View
7
Download
0
Category
Preview:
Citation preview
1
SUPSI-DTI
Sicurezza informatica in ambito aziendaleSilvano MarioniSilvano Marioni, CISSP, CISSP
Lugano, 23 ottobre 2003Lugano, 23 ottobre 2003
SUPSI-DTI
I rischi nel mondo reale
2
SUPSI-DTI
I rischi nel mondo virtuale
? ?
? ?
? ? ? ?
? ? ? ?
? ?
? ?
SUPSI-DTI
Internet e le nuove sfide alla sicurezza
I sistemi sono sempre più complessi e difficili da capire
Assistiamo a una banalizzazione degli aspetti tecnici ed etici
C’è una mancanza di consapevolezza dei rischi di una società virtuale
3
SUPSI-DTI
Sistemi sempre più complessi
SUPSI-DTI
Banalizzazione tecnica e etica
4
SUPSI-DTI
Mancanza di consapevolezzaAttacco Worm Slammer
Obiettivo: server con software MS SQL ServerTempi: diffusione raddoppiata in 8.7 secondi Server colpiti: circa 75’000 (in 10 minuti sono stati colpiti il 90% dei server vulnerabili)Danni stimati: circa 1 miliardo di dollariCorrezzione della vulnerabilità: da 6 mesi, erano disponibilità dei patch software per proteggersi dall’attacco
SUPSI-DTI
Mancanza di consapevolezza
La Stampa – 28 gennaio 2003
5
SUPSI-DTI
Cosa centra tutto questo con le aziende?
SUPSI-DTI
Utilizziamo Internet senza problemi!Non c’è nessun motivo per attaccarciUsiamo gli ultimi prodotti tecnologiciIl firewall ci protegge da InternetI tecnici gestiscono bene la sicurezzaL'importante è che riusciamo a lavorare
6
SUPSI-DTI
Non c’è nessun motivo per attaccarciSiamo sicuri che non sia mai successo?Esiste un monitoraggio degli eventuali attacchi?E’ stata fatta una verifica dell’integrità del sistema?Siamo sicuri che i nostri computer non siano stati trasformati in « zombie »?
SUPSI-DTI
Non c’è nessun motivo per attaccarci
0
200
400
600
800
1000
1200
1400
1600
1800
2002
-04-02
Cou
nt
2002
-04-12
Cou
nt
2002
-04-22 C
ount
2002
-05-02
Cou
nt
2002
-05-12
Cou
nt
2002-0
5-22 C
ount
2002
-06-01 C
ount
2002
-06-11
Cou
nt
2002-0
6-21 C
ount
2002
-07-01 C
ount
2002
-07-11
Cou
nt
2002
-07-21 C
ount
2002-0
7-31 C
ount
2002
-08-10
Cou
nt
2002
-08-20
Cou
nt
2002-0
8-30 C
ount
2002
-09-09 C
ount
2002
-09-19
Cou
nt
2002
-09-29 C
ount
2002-1
0-09 C
ount
2002
-10-19
Cou
nt
2002
-10-29 C
ount
2002-1
1-08 C
ount
2002
-11-18
Cou
nt
2002
-11-28
Cou
nt
2002
-12-08 C
ount
2002
-12-18
Cou
nt
2002
-12-28
Cou
nt
2003
-01-07 C
ount
2003-0
1-17 C
ount
2003
-01-27
Cou
nt
2003
-02-06
Cou
nt
2003
-02-16 C
ount
2003
-02-28
Cou
nt
2003
-03-11
Cou
nt
2003
-03-21 C
ount
2003
-03-31
Cou
nt
2003
-04-10
Cou
nt
2003-0
4-20 C
ount
Esempio di esposizione agli attacchi
7
SUPSI-DTI
Usiamo gli ultimi prodotti tecnologiciVogliamo essere sempre i primi ad utilizzare le ultime tecnologie?I nuovi prodotti soddisfano i nostri requisiti di sicurezza? Istalliamo in modo corretto tutto quello che acquistiamo?
SUPSI-DTI
Usiamo gli ultimi prodotti tecnologici
Fonte: Stefano Klett 2003
Reti wireless a Lugano
8
SUPSI-DTI
Il firewall ci protegge da InternetAbbiamo configurato correttamente le regole del firewall?Siamo certi di avere un solo punto di connessione? Siamo coscienti che un firewall non blocca tutte le comunicazioni potenzialmente a rischio?
– Kazaa usa la porta 80– Attacchi via mail
SUPSI-DTI
Il firewall ci protegge da InternetMicrosoft Corporation Security Center [vbercsnhsceuenw-fyfyvf@bulletin.msdn.com]
this is the latest version of security update, the"October 2003, Cumulative Patch" update which resolvesall known security vulnerabilities affectingMS Internet Explorer, MS Outlook and MS Outlook Expressas well as three newly discovered vulnerabilities.Install now to continue keeping your computer securefrom these vulnerabilities, the most serious of which couldallow an attacker to run code on your computer.This update includes the functionality of all previously released patches.
System requirements: Windows 95/98/Me/2000/NT/XPThis update applies to:- MS Internet Explorer, version 4.01 and later- MS Outlook, version 8.00 and later- MS Outlook Express, version 4.01 and later
Recommendation: Customers should install the patch at the earliest opportunity.How to install: Run attached file. Choose Yes on displayed dialog box.How to use: You don't need to do anything after installing this item.
Esempio di social engineering
9
SUPSI-DTI
I tecnici gestiscono bene la sicurezzaGli utenti sono informati e coscienti degli aspetti di sicurezza?La direzione si sente responsabile della sicurezza aziendale?Abbiamo una visione organizzativa della sicurezza?
SUPSI-DTI
I tecnici gestiscono bene la sicurezza
managermanager segretarie segretarieimpiegati impiegati operai
locarno
azienda
manager segretarie impiegati operai
Autorizzazioni operai
Autorizzazioni lugano Autorizzazioni azienda
lugano
operai
lugano
azienda
Concetto delle autorizzazioni
10
SUPSI-DTI
L'importante è che riusciamo a lavorareSalviamo regolarmente tutti i dati con i backup?Proteggiamo i computer portatili e le agende elettroniche?Come trattiamo le informazioni elettroniche in entrata e in uscita?Siamo conformi alle leggi?
SUPSI-DTI
L'importante è che riusciamo a lavorareArt. 2 – Ordinanza sulla tenuta e la conservazione dei libri di commercio
– 1. La tenuta dei libri di commercio e il rilevamento dei documenti contabili devono essere conformi ai principi commerciali riconosciuti (contabilitàregolare).
– 2. Se i libri di commercio sono tenuti e conservati su supporto elettronico o in modo analogo e i documenti contabili e la corrispondenza d’affari sono rilevati e conservati su supporto elettronico o in modo analogo, occorre rispettare i principi del trattamento regolare dei dati.
11
SUPSI-DTI
L'importante è che riusciamo a lavorareArt. 100quater - Codice Penale - modifica 21 marzo 2003
– Se in un’impresa, nell’esercizio di attivitàcommerciali conformi allo scopo imprenditoriale, ècommesso un crimine o un delitto che, per carente organizzazione interna, non può essere ascritto a una persona fisica determinata, il crimine o il delitto è ascritto all’impresa. In questo caso l’impresa èpunita con la multa fino a cinque milioni di franchi.
SUPSI-DTI
« La sicurezza non concerne la tecnologia ma i rischi e i differenti modi di gestirli. La sicurezza non è un prodotto ma un processo. »
Bruce Schneier
12
SUPSI-DTI
Definire i requisiti di sicurezzaRiservatezza
– Ci sono informazioni riservate in azienda e come sono protette?
Integrità– Quali costi finanziari possono scaturire se le
informazioni aziendali sono danneggiate?Disponibilità
– Quale sarebbe la produttività aziendale se i servizi informatici non fossero disponibili?
SUPSI-DTI
Valutare i rischi
Criticità della risorsa
Livello della minaccia
Grado di
Vulnerabilità
Rischio =
volume del cubo
13
SUPSI-DTI
Adottare una strategia di protezioneClassificare delle risorse Analizzare i rischiDefinire le politiche di sicurezzaProgettare le misure di sicurezzaSensibilizzare e formare gli utenti
SUPSI-DTI
Avviare un progetto di sicurezzaAnalizzare i requisitiProgettare le soluzioniImplementareGestire e monitorare
Gestirel’infrastrutturadi sicurezza e svolgere deireview regolarisu tutta l’architetturadi sicurezzaaziendale
Implementarel’architetturatecnica disicurezza e le procedure digestionenell’ambienteproduttivo
Progettare e svilupparel’architetturatecnica dellasicurezza e valutare I possibiliprodotti e fornitori diservizi
analizzare e identificare i requisiti per l’infrastruttura di sicurezza e valutare I rischi
14
SUPSI-DTI
Il valore strategico della sicurezza
La sicurezza può diventare un vantaggio competitivo per l’azienda
SUPSI-DTI
La SUPSI e la gestione della sicurezzaLa Formazione Continua SUPSI offre i seguenti corsi sul tema della sicurezza:
1.12 – La sicurezza informatica in azienda1.15 – La sicurezza dei sistemi e delle reti1.35 – Diritto informatico1.36 – Introduzione alla revisione informatica
15
SUPSI-DTI
« Il sapiente è colui che sa di non sapere »
Socrate
Recommended