security summit milano 2016 sessione plenaria del 15.03 del rapporto clusit... · 300 400 500 600...
TRANSCRIPT
Security Summit Milano 2016
Sessione Plenaria del 15.03.2016
Rapporto Clusit 2016 sulla sicurezza ICT in Italia
Intervengono alcuni degli autori:
• Andrea Zapparoli Manzoni, Clusit
• Davide Del Vecchio, FASTWEB, Clusit
• Paolo Bufarini, Akamai
Partecipano:
• Ivano Mantovani, IBM
• Gastone Nencini, Trend Micro
• Andrea Piazza, Microsoft
• Federico Santi, Hewlett Packard Enterprise
• Alessandro Vallega, Oracle Italia
• Stefano Volpi, Cisco
Panoramica dei cyber attacchi più significativi del 2015
• Analisi dei principali attacchi a livello globale
• Analisi degli attacchi italiani
• Analisi FASTWEB della situazione italiana in materia di cyber-crime e
incidenti informatici
• Alcuni elementi sul cyber-crime in ambito finanziario con focus
sull’Europa (a cura di IBM)
• Rapporto 2015 sullo stato di Internet ed analisi globale degli attacchi
DDoS (a cura di Akamai)
• L’ecosistema criminale nel Dark Web
• Le segnalazioni del CERT Nazionale
• La visione del CERT-PA
Speciale EXPO MILANO 2015
Una delle chicche di questa edizione del Rapporto è lo “Speciale Milano
EXPO 2015”, che racconta l’esperienza di coloro che si sono occupati
della gestione della sicurezza e degli attacchi avvenuti durante l’EXPO:
• Cisco Systems
• il CERT di Poste Italiane
• il C.N.A.I.P.I.C. (nucleo speciale in seno alla Polizia Postale)
Il mercato italiano della sicurezza IT: analisi, prospettive e
tendenze secondo IDC
Altra novità del Rapporto Clusit 2016 è
un’analisi del mercato italiano della
sicurezza IT, realizzata appositamente da
FOCUS ON 2016
• Assicurare il rischio informatico.
[Con il contribuito di CHUBB e Margas]
• E-Commerce. [A cura di @Mediaservice.net e Netcomm]
• Il furto di credenziali: fattori di rischio e linee guida per la sicurezza delle
aziende italiane. [A cura di Microsoft]
• Dalla Sicurezza Informatica alla Protezione aziendale: nuovi modelli di
prevenzione e di gestione degli incidenti.
[A cura di Hewlett Packard Enterprise]
• Le nuove sfide nel campo della Robotica: la sicurezza informatica. [A
cura di Tech and Law Center]
• Sicurezza del Database a che punto siamo? [A cura di Oracle]
• L’insicurezza è la nuova normalità: prospettive per la Mobile Security
(nel 2016) [A cura di G DATA]
Analisi Clusit dei principali attacchi a
livello globale
Andrea Zapparoli Manzoni
Rapporto Clusit 2016 sulla sicurezza ICT in Italia
Gli attacchi gravi di dominio pubblico a livello globale
Andrea Zapparoli Manzoni
4.653 attacchi analizzati dal
gennaio 2011 al dicembre 2015.
469 nel 2011
1.183 nel 2012
1.154 nel 2013
873 nel 2014
1.012 nel 2015
Negli ultimi 72 mesi abbiamo ricavato da fonti aperte ed analizzato in media
80 incidenti gravi al mese. Nel 2015 in media 84 al mese, pur applicando
criteri di selezione più stringenti (*)
(*) Nel 2014 il numero assoluto di attacchi gravi che abbiamo registrato è diminuito rispetto al
2013 perché abbiamo reso più restrittivi i criteri di classificazione, per allinearli al livello
crescente della gravità delle minacce. Ciò nonostante, il numero degli attacchi gravi di
dominio pubblico nel 2015 è aumentato del 14% rispetto al 2014.
0
100
200
300
400
500
600
700
1 H2011
2 H2011
1 H2012
2 H2012
1 H2013
2 H2013
1 H2014
2H2014
1H2015
2H2015
Number of Attacks per Semester
© Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia
Distribuzione degli attacchi gravi di dominio pubblico per mese nel 2015
Andrea Zapparoli Manzoni
0
20
40
60
80
gen-15 feb-15 mar-15 apr-15 mag-15 giu-15 lug-15 ago-15 set-15 ott-15 nov-15 dic-15
Numero di attacchi registrati per mese, per tipologia di attaccanti
HACKTIVISM
CYBERCRIME
UNKNOWN
ESPIONAGE
CYBER WARFARE
© Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia
Distribuzione % degli attacchi gravi di dominio pubblico per area geografica
Andrea Zapparoli Manzoni
AM47%
EU21%
AS18%
Multi9%
OC3%
AF2%
Appartenenza geografica delle vittime per continente nel 2015
© Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia
Distribuzione % degli attacchi gravi di dominio pubblico per attaccante
Andrea Zapparoli Manzoni
0%
10%
20%
30%
40%
50%
60%
70%
CYBERCRIME HACKTIVISM ESPIONAGE CYBER WAR. UNKNOWN
36%
24%
5%3%
32%
54%
31%
2%4%
9%
53%
39%
6%2%
0%
60%
27%
8%5%
0%
68%
21%
9%
2% 0%
Distribuzione percentuale degli attaccanti per anno - 2011 - 2015
2011
2012
2013
2014
2015
© Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia
Andrea Zapparoli Manzoni
Distribuzione % degli attacchi gravi di dominio pubblico per tipo di bersaglio
0%
5%
10%
15%
20%
25%
30%
35%
Distribuzione percentuale delle tipologie di bersagli - 2011 - 2015
2011
2012
2013
2014
2015
© Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia
Andrea Zapparoli Manzoni
Distribuzione % degli attacchi gravi di dominio pubblico per tecniche usate
0%
5%
10%
15%
20%
25%
30%
35%
40%
45% 42%
16%
6%
23%
1% 2%
7%
2% 1%
37%
25%
14%12%
1%3%
5%2% 1%
19%21%
17%
22%
6%
10%
5%
1% 0%
13%
23%
9%
22%
7%10%
15%
1% 1%
18%
23%
10%
18%
10%9%
11%
1% 0%
Distribuzione percentuale delle tipologie di tecniche usate - 2011 - 2015
2011
2012
2013
2014
2015
© Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia
Trends 2016+
Andrea Zapparoli Manzoni
Social Network: il primo vettore di attacco
La minaccia diventa "industrializzata": macchine contro macchine
Ransomware e Ransomweb: un fenomeno irrefrenabile
IoT e sistemi embedded sempre più sotto attacco
"Consumerization" del malware e cybercrime as-a-service
Azioni di Cyber Warfare / Terrorism con conseguenze nel mondo
fisico, anche gravi
Cosa ci aspettiamo per i prossimi 12-24 mesi
Analisi FASTWEB
della situazione nazionale
Davide Del Vecchio
Rapporto Clusit 2016 sulla sicurezza ICT in Italia
Eventi di Sicurezza
2013 2014 2015
circa 172 mila oltre 5 milioni oltre 8 milioni
+1600% +60%
Eventi Sicurezza - 2015
Dati FASTWEB relativi all’anno 2015
98.19%
1.42% 0.40%
Malware; 865.267
DDoS; 12.500
Defacement; 3.490
Tipologie di attacchi informatici
74.54%
25.44%
0.02%
Cyber Crime; 1.610.718
Cyber Espionage; 549.658
Hacktivism; 416
Cyber Warfare; 0
Motivazione degli attacchi informatici
Attacchi DDoS
2013 2014 2015
≈ 1000 attacchi ≈ 16 mila attacchi ≈ 12.500 attacchi
+1600% -22%
Attacchi DDoS
Dati FASTWEB relativi all’anno 2015
-
2
4
6
8
10
12
14
16
18
Gbps
Picchi di traffico relativi ad attacchi DDOS
0
2
4
6
8
10
12
14
16
18
Gbps
Banda mitigata dalla piattaforma
€ -
€ 50'000
€ 100'000
€ 150'000
€ 200'000
€ 250'000
€ 300'000
€ 350'000
€ 400'000
€ 450'000
€ 500'000
2014 2015
Impatto annuale frodi telefoniche
Attacchi VOIP
Banking; 1; 1%Small; 45; 59%
Medium/Large; 19; 25%
PA Locali; 10; 13%
PA Centrale; 1; 1%
Ente pubblico; 1; 1%
Banking Small Medium/Large PA Locali PA Centrale Ente pubblico
Dati Fastweb relativi all'anno 2015
Rapporto 2015
sullo stato di Internet ed analisi globale
degli attacchi DDoS
Paolo Bufarini - AKAMAI
Rapporto Clusit 2016 sulla sicurezza ICT in Italia
Un piattaforma Cloud distribuita in tutto il
mondo che gestisce la crescente
complessita’ della rete Internet
• 200.000 > server, 1.400 networks
• 15 -30 % del traffico Internet
• 36 Tbps di picco di traffico
• 20 Millioni di dati di attacco al giorno
The Akamai
Intelligent Platform
Analisi degli attacchi DDoS e trend emergenti
• L’anno 2015 ha stabilito un record per il numero di attacchi
DDoS osservati attraverso la rete con più del doppio del
numero degli attacchi registrato nel 2014.
• Tuttavia, il profilo degli attacchi è cambiato. L'anno scorso
gli attacchi ad alta larghezza di banda e attacchi di breve
durata erano la norma. Ma nel 2015 il tipico attacco DDoS è
stato inferiore a 10 gigabit al secondo (Gbps) con durata di
meno di 24 ore.
• Ci sono stati diversi mega-attacchi nel 2015, ciascuno di
ampiezza superiore a 100 Gbps: il più grande attacco
DDoS osservato da Akamai ha raggiunto un picco a 240
Gbps.
Monitoraggio delle minacce a livello globale
• I team Akamai CSIRT e PLXsert monitorano le minacce
informatiche a livello globale e analizzano gli attacchi.
Attraverso ricerche, indagini digitali e analisi post-evento,
Akamai crea un quadro globale delle minacce alla
sicurezza, delle vulnerabilità e dei trend, che viene
condiviso con i clienti e la community impegnata nella
sicurezza. 2 trilioni di hits al giorno
780 milioni di indirizzi IPv4 osservati a trimestre
260+ terabytes di file di log compressi
20 Terabytes di dati giornalieri su attacchi
2 Petabytes di dati di sicurezza archiviati
45 giorni di ciclo di vita del dato
CSICloud Security
Intelligence
Paolo Bufarini - AKAMAI
Analisi degli attacchi DDoS e trend emergenti
• Durante lo scorso anno 2015, i vettori degli attacchi DDoS
sono mutati.
• Nel 2015 gli attacchi basati su Simple Service Discovery
Protocol (SSDP) hanno rappresentato più del 20% dei
vettori di attacco. SSDP viene abilitato di default su milioni
di dispositivi per abitazioni ed uffici, tra cui router, server
multimediali, web cam, televisori intelligenti e stampanti, in
modo da permettere loro di scoprire l'altro su di una rete,
stabilire la comunicazione e coordinare le attività. Se
lasciati non protetti o mal configurati, questi dispositivi
connessi a Internet possono essere sfruttati per l'uso come
riflettori di attacchi DDoS (Internet-of-Things - IOT).
La crescente minaccia dei siti di “Booter-stresser”
• La diminuzione di durata della media degli attacchi può
essere attribuita ad alcuni fattori. Il fattore principale è il
crescente utilizzo di strumenti di tipo “Booter-Stresser”.
• I siti che offrono strumenti di “Booter-Stresser” sono per
definizione impostati per consentire agli amministratori di
sistema di testare il carico di prova dei propri siti Web.
Molti di questi siti sono semplicemente strumenti di “DDoS-
for-hire” sotto mentite spoglie, basandosi sull'utilizzo di
attacchi di tipo reflection per generare il loro traffico.
• Il loro crescente utilizzo è il motivo del calo della durata
media degli attacchi osservata nel corso del 2015.
Le 10 nazioni fonti di attacchi DDoS
DD4BC e Armada Collective
• Nel 2015 abbiamo censito numerose campagne di riscatto
tramite attacchi DDoS rivolte a clienti appartenenti a diversi
settori di mercato. Un nuovo gruppo responsabile di questi
attacchi si autodefinisce "Armada Collective".
• Le sue tattiche sono simili a quelle utilizzati dal Gruppo
"DD4BC", dove minacciano la vittima con e-mail di avviso
di un imminente DDoS contro il loro sito web a meno che
un riscatto non sia pagato in Bitcoin. Nei messaggi di posta
elettronica, il gruppo di attori maligni si sono presentati e
hanno informato la vittima che i loro server sarebbero stati
vittima di un attacco DDoS a meno che non avessero
pagato un riscatto specifico in Bitcoin
Settori di mercato oggetto di attacchi
L’anno 2015 in sintesi
Aumento del numero totale degli attacchi DDoS
Diminuzione degli attacchi DDoS a livello applicativo (Layer 7)
Aumento degli attacchi DDoS a livello infrastrutturale (Layer 3 & 4)
Diminuzione della durata degli attacchi
Diminuzione del numero di attacchi superiori ai 100 Gbps
Diminuzione della banda media degli attacchi DDoS
Diminuzione dei picchi medi del volume degli attacchi DDoS
Aumento degli attacchi basati su riflessione
Conclusioni
• Previsione di crescita di attacchi DDoS di lunga durata nel 2016
• Attori dannosi come DD4BC, Armada Collettive e il Team OurMine
continuano ad essere persistenti e creativi.
• Prevediamo inoltre che i vettori SYN e SSDP rimarrano popolari
come sfuttamento dei device -IoT- come riflettori SSDP di attacchi
DDoS.
• Il settore dei Servizi finanziari rimarra’ un obiettivo di rilievo date le
miriade di opportunità dei cybercrimer per estrarre e monetizzare i
dati sensibili trafugati.
• La collaborazione continua ad essere un imperativo per lo
sviluppo dell’industria del software e dell’hardware, fornitori di
servizi applicativi e cloud, e l’industria della sicurezza al fine di
interrompere il ciclo di sfruttamento di massa, di costruzione di reti
Botnet e per la monetizzazione.
Per maggiori informazioni e per chiedere una copia del rapporto in formato digitale: