SlideShare ist ein Scribd-Unternehmen logo

Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi

Giuseppe Paterno'
Giuseppe Paterno'

E' noto che il Cloud consente di dare una maggiore flessibilità all'IT, garantendo una continuità del business e ottimizzando i costi. Ma quali sono le implicazioni sulla sicurezza aziendale? La cronaca recente ha evidenziato che anche nomi importanti quali IEEE, Apple e Samsung sono tra le vittime piu' famose dei furti di identita' nel Cloud. Se si adottano datacenter virtuali (IaaS) o applicazioni on-line (SaaS), si sposta il paradigma della sicurezza così' come concepita finora. La presentazione analizzerà le implicazioni di sicurezza di una infrastruttura Cloud e i possibili rimedi, con esempi pratici.

Technologie
1 von 23
Downloaden Sie, um offline zu lesen
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi Giuseppe “Gippa” Paterno’ SMAU, 19 Ottobre 2012 Friday 19 October 12
La mia identità: Giuseppe “Gippa” Paternò • Director Digital di GARL, la Banca Svizzera dietro il servizio SecurePass • EMEA technical manager di Canonical, la società dietro Ubuntu. • Ricercatore di sicurezza e opensource, membro di sikurezza.org e appassionato del “Pinguino” • Pilota “della domenica” di aerei • Cuoco non professionista (Benedetta Parodi, ti sfido!!! :) • Radioamatore con la passione per i “WiFi strani”: la mia associazione ha il “world record” di 304km in WiFi!!! Friday 19 October 12
Il Cloud, questo sconosciuto! IaaS SaaS PaaS ... e che CaaSino! Friday 19 October 12
Cosa si intende per “Cloud” Si intende un insieme di servizi, solitamente “affittati” da un service provider o interni (per grosse aziende) che diano: • Flessibilità: la possibilità di espandere o contrarre la propria infrastruttura a seconda dei bisogni dell’IT. • Resilienza: Alta affidabilità e disponibilità dei propri servizi IT, assicurando la continuita’ di servizio • Accessibilità: Servizi fruibili da qualsiasi punto del pianeta con una semplice connessione ad Internet • Ottimizzazione dei costi: si paga realmente quanto si usa la propria infrastruttura IT, evitando gli sprechi. Friday 19 October 12
Il Cloud: IaaS • L’affitto di una infrastruttura virtuale presso un service provider composta principalmente da server virtuali e reti virtuali IaaS = • Esempio: Amazon Web Services, Moresi.Com, ecc.... Infrastructure as • Rischio di sicurezza: esposizione del a Service pannello di controllo a Internet e controllo totale dell’infrastruttura da parte di un attaccante Friday 19 October 12
Il Cloud: SaaS • L’affitto di un applicativo qualsiasi, solitamente web-based, erogato in alta affidabilita’ e accessibile dovunque SaaS • Esempio: SalesForce.com, Office 360, ecc... = • Rischio di sicurezza: esposizione dei dati Software as aziendali su Internet e data leaking da un potenziale attaccante o concorrente a Service Friday 19 October 12
Il Cloud: PaaS • L’affitto di un ambiente operativo che ospita il PROPRIO applicativo. A differenza dello IaaS, il PaaS non si occupa del sistema operativo, ma di “operare” l’ambiente applicativo (linguaggi, PaaS framework, database, ecc...) = • Esempio: Microsoft Azure, Google App Engine, Platform as CloudFoundry, ecc.... a Service • Rischio di sicurezza: esposizione del pannello di controllo a Internet, controllo totale dell’infrastruttura da parte di un attaccante, esposizione dei dati aziendali su Internet e data leaking da un potenziale attaccante o concorrente Friday 19 October 12
Complicazione: BYOD • Yet another marketing buzzword :) • BYOD = Bring Your Own Device • Usare il proprio device “consumer” all’interno della realta’ aziendale: iPad/ iPhone/Android/.... • Rischio di sicurezza: la perdita del device comporta accesso a dati sensibili. Molte app per iOS/Android hanno una “chiave statica” che elimina la procedura di identificazione. Friday 19 October 12
Le vittime famose del furto di identità ... e molti altri! Friday 19 October 12
I furti di identità in cifre milioni di vittime di furti di identità solamente negli USA 10 nel 2008 (Javelin Strategy and Research, 2009) miliardi di dollari all’anno la perdita economica mondiale 221 relativa al furto di identità (Aberdeen Group) ore di lavoro per correggere i problemi relativi ai furti di 5840 identità, ovvero l’equivalente di due anni di lavoro di una persona (ITRC Aftermath Study, 2004). milioni di dati compromessi tra le aziende e agenzie 35 governative nel solo 2008 (ITRC) miliardi di euro di danni alle aziende nella sola Italia nel 2 2009(Ricerca ABI) Friday 19 October 12
Il fattore umano, un esempio in aviazione An organization can minimize its vulnerability to human error and reduce its risks by implementing human factors best practices [...] It contains guidance material which [...] should help reduce the risks associated with human error and human factors, and improve safety. It [...] concentrates upon risk and error management rather than risk and error elimination. (EASA, JAR 145, Aviation Human Factors) Friday 19 October 12
Il fattore umano nella sicurezza IT •Il fattore umano è la causa primaria delle intrusioni da parte di hacker, governi stranieri o della concorrenza. Si possono suddividere in due problemi principali: •Password troppo facili •Social Engineering •Hope is not a strategy! Friday 19 October 12
Best practices, quando non funzionano • La più quotata probabilmente è la BS/ISO 17799, divenuta ISO 27001 • Molte delle best practices coprono la parte di accesso fisico e accesso di rete: • non hanno più senso in un ambito Cloud • possono essere di aiuto per selezionare il fornitore • Ha senso la parte di controllo di accessi: • identificazione sicura dell’utente (identity management) • necessario controllare chi sta facendo cosa (auditing) • permessi/diritti di accesso al singolo dato (policy management) Friday 19 October 12
Rimedi ai furti di identità Questo non è un rimedio! :-) Friday 19 October 12
Rimedi ai furti di identità ... e neanche questo ;-) Friday 19 October 12
Rimedi ai furti di identità La sicurezza deve essere semplice e trasparente, altrimenti nessuno le implementa! • Autenticazione forte (strong autentication) • Riconoscere da quali paesi l’utente si sta collegando (GeoIP) • Patch, patch e patch! • Programmazione sicura degli applicativi Friday 19 October 12
Intranet vs the Cloud and Trusted third party • Nel mondo “tradizionale” il ruolo di identity management, auditing e policy è affidato tipicamente a Microsoft Active Directory • AD non è stato ideato per un ambito Cloud distribuito “al di fuori dei confini” della propria azienda • E’ necessario un sistema di identity management distribuito con strong autentication che “funga” da Microsoft Active Directory per gli ambienti Cloud che sia in grado di ridurre gli “errori umani” tramite strong authentication e che sia affidato a una terza parte di fiducia Friday 19 October 12
Un possibile rimedio: • SecurePass è un sistema di Unified Secure Access per gli ambienti Cloud, web applications e devices di sicurezza • Strong authentication, tramite token hardware o su dispositivi mobili (iOS/Android/BlackBerry) • Identity Management, contiene informazioni sul proprio personale • Web seamless Single Sign-On, per semplificare l’accesso agli utenti • Basato su protocolli aperti: LDAP, RADIUS e CAS • Facile da integrare, in pochi minuti e’ possibile proteggere infrastrutture e applicazioni • Garantito da una Banca Svizzera Friday 19 October 12
Esempio: Moresi.com • Hosting/housing provider Svizzero con due data centers in continua espansione. Sta spostando il focus da housing “tradizionale” a provider Cloud IaaS • Clienti selezionati, tra le quali banche (DR) e grossi clienti internazionali • Ogni cliente ha un accesso al proprio vDatacenter che puo’ orchestrare a piacimento • Obiettivo: fornire un accesso sicuro ai propri virtual datacenters Friday 19 October 12
Friday 19 October 12
Esempio: Assicurazione multinazionale • La seconda piu’ grande assicurazione mutinazionale, 48 aziende nel mondo, ognuna con il proprio consiglio di amministrazione e direttore generale • Tutti i membri del consiglio di amministrazione accedono a documenti riservati attraverso vari dispositivi (laptop, tablet, smartphone) con alto rischio di furto di dati • Obiettivo: fornire un accesso sicuro ai documenti riservati ai membri del consiglio di amministrazione ed evitare fughe i informazioni Friday 19 October 12
Esempio: Azienda settore automobilistico • Una delle prime 5 aziende del settore automobilistico con120.000 postazioni di lavoro • Avevano bisogno di risolvere i problemi di sicurezza legati al BYOD (Bring Your Own Devices) da parte dei propri impiegati e direttori • Obiettivo: fornire un accesso aziendale sicuro dai tablet e smartphone attraverso SSL VPN e portali disegnati ad-hoc Friday 19 October 12
Q&A Giuseppe Paternò gpaterno@gpaterno.com gpaterno@garl.ch Web sites: www.gpaterno.com www.secure-pass.net Twitter: @gpaterno Friday 19 October 12

Empfohlen

Smau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSmau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSMAU
 
PKI
PKIPKI
PKIMassimo Penco
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint OverviewLeonardo Antichi
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Webinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiWebinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiMarinuzzi & Associates
 
SMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSISMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSIMassimo Chirivì
 
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company ProfileTechnologyBIZ
 

Empfohlen

Smau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSmau Milano 2011 Giuseppe Paternò
Smau Milano 2011 Giuseppe PaternòSMAU
 
PKI
PKIPKI
PKIMassimo Penco
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint OverviewLeonardo Antichi
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Webinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiWebinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiMarinuzzi & Associates
 
SMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSISMAU Milano 2011 - AIPSI
SMAU Milano 2011 - AIPSIMassimo Chirivì
 
Sophos. Company Profile
Sophos. Company ProfileSophos. Company Profile
Sophos. Company ProfileTechnologyBIZ
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
Privacy e sicurezza nel cloud
Privacy e sicurezza nel cloudPrivacy e sicurezza nel cloud
Privacy e sicurezza nel cloudaspy
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersGli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersiDIALOGHI
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza Antonio Lepore
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Angeloluca Barba
 
Corso ordine ingegneri
Corso ordine ingegneriCorso ordine ingegneri
Corso ordine ingegneriAntonio Savoini
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
 
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Clever Consulting Newsletter > Settembre 2011
Clever Consulting Newsletter > Settembre 2011Clever Consulting Newsletter > Settembre 2011
Clever Consulting Newsletter > Settembre 2011Clever Consulting
 
Sicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroSicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroCentro di competenza ICT-SUD
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Massimo Chirivì
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiM.Ela International Srl
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 
Il saas
Il saasIl saas
Il saasAlessandro Bozzo
 
Da zero al cloud
Da zero al cloudDa zero al cloud
Da zero al cloudCarlo Daffara
 
Big data & opendata
Big data & opendataBig data & opendata
Big data & opendataDatiGovIT
 
Cloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri MercatoCloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri MercatoVMEngine
 

Weitere ähnliche Inhalte

Was ist angesagt?

iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
Privacy e sicurezza nel cloud
Privacy e sicurezza nel cloudPrivacy e sicurezza nel cloud
Privacy e sicurezza nel cloudaspy
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersGli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersiDIALOGHI
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza Antonio Lepore
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Angeloluca Barba
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?Massimo Chirivì
 
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015festival ICT 2016
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNino Lopez
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
Clever Consulting Newsletter > Settembre 2011
Clever Consulting Newsletter > Settembre 2011Clever Consulting Newsletter > Settembre 2011
Clever Consulting Newsletter > Settembre 2011Clever Consulting
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Massimo Chirivì
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013Massimo Chirivì
 

Was ist angesagt? (18)

iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
Privacy e sicurezza nel cloud
Privacy e sicurezza nel cloudPrivacy e sicurezza nel cloud
Privacy e sicurezza nel cloud
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
 
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security BrokersGli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
Gli attacchi DDoS - Cyber Crime Conference Rome 2013 - Security Brokers
 
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
L’evoluzione della Security: dalla sicurezza fisica-logica alla convergenza
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
 
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
 
Corso ordine ingegneri
Corso ordine ingegneriCorso ordine ingegneri
Corso ordine ingegneri
 
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
ICT Security: dal passato al futuro. Abbiamo imparato a difenderci?
 
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
Proteggere i dispositivi mobili - ISACA Venice - festival ICT 2015
 
Nuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT SecurityNuova ECDL - Modulo 5 - IT Security
Nuova ECDL - Modulo 5 - IT Security
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
Clever Consulting Newsletter > Settembre 2011
Clever Consulting Newsletter > Settembre 2011Clever Consulting Newsletter > Settembre 2011
Clever Consulting Newsletter > Settembre 2011
 
Sicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino ForestieroSicur Control System Cloud - Agostino Forestiero
Sicur Control System Cloud - Agostino Forestiero
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
 
ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013ICT SECURITY E PMI - SMAU Milano 2013
ICT SECURITY E PMI - SMAU Milano 2013
 

Andere mochten auch

Big data & opendata
Big data & opendataBig data & opendata
Big data & opendataDatiGovIT
 
Cloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri MercatoCloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri MercatoVMEngine
 
Digital Fabrication, IoT e Agile Business - Be@ctive - Provincia di Lodi
Digital Fabrication, IoT e Agile Business - Be@ctive - Provincia di LodiDigital Fabrication, IoT e Agile Business - Be@ctive - Provincia di Lodi
Digital Fabrication, IoT e Agile Business - Be@ctive - Provincia di LodiPaolo Aliverti
 
La (in)sicurezza nell'era della IoT
La (in)sicurezza nell'era della IoTLa (in)sicurezza nell'era della IoT
La (in)sicurezza nell'era della IoTMassimo Giaimo
 

Andere mochten auch (6)

Il saas
Il saasIl saas
Il saas
 
Da zero al cloud
Da zero al cloudDa zero al cloud
Da zero al cloud
 
Big data & opendata
Big data & opendataBig data & opendata
Big data & opendata
 
Cloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri MercatoCloud Computing Economia Numeri Mercato
Cloud Computing Economia Numeri Mercato
 
Digital Fabrication, IoT e Agile Business - Be@ctive - Provincia di Lodi
Digital Fabrication, IoT e Agile Business - Be@ctive - Provincia di LodiDigital Fabrication, IoT e Agile Business - Be@ctive - Provincia di Lodi
Digital Fabrication, IoT e Agile Business - Be@ctive - Provincia di Lodi
 
La (in)sicurezza nell'era della IoT
La (in)sicurezza nell'era della IoTLa (in)sicurezza nell'era della IoT
La (in)sicurezza nell'era della IoT
 

Ähnlich wie Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi

Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013ConsulPartner iSrl
 
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudStrategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudDenodo
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Andrea Patron
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSMAU
 
Data Virtualization per una Multi-Cloud Data Integration senza barriere né co...
Data Virtualization per una Multi-Cloud Data Integration senza barriere né co...Data Virtualization per una Multi-Cloud Data Integration senza barriere né co...
Data Virtualization per una Multi-Cloud Data Integration senza barriere né co...Denodo
 
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013ConsulPartner iSrl
 
Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaBabel
 
Introduzione alla Virtualizzazione dei Dati
Introduzione alla Virtualizzazione dei DatiIntroduzione alla Virtualizzazione dei Dati
Introduzione alla Virtualizzazione dei DatiDenodo
 
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...qlsrl
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoI3P
 
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureStefano Dindo
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniS.info Srl
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Luca_Moroni
 

Ähnlich wie Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi (20)

Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
 
Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013
 
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloudStrategie d'Integrazione dei dati per un mondo ibrido e multicloud
Strategie d'Integrazione dei dati per un mondo ibrido e multicloud
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
 
Smau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo MaggioreSmau Milano 2014 Massimo Maggiore
Smau Milano 2014 Massimo Maggiore
 
Data Virtualization per una Multi-Cloud Data Integration senza barriere né co...
Data Virtualization per una Multi-Cloud Data Integration senza barriere né co...Data Virtualization per una Multi-Cloud Data Integration senza barriere né co...
Data Virtualization per una Multi-Cloud Data Integration senza barriere né co...
 
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
 
Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezza
 
Introduzione alla Virtualizzazione dei Dati
Introduzione alla Virtualizzazione dei DatiIntroduzione alla Virtualizzazione dei Dati
Introduzione alla Virtualizzazione dei Dati
 
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
 
20. Cloud computing
20. Cloud computing20. Cloud computing
20. Cloud computing
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
Tirasa
TirasaTirasa
Tirasa
 
Security by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativoSecurity by design: la cyber security per un progetto innovativo
Security by design: la cyber security per un progetto innovativo
 
CIO vs Cloud
CIO vs CloudCIO vs Cloud
CIO vs Cloud
 
Come creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud SicureCome creare infrastrutture Cloud Sicure
Come creare infrastrutture Cloud Sicure
 
Cloud e big data
Cloud e big dataCloud e big data
Cloud e big data
 
Ibm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioniIbm sicurezza: problematiche e soluzioni
Ibm sicurezza: problematiche e soluzioni
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
 

Mehr von Giuseppe Paterno'

OpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture ITOpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture ITGiuseppe Paterno'
 
OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...Giuseppe Paterno'
 
Let's sleep better: programming techniques to face new security attacks in cloud
Let's sleep better: programming techniques to face new security attacks in cloudLet's sleep better: programming techniques to face new security attacks in cloud
Let's sleep better: programming techniques to face new security attacks in cloudGiuseppe Paterno'
 
OpenStack: Security Beyond Firewalls
OpenStack: Security Beyond FirewallsOpenStack: Security Beyond Firewalls
OpenStack: Security Beyond FirewallsGiuseppe Paterno'
 
Remote security with Red Hat Enterprise Linux
Remote security with Red Hat Enterprise LinuxRemote security with Red Hat Enterprise Linux
Remote security with Red Hat Enterprise LinuxGiuseppe Paterno'
 
How the Post-PC era changed IT Ubuntu for next gen datacenters
How the Post-PC era changed IT Ubuntu for next gen datacentersHow the Post-PC era changed IT Ubuntu for next gen datacenters
How the Post-PC era changed IT Ubuntu for next gen datacentersGiuseppe Paterno'
 
Filesystem Comparison: NFS vs GFS2 vs OCFS2
Filesystem Comparison: NFS vs GFS2 vs OCFS2Filesystem Comparison: NFS vs GFS2 vs OCFS2
Filesystem Comparison: NFS vs GFS2 vs OCFS2Giuseppe Paterno'
 
Creating OTP with free software
Creating OTP with free softwareCreating OTP with free software
Creating OTP with free softwareGiuseppe Paterno'
 
Protecting confidential files using SE-Linux
Protecting confidential files using SE-LinuxProtecting confidential files using SE-Linux
Protecting confidential files using SE-LinuxGiuseppe Paterno'
 
Comparing IaaS: VMware vs OpenStack vs Google’s Ganeti
Comparing IaaS: VMware vs OpenStack vs Google’s GanetiComparing IaaS: VMware vs OpenStack vs Google’s Ganeti
Comparing IaaS: VMware vs OpenStack vs Google’s GanetiGiuseppe Paterno'
 
La gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieLa gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieGiuseppe Paterno'
 
Secure real-time collaboration with SecurePass and Etherpad
Secure real-time collaboration with SecurePass and EtherpadSecure real-time collaboration with SecurePass and Etherpad
Secure real-time collaboration with SecurePass and EtherpadGiuseppe Paterno'
 
Identity theft in the Cloud and remedies
Identity theft in the Cloud and remediesIdentity theft in the Cloud and remedies
Identity theft in the Cloud and remediesGiuseppe Paterno'
 

Mehr von Giuseppe Paterno' (14)

OpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture ITOpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture IT
 
OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...
 
Let's sleep better: programming techniques to face new security attacks in cloud
Let's sleep better: programming techniques to face new security attacks in cloudLet's sleep better: programming techniques to face new security attacks in cloud
Let's sleep better: programming techniques to face new security attacks in cloud
 
SecurePass at OpenBrighton
SecurePass at OpenBrightonSecurePass at OpenBrighton
SecurePass at OpenBrighton
 
OpenStack: Security Beyond Firewalls
OpenStack: Security Beyond FirewallsOpenStack: Security Beyond Firewalls
OpenStack: Security Beyond Firewalls
 
Remote security with Red Hat Enterprise Linux
Remote security with Red Hat Enterprise LinuxRemote security with Red Hat Enterprise Linux
Remote security with Red Hat Enterprise Linux
 
How the Post-PC era changed IT Ubuntu for next gen datacenters
How the Post-PC era changed IT Ubuntu for next gen datacentersHow the Post-PC era changed IT Ubuntu for next gen datacenters
How the Post-PC era changed IT Ubuntu for next gen datacenters
 
Filesystem Comparison: NFS vs GFS2 vs OCFS2
Filesystem Comparison: NFS vs GFS2 vs OCFS2Filesystem Comparison: NFS vs GFS2 vs OCFS2
Filesystem Comparison: NFS vs GFS2 vs OCFS2
 
Creating OTP with free software
Creating OTP with free softwareCreating OTP with free software
Creating OTP with free software
 
Protecting confidential files using SE-Linux
Protecting confidential files using SE-LinuxProtecting confidential files using SE-Linux
Protecting confidential files using SE-Linux
 
Comparing IaaS: VMware vs OpenStack vs Google’s Ganeti
Comparing IaaS: VMware vs OpenStack vs Google’s GanetiComparing IaaS: VMware vs OpenStack vs Google’s Ganeti
Comparing IaaS: VMware vs OpenStack vs Google’s Ganeti
 
La gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieLa gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarie
 
Secure real-time collaboration with SecurePass and Etherpad
Secure real-time collaboration with SecurePass and EtherpadSecure real-time collaboration with SecurePass and Etherpad
Secure real-time collaboration with SecurePass and Etherpad
 
Identity theft in the Cloud and remedies
Identity theft in the Cloud and remediesIdentity theft in the Cloud and remedies
Identity theft in the Cloud and remedies
 

Kürzlich hochgeladen

Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIinfogdgmi
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 

Kürzlich hochgeladen (6)

Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AI
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 

Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi

  • 1. Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi Giuseppe “Gippa” Paterno’ SMAU, 19 Ottobre 2012 Friday 19 October 12
  • 2. La mia identità: Giuseppe “Gippa” Paternò • Director Digital di GARL, la Banca Svizzera dietro il servizio SecurePass • EMEA technical manager di Canonical, la società dietro Ubuntu. • Ricercatore di sicurezza e opensource, membro di sikurezza.org e appassionato del “Pinguino” • Pilota “della domenica” di aerei • Cuoco non professionista (Benedetta Parodi, ti sfido!!! :) • Radioamatore con la passione per i “WiFi strani”: la mia associazione ha il “world record” di 304km in WiFi!!! Friday 19 October 12
  • 3. Il Cloud, questo sconosciuto! IaaS SaaS PaaS ... e che CaaSino! Friday 19 October 12
  • 4. Cosa si intende per “Cloud” Si intende un insieme di servizi, solitamente “affittati” da un service provider o interni (per grosse aziende) che diano: • Flessibilità: la possibilità di espandere o contrarre la propria infrastruttura a seconda dei bisogni dell’IT. • Resilienza: Alta affidabilità e disponibilità dei propri servizi IT, assicurando la continuita’ di servizio • Accessibilità: Servizi fruibili da qualsiasi punto del pianeta con una semplice connessione ad Internet • Ottimizzazione dei costi: si paga realmente quanto si usa la propria infrastruttura IT, evitando gli sprechi. Friday 19 October 12
  • 5. Il Cloud: IaaS • L’affitto di una infrastruttura virtuale presso un service provider composta principalmente da server virtuali e reti virtuali IaaS = • Esempio: Amazon Web Services, Moresi.Com, ecc.... Infrastructure as • Rischio di sicurezza: esposizione del a Service pannello di controllo a Internet e controllo totale dell’infrastruttura da parte di un attaccante Friday 19 October 12
  • 6. Il Cloud: SaaS • L’affitto di un applicativo qualsiasi, solitamente web-based, erogato in alta affidabilita’ e accessibile dovunque SaaS • Esempio: SalesForce.com, Office 360, ecc... = • Rischio di sicurezza: esposizione dei dati Software as aziendali su Internet e data leaking da un potenziale attaccante o concorrente a Service Friday 19 October 12
  • 7. Il Cloud: PaaS • L’affitto di un ambiente operativo che ospita il PROPRIO applicativo. A differenza dello IaaS, il PaaS non si occupa del sistema operativo, ma di “operare” l’ambiente applicativo (linguaggi, PaaS framework, database, ecc...) = • Esempio: Microsoft Azure, Google App Engine, Platform as CloudFoundry, ecc.... a Service • Rischio di sicurezza: esposizione del pannello di controllo a Internet, controllo totale dell’infrastruttura da parte di un attaccante, esposizione dei dati aziendali su Internet e data leaking da un potenziale attaccante o concorrente Friday 19 October 12
  • 8. Complicazione: BYOD • Yet another marketing buzzword :) • BYOD = Bring Your Own Device • Usare il proprio device “consumer” all’interno della realta’ aziendale: iPad/ iPhone/Android/.... • Rischio di sicurezza: la perdita del device comporta accesso a dati sensibili. Molte app per iOS/Android hanno una “chiave statica” che elimina la procedura di identificazione. Friday 19 October 12
  • 9. Le vittime famose del furto di identità ... e molti altri! Friday 19 October 12
  • 10. I furti di identità in cifre milioni di vittime di furti di identità solamente negli USA 10 nel 2008 (Javelin Strategy and Research, 2009) miliardi di dollari all’anno la perdita economica mondiale 221 relativa al furto di identità (Aberdeen Group) ore di lavoro per correggere i problemi relativi ai furti di 5840 identità, ovvero l’equivalente di due anni di lavoro di una persona (ITRC Aftermath Study, 2004). milioni di dati compromessi tra le aziende e agenzie 35 governative nel solo 2008 (ITRC) miliardi di euro di danni alle aziende nella sola Italia nel 2 2009(Ricerca ABI) Friday 19 October 12
  • 11. Il fattore umano, un esempio in aviazione An organization can minimize its vulnerability to human error and reduce its risks by implementing human factors best practices [...] It contains guidance material which [...] should help reduce the risks associated with human error and human factors, and improve safety. It [...] concentrates upon risk and error management rather than risk and error elimination. (EASA, JAR 145, Aviation Human Factors) Friday 19 October 12
  • 12. Il fattore umano nella sicurezza IT •Il fattore umano è la causa primaria delle intrusioni da parte di hacker, governi stranieri o della concorrenza. Si possono suddividere in due problemi principali: •Password troppo facili •Social Engineering •Hope is not a strategy! Friday 19 October 12
  • 13. Best practices, quando non funzionano • La più quotata probabilmente è la BS/ISO 17799, divenuta ISO 27001 • Molte delle best practices coprono la parte di accesso fisico e accesso di rete: • non hanno più senso in un ambito Cloud • possono essere di aiuto per selezionare il fornitore • Ha senso la parte di controllo di accessi: • identificazione sicura dell’utente (identity management) • necessario controllare chi sta facendo cosa (auditing) • permessi/diritti di accesso al singolo dato (policy management) Friday 19 October 12
  • 14. Rimedi ai furti di identità Questo non è un rimedio! :-) Friday 19 October 12
  • 15. Rimedi ai furti di identità ... e neanche questo ;-) Friday 19 October 12
  • 16. Rimedi ai furti di identità La sicurezza deve essere semplice e trasparente, altrimenti nessuno le implementa! • Autenticazione forte (strong autentication) • Riconoscere da quali paesi l’utente si sta collegando (GeoIP) • Patch, patch e patch! • Programmazione sicura degli applicativi Friday 19 October 12
  • 17. Intranet vs the Cloud and Trusted third party • Nel mondo “tradizionale” il ruolo di identity management, auditing e policy è affidato tipicamente a Microsoft Active Directory • AD non è stato ideato per un ambito Cloud distribuito “al di fuori dei confini” della propria azienda • E’ necessario un sistema di identity management distribuito con strong autentication che “funga” da Microsoft Active Directory per gli ambienti Cloud che sia in grado di ridurre gli “errori umani” tramite strong authentication e che sia affidato a una terza parte di fiducia Friday 19 October 12
  • 18. Un possibile rimedio: • SecurePass è un sistema di Unified Secure Access per gli ambienti Cloud, web applications e devices di sicurezza • Strong authentication, tramite token hardware o su dispositivi mobili (iOS/Android/BlackBerry) • Identity Management, contiene informazioni sul proprio personale • Web seamless Single Sign-On, per semplificare l’accesso agli utenti • Basato su protocolli aperti: LDAP, RADIUS e CAS • Facile da integrare, in pochi minuti e’ possibile proteggere infrastrutture e applicazioni • Garantito da una Banca Svizzera Friday 19 October 12
  • 19. Esempio: Moresi.com • Hosting/housing provider Svizzero con due data centers in continua espansione. Sta spostando il focus da housing “tradizionale” a provider Cloud IaaS • Clienti selezionati, tra le quali banche (DR) e grossi clienti internazionali • Ogni cliente ha un accesso al proprio vDatacenter che puo’ orchestrare a piacimento • Obiettivo: fornire un accesso sicuro ai propri virtual datacenters Friday 19 October 12
  • 21. Esempio: Assicurazione multinazionale • La seconda piu’ grande assicurazione mutinazionale, 48 aziende nel mondo, ognuna con il proprio consiglio di amministrazione e direttore generale • Tutti i membri del consiglio di amministrazione accedono a documenti riservati attraverso vari dispositivi (laptop, tablet, smartphone) con alto rischio di furto di dati • Obiettivo: fornire un accesso sicuro ai documenti riservati ai membri del consiglio di amministrazione ed evitare fughe i informazioni Friday 19 October 12
  • 22. Esempio: Azienda settore automobilistico • Una delle prime 5 aziende del settore automobilistico con120.000 postazioni di lavoro • Avevano bisogno di risolvere i problemi di sicurezza legati al BYOD (Bring Your Own Devices) da parte dei propri impiegati e direttori • Obiettivo: fornire un accesso aziendale sicuro dai tablet e smartphone attraverso SSL VPN e portali disegnati ad-hoc Friday 19 October 12
  • 23. Q&A Giuseppe Paternò gpaterno@gpaterno.com gpaterno@garl.ch Web sites: www.gpaterno.com www.secure-pass.net Twitter: @gpaterno Friday 19 October 12