Verifica della sicurezza delle applicazioni e

Transcript

Verifica della sicurezza
delle applicazioni e
minacce del mondo mobile
Alessio L.R. Pennasilico - [email protected]
Francesco Faenzi - [email protected]
16 Aprile 2013
Security Summit Bari
$whois -=mayhem=Security Evangelist @
Committed:
AIP Associazione Informatici Professionisti, CLUSIT
AIPSI Associazione Italiana Professionisti Sicurezza Informatica
Italian Linux Society, Sikurezza.org, AIP/OPSI
Hacker’s Profiling Project, CrISTAL
!
Verifica della sicurezza delle applicazioni e minacce del mondo mobile
A.L.R. Pennasilico - Security Summit Bari 2013
2
Francesco Faenzi
Security Practice Manager
3
Il problema
Esiste sempre un fumetto che racconta un problema
sentito e reale :)
4
Caratteristiche e
necessità degli utenti
mobili
Verifica della sicurezza delle applicazioni e minacce del mondo mobile- A.L.R. Pennasilico - Security Summit Bari 2012
“Navigo ergo sum”
Diversi punti di accesso
(rete aziendale, wifi, Casa, Hot Point, Albergo, treno, stazioni di
servizio, ristoranti\locali, aeroporti ....)
Diversi tipi di device
(Tablet, smartphone, Portatili, Internet cafe, Home
computers ....)
Diversi sistemi operativi
(OSX, iOS, Android, Windows, Windows Phone, Linux ....)
6
Diversi tipi di Utenza
(User, Pro, Geek, Utonto, Maniaco, Precisino ...)
Diversi tipi di uso
(Dati,Video, Calls,Videoconference, Mail, Web Browsing,
Messenger, Social, Office, Lavoro, Diversione....)
7
Diversi livelli di sicurezza
(Antivirus? Antimalware? Web Security? Encryption? DLP?
SSO? ...)
Diversi ....
8
“Datemi un accesso e solleverò il mondo”
Accedere sempre e ovunque
Non perdere la sessione se cambio connessione
Usability
Accesso a risorse aziendali
Email e messenger aziendali e privati
Multimedia
9
“Datemi un accesso e solleverò il mondo”
Applicazioni
VPN con giudizio
Facebook & soci
Sincronia dati
Protezione dati
HTTPs
....
10
Utenti mobili: i vantaggi
Connesso Ovunque (Lavoro Ovunque)
Ho tutto sempre con me
Minori costi operativi
L’abito talvolta FA il monaco
Soddisfazione
Relax
Produttività
....
11
Utenti mobili: svantaggi
Connesso Ovunque (Lavoro Ovunque)
Ho tutto sempre con me
....
12
Utenti mobili e perimetro
Dove sono?
A Cosa accedono?
Loro o mio il device?
Come li riconosco?
Che dati conservano?
....
13
BYOD
Gli utenti hanno i loro device
li vogliono usare in ufficio
Proibirlo
causa tentativi di violazione delle policy aziendali
14
I device degli utenti
Non sono sotto il controllo dello staff IT
Avranno le patch?
Avranno un antivirus/malware aggiornato?
Che tipo di password useranno?
Avranno i dischi criptati?
Come possiamo certificarli come “adatti” ad ospitare
informazioni aziendali?
15
Architecture
Security & IT Governance
Endpoint & Mobile Security
Endpoint
Mobile
Virtual Desktop
Application Security
Cloud Applications
Identity &
Access
Governance
Web Applications
ERP
Security
Analysis
Data Protection
Storage
Database
Endpoint
Network
Cloud
Infrastructure Security
Mainframe
Server
Network
Virtual OS
Cloud Infrastructure
La soluzione?
Non ignorare il problema
Non imporre divieti “inaccettabili”
Gestire la situazione, mitigando i rischi
17
Peculato?
Gli utenti vogliono usare a casa
i device aziendali
Proibirlo
causa tentativi di violazione delle policy aziendali
18
I device aziendali
Come impedire
che vengano installati software non autorizzati?
Come prevenire l’uso da persone non autorizzate?
Come proteggere
i device quando sono fuori dall’ufficio?
19
Rischi intrinsechi per gli
utenti mobili
Rischi intrinsechi
Perdo il device
Perdo i dati
Mi rubano/copiano i dati
21
Rischi intrinsechi
Perdo la connessione
“Vedono” cosa faccio
Installo qualcosa di pericoloso
Accedo a mia insaputa ad internet / rete aziendale
Mi usano come testa di ponte
Decido di essere una testa di ponte
....
22
Mobility, Collaboration & Security
CSA Top Threats to Mobile Computing 2012
Customer Services Protection
Applicazioni non ben
progettate e problemi di
time-to-market (SQL
Injection)
Mancanza di processi di
assessment e buon
governo
Mancanza di visibilità
Rapporto Clusit 2012 su Sicurezza ICT in Italia
Customer Identity Protection
Information Security Management Report 2012
Nextvalue.it con CIOnet e SDA Bocconi per RSA, EMC, Vmware
Case History
Controllo degli accessi
Vitek Boden, in 2000, was arrested, convicted and jailed
because he released millions of liters of untreated
sewage using his wireless laptop. It happened in
Maroochy Shire, Queensland, may be as a revenge
against his last former employer.
http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/
27
Worm per cellulari...
Cabir sfrutta la tecnologia Bluetooth per propagarsi attraverso gli
smartphone che utilizzano Symbian OS, fra cui la piattaforma Series 60
di Nokia. Più precisamente, il codicillo virale è in grado di attivare
automaticamente una connessione wireless verso un dispositivo
compatibile e trasmettere a quest'ultimo una copia di sé stesso
contenuta all'interno di un file d'installazione (caribe.sis) in formato
Nokia Phone Game File: sfruttando una debolezza del sistema
operativo, il virus riesce a mascherare la propria identità e farsi passare
come l'utility Caribe Security Manager.
Punto Informatico, Giugno 2004
28
Applicazioni
Quante e quali applicazioni potrebbero fare quante e
quali cose non volute?
29
Videogame con sorpresa
30
Fartdroid
Quale security
con 50.000 utenti che installano fartdroid?
31
iPhone Worm: Rickrolls
Jailbreak di iPhone:
qualcuno cambia
la password di root?
(Novembre 2009)
32
Esperimento
Chi c’è nel vostro albergo?
33
Nuovi device e nuovi
pericoli
SmartPhone
Più potente del mio
vecchio PC
Più banda di seabone 20
anni fa
35
Tablet
Quanti dati contiene?
Con che accessi?
Come è protetto?
36
3G + WiFi
Posso diventare un punto di accesso (o di uscita)
rispetto alla rete aziendale?
(routing)
37
Nuovi device: come li gestisco?
Ho una struttura Wifi per permettere l’accesso?
Gestisco l’esposizione dei dati verso l’esterno?
Come distinguo interni da esterni?
38
Come controllo i device mobili?
Come controllo il traffico IP all’interno del mio
perimetro?
La mia struttura mi permette di scrivere policy di
sicurezza per utente?
39
Come gestisco il consumo di risorse?
Come gestisco gli accessi multipli su device multipli?
....
40
Framework
Lifecycle
Reference
Architecture
Drivers
Anticipation
Endpoint & Mobile
Confidentiality
Enforcement
Application
Integrity
Detection
Data
Availability
Response & Lessons learned
Infrastructure
Compliance
Security Analysis
Business Goals
Identity
IT Goals
Security Governance
Sicurezza: da indirizzi IP
e ACL agli utenti ed i
processi
politiche di accesso in rete
“Chi” accede alla “mia” rete
Con cosa vi accede
Quante volte
Dove può andare
A cosa può accedere
Che privilegi ha
Che tipo di monitoraggio ho?
...
43
Utenti
Dove tengo il DB degli utenti?
come autorizzo?
come revoco le autorizzazioni?
44
Politiche di autenticazione
•
•
•
•
•
•
•
•
Chi sei?
Come ti riconosco?
Come sei?
Quanti sei?
Dove sei?
Dove vai?
Cosa vuoi?
Come faccio il controllo?
• Capisco quante sessioni e da
quanti punti di accesso
accedi?
• Come riconosco la tua
location?
• Come controllo e capisco a
quali dati vuoi accedere?
• Come controllo le tue
attività?
• ....
45
Che cosa controllo?
UTM?
Proxy?
IDS?
IPS?
DLP?
46
Prevenzione perdita dati
Fai encryption locale?
Fai encryption remota?
Cripti gli accessi?
Dove permetti lo storage dei dati?
Come controlli l’accesso ai dati?
Che politiche hai in caso di perdita di dati?
Che politiche hai in caso di perdita del device?
...
47
NAC
Da quanto tempo non ti colleghi?
Quali e quante patch hai?
Il tuo antivirus è aggiornato?
48
Solution Center e Referenze
Solution Center
Workshop in ambito
– Policy-driven Network Access
– Fraud Management & Garante Privacy
– eCommerce & Web Security
– Data Classification & Data Leak Risk
– Identity & Data Access Intelligence
– Malware, Intrusions & Network Resource Abuse
– Security Monitoring
– Endpoint Total Security: Furti, Malware, Phishing
– Security Intelligence per Malware & Phishing
– Physical & Logical Access Control
Elenco al http://solutioncenter.lutech.it/
Calendario on line
Solution Center
Executive Brieﬁng Center
Accesso all'engineering di Lutech
Dove siamo
Direzione e Sede Operativa
Via W.A. Mozart 47,
20093 Cologno Monzese (MI)
Tel. +39-02-25427011
Fax +39-02-25427090
Sede di Roma
Via A. Mantegna 4,
Parco Leonardo
00054 Fiumicino (RM)
Tel. +39-06-2275011
Fax +39-06-22771542
Altre sedi a
Torino, Modena, Firenze, Bari
Email [email protected]
Web http://www.lutech.it
http://solutioncenter.lutech.it/
Conclusioni
Conclusioni
L’aumento di produttività che deriva dall’utilizzo di
tecnologie che permettono di lavorare “mobile” è
evidente
L’aumento dei rischi per l’infrastruttura altrettanto
54
Cosa fare?
Non ignorare il problema
Non imporre divieti “inaccettabili”
Gestire la situazione, mitigando i rischi
55
Conclusioni: cosa fare?
Una buona politica di analisi
L’implementazione di soluzioni “di mercato”
Gestione organizzativa e tecnica costante
56
These slides are written by Alessio L.R. Pennasilico aka mayhem. They are
subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can
copy, modify, or sell them. “Please” cite your source and use the same licence :)
Grazie dell’attenzione!
Domande?
Alessio L.R. Pennasilico - [email protected]
facebook:alessio.pennasilico - twitter:mayhemspp
16 Aprile 2013
Security Summit Bari

Verifica della sicurezza delle applicazioni e

Transcript

Documenti analoghi

WHAT ACTUALLY HAPPENS WHEN GRANULAR MATERIALS

GlobalTrust RMS

Brochure - Geophysical Applications Processing GAP srl

F.to Prof. Salvatore Vitale Nuzzo

Stipulata una interessante convenzione con la scuola di ballo “Dirty

Documento riepilogativo Int 1 e 2 Via Bari 7

Quando inizi ad accettare l`impossibile, rischi di

AVANQUEST ITALIA ANNUNCIA IL RILASCIO DI ZONEALARM

Apri PDF

Di Vella Zaira - Università degli Studi di Bari

Sizzla Kalonji il 22 Giugno a Bari