Sicurezza informatica: Agenda
Transcript
Sicurezza informatica: Agenda
Sicurezza informatica: rischi e tutele per le aziende Confindustria Padova 4 febbraio 2010 Relatore Alessandro Bellato - Divisione Sicurezza NEST2 Agenda • Internet e i rischi della navigazione • Strumenti di protezione • Sicurezza informatica gestita 2 1 Internet – I rischi della navigazione (1/3) • Attacchi diretti. Sono quelli perpetrati da remoto sfruttando specifiche vulnerabilità di macchine/servizi esposti nella rete pubblica. Normalmente consentono di installare del software malevolo nel bersaglio e/o di prenderne il controllo • Virus. Sono programmi che risiedono all’interno di un software ospite (p.e. un’applicazione piratata), che si diffondono nei computer all’insaputa dell’utente quando il software ospite viene eseguito, generando copie di se stessi • Worm. Sono programmi che si replicano e diffondono da computer e computer attraverso le connessioni Internet, e che possono distruggere i file o rubare le informazioni personali. A differenza dei virus, per replicarsi non hanno bisogno di un programma o di un documento che li ospiti 3 Internet – I rischi della navigazione (2/3) • Spam. E’ l’invio tramite e-mail di messaggi indesiderati (solitamente commerciali). Gli spam più diffusi riguardano: farmaci con ricetta, proposte di arricchimento facile e veloce, servizi finanziari, casinò e gioco d’azzardo online • Phishing. La forma più pericolosa di SPAM: è una truffa informatica attuata allo scopo di ottenere informazioni personali o riservate (p.e. i dati di accesso personali ai siti dei propri operatori bancari o finanziari) per prelevare denaro o rivendere le informazioni personali ad altri criminali informatici • Trojan. Sono programmi creati con il solo scopo di causare danni più o meno gravi al computer. L’utente è invitato a scaricare un programma apparentemente utile, ma a sua insaputa, infetto. Il trojan installa all’insaputa dell’utente un’applicazione indesiderata aprendo ad esempio una porta nascosta (backdoor). Il pirata informatico riesce cosi ad avere accesso a tutti i file e software installati nel computer 4 2 Internet – I rischi della navigazione (3/3) • Spyware. E’ un software che permette a società commerciali e hacker di raccogliere informazioni riservate riguardanti l’attività online a insaputa dell’utente e di trasmetterle via Internet a centri di raccolta. Uno spyware può installarsi in un computer mentre si visitano determinati siti web, attraverso un messaggio che invita l’utente a scaricare un software, oppure può essere installato automaticamente a insaputa della vittima • Dialer. Sono programmi che cambiano il numero telefonico della connessione Internet, sostituendolo con un servizio a pagamento. Il software dialer si installa a insaputa dell’utente e compone automaticamente il numero telefonico a pagamento. La truffa consiste nel modificare automaticamente il numero di telefono e nel rendere non chiare le informazioni sui costi per l’utente 5 Ma perchè proprio a me? • Per trafugare dati personali sensibili, utili al conseguimento di un guadagno illecito (carte di credito, accesso a conti bancari online, accesso ad aste online, codice IMEI e numero di telefono, fotocopia di carta d’identità, passaporto, codice fiscale, etc.) • Per utilizzare i nostri PC come “specchio” attraverso il quale condurre attacchi ad altri sistemi non esponendosi direttamente 6 3 A cosa servono le informazioni rubate? • Spesso con l’hacking di un singolo sito\sistema vengono trafugate informazioni private relative all’identità e agli stili di vita di ignare persone • Esistono decine di siti dove i vari attori di questa economia “underground” fanno le loro transazioni • Un’identità completa di dati anagrafici, numeri di documenti d’identità, carte di credito e addirittura il cognome della madre da nubile (usato spesso come domanda per il recupero della password), viene venduta a meno di 20 $ • L’offerta è tale che non è raro trovare promozioni, quali un pacchetto di 1.000 carte di credito verificate a 500 $ • I dati vengono ceduti a chi li userà (p.e. per acquistare merci da spedire a complici ignari o a chi dispone della “plastica” per falsificarle fisicamente le carte di credito) 7 Prezzi di mercato delle informazioni rubate 8 4 Azioni causa delle violazioni dei dati aziendali 39% 61% scambio dati con business partner scorretto utilizzo degli strumenti informatici da parte dei dipendenti Fonte: Verizon Business Security Solutions 9 Cause delle violazioni dei dati aziendali 9% 18% esterne interne entrambe 73% Fonte: Verizon Business Security Solutions 10 5 Lavorare per mezzo delle Nuove Tecnologie In un ambiente di lavoro porre attenzione ai problemi della sicurezza informatica significa: • Ridurre il rischio di attacchi o truffe ai dati sensibili trattati • Imparare a scegliere il giusto livello di sicurezza sulla base del proprio lavoro (strategie aziendali appropriate) • Adottare adeguati strumenti per applicare efficaci politiche di protezione dei dati “critici” • Informare e coinvolgere attivamente tutto il personale sulle strategie aziendali adottate in materia di sicurezza 11 Da 500 indagini forensi eseguite su 230 milioni di records, emerge che la maggior parte delle violazioni di dati aziendali potrebbe essere evitata applicando ragionevoli misure di sicurezza Fonte: Verizon Business Security Solutions 12 6 Agenda • Internet e i rischi della navigazione • Strumenti di protezione • Sicurezza informatica gestita 13 Strumenti per proteggere i PC aziendali Firewall UTM • Per proteggere l’accesso ad Internet è consigliabile dotarsi di Firewall basati su Tecnologia UTM (Unified Threat Management) • Sono appliance hardware che integrano al loro interno sistemi di firewalling, Intrusion detection & Prevention , Antispam, Antivirus e Url filtering, basati su motori software innovativi, che consentono un elevato livello di integrazione • I Firewall UTM integrano in un solo dispositivo tutte le funzioni di sicurezza necessarie per rispondere alle necessità di aziende di ogni dimensione 14 7 Strumenti per proteggere i PC aziendali Firewall UTM • La sua funzione è quella di limitare al minimo indispensabile le “porte” lasciate aperte per il traffico tra PC e Internet (o rete locale) • Permette di chiudere tutte le porte non utilizzate, evitando di subire attacchi su servizi presenti sul PC senza che l’utente finale ne sia a conoscenza • Analizza il traffico dei programmi residenti sul PC che vogliono accedere a Internet, bloccando il traffico non consentito o sospetto 15 Strumenti di protezione centralizzata Firewall UTM • E’ il dispositivo di sicurezza perimetrale per eccellenza • Il firewall è un apparato necessario ma non sufficiente a garantire un buon livello di sicurezza informatica VPN (Virtual Private Network) • VPN è un canale cifrato di comunicazione che può essere attivato tra sedi diverse o tra sede e client (p.e. telelavoro) • Due sedi di un’azienda o un impiegato che lavora da casa, attraverso Internet possono accedere in modo sicuro alle risorse informatiche aziendali 16 8 Firewall e Terminatore VPN - Applicazione Tipologie di VPN VPN Site-to-Site (S2S) VPN Site-to-Client (S2C) VPN S2C v CPE FIREWALL LAN Interna Mail Server CPE Web Server FIREWALL VPN S2S LAN DMZ LAN Interna 17 Strumenti di protezione centralizzata Antivirus perimetrale • Ha il compito di individuare, bloccare ed eventualmente eliminare, i virus\worm direttamente sul flusso dati proveniente da Internet, prima che arrivino al PC • Solitamente è in grado di eseguire una ricerca di virus\worm solo su particolari protocolli, quali SMTP\POP3 (posta elettronica), HTTP (comunicazione web), FTP (download di file) • I nuovi antivirus, oltre a funzionare su base pattern file\signature database (confrontando cioè il flusso dati con un database che contiene le firme dei virus\worm), agiscono anche con controlli di tipo euristico, per contrastare i worms che uniscono alle caratteristiche dei virus quelle delle tecniche di hacking 18 9 Antivirus perimetrale - Applicazione Virus, spam, malicius code Antivirus Perimetrale (protezione attiva su Firewall UTM o Gateway di rete) Virus Bloccato Antivirus Gateway FIREWALL UTM LAN Interna 19 Strumenti di protezione centralizzata Antispam • I servizi\prodotti antispam operano normalmente in due modalità: bloccaggio e filtraggio Bloccaggio. Il servizio\prodotto antispam opera rifiutando i messaggi provenienti dai server conosciuti come “spammer” Filtraggio. Il servizio\prodotto antispam analizza in modo automatico il contenuto dei messaggi e-mail ed elimina o sposta in una cartella speciale quelli che somigliano a spam • A queste due tecniche, se ne affiancano poi altre che integrano e migliorano l’identificazione dello spam • Per il Phishing, forma più subdola e pericolosa dello spam, è necessario integrare la protezione con un sistema di Content\Web Filtering 20 10 Antispam centralizzato - Applicazione Email di Spam ed email legittime da Internet Email spam Antispam Gateway FIREWALL UTM Email legittime LAN Interna 21 Strumenti di protezione centralizzata Content\Web Filtering • Si basa su un database centrale di categorizzazione dei siti Internet continuamente aggiornato • Ogni sito Internet viene censito e catalogato in base alla categoria di appartenenza (commercio, giochi, aste, porno, etc.) • Permette di creare delle politiche di navigazione a seconda del contenuto dei siti stessi (p.e. si può impedire la visualizzazione di siti web inadatti o non utili all’attività lavorativa, ai siti con contenuto pornografico, etc.) • Quando un utente cerca di accedere ad un sito, l’indirizzo del sito viene confrontato con il database centrale e in base alla politica di navigazione impostata, il servizio permette\blocca l’accesso allo stesso 22 11 Content\Web Filtering - Applicazione Database con catalogazione dei siti www.google.com? www.xxx.com? Content Filtering FIREWALL UTM OK www.google.com www.google.com?SI www.xxx.com?NO Stop www.xxx.com LAN Interna 23 Strumenti di protezione centralizzata IDS (Intrusion Detection System) • Sono sistemi che funzionano in modalità simile all’antivirus, ma anzichè individuare malicious code su file, individuano flussi di dati che possono essere indice di un tentativo di attacco o di intrusione • ll loro funzionamento è basato principalmente su database di signatures, quindi stringhe dati caratteristiche di attacchi conosciuti, ma anche su modelli euristici (p.e. per individuare anomalie nel protocollo di comunicazione) IPS (Intrusion Prevention System) • I sistemi IPS sono considerati come una estensione dei sistemi di IDS. Il funzionamento è simile al firewall, con la differenza che un firewall lavora su porte e indirizzi IP, mentre questa tecnologia lavora su programmi e utenti 24 12 IDS\IPS - Applicazione Analisi continua flusso dati IDS\IPS Engine FIREWALL UTM Segnalazione probabile pattern malevolo LAN Interna 25 Agenda • Internet e i rischi della navigazione • Strumenti di protezione • Sicurezza informatica gestita 26 13 Perchè investire nella sicurezza? Perché e’ necessario “mettere in sicurezza” il sistema informatico aziendale? •Virus, Worm, Trojan, Phishing e piattaforme di Spam sono solo alcuni degli strumenti a disposizione di organizzazioni o individui, che spaziano dagli adolescenti “smanettoni”, a operatori del settore di dubbia eticità, arrivando a persone riconducibili alla criminalità organizzata •I maggiori rischi per la sicurezza informatica dell’azienda dipendono spesso dal comportamento dei dipendenti che possono usare Internet e la posta elettronica in maniera impropria, diventando inconsapevolmente i “basisti” dell’attività fraudolenta 27 Perché è difficile rispettare le misure di sicurezza in ambito lavorativo? • Normalmente vi è scarsa consapevolezza dei rischi informatici a cui si è esposti e degli obblighi di legge • Personale interno oberato di lavoro perché impegnato a gestire gli aspetti informatici aziendali oltre alle proprie abituali mansioni (non può specializzarsi in una specifica tematica) • Se non si dispone di risorse interne, si demanda al fornitore esterno abituale o nella peggiore delle ipotesi si ignora il problema, non considerando che: Anche il fornitore esterno può avere le stesse difficoltà incontrate dall’azienda (non si può essere specialisti in tutto) Ignorare il problema può portare a spiacevoli conseguenze (fino al fermo informatico dell’azienda), oltre alle implicazioni di legge • Diffidenza a investire in prodotti molto verticali per mancanza di competenza e difficoltà a valutare quanto offre il mercato • Convinzione che costa troppo “mettersi in regola” 28 14 Come si possono rispettare le misure di sicurezza in ambito lavorativo? • Facendo gestire la sicurezza informatica aziendale a specialisti del settore attraverso una formula di outsourcing • La soluzione consente ai titolari di azienda di non farsi carico diretto degli oneri legati al “rispetto delle misure minime di sicurezza nel trattamento dei dati personali” personali” per la gestione delle comunicazioni aziendali • Nasce il concetto di “Sicurezza Informatica Gestita” Gestita” 29 NEST2 propone Giano: il servizio di sicurezza informatica gestita per le attività professionali • Giano™ è un servizio NEST2 di sicurezza perimetrale per la protezione della rete aziendale • Tramite un dispositivo interposto tra Internet e la rete aziendale, gestito costantemente dal SOC di NEST2, viene garantito il livello di sicurezza concordato con l’azienda • Il servizio prevede un’attività di monitoraggio quotidiana, con fornitura di report periodici dettagliati • Non si sostituisce ai servizi erogati dal fornitore o consulente locale ma li integra, in quanto copre aspetti complementari: la nostra responsabilità è gestire in sicurezza le comunicazioni aziendali e non sostituirci al proprio fornitore o consulente abituale per tematiche ICT 30 15 Domande? 31 Grazie 16 NEST2 S.p.A. Via Praimbole, 13 35010 Limena (PD) IT Tel. 049 738600 Fax 049 8843723 Web: www.nest2.com Email: [email protected] 17