Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pietro Scarpino - Codemotion Rome 2015
Download as PPT, PDF1 like1,069 views
Il documento discute l'evoluzione delle minacce informatiche e l'aumento degli attacchi che compromettono l'individuo e le organizzazioni. Viene evidenziato come i dipendenti rappresentino un punto vulnerabile, facilitando l'accesso ai sistemi aziendali attraverso attacchi mirati, phishing e insider. Si sottolinea anche l'importanza della cybersecurity nelle infrastrutture critiche e il costo crescente degli attacchi informatici a livello globale.
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pietro Scarpino - Codemotion Rome 2015
- 1. RENDERE SICURE L’ESPERIENZE DELL’INDIVIDUO NEL MONDO DIGITALE ALLARGATO
- 2. Perché ci interessa l’individuo?
- 3. Copyright © 2012 NTT DATA 3PWC - Global State of Information Security Survey 2015 CONTESTO 117,339 attacchi al giorno +66% ogni anno dal 2009 Attacchi da parte di Stati +86% da parte di Competitors +64% molti non riportati Grandi Aziende +44% Incidenti Medie Aziende +66% Incidenti Budget cybersecurity -4% 4% del budget IT
- 4. Copyright © 2012 NTT DATA 4Rapporto Clusit sulla sicurezza ICT in Italia 2015 CONTESTO 13 miliardi euro Transazioni B2C 2014 In Italia 9 miliardi euro Danni complessivi in Italia
- 5. CyberSec: evoluzione dello scenario di rischio Evoluzione della minaccia Evoluzione delle vulnerabilità… Potenziali Impatti NTT Global Threat Report
- 7. Copyright © 2012 NTT DATA 7 EVOLUZIONE DELLO SCENARIO DI RISCHIO Direttrici Cambiamento della tipologia di minaccia (fattori esterni o «esogeni») Nuove vulnerabilità da contrastare (fattori interni o «endogeni»)) Nuovi potenziali impatti
- 8. Copyright © 2012 NTT DATA 8 EVOLUZIONE DELLA MINACCIA ATM and Money-transfers Attacks and Frauds “a highly sophisticated and well-funded crime ring based in Russia, which made headlines over the weekend for successfully defrauding up to $1 billion from banks in Europe, the U.S. and elsewhere, was able to fly under the radar of detection for nearly a year. The ring used a string of seemingly unrelated malware attacks aimed at compromising everything from ATMs and money-transfers to retail point-of-sale systems” Kaspersky – Dec 2014 Financial companies are not immune to cyber threats «48% of E-Commerce/Online retail business and 41% of Financial Services organizations have reported losing some tipe of finance-related information to cybercriminal activities within the past 12 months» Kaspersky – Global IT Security Risks 2014 – Online Financial Fraud Prevention Finalità predatorie sempre più aggressive: Frodi su larga scala perpetrate verso sistemi finanziari
- 9. Copyright © 2012 NTT DATA 9 EVOLUZIONE DELLA MINACCIA Increase of Systemic risks “37% of respondents said that the probability of a high-impact event in the global financial system has increased during the past six months 84% of respondents identified cyber risk as one of their top five concerns 33% ranked cyber threats as the number one systemic risk to the broader economy” DCTT– Systemic Risk Barometer - Q3 2014 “Cyber terrorism and cyber security, are emerging risks that have the potential to threaten countries’ national security. Critical infrastructure, including nuclear plants and other industrial facilities, is increasingly being targeted by cyber hackers intent on causing damage, disruption and potential loss of life. Nevertheless, terrorist groups such as al-Qaeda are currently seen as lacking the necessary sophistication and capability in this area to successfully disrupt a major facility”. March&McLennan Companies – Emerging Risks Report – Sept 2014 Elementi ideologici (cyber-terrorismo, Aktivism, ...)
- 10. Copyright © 2012 NTT DATA 10 Collecting personal data: a new form of cybercrime business “… A data broker is exactly what it sounds like: a service online that collects data, assembles the data into readable parts, and sells the data to a buyer. For doxxing, data brokers often collect different pieces of information, like names on social networks, phone numbers associated with a household and addresses to construct a profile of a person. Most of the time they’re accurate. And for $20, more or less, a person can buy the data detailing someone else’s life” McAfee – Dec 2014 EVOLUZIONE DELLA MINACCIA «Big-data mentality» sviluppata dai gruppi Cybercriminali Acquisizione sistematica informazioni personali Perfezionamento tecniche di Cyber-espionage
- 11. Copyright © 2012 NTT DATA 11 QUADRO DELLE NUOVE VULNERABILITÀ RISKS RELATED TO IT CONSUMERIZATION “Consumerization of IT (COIT): Is a current trend in the area of IT where consumer-oriented, privately-used IT, like Social Networking, Cloud Storage, mail, smart phones, tablets, etc. is becoming part of professional IT. Given the positive user experience with these technologies, end users generate pressure to company IT to adopt similar functions/approaches. BYOD can be considered as the device-centric part of COIT Existing IT and security architectures were designed for a different computing paradigm. COIT introduces a number of changes impacting trust infrastructure. Such changes include: - Network perimeter changes - Approaches to Management of IT components - Revisions of existing user and service level/support agreements The impact of these changes on trust infrastructure is big and affects data security, perimeter security, identification and authentication functions ENISA - Consumerization of IT: Top Risks and Opportunities MOBILE THREATS L’individuo punto debole soprattutto quando opera al di fuori del perimetro aziendale Danni agli interessi privati Testa di ponte per superare le difese aziendali
- 12. Copyright © 2012 NTT DATA 12 Rogue insiders can cause significant damage “insiders who turn against their company can cause significant damage. Overall, companies require more time to detect and respond to insider attacks, nearly 260 days, compared to 170 days for other attacks, according to data from the Ponemon Institute’s. 2014 Cost of Cybercrime survey. Incidents involving malicious insiders also cost, on average, more than $210,000 to resolve, according to the study.” Georgia Institute of Technology– EMERGING CYBER THREATS REPORT 2015 “Insiders have become the most-cited culprits of cybercrime – but in many cases, they unwittingly compromise data through loss of mobile devices or targeted phishing schemes. Respondents said incidents caused by current employees increased 10 percent, while those attributed to current and former service providers, consultants and contractors rose 15 percent and 17 percent, respectively. “Many organizations often handle the consequences of insider cybercrime internally instead of involving law enforcement or legal charges. In doing so, they may leave other organizations vulnerable if they hire these employees in the future” PWC - Global State of Information Security Survey 2015 “The 2013 cyberattack on Target, in which criminals stole the payment card numbers of some 40 million customers and the personal data of roughly 70 million, although the thieves were outsiders, they gained entry to the retail chain’s systems by using the credentials of an insider: one of the company’s refrigeration vendors” “It was widely reported that delegates attending a G20 summit near Saint Petersburg in 2013 were given USB storage devices and mobile phone chargers laden with malware designed to help steal information” Harvard Business Review – “the danger from within” QUADRO DELLE NUOVE VULNERABILITÀ Insiders operanti anche a favore di organizzazioni esterne
- 13. Copyright © 2012 NTT DATA 13 FBI Warns Health Care Sector Is Especially Vulnerable to Cyberattacks “The agency says health care providers have particularly lax security systems. Reportedly, health care data sold on the black market can be even more valuable than credit card numbers because it tends to contain details that can be used to access bank accounts or obtain prescriptions for controlled substances Reuters, 23 Apr 2014 Il 24 aprile 2014, lo ICS-CERT ha rilasciato una Vulnerability Advisory (ICSA-14-084-01) relativa a prodotti “This product is used industrywide as a programmable logic controller with inclusion of a multiaxis controller for automated assembly and automated manufacturing. Identified customers are using the product where tolerances are particularly critical to end product operations.” “This product is used industrywide as a programmable logic controller with inclusion of a multiaxis controller for automated assembly and automated manufacturing. Identified customers are using the product where tolerances are particularly critical to end product operations.” “Festo has decided not to resolve these vulnerabilities, placing critical infrastructure asset owners using this product at risk … because of compatibility reasons with existing engineering tools” “Festo has decided not to resolve these vulnerabilities, placing critical infrastructure asset owners using this product at risk … because of compatibility reasons with existing engineering tools” MA Una componente vulnerabile di un vendor può pregiudicare la sicurezza di un sistema industriale: il caso FESTO QUADRO DELLE NUOVE VULNERABILITÀ Attacchi Indiretti tramite «trusted vendors» o enti collaterali
- 14. Copyright © 2012 NTT DATA 14 La “hyperconnectivity”: scenario critico per la sicurezza “The risk of large-scale cyber attacks continues to be considered above average on both dimensions of impact and likelihood This reflects both the growing sophistication of cyber attacks and the rise of hyperconnectivity, with a growing number of physical objects connected to the Internet and more and more sensitive personal data – including about health and finances – being stored by companies in the cloud. In the United States alone, cyber crime already costs an estimated $100 billion each year” World Economic Forum – “Global Risks 2015” QUADRO DELLE NUOVE VULNERABILITÀ Nuove tecnologie IoT vulnerabilities
- 15. Copyright © 2012 NTT DATA 15 POTENZIALI IMPATTI “While cyber espionage appears to be the new normal for stealing secrets from competitors in other nations, recent conflicts indicate that cyber attacks will play a tangible role in future military affairs. In an analysis of malicious Internet traffic based on data collected from security firm FireEye,Kenneth Geers, a researcher and ambassador from the NATO Cooperative Cyber Defense Center of Excellence,found that malware communications sent to servers in Russia, Ukraine, and Israel increased during the months in which each country was engaged in conflict” Georgia Institute of Technology - EMERGING CYBER THREATS REPORT 2015 CYBER EMERGENCY RESPONSE TEAM FOR ICS-CERT – 2013 REPORT 181 INCIDENTI -41% Energy Sector -15% Water Sector YEAR 2013 ICS VULNERABILITY INCIDENTS BY SECTORS Scenari di Cyber-warfare: minacce alle infrastrutture critiche
- 16. Copyright © 2012 NTT DATA 16 Le evidenze dei fatti: la debolezza dell’individuo arriva a compromettere sistemi critici industriali • Attacco «Stuxnet» alle centrali nucleari Iraniane - 2010 BLOCCO DI UN REATTORE Varie ipotesi su come sia stato possibile portare il malware all’interno dei sistemi di controllo, non essendo questi connessi ad Internet • Attacco via Infected USB drive istallato incautamente da un dipendente • Attacco «indiretto» ad un «trusted user» e successiva propagazione ai sistemi In entrambi gli scenari, il «cavallo di Troia» è un terzo soggetto preso di mira poichè più vulnerabile rispetto al target principale • Attacco alle acciaierie ThyssenKrupp - 2014 SPEGNIMENTO DI UN ALTOFORNO Origine dell’attacco: una mail di «spear phishing». Costruita ad hoc per ingannare il destinatario, riporta informazioni personali per suffragarne l’autenticità. Informazioni probabilmente diffuse dalla stessa vittima sui social network ! • Attacco a SONY – 2014 FURTO DI DATI – BLOCCO COMPLETO SISTEMI IT Anche stavolta l’origine dell’attacco è una mail di «spear phishing» POTENZIALI IMPATTI Cyber go to Physical
- 17. Copyright © 2012 NTT DATA 17 EVIDENZE DAL GLOBAL THREAT REPORT NTT Mercificazione dei Servizi di Cyber-Crime Attackers avanzati Massimizzano tecniche «low and slow» Lateral Trends Il Perimetro è L’Utente Finale The End-user and their devices continue to post a significant ang growing risk to the enterprise. 17 on 20 top vulnerabilities identified in 2014 are related to end-users systems the massive investments in onsite corporate security infrastructure is failing to protect end user systems Detection and remediation are of course critical to protecting the network, but it is safe to assume that the data that was available to the user was likely exposed at the very least. NTT group has seen some shift away from direct attacks against the infrastructure of those organizations that can be characterized as alternate attack paths. As a result, attacks against «gateway» industries have increased Malicious attackers treat security as a business Less mature attackers can leverage the skills of the more advanced crimeware developers Targeted attacks tend to produce a small fraction of the alerts generated by other techniques, and their persistence often allows succesful attackers a more pervasive access
- 18. Copyright © 2012 NTT DATA 18 TOP TEN - NAZIONI 56% 9% 9% 3% 2% 2% 2% 2% 2% 13% Top 10 Source Country US CN AU GB FR DE RU NL IN Rest Top ten countries acting as threat sources. In 2014, the United States grew by 7 percent as a source of global attacks. The volume and quality of US-based web services such as Amazon, Go Daddy and other large ISPs has led many cybercriminals to utilize these resources in support of their aberrant businesses.
- 19. Copyright © 2012 NTT DATA 19 ATTACCHI PER SETTORE Another change in the security world was a lateral spread towards non-traditional sectors for exploitation. Attackers traditionally engaged high-value sectors such as finance and retail as those sectors provided the highest ROI. In 2014, however, there was a shift in the top five sectors as the priority targets have shifted. In the data as it was reviewed, NTT Group analysts believe that a strategic inflection point may have occurred where attackers utilizing exploit kits are focusing on potentially valuable data, such as supply chain information, in sectors with less stringent security requirements. And, as seen with some of the larger data breaches in 2014, these less secure sectors can also provide access to larger, more secure targets that may also be partners
- 20. Copyright © 2012 NTT DATA 20 CYBERCRIME AS A SERVICE A primary driver of the widespread use of DDoS is the ubiquity and degree of commoditization throughout the industry. In the past, a crimeware developer had to create malware, deploy it, build up a sophisticated botnet and then use that network to drive DDoS attacks. This model still exists, but there are new methods on the crimeware market. Working much in the manner of a Silicon Valley “start-up,” crimeware developers are now developing DoS technology as their core business with no intent of launching their own attacks. They instead exist solely to resell their “DoS as a service” to other organizations that can then monetize that capability. For the criminal or hacktivist, it’s a win- win situation. The DoS-as-a-Service provides a steady revenue stream for its operators, focusing on one area with a quasi-legitimate service, while criminal syndicates no longer need to operate a service they only may use occasionally. Much like other-point of-use services, both sides win through commoditization and sharing of capabilities. DDOS Attacks per Month 2014, by industry sector Sites providing web “stressor” services :can be used to launch attacks on a subscription basis starting at $2.99 USD a month for 100 seconds of usage
- 21. Copyright © 2012 NTT DATA 21 IL PERIMETRO È L’UTENTE FINALE Il perimetro è cambiato. L’ IT management non può più contare su un perimetro di sicurezza della rete ben definito che protegge l’organizzazione aziendale da attacchi esterni. I dati sono distribuiti tra gli utenti e gli utenti sono presenti in ambienti di lavoro altamenti dispersivi, in mobilità che semplicemente non si prestano all’attuazione centralizzata di controlli coerenti. Questo è soprattutto vero quando l’attaccante è in casa e può agire dall’interno sfruttando “trusted zone and device” Rappresentazione di tutti gli attacchi basati Internet based nel 2014. Il grafico mostra picchi di attacco durante particolari campagne, e per client specifici Il grafico mostra che gli attacchi continuano a seguire questo modello per tutto l'anno. La sicurezza all'interno delle organizzazioni ha costantemente rilevato un numero di attacchi notevolmente inferiore nei fine settimana e nei giorni festivi. Potrebbe significare che durante il weekend e nei festivi, gli attackers si fermino.
- 22. Copyright © 2012 NTT DATA 22 Infections from Command and control traffic (C2) per weekday shows a clear jump of infected machines on Monday (day 2) when employees return to the office Il gruppo CyberSecurity di NTT Group pensa che gli attacchi possano essere attribuiti ai device degli utenti finali. I I dispositivi degli end user navigano siti infetti, subiscono attacchi di phishing diretti, di tipo water hole o attacchi diretti durante il weekend. La realtà è che gli utenti sono ancora sotto attacco nei weekends e durante le vacanze; Non sono in azienda ed i sistemi di sicurezza che hanno a casa semplicemente non rilevano e non prevengono gli attacchi Dallo studio emerge un aumento del 75% delle macchine infette il giorno di ritorno al lavoro dopo festività o weekend, mettendo in risalto come l’end user possa essere un concreto veicolo di infezione per l’infrastruttura aziendale IL PERIMETRO È L’UTENTE FINALE individuo punto debole Danni agli interessi privati Testa di ponte per superare le difese
- 23. Copyright © 2012 NTT DATA 23 Top 20 attacked vulnerabilities, 2014. Note, 17 are focused on end user systems. IL PERIMETRO È L’UTENTE FINALE Durante il 2014, 17 delle top 20 vulnerabilità sono state introdotte dai sistemi degli utenti finali. Sulla base di un'analisi dettagliata degli attacchi, NTT ha scoperto che gli utenti finali sono attaccati attivamente su base regolare e costante. Certamente, gli attackers non sono in genere specificamente rivolti agli end users al fine di cercare di entrare nei loro sistemi. I sistemi degli end users sono costantemente esposti alle vulnerabilità Java, Adobe e Flash con attacchi drive-by e water fall. L'impatto finale è che l'utente finale diventa responsabile, perché i modelli di attacco tipici fanno dei loro computer un gateway per gli attaccanti per entrare dentro l'organizzazione
- 24. Copyright © 2012 NTT DATA 24 Cambiamento nella tipologia della minaccia Finalità predatorie sempre più aggressive (evidenze:volumi delle frodi, target di attacco su servizi critici) Elementi ideologici (Cyber terrorismo, Acktivism – vedi «sfida» di Anonymous Vs. ISIS) Scenari di CyberWarfare che coinvolgono le infrastrutture critiche: Cyber e Phisical domains non più distinguibili Cambiamento nella tipologia delle vulnerabilità Spear Phishing Insiders attacchi indiretti es. tramite vendors considerati «trusted» «Big-data mentality» sviluppata dal cybercrime: consapevolezza del valore strategico ed economico dell’informazione SINTESI DEL QUADRO EVOLUTIVO DEL RISCHIO
- 25. Copyright © 2012 NTT DATA 25 Nuova sfida Fattori esterni non completamente sotto controllo dalle aziende Cloud Circolazione dei dati fuori dai perimetri consueti "Polverizzazione" delle superfici di attacco Social IT Consumerization Nuove tecnologie/Nuovi paradigmi IT Mobility IoT LO SCENARIO DELLE VULNERABILITÀ: ELEMENTI CARATTERIZZANTI
- 26. Copyright © 2012 NTT DATA 26 Il rischio non è quantificabile (almeno non secondo i criteri sinora considerati) Il rischio non è gestibile autonomamente da ogni singola azienda Occorre coinvolgere nella strategia di contenimento del rischio perimetri sinora considerati al di fuori dell’ambito di protezione aziendale (sfera privata dell’end-user, dimensioni Open) Pertanto occorre un cambio di paradigma e la rielaborazione delle strategie di risk management, fondato su nuovi elementi: Collaboration (in particolare cross-enterprise e soprattutto Pubblico-privato) Strategie di governance del rischio globale e processi di Security inter-aziendali Partecipazione alle strategie di Cyber Intelligence intergovernative (info-sharing) Protezione degli oggetti atomici, non dei perimetri Il singolo dato/documento (Driver: Dematerializzazione) Il singolo device (Driver: Mobility) Il singolo utente (driver: Social, IoT, New Human/Digital Experiences – SFERA COMPORTAMENTALE) Paradigma del «nuovo umanesimo»: il mondo fisico digitalizzato, costruito intorno all’individuo IL QUADRO CHE NE DERIVA
- 27. La protezione dell’End Users
- 28. Copyright © 2012 NTT DATA 28 PROTEGGERE GLI INDIVIDUI È ESSENZIALE LE VULNERABILITÀ DELL’INDIVIDO POSSONO ESSERE SFRUTTATE SIA PER PERPETRARE FRODI CONTRO DI LUI E VIOLARE I SUOI DIRITTI, SIA PER PENETRARE LE DIFESE NEI CONTESTI IN CUI EGLI HA ACCESSO
- 29. Copyright © 2012 NTT DATA 29 L’INDIVIDUO RAPPRESENTA IL NUOVO TARGET PRIMARIO DELLE STRATEGIE CYBERCRIMINALI SPEAR PHISHING DOXXING RANSOMWARE ATTACCHI A PICCOLE STRUTTURE CHE CUSTODISCONO DATI PERSONALI
- 30. Copyright © 2012 NTT DATA 30 RAPPRESENTA LA VULNERABILITÀ ENDEMICA DELL’ECOSISTEMA DIGITALE COMPORTAMENTI DESTRUTTURATI SOPRAFFATTI DALLA COMPLESSITÀ TECNOLOGICA SPAZI SENZA CONFINI INFORMAZIONI PERSONALI DISPONIBILI DAPPERTUTTO
- 31. Copyright © 2012 NTT DATA 31 QUALE INDIVIDUO Soggetto finale autonomo che fruisce dei servizi offerti su Internet per mezzo di strumenti tecnologici indipendenti, gestiti individualmente ed utilizzati per fini conformi alle proprie personali necessità ed in accordo alle proprie regole etiche
- 32. Copyright © 2012 NTT DATA 32 PERCHÈ È IMPORTANTE FOCALIZZARSI SULLA PROTEZIONE DELL’INDIVIDUO I SUOI DIRITTI CI STANNO A CUORE • Perchè tutelare i suoi diritti è fondamentale • Perchè rappresenta la vulnerabilità endemica dell’ecosistema digitale • Perchè non è nella condizione di strutturare autonomamente una difesa efficace contro le minacce • ... Perchè di ciò si sono accorti i cybercriminali, che congegnano attacchi a sistemi complessi partendo dalle sue vulnerabilità
- 33. Copyright © 2012 NTT DATA 33 L’INDIVIDUO SU INTERNET: I SUOI DIRITTI Tutelare i suoi diritti è fondamentale • Rispetto della persona • Privacy • Diritto all’ «oblio» • Limite etico • Libertà di espressione • Partecipazione democratica • Garanzia di legalità • Diritti ... e doveri! Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico» - Presidenza del Consiglio, Dicembre 2013
- 34. Copyright © 2012 NTT DATA 34 PRIVACY ? Google Maps (movimenti) Google Fit (attività fisiche) Google Chrome (ricerche sul WEB) Google Keep (ciò che pensiamo) Google Docs (ciò che scriviamo) Google My Tracks (la strada che percorriamo) Google + (i nostri amici ... ma questo sa farlo meglio
- 35. Copyright © 2012 NTT DATA 35 PRIVACY ? https://maps.google.com/locationhistory
- 36. Copyright © 2012 NTT DATA 36 PRIVACY ? https://fit.google.com
- 37. Copyright © 2012 NTT DATA 37 45% «Posta selfie» provocanti sui Social networks 19% Fornisce il suo numero di cellulare 25% Rivela la scuola che frequenta 12% Ha avviato rapporti on-line con sconosciuti 5% Ha accettato proposte di sesso on-line Chatta fino ad orari che interferiscono con la fascia del sonno; circa il 40% fino a notte fonda; Il 12.5% ricomincia la mattina presto 57% 13% Ha praticato giochi d’azzardo vietati ai minori * survey condotta nel 2014 dalla Società Italiana di Pediatria su un campione rappresentativo di 2107 studenti (1073 maschi - 1034 femmine) della terza media. DIRITTI VIOLATI SOPRATTUTTO NELLE FASCE PIÙ DEBOLI* Tutelare i suoi diritti è fondamentale
- 38. Copyright © 2012 NTT DATA 38 L’INDIVIDUO SU INTERNET: È VULNERABILE PERCHÈ ASSUME COMPORTAMENTI A RISCHIO Rappresenta la vulnerabilità endemica dell’ecosistema digitale Il comportamento degli end-users nel Cyberspazio, soprattutto Mobile, diventa sempre più destrutturato Le vulnerabilità “comportamentali" rappresentano spesso il punto di innesto di attacchi cyber-criminali
- 39. Copyright © 2012 NTT DATA 39 ESEMPI DI VULNERABILITÀ COMPORTAMENTALI Rappresenta la vulnerabilità endemica dell’ecosistema digitale
- 40. Copyright © 2012 NTT DATA 40 E’ VULNERABILE PER VIA DELLA COMPLESSITÀ TECNOLOGICA... Non è nella condizione di strutturare autonomamente una difesa efficace contro le minacce Anche gli utenti più sensibili corrono il rischio di compromission e dei device Elevata complessità e frequenza delle azioni necessarie per mantenere sicuro un end-point. Si è inconsapevoli, o semplicemente sopraffatti dalle azioni necessarie per mantenere sicure tutte le applicazioni istallate
- 41. Copyright © 2012 NTT DATA 41 ... CHE AUMENTA CON L’EVOLUZIONE DELLE ESPERIENZE DIGITALI Non è nella condizione di strutturare autonomamente una difesa efficace contro le minacceKEYSECURITYDOMAINSKEYSECURITYDOMAINS PC & LAPTOP MOBILE WEARABLE M2M / IoT • PKI • VPN • I&AM • ... • Secure APP Management • Mobile Security Check • Mobile ID&SSO • Secure Element (TEE) • Privacy Protection • Biometric / Hand-free auth • Control & Big Data • E-SIM • Host Card emulation • Remote Control • Personal Profiling • Physical/Virtual Integration IT Works NON-IT Works (Change life/work style)
- 42. Copyright © 2012 NTT DATA 42 L’INDIVIDUO AL CENTRO DELLE STRATEGIE DI ATTACCO CYBERCRIMINALI I Cybercriminali fanno leva sulle vulnerabilità dell’individio • Doxxing – Acquisizione di informazioni personali volte a conoscere nel dettaglio gli aspetti più riservati della vita dell’individuo. Finalità: ricatto / furto identità / spare phishing • Ramsonware – Malware con obiettivo i singoli utenti o le piccole imprese, che cifra i dati e blocca il sistema con successiva pretesa di un pagamento per ottenerne lo sblocco • Attacchi mirati a piccole strutture che custodiscono dati personali critici (es. strutture sanitarie). Obiettivo: furto dei dati per arricchire i «dossier» personali I «Segni dei tempi»: Conoscendo l’individuo, se ne sfruttano le debolezze, anche per violare le difese dei contesti
- 43. Copyright © 2012 NTT DATA 43 L’INDIVIDUO AL CENTRO DELLE STRATEGIE DI ATTACCO CYBERCRIMINALI I Cybercriminali fanno leva sulle vulnerabilità dell’individio • Attacco «Stuxnet» alle centrali nucleari Iraniane - 2010 BLOCCO DI UN REATTORE Varie ipotesi su come sia stato possibile portare il malware all’interno dei sistemi di controllo, non essendo questi connessi ad Internet • Attacco via Infected USB drive istallato incautamente da un dipendente • Attacco «indiretto» ad un «trusted user» e successiva propagazione ai sistemi In entrambi gli scenari, il «cavallo di Troia» è un terzo soggetto preso di mira poichè più vulnerabile rispetto al target principale • Attacco alle acciaierie ThyssenKrupp - 2014 SPEGNIMENTO DI UN ALTOFORNO Origine dell’attacco: una mail di «spear phishing». Costruita ad hoc per ingannare il destinatario, riporta informazioni personali per suffragarne l’autenticità. Informazioni probabilmente diffuse dalla stessa vittima sui social network ! • Attacco a SONY – 2014 FURTO DI DATI – BLOCCO COMPLETO SISTEMI IT Anche stavolta l’origine dell’attacco è una mail di «spear phishing» Le evidenze dei fatti: la debolezza dell’individuo arriva a compromettere sistemi critici industriali
- 44. Copyright © 2012 NTT DATA 44 LA STRATEGIA PER L’END-USER • Si rivolge anzitutto al bisogno dell’individuo • Considera le sue varie esperienze digitali, connotate ciascuna da un’aspettativa e da un profilo di rischio che ne determinano i requisiti di sicurezza • Costruisce una risposta ai requisiti fondata sul concetto di «livello di fiducia» (trustworthiness) che è lecito riporre in tutti i fattori che caratterizzano quella particolare esperienza digitale • Ciò è trasferito all’utente sotto forma di «supporto personale» nella gestione delle interazioni con le varie componenti dello spazio digitale coinvolte, mediante: – Notifica della misura del livello di fiducia da assegnare a ciascun elemento – Attivazione del contesto tecnico/relazionale più appropriato – Suggerimenti sul comportamento più idoneo da adottare – Interazione con «trusted Third parties» che garantiscono l’affidabilità dell’esperienza
- 45. Copyright © 2012 NTT DATA 45 I FATTORI CHE CONNOTANO L’ESPERIENZA DIGITALE: CIASCUNO CON DEI RISCHI SPECIFICI Le App ed i servizi gestiti: App «Malevole» o Fake possono essere veicolo di diffusione di Malware, furto d’identità, Phishing, reclutamento in BOTnets Il contesto e l’ambiente: In luoghi pubblici possono essere «spiate» informazioni, ci si può connettere a reti poco sicure, si può interagire con oggetti intelligenti compromessi, si possono portare all’esterno informazioni critiche aziendali, ecc. Le relazioni ed i contatti: Si rischia di includere nella propria rete di contatti degli account «fake» mirati alla raccolta di informazioni personali dai Social, spionaggio, ecc I comportamenti, l’attitudine al rischio: Social Enginering, perdita/furto del device, frodi, abuso di informazioni riservate, contenuti impropri
- 46. Copyright © 2012 NTT DATA 46 GUARDA ANZITUTTO AL BISOGNO DELL’INDIVIDUO CONSIDERA LE SUE VARIE ESPERIENZE DIGITALI NELLA LORO SPECIFICITÀ COSTRUISCE UNA RISPOSTA ALLE ASPETTATIVE FONDATA SUL CONCETTO DI «LIVELLO DI FIDUCIA...» : – NEL CONTESTO IN CUI SI MUOVE – NELLA SUA RETE DI RELAZIONI – NELLE COMPONENTI TECNOLOGICHE CHE USA – NEI SOGGETTI CON CUI INTERAGISCE UNA STRATEGIA END-USER- CENTRICA
- 47. Copyright © 2012 NTT DATA 47 Dove ci si trova A cosa si è connessi Con cosa si interagisce Chi c’è nelle vicinanze Cosa sono A chi appartengono Quale scopo hanno Chi li fornisce Come sono configurati Chi è Cosa vuol fare Cos’è autorizzato a fare Le sue abitudini La sua rete di contatti La Security Awareness OCCORRE AGIRE SU TUTTI I FATTORI
- 48. Copyright © 2012 NTT DATA 48 FIDARSI DEL CONTESTO IN CUI CI SI TROVA • Analisi della tipologia di traffico • Reliability della connessione utilizzata • Tipologia di ambiente circostante (es. Luogo pubblico) • Connessioni improprie (es. Rogue Devices, Unauthorized Bluetooth, other protocols) • Visibilità di altri devices, interazioni con oggetti, Sensori, Wearable devices, ... ocation-aware / Connection-aware Policy enforcement
- 49. Copyright © 2012 NTT DATA 49 FIDARSI DEL CONTESTO IN CUI CI SI TROVA • Sanity check del device • Security Check App istallate • Reputation del Service Provider per il servizio richiesto • Attivazione ambiente di esecuzione sicuro • Storage sicuro dei dati (privati e di business) • Secure Private Communication • Segregazione degli ambienti/supporto BYOD Service-aware / Experience-aware Policy enforcement
- 50. Copyright © 2012 NTT DATA 50 FIDARSI DEL CONTESTO IN CUI CI SI TROVA • Scoring dell’attitudine al rischio • Profilo comportamentale sui Social • Affidabilità del network dei contatti • Verifica dell’identità/affidabilità di una controparte coinvolta in una transazione con coinvolgimento di una «trusted Third Party» • Attivazione di techniche di autenticazione evolute (Passwordless / Hands-free / Biometric) • Verifica dinamica dei Privilegi Person-aware / Relations-aware / Behavior- aware Policy enforcement
- 51. Copyright © 2012 NTT DATA 51 IL DISTRETTO TECNOLOGICO SULLA CYBER SECURITY Realizzato a Cosenza, indirizza temi di ricerca industriale e sviluppo precompetitivo E’ un’iniziativa congiunta fra partner industriali ed istituzioni accademiche, finanziata dal Governo Italiano mediante fondi erogati dal Ministero dell’Università e Ricerca (MIUR) Si configura come la più ampia iniziativa di ricerca sulla tematica in Europa in termini di Investimenti (più di 28 M€) e fornisce un approccio olistico alle tematiche della Cybersecurity, approcciate lungo tre direttive progettuali: Protezione dell’End-User, Protezione dei Digital Systems, con particolare riguardo al Cloud ed i sistemi di pagamento, e Protezione delle Informazioni e dei Documenti, focalizzando i processi di dematerializzazione COSENZA
- 52. Copyright © 2012 NTT DATA 52 LA STRATEGIA SI SOSTANZIA IN UN FRAMEWORK INTEGRATO PER LA PROTEZIONE DELL’END-USER ELISA: End-User’s Light Security Assistant
- 53. Copyright © 2012 NTT DATA 53 INTERAZIONE DIRETTA CON L’END-USER NELLA FORMA DI "SECURITY ASSISTANT". PER OGNI SPECIFICA ESPERIENZA DIGITALE, DYMORA ANALIZZA:: •“LEVEL OF TRUST” DEL CONTESTO TECNOLOGICO •“LEVEL OF TRUST” DELL’AMBIENTE IN CUI SI OPERA •“LEVEL OF TRUST” DEL CONTESTO RELAZIONALE DELL’UTENTE •ELEMENTI DI RISCHIO DELLA SFERA COMPORTAMENTALE INOLTRE ELISA ATTIVA LE CONTROMISURE PIÙ APPROPRIATE IN BASE AL PROFILIO DI RISCHIO COMPLESSIVO DETERMINATO DINAMICAMENTE • AGGIORNAMENTO DELLE CONFIGURAZIONI DI SICUREZZA DEI DEVICES • GESTIONE DINAMICA DEI PROFILI UTENTE E DELLE RISPETTIVE POLICY • “TERZA PARTE FIDATA" PER LA VALIDAZIONE REAL-TIME DELL’AFFIDABILITÀ E DELL’IDENTITÀ DI UNA CONTROPARTE COINVOLTA IN UNA TRANSAZIONE ON-LINE • ANALISI DEI FENOMENI, GESTIONE DELLE INTERAZIONI CON I VARI STAKEHOLDERS E CON L’ECOSISTEMA DELLA CYBERSECURITY,, GOVERNANCE COMPLESSIVA DEL SISTEMA ELISA OPERA SU DUE LIVELLI FUNZIONALI
- 54. Copyright © 2012 NTT DATA 54 LA SOLUZIONE SPECIFICA PER L’UTENZA MOBILE: LA PIATTAFORMA DYMORA
- 55. Copyright © 2012 NTT DATA 55 RISPONDE ALLE ESIGENZE DI SICUREZZA DEL MONDO CONSUMER – PARENTAL CONTROL
- 56. Copyright © 2012 NTT DATA 56 ESIGENZE DEL MONDO CONSUMER - GARANZIA DI PRIVACY E SICUREZZA NELL’USO DEL PROPRIO SMARTPHONE Area Privata Set di App sicure rese accessibili in un’area privata su Smartphone e Tablet e gestite dal Cloud • Private Browser • Private Mail • Private File Viewer, • Private Camera • Private Contact List • Data Backup • Private SMS • ...
- 57. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 5757 Multi-user, blocco, Selective Wipe, Single Sign On, impostazioni su WiFi, e-mail, Monitoraggio App store, controllo distribuzione, aggiornamenti, whitelist&blacklist Accesso sicuro e condivisione documenti, sincronizzazione & modifica, notifiche push Protezione aggiuntiva per App aziendali, browser, network e specifiche risorse SOLUZIONE COMPLETA E CUSTOMER ORIENTED USER PROTECTION APPLICATION PROTECTION DATA PROTECTIO N SYSTEM PROTECTION DYMORA È ANCHE ENTERPRISE MOBILITY MANAGEMENT
- 58. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 5858 Gestione dei device mobili con strumenti di configurazione e implementazione di Policy aziendali specifiche Configurazione ed orchestrazione delle policy di sicurezza sui device. Crittografia, configurazioni WiFi, gestione in caso di furto, collegamento ad altri hardware, lista applicazioni abilitale, ecc. Orchestrazi o-ne policy di sicurezza Gestione dei device da remoto (tramite la console DyMoRA): esecuzione di Selective Remote Wipe di dati/APP/configurazioni; blocco da remoto, mapping del device, ecc Selective Wipe Ciascun device può essere utilizzato da più utenti; le policy di sicurezza e i privilegi per ogni profilo sono regolati centralmente, e ciascun utente può accedere ad una «area privata» Multi-User Device La componente MIDA fornisce un solido servizio di autenticazione per gli utenti e regola l’accesso alle informazioni, che viaggiano tramite canale di comunicazione specifico e controllato Mobile Identity Assurance (MIDA) DYMORA PER LA GESTIONE DEI DEVICES AZIENDALI E PER LE FUNZIONALITÀ DI IDENTITY PROVIDER
- 59. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 5959 Protezione completa dai rischi associati alle APP, tramite controllo della distribuzione e dell’utilizzo; report periodici e gestione delle «APP fake» • Controllo dell’approvvigio- namento dai Market Place con identificazione e segnalazione di APP fake e black market • Calcolo del Risk Scoring in base a: contesto di utilizzo, tipologia di device e APP, comportamento dell’utente Monitoraggi o dei mobile App market • Reporting sulle performance di utilizzo delle APP (user, tasso di utilizzo, velocità media, nr di segnalazioni, ecc..) • Monitoraggio per la prevenzione da frodi degli utenti Report di performanc e Ambiente controllato, per l’esecuzione sicura di APP aziendali e relativi dati, in funzione di policy predefinite: •APP wrapping: strato protettivo aggiuntivo per le APP aziendali •Secure Development Kit: ambiente di sviluppo protetto per l’implementazione di APP in-house e l’esecuzione in ambiente separato APP Wrapping & SDK Utilizzo sicuro delle APP anche Off-Line, tramite autenticazione locale e attivazione automatica della policy di contesto Local APP DYMORA PER LA GESTIONE DEI RISCHI SULLE APPLICAZIONI AZIENDALI
- 60. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 6060 Accesso sicuro e aggiornato ai contenuti, tramite le funzionalità di Secure Container, Content Push, e Content Access • Contenitore virtuale per la gestione sicura delle App aziendali • Le APP più comuni sono: Browser, Mail, File Server, Camera, Contact List, Chat, ecc. • I contenuti gestiti provengono da allegati delle Email, dal repository in back-end, dall’amministratore o altro personale Secure Container • Rilascio di documenti in modalità Push • Controllo del versioning dei documenti • Notifica agli utenti i nuovi file • Segnalazione delle scadenze Content Push • Connessione ad un repositòry di back-end per accedere ai content dai propri device mobili • Supporto per specifiche repository di Back-end (es. sharepoint) • Regolazione dei download dei documenti in caso di roaming • Audit sui log degli accessi/ downdoads dei file Content Access DYMORA PER LA GESTIONE DEI CONTENUTI AZIENDALI RESI DISPONIBILI SU MOBILE
- 61. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 6161 Contenitore virtuale per la gestione sicura delle App aziendali Secure Container Disponibili due tipologie di development kit: • Secure Container: Librerie per lo sviluppo sicuro di HTML5 App: − App segregation & Data encryption − Controlled acces to information on a user basis − Anti-tampering & Anti reverse-engineering − Set of HTML5 API for in-house development • Secure Storage: librerie per lo sviluppo di APP standalone: Security keys management for APP data encryption − Files/folder encryption − Digital signature available for beeing used within the App − … Mobile Identity Management con servizio On Premise o Cloud e autenticazione Single Sign-on Gestione On Premise o Cloud delle policy e privilegi di accesso alle risorse DYMORA PER LO SVILUPPO DI APP AZIENDALI SICURE
- 62. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 6262 Le Policy di sicurezza sono context-based e si attivano automaticamente in base a luogo, data, ora, device e utente connesso Definizione e attivazione di regole di policy Globali, per Device, e per Utente Quando si verificano le condizioni impostate avviene uno swap automatico sul dispositivo, dallo scenario Business (BYOD/COPE) al Privato, con attivazione delle relative APP e specifiche funzioni del Device (es. Camera, bluetooth, WiFi, ecc.) Administrator User DYMORA PER LA GESTIONE CONTEXT-BASED DELLE POLICY DI SICUREZZA SUL MOBILE
- 63. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 6363 DYMORA PER GESTIRE GLI UTENTI MOBILE
- 64. Copyright © 2012 NTT DATA 64 MIDA: LA SOLUZIONE PER LO SCENARIO SPID (SISTEMA PUBBLICO IDENTITÀ DIGITALI) MIDA App Secure ContainerSecure Container Secure Storage Secure Storage Secure Storage Controller Login/ Logout Selective wipe Legenda Connectors Data Base Internal Modules Secure Storage modules External Authentication process CRUD Internal functionsInternal functions MIDA App CRYPTO ENGINES • Crypto SIM • External Crypto Tokens • Host Card Emulator (HCE) Supported external crypto modules for Private Key generation & storage MIDA - SPID LEVEL 3 COMPLIANT
Editor's Notes
- #29: Because protecting his rights is fundamental Because he represents the endemic vulnerability of the digital ecosystem Because it is not in the condition to structure themselves an effective defense against threats Because cybercriminals are aware of that, and create attacks in complex systems starting from its vulnerabilities End-user autonomously enjoying services available on the Internet by means of several kind of devices belonging to him, and used for purposes tailored to his personal needs and in accordance to his own ethical rules To Safeguard its rights is fundamental THE END-USER ON THE INTERNET IS VULBERABLE BECAUSE HE ASSUMES RISKY BEHAVIOURS Mobile end-users behaviour and technological tools are becoming increasingly unstructured. It is difficult to place a typical end-user in a tidy context of security policies, as he is more and more aspiring to work in an environment free of constraints, whose perimeter is defined according to their personal ethics and to their individual needs Given the wide availability of applications and services, the typical users of Smartphone and Tablet are either unaware or simply overwhelmed by the complexity and frequency of the actions required to maintain secure their endpoints
- #30: Knowing the individual, it is possible to exploit its weaknesses, even to violate the defenses of the contexts in which it has access Doxxing Acquisition of personal information intended to know in detail the aspects of the individual's life more reserved. Purpose: blackmail / identity theft / spare phishing Ramsonware Malware with target individual users or small businesses, which encrypts the data and stops the system with a subsequent claim for payment Attacks targeted at small structures that hold personal data critical (eg. Health facilities). Objective: theft of data to enrich the ‘personal dossier'
- #48: «Stuxnet» attack to Iranian Nuclear centrals - 2010 Various hypotheses about how it was possible to bring the malware within the systems of control, not being connected to the Internet Attack via Infected USB drive recklessly installed by an employee “Indirect“ attack to a "trusted user" and subsequent propagation systems In both scenarios, the "Trojan horse" is a third party targeted as more vulnerable than the main target Attack to ThyssenKrupp steelworks- 2014 Origin of the attack: a "spear phishing“ attack: Built specifically to trick the recipient, reports personal information for substantiate the autenticity. Data probably spread by the victim on social networks!
- #49: «Stuxnet» attack to Iranian Nuclear centrals - 2010 Various hypotheses about how it was possible to bring the malware within the systems of control, not being connected to the Internet Attack via Infected USB drive recklessly installed by an employee “Indirect“ attack to a "trusted user" and subsequent propagation systems In both scenarios, the "Trojan horse" is a third party targeted as more vulnerable than the main target Attack to ThyssenKrupp steelworks- 2014 Origin of the attack: a "spear phishing“ attack: Built specifically to trick the recipient, reports personal information for substantiate the autenticity. Data probably spread by the victim on social networks!
- #50: «Stuxnet» attack to Iranian Nuclear centrals - 2010 Various hypotheses about how it was possible to bring the malware within the systems of control, not being connected to the Internet Attack via Infected USB drive recklessly installed by an employee “Indirect“ attack to a "trusted user" and subsequent propagation systems In both scenarios, the "Trojan horse" is a third party targeted as more vulnerable than the main target Attack to ThyssenKrupp steelworks- 2014 Origin of the attack: a "spear phishing“ attack: Built specifically to trick the recipient, reports personal information for substantiate the autenticity. Data probably spread by the victim on social networks!
- #51: «Stuxnet» attack to Iranian Nuclear centrals - 2010 Various hypotheses about how it was possible to bring the malware within the systems of control, not being connected to the Internet Attack via Infected USB drive recklessly installed by an employee “Indirect“ attack to a "trusted user" and subsequent propagation systems In both scenarios, the "Trojan horse" is a third party targeted as more vulnerable than the main target Attack to ThyssenKrupp steelworks- 2014 Origin of the attack: a "spear phishing“ attack: Built specifically to trick the recipient, reports personal information for substantiate the autenticity. Data probably spread by the victim on social networks!
- #53: «Stuxnet» attack to Iranian Nuclear centrals - 2010 Various hypotheses about how it was possible to bring the malware within the systems of control, not being connected to the Internet Attack via Infected USB drive recklessly installed by an employee “Indirect“ attack to a "trusted user" and subsequent propagation systems In both scenarios, the "Trojan horse" is a third party targeted as more vulnerable than the main target Attack to ThyssenKrupp steelworks- 2014 Origin of the attack: a "spear phishing“ attack: Built specifically to trick the recipient, reports personal information for substantiate the autenticity. Data probably spread by the victim on social networks!
- #54: Based on 4 parts Devices APPs Security Monitoring Early Warning and security awareness End User brehavioral and Environmental Monitoring Dynamic Adaptive Policy Enforcement Alongside the strategic guidelines for the Security of the digital ecosystem * that focus the role and contribution of public and private institutions: Improvement of technological and operational capability of all Stakeholders Strengthening of defense capability of critical national infrastructure Promoting cooperation between institutions and firms Promotion and dissemination of the culture of safety among citizens Cybernetics Strengthening the capacity to counter illegal activities online Strengthening international cooperation It must be pursued with more determination the protection of the personal sphere of the individual in Digital world Not only "culture" of cybersecurity Specific Tools and methods Reconcile the rights and aspirations of the individual with the needs of protection of digital services which are strategic to the country system
- #55: «Stuxnet» attack to Iranian Nuclear centrals - 2010 Various hypotheses about how it was possible to bring the malware within the systems of control, not being connected to the Internet Attack via Infected USB drive recklessly installed by an employee “Indirect“ attack to a "trusted user" and subsequent propagation systems In both scenarios, the "Trojan horse" is a third party targeted as more vulnerable than the main target Attack to ThyssenKrupp steelworks- 2014 Origin of the attack: a "spear phishing“ attack: Built specifically to trick the recipient, reports personal information for substantiate the autenticity. Data probably spread by the victim on social networks!
- #56: «Stuxnet» attack to Iranian Nuclear centrals - 2010 Various hypotheses about how it was possible to bring the malware within the systems of control, not being connected to the Internet Attack via Infected USB drive recklessly installed by an employee “Indirect“ attack to a "trusted user" and subsequent propagation systems In both scenarios, the "Trojan horse" is a third party targeted as more vulnerable than the main target Attack to ThyssenKrupp steelworks- 2014 Origin of the attack: a "spear phishing“ attack: Built specifically to trick the recipient, reports personal information for substantiate the autenticity. Data probably spread by the victim on social networks!
- #57: «Stuxnet» attack to Iranian Nuclear centrals - 2010 Various hypotheses about how it was possible to bring the malware within the systems of control, not being connected to the Internet Attack via Infected USB drive recklessly installed by an employee “Indirect“ attack to a "trusted user" and subsequent propagation systems In both scenarios, the "Trojan horse" is a third party targeted as more vulnerable than the main target Attack to ThyssenKrupp steelworks- 2014 Origin of the attack: a "spear phishing“ attack: Built specifically to trick the recipient, reports personal information for substantiate the autenticity. Data probably spread by the victim on social networks!