Attacchi informatici in Italia: la situazione dal Rapporto 2015 OAI
Transcript
Attacchi informatici in Italia: la situazione dal Rapporto 2015 OAI
Attacchi informatici in Italia: la situazione dal Rapporto 2015 OAI Marco R.A. Bozzetti CEO Malabo Srl Ideatore e curatore OAI Consiglio Direttivo e Communication Officer AIPSI 1 Marco R.A. Bozzetti • 1973 Laurea in Ingegneria elettronica al Politecnico di Milano • 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN, prima rete europea di ricerca (tipo ARPA) a commutazione di pacchetto • 1976-80 Olivetti R&D – Ivrea:Responsabile ONE, Olivetti Network Environment, e comitati standard ISO, CCITT (ora ITU-C) , ECMA (chairman VFS) • 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 1982-84 Italtel Telematica : responsabile pianificazione strategica • 1984-87 Arthur Andersen Management Consultants • 1987-91 fondatore e Partner Ibimaint System Engineers • 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza • 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET • 1995-2000 CIO Gruppo ENI • 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab • Dal 2001 Fondatore e Amministratore Unico Malabo Srl • FTI, Forum delle Tecnologie dell’Informazione (fondatore) • EITO, European Information Technology Observatory ( Co-ideatore e Chief Scientist) • ClubTI di Milano (Past President) • FidaInform, Federazione Italiana delle Associazioni Professionali di Information Management (Past President) • AIPSI-ISSA, Consiglio Direttivo – Comms Officer 2 AIPSI, Associazione Italiana Professionisti Sicurezza Informatica http://www.aipsi.org/ • Capitolo italiano di ISSA, Information Systems Security Association, (www.issa.org) • 13.000 Soci, la più grande associazione non-profit di professionisti della Sicurezza ICT • ISSA Journal, Webinar, Conferenze, … • AIPSI è il punto di aggregazione e di trasferimento di know-how sul territorio per i professionisti della sicurezza, sia dipendenti sia liberi professionisti ed imprenditori del settore • Primari obiettivi AIPSI • diffondere la cultura e la sensibilizzazione per la sicurezza informatica agli utenti digitali, • offrire ai propri Soci qualificati servizi per la loro crescita professionale • Sedi territoriali : Milano, Ancona-Macerata, Roma, Lecce • Collaborazione con varie associazioni ICT ed Enti per eventi, progetti ed iniziative congiunte: AICA, Anorc, ClubTI Milano e Roma, CSA Italy, FidaInform, Inforav, Polizia Postale, Smau, ecc. 3 OAI, Osservatorio Attacchi Informatici in Italia • Obiettivi iniziativa – Fornire informazioni sulla reale situazione degli attacchi informatici in Italia – Contribuire alla creazione di una cultura della sicurezza informatica in Italia – Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica • Che cosa fa – Indagine annuale condotta attraverso un questionario on-line indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole aziende – Rubrica mensile OAI sulla rivista Office Automation di Soiel da marzo 2010 – Gruppo OAI su Linked • Come – Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i costi di realizzazione) – Stretto anonimato dei rispondenti al questionario on line via web – Collaborazione con numerose associazioni (Patrocinatori) per ampliare il bacino dei rispondenti e dei lettori 4 5 Sponsorizzazioni e patrocini OAI 2015 con la collaborazione di Patrocinatori 6 Indice Rapporto OAI 2015 • • • • • • • • • • • • • 1. Executive Summary 1En. Executive Summary in English 2. Introduzione – 2.1 Le motivazioni dell’Osservatorio sugli Attacchi Informatici in Italia – 2.2 Aspetti metodologici dell’indagine OAI 3. Le tipologie di attacco considerate 4. Gli attacchi informatici rilevati – 4.1 Gli impatti degli attacchi rilevati – 4.2 I dati dalla Polizia Postale e dal Cnaipic – 4.3 Nuovi e vecchi attacchi • 4.3.1 Vulnerabilità e codici maligni – 4.3.1.1 Heartbleed – 4.3.1.2 Antivirus insicuri • 4.3.2 Il rischio Malvertising • 4.3.3 Targeted Attack e Advanced Persistent Threat – 4.2.3.1 Gli attacchi Watering Hole • 4.3.4 Gli attacchi per l’Internet delle Cose (IoT, Internet of Thinks) • 4.3.5 La situazione a livello europeo secondo ENISA 5. L’individuazione e la gestione degli attacchi 6. Strumenti e misure di sicurezza ICT adottate – 6.1 Sicurezza fisica – 6.2 Sicurezza logica – 6.3 Gli strumenti per la gestione della sicurezza digitale – 6.4 Le misure organizzative • 6.4.1 Conformità a standard e a “buone pratiche” • 6.4.2 Audit ICT • 6.4.3 La struttura organizzativa interna per la sicurezza ICT 7. Gli attacchi più temuti nel futuro Allegato A - Il campione emerso dall’indagine – A.1 Chi ha risposto: ruolo e tipo di azienda/ente – A.2 Macro caratteristiche dei sistemi informatici del campione emerso dall’indagine Allegato B - Profili Sponsor Allegato C - Riferimenti e fonti – C.1 Dall’OCI all’OAI: un po’ di storia... e di attualità – C.2 Le principali fonti sugli attacchi e sulle vulnerabilità Allegato D - Glossario dei principali termini ed acronimi sugli attacchi informatici Allegato E - Profilo dell’Autore • 62 pagine A4 • 11 Tabelle • 63 Grafici 7 OAI 2009-2015: la crescita del numero di rispondenti 4500 4500 4000 3500 3500 3000 3000 2500 2000 1500 1000 500 Rispondenti 1800 Contattati 1000 105 130 206 299 424 0 Rapporto OAI Rapporto OAI Rapporto OAI Rapporto OAI Rapporto OAI 2009-10 2011 2012 2013 2015 8 Attacchi rilevati nel 2013 e nel 2014 62,5% % rispondenti 55,3% 34,7% 28,9% 8,6% Mai Meno di 10 casi 2013 2014 10,0% Più di 10 casi © OAI 2015 9 Attacchi rilevati dal 2007 nei vari Rapporti OAI 80,0% % rispondenti 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% 2007 2008 2009 2010 Mai Meno di 10 2011 Più di 10 2012 2013 2014 © OAI 2015 10 R ng . e di sp . tti rto .r is or se lE ica Fu tu ra z cia wa r 2013 2014 AP T e TA Al tri IC T At ta cc Sf hi ru re t. ti vu ln er ab ilit Fu à rto in Fr fo od da i Pd L Ac m ob c .n Ac ili on c. no au n t. au Da t. ti Pr og Ac ra m c. Fu m no rto i n in a fo ut .S da is ris . or s At e ta fis cc se hi si c. fis ica Sa So M al % rispondenti Diffusione tipologia attacchi subiti 2013 - 2014 (risposte multiple) 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% © OAI 2015 11 Ordinamento attacchi per variazione % tra 2014 e 2013 Classifica 5 16 13 7 10 3 6 11 2 8 9 12 1 14 15 4 Tipologia attacchi Ricatti ICT APT e TA Acc. non aut. Sis. Attacchi reti Acc. non aut. Programmi Saturaz. risorse Sfrut. vulnerabilità Acc. non aut. Dati Malware Frodi Furto info da PdL mobili Furto info da risorse fisse Social Eng. Attacchi sic. fisica Altri Furto disp. 2013 8,7% 3,3% 8,3% 14,5% 9,3% 38,8% 15,8% 11,2% 65,1% 12,4% 11,9% 10,5% 65,8% 10,4% 11,4% 30,3% 2014 Variazione 28,9% 20,2% 8,9% 5,6% 13,4% 5,1% 19,2% 4,7% 13,4% 4,2% 42,5% 3,7% 19,1% 3,3% 14,0% 2,8% 67,9% 2,8% 15,1% 2,8% 14,2% 2,3% 12,7% 2,3% 67,1% 1,4% 11,8% 1,4% 11,5% 0,1% 29,2% -1,1% © OAI 2015 12 Impatto dell’attacco >10 casi impatto molto significativo 2,7% 2,5% >10 casi impatto poco significativo 1-10 casi impatto molto significativo 17,3% 17,1% 10,9% 7,8% 1-10 casi impatto poco significativo 0,0% 69,1% 72,5% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% % rispondenti 2013 2014 © OAI 2015 13 Tempi medi di ripristino dopo un attacco Non lo so Oltre un mese Meno di un mese Meno di una settimana Meno di 3 giorni 4,1% 0,0% 4,1% 9,0% 17,9% Meno di un giorno 64,8% % rispondenti © OAI 2015 14 Attacchi 2014 per macro settore Più di 10 casi 10,5% 10,9% 8,8% Pubblica Amministrazione 31,6% Meno di 10 casi Terziario 39,6% 41,2% Primario e secondario 57,9% Mai 49,5% 50,0% % rispondenti © OAI 2015 15 Attacchi 2014 per dimensione dell’azienda/ente 40,0% % rispondenti 35,0% 30,0% 25,0% Più di 10 casi 20,0% Meno di 10 casi 15,0% Mai 10,0% 5,0% 0,0% < 10 10 - 100 101 - 250 251 - 1000 1001 - 5000 numero dipendenti > 5000 © OAI 2015 16 Azioni dopo un attacco (risposte multiple) Intervento legali Indagini da esterni Rimpiazzo sistemi Eliminati sistemi infrast. Vuln. 5,38% 9,23% 20,00% 30,77% Corsi formazione 39,23% Modifiche alle Policy e proc. organiz. 46,92% Nuovi strumenti 48,46% Patch sul software 52,31% Indagini interne 53,85% % rispondenti © OAI 2015 17 Effettuazione analisi dei rischi ICT 11,6% 41,6% 22,0% NO SI E' prevista nel prossimo futuro Non lo so 24,9% © OAI 2015 18 Richiesta conformità standard/best practice e certificazioni da OAI 2015 • Famiglia ISO 27000 interesse/attuato, con o senza certificazioni: 62,4% – All’interno – Dai Fornitori interesse/attuato, con o senza certificazioni: 37,5% • ITIL e ISO 20000 – All’interno interesse/attuato, con o senza certificazioni: 38,2% interesse/attuato, con o senza certificazioni: 14,5% – Dai Fornitori • COBIT – All’interno interesse/attuato, con o senza certificazioni: 26,3% – Dai Fornitori interesse/attuato, con o senza certificazioni: 5,1% • Certificazioni personali per la sicurezza ICT – All’interno interesse/attuato, con o senza certificazioni: 11,6% – Dai Fornitori interesse/attuato, con o senza certificazioni: 34,6% © OAI 2015 19 Attacchi maggiormente temuti nel futuro (risposte multiple) Altro 1,8% Frodi tramite software 13,8% Modifiche non autorizzate programmi 14,2% Accesso e uso non autorizzato sistemi ICT 17,9% Attacchi sic. fisica 20,2% TA e APT 20,6% Acc.e modifiche non autorizzate dati 21,1% Attacchi alle reti e ai DNS 22,0% Sfruttamento vulnerabilità software 23,9% Saturazione risorse ICT 23,9% Ricatti 26,1% 35,3% Furto di apparati informatici 39,0% Codici maligni (malware) Furto info da dispostivi mobili e fissi 40,4% Social Engineering incluso Phishing 40,8% % rispondenti © OAI 2015 20 Possibili motivazioni per i futuri attacchi temuti (risposte multiple) Altro Terrorismo Azione Dimostrativa Spionaggio Hacktivism Vandalismo Ricatto o ritorsione Sabotaggio 6,9% 8,7% 17,4% 17,9% 22,9% 26,6% 28,0% 28,4% Frode informatica 47,7% % rispondenti © OAI 2015 21 Il campione dei rispondenti emerso 22 0,6% Settore primario Sanità 3,8% BancheAssicurazioni 5,1% TurismoTrasportiLogistica 5,7% PAC Utility 8,2% Istruzione PAL 20,9% ServiziCommercio 22,2% Industria TelecomMedia e Servizi ICT % rispondenti Settore merceologico di appartenenza 20,9% 8,2% 3,8% 0,6% © OAI 2015 23 Alta affidabilità del sistema informatico (risposte multiple) 35,4% Architettura alta affidabilità (> 99,9%) 50,0% Piano Business Continuity per ICT attivo © OAI 2015 24 Uso della terziarizzazione (risposte multiple) Non si è terziarizzato Gestione sicurezza ICT terziarizzata Gestione e/o governance ICT terziarizzata Hosting o housing totale 37,7% 7,8% 13,0% 13,6% Hosting o housing parziale 47,4% % rispondenti © OAI 2015 25 Come proteggersi ? 26 La sicurezza globale ICT Sicurezza fisica Sicurezza Globale ICT Sicurezza logica Aspetti organizzativi: • Procedure e normative • Ruoli & responsabilità 27 Fonte: dal volume “Sicurezza Digitale” ed. 2007 di Marco Bozzetti Le misure tecniche • Le misure tecniche ed organizzative “tradizionali” di prevenzione e protezione possono non essere sufficienti per individuare e contrastare attacchi come TA e APT – ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc. • Analisi e gestione dei rischi sistematiche • Sistematica analisi dei comportamenti anche con tecniche di intelligenza artificiale, fuzzy logic, statistica bayesiana, ecc. – Sistematico monitoraggio delle risorse ICT (reti, OS, middleware, applicazioni), del loro utilizzo ed analisi di eventuali anomale variazioni rispetto alla “normale” media • Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, …) • Analisi dei log degli utenti e soprattutto degli operatori di sistema • Scannerizzazione “intelligente” delle sorgenti di connessioni e di dati • Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi • Tecniche euristiche per “problem solving” 28 Le misure organizzative • • • • Non sono burocrazia Non sono solo per le grandi strutture Sono necessarie anche per la conformità a numerose norme e leggi nazionali ed internazionali Includono: – Chiara e pubblica definizione di ruoli e competenze • organigramma • separazione dei ruoli (SoD, Separation of Duties) matrici RACI – Definizione delle Policy e delle relative procedure organizzative • Definizione dei controlli e di come attuarli – Selezione e controllo del personale e dell’uso dell’ICT • Auditing • Analisi dei log degli operatori e degli utenti ICT – Radiazione dei sistemi obsoleti – Sensibilizzazione, formazione, addestramento degli utenti e degli operatori 29 D. Lgs. 16 gennaio 2013, n. 13 certificazione delle competenze Da professionista a Professionista Certificato • • Art. 3 Sistema nazionale di certificazione delle competenze Art. 17 Riordino della formazione professionale • UNI 11506: Attività professionali non regolamentate - Figure professionali operanti nel settore Ict - Definizione dei requisiti di conoscenza, abilità e competenze e-CF – In vigore da settembre 2013 EUCIP 3.0 UNI 11506 e-CFPlus (AICA) 30 OAI 2016: prossimi passi … • Si stanno già impostando tutte le iniziative del prossimo Rapporto 2016 • Chi fosse interessato a sponsorizzarlo è pregato di contattarmi: – [email protected] – [email protected] 31 Riferimenti www.malaboadvisoring.it www.sla-watch.com www.riesko.com www.aipsi.org www.issa.org 32