SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Milano 2016 - Marco Bozzetti, Aipsi
1. Attacchi digitali in Italia:
ci dobbiamo veramente
preoccupare?
E come ci possiamo difendere?
M. R. A. Bozzetti
Presidente AIPSI, Ideatore e curatore OAD, CEO Malabo Srl
2. AIPSI è il Capitolo Italiano
di ISSA, la più grande
associazione non-profit di
professionisti della
Sicurezza ICT con circa
13.000 associati al mondo
AIPSI aiuta i suoi Soci,
singole persone, a
crescere e ad affermarsi
professionalmente
3. • Trasferimento di conoscenza: convegni,
workshop, newsletter, webinar, ISSA
Journal
• Piani di carriera
• Supporto alle certificazioni professionali
• Collaborazione con altre associazioni
SERVIZI AI SOCI
4. • Che cosa è
• Indagine via web cui liberamente rispondono i diversi interlocutori:
il Rapporto annuale non ha stretta validità statistica ma fornisce
chiare e valide indicazioni sulla situazione e sul trend in Italia,
basilari per un’efficace analisi dei rischi ICT
• Obiettivi iniziativa
• Fornire informazioni sulla reale situazione degli attacchi informatici
in Italia
• Contribuire alla creazione di una cultura della sicurezza informatica
in Italia
• Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica
• Che cosa fa
• Indagine annuale condotta attraverso un questionario on-line
indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole
aziende
• Gruppo OAI su Linked
• Come
• Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i
costi di realizzazione)
• Stretto anonimato sui rispondenti al questionario on line via web
• Collaborazione con numerose associazioni (Patrocinatori) per
ampliare il bacino dei rispondenti e dei lettori
OAD, Osservatorio Attacchi Digitali
in Italia (ex OAI)
5. Rapporto 2016 OAD, Osservatorio
Attacchi Digitali in Italia
Per poter scaricare il Rapporto
OAD 2016
http://www.malaboadvisoring.it/index.php?
option=com_sfg&formid=43
Codice coupon AIPSI: ABmi5VmTIH
7. Indice del Rapporto 2016
1. Executive Summary in Italiano e in Inglese
2. Introduzione
3. Le tipologie di attacco considerate
4. Gli attacchi informatici rilevati
4.1 Gli impatti dagli attacchi subiti
4.2 Gli attacchi alle infrastrutture critiche italiane: i dati dalla Polizia Postale e delle Comunicazioni e
dal C.N.A.I.P.I.C.
4.3 Financial Cybercrime
4.5 Nuovi e vecchi attacchi
4.6 La situazione a livello europeo secondo ENISA
5. L’individuazione e la gestione degli attacchi
6. Strumenti e misure di sicurezza ICT adottate
6.1 Sicurezza fisica
6.2 Sicurezza logica
6. 3 Gli strumenti per la gestione della sicurezza digitale
6.4 Le misure organizzative
7. Gli attacchi più temuti nel futuro e le probabili motivazioni
Allegato A - Aspetti metodologici dell’indagine OAD
Allegato B - Il campione emerso dall’indagine
Allegato C - Profili Sponsor
Allegato D – Riferimenti e fonti
Allegato E - Glossario dei principali termini ed acronimi sugli attacchi informatici
Allegato F - Profilo dell’Autore
Allegato G - Malabo Srl
Allegato H - Nextvalue Srl
Allegato I - Note
• 128 pagine A4
• 5 Tabelle
• 67 Grafici
8. Le risposte al Questionario 2016 OAD
• Questionario online via web con 65 domande e risposte,
multiple o singola, da selezionare con un click tra quelle
predefinite
• Risposte completamente anonime
• Coinvolti potenziali rispondenti dalle mailing list di AIPSI, di
Malabo, di NextValue, dei Patrocinatori
• 294 rispondenti in totale
10. Attacchi intenzionali: perché?
Lato target (mondo digitale):
• Crescita e pervasività uso ICT
• innumerevoli vulnerabilità dei sistemi ICT, delle applicazioni, degli utenti,
degli operatori
Lato attaccanti:
• Motivazioni criminali guadagno economicofrodi, ricatti, furti,
spionaggio industriale
• Basso rischio ed alto guadagno (esentasse)
• Hacktivism
• Vendetta-ritorsione individuale
• Esibizionismo competenze attaccante
• Terrorismo
• Cyberwar
11. • Virus in floppy e
allegati
• Script Unix
• Macro virus
• E-mail
• DoS/DDoS
• DoS e DDoS
• Attacchi multipli
(worm + virus +
Trojan)
• Attacchi su più
sistemi
contemporaneame
nte
• TA/APT
• Zero day
attacks
• Attacchi
condotti con
botnet
• Attività criminali
(ramsonware)
• Attacchi alle
infrastrutture
• Attacchi a IoT
• Attacchi in
mobilità (reti
wireless,
cellulari e
palmari)
Obiettivo e
scopo del
danno
1980s 1990s 2000 Odierni e
futuri
Secondi o
mesi/anni
Minuti
Giorni
Settimane
1° generazione
2° generazione
3° generazione
4° generazione
Critical
infrastructure
Corporate
networks
Internet
connected
devices
Single
system
Macro trend evoluzione degli attacchi
23. 23 Copyright 2008 - Trend Micro Inc.04/27/08 5 23
Siamo sempre potenzialmente
sotto attacco … anche se siamo
una PMI, uno studio
professionale, un esercizio
commerciale , …
Come proteggersi efficacemente ?
Iniziando ad individuare i rischi più
probabili nel proprio contesto
24. La sicurezza dell’ICT è un elemento chiave per:
• garantire la continuità operativa dell’Azienda o
dell’Ente
• La Business continuity è un problema di business
• le informazioni e le risorse ICT che li trattano sono un
asset e come tali vanno protette
• garantire la compliance alle varie normative e
certificazioni
Sicurezza digitale … non solo un
problema tecnico
25. La sicurezza globale ICT
Governo
Sicurezza
Globale
ICT
Sicurezza fisica
Sicurezza logica
Aspetti organizzativi:
• Procedure e normative
• Ruoli & responsabilità
Fonte: dal volume “Sicurezza Digitale” di Marco Bozzetti
26. I principali strumenti di difesa
• di prevenzione e protezione
• Crittografia, Stenografia
• Periodiche analisi del rischio vs processi ed organizzazione
• Sicurezza fisica: controlli perimetrali, controlli accessi fisici, videosorveglianza, sistemi
antintrusione, UPS, anti-incendio, fumo, gas …
• Sicurezza delle reti: Firewall, IPS/IDS, DMZ, IPsec, IPv6, antispamming, …
• Identificazione: user-id + pwd, token, biometria
• autenticazione, controllo degli accessi ai sistemi ed agli applicativi: ACL, controller di
dominio (LDAP, Active Directory, ..), SSO, controlli federati, PKI e certificati digitali, …
• Sicurezza intrinseca sw (check list, code inspection, ..) e anti-malware (antivirus,
antispyware, …)
• Architetture hw e sw in alta affidabilità RAID, cloud , …
• di ripristino
• Back-up
• Disaster Recovery
• di gestione
• Tecnica: monitoraggio, verifica SLA, gestione delle patch e delle release del software (
licenze)
• Organizzativa: formazione e addestramento, operation (ITIL v3), help-desk/contact
center, ERT, ..
27. • Le misure tecniche ed organizzative “tradizionali” di prevenzione e protezione
possono non essere sufficienti per individuare e contrastare attacchi come TA
e APT
• ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc.
• Analisi e gestione dei rischi sistematiche
• Sistematica analisi dei comportamenti anche con tecniche di intelligenza
artificiale, fuzzy logic, statistica bayesiana, ecc.
• Sistematico monitoraggio delle risorse ICT (reti, OS, middleware,
applicazioni), del loro utilizzo ed analisi di eventuali anomale variazioni
rispetto alla “normale” media
• Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, …)
• Analisi dei log degli utenti e soprattutto degli operatori di sistema
• Scannerizzazione “intelligente” delle sorgenti di connessioni e di dati
• Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi
• Tecniche euristiche per “problem solving”
Le misure tecniche
28. Le misure organizzative
• Non sono burocrazia
• Non sono solo per le grandi strutture
• Sono necessarie anche per la conformità a numerose norme e leggi nazionali ed
internazionali
• Includono:
• Chiara e pubblica definizione di ruoli e competenzeseparazione dei ruoli
(SoD, Separation of Duties) matrici RACI
• Definizione delle Policy e delle relative procedure organizzative
• Definizione dei controlli e di come attuarli
• Selezione e controllo del personale e dell’uso dell’ICT
• Auditing
• Analisi dei log degli operatori e degli utenti ICT
• Radiazione dei sistemi obsoleti
• Sensibilizzazione, formazione, addestramento degli utenti e degli operatori
ICT (interni o terzi)
Nuovo
regolamento
europeo sulla
privacy
29. L’effettiva sicurezza ICT dipende da
come viene gestita
• Sia dal punto di vista tecnico
• Può essere terziarizzata
• Sia dal punto di vista organizzativo e del personale
• Deve essere gestita internamente
• Forte «commitment» dal vertice aziendale
• Fondamentale avere strumenti di misura e controllo, usati
sistematicamente
• Fare riferimento agli standard ed alle best practice consolidate: Famiglia
ISO 27000, Cobit 5 (4.1- DS5) , ITIL, ecc.
30. Come scegliere fornitori e consulenti
realmente competenti?
• La maggior parte delle aziende e degli enti (PAL) italiani sono
dimensionalmente piccoli, e non possono avere qualificate ed
aggiornate competenze interne per la sicurezza digitale (e più in
generale per tutto l’ICT)
• Si avvalgono pertanto di fornitori e di consulenti esterni, cui spesso
delegano completamente e senza alcun controllo tutti gli aspetti della
sicurezza digitale (e/o dell’intero loro sistema informatico)
• Le certificazioni professionali sono uno degli strumenti a livello
sia di singola persona sia di azienda/ente.
• Ne esistono molte, ma quali sono quelle di riferimento e
realmente affidabili?
31. Legislazione italiana per le certificazioni
Dal 2013 in Italia regolamentazione delle certificazioni con il D.Lgs.
13/2013 in base a una direttiva europea
Le modalità di svolgimento delle certificazioni sono affidate ad Accredia
ACCREDIA – Ente Italiano di Accreditamento – è l’unico organismo
nazionale autorizzato dallo Stato a svolgere attività di accreditamento.
Accredia applica la Normativa UNI
UNI 11506 per disciplina delle attività professionali non regolamentate
come ICT
Per le professioni ICT e quindi la sicurezza UNI-Accredia utilizzano
eCF (European Competence Framework) definito dalla UE
32. Perché fare riferimento alle
certificazioni eCF?
• Il «vecchio» problema della scelta di collaboratori realmente
competenti e il cui profilo viene riconosciuto sul mercato del lavoro
• Il sostanziale valore aggiunto della certificazione e-CF (UNI 11506,
CEN 16234) è indicato nei seguenti punti
• ha valore giuridico in Italia e in Europa (se erogata da una
associazione registrata presso il MISE)
• può valorizzare alcune altre certificazioni indipendenti
• si basa sulla provata esperienza maturata sul campo dal
professionista
• qualifica il professionista considerando l’intera sua biografia
professionale e le competenze ed esperienze maturate nella sua vita
professionale (e non solo per aver seguito un corso e superato un
esame)
AIPSI, in collaborazione con AICA, sta promuovendo le certificazioni
eCF per i professionisti della sicurezza ICT, fornendo loro supporto e
formazione personalizzata
33. Alcune considerazioni
• Attacchi «di massa» (es: virus, ransomware, ecc.) vs attacchi target
prevalentemente orientati a grandi organizzazioni
• Entrambi pericolosi
• Le maggiori criticità sono di tipo organizzativo
• Spesso mancano gli strumenti e le misure di base correttamente
gestite, quali la gestione delle password, il controllo degli accessi, i
back up
• Le maggiori vulnerabilità
• comportamento delle persone quali utenti dei sistemi informatici
• la sicurezza intrinseca del software, soprattutto di quello
applicativo
34. I 10 comandamenti per la sicurezza
digitale
1.La sicurezza assoluta non esiste
2.La Legge di Murphy è sempre vera, prima o poi qualche guaio arriva: bisogna essere preparati al
ripristino
3.Il peggior nemico: la “falsa” sicurezza
4.La sicurezza è un processo continuo, sia per la parte tecnica sia per la parte organizzativa e di
gestione
5.La sicurezza “globale” deve essere calata nello specifico contesto dell’Azienda/Ente: i suoi
processi, i suoi sistemi, la sua organizzazione, la sua cultura
6.Per la legge, la forma è sostanza: non solo bisogna fare, ma anche documentare quello che si è
fatto compliance normative vigenti: privacy, safety, quality, ecc.
7.Qualunque siano le soluzioni e le modalità di intervento prescelte, è sempre il top management
che deve dare un forte commitment, che deve guidare i fornitori, che deve dare il buon esempio
8.Prevenire, prevenire, prevenire: ma per far questo occorre misurare sistematicamente
9.La velocità e la complessità degli attuali attacchi è tale che i processi di gestione della sicurezza
devono essere automatizzati
10.La sicurezza ICT è come una catena: tanto sicura quanto il suo anello più debole. Essa deve
quindi essere “ben bilanciata” tra le varie misure e strumenti
32