Sicurezza informatica: Agenda

Sicurezza informatica:
rischi e tutele per le aziende
Confindustria Padova
4 febbraio 2010
Relatore
Alessandro Bellato - Divisione Sicurezza NEST2
Agenda
• Internet e i rischi della navigazione
• Strumenti di protezione
• Sicurezza informatica gestita
2
1
Internet – I rischi della navigazione (1/3)
• Attacchi diretti. Sono quelli perpetrati da remoto sfruttando
specifiche vulnerabilità di macchine/servizi esposti nella rete
pubblica. Normalmente consentono di installare del software
malevolo nel bersaglio e/o di prenderne il controllo
• Virus. Sono programmi che risiedono all’interno di un software
ospite (p.e. un’applicazione piratata), che si diffondono nei
computer all’insaputa dell’utente quando il software ospite viene
eseguito, generando copie di se stessi
• Worm. Sono programmi che si replicano e diffondono da
computer e computer attraverso le connessioni Internet, e che
possono distruggere i file o rubare le informazioni personali. A
differenza dei virus, per replicarsi non hanno bisogno di un
programma o di un documento che li ospiti
3
Internet – I rischi della navigazione (2/3)
• Spam. E’ l’invio tramite e-mail di messaggi indesiderati
(solitamente commerciali). Gli spam più diffusi riguardano:
farmaci con ricetta, proposte di arricchimento facile e veloce,
servizi finanziari, casinò e gioco d’azzardo online
• Phishing. La forma più pericolosa di SPAM: è una truffa
informatica attuata allo scopo di ottenere informazioni personali
o riservate (p.e. i dati di accesso personali ai siti dei propri
operatori bancari o finanziari) per prelevare denaro o rivendere
le informazioni personali ad altri criminali informatici
• Trojan. Sono programmi creati con il solo scopo di causare
danni più o meno gravi al computer. L’utente è invitato a
scaricare un programma apparentemente utile, ma a sua
insaputa, infetto. Il trojan installa all’insaputa dell’utente
un’applicazione indesiderata aprendo ad esempio una porta
nascosta (backdoor). Il pirata informatico riesce cosi ad avere
accesso a tutti i file e software installati nel computer
4
2
Internet – I rischi della navigazione (3/3)
• Spyware. E’ un software che permette a società commerciali e
hacker di raccogliere informazioni riservate riguardanti l’attività
online a insaputa dell’utente e di trasmetterle via Internet a
centri di raccolta. Uno spyware può installarsi in un computer
mentre si visitano determinati siti web, attraverso un messaggio
che invita l’utente a scaricare un software, oppure può essere
installato automaticamente a insaputa della vittima
• Dialer. Sono programmi che cambiano il numero telefonico
della connessione Internet, sostituendolo con un servizio a
pagamento. Il software dialer si installa a insaputa dell’utente e
compone automaticamente il numero telefonico a pagamento.
La truffa consiste nel modificare automaticamente il numero di
telefono e nel rendere non chiare le informazioni sui costi per
l’utente
5
Ma perchè proprio a me?
• Per trafugare dati personali sensibili, utili al
conseguimento di un guadagno illecito
(carte di credito, accesso a conti bancari
online, accesso ad aste online, codice IMEI e
numero di telefono, fotocopia di carta
d’identità, passaporto, codice fiscale, etc.)
• Per utilizzare i nostri PC come “specchio”
attraverso il quale condurre attacchi ad altri
sistemi non esponendosi direttamente
6
3
A cosa servono le informazioni rubate?
• Spesso con l’hacking di un singolo sito\sistema vengono
trafugate informazioni private relative all’identità e agli stili di
vita di ignare persone
• Esistono decine di siti dove i vari attori di questa economia
“underground” fanno le loro transazioni
• Un’identità completa di dati anagrafici, numeri di documenti
d’identità, carte di credito e addirittura il cognome della madre
da nubile (usato spesso come domanda per il recupero della
password), viene venduta a meno di 20 $
• L’offerta è tale che non è raro trovare promozioni, quali un
pacchetto di 1.000 carte di credito verificate a 500 $
• I dati vengono ceduti a chi li userà (p.e. per acquistare merci da
spedire a complici ignari o a chi dispone della “plastica” per
falsificarle fisicamente le carte di credito)
7
Prezzi di mercato delle informazioni rubate
8
4
Azioni causa delle violazioni dei dati aziendali
39%
61%
scambio dati con business partner
scorretto utilizzo degli strumenti informatici da parte dei dipendenti
Fonte: Verizon Business Security Solutions
9
Cause delle violazioni dei dati aziendali
9%
18%
esterne
interne
entrambe
73%
Fonte: Verizon Business Security Solutions
10
5
Lavorare per mezzo delle Nuove Tecnologie
In un ambiente di lavoro porre attenzione ai problemi della
sicurezza informatica significa:
• Ridurre il rischio di attacchi o truffe ai dati sensibili
trattati
• Imparare a scegliere il giusto livello di sicurezza sulla
base del proprio lavoro (strategie aziendali appropriate)
• Adottare adeguati strumenti per applicare efficaci
politiche di protezione dei dati “critici”
• Informare e coinvolgere attivamente tutto il personale
sulle strategie aziendali adottate in materia di sicurezza
11
Da 500 indagini forensi eseguite su 230 milioni
di records, emerge che la maggior parte delle
violazioni di dati aziendali potrebbe essere
evitata applicando ragionevoli misure di
sicurezza
Fonte: Verizon Business Security Solutions
12
6
Agenda
• Internet e i rischi della navigazione
• Strumenti di protezione
• Sicurezza informatica gestita
13
Strumenti per proteggere i PC aziendali
Firewall UTM
• Per proteggere l’accesso ad Internet è consigliabile dotarsi di
Firewall basati su Tecnologia UTM (Unified Threat Management)
• Sono appliance hardware che integrano al loro interno sistemi di
firewalling, Intrusion detection & Prevention , Antispam,
Antivirus e Url filtering, basati su motori software innovativi,
che consentono un elevato livello di integrazione
• I Firewall UTM integrano in un solo dispositivo tutte le
funzioni di sicurezza necessarie per rispondere alle necessità
di aziende di ogni dimensione
14
7
Strumenti per proteggere i PC aziendali
Firewall UTM
• La sua funzione è quella di limitare al minimo
indispensabile le “porte” lasciate aperte per il traffico tra
PC e Internet (o rete locale)
• Permette di chiudere tutte le porte non utilizzate,
evitando di subire attacchi su servizi presenti sul PC
senza che l’utente finale ne sia a conoscenza
• Analizza il traffico dei programmi residenti sul PC che
vogliono accedere a Internet, bloccando il traffico non
consentito o sospetto
15
Strumenti di protezione centralizzata
Firewall UTM
• E’ il dispositivo di sicurezza perimetrale per eccellenza
• Il firewall è un apparato necessario ma non sufficiente a
garantire un buon livello di sicurezza informatica
VPN (Virtual Private Network)
• VPN è un canale cifrato di comunicazione che può essere
attivato tra sedi diverse o tra sede e client (p.e.
telelavoro)
• Due sedi di un’azienda o un impiegato che lavora da casa,
attraverso Internet possono accedere in modo sicuro alle
risorse informatiche aziendali
16
8
Firewall e Terminatore VPN - Applicazione
Tipologie di VPN
VPN Site-to-Site (S2S)
VPN Site-to-Client (S2C)
VPN S2C
v
CPE
FIREWALL
LAN Interna
Mail Server
CPE
Web Server
FIREWALL
VPN S2S
LAN DMZ
LAN Interna
17
Strumenti di protezione centralizzata
Antivirus perimetrale
• Ha il compito di individuare, bloccare ed eventualmente
eliminare, i virus\worm direttamente sul flusso dati
proveniente da Internet, prima che arrivino al PC
• Solitamente è in grado di eseguire una ricerca di
virus\worm solo su particolari protocolli, quali SMTP\POP3
(posta elettronica), HTTP (comunicazione web), FTP
(download di file)
• I nuovi antivirus, oltre a funzionare su base pattern
file\signature database (confrontando cioè il flusso dati
con un database che contiene le firme dei virus\worm),
agiscono anche con controlli di tipo euristico, per
contrastare i worms che uniscono alle caratteristiche dei
virus quelle delle tecniche di hacking
18
9
Antivirus perimetrale - Applicazione
Virus, spam,
malicius code
Antivirus Perimetrale
(protezione attiva su
Firewall UTM o
Gateway di rete)
Virus Bloccato
Antivirus Gateway
FIREWALL UTM
LAN Interna
19
Strumenti di protezione centralizzata
Antispam
• I servizi\prodotti antispam operano normalmente in due
modalità: bloccaggio e filtraggio
 Bloccaggio. Il servizio\prodotto antispam opera rifiutando i
messaggi provenienti dai server conosciuti come “spammer”
 Filtraggio. Il servizio\prodotto antispam analizza in modo
automatico il contenuto dei messaggi e-mail ed elimina o
sposta in una cartella speciale quelli che somigliano a spam
• A queste due tecniche, se ne affiancano poi altre che
integrano e migliorano l’identificazione dello spam
• Per il Phishing, forma più subdola e pericolosa dello spam,
è necessario integrare la protezione con un sistema di
Content\Web Filtering
20
10
Antispam centralizzato - Applicazione
Email di Spam ed email
legittime da Internet
Email spam
Antispam Gateway
FIREWALL UTM
Email legittime
LAN Interna
21
Strumenti di protezione centralizzata
Content\Web Filtering
• Si basa su un database centrale di categorizzazione dei
siti Internet continuamente aggiornato
• Ogni sito Internet viene censito e catalogato in base alla
categoria di appartenenza (commercio, giochi, aste,
porno, etc.)
• Permette di creare delle politiche di navigazione a
seconda del contenuto dei siti stessi (p.e. si può impedire
la visualizzazione di siti web inadatti o non utili all’attività
lavorativa, ai siti con contenuto pornografico, etc.)
• Quando un utente cerca di accedere ad un sito, l’indirizzo
del sito viene confrontato con il database centrale e in
base alla politica di navigazione impostata, il servizio
permette\blocca l’accesso allo stesso
22
11
Content\Web Filtering - Applicazione
Database con
catalogazione dei siti
www.google.com?
www.xxx.com?
Content Filtering
FIREWALL UTM
OK
www.google.com
www.google.com?SI
www.xxx.com?NO
Stop
www.xxx.com
LAN Interna
23
Strumenti di protezione centralizzata
IDS (Intrusion Detection System)
• Sono sistemi che funzionano in modalità simile all’antivirus, ma
anzichè individuare malicious code su file, individuano flussi di
dati che possono essere indice di un tentativo di attacco o di
intrusione
• ll loro funzionamento è basato principalmente su database di
signatures, quindi stringhe dati caratteristiche di attacchi
conosciuti, ma anche su modelli euristici (p.e. per individuare
anomalie nel protocollo di comunicazione)
IPS (Intrusion Prevention System)
• I sistemi IPS sono considerati come una estensione dei sistemi
di IDS. Il funzionamento è simile al firewall, con la differenza
che un firewall lavora su porte e indirizzi IP, mentre questa
tecnologia lavora su programmi e utenti
24
12
IDS\IPS - Applicazione
Analisi continua flusso dati
IDS\IPS Engine
FIREWALL UTM
Segnalazione probabile
pattern malevolo
LAN Interna
25
Agenda
• Internet e i rischi della navigazione
• Strumenti di protezione
• Sicurezza informatica gestita
26
13
Perchè investire nella sicurezza?
Perché e’ necessario “mettere in sicurezza” il sistema
informatico aziendale?
•Virus, Worm, Trojan, Phishing e piattaforme di Spam sono solo
alcuni degli strumenti a disposizione di organizzazioni o individui,
che spaziano dagli adolescenti “smanettoni”, a operatori del settore
di dubbia eticità, arrivando a persone riconducibili alla criminalità
organizzata
•I maggiori rischi per la sicurezza informatica dell’azienda
dipendono spesso dal comportamento dei dipendenti che
possono usare Internet e la posta elettronica in maniera impropria,
diventando inconsapevolmente i “basisti” dell’attività
fraudolenta
27
Perché è difficile rispettare le misure di
sicurezza in ambito lavorativo?
• Normalmente vi è scarsa consapevolezza dei rischi
informatici a cui si è esposti e degli obblighi di legge
• Personale interno oberato di lavoro perché impegnato a
gestire gli aspetti informatici aziendali oltre alle proprie abituali
mansioni (non può specializzarsi in una specifica tematica)
• Se non si dispone di risorse interne, si demanda al fornitore
esterno abituale o nella peggiore delle ipotesi si ignora il
problema, non considerando che:
 Anche il fornitore esterno può avere le stesse difficoltà incontrate
dall’azienda (non si può essere specialisti in tutto)
 Ignorare il problema può portare a spiacevoli conseguenze (fino al
fermo informatico dell’azienda), oltre alle implicazioni di legge
• Diffidenza a investire in prodotti molto verticali per
mancanza di competenza e difficoltà a valutare quanto offre il
mercato
• Convinzione che costa troppo “mettersi in regola”
28
14
Come si possono rispettare le misure di
sicurezza in ambito lavorativo?
• Facendo gestire la sicurezza informatica aziendale a
specialisti del settore attraverso una formula di
outsourcing
• La soluzione consente ai titolari di azienda di non farsi
carico diretto degli oneri legati al “rispetto delle misure
minime di sicurezza nel trattamento dei dati personali”
personali”
per la gestione delle comunicazioni aziendali
• Nasce il concetto di “Sicurezza Informatica Gestita”
Gestita”
29
NEST2 propone Giano: il servizio di sicurezza
informatica gestita per le attività professionali
• Giano™ è un servizio NEST2 di sicurezza perimetrale per
la protezione della rete aziendale
• Tramite un dispositivo interposto tra Internet e la rete
aziendale, gestito costantemente dal SOC di NEST2, viene
garantito il livello di sicurezza concordato con l’azienda
• Il servizio prevede un’attività di monitoraggio quotidiana,
con fornitura di report periodici dettagliati
• Non si sostituisce ai servizi erogati dal fornitore o
consulente locale ma li integra, in quanto copre aspetti
complementari: la nostra responsabilità è gestire in
sicurezza le comunicazioni aziendali e non sostituirci al
proprio fornitore o consulente abituale per tematiche ICT
30
15
Domande?
31
Grazie
16
NEST2 S.p.A.
Via Praimbole, 13
35010 Limena (PD) IT
Tel. 049 738600
Fax 049 8843723
Web: www.nest2.com
Email: [email protected]
17