Smau Milano 2014 - Stefano Fratepietro

Post on 13-Dec-2014

183 views 0 download

description

"Tanto non mi succede nulla” - Le ultime parole famose prima del disastro informatico

Transcript of Smau Milano 2014 - Stefano Fratepietro

Cybercrime S.p.A.Tutti ne parlano, ma nessuno te l’ha mai spiegato

DOTT. STEFANO FRATEPIETRO

Chief Information Security Officer - Tesla Consulting srls OSCP - Offensive Security Certified Professional OPST - OSSTMM Professional Security Tester Accredited Certification !Presidente e Project Leader - Associazione DEFT !Professore a contratto - UniMoRE STELMILIT !White hat Hacker https://www.soldierx.com/hdb/Stefano-Fratepietro

IL WEB.. NON TUTTO È COME SEMBRA

IL CYBERCRIME OGGI

IL CYBERCRIME OGGI

Adattandosi alle strategie dei grandi player hi-tech, i cyber criminali basano oggi il proprio “dark” Business su tre semplici regole: !

✓ Marketing aggressivo ✓ Facilità di acquisto servizi e prodotti ✓ Garanzia di pagamenti anonimi

IL MARKETING AGGRESSIVO

FACILITA’ DI ACQUISTO DI SERVIZI O BENI

FLUSSI DI DENARO E PAGAMENTI ANONIMI

IL TERMINE HACKER

Un hacker è una persona che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d'interesse (che di solito comprendono l'informatica o l’elettronica), ma in tutti gli aspetti della sua vita. ! -- Wikipedia

White Hat Hacker Black Hat HackerGrey Hat Hacker

CHI È INTERESSATO? A COSA?

IL CASO NY TIMES

IL CASO NY TIMES

ESEMPIO #1

ESEMPIO #2

ESEMPIO #3

ESEMPIO #4

Ransomware: malware che cifra i nostri file e richiede un riscatto in denaro (anche in crypto monete) per poter riaccendere ai propri dati.

LE NUOVE ARMI DIGITALI

LE NUOVE ARMI DIGITALI

COSA REALMENTE ACCADE

SICUREZZA DIFENSIVA

!La sicurezza non è un prodotto ma un processo. !Inutile spendere milioni di euro di budget nell’IT Security se la vulnerabilità si chiama “UTONTO”.

Tutte le aziende, PMI o grandi, DEVONO difendersi

SICUREZZA DIFENSIVA

Difesa del datacenter Non difesa degli asset aziendali

Sicurezza fisica

SICUREZZA DIFENSIVA

SICUREZZA DIFENSIVA

•Proteggere la rete aziendale

- Lan

- Wan

•Proteggere i servizi e le applicazioni

•Proteggere gli asset

•Proteggere le persone

SICUREZZA DIFENSIVA - ENDPOINT PROTECTION

Access control

Firewall

Virtualization

Application Control

Device Control

Encryption

Anti-malware

Mobile Control

Data Control

Patch assessment

Web Protection

Exchange Server Protection

SICUREZZA DIFENSIVA - FIREWALL E SONDE

SICUREZZA DIFENSIVA - CONTROLLO DEGLI EVENTI

SIEMSecurity Information and event management

•Raccogliere gli eventi di sistema

•Log

•Netflow

•Correlazione ed interpretazione degli eventi

•Alert policy

PROTEGGERSI DA COSA? DA QUELLO CHE NON CONTROLLO

• Vulnerability Assessment e Penetration Test svolti solo da personale altamente specializzato e formato

• Controlli per la sicurezza delle Web application

• Attività svolte su reti wired, wireless e Internet

• Test eseguiti in modalità White box o Black Box

• Valutazione del rischio per ogni singolo asset aziendale

• Reportistica personalizzata con le remediation ad ogni vulnerabilità riscontrata

PROTEGGERSI DA COSA? SPIONAGGIO INDUSTRIALE

•Blocco degli storage esterni con censimento delle memorie di massa aziendali

•Controllo dei vettori di uscita dei dati in tempo reale

•Full disk encryption dei device in mobilità

•Policy puntuali di accesso al dato con audit log verboso

PROTEGGERSI DA COSA? ATTACCHI AI DATI

PROTEGGERSI DA COSA? ATTACCHI AI DATI

• Non è una penna usb! È un microkernel base Linux per la cifratura dei dati

• Crittografia 100% hardware • Generazioni di chiavi crittografiche univoche,

irripetibili e non esportabili dal dispositivo • Associazione crittografica tra più dispositivi creando

il così detto “silent circle” • Condivisione cifrata del dato indipendentemente dal

canale usato (penne usb, dropbox, file server, amazon, etc.)

PROTEGGERSI DA COSA? ATTACCHI AI DATI

Grazie! !

Dott. Stefano Fratepietro s.fratepietro@teslaconsulting.ithttp://www.linkedin.com/in/stefanofratepietro https://twitter.com/stevedeft

Copyright © 2014 Tesla Consulting srls. All rights reserved. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,are disclaimed to the maximum extent allowd by law. The information in this document is subject to change without notice.