La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Frodi aziendali e sicurezza IT-1 © Claudio Telmon - 2001 Frodi aziendali e sicurezza IT Giornata di studio AIEA Roma, 21 novembre 2001 Claudio Telmon

Presentazioni simili


Presentazione sul tema: "Frodi aziendali e sicurezza IT-1 © Claudio Telmon - 2001 Frodi aziendali e sicurezza IT Giornata di studio AIEA Roma, 21 novembre 2001 Claudio Telmon"— Transcript della presentazione:

1 Frodi aziendali e sicurezza IT-1 © Claudio Telmon Frodi aziendali e sicurezza IT Giornata di studio AIEA Roma, 21 novembre 2001 Claudio Telmon

2 Frodi aziendali e sicurezza IT-2 © Claudio Telmon Gli obbiettivi della sicurezza Riservatezza Riservatezza Integrità Integrità Disponibilità Disponibilità Autenticazione e log? Autenticazione e log? Cosa significa proteggere il sistema informativo? Cosa significa proteggere il sistema informativo?

3 Frodi aziendali e sicurezza IT-3 © Claudio Telmon Principi fondamentali Valutazione del rischio Valutazione del rischio Fiducia (utenti, sistemisti…) Fiducia (utenti, sistemisti…) Compartimentazione Compartimentazione Ridondanza e difesa in profondità Ridondanza e difesa in profondità

4 Frodi aziendali e sicurezza IT-4 © Claudio Telmon Cosa è cambiato nei sistemi? Il confine fra il proprio sistema informativo e lesterno è sempre più sfumato Il confine fra il proprio sistema informativo e lesterno è sempre più sfumato I sistemi sono in perenne beta test I sistemi sono in perenne beta test Le tecnologie, i protocolli e i servizi anche Le tecnologie, i protocolli e i servizi anche

5 Frodi aziendali e sicurezza IT-5 © Claudio Telmon Cosa è cambiato negli attacchi? Tempi brevi, sia fra la scoperta della vulnerabilità e lattacco, sia nella realizzazione dellattacco Tempi brevi, sia fra la scoperta della vulnerabilità e lattacco, sia nella realizzazione dellattacco Anonimato Anonimato Irraggiungibilità dellattaccante Irraggiungibilità dellattaccante Metodicità delle ricerche dei bersagli Metodicità delle ricerche dei bersagli

6 Frodi aziendali e sicurezza IT-6 © Claudio Telmon Strumenti automatici La competenza necessaria per lattacco è racchiusa nello strumento La competenza necessaria per lattacco è racchiusa nello strumento Il comportamento delle singole persone è più critico Il comportamento delle singole persone è più critico Persone senza competenze tecniche possono diventare pericolose Persone senza competenze tecniche possono diventare pericolose Possono cambiare le tipologie di attaccanti Possono cambiare le tipologie di attaccanti

7 Frodi aziendali e sicurezza IT-7 © Claudio Telmon Strumenti per la protezione dei sistemi Firewall: controllano il perimetro di una rete selezionando il traffico ammesso Firewall: controllano il perimetro di una rete selezionando il traffico ammesso IDS: esaminano il traffico o le attività e riconoscono quelle illegittime IDS: esaminano il traffico o le attività e riconoscono quelle illegittime VPN: cifrano e autenticano il traffico fra due sottoreti VPN: cifrano e autenticano il traffico fra due sottoreti Strumenti per lautenticazione: certificati, smart card, biometrici Strumenti per lautenticazione: certificati, smart card, biometrici ACL, log, integrity check… ACL, log, integrity check…

8 Frodi aziendali e sicurezza IT-8 © Claudio Telmon La sicurezza non è un prodotto Assesmentdellesistente Analisi/progettazione Realizzazione Gestione/manutenzione Verifica

9 Frodi aziendali e sicurezza IT-9 © Claudio Telmon Limiti dei prodotti I prodotti non sono tutti uguali, ma è difficile capire in cosa differiscono I prodotti non sono tutti uguali, ma è difficile capire in cosa differiscono I report dei prodotti non sono mai esaustivi, e non danno risposte si/no: vanno interpretati I report dei prodotti non sono mai esaustivi, e non danno risposte si/no: vanno interpretati Per quanto trasparenti, interferiscono sempre con le altre attività; la configurazione è spesso un compromesso Per quanto trasparenti, interferiscono sempre con le altre attività; la configurazione è spesso un compromesso Alla fine ci sono sempre dei canali fidati; chi è cosa cè allaltra estremità? Alla fine ci sono sempre dei canali fidati; chi è cosa cè allaltra estremità?

10 Frodi aziendali e sicurezza IT-10 © Claudio Telmon Cosa un firewall non può fare Senza una politica, un firewall serve a poco Senza una politica, un firewall serve a poco I firewall servono a poco contro insider che possono comunicare con Internet I firewall servono a poco contro insider che possono comunicare con Internet Il content filtering è spesso più una buzzword che una realtà Il content filtering è spesso più una buzzword che una realtà Un firewall commerciale non può sapere cosa va la vostra applicazione basata su Web Un firewall commerciale non può sapere cosa va la vostra applicazione basata su Web

11 Frodi aziendali e sicurezza IT-11 © Claudio Telmon Cosa un IDS non può fare Gli IDS di solito se la cavano male con gli attacchi nuovi, a causa dellequilibrio fra falsi positivi e falsi negativi Gli IDS di solito se la cavano male con gli attacchi nuovi, a causa dellequilibrio fra falsi positivi e falsi negativi Gli IDS se la cavano male con gli slow scan e attacchi Gli IDS se la cavano male con gli slow scan e attacchi Gli IDS risentono dei picchi di traffico e della frammentazione Gli IDS risentono dei picchi di traffico e della frammentazione Gli IDS non riconoscono il traffico illegittimo che sembra legittimo Gli IDS non riconoscono il traffico illegittimo che sembra legittimo Un IDS commerciale non può prevedere il traffico della vostra applicazione su Web Un IDS commerciale non può prevedere il traffico della vostra applicazione su Web

12 Frodi aziendali e sicurezza IT-12 © Claudio Telmon Cosa una VPN non può fare Le VPN non proteggono i servizi pubblici (ma si possono usare per gestirli) Le VPN non proteggono i servizi pubblici (ma si possono usare per gestirli) Se un nodo è compromesso (un laptop, un PC di un sistemista) la VPN è spesso un ottimo canale per raggiungere le risorse critiche Se un nodo è compromesso (un laptop, un PC di un sistemista) la VPN è spesso un ottimo canale per raggiungere le risorse critiche Gli IDS e le VPN lavorano male, e anche i firewall possono avere problemi Gli IDS e le VPN lavorano male, e anche i firewall possono avere problemi

13 Frodi aziendali e sicurezza IT-13 © Claudio Telmon Patching: una continua rincorsa Nuovi bachi vengono scoperti continuamente in sistemi operativi e applicazioni Nuovi bachi vengono scoperti continuamente in sistemi operativi e applicazioni Sfruttarli è spesso immediato Sfruttarli è spesso immediato Correggerli richiede giorni, applicare le patch immediatamente non è possibile o opportuno Correggerli richiede giorni, applicare le patch immediatamente non è possibile o opportuno Cè sempre una finestra di vulnerabilità Cè sempre una finestra di vulnerabilità

14 Frodi aziendali e sicurezza IT-14 © Claudio Telmon MonitoraggioMonitoraggio Se il firewall non protegge la nostra applicazione Web Se il firewall non protegge la nostra applicazione Web LIDS non scopre i nuovi attacchi LIDS non scopre i nuovi attacchi La VPN non protegge i servizi pubblici La VPN non protegge i servizi pubblici E le patch arrivano tardi E le patch arrivano tardi Niente sopperisce al monitoraggio e controllo dei sistemi

15 Frodi aziendali e sicurezza IT-15 © Claudio Telmon You cant solve social problems with software - M. J. Ranum

16 Frodi aziendali e sicurezza IT-16 © Claudio Telmon Social engineering Consiste nel convincere qualcuno a svolgere per noi unoperazione che non dovrebbe essere fatta Consiste nel convincere qualcuno a svolgere per noi unoperazione che non dovrebbe essere fatta Non è possibile proteggersi con soli strumenti tecnici Non è possibile proteggersi con soli strumenti tecnici Funziona bene nelle grosse organizzazioni Funziona bene nelle grosse organizzazioni Esempi: Esempi: I Love You I Love You accesso alle password accesso alle password

17 Frodi aziendali e sicurezza IT-17 © Claudio Telmon La politica di sicurezza Deve essere chiara a chi la deve rispettare Deve essere chiara a chi la deve rispettare Lutente si deve sentire tutelato dalla dirigenza se rispetta la politica Lutente si deve sentire tutelato dalla dirigenza se rispetta la politica Non può essere demandata al sistemista come semplice progettazione tecnica, perché comporta delle scelte e dei costi che influenzano tutto il sistema informativo Non può essere demandata al sistemista come semplice progettazione tecnica, perché comporta delle scelte e dei costi che influenzano tutto il sistema informativo La politica deve essere realistica e rispettata La politica deve essere realistica e rispettata

18 Frodi aziendali e sicurezza IT-18 © Claudio Telmon AutenticazioneAutenticazione Serve ad associare agli utenti i diritti sulle risorse Serve ad associare agli utenti i diritti sulle risorse Serve a sapere chi ha svolto quali operazioni Serve a sapere chi ha svolto quali operazioni A volte è un requisito di legge A volte è un requisito di legge Quanto protegge i nostri sistemi? Quanto protegge i nostri sistemi? Quanto protegge i sistemi pubblici? Quanto protegge i sistemi pubblici? E se un utente autenticato viola i sistemi cosa facciamo? E se un utente autenticato viola i sistemi cosa facciamo?

19 Frodi aziendali e sicurezza IT-19 © Claudio Telmon Strumenti per lautenticazione Si autentica: Si autentica: qualcosa che si sa: PIN, password, codici vari qualcosa che si sa: PIN, password, codici vari qualcosa che si ha: smart card, tessere ecc. qualcosa che si ha: smart card, tessere ecc. qualcosa che si è: valori biometrici qualcosa che si è: valori biometrici Scopo di questi strumenti è sempre di legare linformazione di autenticazione al soggetto, in modo che non possa essere falisficata, duplicata o trasferita Scopo di questi strumenti è sempre di legare linformazione di autenticazione al soggetto, in modo che non possa essere falisficata, duplicata o trasferita Si tende ad associare più di un tipo Si tende ad associare più di un tipo

20 Frodi aziendali e sicurezza IT-20 © Claudio Telmon Autenticazione con chiave pubblica Si basa sulla segretezza della chiave pubblica Si basa sulla segretezza della chiave pubblica Lutente non ricorda la chiave pubblica, ma un PIN per sbloccarla Lutente non ricorda la chiave pubblica, ma un PIN per sbloccarla A seconda di dove è memorizzata la chiave, lautenticazione si riduce quindi alla segretezza del PIN e ad un sistema A seconda di dove è memorizzata la chiave, lautenticazione si riduce quindi alla segretezza del PIN e ad un sistema Con utenti roaming leffetto è peggiore Con utenti roaming leffetto è peggiore

21 Frodi aziendali e sicurezza IT-21 © Claudio Telmon Smart card e sistemi biometrici Luso della smart card garantisce, salvo manomissioni, che la chiave privata non sia diffusa, ma non garantisce che la smart card non sia consegnata a unaltra persona o rubata Luso della smart card garantisce, salvo manomissioni, che la chiave privata non sia diffusa, ma non garantisce che la smart card non sia consegnata a unaltra persona o rubata I sistemi biometrici danno più garanzie? I sistemi biometrici danno più garanzie?

22 Frodi aziendali e sicurezza IT-22 © Claudio Telmon I dati sono dati

23 Frodi aziendali e sicurezza IT-23 © Claudio Telmon Cosa si firma? Usare la chiave senza rubarla Usare la chiave senza rubarla Il caso Quicken: nel gennaio 1997 un gruppo di hacker tedeschi (CCC) ha dimostrato in televisione di essere in grado di far eseguire delle operazioni bancarie senza conoscere il PIN….. Con la firma digitale sarebbe cambiato qualcosa? Il caso Quicken: nel gennaio 1997 un gruppo di hacker tedeschi (CCC) ha dimostrato in televisione di essere in grado di far eseguire delle operazioni bancarie senza conoscere il PIN….. Con la firma digitale sarebbe cambiato qualcosa? Linaccessibilità della chiave non garantisce contro labuso Linaccessibilità della chiave non garantisce contro labuso

24 Frodi aziendali e sicurezza IT-24 © Claudio Telmon AAA BBB Cosa si firma

25 Frodi aziendali e sicurezza IT-25 © Claudio Telmon Assumere lidentità altrui Se il PC di un utente è compromesso, lutente (interno o esterno allazienda) può essere impersonato Se il PC di un utente è compromesso, lutente (interno o esterno allazienda) può essere impersonato finora i worm hanno usato la rubrica solo per diffondersi... finora i worm hanno usato la rubrica solo per diffondersi... Si tratta invece dei sistemi meno controllati Si tratta invece dei sistemi meno controllati Non sono attacchi comuni per hacker generici, e quindi sono spesso trascurati Non sono attacchi comuni per hacker generici, e quindi sono spesso trascurati Sarebbero adatti per frodi e attacchi mirati Sarebbero adatti per frodi e attacchi mirati


Scaricare ppt "Frodi aziendali e sicurezza IT-1 © Claudio Telmon - 2001 Frodi aziendali e sicurezza IT Giornata di studio AIEA Roma, 21 novembre 2001 Claudio Telmon"

Presentazioni simili


Annunci Google