Informazioni personali

Cerca nel blog

Translate

Visualizzazione post con etichetta sicurezza. Mostra tutti i post
Visualizzazione post con etichetta sicurezza. Mostra tutti i post

lunedì 13 febbraio 2017

Caro CISO, ti suggerisco di parlare d'affari con il tuo CdA, evita tecnicismi.

Caro consiglio di amministrazione e caro CISO

Penso che dovremmo sempre considerare il nostro lavoro come una parte del business. Abbiamo finalmente iniziato a prendere in considerazione la sicurezza informatica e la protezione dei dati come un problema serio, ma ora la domanda è come valutare un rischio nei nostri piani di analisi e di business…

Usualmente la documentazione e le relazioni per l’analisi di rischio, presentati nelle aziende (se e quando vengono presentati ovvio) si limitano, per la maggior parte, all’uso di valori generici (rischio alto, medio, basso), ma non sembra che si usi specificare qualsiasi metrica. Senza metrica è difficile fare una valutazione che abbia senso e parimenti impossible fare confronti;

così alla eventuale questione sollevata da un qualsiasi membro del Consiglio:

“il rischio XYZ è grave come il rischio ABC?”

non si può avere una risposta credibile se non sulla “percezione”, che è soggettiva, se non supportata da fatti…

Costruire metriche di sicurezza è un lavoro complesso e sono oggetto di studio, interpretazione e discussione anche in sede universitaria tutt’oggi, ma nonostante questa complessità possiamo semplificare l’approccio per fare analisi di sicurezza in qualche modo comprensibili e credibili.

Prima di tutto, per rispondere alla domanda presentata dal membro del CdA è necessario avere un quadro comune e condiviso di valutazione, che includa metriche di facile lettura per permettere di fare confronti comprensibili anche ai non esperti di cyber sicurezza, caratteristica comune alla maggior parte dei membri del Consiglio di Amministrazione che, però, devono prendere decisioni basate su tali dati.

Lo so, questo è qualcosa che va oltre le attività di un Cyber e Information Security Officer, questo richiede che l’intera azienda a iniziare a pensare alla cyber sicurezza e alle risorse digitali in campo ma, a meno che l’approccio sia quello di procedere in modo reattivo in caso di problemi (tipo: “mi sono beccato il ransomware…e adesso? che faccio? quanto mi costa? …”), indicazioni da parte del CISO sono indispensabili per delineare il quadro e aiutare nella definizione delle metriche.

Haimè l’analisi del rischio per la sicurezza informatica è tutto tranne che semplice, soprattutto se le analisi sono relative all’impatto aziendale di un incidente, poiché è richiesta tanto la comprensione del problema di sicurezza dal punto di vista cyber così come la comprensione delle ricadute sul business in cui il rischio è analizzato.

Ci sono due aspetti principali che hanno bisogno di metriche leggibili:

  1. Valutazione del rischio
  2. Conseguenze di rischio

Il primo elemento viene utilizzato per definire quanto “rischioso” è qualcosa.

La misura del rischio richiede, per semplificare una questione complessa, di essere in grado di valutare la probabilità che qualcosa accada, l’entità del danno e il costo per aggiustare le cose.

La dimensione economica dei danni e dei costi occorrenti per sistemare le cose sono legati alle conseguenze identificate per uno specifico rischio. Queste sono, fondamentalmente, le metriche che possono essere utilizzate in una riunione col consiglio di amministrazione per descrivere il rischio in termini comprensibili ad un pubblico non-consapevole in termini di cyber sicurezza.

Non voglio qui entrare nel dettaglio della valutazione del rischio, sono sicuro che come CISO avrai una profonda conoscenza e comprensione del problema e non voglio annoiarti con le mie riflessioni al riguardo, ma permettimi di osservare come non ci sia, apparentemente, ancora un quadro comune di valutazione diffuso tra gruppi e Business Unit della tua azienda. Trovo difficile credere che la percezione del rischio del dipartimento HR sia analogo a quello del dipartimento IT o del Marketing, o della produzione o vendita,  se cosi fosse probabilmente non staresti leggendo questo articolo mentre io starei quasi sicuramente leggendo il tuo.

La valutazione del rischio è una attività prevalentemente tecnica: la comprensione delle tecniche di attacco e difesa, le risorse necessarie sono ambiti dove CISO e management IT dovrebbero essere in grado di dare risposte sensate e credibili. Discorso diverso invece è l’analisi dell’impatto dell’incidente sul business. Questo impatto richiede sia la comprensione di cosa avvenga tecnicamente, almeno a grandi linee, ma anche la comprensione di quali siano i meccanismi legati al business che sono danneggiati dall’incidente. Va da se che le metriche da usarsi devono essere comprensibili al business, altrimenti sono inutili.

Le conseguenze di un incidente ed il suo livello di rischio sono ovviamente correlate cosi come sono correlate le dimensioni che definiscono il problema, l’obiettivo è capire, nella ipotesi che si verifichi un incidente di sicurezza, quali possano essere le misure che consentono alla vostra azienda di descriverlo e effettuare un confronto con un altro evento per determinare, ad esempio, priorità di intervento e di budget.

Avrebbe senso, dal mio punto di vista, presentare qualsiasi analisi di rischio al consiglio di amministrazione e altri manager e dirigenti in questi termini:

1) costo monetario in termini di perdita di ricavi

2) costo monetario in termini di costi effettivi sostenuti o da sostenere

3) impatto sulla penetrazione del mercato

4) impatto sulla percezione del marchio

Utilizzare queste 4 dimensioni permette di confrontare un incidente “ABC” ad un avvenimento “XYZ” e rispondere in qualche modo alla domanda del membro del consiglio fatta prima e, inoltre, a dare una metrica per capire dove e perché investire in un’area invece in un’altra.

Permettimi di descrivere rapidamente i 4 punti.

1) costo monetario in termini di perdita di ricavi

Si tratta di una dimensione che può essere facilmente percepita dai responsabili commerciali e finanziari. Comporta l’essere in grado di stimare quanta attività di vendita sarà influenzata dall’incidente. Il lasso di tempo preso in considerazione è, ovviamente, una delle criticità chiave, dal momento che gli eventi possono avere un effetto diverso in termini di intervallo di tempo breve, medio e lungo termine.

La valutazione può essere presentata sia in termini di importo netto di denaro o % rispetto al bilancio. Entrambi sono utili per capire l’impatto dell’evento.

2) costo monetario in termini di costi effettivi sostenuti o da sostenere

Questo significa mettere in considerazione tutti i costi vivi relazionati all’incidente come multe, questioni legali, interventi di sostituzione o aggiornamento del parco HWSW , persone che lavorano sull’incidente e così via. È importante separare i costi collegati all’incidente, dalle perdite economiche collegate all’incidente stesso, perché la natura degli interventi correttivi è estremamente diversa nei diversi casi.

3) impatto sulla penetrazione del mercato

Si tratta di una metrica che ha senso per un fornitore che sta cercando di espandere la sua presenza nel mercato come la tua azienda sta probabilmente cercando di fare. È strettamente connesso ai ricavi diretti, ma anche con le aspettative di crescita. Ciò può essere rappresentato come una % della quota di mercato.

4) impatto sulla percezione del marchio

Questo ultimo elemento è il più difficile da misurare, ma dato che dipende dalla metrica utilizzata per valutare il valore del Brand all’interno dell’azienda, dal momento che non mi è stato detto quali parametri vengono utilizzati qui posso solo suggerirti di presentare la variazione % correlata al valore stimato prima dell’incidente.

Per quello che so se questo non è stato fatto prima potrebbe essere qualcosa di intelligente da presentare in un futuro Business Plan o un’attività per il Cyber e Information Security Office da effettuarsi quest’anno in maniera da essere in grado, in futuro, di fare presentazioni e proiezioni che abbiano un senso.

Con quei 4 punti sarebbe possibile per entrambi (tu ed il consiglio di amministrazione):

a) fare confronto tra rischi

e

b) fornire al Consiglio una serie di elementi che possono essere oggettivamente utilizzati per prendere decisioni strategiche e di indirizzo.

Prendiamo come esempio la analisi dei rischi concernenti ad una violazione delle normative sulla privacy europea, il famigerato GDPR

L’approccio che ti ho proposto consentirebbe di presentare nel BP un insieme di dati comprensibili ed adatti a giustificare le spese e gli investimenti per ogni tipologia di rischio presentato; qualcosa di simile alla seguente tabella:

Permettimi di spiegare la tabella, considera naturalmente che i valori sono fittizi e il lasso di tempo considerato può essere regolato in base alla tua realtà.

Non conformità al GDPR

1) violazione di dati personali del cliente: intestazioni di colonne

Impatto a breve termine (1-3 mesi)

È cosa succedere immediatamente dopo il problema, quando è necessario intraprendere le operazioni necessarie per riprendere la operatività. Se hai un Emergency Response Team (dovresti) va computato qui…

Impatto di medio termine (3 mesi – un anno)

Permettimi di essere onesto, se è un problema di minore entità può accadere che le cose si possano risolvere rapidamente, ma se il problema è più grande, come ad esempio il tuo database di marketing esposto al pubblico su internet, devi iniziare a considerare anche le spese legali, multe e l’impatto sul tuo mercato…

Impatto a lungo termine (1-3 anni)

Le cose hanno un impatto anche dopo il tuo Business Plan, la vita non è limitata alla tua arbitraria finestra temporale, il business non si limita a finestre temporali limitate, tu dovresti essere in grado di fare previsione e analisi di più lungo periodo, oltre alla visione, orrore, trimestrale o annuale. È una esigenza comune in qualsiasi attività commerciale, e qui è o stesso.

2) violazione dei dati personali cliente: intestazioni di riga

Perdita di entrate

Questa è la perdita di gettito, legata all’incidente, che si dovrà affrontare rispetto le vostre aspettative di bilancio.

Costi diretti

Questo contiene ciò che si deve pagare per causa diretta  dell’incidente ad esempio:

  • Sostituzione, aggiornamento, implementazione soluzioni HWSW
  • Multe
  • Stima dell’eventuale costo legato alla richiesta di risarcimento di eventuali parti lese
  • riscatto pagato (ad esempio in caso di ransomware)
  • aumento di costo di eventuali polizze assicurative sulla cyber security
  • costi di fermo porduzione
  • persone che lavorano sulla questione per risolvere il problema (eventuali analisti forensi, esperti informatici, avvocati…)

Impatto sulla penetrazione del mercato

Questo è il posto dove mettere come l’incidente danneggerà il vostro business in termini della vostra presenza sul mercato (quote di mercato) e le prospettive future.

Impatto sulla percezione del marchio

Questo indica quanto la tua credibilità risentirà dell’incidente

Con questo tipo di matrice sarebbe facile fare valutazioni corrette e confronti sensati. Non so se questo è, al momento, qualcosa che può essere fatto con gli attuali strumenti di analisi in tuo possesso, ma sarebbe un elemento utile da mettere in un BP e per un futuro corretto approccio alla valutazione del rischio per la sicurezza informatica (cyber security, data seurity e data privacy).

ciao

Antonio

Caro CISO, ti suggerisco di parlare d'affari con il tuo CdA, evita tecnicismi.

Caro consiglio di amministrazione e caro CISO

Penso che dovremmo sempre considerare il nostro lavoro come una parte del business. Abbiamo finalmente iniziato a prendere in considerazione la sicurezza informatica e la protezione dei dati come un problema serio, ma ora la domanda è come valutare un rischio nei nostri piani di analisi e di business…

Usualmente la documentazione e le relazioni per l’analisi di rischio, presentati nelle aziende (se e quando vengono presentati ovvio) si limitano, per la maggior parte, all’uso di valori generici (rischio alto, medio, basso), ma non sembra che si usi specificare qualsiasi metrica. Senza metrica è difficile fare una valutazione che abbia senso e parimenti impossible fare confronti;

così alla eventuale questione sollevata da un qualsiasi membro del Consiglio:

“il rischio XYZ è grave come il rischio ABC?”

non si può avere una risposta credibile se non sulla “percezione”, che è soggettiva, se non supportata da fatti…

Costruire metriche di sicurezza è un lavoro complesso e sono oggetto di studio, interpretazione e discussione anche in sede universitaria tutt’oggi, ma nonostante questa complessità possiamo semplificare l’approccio per fare analisi di sicurezza in qualche modo comprensibili e credibili.

Prima di tutto, per rispondere alla domanda presentata dal membro del CdA è necessario avere un quadro comune e condiviso di valutazione, che includa metriche di facile lettura per permettere di fare confronti comprensibili anche ai non esperti di cyber sicurezza, caratteristica comune alla maggior parte dei membri del Consiglio di Amministrazione che, però, devono prendere decisioni basate su tali dati.

Lo so, questo è qualcosa che va oltre le attività di un Cyber e Information Security Officer, questo richiede che l’intera azienda a iniziare a pensare alla cyber sicurezza e alle risorse digitali in campo ma, a meno che l’approccio sia quello di procedere in modo reattivo in caso di problemi (tipo: “mi sono beccato il ransomware…e adesso? che faccio? quanto mi costa? …”), indicazioni da parte del CISO sono indispensabili per delineare il quadro e aiutare nella definizione delle metriche.

Haimè l’analisi del rischio per la sicurezza informatica è tutto tranne che semplice, soprattutto se le analisi sono relative all’impatto aziendale di un incidente, poiché è richiesta tanto la comprensione del problema di sicurezza dal punto di vista cyber così come la comprensione delle ricadute sul business in cui il rischio è analizzato.

Ci sono due aspetti principali che hanno bisogno di metriche leggibili:

  1. Valutazione del rischio
  2. Conseguenze di rischio

Il primo elemento viene utilizzato per definire quanto “rischioso” è qualcosa.

La misura del rischio richiede, per semplificare una questione complessa, di essere in grado di valutare la probabilità che qualcosa accada, l’entità del danno e il costo per aggiustare le cose.

La dimensione economica dei danni e dei costi occorrenti per sistemare le cose sono legati alle conseguenze identificate per uno specifico rischio. Queste sono, fondamentalmente, le metriche che possono essere utilizzate in una riunione col consiglio di amministrazione per descrivere il rischio in termini comprensibili ad un pubblico non-consapevole in termini di cyber sicurezza.

Non voglio qui entrare nel dettaglio della valutazione del rischio, sono sicuro che come CISO avrai una profonda conoscenza e comprensione del problema e non voglio annoiarti con le mie riflessioni al riguardo, ma permettimi di osservare come non ci sia, apparentemente, ancora un quadro comune di valutazione diffuso tra gruppi e Business Unit della tua azienda. Trovo difficile credere che la percezione del rischio del dipartimento HR sia analogo a quello del dipartimento IT o del Marketing, o della produzione o vendita,  se cosi fosse probabilmente non staresti leggendo questo articolo mentre io starei quasi sicuramente leggendo il tuo.

La valutazione del rischio è una attività prevalentemente tecnica: la comprensione delle tecniche di attacco e difesa, le risorse necessarie sono ambiti dove CISO e management IT dovrebbero essere in grado di dare risposte sensate e credibili. Discorso diverso invece è l’analisi dell’impatto dell’incidente sul business. Questo impatto richiede sia la comprensione di cosa avvenga tecnicamente, almeno a grandi linee, ma anche la comprensione di quali siano i meccanismi legati al business che sono danneggiati dall’incidente. Va da se che le metriche da usarsi devono essere comprensibili al business, altrimenti sono inutili.

Le conseguenze di un incidente ed il suo livello di rischio sono ovviamente correlate cosi come sono correlate le dimensioni che definiscono il problema, l’obiettivo è capire, nella ipotesi che si verifichi un incidente di sicurezza, quali possano essere le misure che consentono alla vostra azienda di descriverlo e effettuare un confronto con un altro evento per determinare, ad esempio, priorità di intervento e di budget.

Avrebbe senso, dal mio punto di vista, presentare qualsiasi analisi di rischio al consiglio di amministrazione e altri manager e dirigenti in questi termini:

1) costo monetario in termini di perdita di ricavi

2) costo monetario in termini di costi effettivi sostenuti o da sostenere

3) impatto sulla penetrazione del mercato

4) impatto sulla percezione del marchio

Utilizzare queste 4 dimensioni permette di confrontare un incidente “ABC” ad un avvenimento “XYZ” e rispondere in qualche modo alla domanda del membro del consiglio fatta prima e, inoltre, a dare una metrica per capire dove e perché investire in un’area invece in un’altra.

Permettimi di descrivere rapidamente i 4 punti.

1) costo monetario in termini di perdita di ricavi

Si tratta di una dimensione che può essere facilmente percepita dai responsabili commerciali e finanziari. Comporta l’essere in grado di stimare quanta attività di vendita sarà influenzata dall’incidente. Il lasso di tempo preso in considerazione è, ovviamente, una delle criticità chiave, dal momento che gli eventi possono avere un effetto diverso in termini di intervallo di tempo breve, medio e lungo termine.

La valutazione può essere presentata sia in termini di importo netto di denaro o % rispetto al bilancio. Entrambi sono utili per capire l’impatto dell’evento.

2) costo monetario in termini di costi effettivi sostenuti o da sostenere

Questo significa mettere in considerazione tutti i costi vivi relazionati all’incidente come multe, questioni legali, interventi di sostituzione o aggiornamento del parco HWSW , persone che lavorano sull’incidente e così via. È importante separare i costi collegati all’incidente, dalle perdite economiche collegate all’incidente stesso, perché la natura degli interventi correttivi è estremamente diversa nei diversi casi.

3) impatto sulla penetrazione del mercato

Si tratta di una metrica che ha senso per un fornitore che sta cercando di espandere la sua presenza nel mercato come la tua azienda sta probabilmente cercando di fare. È strettamente connesso ai ricavi diretti, ma anche con le aspettative di crescita. Ciò può essere rappresentato come una % della quota di mercato.

4) impatto sulla percezione del marchio

Questo ultimo elemento è il più difficile da misurare, ma dato che dipende dalla metrica utilizzata per valutare il valore del Brand all’interno dell’azienda, dal momento che non mi è stato detto quali parametri vengono utilizzati qui posso solo suggerirti di presentare la variazione % correlata al valore stimato prima dell’incidente.

Per quello che so se questo non è stato fatto prima potrebbe essere qualcosa di intelligente da presentare in un futuro Business Plan o un’attività per il Cyber e Information Security Office da effettuarsi quest’anno in maniera da essere in grado, in futuro, di fare presentazioni e proiezioni che abbiano un senso.

Con quei 4 punti sarebbe possibile per entrambi (tu ed il consiglio di amministrazione):

a) fare confronto tra rischi

e

b) fornire al Consiglio una serie di elementi che possono essere oggettivamente utilizzati per prendere decisioni strategiche e di indirizzo.

Prendiamo come esempio la analisi dei rischi concernenti ad una violazione delle normative sulla privacy europea, il famigerato GDPR

L’approccio che ti ho proposto consentirebbe di presentare nel BP un insieme di dati comprensibili ed adatti a giustificare le spese e gli investimenti per ogni tipologia di rischio presentato; qualcosa di simile alla seguente tabella:

Permettimi di spiegare la tabella, considera naturalmente che i valori sono fittizi e il lasso di tempo considerato può essere regolato in base alla tua realtà.

Non conformità al GDPR

1) violazione di dati personali del cliente: intestazioni di colonne

Impatto a breve termine (1-3 mesi)

È cosa succedere immediatamente dopo il problema, quando è necessario intraprendere le operazioni necessarie per riprendere la operatività. Se hai un Emergency Response Team (dovresti) va computato qui…

Impatto di medio termine (3 mesi – un anno)

Permettimi di essere onesto, se è un problema di minore entità può accadere che le cose si possano risolvere rapidamente, ma se il problema è più grande, come ad esempio il tuo database di marketing esposto al pubblico su internet, devi iniziare a considerare anche le spese legali, multe e l’impatto sul tuo mercato…

Impatto a lungo termine (1-3 anni)

Le cose hanno un impatto anche dopo il tuo Business Plan, la vita non è limitata alla tua arbitraria finestra temporale, il business non si limita a finestre temporali limitate, tu dovresti essere in grado di fare previsione e analisi di più lungo periodo, oltre alla visione, orrore, trimestrale o annuale. È una esigenza comune in qualsiasi attività commerciale, e qui è o stesso.

2) violazione dei dati personali cliente: intestazioni di riga

Perdita di entrate

Questa è la perdita di gettito, legata all’incidente, che si dovrà affrontare rispetto le vostre aspettative di bilancio.

Costi diretti

Questo contiene ciò che si deve pagare per causa diretta  dell’incidente ad esempio:

  • Sostituzione, aggiornamento, implementazione soluzioni HWSW
  • Multe
  • Stima dell’eventuale costo legato alla richiesta di risarcimento di eventuali parti lese
  • riscatto pagato (ad esempio in caso di ransomware)
  • aumento di costo di eventuali polizze assicurative sulla cyber security
  • costi di fermo porduzione
  • persone che lavorano sulla questione per risolvere il problema (eventuali analisti forensi, esperti informatici, avvocati…)

Impatto sulla penetrazione del mercato

Questo è il posto dove mettere come l’incidente danneggerà il vostro business in termini della vostra presenza sul mercato (quote di mercato) e le prospettive future.

Impatto sulla percezione del marchio

Questo indica quanto la tua credibilità risentirà dell’incidente

Con questo tipo di matrice sarebbe facile fare valutazioni corrette e confronti sensati. Non so se questo è, al momento, qualcosa che può essere fatto con gli attuali strumenti di analisi in tuo possesso, ma sarebbe un elemento utile da mettere in un BP e per un futuro corretto approccio alla valutazione del rischio per la sicurezza informatica (cyber security, data seurity e data privacy).

ciao

Antonio

sabato 8 novembre 2014

Sicurezza: ritorno alle basi

Dando una occhiata alle diverse riviste di settore ci si può rendere conto di quanto la sicurezza informatica sia diventata importante. Non solo si sono moltiplicati i vendor e le tecnologie, ma le informazioni sul fenomeno si sono diffuse e adesso entrano a far parte anche del lessico di quotidiani e magazine non specialistici.

Ma quanto questo parlare ha aumentato la consapevolezza?

Una serie di suggerimenti interessanti può venire dalla lettura del nuovo rapporto 2014 Clusit, l’Associazione Italiana per la Sicurezza Informatica (Clusit).

Il documento che prende in considerazione oltre 2.800 incidenti avvenuti negli ultimi 36 mesi e si avvale dei dati forniti dal Security Operations Center di Fastweb. Il Rapporto identifica il cyber-crimine come la causa principale (più del 50 per cento) dei cyber-attacchi registrati durante tutto il 2013.

Si tratta di una crescita del 258 per cento rispetto al 2012 mentre si fanno strada fenomeni relativamente nuovi come hacktivismo (+22,5 per cento) e spionaggio informatico/telematico (+131 per cento). Le tecniche preferite dai cyber-criminali includono attacchi DDoS, cracking di account e Advanced Persistent Threat (APT) mirati verso organizzazioni specifiche.

L’aumento vertiginoso è frutto di tre fenomeni due “negativi” ed un terzo “positivo”:

  • L’aumentato valore economico di tali attività, che spinge la malavita ad orientarsi verso nuove forme di arricchimento illecito.
  • Lo stato di obsolescenza di gran parte delle strutture informatiche italiane, con un particolare deficit nei confronti della sicurezza sia in termini di tecnologie adottate che di creazione di processi interni di gestione
  • Un aumento della sensibilità che porta all’emergere di una serie di eventi che prima rimanevano nascosti tra le mura delle entità attaccate, aumentando gli ostacoli ad una corretta presa di coscienza del fenomeno.

Risulta particolarmente interessante notare come i 3 principali temi di attacco risultino essere di tipo abbastanza noto nei primi due casi, e di nuova generazione nel terzo.

DDoS e Cracking di account sono in effetti storicamente tra i più vecchi metodi di attacco utilizzati, e sia la letteratura che le notizie dal mondo della sicurezza informatica riportano clamorosi casi di violazione di database di account o di blocchi di siti.

DDoS la base dell’acktivism

Gli attacchi DDoS hanno infatti preso posto nelle cronache a seguito di alcuni episodi legati a fenomeni di attivismo online di gruppi quali anonymous o lulzsec. Assieme al deface, il blocco parziale o totale di siti è stato infatti uno strumento particolarmente utilizzato, addirittura con la distribuzione diffusa di software come LOIC (Low Orbit Ion Cannon) altrimenti in uso dagli “addetti ai lavori”.

La diffusione e relativa facilità con cui è possibile procedere ad un DDoS non è passata inosservata neanche alle bande di Cyber criminali che hanno trovato in questo un interessante strumento per ricattare vittime minacciando blocchi dei servizi web. I target di questo tipo di ricatto sono stati inizialmente siti di vendite online e, soprattutto, di scommesse. Pur esistendo tecnologie anti DDoS da anni il parco implementato di soluzioni in Italia è ancora desolatamente basso. Sia dal punto di vista delle tecnologie di networking che dal punto di vista della protezione di servizi chiave (si pensi ai servizi DNS) nonostante vi sia una offerta di mercato interessante dal punto di vista qualitativo il mercato italiano è ancora decisamente restio ad affrontare tali implementazioni, anche perché oltre alla richiesta economica vi sono richieste in termini di processi da affrontare, al fine di non far diventare questi strumenti oggetti belli ma fondamentalmente inutili perché non gestiti nella maniera corretta, fine che hanno subito nel nostro paese anche molte implementazioni IPS\ISD e SIEM.

Cracking di account

Le basi della informatica (e della sicurezza) insegnano che la prima attività che ha in carico un utente per poter accedere ad una struttura informatica è quella di effettuare il login. Nella maniera più diffusa questo viene fatto attraverso la coppia di dati username e password.

Sono oramai diversi anni che gli esperti di settore fanno notare come questa modalità di ingresso nella rete sia di tipo poco sicuro, in particolare l’uso delle password risulta essere spesso un vero e proprio tallone di Achille in termini di sicurezza. Le password comuni sono spesso facili da “craccare” anche attraverso elementari servizi di brute forcing, ma l’uso di password complesse risulta spesso intollerabile agli utenti che tendono a evadere i vincoli con strutture facilmente ripetibili. Un altro problema dell’uso delle password è che all’aumentare del numero di password richieste aumenta la tendenza ad unificarle indipendentemente dal tipo di servizio cui si accede. La password aziendale cosi è spesso utilizzata anche come password per accedere alla propria webmail o al proprio social network, esposti a continui attacchi ed hack.

Soluzioni di strong authentication esistono sul mercato da parecchio, ma oggi prodotti che integrano one time password generation ai sistemi di log-in sono diventate economiche, multipiattaforma e grazie al diffondersi dell’uso di app non richiedono più nemmeno la famosa “chiavetta”.  Anche in questo caso purtroppo in Italia il livello di implementazione è ancora troppo basso rispetto a quello che accade al di fuori dei nostri confini.

APT: non si bloccano se non ci sono le basi

“Dulcis in fundo” (o forse più correttamente dovremmo dire “in cauda venenum”) troviamo l’emergere del fenomeno APT, da una pressante campagna informativa da parte dei vendor di sicurezza informatica, quale nuova frontiera della protezione delle nostre reti.

Il fenomeno APT è un fenomeno estremamente complesso, e soluzioni magiche che ne indirizzino tutti gli aspetti non sono pensabili se non in termini di service che copra tutti gli aspetti della struttura IT. I prodotti presenti oggi offrono strumenti di protezione estremamente sofisticati che, però, necessitano a monte di una struttura adeguatamente preparata in termini di tecnologie e processi. L’APT nasce da una serie di attività che vanno dal social engineering al più tradizionale sfruttamento di una vulnerabilità per ottenere un accesso. Le stesse attività di DDoS e Account cracking possono essere in realtà componenti di un APT e richiedono attenzioni specifiche.

Quello che i dati ci dicono quindi è che il fenomeno non è più un oggetto di folclore ma che la sicurezza informatica incomincia ad essere un fenomeno che deve interessare la massa degli utenti IT e non solo poche realtà particolari. Un interesse che deve essere accompagnato dalla introduzione\implementazione di practice e tecnologie coerenti per poter essere efficaci. Non serve dotarsi della più sofisticata porta blindata se si lasciano aperte le finestre.

 

 

 

Sicurezza: ritorno alle basi

Dando una occhiata alle diverse riviste di settore ci si può rendere conto di quanto la sicurezza informatica sia diventata importante. Non solo si sono moltiplicati i vendor e le tecnologie, ma le informazioni sul fenomeno si sono diffuse e adesso entrano a far parte anche del lessico di quotidiani e magazine non specialistici.

Ma quanto questo parlare ha aumentato la consapevolezza?

Una serie di suggerimenti interessanti può venire dalla lettura del nuovo rapporto 2014 Clusit, l’Associazione Italiana per la Sicurezza Informatica (Clusit).

Il documento che prende in considerazione oltre 2.800 incidenti avvenuti negli ultimi 36 mesi e si avvale dei dati forniti dal Security Operations Center di Fastweb. Il Rapporto identifica il cyber-crimine come la causa principale (più del 50 per cento) dei cyber-attacchi registrati durante tutto il 2013.

Si tratta di una crescita del 258 per cento rispetto al 2012 mentre si fanno strada fenomeni relativamente nuovi come hacktivismo (+22,5 per cento) e spionaggio informatico/telematico (+131 per cento). Le tecniche preferite dai cyber-criminali includono attacchi DDoS, cracking di account e Advanced Persistent Threat (APT) mirati verso organizzazioni specifiche.

L’aumento vertiginoso è frutto di tre fenomeni due “negativi” ed un terzo “positivo”:

  • L’aumentato valore economico di tali attività, che spinge la malavita ad orientarsi verso nuove forme di arricchimento illecito.
  • Lo stato di obsolescenza di gran parte delle strutture informatiche italiane, con un particolare deficit nei confronti della sicurezza sia in termini di tecnologie adottate che di creazione di processi interni di gestione
  • Un aumento della sensibilità che porta all’emergere di una serie di eventi che prima rimanevano nascosti tra le mura delle entità attaccate, aumentando gli ostacoli ad una corretta presa di coscienza del fenomeno.

Risulta particolarmente interessante notare come i 3 principali temi di attacco risultino essere di tipo abbastanza noto nei primi due casi, e di nuova generazione nel terzo.

DDoS e Cracking di account sono in effetti storicamente tra i più vecchi metodi di attacco utilizzati, e sia la letteratura che le notizie dal mondo della sicurezza informatica riportano clamorosi casi di violazione di database di account o di blocchi di siti.

DDoS la base dell’acktivism

Gli attacchi DDoS hanno infatti preso posto nelle cronache a seguito di alcuni episodi legati a fenomeni di attivismo online di gruppi quali anonymous o lulzsec. Assieme al deface, il blocco parziale o totale di siti è stato infatti uno strumento particolarmente utilizzato, addirittura con la distribuzione diffusa di software come LOIC (Low Orbit Ion Cannon) altrimenti in uso dagli “addetti ai lavori”.

La diffusione e relativa facilità con cui è possibile procedere ad un DDoS non è passata inosservata neanche alle bande di Cyber criminali che hanno trovato in questo un interessante strumento per ricattare vittime minacciando blocchi dei servizi web. I target di questo tipo di ricatto sono stati inizialmente siti di vendite online e, soprattutto, di scommesse. Pur esistendo tecnologie anti DDoS da anni il parco implementato di soluzioni in Italia è ancora desolatamente basso. Sia dal punto di vista delle tecnologie di networking che dal punto di vista della protezione di servizi chiave (si pensi ai servizi DNS) nonostante vi sia una offerta di mercato interessante dal punto di vista qualitativo il mercato italiano è ancora decisamente restio ad affrontare tali implementazioni, anche perché oltre alla richiesta economica vi sono richieste in termini di processi da affrontare, al fine di non far diventare questi strumenti oggetti belli ma fondamentalmente inutili perché non gestiti nella maniera corretta, fine che hanno subito nel nostro paese anche molte implementazioni IPS\ISD e SIEM.

Cracking di account

Le basi della informatica (e della sicurezza) insegnano che la prima attività che ha in carico un utente per poter accedere ad una struttura informatica è quella di effettuare il login. Nella maniera più diffusa questo viene fatto attraverso la coppia di dati username e password.

Sono oramai diversi anni che gli esperti di settore fanno notare come questa modalità di ingresso nella rete sia di tipo poco sicuro, in particolare l’uso delle password risulta essere spesso un vero e proprio tallone di Achille in termini di sicurezza. Le password comuni sono spesso facili da “craccare” anche attraverso elementari servizi di brute forcing, ma l’uso di password complesse risulta spesso intollerabile agli utenti che tendono a evadere i vincoli con strutture facilmente ripetibili. Un altro problema dell’uso delle password è che all’aumentare del numero di password richieste aumenta la tendenza ad unificarle indipendentemente dal tipo di servizio cui si accede. La password aziendale cosi è spesso utilizzata anche come password per accedere alla propria webmail o al proprio social network, esposti a continui attacchi ed hack.

Soluzioni di strong authentication esistono sul mercato da parecchio, ma oggi prodotti che integrano one time password generation ai sistemi di log-in sono diventate economiche, multipiattaforma e grazie al diffondersi dell’uso di app non richiedono più nemmeno la famosa “chiavetta”.  Anche in questo caso purtroppo in Italia il livello di implementazione è ancora troppo basso rispetto a quello che accade al di fuori dei nostri confini.

APT: non si bloccano se non ci sono le basi

“Dulcis in fundo” (o forse più correttamente dovremmo dire “in cauda venenum”) troviamo l’emergere del fenomeno APT, da una pressante campagna informativa da parte dei vendor di sicurezza informatica, quale nuova frontiera della protezione delle nostre reti.

Il fenomeno APT è un fenomeno estremamente complesso, e soluzioni magiche che ne indirizzino tutti gli aspetti non sono pensabili se non in termini di service che copra tutti gli aspetti della struttura IT. I prodotti presenti oggi offrono strumenti di protezione estremamente sofisticati che, però, necessitano a monte di una struttura adeguatamente preparata in termini di tecnologie e processi. L’APT nasce da una serie di attività che vanno dal social engineering al più tradizionale sfruttamento di una vulnerabilità per ottenere un accesso. Le stesse attività di DDoS e Account cracking possono essere in realtà componenti di un APT e richiedono attenzioni specifiche.

Quello che i dati ci dicono quindi è che il fenomeno non è più un oggetto di folclore ma che la sicurezza informatica incomincia ad essere un fenomeno che deve interessare la massa degli utenti IT e non solo poche realtà particolari. Un interesse che deve essere accompagnato dalla introduzione\implementazione di practice e tecnologie coerenti per poter essere efficaci. Non serve dotarsi della più sofisticata porta blindata se si lasciano aperte le finestre.

 

 

 

venerdì 24 ottobre 2014

Sandboxing, utile o no?

Sul mercato oggi ci sono diversi prodotti di sicurezza che utilizzano la tecnologia delle sandbox per offrire un nuovo livello di protezione nei confronti di target attack, vulnerabilità “0”days, advanced persistent threat e via dicendo.

La domanda che dovremmo porci è se le tecnologie di sandboxing sono, in questo senso, una soluzione efficace per proteggere le strutture aziendali odierne.

Innanzi tutto capiamo cosa significa utilizzare il sandboxing. L’idea di base è quella di creare un ambiente virtuale che simuli l’ambiente standard al fine di testare il comportamento di oggetti potenzialmente dannosi.

I potenziali vettori di infezione vengono dirottati verso questa macchina “virtuale” che viene monitorata al fine di vedere se durante l’esecuzione avvengano fenomeni anomali, quali comunicazioni di rete, modifica di configurazionifiles, escalation di diritti amministrativi e via dicendo.

Il pregio maggiore di questo tipo di tecnologia consiste nella capacità di identificare problematiche “sconosciute” riproducendo l’ambiente di esecuzione e registrando i comportamenti anomali. Questa caratteristica rende le tecnologie di sandboxing estremamente interessanti per coadiuvare eventuali processi di identificazione e monitoraggio di attività malevoli nella rete.

Vi sono però da valutare delle limitazioni che affliggono l’uso delle sandbox.

  • la prima osservazione è che una sandbox per essere il piu efficace possibile dovrebbe replicare con la massima attenzione lo status dei sistemi che si vuole proteggere. Le caratteristiche dellae sandbox deve replicare  Sistemi operativi, livello di patching, applicazioni e configurazione.

Questo implica che il lavoro di costruzione dell’ambiente che deve fungere da test può essere estremamente complesso o, quantomeno, richiedere un certo numero di macchinvirtuali. Si pensi infatti agli ambienti reali dove la “standardizzazione” è solitamente una chimera.

Ciononostante anche se gli ambienti non sono perfettamente replicati le tecnologie di sandboxing possono ancora giocare un ruolo notevole nel coadiuvare la lotta alle intrusioni.

  • un’altra limitazione è legata al fatto che le sandbox hanno bisogno di sistemi di monitoraggio che, nei fatti, alterano il comportamento della macchina stessa. Dover mappare l’accesso alla memoria, la modifica di registri, file ed altro rende la macchina virtuale comunque “diversa” da una reale, e su queste differenze si giocano le tecnologie stealth e anti sandbox sviluppate dagli attaccanti.

In altre parole le tecnologie di sandboxing non sono nuove a chi sviluppa sistemi di attacco, alcuni “malware” sono capaci di riconoscere se l’ospite è una sandbox e adottare tecniche di evasione opportune. In alcuni casi si usano tecnologie capaci di nascondersi ai sensori installati, altre volte semplicemente il malware diventa quiescente interrompendo qualsiasi attività al fine di non essere scoperto.

  • va infine considerato il fatto il fatto che le stesse sandbox possono essere oggetto di attacco eo vulnerabilità più o meno note. Questo può essere un limite soprattutto in caso di APT ed attacchi mirati.

I prodotti che si appoggiano a tali tecnologie, quindi, vanno valutati con attenzione. Le tecnologie di sandboxing, come quelle che utilizzano sistemi di reputation, sono efficaci solo se introdotte in contesti in cui esistono altri componenti che coadiuvano l’analisi, va quindi valutato con attenzione in termini di cosa sia già presente e cosa offre la soluzione proposta oltre alle tecnologie di sandboxing.

 

Sandboxing, utile o no?

Sul mercato oggi ci sono diversi prodotti di sicurezza che utilizzano la tecnologia delle sandbox per offrire un nuovo livello di protezione nei confronti di target attack, vulnerabilità “0”days, advanced persistent threat e via dicendo.

La domanda che dovremmo porci è se le tecnologie di sandboxing sono, in questo senso, una soluzione efficace per proteggere le strutture aziendali odierne.

Innanzi tutto capiamo cosa significa utilizzare il sandboxing. L’idea di base è quella di creare un ambiente virtuale che simuli l’ambiente standard al fine di testare il comportamento di oggetti potenzialmente dannosi.

I potenziali vettori di infezione vengono dirottati verso questa macchina “virtuale” che viene monitorata al fine di vedere se durante l’esecuzione avvengano fenomeni anomali, quali comunicazioni di rete, modifica di configurazionifiles, escalation di diritti amministrativi e via dicendo.

Il pregio maggiore di questo tipo di tecnologia consiste nella capacità di identificare problematiche “sconosciute” riproducendo l’ambiente di esecuzione e registrando i comportamenti anomali. Questa caratteristica rende le tecnologie di sandboxing estremamente interessanti per coadiuvare eventuali processi di identificazione e monitoraggio di attività malevoli nella rete.

Vi sono però da valutare delle limitazioni che affliggono l’uso delle sandbox.

  • la prima osservazione è che una sandbox per essere il piu efficace possibile dovrebbe replicare con la massima attenzione lo status dei sistemi che si vuole proteggere. Le caratteristiche dellae sandbox deve replicare  Sistemi operativi, livello di patching, applicazioni e configurazione.

Questo implica che il lavoro di costruzione dell’ambiente che deve fungere da test può essere estremamente complesso o, quantomeno, richiedere un certo numero di macchinvirtuali. Si pensi infatti agli ambienti reali dove la “standardizzazione” è solitamente una chimera.

Ciononostante anche se gli ambienti non sono perfettamente replicati le tecnologie di sandboxing possono ancora giocare un ruolo notevole nel coadiuvare la lotta alle intrusioni.

  • un’altra limitazione è legata al fatto che le sandbox hanno bisogno di sistemi di monitoraggio che, nei fatti, alterano il comportamento della macchina stessa. Dover mappare l’accesso alla memoria, la modifica di registri, file ed altro rende la macchina virtuale comunque “diversa” da una reale, e su queste differenze si giocano le tecnologie stealth e anti sandbox sviluppate dagli attaccanti.

In altre parole le tecnologie di sandboxing non sono nuove a chi sviluppa sistemi di attacco, alcuni “malware” sono capaci di riconoscere se l’ospite è una sandbox e adottare tecniche di evasione opportune. In alcuni casi si usano tecnologie capaci di nascondersi ai sensori installati, altre volte semplicemente il malware diventa quiescente interrompendo qualsiasi attività al fine di non essere scoperto.

  • va infine considerato il fatto il fatto che le stesse sandbox possono essere oggetto di attacco eo vulnerabilità più o meno note. Questo può essere un limite soprattutto in caso di APT ed attacchi mirati.

I prodotti che si appoggiano a tali tecnologie, quindi, vanno valutati con attenzione. Le tecnologie di sandboxing, come quelle che utilizzano sistemi di reputation, sono efficaci solo se introdotte in contesti in cui esistono altri componenti che coadiuvano l’analisi, va quindi valutato con attenzione in termini di cosa sia già presente e cosa offre la soluzione proposta oltre alle tecnologie di sandboxing.

 

giovedì 16 ottobre 2014

Seminario V-Valley: Sicurezza informatica nell'ambito della legislazione italiana

 

Mercoledì 22 Ottobre 2014  presso la sede ESPRINET –  Via Energy Park 20 – Vimercate 
 image004
 image002SEMINARIO
“Sicurezza informatica nell’ambito della legislazione italiana. Le soluzioni di RSA.” 

Relatori:

Antonio Ieranò – Security Advisor

Fabrizio Banfi – RSA Distribution Manager Italia

Agenda:
09:30 – 10:00   Registrazione
10:00 – 11:00   Cybercryme, leggi e responsabilità civili e penali–  Ilquadronormativo:leggi,norme edinterpretazioni-  Lo status del Cybercrime: vittime e complici inconsapevoli (ma complici)
11:00 – 11:00   La legge Italiana e le responsabilità dell’IT
12:00 – 12:45   Requisiti minimi per stare tranquilli: Rete, Dati, Utenti
12.45 – 14.00   Le soluzioni di RSA: Authentication Manager, Identity & Access Management……..e DLP
14.00 – 15:00   Pranzo presso l’agriturismo “La Camilla” – Concorezzo
Obiettivo del seminarioL’obiettivo del seminario è quello di chiarire alcuni aspetti che legano il mondo dell’IT alla legislazione Italiana e suggerire possibili soluzioni implementative che alcuni vendor, come RSA,possanooffrire venireincontro aspecificheesigenze. Inparticolareverràposta l’attenzione alleproblematiche digestionedegliutenti, primoveropuntodeboledellestruttureinformatiche. 

Struttura del seminario

Nel corso del seminario si otterremo indicazioni su quali sono i vincoli che leggi e regolamenti impongono a chi implementa o gestisce una struttura Informatica. Verranno presentati esempi concreti di come una soluzione, tecnologia o prodotto può aiutare un amministratore IT a rimanere “Compliant” rispetto ai requisiti di legge ed evitare quindi eventuali conseguenze di carattere civilistico o penale.

 

Presentazione del Seminario
Quando si parla di informatica ed in particolare di sicurezza informatica, non si può prescindere dai vincoli e dalle indicazioni che vengono offerte dal quadro legislativo del paese di riferimento. Esistono, infatti, tutta una serie di normative specifiche sia a livello italiano che a livello europeo che vincolano le strutture IT al rispetto di certi parametri “minimi”.Il peso specifico dell’informatica è al giorno d’oggi così importante che non è possibile, ad esempio, prescindere da conseguenze di carattere civilistico o penale in caso di danni provocati a terzi dalle nostre strutture informatiche o dai processi ad esse inerenti. Lapervasivitàtotale dell’informatica copre tuttigliaspetti dellanostra vita, non solo la partelegata al business, maanchequellapersonale,sociale efamiliare. Chesianosmartphone, tablet, email, social network, blog,domotica oaltro, l’informatica nonpuò nontenerecontodelleconseguenzelegali dell’uso edeventualeabuso diquestistrumenti.Termini come privacy, dati sensibili, email sono entrati nel lessico comune anche del mondo giuridico oltre che di quello civile. Occorre però osservare che non sempre il lessico e la tecnologia informatica si accordano con il mondo giuridico, e viceversa. Incomprensioni e errori sono abbastanza comuni in un campo che è “relativamente” nuovo e i cui sviluppi sono ancora abbastanza imprevedibili.

 

Considerato la natura degli argomenti trattati, la partecipazione gratuita al seminario è limitata ai primi 15 iscritti.
PER PARTECIPARE CLICCHI QUI: ISCRIZIONE EVENTO
CONTATTI:
V-Valley S.r.l. società con socio unico – Sede legale Via Energy Park, 20 – 20871 Vimercate(MB)
Registro Imprese di Monza e Brianza, Codice Fiscale e Partita IVA 07064570968 Rea MB-1872131

 

Seminario V-Valley: Sicurezza informatica nell'ambito della legislazione italiana

 

Mercoledì 22 Ottobre 2014  presso la sede ESPRINET –  Via Energy Park 20 – Vimercate 
 image004
 image002SEMINARIO
“Sicurezza informatica nell’ambito della legislazione italiana. Le soluzioni di RSA.” 

Relatori:

Antonio Ieranò – Security Advisor

Fabrizio Banfi – RSA Distribution Manager Italia

Agenda:
09:30 – 10:00   Registrazione
10:00 – 11:00   Cybercryme, leggi e responsabilità civili e penali–  Ilquadronormativo:leggi,norme edinterpretazioni-  Lo status del Cybercrime: vittime e complici inconsapevoli (ma complici)
11:00 – 11:00   La legge Italiana e le responsabilità dell’IT
12:00 – 12:45   Requisiti minimi per stare tranquilli: Rete, Dati, Utenti
12.45 – 14.00   Le soluzioni di RSA: Authentication Manager, Identity & Access Management……..e DLP
14.00 – 15:00   Pranzo presso l’agriturismo “La Camilla” – Concorezzo
Obiettivo del seminarioL’obiettivo del seminario è quello di chiarire alcuni aspetti che legano il mondo dell’IT alla legislazione Italiana e suggerire possibili soluzioni implementative che alcuni vendor, come RSA,possanooffrire venireincontro aspecificheesigenze. Inparticolareverràposta l’attenzione alleproblematiche digestionedegliutenti, primoveropuntodeboledellestruttureinformatiche. 

Struttura del seminario

Nel corso del seminario si otterremo indicazioni su quali sono i vincoli che leggi e regolamenti impongono a chi implementa o gestisce una struttura Informatica. Verranno presentati esempi concreti di come una soluzione, tecnologia o prodotto può aiutare un amministratore IT a rimanere “Compliant” rispetto ai requisiti di legge ed evitare quindi eventuali conseguenze di carattere civilistico o penale.

 

Presentazione del Seminario
Quando si parla di informatica ed in particolare di sicurezza informatica, non si può prescindere dai vincoli e dalle indicazioni che vengono offerte dal quadro legislativo del paese di riferimento. Esistono, infatti, tutta una serie di normative specifiche sia a livello italiano che a livello europeo che vincolano le strutture IT al rispetto di certi parametri “minimi”.Il peso specifico dell’informatica è al giorno d’oggi così importante che non è possibile, ad esempio, prescindere da conseguenze di carattere civilistico o penale in caso di danni provocati a terzi dalle nostre strutture informatiche o dai processi ad esse inerenti. Lapervasivitàtotale dell’informatica copre tuttigliaspetti dellanostra vita, non solo la partelegata al business, maanchequellapersonale,sociale efamiliare. Chesianosmartphone, tablet, email, social network, blog,domotica oaltro, l’informatica nonpuò nontenerecontodelleconseguenzelegali dell’uso edeventualeabuso diquestistrumenti.Termini come privacy, dati sensibili, email sono entrati nel lessico comune anche del mondo giuridico oltre che di quello civile. Occorre però osservare che non sempre il lessico e la tecnologia informatica si accordano con il mondo giuridico, e viceversa. Incomprensioni e errori sono abbastanza comuni in un campo che è “relativamente” nuovo e i cui sviluppi sono ancora abbastanza imprevedibili.

 

Considerato la natura degli argomenti trattati, la partecipazione gratuita al seminario è limitata ai primi 15 iscritti.
PER PARTECIPARE CLICCHI QUI: ISCRIZIONE EVENTO
CONTATTI:
V-Valley S.r.l. società con socio unico – Sede legale Via Energy Park, 20 – 20871 Vimercate(MB)
Registro Imprese di Monza e Brianza, Codice Fiscale e Partita IVA 07064570968 Rea MB-1872131