Codemotion Rome 2015 - La User Experience si evolve guidata delle opportunità tecnologiche (Mobility, Active Spaces, Internet delle Cose, Wearable, ...). I nuovi servizi coinvolgono un sempre maggior numero di utenti e di Smart Objects. I volumi e la complessità degli scenari determinano una serie di nuove vulnerabilità che attirano l'interesse di un Cyber-crimine sempre più determinato e sofisticato. Riconoscere il rischo e sviluppare di conseguenza soluzioni "sicure" è il primo, fondamentale elemento per contribuire a mitigare il quadro complessivo della minaccia tecnologica.

1. RENDERE SICURE L’ESPERIENZE DELL’INDIVIDUO NEL
MONDO DIGITALE ALLARGATO

2. Perché ci interessa l’individuo?

3. Copyright © 2012 NTT DATA 3PWC - Global State of Information Security Survey 2015
CONTESTO
117,339 attacchi
al giorno
+66% ogni anno
dal 2009
Attacchi da parte
di Stati
+86%
da parte di Competitors
+64%
molti non riportati
Grandi Aziende
+44% Incidenti
Medie Aziende
+66% Incidenti
Budget
cybersecurity
-4%
4% del budget IT

4. Copyright © 2012 NTT DATA 4Rapporto Clusit sulla sicurezza ICT in Italia 2015
CONTESTO
13 miliardi euro
Transazioni B2C
2014
In Italia
9 miliardi euro
Danni complessivi
in Italia

5. CyberSec: evoluzione dello scenario di rischio
Evoluzione della minaccia
Evoluzione delle vulnerabilità…
Potenziali Impatti
NTT Global Threat Report

6. QUADRO CYBER WORDLWIDE

7. Copyright © 2012 NTT DATA 7
EVOLUZIONE DELLO SCENARIO DI RISCHIO
Direttrici
Cambiamento
della tipologia
di minaccia
(fattori esterni o
«esogeni»)
Nuove
vulnerabilità
da contrastare
(fattori interni o
«endogeni»))
Nuovi potenziali
impatti

8. Copyright © 2012 NTT DATA 8
EVOLUZIONE DELLA MINACCIA
ATM and Money-transfers Attacks and
Frauds
“a highly sophisticated and well-funded
crime ring based in Russia, which made
headlines over the weekend for
successfully defrauding up to $1 billion
from banks in Europe, the U.S. and
elsewhere, was able to fly under the radar
of detection for nearly a year. The ring used
a string of seemingly unrelated malware
attacks aimed at compromising everything
from ATMs and money-transfers to retail
point-of-sale systems”
Kaspersky – Dec 2014
Financial companies are not immune to
cyber threats
«48% of E-Commerce/Online retail
business and 41% of Financial Services
organizations have reported losing some
tipe of finance-related information to
cybercriminal activities within the past 12
months»
Kaspersky – Global IT Security Risks 2014
– Online Financial Fraud Prevention
Finalità predatorie
sempre più aggressive:
Frodi su larga scala
perpetrate verso
sistemi finanziari

9. Copyright © 2012 NTT DATA 9
EVOLUZIONE DELLA MINACCIA
Increase of Systemic risks
“37% of respondents said that the probability of a high-impact event in the global
financial system has increased during the past six months
84% of respondents identified cyber risk as one of their top five concerns
33% ranked cyber threats as the number one systemic risk to the broader
economy”
DCTT– Systemic Risk Barometer - Q3 2014
“Cyber terrorism and cyber security, are emerging risks that have the potential to
threaten countries’ national security. Critical infrastructure, including nuclear
plants and other industrial facilities, is increasingly being targeted by cyber
hackers intent on causing damage, disruption and potential loss of life.
Nevertheless, terrorist groups such as al-Qaeda are currently seen as lacking the
necessary sophistication and capability in this area to successfully disrupt a major
facility”.
March&McLennan Companies – Emerging Risks Report – Sept 2014
Elementi ideologici
(cyber-terrorismo,
Aktivism, ...)

10. Copyright © 2012 NTT DATA 10
Collecting personal data: a new form of cybercrime
business
“… A data broker is exactly what it sounds like: a service online
that collects data, assembles the data into readable parts, and
sells the data to a buyer. For doxxing, data brokers often collect
different pieces of information, like names on social networks,
phone numbers associated with a household and addresses to
construct a profile of a person. Most of the time they’re accurate.
And for $20, more or less, a person can buy the data detailing
someone else’s life”
McAfee – Dec 2014
EVOLUZIONE DELLA MINACCIA
«Big-data mentality»
sviluppata dai
gruppi Cybercriminali
Acquisizione sistematica
informazioni personali
Perfezionamento tecniche
di Cyber-espionage

11. Copyright © 2012 NTT DATA 11
QUADRO DELLE NUOVE VULNERABILITÀ
RISKS RELATED TO IT CONSUMERIZATION
“Consumerization of IT (COIT): Is a current trend in the area of IT
where consumer-oriented, privately-used IT, like Social Networking,
Cloud Storage, mail, smart phones, tablets, etc. is becoming part of
professional IT. Given the positive user experience with these
technologies, end users generate pressure to company IT to adopt
similar functions/approaches. BYOD can be considered as the
device-centric part of COIT
Existing IT and security architectures were designed
for a different computing paradigm. COIT introduces
a number of changes impacting trust infrastructure. Such
changes include:
- Network perimeter changes
- Approaches to Management of IT components
- Revisions of existing user and service level/support
agreements
The impact of these changes on trust infrastructure
is big and affects data security, perimeter security,
identification and authentication functions
ENISA - Consumerization of IT: Top Risks and
Opportunities
MOBILE THREATS
L’individuo
punto debole soprattutto
quando opera al di fuori del
perimetro aziendale
Danni agli interessi privati
Testa di ponte per superare
le difese aziendali

12. Copyright © 2012 NTT DATA 12
Rogue insiders can cause significant damage
“insiders who turn against their company can cause significant
damage. Overall, companies require more time to detect and
respond to insider attacks, nearly 260 days, compared to
170 days for other attacks, according to data from the
Ponemon Institute’s. 2014 Cost of Cybercrime survey. Incidents
involving malicious insiders also cost, on average, more
than
$210,000 to resolve, according to the study.”
Georgia Institute of Technology– EMERGING CYBER
THREATS REPORT 2015
“Insiders have become the most-cited culprits of cybercrime –
but in many cases, they unwittingly compromise data through
loss of mobile devices or targeted phishing schemes.
Respondents said incidents caused by current employees
increased 10 percent, while those attributed to current and
former service providers, consultants and contractors rose 15
percent and 17 percent, respectively. “Many organizations often
handle the consequences of insider cybercrime internally instead
of involving law enforcement or legal charges. In doing so, they
may leave other organizations vulnerable if they hire these
employees in the future”
PWC - Global State of Information Security Survey 2015
“The 2013 cyberattack on Target, in which
criminals stole the payment card numbers of
some 40 million customers and the personal
data of roughly 70 million, although the thieves
were outsiders, they gained entry to the retail
chain’s systems by using the credentials of an
insider: one of the company’s refrigeration
vendors”
“It was widely reported that delegates attending
a G20 summit near Saint Petersburg in 2013
were given USB storage devices and mobile
phone chargers laden with malware designed to
help steal information”
Harvard Business Review – “the danger from
within”
QUADRO DELLE NUOVE VULNERABILITÀ
Insiders
operanti anche a favore di
organizzazioni esterne

13. Copyright © 2012 NTT DATA 13
FBI Warns Health Care Sector Is Especially Vulnerable to
Cyberattacks
“The agency says health care providers have particularly lax
security systems. Reportedly, health care data sold on the
black market can be even more valuable than credit card
numbers because it tends to contain details that can be
used to access bank accounts or obtain prescriptions for
controlled substances
Reuters, 23 Apr 2014
Il 24 aprile 2014, lo ICS-CERT ha rilasciato una Vulnerability Advisory (ICSA-14-084-01)
relativa a prodotti
“This product is used industrywide as a
programmable logic controller with inclusion of a
multiaxis controller for automated assembly and
automated manufacturing. Identified customers
are using the product where tolerances are
particularly critical to end product operations.”
“This product is used industrywide as a
programmable logic controller with inclusion of a
multiaxis controller for automated assembly and
automated manufacturing. Identified customers
are using the product where tolerances are
particularly critical to end product operations.”
“Festo has decided not to resolve these
vulnerabilities, placing critical infrastructure
asset owners using this product at risk …
because of compatibility reasons with existing
engineering tools”
“Festo has decided not to resolve these
vulnerabilities, placing critical infrastructure
asset owners using this product at risk …
because of compatibility reasons with existing
engineering tools”
MA
Una componente vulnerabile di un vendor può pregiudicare la sicurezza di un sistema
industriale: il caso FESTO
QUADRO DELLE NUOVE VULNERABILITÀ
Attacchi Indiretti
tramite «trusted vendors» o
enti collaterali

14. Copyright © 2012 NTT DATA 14
La “hyperconnectivity”: scenario critico per la sicurezza
“The risk of large-scale cyber attacks continues to be considered
above average on both dimensions of impact and likelihood This
reflects both the growing sophistication of cyber attacks and
the rise of hyperconnectivity, with a growing number of physical
objects connected to the Internet and more and more sensitive
personal data – including about health and finances
– being stored by companies in the cloud. In the United States
alone, cyber crime already costs an estimated $100
billion each year”
World Economic Forum – “Global Risks 2015”
QUADRO DELLE NUOVE VULNERABILITÀ
Nuove tecnologie
IoT vulnerabilities

15. Copyright © 2012 NTT DATA 15
POTENZIALI IMPATTI
“While cyber espionage appears to be the new normal for stealing secrets from
competitors in other nations, recent conflicts indicate that cyber attacks will play
a tangible role in future military affairs. In an analysis of malicious Internet
traffic based on data collected from security firm FireEye,Kenneth Geers, a
researcher and ambassador from the NATO Cooperative Cyber Defense Center of
Excellence,found that malware communications sent to servers in Russia,
Ukraine, and Israel increased during the months in which each country was
engaged in conflict”
Georgia Institute of Technology - EMERGING CYBER THREATS REPORT 2015
CYBER EMERGENCY RESPONSE
TEAM FOR ICS-CERT – 2013 REPORT
181 INCIDENTI
-41% Energy Sector
-15% Water Sector
YEAR 2013 ICS VULNERABILITY INCIDENTS BY SECTORS
Scenari di
Cyber-warfare:
minacce alle
infrastrutture
critiche

16. Copyright © 2012 NTT DATA 16
Le evidenze dei fatti: la debolezza dell’individuo
arriva a compromettere sistemi critici industriali
• Attacco «Stuxnet» alle centrali nucleari Iraniane - 2010
BLOCCO DI UN REATTORE
Varie ipotesi su come sia stato possibile portare il malware all’interno dei sistemi di
controllo, non essendo questi connessi ad Internet
• Attacco via Infected USB drive istallato incautamente da un dipendente
• Attacco «indiretto» ad un «trusted user» e successiva propagazione ai sistemi
In entrambi gli scenari, il «cavallo di Troia» è un terzo soggetto preso di mira poichè
più vulnerabile rispetto al target principale
• Attacco alle acciaierie ThyssenKrupp - 2014
SPEGNIMENTO DI UN ALTOFORNO
Origine dell’attacco: una mail di «spear phishing». Costruita ad hoc per ingannare il
destinatario, riporta informazioni personali per suffragarne l’autenticità. Informazioni
probabilmente diffuse dalla stessa vittima sui social network !
• Attacco a SONY – 2014
FURTO DI DATI – BLOCCO COMPLETO SISTEMI IT
Anche stavolta l’origine dell’attacco è una mail di «spear phishing»
POTENZIALI IMPATTI
Cyber go to
Physical

17. Copyright © 2012 NTT DATA 17
EVIDENZE DAL GLOBAL THREAT REPORT NTT
Mercificazione
dei Servizi di
Cyber-Crime
Attackers
avanzati
Massimizzano
tecniche
«low and
slow»
Lateral
Trends
Il Perimetro
è
L’Utente
Finale
The End-user and their devices continue to post a significant ang growing risk to the enterprise.
17 on 20 top vulnerabilities identified in 2014 are related to end-users systems
the massive investments in onsite corporate security infrastructure is failing to protect end user
systems
Detection and remediation are of course critical to protecting the network, but it is safe to assume that
the data that was available to the user was likely exposed at the very least.
NTT group has seen some shift away from direct attacks against the infrastructure of those
organizations that can be characterized as alternate attack paths. As a result, attacks against
«gateway» industries have increased
Malicious attackers treat security as a business
Less mature attackers can leverage the skills of the more advanced crimeware developers
Targeted attacks tend to produce a small fraction of the alerts generated by other techniques,
and their persistence often allows succesful attackers a more pervasive access

18. Copyright © 2012 NTT DATA 18
TOP TEN - NAZIONI
56%
9%
9%
3%
2%
2%
2%
2%
2%
13%
Top 10 Source Country
US CN AU GB FR DE RU NL IN Rest
Top ten countries acting
as threat sources. In
2014, the United States
grew by 7 percent as a
source of global
attacks.
The volume and quality of
US-based web services
such as Amazon, Go
Daddy and other large
ISPs has led many
cybercriminals to utilize
these resources in
support of their
aberrant businesses.

19. Copyright © 2012 NTT DATA 19
ATTACCHI PER SETTORE
Another change in the security world was a lateral spread towards non-traditional sectors for exploitation.
Attackers traditionally engaged high-value sectors such as finance and retail as those sectors provided the highest
ROI. In 2014, however, there was a shift in the top five sectors as the priority targets have shifted. In the data as
it was reviewed, NTT Group analysts believe that a strategic inflection point may have occurred where attackers
utilizing exploit kits are focusing on potentially valuable data, such as supply chain information, in sectors with
less stringent security requirements. And, as seen with some of the larger data breaches in 2014, these less
secure sectors can also provide access to larger, more secure targets that may also be partners

20. Copyright © 2012 NTT DATA 20
CYBERCRIME AS A SERVICE
A primary driver of the widespread use of
DDoS is the ubiquity and degree of
commoditization throughout the industry.
In the past, a crimeware developer had to
create malware, deploy it, build up a
sophisticated botnet and then use that
network to drive DDoS attacks. This
model still exists, but there are new
methods on the crimeware market.
Working much in the manner of a Silicon
Valley “start-up,” crimeware developers
are now developing DoS technology as
their core business with no intent of
launching their own attacks. They instead
exist solely to resell their “DoS as a
service” to other organizations that can
then monetize that capability.
For the criminal or hacktivist, it’s a win-
win situation. The DoS-as-a-Service
provides a steady revenue stream for its
operators, focusing on one area with a
quasi-legitimate service, while criminal
syndicates no longer need to operate a
service they only may use occasionally.
Much like other-point of-use services,
both sides win through commoditization
and sharing of capabilities.
DDOS Attacks per Month 2014, by industry sector
Sites providing web “stressor” services :can be used to launch attacks on a
subscription basis starting at $2.99 USD a month for 100 seconds of usage

21. Copyright © 2012 NTT DATA 21
IL PERIMETRO È L’UTENTE FINALE
Il perimetro è cambiato. L’ IT management non può più contare su un perimetro di sicurezza della rete ben definito che
protegge l’organizzazione aziendale da attacchi esterni.
I dati sono distribuiti tra gli utenti e gli utenti sono presenti in ambienti di lavoro altamenti dispersivi, in mobilità che
semplicemente non si prestano all’attuazione centralizzata di controlli coerenti.
Questo è soprattutto vero quando l’attaccante è in casa e può agire dall’interno sfruttando “trusted zone and device”
Rappresentazione di tutti gli attacchi basati Internet based nel 2014.
Il grafico mostra picchi di attacco durante particolari campagne, e per client specifici
Il grafico mostra che gli attacchi continuano a seguire questo modello per tutto l'anno.
La sicurezza all'interno delle organizzazioni ha costantemente rilevato un numero di attacchi notevolmente
inferiore nei fine settimana e nei giorni festivi.
Potrebbe significare che durante il weekend e nei festivi, gli attackers si fermino.

22. Copyright © 2012 NTT DATA 22
Infections from Command and control traffic (C2) per weekday shows a clear jump of infected
machines on Monday (day 2) when employees return to the office
Il gruppo CyberSecurity di NTT Group
pensa che gli attacchi possano essere
attribuiti ai device degli utenti finali.
I I dispositivi degli end user navigano siti
infetti, subiscono attacchi di phishing
diretti, di tipo water hole o attacchi diretti
durante il weekend.
La realtà è che gli utenti sono ancora
sotto attacco nei weekends e durante
le vacanze; Non sono in azienda ed i
sistemi di sicurezza che hanno a casa
semplicemente non rilevano e non
prevengono gli attacchi
Dallo studio emerge un aumento del
75% delle macchine infette il giorno di
ritorno al lavoro dopo festività o
weekend, mettendo in risalto come l’end
user possa essere un concreto veicolo di
infezione per l’infrastruttura aziendale
IL PERIMETRO È L’UTENTE FINALE
individuo punto debole
Danni agli interessi privati
Testa di ponte per superare le difese

23. Copyright © 2012 NTT DATA 23
Top 20 attacked vulnerabilities, 2014. Note, 17 are focused on end user systems.
IL PERIMETRO È L’UTENTE FINALE
Durante il 2014, 17 delle top 20
vulnerabilità sono state introdotte
dai sistemi degli utenti finali.
Sulla base di un'analisi dettagliata
degli attacchi, NTT ha scoperto
che gli utenti finali sono
attaccati attivamente su base
regolare e costante. Certamente,
gli attackers non sono in genere
specificamente rivolti agli end
users al fine di cercare di entrare
nei loro sistemi. I sistemi degli end
users sono costantemente esposti
alle vulnerabilità Java, Adobe e
Flash con attacchi drive-by e
water fall.
L'impatto finale è che l'utente
finale diventa responsabile,
perché i modelli di attacco tipici
fanno dei loro computer un
gateway per gli attaccanti per
entrare dentro l'organizzazione

24. Copyright © 2012 NTT DATA 24
Cambiamento nella tipologia della minaccia
Finalità predatorie sempre più aggressive (evidenze:volumi delle frodi, target di attacco su servizi critici)
Elementi ideologici (Cyber terrorismo, Acktivism – vedi «sfida» di Anonymous Vs. ISIS)
Scenari di CyberWarfare che coinvolgono le infrastrutture critiche: Cyber e Phisical domains non più
distinguibili
Cambiamento nella tipologia delle vulnerabilità
Spear Phishing
Insiders
attacchi indiretti es. tramite vendors considerati «trusted»
«Big-data mentality» sviluppata dal cybercrime: consapevolezza del valore strategico ed economico
dell’informazione
SINTESI DEL QUADRO EVOLUTIVO DEL RISCHIO

25. Copyright © 2012 NTT DATA 25
Nuova sfida
Fattori esterni non completamente sotto controllo dalle aziende
Cloud
Circolazione dei dati fuori dai perimetri consueti
"Polverizzazione" delle superfici di attacco
Social
IT Consumerization
Nuove tecnologie/Nuovi paradigmi IT
Mobility
IoT
LO SCENARIO DELLE VULNERABILITÀ: ELEMENTI CARATTERIZZANTI

26. Copyright © 2012 NTT DATA 26
Il rischio non è quantificabile (almeno non secondo i criteri sinora considerati)
Il rischio non è gestibile autonomamente da ogni singola azienda
Occorre coinvolgere nella strategia di contenimento del rischio perimetri sinora considerati al di fuori dell’ambito
di protezione aziendale (sfera privata dell’end-user, dimensioni Open)
Pertanto
occorre un cambio di paradigma e la rielaborazione delle strategie di risk management, fondato su nuovi
elementi:
Collaboration (in particolare cross-enterprise e soprattutto Pubblico-privato)
Strategie di governance del rischio globale e processi di Security inter-aziendali
Partecipazione alle strategie di Cyber Intelligence intergovernative (info-sharing)
Protezione degli oggetti atomici, non dei perimetri
Il singolo dato/documento (Driver: Dematerializzazione)
Il singolo device (Driver: Mobility)
Il singolo utente (driver: Social, IoT, New Human/Digital Experiences – SFERA
COMPORTAMENTALE)
Paradigma del «nuovo umanesimo»: il mondo fisico digitalizzato, costruito intorno all’individuo
IL QUADRO CHE NE DERIVA

27. La protezione dell’End Users

28. Copyright © 2012 NTT DATA 28
PROTEGGERE GLI
INDIVIDUI È
ESSENZIALE
LE VULNERABILITÀ DELL’INDIVIDO POSSONO ESSERE SFRUTTATE SIA PER
PERPETRARE FRODI CONTRO DI LUI E VIOLARE I SUOI DIRITTI, SIA PER
PENETRARE LE DIFESE NEI CONTESTI IN CUI EGLI HA ACCESSO

29. Copyright © 2012 NTT DATA 29
L’INDIVIDUO
RAPPRESENTA IL NUOVO
TARGET PRIMARIO
DELLE STRATEGIE
CYBERCRIMINALI
SPEAR PHISHING
DOXXING
RANSOMWARE
ATTACCHI A PICCOLE STRUTTURE
CHE CUSTODISCONO DATI PERSONALI

30. Copyright © 2012 NTT DATA 30
RAPPRESENTA LA
VULNERABILITÀ
ENDEMICA
DELL’ECOSISTEMA
DIGITALE
COMPORTAMENTI DESTRUTTURATI
SOPRAFFATTI DALLA COMPLESSITÀ TECNOLOGICA
SPAZI SENZA CONFINI
INFORMAZIONI PERSONALI DISPONIBILI DAPPERTUTTO

31. Copyright © 2012 NTT DATA 31
QUALE INDIVIDUO
Soggetto finale autonomo che fruisce dei
servizi offerti su Internet per mezzo di strumenti
tecnologici indipendenti, gestiti individualmente
ed utilizzati per fini conformi alle proprie
personali necessità ed in accordo alle proprie
regole etiche

32. Copyright © 2012 NTT DATA 32
PERCHÈ È IMPORTANTE FOCALIZZARSI SULLA PROTEZIONE DELL’INDIVIDUO
I SUOI DIRITTI CI
STANNO A CUORE
• Perchè tutelare i suoi diritti è fondamentale
• Perchè rappresenta la vulnerabilità endemica dell’ecosistema digitale
• Perchè non è nella condizione di strutturare autonomamente una difesa efficace
contro le minacce
• ... Perchè di ciò si sono accorti i cybercriminali, che congegnano
attacchi a sistemi complessi partendo dalle sue vulnerabilità

33. Copyright © 2012 NTT DATA 33
L’INDIVIDUO SU INTERNET: I SUOI DIRITTI
Tutelare i suoi diritti è fondamentale
• Rispetto della persona
• Privacy
• Diritto all’ «oblio»
• Limite etico
• Libertà di espressione
• Partecipazione democratica
• Garanzia di legalità
• Diritti ... e doveri!
Quadro Strategico Nazionale per la
Sicurezza dello Spazio Cibernetico» -
Presidenza del Consiglio,
Dicembre 2013

34. Copyright © 2012 NTT DATA 34
PRIVACY ?
Google Maps
(movimenti)
Google Fit (attività
fisiche)
Google Chrome
(ricerche sul WEB)
Google Keep (ciò che
pensiamo)
Google Docs (ciò che
scriviamo)
Google My Tracks (la
strada che percorriamo)
Google + (i nostri amici ...
ma questo sa farlo meglio

35. Copyright © 2012 NTT DATA 35
PRIVACY ?
https://maps.google.com/locationhistory

36. Copyright © 2012 NTT DATA 36
PRIVACY ?
https://fit.google.com

37. Copyright © 2012 NTT DATA 37
45% «Posta selfie» provocanti sui Social networks
19% Fornisce il suo numero di cellulare
25% Rivela la scuola che frequenta
12% Ha avviato rapporti on-line con sconosciuti
5% Ha accettato proposte di sesso on-line
Chatta fino ad orari che interferiscono con la
fascia del sonno; circa il 40% fino a notte fonda;
Il 12.5% ricomincia la mattina presto
57%
13% Ha praticato giochi d’azzardo vietati ai minori
* survey condotta nel 2014 dalla Società Italiana di
Pediatria su un campione rappresentativo di 2107
studenti (1073 maschi - 1034 femmine) della terza
media.
DIRITTI VIOLATI SOPRATTUTTO NELLE FASCE PIÙ DEBOLI*
Tutelare i suoi diritti è fondamentale

38. Copyright © 2012 NTT DATA 38
L’INDIVIDUO SU INTERNET: È VULNERABILE PERCHÈ ASSUME COMPORTAMENTI A RISCHIO
Rappresenta la vulnerabilità endemica dell’ecosistema digitale
Il comportamento degli end-users nel
Cyberspazio, soprattutto Mobile, diventa
sempre più destrutturato
Le vulnerabilità “comportamentali" rappresentano spesso il punto
di innesto di attacchi cyber-criminali

39. Copyright © 2012 NTT DATA 39
ESEMPI DI VULNERABILITÀ COMPORTAMENTALI
Rappresenta la vulnerabilità endemica dell’ecosistema digitale

40. Copyright © 2012 NTT DATA 40
E’ VULNERABILE PER VIA DELLA COMPLESSITÀ TECNOLOGICA...
Non è nella condizione di strutturare autonomamente una difesa efficace contro le minacce
Anche gli utenti
più sensibili
corrono il rischio di
compromission
e dei device
Elevata complessità e
frequenza delle azioni necessarie
per mantenere sicuro un end-point.
Si è inconsapevoli, o
semplicemente sopraffatti dalle
azioni necessarie per mantenere
sicure tutte le applicazioni istallate

41. Copyright © 2012 NTT DATA 41
... CHE AUMENTA CON L’EVOLUZIONE DELLE ESPERIENZE DIGITALI
Non è nella condizione di strutturare autonomamente una difesa efficace contro le minacceKEYSECURITYDOMAINSKEYSECURITYDOMAINS
PC & LAPTOP MOBILE WEARABLE M2M / IoT
• PKI
• VPN
• I&AM
• ...
• Secure APP
Management
• Mobile Security
Check
• Mobile ID&SSO
• Secure
Element (TEE)
• Privacy
Protection
• Biometric /
Hand-free auth
• Control & Big
Data
• E-SIM
• Host Card
emulation
• Remote Control
• Personal
Profiling
• Physical/Virtual
Integration
IT Works
NON-IT Works
(Change life/work style)

42. Copyright © 2012 NTT DATA 42
L’INDIVIDUO AL CENTRO DELLE STRATEGIE DI ATTACCO CYBERCRIMINALI
I Cybercriminali fanno leva sulle vulnerabilità dell’individio
• Doxxing
– Acquisizione di informazioni personali volte a conoscere
nel dettaglio gli aspetti più riservati della vita
dell’individuo. Finalità: ricatto / furto identità / spare
phishing
• Ramsonware
– Malware con obiettivo i singoli utenti o le piccole
imprese, che cifra i dati e blocca il sistema con
successiva pretesa di un pagamento per ottenerne lo
sblocco
• Attacchi mirati a piccole strutture che
custodiscono dati personali critici (es. strutture
sanitarie). Obiettivo: furto dei dati per arricchire i
«dossier» personali
I «Segni dei tempi»:
Conoscendo l’individuo, se ne sfruttano le
debolezze, anche per violare le difese dei contesti

43. Copyright © 2012 NTT DATA 43
L’INDIVIDUO AL CENTRO DELLE STRATEGIE DI ATTACCO CYBERCRIMINALI
I Cybercriminali fanno leva sulle vulnerabilità dell’individio
• Attacco «Stuxnet» alle centrali nucleari Iraniane - 2010
BLOCCO DI UN REATTORE
Varie ipotesi su come sia stato possibile portare il malware all’interno
dei sistemi di controllo, non essendo questi connessi ad Internet
• Attacco via Infected USB drive istallato incautamente da un dipendente
• Attacco «indiretto» ad un «trusted user» e successiva propagazione ai sistemi
In entrambi gli scenari, il «cavallo di Troia» è un terzo soggetto preso
di mira poichè più vulnerabile rispetto al target principale
• Attacco alle acciaierie ThyssenKrupp - 2014
SPEGNIMENTO DI UN ALTOFORNO
Origine dell’attacco: una mail di «spear phishing». Costruita ad hoc
per ingannare il destinatario, riporta informazioni personali per
suffragarne l’autenticità. Informazioni probabilmente diffuse dalla
stessa vittima sui social network !
• Attacco a SONY – 2014
FURTO DI DATI – BLOCCO COMPLETO SISTEMI IT
Anche stavolta l’origine dell’attacco è una mail di «spear phishing»
Le evidenze dei fatti: la debolezza dell’individuo arriva a
compromettere sistemi critici industriali

44. Copyright © 2012 NTT DATA 44
LA STRATEGIA PER L’END-USER
• Si rivolge anzitutto al bisogno dell’individuo
• Considera le sue varie esperienze digitali, connotate ciascuna da
un’aspettativa e da un profilo di rischio che ne determinano i requisiti di
sicurezza
• Costruisce una risposta ai requisiti fondata sul concetto di «livello di
fiducia» (trustworthiness) che è lecito riporre in tutti i fattori che
caratterizzano quella particolare esperienza digitale
• Ciò è trasferito all’utente sotto forma di «supporto personale» nella
gestione delle interazioni con le varie componenti dello spazio digitale
coinvolte, mediante:
– Notifica della misura del livello di fiducia da assegnare a ciascun elemento
– Attivazione del contesto tecnico/relazionale più appropriato
– Suggerimenti sul comportamento più idoneo da adottare
– Interazione con «trusted Third parties» che garantiscono l’affidabilità
dell’esperienza

45. Copyright © 2012 NTT DATA 45
I FATTORI CHE CONNOTANO L’ESPERIENZA DIGITALE: CIASCUNO CON DEI RISCHI SPECIFICI
Le App ed i servizi gestiti: App
«Malevole» o Fake possono essere veicolo
di diffusione di Malware, furto
d’identità, Phishing, reclutamento in
BOTnets
Il contesto e l’ambiente: In luoghi pubblici
possono essere «spiate» informazioni, ci si
può connettere a reti poco sicure, si può
interagire con oggetti intelligenti
compromessi, si possono portare
all’esterno informazioni critiche
aziendali, ecc.
Le relazioni ed i contatti: Si rischia di
includere nella propria rete di contatti degli
account «fake» mirati alla raccolta di
informazioni personali dai Social,
spionaggio, ecc
I comportamenti, l’attitudine al rischio:
Social Enginering, perdita/furto del
device, frodi, abuso di informazioni
riservate, contenuti impropri

46. Copyright © 2012 NTT DATA 46
GUARDA ANZITUTTO AL BISOGNO DELL’INDIVIDUO
CONSIDERA LE SUE VARIE ESPERIENZE DIGITALI
NELLA LORO SPECIFICITÀ
COSTRUISCE UNA RISPOSTA ALLE ASPETTATIVE
FONDATA SUL CONCETTO DI «LIVELLO DI
FIDUCIA...» :
– NEL CONTESTO IN CUI SI MUOVE
– NELLA SUA RETE DI RELAZIONI
– NELLE COMPONENTI TECNOLOGICHE CHE
USA
– NEI SOGGETTI CON CUI INTERAGISCE
UNA STRATEGIA
END-USER-
CENTRICA

47. Copyright © 2012 NTT DATA 47
Dove ci si trova
A cosa si è connessi
Con cosa si interagisce
Chi c’è nelle vicinanze
Cosa sono
A chi appartengono
Quale scopo hanno
Chi li fornisce
Come sono configurati
Chi è
Cosa vuol fare
Cos’è autorizzato a fare
Le sue abitudini
La sua rete di contatti
La Security Awareness
OCCORRE AGIRE SU TUTTI I FATTORI

48. Copyright © 2012 NTT DATA 48
FIDARSI DEL CONTESTO IN CUI CI SI TROVA
• Analisi della tipologia di traffico
• Reliability della connessione utilizzata
• Tipologia di ambiente circostante (es.
Luogo pubblico)
• Connessioni improprie (es. Rogue
Devices, Unauthorized Bluetooth, other
protocols)
• Visibilità di altri devices, interazioni con
oggetti, Sensori, Wearable devices, ...
ocation-aware / Connection-aware Policy enforcement

49. Copyright © 2012 NTT DATA 49
FIDARSI DEL CONTESTO IN CUI CI SI TROVA
• Sanity check del device
• Security Check App istallate
• Reputation del Service Provider per il
servizio richiesto
• Attivazione ambiente di esecuzione sicuro
• Storage sicuro dei dati (privati e di
business)
• Secure Private Communication
• Segregazione degli ambienti/supporto
BYOD
Service-aware / Experience-aware Policy enforcement

50. Copyright © 2012 NTT DATA 50
FIDARSI DEL CONTESTO IN CUI CI SI TROVA
• Scoring dell’attitudine al rischio
• Profilo comportamentale sui Social
• Affidabilità del network dei contatti
• Verifica dell’identità/affidabilità di una
controparte coinvolta in una transazione con
coinvolgimento di una «trusted Third Party»
• Attivazione di techniche di autenticazione
evolute (Passwordless / Hands-free /
Biometric)
• Verifica dinamica dei Privilegi
Person-aware / Relations-aware / Behavior-
aware Policy enforcement

51. Copyright © 2012 NTT DATA 51
IL DISTRETTO TECNOLOGICO
SULLA CYBER SECURITY
Realizzato a Cosenza, indirizza temi di
ricerca industriale e sviluppo
precompetitivo
E’ un’iniziativa congiunta fra partner
industriali ed istituzioni accademiche,
finanziata dal Governo Italiano mediante
fondi erogati dal Ministero dell’Università
e Ricerca (MIUR)
Si configura come la più ampia iniziativa
di ricerca sulla tematica in Europa in
termini di Investimenti (più di 28 M€) e
fornisce un approccio olistico alle
tematiche della Cybersecurity,
approcciate lungo tre direttive progettuali:
Protezione dell’End-User,
Protezione dei Digital Systems,
con particolare riguardo al Cloud ed i
sistemi di pagamento, e Protezione
delle Informazioni e dei
Documenti, focalizzando i processi di
dematerializzazione
COSENZA

52. Copyright © 2012 NTT DATA 52
LA STRATEGIA SI SOSTANZIA IN UN FRAMEWORK INTEGRATO PER LA PROTEZIONE DELL’END-USER
ELISA: End-User’s Light Security Assistant

53. Copyright © 2012 NTT DATA 53
INTERAZIONE DIRETTA CON L’END-USER NELLA FORMA DI "SECURITY
ASSISTANT".
PER OGNI SPECIFICA ESPERIENZA DIGITALE, DYMORA ANALIZZA::
•“LEVEL OF TRUST” DEL CONTESTO TECNOLOGICO
•“LEVEL OF TRUST” DELL’AMBIENTE IN CUI SI OPERA
•“LEVEL OF TRUST” DEL CONTESTO RELAZIONALE DELL’UTENTE
•ELEMENTI DI RISCHIO DELLA SFERA COMPORTAMENTALE
INOLTRE ELISA ATTIVA LE CONTROMISURE PIÙ APPROPRIATE IN BASE AL
PROFILIO DI RISCHIO COMPLESSIVO DETERMINATO DINAMICAMENTE
• AGGIORNAMENTO DELLE CONFIGURAZIONI DI SICUREZZA DEI DEVICES
• GESTIONE DINAMICA DEI PROFILI UTENTE E DELLE RISPETTIVE POLICY
• “TERZA PARTE FIDATA" PER LA VALIDAZIONE REAL-TIME
DELL’AFFIDABILITÀ E DELL’IDENTITÀ DI UNA CONTROPARTE COINVOLTA
IN UNA TRANSAZIONE ON-LINE
• ANALISI DEI FENOMENI, GESTIONE DELLE INTERAZIONI CON I VARI
STAKEHOLDERS E CON L’ECOSISTEMA DELLA CYBERSECURITY,,
GOVERNANCE COMPLESSIVA DEL SISTEMA
ELISA OPERA SU DUE LIVELLI FUNZIONALI

54. Copyright © 2012 NTT DATA 54
LA SOLUZIONE SPECIFICA PER L’UTENZA MOBILE: LA PIATTAFORMA DYMORA

55. Copyright © 2012 NTT DATA 55
RISPONDE ALLE ESIGENZE DI SICUREZZA DEL MONDO CONSUMER – PARENTAL CONTROL

56. Copyright © 2012 NTT DATA 56
ESIGENZE DEL MONDO CONSUMER - GARANZIA DI PRIVACY E SICUREZZA NELL’USO DEL PROPRIO
SMARTPHONE
Area Privata
Set di App sicure rese
accessibili in un’area privata
su Smartphone e Tablet e
gestite dal Cloud
• Private Browser
• Private Mail
• Private File Viewer,
• Private Camera
• Private Contact List
• Data Backup
• Private SMS
• ...

57. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 5757
Multi-user, blocco,
Selective Wipe,
Single Sign On,
impostazioni su WiFi,
e-mail,
Monitoraggio App
store, controllo
distribuzione,
aggiornamenti,
whitelist&blacklist
Accesso sicuro e
condivisione
documenti,
sincronizzazione &
modifica, notifiche
push
Protezione aggiuntiva
per App aziendali,
browser, network e
specifiche risorse
SOLUZIONE
COMPLETA E
CUSTOMER ORIENTED
USER
PROTECTION
APPLICATION
PROTECTION
DATA
PROTECTIO
N
SYSTEM
PROTECTION
DYMORA È ANCHE ENTERPRISE MOBILITY MANAGEMENT

58. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 5858
Gestione dei device mobili con strumenti di configurazione e
implementazione di Policy aziendali specifiche
Configurazione ed
orchestrazione delle policy
di sicurezza sui device.
Crittografia, configurazioni
WiFi, gestione in caso di
furto, collegamento ad altri
hardware, lista applicazioni
abilitale, ecc.
Orchestrazi
o-ne policy
di sicurezza
Gestione dei device da
remoto (tramite la console
DyMoRA): esecuzione di
Selective Remote Wipe di
dati/APP/configurazioni;
blocco da remoto, mapping
del device, ecc
Selective
Wipe
Ciascun device può essere
utilizzato da più utenti; le
policy di sicurezza e i
privilegi per ogni profilo
sono regolati centralmente,
e ciascun utente può
accedere ad una «area
privata»
Multi-User
Device
La componente MIDA
fornisce un solido servizio
di autenticazione per gli
utenti e regola l’accesso
alle informazioni, che
viaggiano tramite canale di
comunicazione specifico e
controllato
Mobile
Identity
Assurance
(MIDA)
DYMORA PER LA GESTIONE DEI DEVICES AZIENDALI E PER LE FUNZIONALITÀ DI IDENTITY PROVIDER

59. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 5959
Protezione completa dai rischi associati alle APP, tramite controllo
della distribuzione e dell’utilizzo; report periodici e gestione delle «APP
fake»
• Controllo dell’approvvigio-
namento dai Market
Place con identificazione
e segnalazione di APP
fake e black market
• Calcolo del Risk Scoring
in base a: contesto di
utilizzo, tipologia di
device e APP,
comportamento
dell’utente
Monitoraggi
o dei mobile
App market
• Reporting sulle
performance di utilizzo
delle APP (user, tasso di
utilizzo, velocità media, nr
di segnalazioni, ecc..)
• Monitoraggio per la
prevenzione da frodi degli
utenti
Report di
performanc
e
Ambiente controllato, per
l’esecuzione sicura di APP
aziendali e relativi dati, in
funzione di policy
predefinite:
•APP wrapping: strato
protettivo aggiuntivo per le
APP aziendali
•Secure Development Kit:
ambiente di sviluppo
protetto per
l’implementazione di APP
in-house e l’esecuzione in
ambiente separato
APP
Wrapping &
SDK
Utilizzo sicuro delle APP
anche Off-Line, tramite
autenticazione locale e
attivazione automatica
della policy di contesto
Local APP
DYMORA PER LA GESTIONE DEI RISCHI SULLE APPLICAZIONI AZIENDALI

60. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 6060
Accesso sicuro e aggiornato ai contenuti, tramite le funzionalità di
Secure Container, Content Push, e Content Access
• Contenitore virtuale per la
gestione sicura delle App
aziendali
• Le APP più comuni sono:
Browser, Mail, File
Server, Camera, Contact
List, Chat, ecc.
• I contenuti gestiti
provengono da allegati
delle Email, dal repository
in back-end,
dall’amministratore o altro
personale
Secure
Container
• Rilascio di documenti in
modalità Push
• Controllo del versioning
dei documenti
• Notifica agli utenti i nuovi
file
• Segnalazione delle
scadenze
Content
Push
• Connessione ad un
repositòry di back-end
per accedere ai content
dai propri device mobili
• Supporto per specifiche
repository di Back-end
(es. sharepoint)
• Regolazione dei
download dei documenti
in caso di roaming
• Audit sui log degli
accessi/ downdoads dei
file
Content
Access
DYMORA PER LA GESTIONE DEI CONTENUTI AZIENDALI RESI DISPONIBILI SU MOBILE

61. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 6161
Contenitore virtuale per la gestione sicura delle App aziendali
Secure Container
Disponibili due tipologie di development kit:
• Secure Container: Librerie per lo sviluppo sicuro di
HTML5 App:
− App segregation & Data encryption
− Controlled acces to information on a user basis
− Anti-tampering & Anti reverse-engineering
− Set of HTML5 API for in-house development
• Secure Storage: librerie per lo sviluppo di APP
standalone: Security keys management for APP data
encryption
− Files/folder encryption
− Digital signature available for beeing used within
the App
− …
Mobile Identity Management con servizio On
Premise o Cloud e autenticazione Single Sign-on
Gestione On Premise o Cloud delle policy e
privilegi di accesso alle risorse
DYMORA PER LO SVILUPPO DI APP AZIENDALI SICURE

62. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 6262
Le Policy di sicurezza sono context-based e si attivano
automaticamente in base a luogo, data, ora, device e utente
connesso
Definizione e attivazione di regole di policy
Globali, per Device, e per Utente
Quando si verificano le condizioni impostate
avviene uno swap automatico sul dispositivo,
dallo scenario Business (BYOD/COPE) al
Privato, con attivazione delle relative APP e
specifiche funzioni del Device (es. Camera,
bluetooth, WiFi, ecc.)
Administrator
User
DYMORA PER LA GESTIONE CONTEXT-BASED DELLE POLICY DI SICUREZZA SUL MOBILE

63. Copyright © 2012 NTT DATA Copyright © 2014 NTT DATA Italia S.p.A. 6363
DYMORA PER GESTIRE GLI UTENTI MOBILE

64. Copyright © 2012 NTT DATA 64
MIDA: LA SOLUZIONE PER LO SCENARIO SPID (SISTEMA PUBBLICO IDENTITÀ DIGITALI)
MIDA App
Secure ContainerSecure Container
Secure
Storage
Secure
Storage
Secure Storage Controller
Login/
Logout
Selective wipe
Legenda
Connectors
Data Base
Internal Modules
Secure
Storage modules
External
Authentication process
CRUD
Internal functionsInternal functions
MIDA
App
CRYPTO
ENGINES
• Crypto SIM
• External Crypto
Tokens
• Host Card Emulator
(HCE)
Supported
external crypto
modules for
Private Key
generation &
storage
MIDA - SPID LEVEL 3
COMPLIANT