rendere sicure le esperienze dell'individuo nel mondo digitale allargato - pietro scarpino -...

RENDERE SICURE L’ESPERIENZE DELL’INDIVIDUO NEL MONDO DIGITALE ALLARGATO

Perché ci interessa l’individuo?

Copyright © 2012 NTT DATA 3PWC - Global State of Information Security Survey 2015

CONTESTO

117,339 attacchi al giorno

+66% ogni anno dal 2009

Attacchi da parte di Stati+86%

da parte di Competitors+64%

molti non riportati

Grandi Aziende+44% Incidenti

Medie Aziende +66% Incidenti

Budget cybersecurity

-4%

4% del budget IT

Copyright © 2012 NTT DATA 4Rapporto Clusit sulla sicurezza ICT in Italia 2015

CONTESTO

13 miliardi euroTransazioni B2C

2014In Italia

9 miliardi euroDanni complessivi

in Italia

CyberSec: evoluzione dello scenario di rischioEvoluzione della minaccia

Evoluzione delle vulnerabilità…Potenziali Impatti

NTT Global Threat Report

QUADRO CYBER WORDLWIDE

Copyright © 2012 NTT DATA 7

EVOLUZIONE DELLO SCENARIO DI RISCHIO

Direttrici

Cambiamento della tipologia di minaccia

(fattori esterni o «esogeni»)

Nuove vulnerabilità da contrastare (fattori interni o «endogeni»))

Nuovi potenziali impatti


EVOLUZIONE DELLA MINACCIA

ATM and Money-transfers Attacks and Frauds“a highly sophisticated and well-funded crime ring based in Russia, which made headlines over the weekend for successfully defrauding up to $1 billion from banks in Europe, the U.S. and elsewhere, was able to fly under the radar of detection for nearly a year. The ring used a string of seemingly unrelated malware attacks aimed at compromising everything from ATMs and money-transfers to retail point-of-sale systems”

Kaspersky – Dec 2014

Financial companies are not immune to cyber threats«48% of E-Commerce/Online retail business and 41% of Financial Services organizations have reported losing some tipe of finance-related information to cybercriminal activities within the past 12 months»Kaspersky – Global IT Security Risks 2014

– Online Financial Fraud Prevention

Finalità predatorie sempre più aggressive:

Frodi su larga scala perpetrate verso sistemi finanziari



Increase of Systemic risks

“37% of respondents said that the probability of a high-impact event in the global financial system has increased during the past six months84% of respondents identified cyber risk as one of their top five concerns33% ranked cyber threats as the number one systemic risk to the broader economy”

DCTT– Systemic Risk Barometer - Q3 2014

“Cyber terrorism and cyber security, are emerging risks that have the potential to threaten countries’ national security. Critical infrastructure, including nuclear plants and other industrial facilities, is increasingly being targeted by cyber hackers intent on causing damage, disruption and potential loss of life. Nevertheless, terrorist groups such as al-Qaeda are currently seen as lacking the necessary sophistication and capability in this area to successfully disrupt a major facility”.

March&McLennan Companies – Emerging Risks Report – Sept 2014

Elementi ideologici (cyber-terrorismo,

Aktivism, ...)


Collecting personal data: a new form of cybercrime business“… A data broker is exactly what it sounds like: a service online that collects data, assembles the data into readable parts, and sells the data to a buyer. For doxxing, data brokers often collect different pieces of information, like names on social networks, phone numbers associated with a household and addresses to construct a profile of a person. Most of the time they’re accurate. And for $20, more or less, a person can buy the data detailing someone else’s life”

McAfee – Dec 2014


«Big-data mentality» sviluppata dai

gruppi Cybercriminali

Acquisizione sistematica informazioni personali

Perfezionamento tecniche di Cyber-espionage


QUADRO DELLE NUOVE VULNERABILITÀ

RISKS RELATED TO IT CONSUMERIZATION“Consumerization of IT (COIT): Is a current trend in the area of IT where consumer-oriented, privately-used IT, like Social Networking, Cloud Storage, mail, smart phones, tablets, etc. is becoming part of professional IT. Given the positive user experience with these technologies, end users generate pressure to company IT to adopt similar functions/approaches. BYOD can be considered as the device-centric part of COIT

Existing IT and security architectures were designed for a different computing paradigm. COIT introduces a number of changes impacting trust infrastructure. Such changes include:

- Network perimeter changes - Approaches to Management of IT components- Revisions of existing user and service level/support

agreements The impact of these changes on trust infrastructure is big and affects data security, perimeter security, identification and authentication functions

ENISA - Consumerization of IT: Top Risks and Opportunities

MOBILE THREATS

L’individuo punto debole soprattutto

quando opera al di fuori del perimetro aziendale

Danni agli interessi privati

Testa di ponte per superare le difese aziendali


Rogue insiders can cause significant damage“insiders who turn against their company can cause significant damage. Overall, companies require more time to detect and respond to insider attacks, nearly 260 days, compared to 170 days for other attacks, according to data from the Ponemon Institute’s. 2014 Cost of Cybercrime survey. Incidents involving malicious insiders also cost, on average, more than$210,000 to resolve, according to the study.”

Georgia Institute of Technology– EMERGING CYBER THREATS REPORT 2015

“Insiders have become the most-cited culprits of cybercrime – but in many cases, they unwittingly compromise data through loss of mobile devices or targeted phishing schemes. Respondents said incidents caused by current employees increased 10 percent, while those attributed to current and former service providers, consultants and contractors rose 15 percent and 17 percent, respectively. “Many organizations often handle the consequences of insider cybercrime internally instead of involving law enforcement or legal charges. In doing so, they may leave other organizations vulnerable if they hire these employees in the future”

PWC - Global State of Information Security Survey 2015

“The 2013 cyberattack on Target, in which criminals stole the payment card numbers of some 40 million customers and the personal data of roughly 70 million, although the thieves were outsiders, they gained entry to the retail chain’s systems by using the credentials of an insider: one of the company’s refrigeration vendors”“It was widely reported that delegates attending a G20 summit near Saint Petersburg in 2013 were given USB storage devices and mobile phone chargers laden with malware designed to help steal information”

Harvard Business Review – “the danger from within”


Insidersoperanti anche a favore di

organizzazioni esterne


FBI Warns Health Care Sector Is Especially Vulnerable to Cyberattacks“The agency says health care providers have particularly lax security systems. Reportedly, health care data sold on the black market can be even more valuable than credit card numbers because it tends to contain details that can be used to access bank accounts or obtain prescriptions for controlled substances

Reuters, 23 Apr 2014

Il 24 aprile 2014, lo ICS-CERT ha rilasciato una Vulnerability Advisory (ICSA-14-084-01) relativa a prodotti

“This product is used industrywide as a programmable logic controller with inclusion of a multiaxis controller for automated assembly and automated manufacturing. Identified customers are using the product where tolerances are particularly critical to end product operations.”

“This product is used industrywide as a programmable logic controller with inclusion of a multiaxis controller for automated assembly and automated manufacturing. Identified customers are using the product where tolerances are particularly critical to end product operations.”

“Festo has decided not to resolve these vulnerabilities, placing critical infrastructure asset owners using this product at risk … because of compatibility reasons with existing engineering tools”

“Festo has decided not to resolve these vulnerabilities, placing critical infrastructure asset owners using this product at risk … because of compatibility reasons with existing engineering tools”

MA

Una componente vulnerabile di un vendor può pregiudicare la sicurezza di un sistema industriale: il caso FESTO


Attacchi Indiretti

tramite «trusted vendors» o enti collaterali


La “hyperconnectivity”: scenario critico per la sicurezza“The risk of large-scale cyber attacks continues to be considered above average on both dimensions of impact and likelihood This reflects both the growing sophistication of cyber attacks andthe rise of hyperconnectivity, with a growing number of physical objects connected to the Internet and more and more sensitive personal data – including about health and finances– being stored by companies in the cloud. In the United States alone, cyber crime already costs an estimated $100billion each year”

World Economic Forum – “Global Risks 2015”


Nuove tecnologie

IoT vulnerabilities


POTENZIALI IMPATTI

“While cyber espionage appears to be the new normal for stealing secrets from competitors in other nations, recent conflicts indicate that cyber attacks will play a tangible role in future military affairs. In an analysis of malicious Internet traffic based on data collected from security firm FireEye,Kenneth Geers, a researcher and ambassador from the NATO Cooperative Cyber Defense Center of Excellence,found that malware communications sent to servers in Russia, Ukraine, and Israel increased during the months in which each country was engaged in conflict”

Georgia Institute of Technology - EMERGING CYBER THREATS REPORT 2015

CYBER EMERGENCY RESPONSE TEAM FOR ICS-CERT – 2013 REPORT

181 INCIDENTI

-41% Energy Sector

-15% Water Sector

YEAR 2013 ICS VULNERABILITY INCIDENTS BY SECTORS

Scenari di Cyber-warfare:

minacce alle infrastrutture

critiche


Le evidenze dei fatt i : la debolezza del l ’ individuo arr iva a compromettere sistemi crit ici industrial i

• Attacco «Stuxnet» alle centrali nucleari Iraniane - 2010BLOCCO DI UN REATTOREVarie ipotesi su come sia stato possibile portare il malware all’interno dei sistemi di controllo, non essendo questi connessi ad Internet

• Attacco via Infected USB drive istallato incautamente da un dipendente• Attacco «indiretto» ad un «trusted user» e successiva propagazione ai sistemi

In entrambi gli scenari, il «cavallo di Troia» è un terzo soggetto preso di mira poichè più vulnerabile rispetto al target principale

• Attacco alle acciaierie ThyssenKrupp - 2014SPEGNIMENTO DI UN ALTOFORNOOrigine dell’attacco: una mail di «spear phishing». Costruita ad hoc per ingannare il destinatario, riporta informazioni personali per suffragarne l’autenticità. Informazioni probabilmente diffuse dalla stessa vittima sui social network !

• Attacco a SONY – 2014FURTO DI DATI – BLOCCO COMPLETO SISTEMI ITAnche stavolta l’origine dell’attacco è una mail di «spear phishing»

POTENZIALI IMPATTI

Cyber go to Physical


EVIDENZE DAL GLOBAL THREAT REPORT NTT

Mercificazione dei Servizi di Cyber-Crime

Attackers avanzati

Massimizzano tecniche «low and

slow»

Lateral Trends

Il Perimetro è

L’Utente Finale

The End-user and their devices continue to post a significant ang growing risk to the enterprise. 17 on 20 top vulnerabilities identified in 2014 are related to end-users systems

the massive investments in onsite corporate security infrastructure is failing to protect end user systems

Detection and remediation are of course critical to protecting the network, but it is safe to assume that the data that was available to the user was likely exposed at the very least.

NTT group has seen some shift away from direct attacks against the infrastructure of those organizations that can be characterized as alternate attack paths. As a result, attacks against «gateway» industries have increased

Malicious attackers treat security as a business

Less mature attackers can leverage the skills of the more advanced crimeware developers

Targeted attacks tend to produce a small fraction of the alerts generated by other techniques, and their persistence often allows succesful attackers a more pervasive access


TOP TEN - NAZIONI

56%

9%

9%

3%

2%

2%2%

2%2%

13%

Top 10 Source CountryUS CN AU GB FR DE RU NL IN Rest

Top ten countries acting as threat sources. In 2014, the United States grew by 7 percent as a source of global attacks.The volume and quality of US-based web services such as Amazon, Go Daddy and other large ISPs has led many cybercriminals to utilize these resources in support of their aberrant businesses.


ATTACCHI PER SETTORE

Another change in the security world was a lateral spread towards non-traditional sectors for exploitation. Attackers traditionally engaged high-value sectors such as finance and retail as those sectors provided the highest ROI. In 2014, however, there was a shift in the top five sectors as the priority targets have shifted. In the data as it was reviewed, NTT Group analysts believe that a strategic inflection point may have occurred where attackers utilizing exploit kits are focusing on potentially valuable data, such as supply chain information, in sectors with less stringent security requirements. And, as seen with some of the larger data breaches in 2014, these less secure sectors can also provide access to larger, more secure targets that may also be partners


CYBERCRIME AS A SERVICEA primary driver of the widespread use of DDoS is the ubiquity and degree of commoditization throughout the industry. In the past, a crimeware developer had to create malware, deploy it, build up a sophisticated botnet and then use that network to drive DDoS attacks. This model still exists, but there are new methods on the crimeware market.

Working much in the manner of a Silicon Valley “start-up,” crimeware developers are now developing DoS technology as their core business with no intent of launching their own attacks. They instead exist solely to resell their “DoS as a service” to other organizations that can then monetize that capability.

For the criminal or hacktivist, it’s a win-win situation. The DoS-as-a-Service provides a steady revenue stream for its operators, focusing on one area with a quasi-legitimate service, while criminal syndicates no longer need to operate a service they only may use occasionally. Much like other-point of-use services, both sides win through commoditization and sharing of capabilities.

DDOS Attacks per Month 2014, by industry sector

Sites providing web “stressor” services :can be used to launch attacks on a subscription basis starting at $2.99 USD a month for 100 seconds of usage


IL PERIMETRO È L’UTENTE FINALE

Il perimetro è cambiato. L’ IT management non può più contare su un perimetro di sicurezza della rete ben definito che protegge l’organizzazione aziendale da attacchi esterni.I dati sono distribuiti tra gli utenti e gli utenti sono presenti in ambienti di lavoro altamenti dispersivi, in mobilità che semplicemente non si prestano all’attuazione centralizzata di controlli coerenti.Questo è soprattutto vero quando l’attaccante è in casa e può agire dall’interno sfruttando “trusted zone and device”

Rappresentazione di tutti gli attacchi basati Internet based nel 2014. Il grafico mostra picchi di attacco durante particolari campagne, e per client specifici

Il grafico mostra che gli attacchi continuano a seguire questo modello per tutto l'anno. La sicurezza all'interno delle organizzazioni ha costantemente rilevato un numero di attacchi notevolmente

inferiore nei fine settimana e nei giorni festivi. Potrebbe significare che durante il weekend e nei festivi, gli attackers si fermino.


Infections from Command and control traffic (C2) per weekday shows a clear jump of infected machines on Monday (day 2) when employees return to the office

Il gruppo CyberSecurity di NTT Group pensa che gli attacchi possano essere attribuiti ai device degli utenti finali.

I I dispositivi degli end user navigano siti infetti, subiscono attacchi di phishing diretti, di tipo water hole o attacchi diretti durante il weekend.

La realtà è che gli utenti sono ancora sotto attacco nei weekends e durante le vacanze; Non sono in azienda ed i sistemi di sicurezza che hanno a casa semplicemente non rilevano e non prevengono gli attacchi

Dallo studio emerge un aumento del 75% delle macchine infette il giorno di ritorno al lavoro dopo festività o weekend, mettendo in risalto come l’end user possa essere un concreto veicolo di infezione per l’infrastruttura aziendale


L’individuo punto deboleDanni agli interessi privati

Testa di ponte per superare le difese aziendale


Top 20 attacked vulnerabilities, 2014. Note, 17 are focused on end user systems.


Durante il 2014, 17 delle top 20 vulnerabilità sono state introdotte dai sistemi degli utenti finali. Sulla base di un'analisi dettagliata degli attacchi, NTT ha scoperto che gli utenti finali sono attaccati attivamente su base regolare e costante. Certamente, gli attackers non sono in genere specificamente rivolti agli end users al fine di cercare di entrare nei loro sistemi. I sistemi degli end users sono costantemente esposti alle vulnerabilità Java, Adobe e Flash con attacchi drive-by e water fall.

L'impatto finale è che l'utente finale diventa responsabile, perché i modelli di attacco tipici fanno dei loro computer un gateway per gli attaccanti per entrare dentro l'organizzazione


Cambiamento nella tipologia della minacciaFinalità predatorie sempre più aggressive (evidenze:volumi delle frodi, target di attacco su servizi critici)

Elementi ideologici (Cyber terrorismo, Acktivism – vedi «sfida» di Anonymous Vs. ISIS)

Scenari di CyberWarfare che coinvolgono le infrastrutture critiche: Cyber e Phisical domains non più distinguibili

Cambiamento nella tipologia delle vulnerabilitàSpear Phishing

Insiders

attacchi indiretti es. tramite vendors considerati «trusted»

«Big-data mentality» sviluppata dal cybercrime: consapevolezza del valore strategico ed economico dell’informazione

SINTESI DEL QUADRO EVOLUTIVO DEL RISCHIO


Nuova sfida

Fattori esterni non completamente sotto controllo dalle aziende Cloud

Circolazione dei dati fuori dai perimetri consueti

"Polverizzazione" delle superfici di attaccoSocial

IT Consumerization

Nuove tecnologie/Nuovi paradigmi ITMobility

IoT

LO SCENARIO DELLE VULNERABILITÀ: ELEMENTI CARATTERIZZANTI


Il rischio non è quantificabile (almeno non secondo i criteri sinora considerati)

Il rischio non è gestibile autonomamente da ogni singola azienda

Occorre coinvolgere nella strategia di contenimento del rischio perimetri sinora considerati al di fuori dell’ambito di protezione aziendale (sfera privata dell’end-user, dimensioni Open)

Pertanto

occorre un cambio di paradigma e la rielaborazione delle strategie di risk management, fondato su nuovi elementi:

Collaboration (in particolare cross-enterprise e soprattutto Pubblico-privato)

Strategie di governance del rischio globale e processi di Security inter-aziendali

Partecipazione alle strategie di Cyber Intelligence intergovernative (info-sharing)

Protezione degli oggetti atomici, non dei perimetri

Il singolo dato/documento (Driver: Dematerializzazione)

Il singolo device (Driver: Mobility)

Il singolo utente (driver: Social, IoT, New Human/Digital Experiences – SFERA COMPORTAMENTALE)

Paradigma del «nuovo umanesimo»: il mondo fisico digitalizzato, costruito intorno all’individuo

IL QUADRO CHE NE DERIVA

La protezione dell’End Users


PROTEGGERE GLI INDIVIDUI È

ESSENZIALE

LE VULNERABILITÀ DELL’INDIVIDO POSSONO ESSERE SFRUTTATE SIA PER PERPETRARE FRODI CONTRO DI LUI E VIOLARE I SUOI DIRITTI, SIA PER

PENETRARE LE DIFESE NEI CONTESTI IN CUI EGLI HA ACCESSO


L’INDIVIDUORAPPRESENTA IL NUOVO

TARGET PRIMARIO DELLE STRATEGIE CYBERCRIMINALI

SPEAR PHISHING

DOXXING

RANSOMWARE

ATTACCHI A PICCOLE STRUTTURE CHE CUSTODISCONO DATI PERSONALI


RAPPRESENTA LA VULNERABILITÀ

ENDEMICA DELL’ECOSISTEMA

DIGITALE

COMPORTAMENTI DESTRUTTURATI

SOPRAFFATTI DALLA COMPLESSITÀ TECNOLOGICA

SPAZI SENZA CONFINI

INFORMAZIONI PERSONALI DISPONIBILI DAPPERTUTTO


QUALE INDIVIDUO

Soggetto finale autonomo che fruisce dei servizi offerti su Internet per mezzo di strumenti tecnologici indipendenti, gestiti individualmente ed utilizzati per fini conformi alle proprie personali necessità ed in accordo alle proprie regole etiche


PERCHÈ È IMPORTANTE FOCALIZZARSI SULLA PROTEZIONE DELL’INDIVIDUO

I SUOI DIRITTI CI STANNO A CUORE

• Perchè tutelare i suoi diritti è fondamentale

• Perchè rappresenta la vulnerabilità endemica dell’ecosistema digitale

• Perchè non è nella condizione di strutturare autonomamente una difesa efficace contro le minacce

• ... Perchè di ciò si sono accorti i cybercriminali, che congegnano attacchi a sistemi complessi partendo dalle sue vulnerabilità


L’INDIVIDUO SU INTERNET: I SUOI DIRITTITutelare i suoi diritti è fondamentale

• Rispetto della persona• Privacy• Diritto all’ «oblio»• Limite etico• Libertà di espressione• Partecipazione democratica• Garanzia di legalità• Diritti ... e doveri!

Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico» - Presidenza del Consiglio, Dicembre 2013


PRIVACY ?

Google Maps (movimenti)Google Fit (attività fisiche)Google Chrome (ricerche sul WEB)Google Keep (ciò che pensiamo)Google Docs (ciò che scriviamo)Google My Tracks (la strada che percorriamo)Google + (i nostri amici ... ma questo sa farlo meglio Facebook !)


PRIVACY ?

https://maps.google.com/locationhistory


PRIVACY ?

https://fit.google.com


45% «Posta selfie» provocanti sui Social networks

19% Fornisce il suo numero di cellulare

25% Rivela la scuola che frequenta

12% Ha avviato rapporti on-line con sconosciuti

5% Ha accettato proposte di sesso on-line

Chatta fino ad orari che interferiscono con la fascia del sonno; circa il 40% fino a notte fonda; Il 12.5% ricomincia la mattina presto

57%

13% Ha praticato giochi d’azzardo vietati ai minori

* survey condotta nel 2014 dalla Società Italiana di Pediatria su un campione rappresentativo di 2107 studenti (1073 maschi - 1034 femmine) della terza media.

DIRITTI VIOLATI SOPRATTUTTO NELLE FASCE PIÙ DEBOLI*Tutelare i suoi diritti è fondamentale


L’INDIVIDUO SU INTERNET: È VULNERABILE PERCHÈ ASSUME COMPORTAMENTI A RISCHIORappresenta la vulnerabilità endemica dell’ecosistema digitale

Il comportamento degli end-users nel Cyberspazio, soprattutto Mobile, diventa sempre più destrutturato

Le vulnerabi l i tà “comportamental i" rappresentano spesso il punto di innesto di attacchi cyber-criminali


ESEMPI DI VULNERABILITÀ COMPORTAMENTALIRappresenta la vulnerabilità endemica dell’ecosistema digitale


E’ VULNERABILE PER VIA DELLA COMPLESSITÀ TECNOLOGICA...Non è nella condizione di strutturare autonomamente una difesa efficace contro le minacce

Anche gli utenti più sensibi l i corrono il rischio di compromissione dei device

Elevata complessità e frequenza delle azioni necessarie per mantenere sicuro un end-point.

Si è inconsapevoli, o semplicemente sopraffatti dalle azioni necessarie per mantenere sicure tutte le applicazioni istallate


... CHE AUMENTA CON L’EVOLUZIONE DELLE ESPERIENZE DIGITALINon è nella condizione di strutturare autonomamente una difesa efficace contro le minacce

KEY

SECU

RITY

DO

MA

INS

KEY

SECU

RITY

DO

MA

INS

PC & LAPTOP MOBILE WEARABLE M2M / IoT

• PKI• VPN• I&AM• ...

• Secure APP Management

• Mobile Security Check

• Mobile ID&SSO• Secure

Element (TEE)

• Privacy Protection

• Biometric / Hand-free auth

• Control & Big Data

• E-SIM• Host Card

emulation• Remote Control• Personal

Profiling• Physical/Virtual

Integration

IT WorksNON-IT Works

(Change life/work style)


L’INDIVIDUO AL CENTRO DELLE STRATEGIE DI ATTACCO CYBERCRIMINALII Cybercriminali fanno leva sulle vulnerabilità dell’individio

• Doxxing– Acquisizione di informazioni personali volte a conoscere

nel dettaglio gli aspetti più riservati della vita dell’individuo. Finalità: ricatto / furto identità / spare phishing

• Ramsonware– Malware con obiettivo i singoli utenti o le piccole

imprese, che cifra i dati e blocca il sistema con successiva pretesa di un pagamento per ottenerne lo sblocco

• Attacchi mirati a piccole strutture che custodiscono dati personali critici (es. strutture sanitarie). Obiettivo: furto dei dati per arricchire i «dossier» personali

I «Segni dei tempi»:

Conoscendo l ’ individuo, se ne sfruttano le debolezze, anche per violare le difese dei contesti

in cui ha accesso


L’INDIVIDUO AL CENTRO DELLE STRATEGIE DI ATTACCO CYBERCRIMINALII Cybercriminali fanno leva sulle vulnerabilità dell’individio

• Attacco «Stuxnet» alle centrali nucleari Iraniane - 2010BLOCCO DI UN REATTOREVarie ipotesi su come sia stato possibile portare il malware all’interno dei sistemi di controllo, non essendo questi connessi ad Internet

• Attacco via Infected USB drive istallato incautamente da un dipendente• Attacco «indiretto» ad un «trusted user» e successiva propagazione ai sistemi

In entrambi gli scenari, il «cavallo di Troia» è un terzo soggetto preso di mira poichè più vulnerabile rispetto al target principale

• Attacco alle acciaierie ThyssenKrupp - 2014SPEGNIMENTO DI UN ALTOFORNOOrigine dell’attacco: una mail di «spear phishing». Costruita ad hoc per ingannare il destinatario, riporta informazioni personali per suffragarne l’autenticità. Informazioni probabilmente diffuse dalla stessa vittima sui social network !

• Attacco a SONY – 2014FURTO DI DATI – BLOCCO COMPLETO SISTEMI ITAnche stavolta l’origine dell’attacco è una mail di «spear phishing»

Le evidenze dei fatti: la debolezza dell’individuo arriva a compromettere sistemi critici industriali


LA STRATEGIA PER L’END-USER

• Si rivolge anzitutto al bisogno dell’individuo

• Considera le sue varie esperienze digitali, connotate ciascuna da un’aspettativa e da un profilo di rischio che ne determinano i requisiti di sicurezza

• Costruisce una risposta ai requisiti fondata sul concetto di «livello di fiducia» (trustworthiness) che è lecito riporre in tutti i fattori che caratterizzano quella particolare esperienza digitale

• Ciò è trasferito all’utente sotto forma di «supporto personale» nella gestione delle interazioni con le varie componenti dello spazio digitale coinvolte, mediante:

– Notifica della misura del livello di fiducia da assegnare a ciascun elemento

– Attivazione del contesto tecnico/relazionale più appropriato

– Suggerimenti sul comportamento più idoneo da adottare

– Interazione con «trusted Third parties» che garantiscono l’affidabilità dell’esperienza


I FATTORI CHE CONNOTANO L’ESPERIENZA DIGITALE: CIASCUNO CON DEI RISCHI SPECIFICI

Le App ed i servizi gestit i : App «Malevole» o Fake possono essere veicolo di diffusione di Malware , furto d’ identità , Phishing, reclutamento in BOTnets

I l contesto e l ’ambiente: In luoghi pubblici possono essere «spiate» informazioni, ci si può connettere a reti poco sicure , si può interagire con oggett i intel l igenti compromessi , si possono portare all’esterno informazioni crit iche aziendal i , ecc.Le relazioni ed i contatti : Si rischia di includere nella propria rete di contatti degli account «fake» mirati alla raccolta di informazioni personali dai Social, spionaggio , ecc

I comportamenti, l ’att itudine al r ischio: Social Enginering, perdita/furto del device, frodi, abuso di informazioni r iservate, contenuti impropri


GUARDA ANZITUTTO AL BISOGNO DELL’INDIVIDUO

CONSIDERA LE SUE VARIE ESPERIENZE DIGITALI NELLA LORO SPECIFICITÀ

COSTRUISCE UNA RISPOSTA ALLE ASPETTATIVE FONDATA SUL CONCETTO DI «LIVELLO DI

FIDUCIA...» :

– NEL CONTESTO IN CUI SI MUOVE

– NELLA SUA RETE DI RELAZIONI

– NELLE COMPONENTI TECNOLOGICHE CHE USA

– NEI SOGGETTI CON CUI INTERAGISCE

UNA STRATEGIA END-USER-CENTRICA


Dove ci si trovaA cosa si è connessiCon cosa si interagisceChi c’è nelle vicinanze

Cosa sonoA chi appartengonoQuale scopo hannoChi li fornisceCome sono configurati

Chi èCosa vuol fareCos’è autorizzato a fareLe sue abitudiniLa sua rete di contattiLa Security Awareness

OCCORRE AGIRE SU TUTTI I FATTORI


FIDARSI DEL CONTESTO IN CUI CI SI TROVA

• Analisi della tipologia di traffico• Reliability della connessione utilizzata• Tipologia di ambiente circostante (es.

Luogo pubblico)• Connessioni improprie (es. Rogue

Devices, Unauthorized Bluetooth, other protocols)

• Visibilità di altri devices, interazioni con oggetti, Sensori, Wearable devices, ...

Location-aware / Connection-aware Pol icy enforcement



• Sanity check del device• Security Check App istallate• Reputation del Service Provider per il

servizio richiesto• Attivazione ambiente di esecuzione sicuro• Storage sicuro dei dati (privati e di

business)• Secure Private Communication• Segregazione degli ambienti/supporto

BYOD

Service-aware / Experience-aware Pol icy enforcement



• Scoring dell’attitudine al rischio• Profilo comportamentale sui Social• Affidabilità del network dei contatti• Verifica dell’identità/affidabilità di una

controparte coinvolta in una transazione con coinvolgimento di una «trusted Third Party»

• Attivazione di techniche di autenticazione evolute (Passwordless / Hands-free / Biometric)

• Verifica dinamica dei Privilegi

Person-aware / Relations-aware / Behavior-aware Pol icy enforcement


IL DISTRETTO TECNOLOGICO SULLA CYBER SECURITY

Realizzato a Cosenza, indirizza temi di ricerca industriale e sviluppo precompetitivo

E’ un’iniziativa congiunta fra partner industriali ed istituzioni accademiche, finanziata dal Governo Italiano mediante fondi erogati dal Ministero dell’Università e Ricerca (MIUR)

Si configura come la più ampia iniziativa di ricerca sulla tematica in Europa in termini di Investimenti (più di 28 M€) e fornisce un approccio olistico alle tematiche della Cybersecurity, approcciate lungo tre direttive progettuali: Protezione del l ’End-User , Protezione dei Digital Systems , con particolare riguardo al Cloud ed i sistemi di pagamento, e Protezione del le Informazioni e dei Documenti , focalizzando i processi di dematerializzazione

COSENZA


LA STRATEGIA SI SOSTANZIA IN UN FRAMEWORK INTEGRATO PER LA PROTEZIONE DELL’END-USER

ELISA: End-User’s Light Security Assistant


INTERAZIONE DIRETTA CON L’END-USER NELLA FORMA DI "SECURITY

ASSISTANT".

PER OGNI SPECIFICA ESPERIENZA DIGITALE, DYMORA ANALIZZA::

•“LEVEL OF TRUST” DEL CONTESTO TECNOLOGICO

•“LEVEL OF TRUST” DELL’AMBIENTE IN CUI SI OPERA

•“LEVEL OF TRUST” DEL CONTESTO RELAZIONALE DELL’UTENTE

•ELEMENTI DI RISCHIO DELLA SFERA COMPORTAMENTALE

INOLTRE ELISA ATTIVA LE CONTROMISURE PIÙ APPROPRIATE IN BASE AL

PROFILIO DI RISCHIO COMPLESSIVO DETERMINATO DINAMICAMENTE

• AGGIORNAMENTO DELLE CONFIGURAZIONI DI SICUREZZA DEI DEVICES

• GESTIONE DINAMICA DEI PROFILI UTENTE E DELLE RISPETTIVE POLICY

• “TERZA PARTE FIDATA" PER LA VALIDAZIONE REAL-TIME

DELL’AFFIDABILITÀ E DELL’IDENTITÀ DI UNA CONTROPARTE COINVOLTA

IN UNA TRANSAZIONE ON-LINE

• ANALISI DEI FENOMENI, GESTIONE DELLE INTERAZIONI CON I VARI

STAKEHOLDERS E CON L’ECOSISTEMA DELLA CYBERSECURITY,,

GOVERNANCE COMPLESSIVA DEL SISTEMA

ELISA OPERA SU DUE LIVELLI FUNZIONALI


LA SOLUZIONE SPECIFICA PER L’UTENZA MOBILE: LA PIATTAFORMA DYMORA


RISPONDE ALLE ESIGENZE DI SICUREZZA DEL MONDO CONSUMER – PARENTAL CONTROL


ESIGENZE DEL MONDO CONSUMER - GARANZIA DI PRIVACY E SICUREZZA NELL’USO DEL PROPRIO SMARTPHONE

Area Privata

Set di App sicure rese accessibi l i in un’area privata su Smartphone e Tablet e gestite dal Cloud

• Private Browser• Private Mail• Private File Viewer,• Private Camera• Private Contact List• Data Backup • Private SMS• ...

Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 5757

Multi-user, blocco, Selective Wipe,

Single Sign On, impostazioni su WiFi,

e-mail,

Monitoraggio App store, controllo

distribuzione, aggiornamenti,

whitelist&blacklist

Accesso sicuro e condivisione

documenti, sincronizzazione & modifica, notifiche

push

Protezione aggiuntiva per App aziendali,

browser, network e specifiche risorse

SOLUZIONE COMPLETA E

CUSTOMER ORIENTED

USERPROTECTION

APPLICATION PROTECTION

DATA PROTECTIO

N

SYSTEM PROTECTION

DYMORA È ANCHE ENTERPRISE MOBILITY MANAGEMENT


Gestione dei device mobi l i con strumenti di configurazione e implementazione di Pol icy aziendal i specif iche

Configurazione ed orchestrazione delle policy di sicurezza sui device.Crittografia, configurazioni WiFi, gestione in caso di furto, collegamento ad altri hardware, lista applicazioni abilitale, ecc.

Orchestrazio-ne policy di s icurezza

Gestione dei device da remoto (tramite la console DyMoRA): esecuzione di Selective Remote Wipe di dati/APP/configurazioni; blocco da remoto, mapping del device, ecc

Select ive Wipe

Ciascun device può essere utilizzato da più utenti; le policy di sicurezza e i privilegi per ogni profilo sono regolati centralmente, e ciascun utente può accedere ad una «area privata»

Multi-User Device

La componente MIDA fornisce un solido servizio di autenticazione per gli utenti e regola l’accesso alle informazioni, che viaggiano tramite canale di comunicazione specifico e controllato

Mobile Identity

Assurance (MIDA)

DYMORA PER LA GESTIONE DEI DEVICES AZIENDALI E PER LE FUNZIONALITÀ DI IDENTITY PROVIDER


Protezione completa dai r ischi associati al le APP, tramite control lo del la distr ibuzione e del l ’ut i l izzo; report periodici e gestione del le «APP

fake»

• Controllo dell’approvvigio-namento dai Market Place con identificazione e segnalazione di APP fake e black market

• Calcolo del Risk Scoring in base a: contesto di utilizzo, tipologia di device e APP, comportamento dell’utente

Monitoraggio dei mobile App market

• Reporting sulle performance di utilizzo delle APP (user, tasso di utilizzo, velocità media, nr di segnalazioni, ecc..)

• Monitoraggio per la prevenzione da frodi degli utenti

Report di performanc

e

Ambiente controllato, per l’esecuzione sicura di APP aziendali e relativi dati, in funzione di policy predefinite:

•APP wrapping: strato protettivo aggiuntivo per le APP aziendali

•Secure Development Kit: ambiente di sviluppo protetto per l’implementazione di APP in-house e l’esecuzione in ambiente separato

APP Wrapping &

SDK

Utilizzo sicuro delle APP anche Off-Line, tramite autenticazione locale e attivazione automatica della policy di contesto

Local APP

DYMORA PER LA GESTIONE DEI RISCHI SULLE APPLICAZIONI AZIENDALI


Accesso sicuro e aggiornato ai contenuti , tramite le funzionalità di Secure Container, Content Push, e Content Access

• Contenitore virtuale per la gestione sicura delle App aziendali

• Le APP più comuni sono: Browser, Mail, File Server, Camera, Contact List, Chat, ecc.

• I contenuti gestiti provengono da allegati

delle Email, dal repository in back-end,

dall’amministratore o altro personale

Secure Container

• Rilascio di documenti in modalità Push

• Controllo del versioning dei documenti

• Notifica agli utenti i nuovi file

• Segnalazione delle scadenze

Content Push

• Connessione ad un repositòry di back-end per accedere ai content dai propri device mobili

• Supporto per specifiche repository di Back-end (es. sharepoint)

• Regolazione dei download dei documenti in caso di roaming

• Audit sui log degli accessi/ downdoads dei file

Content Access

DYMORA PER LA GESTIONE DEI CONTENUTI AZIENDALI RESI DISPONIBILI SU MOBILE


Contenitore virtuale per la gestione sicura del le App aziendal i

Secure Container

Disponibi l i due t ipologie di development kit :• Secure Container : Librerie per lo sviluppo sicuro di

HTML5 App: − App segregation & Data encryption− Controlled acces to information on a user basis− Anti-tampering & Anti reverse-engineering− Set of HTML5 API for in-house development• Secure Storage : librerie per lo sviluppo di APP

standalone: Security keys management for APP data encryption

− Files/folder encryption− Digital signature available for beeing used within

the App− …

Mobile Identity Management con servizio On Premise o Cloud e autenticazione Single Sign-on

Gestione On Premise o Cloud del le pol icy e privi legi di accesso alle risorse

DYMORA PER LO SVILUPPO DI APP AZIENDALI SICURE


Le Pol icy di sicurezza sono context-based e si att ivano automaticamente in base a luogo, data, ora, device e utente

connesso

Definizione e att ivazione di regole di pol icy Globali, per Device, e per Utente

Quando si verificano le condizioni impostate avviene uno swap automatico sul dispositivo, dallo scenario Business (BYOD/COPE) al Privato, con attivazione delle relative APP e specifiche funzioni del Device (es. Camera, bluetooth, WiFi, ecc.)

Administrator

User

DYMORA PER LA GESTIONE CONTEXT-BASED DELLE POLICY DI SICUREZZA SUL MOBILE


DYMORA PER GESTIRE GLI UTENTI MOBILE


MIDA: LA SOLUZIONE PER LO SCENARIO SPID (SISTEMA PUBBLICO IDENTITÀ DIGITALI)

MIDA App

Secure ContainerSecure Container

Secure Storage

Secure Storage

Secure Storage Controller

Login/Logout

Selective wipe

Legenda

Connectors

Data Base

Internal Modules

Secure Storage modules

External

Authentication process

CRUD

Internal functionsInternal functions

MIDA App

CRYPTO ENGINES

• Crypto SIM

• External Crypto Tokens

• Host Card Emulator (HCE)

Supported external crypto

modules for Private Key generation &

storage

MIDA - SPID LEVEL 3

COMPLIANT

rendere sicure le esperienze dell'individuo nel mondo digitale allargato - pietro scarpino -...

Software