Sicurezza informatica nella Pubblica Amministrazione
Web Ed Email Security Ppt
1. Web ed Email security: proteggere i canali di comunicazione
2. Agenda: perché proteggere la navigazione web e la mail : gli asset da proteggere ed i rischi che si corrono come si protegge un canale di comunicazione: processi, tecnologie ed interazioni
6. Dove cerco le informazioni? 1) Scambio di E-mail 2) Web Motori di ricerca Siti di informazioni Blog Web Aziendali …
7. Mail e Web Browsing Sono due asset aziendali fondamentali perché: Sono i principali veicoli di trasmissione delle informazioni Sono i principali veicoli di reperimento delle informazioni E le informazioni sono vitali per le aziende, qualsiasi cosa facciano!
8. Da cosa proteggersi? Spam Phishing Uso Improprio delle risorse Ddos Virus Malware Furto Dati Sensibili Directory Harvest BounceAttack
9. Source: 106,000 Bots on 3,200 Networks in 119 Countries Zombie Populationby Network Zombie Population by Country Top 10: 28% of spam Top 25: 50% of spam
10. Non bastano Firewalls, IPS, Anti-Virus e URL Filtering?! Firewalls don’t stop port 25, 80 or user requests for protocol-compliant HTTP(S) 443 IPS does not stop social engineering New vulnerabilities continually Anti-virus is shockingly ineffective due to mutating viruses 390 LdPinch security signatures since original in 2003 More than 30,000 Bagel variants URL filtering can’t categorize an infinite number of sources URL filtering can’t protect from legitimate sites being hacked End-users roam End-users choose to install, override security Once infected, malware hides
11. Come Proteggersi le basi Considerare il problema nel suo insieme Non concentrarsi su un solo aspetto … No silver bullet, ma tecnologie che collaborano tra loro analizzando i diversi aspetti del problema Suddividere il problema in layer ed affrontare ogni layer con una tecnologia adatta … Monitorare non solo il contenuto e chi riceve, ma anche chi invia Puoi fidarti del postino? … Sopravvivere al carico di lavoro necessario a securizzare i canali Basso impatto amministrativo Scalabilità Omogeneità architetturale Aggiornamento della soluzione semplice ….
12. Proteggere un canale di comunicazione Analizzare il tipo di dati trasportato Chi è il mittente? Chi è il destinatario? Come è fatto il messaggioontenuto? Ci sono dationtenutisensibilirivati? Ci sono dationtenuti impropri? ….. Analizzare il tipo di protocollo utilizzato È stateless o stateful? In chiaro o criptato? Autenticato o non autenticato? Reliable o unreliable? …… Analizzare i rischi connessi Mi possono rubareeggereodificare i dati? Possono utilizzare il canale di comunicazione in maniera impropria? Posso ricevere contenutiati pericolosi? Posso violareDevo rispettare qualche legislazioneegolamento ….
13.
14. Spesso l’accesso alla mail passa da interfacce web (Outlook Web Access, Google Mail, Yahoo Mail, Libero…..)
15. Molti attacchi utilizzano entrambi i canali: Botnet, Zombie, Rootkit usano il web come strumento di infezione e la mail (spam phishing) come effetto
16. ….Richiedono un notevole effortamminstrativo in termini di sicurezza e compliance alle regole aziendali ….
18. Cose da considerare per ottenere un accettabile livello di protezione Considerare il flusso dati “ utente Web ” come una relazione uno a molti Considerare che una “pagina” e’ composta da un numero arbitrario di link e riferimenti, alcuni anche potenzialmente non leciti, non considerare un URL di un sito come una entita’ monolitica ma come un inizio di una serie di transazioni Considerare che esistono sia download che transazioni sia server-side che client-side Considerare che HTTPS vuol dire “criptato” e non “sicuro” Dare una accettabile livello di servizio in termini di performance …
19. Cosa fare: Security: Verificare le sorgenti Verificare le transazioni Verificare i contenuti scaricati Imporre la security anche su canali HTTPS Mantenere una UserExperience Ottimale Compliancy: Monitorare Download-Upload oggetti Verificare se la navigazione è aziendalmente “accettabile” Imporre il controllo, ove richiesto, anche sui canali HTTPS Amministrazione: Policy granulari Monitoring, reporting ed auditing Rispetto normativa sulla privacy Basso effort amministrativo
21. Cose da considerare per ottenere un accettabile livello di protezione Il protocollo SMTP è in chiaro Il protocollo SMTP Non garantisce la consegna Il protocollo SMTP demanda ai layer successivi i retry in caso di errore Per mandare una mail basta un fare un “Telnet” sulla porta 25 di qualsiasi mail server …
22. Cosa fare: Security: Proxare (MTA) il traffico per non esporre direttamente i mail server Verificare le sorgenti Verificare i contenuti scaricati per Unsolicited Bulk Email (Spam, phishing …) Verificare la presenza di virus emalware Mantenere una UserExperience Ottimale (bassi falsi positivi) Compliancy: Monitorare contenuti ricevuti o inviati Forzare la remediation in caso di non rispetto delle regole (DLP) Mantenere una UserExperience Ottimale Amministrazione: Policy granulari Monitoring, reporting ed auditing Rispetto normativa sulla privacy Basso effort amministrativo