Fujitsu - ICT Security Day
Transcript
Fujitsu - ICT Security Day
Fujitsu : La tutela delle informazioni end-to-end al tempo della “ubiquity” Ing. Roberto Cherubini IT Architect - Fujitsu Technology Solutions [email protected] Chieti, 1 ottobre 2011 Copyright 2011 FUJITSU Fujitsu Business Segments: Technology Solutions Ubiquitous Solutions Device Solutions 3rd largest IT services player Business philosophy: Think Global, Act Local Established: Employees: Revenue: R&D investment: June 1935 172,000 US$ 50B US$ 2.5B 2 Copyright 2011 FUJITSU Evoluzione tecnologica… Proliferazione di dispositivi di accesso: - Cellulari - Smartphone - Tablet - Notebook/Netbook - Desktop Sempre maggiore velocità di propagazione della tecnologia “Quanti anni sono serviti per arrivare a 50 milioni di utenti per queste tecnologie?” Radio TV Internet iPod 38 anni 13 anni 4 anni 3 anni Ed anche: - Facebook ha raggiunto oltre 200 milioni di utenti attivi in meno di un anno - 1 coppia su 8, sposata negli USA si è conosciuta via Social Web - 80% delle aziende, negli USA, utilizzano i Social Media per reclutare personale, 95% di loro utilizza allo scopo Linkedin 3 Copyright 2011 FUJITSU Da dove provengono le possibili minacce Theft & Lost Social Engineering Intrusion Insufficient Access Control Damage Viruses Unauthorized Use Ci affliggono sia come privati che come aziende Unsafe Passwords Keyloggers Software Modification Spyware Spam Sicurezza e Gestione 4 Copyright 2011 FUJITSU Alcuni recenti fatti The Sun, dati in fuga Trafugati migliaia di dati personali, appartenenti ad altrettanti lettori del quotidiano di News International. Una ritorsione contro gli errori di Murdoch. Non è chiaro se la mano sia ancora di LulzSec… Antisec colpisce ancora in Italia - Bucata per la seconda volta xxxxx L'italiana xxxx, azienda che gestisce diversi sistemi informatici per la difesa, il controllo del traffico aereo e i trasporti, è finita per la seconda volta in tre giorni nel mirino della crew di hacktivisti di AntiSec. 72 nazioni sotto attacco. McAfee rivela una massiccia azione durata cinque anni Agenzie governative, imprese, associazioni. Persino il Comitato Olimpico. Un soggetto statale dietro gli attacchi. Privacy: informative di rischio per cloud e smartphone Nella sua relazione annuale il Garante illustra le azioni svolte lo scorso anno e accende i riflettori su cloud e smartphone. La consapevolezza fondamentale per mitigare i rischi, ma un ruolo chiave toccherebbe ai provider. 5 Copyright 2011 FUJITSU Le preoccupazioni circa la sicurezza Rating System 1-5 Perdita dei dati Accesso non autorizzato a dati societari (confidenziali) Accesso non autorizzato alle reti aziendali Furto dispositivi Virus, worms *Network Specialist; 2009 6 Copyright 2011 FUJITSU Rischi connessi alla sicurezza Mantenete i vostri „segreti“… Interruzione dei processi Downtime Perdita dei dati Proprietà intellettuale Documenti „strategici“ € Perdita di tempo Perdita di denaro Perdita di business Effetti Problemi finanziari Valore delle azioni Relazioni con fornitori/clienti IT come opportunità per gestione dei rischi Immagine danneggiata Reputazione e confidenza dei clienti Insolvenza La sicurezza è uno dei problemi in cima alla lista degli IT managers 7 Copyright 2011 FUJITSU Aumento dei costi per la sicurezza Incremento dei costi legati a furti o smarrimento dei notebook aziendali Unità rubate 1,750k 1,500k The average value of a lost laptop is $49,246. Average total costs per reporting company was $4.8 This value is based on seven cost components: millionreplacement per data breach cost, (2006 Annual Study: The cost of data breach, Ponemon Institute, 2007 1,250k detection, forensics, data breach, lost intellectual property costs, lost 1,350k productivity and legal, consulting and regulatory expenses. 1,000k Study: The Cost of a Lost Laptop. Ponemon Institute, LLC, April 2009 750k 750k > 600k 500k 2003 2005 2007 8 2009 Anni Copyright 2011 FUJITSU Quanto valgono i Vs dati personali? Ai cybercriminali i dati personali fruttano circa 400€ Una patente “taroccata” costa fino a 200 euro Gli estremi di un conto corrente fino a 180 euro. Nuova identità viene circa 250 euro tramite siti Internet dedicati alla compravendita di documenti falsi. (siti raggiungibili facilmente tramite i normali motori di ricerca….) Spesso sono gli stessi utenti a “facilitare” il lavoro a chi, per professione (!?), si occupa del furto di identità. Da una ricerca recente emerge che spesso, in modo molto disinvolto, si forniscono i propri dati personali: Identity management - l'82,5% fornisce liberamente il proprio nome e cognome, - il 59% ci aggiunge la data di nascita, - il 48% il proprio indirizzo - il 33% completa il tutto con il numero del cellulare. 9 Copyright 2011 FUJITSU Cancellazione sicura dei dati: un obbligo non recepito… In Italia il tema della cancellazione sicura dei dati, sebbene regolato da vincoli normativi e di legge è ancora poco sentito. 81% del campione preso in esame non provvede ad una cancellazione sicura dei propri dati 11% del campione non ha nemmeno l'idea di quale sia il tipo di cancellazione adottata in azienda. Data Management Quindi solo l'8% delle aziende, già provvede ad una cancellazione sicura e affidabile dei dati al termine del loro ciclo di vita. Eppure: normativa privacy (D.Lgs 197/2003) e provvedimento del Garante per la Privacy in materia di Raee e di sicurezza dei dati personali prevedono che i dispositivi digitali sui quali possono essere archiviate informazioni personali anche sensibili DEBBANO ESSERE COMPLETAMENTE CANCELLATI prima di poter essere smaltiti, riciclati, riutilizzati o donati. l'omessa cancellazione dei dati rappresenta una violazione di legge sanzionata penalmente e civilmente. 10 Copyright 2011 FUJITSU Metodi più utilizzati per la cancellazione Le poche aziende virtuose che già provvedono alla cancellazione sicura utilizzano prevalentemente: la sovrascrittura (67% dei casi), la demagnetizzazione (20% dei casi) la punzonatura o la deformazione meccanica (13% dei casi) Data Management 11 Copyright 2011 FUJITSU Accesso – Il logon dell’utente è sicuro? Molti sistemi di sicurezza si basano su password “segrete”. Necessità di ricordare molteplici password Le password spesso sono estremamente facili (admin/admin, data di nascita, nome della moglie/marito…) 85% delle password possono essere facilmente scoperte Se costretto ad usare password “complicate” l’utente, tende ad annotarla (e la conserva in cassetti, attaccata a monitor, tastiere…) Spesso le password sono condivise con altri utenti / colleghi 12 Copyright 2011 FUJITSU Gestire le sfide della sicurezza Protezione in remoto Protezione fisica Advanced Theft Protection System tracking Remote lock Remote wipe Anti-theft protection Sensitizing users Protezione in locale Access control Data protection Secure communication System recovery 13 Copyright 2011 FUJITSU Livello di Sicurezza Audit-proof Protection • Advanced Theft Protection • EraseDisk Data Protection • HDD Password • Software- based Encryption • Hardware-based Encryption Access Protection System Protection • Kensington • Intrusion Detection • Password • Biometrics • SmartCard • BIOS • SSO • TPM 14 Copyright 2011 FUJITSU Sicurezza: Diversi Sistemi Password su disco fisso Password su Bios Kensington Lock Lettore Impronte digitali Smart Card Reader Password sistema operativo VPN Pin code Intrusion switch (desktops) Invia una segnalazione al sistema di system management, se e quando il cabinet viene aperto Component change alert 15 Copyright 2011 FUJITSU Protezione per accesso a dati ed applicazioni Accesso ristretto ad informazioni protette ai soli autorizzati Autenticazione Qualcosa che l’utente conosce (password) Qualcosa che fa parte dell’utente (dati biometrici, fingerprint, palm vein, iride, voce, viso) Qualcosa che l’utente possiede (chip card, token, smartCard, security token) Strong Authentication Combinazione di due o più fattori di autenticazione (es: qualcosa che l’utente possiede + qualcosa che conosce) Encryption Ovvero rendere inutilizzabile l’informazione ad utenti non autorizzati 16 Copyright 2011 FUJITSU Accesso: Diversi Metodi Ease of use very high high SmartCard PIN middle low Password Cryptography very low Security very low low middle high 17 very high Copyright 2011 FUJITSU Accesso: TPM Modulo TPM Chip montato sulla motherboard dei PC Core della TPA (Trusted Platform Architecture) Chiave di criptazione protetta sul silicio • Unica e connessa ad uno specifico dispositivo • A prova di manomissione • Gerarchia delle chiavi • Sicura archiviazione delle chiavi per cifrare e decifrare i dati sul disco rigido Elementi chiave • Generatore di numeri casuali per la generazione della chiave • Memoria non-volatile per la chiave • Supporto di Microsoft® BitLocker 18 Copyright 2011 FUJITSU Dati: Cifratura dei dati Esistono differenti modi per cifrare i dati: Cifratura Software-based Cifratura di tutto il disco Software-based Encryption (ISV Product) Beneficio: indipendente dall’hardware Svantaggi: • Impatto sulle performance del sistema • L’installazione iniziale può richiedere 2 o più ore Full Disk Encryption Benefici: • Minimo impatto sulle performance • Dati sempre ed automaticamente cifrati • La password dell’hard disk come dato nel BIOS 19 Copyright 2011 FUJITSU ETERNUS: Controllo dei dati sensibili mediante cifratura ??? Mettere picturona e 3 / 4 messaggi positivi da ricordare ??? ??? LUN cifrate ??? ??? ??? 123 123 123 LUN non cifrate 123 123 123 Metodo di cifratura basato su protocollo standard (AES) Massima protezione in caso di accesso fraudolento ai dati I dati sensibili sono sicuri anche in caso di swap del disco a causa di fault/furto Protezione dei dati anche in caso di rinnovo tecnologico 20 20 Copyright 2011 FUJITSU EraseDisk Funzionalità: Cancella i dischi senza alcuna possibilità di recupero ed utilizzo fraudolento dei dati (i dischi SSD non possono essere cancellati in modo sicuro) Integrato nel BIOS Nessun sistema operativo o DVD necessario Report di verifica (su USB key) disponibile per conferma dell’avvenuta cancellazione con successo Scopo: Evitare la perdita di dati critici quando: • Si eliminano i sistemi • Si vendono i sistemi agli impiegati, o per operazioni di re-marketing • Si riassegnano sistemi all’interno dell’azienda Protezione dell’ambiente: riutilizzo del disco vs sua distruzione fisica EraseDisk è una caratteristica unica di Fujitsu (implementata nel UEFI-BIOS) (patent pending) Consente la cancellazione dei dati per proprio conto Riduzione costi (nessun software aggiuntivo; nessuna necessità di servizi di società terze) 21 Copyright 2011 FUJITSU Erase Disk – Algoritmo di cancellazione EraseDisk offre quattro opzioni di cancellazione, dalla “fast” (con un ciclo di cancellazione) alla “very secure” (con 35 cicli di cancellazione): Zero Pattern (1 passaggio) German BSI/VSITR (7 passaggi) DoD 5220.22-M ECE (7 passaggi) Guttmann (35 passaggi) Il report attestante la completa cancellazione del disco, valido come documento allo scopo di “audit proof”, può essere conservato, copiandolo su supporto esterno (drive USB). Abilita l’utilizzatore ad essere conforme con leggi e regolamentazioni correnti, quali: •EU 95/46/EG (EU); •BDSG (GER); •Basel II (EU); •HIPAA (US); •Sarbanes-Oxley (US); •Gramm-Leach-Bliley (US) 22 Copyright 2011 FUJITSU Fujitsu Advanced Theft Protection Track it! Controlla e traccia gli asset Resiste alle manomissioni Genera allarmi Erase it! Cancella i dati sensibili da remoto Distrugge automaticamente i dati sensibili 3 notebook rubati su 4 sono recuperati !!! Crea log validi ai fini di audit Disable it! Rende il notebook inutilizzabile Utilizza comandi remoti o trigger automatici basati su timer Sblocca facilmente il notebook qualora venga recuperato Recover it! Consente di avvisare la polizia e recuperare l’oggetto rubato (3 notebook rubati su 4 vengono recuperati) 23 Copyright 2011 FUJITSU Copyright 2011 FUJITSU