • www.cert.org • www.nist.gov • icat.nist.gov (top ten list) • cve.mitre.org • www.ntsecurity.net • www.sans.org • www.ntbugtraq.com • www.ubizen.com #vulnerabilities CERT/CC statistics 1995-2002 5.000 4.500 4.000 3.500 3.000 2.500 2.000 1.500 1.000 500 1995 1996 1997 1998 1999 2000 2001 2002 year La banca raccoglie, da molti fonti, informazioni non specifiche per la propria realtà Sicurezza 2003 ABI Lab si propone di aggregare il contributo dei Partner consorziati per facilitare il monitoraggio delle vulnerabilità della singola banca per fornire analisi aggregate a livello di sistema Associazione Bancaria Italiana -7- Monitoraggio degli attacchi: l’evoluzione in atto Il cambiamento in atto nelle tipologie e modalità di attacco evidenzia un contesto in cui l’Hacker necessita di sempre minori competenze specialistiche e attacca principalmente attraverso l’infrastruttura WEB Fonte: CERT Conoscere le modalità e gli strumenti per attaccare richiede sempre minore esperienza • Numero degli allarmi raddoppiati negli ultimi 5 mesi (aprile 2003) • il 20% degli allarmi deriva dal traffico interno • 50% degli attacchi sono Worms (Code Red, Nimda, SQL) • Tra gli attacchi non legati a worms, un terzo è chiaramente mirato e focalizzato (es. a una azienda, a una tipologia di Host/server/dispositivo) • Http è tra le prime 5 vie di esplorazione (con ftp, sql, rpc, ssh) Sicurezza 2003 Associazione Bancaria Italiana Fonte dati: Ubizen 05/2003 -8- Monitoraggio degli attacchi: le prime analisi effettuate L’osservazione continua del contesto dei rischi e degli attacchi permette alla banca di adeguare le contromisure in termini di azioni di risposta, azioni preventive, policy e soluzioni tecnologiche. • Vulnerabilità Hardware e Software • Perdita di Intellectual Property / Dati dei clienti • External Hackers Eventi –Attacchi alla RETE AZIENDALE per azioni dimostrative / danni / frodi maggiormente critici –Attacchi finalizzati all’interruzione del servizio (Denial of Service) per i security • Errori dei dipendenti sul Software o sull’uso del computer manager • Furti • Azioni intenzionalmente fraudolente dei dipendenti Fonte: Gartner Dataquest (131 US companies 09/2002) L’iniziativa L’iniziativa“Centrale “Centraleallarmi” allarmi”vuole vuolemonitorare monitoraregli gliattacchi attacchieelelereali reali modalità modalitàdidiintrusione intrusioneattraverso attraversolelereti retitelematiche telematichedel delsistema sistemabancario bancario per perrendere renderevisibile visibilein inmodo modoaggregato aggregatoeeriservato riservatoililfenomeno fenomeno AAtal talfine, fine,ininprima primaanalisi, analisi,abbiamo abbiamoraccolto raccoltoun un CASO REALE DEL MONDO BANCARIO EUROPEO CASO REALE DEL MONDO BANCARIO EUROPEO Sicurezza 2003 Associazione Bancaria Italiana -9- Caso reale del mondo bancario europeo • Rilevazione reale su 10 istituti finanziari europei nel mese di Aprile 2003 Eventi monitorati sulla rete degli istituti Proposte Correttive • Policy • Eventi – 5.000.000 eventi generati da diversi dispositivi di sicurezza – 250.000 sono stati identificati come allarmi reali (Livello 0, 1 o 2) – 15 proposte di modifica delle policy in esercizio, destinate ad incrementare il livello di sicurezza e l’accuratezza dell’effettivo monitoraggio • “fine-tuning” • Allarmi reali“Escalations” – 500 eventi di livello 0: immediatamente gestiti all’interno delle “finestre temporali” – 1.500 eventi di livello 1: segnalati come reali minacce sulle reti monitorate – correzione delle politiche di monitoraggio delle sonde IDS per ridurre il numero di falsi allarmi generato dai dispositivi di sicurezza. – 248.000 eventi di livello 2: identificati come attacchi incapaci di provocare danni Fonte dati: Ubizen 05/2003 Sicurezza 2003 Associazione Bancaria Italiana - 10 - Caso reale del mondo bancario europeo: le modalità di intrusione La rilevazione effettuata ha permesso di identificare le modalità di intrusione maggiormente utilizzate. Signature Description Remote Command Access IIS Dot Dot Execute Attack 3,1% 3,1% Remote Command Execution WWW WinNT cmd.exe Access FTP Remote Command Execution PHP File Inclusion Remote Exec 3,8% 3,0% 25,6% 32,40% Denial of Service IIS Dot Dot Crash Attack ICMP Length > 1024 2,8% 38,0% 40,80% Authentication Failure NT or SAMBA password failure 1,0% 1,0% Info Retrieval ICMP echo request IIS DOT DOT View Attack IIS CGI Double Decode 13,0% 2,3% 1,1% 16,40% 6,3% 6,3% Others Frequency/ Frequency/ Occurrences Occurrences Increasing Severity ATTACCHI maggiormente critici Attack Assessment • 1450 dei 1500 rivolti all’infrastruttura Web delle banche sono stati causati ALLARMI LIVELLO 1 de facto da Worm • I rimanenti 50 attacchi sono stati identificati come provenienti dalle reti interne delle banche Fonte dati: Ubizen 05/2003 Sicurezza 2003 Associazione Bancaria Italiana - 11 - Conclusioni Lo scenario analizzato sottolinea la necessità di creare un punto di vista aggregato e focalizzato sul sistema bancario italiano per mettere a fattor comune la conoscenza, le esperienze di successo e le migliori soluzioni a supporto della protezione dagli attacchi alle reti telematiche. COSA ABBIAMO FATTO • Identificati attraverso i Partner ABI Lab servizi informativi sulle vulnerabilità conosciute utilizzabili dalle banche (Information Quest) • Effettuata un’analisi sui servizi e le modalità di monitoraggio degli allarmi (managed security services) PROSSIME ATTIVITA’ • Costruire un modello di monitoraggio operativo a livello di sistema • Raccogliere le migliori modalità operative di gestione e condividerle nella rappresentazione del modello trasversale della sicurezza • Istituire modalità continuative di informazione verso il settore bancario del fenomeno degli attacchi alle reti telematiche (workshop dedicato sulle soluzioni disponibili) • Realizzare soluzioni pilota con banche per agevolare il monitoraggio attivo del fenomeno a livello di sistema (workshop dedicato sulle soluzioni disponibili) • Aggregare soluzioni e servizi complementari a supporto della gestione della sicurezza attraverso i Partner ABI Lab Sicurezza 2003 Associazione Bancaria Italiana - 12 - FS-IAC Sicurezza 2003 Associazione Bancaria Italiana - 13 - Monitoraggio dell’evoluzione tecnologica: soluzioni e servizi Priorità nelle future attività di protezione •Managing Firewall and Intrusion Detection Devices •Establishing/Maintaining Antivirus Capability •Securing Remote Access to Corporate Network •Establishing/Enforcing Security Policy •Detecting and Responding to Security Incidents •Securing Desktop Computing Environment •Securing Wireless Networks and Devices •Implementing/Integrating Security Infrastructure •Developing Security Architecture •Securing E-Business Efforts Fonte: Gartner Dataquest (131 US companies 09/2002) Sicurezza 2003 Associazione Bancaria Italiana - 14 - Business Continuity Management: modelli gestionali e strumenti operativi Milano, 4 luglio 2003 OBIETTIVI Il seminario si propone di approfondire, anche con contributi europei, le possibili soluzioni che le banche possono adottare per sensibilizzare le proprie organizzazioni sul tema della Business Continuity, trasferendo specifici modelli gestionali e strumenti operativi di diagnosi, analisi e monitoraggio dei processi aziendali. TESTIMONIANZE Lo “stato dell’arte” sulla Business Continuity nel settore bancario Italiano: vincoli ed opportunità - Massimiliano Magi Spinetti – ABI La Business Continuity Management: come diffondere e consolidare concretamente la cultura della sicurezza in banca – John Sharp – CEO del Business Continuity Institute Perchè la Business Continuity genera valore economico per l’azienda? Valutare il rapporto costi/investimento – Barbara Ferrario – Università Bocconi-SPACE (Centro europeo per gli studi sulla protezione aziendale) Profili tecnologici e organizzativi della Business Continuity – Romano Stasi - Ricerca e Sviluppo – ABI Lab Sicurezza 2003 Il ruolo di ABI a sostegno delle Banche: costruire un “cruscotto” aziendale per la Associazione Business Continuity Bancaria Italiana - 15 -