際際滷

際際滷Share a Scribd company logo

APT, Social Network e Cybercriminali: Strategie difensive

iDIALOGHI
iDIALOGHI

APT, un cyberattacco mirato e persistente Chiunque pu嘆 essere un bersaglio Obiettivi economici, tecnici, militari, politici Dal Social Engineering ai Social Networks Minacce derivanti dai Social Media I Social Media sono bersagli ...ma sono anche il paradiso del Cybercrime Incidenti pi湛 eclatanti Maladvertising Strategie difensive

1 of 29
Downloaded 25 times
APT, Social Network eAPT, Social Network e CybercriminaliCybercriminali:: StrategieStrategie difensivedifensive SecuritySecurity Summit Milano,Summit Milano, 1919 MarzoMarzo 20152015 PaoloPaolo StagnoStagno -- CyberCyber SecuritySecurity AnalystAnalyst
Paolo StagnoPaolo Stagno Cyber SecurityCyber Security AnalystAnalyst,, iiDIALOGHIDIALOGHI Specializzato in Penetration Test,Specializzato in Penetration Test, VulnerabilityVulnerability AssessmentAssessment,, CybercrimeCybercrime, Underground Intelligence,, Underground Intelligence, Network &Network & ApplicationApplication Security.Security. Speaker per varie conferenze internazionali quali DEFCON,Speaker per varie conferenze internazionali quali DEFCON, BlackHatBlackHat ee DroidconDroidcon.. Contributore RapportoContributore Rapporto ClusitClusit 20152015 $whois$whois
APTAPT
APTAPT--cheche???? CyberattaccoCyberattacco mirato e persistentemirato e persistente AAdvanced: lattaccante pu嘆 operare nellintero spettro delle intrusioni. Pu嘆 utilizzare un exploit pubblico contro una vulnerabilit nota oppure pu嘆 ricercare nuove vulnerabilit e sviluppare exploit custom; a seconda della postura del bersaglio PPersistent: lattaccante 竪 formalmente incaricato di compiere una missione, sono unit dintelligence che ricevono direttive precise. Persistente non significa il bisogno costante di eseguire codice dannoso sul computer target, 竪 mantenere il livello di interazione necessario a portare a termine gli obiettivi TThreat: l'avversario non 竪 un pezzo di codice senza cervello, questo punto 竪 cruciale. Alcune persone utilizzano il termine minaccia con riferimento ai malware utilizzati. I malware hanno persone fisiche dietro ad essi, qualcuno per controllare la vittima, leggere i dati rubati, ecc
IntroIntro Gli attacchi APT NON sono attacchi normali. Lobiettivo finale di un attacco APT 竪 compromettere un computer che contiene specifici dati di valore. Lideale 竪 riuscire a posizionare un keylogger o una backdoor nel computer di un Dirigente. O della sua segretaria.
IntroIntro Gli attaccanti preferiscono colpire un impiegato che si trovi un po pi湛 in basso nella scala gerarchica, il computer di questo impiegato non avr dati di particolare valore, ma trovandosi allinterno della rete in cui verr usato per raggiungere i veri target. Sono tattiche complesse, si inizia a colpire obiettivi sempre oscuri e lontani dallobiettivo finale, organizzando attacchi a catena per raggiungere i dati di valore. Chiunque pu嘆 essere un potenziale bersaglioChiunque pu嘆 essere un potenziale bersaglio
APT TargetAPT Target Obiettivi economiciObiettivi economici: furto di propriet intellettuale, tale propriet pu嘆 essere clonata, venduta e studiata nei rapporti concorrenziali o fusa con la ricerca locale per la produzione di nuovi prodotti e servizi a prezzi inferiori Obiettivi tecniciObiettivi tecnici: mirano a migliorare la comprensione del target. Includono l'accesso al codice sorgente per lo sviluppo di exploit o imparare come funzionano gli strumenti di difesa al fine di eluderli. Pi湛 preoccupante 竪 il pensiero che gli attaccanti possano apportare modifiche per migliorare la loro posizione e indebolire la vittima
APT TargetAPT Target Obiettivi militariObiettivi militari: identificare debolezze che permettano di sconfiggere forze militari superiori Obiettivi politiciObiettivi politici: inclusa repressione della popolazione in nome della stabilit politica
KillKill ChainChain
InsideInside anan APTAPT
InsideInside anan APTAPT Si parte sempre dalSi parte sempre dal SocialSocial EngineeringEngineering Gli hacker usano di solito i siti di Social Network per trovare le informazioni necessarie e individuare specifici utenti di unorganizzazione. Alcuni dei principali vettori di infezioni sono le e-mail, Skype, USB, telefonate e messaggi delle chat, con i payload del malware che si presentano sotto forma di pdf, html compresso, xml, script file, eseguibili e allegati. Nella maggior parte delle strategie di difesa, il vero tallone dAchille sono le persone, non le tecnologie.
Social EngineeringSocial Engineering Ingegneria Sociale:Ingegneria Sociale: manipolazione della naturale tendenza umana a fidarsi
Social NetworkSocial Network Dietro lapparente semplicit e funzionalit dei Social Media si cela un universo di interazioni molto complesse tra persone, sistemi informatici e reti di comunicazione, allinterno del quale si muovono, pressoch辿 indisturbati, criminali, concorrenti e malintenzionati di ogni genere.
Social NetworkSocial Network Oggi 竪 necessaria una convergenza tra competenze di Marketing e Comunicazione e competenze di ICT Security, o quantomeno una stretta collaborazione tra le due aree, dal momento che per il solo fatto di essere presente in rete tramite un Social Media unazienda si espone rischi concreti, potenzialmente molto gravi
Minacce Generiche Malware (trojan, worms, rootkits, etc) Applicazioni di terze parti non trusted Spam (in combinazione con malware) Mal-advertising Phishing & Whaling Furto di identit Danni alla privacy Diffamazione / Stalking Social NetworkSocial Network
Minacce specifiche per il Business Danni all'immagine ed alla reputazione Perdita di dati riservati / propriet intellettuale Open Source Intelligence (OSINT) da parte di concorrenti Danni a terze parti (liabilities / responsabilit) Frodi e Social Engineering Social NetworkSocial Network
Social NetworkSocial Network I Social Media sono bersagliI Social Media sono bersagli Essendo diventati a tutti gli effetti unarma ed un campo di battaglia, i Social Media sono inevitabilmente anche diventati un obiettivo. Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e resi irraggiungibili, oppure pi湛 semplicemente inutilizzabili. In effetti 竪 gi successo, a causa di: rivolte, insurrezioni e guerre civili attacchi cyber di vario genere e scopo azioni di sabotaggio e di protesta censura di Stato (Cina, Turchia, etc)
Social NetworkSocial Network I Social Media sono il paradiso delI Social Media sono il paradiso del CybercrimeCybercrime Oggi i Social Media sono diventati una dei principali terreni di caccia per il cybercrime organizzato trans-nazionale, che ha raggiunto un giro daffari nel 2013 (stimato) di 15-20 miliardi di dollari, in crescita del 150% sullanno precedente. Il costo totale worldwide del solo cyber crime (perdite dirette, costi & tempo dedicati a rimediare agli attacchi) nel 2012 竪 stato stimato in 388 Md $, e quasi 500 Md $ nel 2013. Se il trend continua, nel 2014 questi costi saranno pari a met del PIL italiano. Una quota crescente di queste perdite derivano dalluso sconsiderato e superficiale dei social networks e dal fatto che i SN fanno security theater, non vera security. Di conseguenza, il ROI per gli attaccanti 竪 massimo, ed i rischi minimi.
Social NetworkSocial Network Lattacco ad AlpitourLattacco ad Alpitour Lattacco di Cybercriminali al Gruppo Alpitour su Facebook ha esposto 120.000 friends (incluse numerose agenzie di viaggi) al malware Zeus per 50 ore.
Social NetworkSocial Network Non solo CyberNon solo Cyber CriminaliCriminali PsyOps test via Twitter ( Syrian Electronic Army, un gruppo mercenario pro-Assad)
MalvertisingMalvertising
Strategie DifensiveStrategie Difensive I tre principi cardine della sicurezza, sono: 1.1. CompartimentalizzazioneCompartimentalizzazione 2.2. Difesa approfonditaDifesa approfondita 3.3. Riduzione dei privilegi amministrativiRiduzione dei privilegi amministrativi La combinazione di questi tre elementi fa s狸 che se una parte del sistema (o persona) viene compromesso, non venga compromesso lintero sistema. Per quanto semplici a livello concettuale, questi principi si sono dimostrati complicati da implementare.
Strategie DifensiveStrategie Difensive Oltre il perimetroOltre il perimetro Le aziende si sono a lungo basate sulla nozione di perimetro. Nelle moderne organizzazioni definire i confini 竪 praticamente unimpresa. Linclusione di utenti parzialmente affidabili come clienti, venditori, partner, fornitori di servizi, cloud e altri hanno reso i confini delle organizzazioni a dir poco permeabili. Andando oltre, c竪 da dire che la consumerizzazione dellIT ha portato allinterno delle imprese dispositivi non prima gestiti, rendendo molto meno marcata la linea che divideva la vita professionale dei dipendenti dalla loro vita privata.
Strategie DifensiveStrategie Difensive Definizione bersaglio Analisi bersaglio Ingresso iniziale Deployement Espansione Consolidamento Sviluppo attacco Copertura
Strategie DifensiveStrategie Difensive Conoscere lConoscere lassetasset La sicurezza migliora quando vi 竪 maggiore consapevolezza della situazione: per individuare le minacce allorizzonte 竪 fondamentale imparare a capire cosa sta accadendo oltre i confini della rete. La realt delle minacce sofisticate, richiede un approccio innovativo, considerato che la sicurezza delle informazioni 竪 un problema di anello debole, solo la comprensione degli asset, dei processi e degli endpoint in possesso pu嘆 permettere di predisporre un valido sistema di difesa. Il 92% di tutte le organizzazioni e il 49% delle grandi organizzazioni 竪 venuta a conoscenza di una violazione della sicurezza perch辿 informata da un soggetto esterno (Verizon Data Breach 2012)
Strategie DifensiveStrategie Difensive Essere preparatiEssere preparati Dal momento che subire un incidente 竪 solo questione di tempo, 竪 di fondamentale importanza implementare un insieme di processi di gestione del rischio, armonizzati e coordinati allinterno di un piano complessivo di Social Business Security che includa: Prevenzione Monitoraggio Moderazione <in ottica security> Gestione Crisis Management
Essere preparatiEssere preparati Definizione di policies e responsabilit per tutti gli attori coinvolti Moderazione in real time della conversazione in ottica Security Prevenzione delle minacce tramite Cyber Intelligence Analisi dei Rischi Cyber ed aggiornamento continuo Tutela legale (proattiva e reattiva) Gestione degli incidenti e degli attacchi informatici Questo sia per ottimizzare il ROI del Social Business, sia per evitare danni economici o dimmagine (anche importanti e complessi da sanare), sia per impedire la perdita di dati sensibili o per rimediare ove gli incidenti si siano gi verificati. Strategie DifensiveStrategie Difensive
Some things in life areSome things in life are unpredictable,unpredictable, your IT Securityyour IT Security doesntdoesnt have to behave to be oneone of themof them
Domande?Domande? Paolo StagnoPaolo Stagno p.stagno@idialoghi.com www.idialoghi.com info@idialoghi.com facebook.com/idialoghi twitter.com/idialoghi

More Related Content

APT, Social Network e Cybercriminali: Strategie difensive

  • 1. APT, Social Network eAPT, Social Network e CybercriminaliCybercriminali:: StrategieStrategie difensivedifensive SecuritySecurity Summit Milano,Summit Milano, 1919 MarzoMarzo 20152015 PaoloPaolo StagnoStagno -- CyberCyber SecuritySecurity AnalystAnalyst
  • 2. Paolo StagnoPaolo Stagno Cyber SecurityCyber Security AnalystAnalyst,, iiDIALOGHIDIALOGHI Specializzato in Penetration Test,Specializzato in Penetration Test, VulnerabilityVulnerability AssessmentAssessment,, CybercrimeCybercrime, Underground Intelligence,, Underground Intelligence, Network &Network & ApplicationApplication Security.Security. Speaker per varie conferenze internazionali quali DEFCON,Speaker per varie conferenze internazionali quali DEFCON, BlackHatBlackHat ee DroidconDroidcon.. Contributore RapportoContributore Rapporto ClusitClusit 20152015 $whois$whois
  • 4. APTAPT--cheche???? CyberattaccoCyberattacco mirato e persistentemirato e persistente AAdvanced: lattaccante pu嘆 operare nellintero spettro delle intrusioni. Pu嘆 utilizzare un exploit pubblico contro una vulnerabilit nota oppure pu嘆 ricercare nuove vulnerabilit e sviluppare exploit custom; a seconda della postura del bersaglio PPersistent: lattaccante 竪 formalmente incaricato di compiere una missione, sono unit dintelligence che ricevono direttive precise. Persistente non significa il bisogno costante di eseguire codice dannoso sul computer target, 竪 mantenere il livello di interazione necessario a portare a termine gli obiettivi TThreat: l'avversario non 竪 un pezzo di codice senza cervello, questo punto 竪 cruciale. Alcune persone utilizzano il termine minaccia con riferimento ai malware utilizzati. I malware hanno persone fisiche dietro ad essi, qualcuno per controllare la vittima, leggere i dati rubati, ecc
  • 5. IntroIntro Gli attacchi APT NON sono attacchi normali. Lobiettivo finale di un attacco APT 竪 compromettere un computer che contiene specifici dati di valore. Lideale 竪 riuscire a posizionare un keylogger o una backdoor nel computer di un Dirigente. O della sua segretaria.
  • 6. IntroIntro Gli attaccanti preferiscono colpire un impiegato che si trovi un po pi湛 in basso nella scala gerarchica, il computer di questo impiegato non avr dati di particolare valore, ma trovandosi allinterno della rete in cui verr usato per raggiungere i veri target. Sono tattiche complesse, si inizia a colpire obiettivi sempre oscuri e lontani dallobiettivo finale, organizzando attacchi a catena per raggiungere i dati di valore. Chiunque pu嘆 essere un potenziale bersaglioChiunque pu嘆 essere un potenziale bersaglio
  • 7. APT TargetAPT Target Obiettivi economiciObiettivi economici: furto di propriet intellettuale, tale propriet pu嘆 essere clonata, venduta e studiata nei rapporti concorrenziali o fusa con la ricerca locale per la produzione di nuovi prodotti e servizi a prezzi inferiori Obiettivi tecniciObiettivi tecnici: mirano a migliorare la comprensione del target. Includono l'accesso al codice sorgente per lo sviluppo di exploit o imparare come funzionano gli strumenti di difesa al fine di eluderli. Pi湛 preoccupante 竪 il pensiero che gli attaccanti possano apportare modifiche per migliorare la loro posizione e indebolire la vittima
  • 8. APT TargetAPT Target Obiettivi militariObiettivi militari: identificare debolezze che permettano di sconfiggere forze militari superiori Obiettivi politiciObiettivi politici: inclusa repressione della popolazione in nome della stabilit politica
  • 11. InsideInside anan APTAPT Si parte sempre dalSi parte sempre dal SocialSocial EngineeringEngineering Gli hacker usano di solito i siti di Social Network per trovare le informazioni necessarie e individuare specifici utenti di unorganizzazione. Alcuni dei principali vettori di infezioni sono le e-mail, Skype, USB, telefonate e messaggi delle chat, con i payload del malware che si presentano sotto forma di pdf, html compresso, xml, script file, eseguibili e allegati. Nella maggior parte delle strategie di difesa, il vero tallone dAchille sono le persone, non le tecnologie.
  • 12. Social EngineeringSocial Engineering Ingegneria Sociale:Ingegneria Sociale: manipolazione della naturale tendenza umana a fidarsi
  • 13. Social NetworkSocial Network Dietro lapparente semplicit e funzionalit dei Social Media si cela un universo di interazioni molto complesse tra persone, sistemi informatici e reti di comunicazione, allinterno del quale si muovono, pressoch辿 indisturbati, criminali, concorrenti e malintenzionati di ogni genere.
  • 14. Social NetworkSocial Network Oggi 竪 necessaria una convergenza tra competenze di Marketing e Comunicazione e competenze di ICT Security, o quantomeno una stretta collaborazione tra le due aree, dal momento che per il solo fatto di essere presente in rete tramite un Social Media unazienda si espone rischi concreti, potenzialmente molto gravi
  • 15. Minacce Generiche Malware (trojan, worms, rootkits, etc) Applicazioni di terze parti non trusted Spam (in combinazione con malware) Mal-advertising Phishing & Whaling Furto di identit Danni alla privacy Diffamazione / Stalking Social NetworkSocial Network
  • 16. Minacce specifiche per il Business Danni all'immagine ed alla reputazione Perdita di dati riservati / propriet intellettuale Open Source Intelligence (OSINT) da parte di concorrenti Danni a terze parti (liabilities / responsabilit) Frodi e Social Engineering Social NetworkSocial Network
  • 17. Social NetworkSocial Network I Social Media sono bersagliI Social Media sono bersagli Essendo diventati a tutti gli effetti unarma ed un campo di battaglia, i Social Media sono inevitabilmente anche diventati un obiettivo. Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e resi irraggiungibili, oppure pi湛 semplicemente inutilizzabili. In effetti 竪 gi successo, a causa di: rivolte, insurrezioni e guerre civili attacchi cyber di vario genere e scopo azioni di sabotaggio e di protesta censura di Stato (Cina, Turchia, etc)
  • 18. Social NetworkSocial Network I Social Media sono il paradiso delI Social Media sono il paradiso del CybercrimeCybercrime Oggi i Social Media sono diventati una dei principali terreni di caccia per il cybercrime organizzato trans-nazionale, che ha raggiunto un giro daffari nel 2013 (stimato) di 15-20 miliardi di dollari, in crescita del 150% sullanno precedente. Il costo totale worldwide del solo cyber crime (perdite dirette, costi & tempo dedicati a rimediare agli attacchi) nel 2012 竪 stato stimato in 388 Md $, e quasi 500 Md $ nel 2013. Se il trend continua, nel 2014 questi costi saranno pari a met del PIL italiano. Una quota crescente di queste perdite derivano dalluso sconsiderato e superficiale dei social networks e dal fatto che i SN fanno security theater, non vera security. Di conseguenza, il ROI per gli attaccanti 竪 massimo, ed i rischi minimi.
  • 19. Social NetworkSocial Network Lattacco ad AlpitourLattacco ad Alpitour Lattacco di Cybercriminali al Gruppo Alpitour su Facebook ha esposto 120.000 friends (incluse numerose agenzie di viaggi) al malware Zeus per 50 ore.
  • 20. Social NetworkSocial Network Non solo CyberNon solo Cyber CriminaliCriminali PsyOps test via Twitter ( Syrian Electronic Army, un gruppo mercenario pro-Assad)
  • 22. Strategie DifensiveStrategie Difensive I tre principi cardine della sicurezza, sono: 1.1. CompartimentalizzazioneCompartimentalizzazione 2.2. Difesa approfonditaDifesa approfondita 3.3. Riduzione dei privilegi amministrativiRiduzione dei privilegi amministrativi La combinazione di questi tre elementi fa s狸 che se una parte del sistema (o persona) viene compromesso, non venga compromesso lintero sistema. Per quanto semplici a livello concettuale, questi principi si sono dimostrati complicati da implementare.
  • 23. Strategie DifensiveStrategie Difensive Oltre il perimetroOltre il perimetro Le aziende si sono a lungo basate sulla nozione di perimetro. Nelle moderne organizzazioni definire i confini 竪 praticamente unimpresa. Linclusione di utenti parzialmente affidabili come clienti, venditori, partner, fornitori di servizi, cloud e altri hanno reso i confini delle organizzazioni a dir poco permeabili. Andando oltre, c竪 da dire che la consumerizzazione dellIT ha portato allinterno delle imprese dispositivi non prima gestiti, rendendo molto meno marcata la linea che divideva la vita professionale dei dipendenti dalla loro vita privata.
  • 25. Strategie DifensiveStrategie Difensive Conoscere lConoscere lassetasset La sicurezza migliora quando vi 竪 maggiore consapevolezza della situazione: per individuare le minacce allorizzonte 竪 fondamentale imparare a capire cosa sta accadendo oltre i confini della rete. La realt delle minacce sofisticate, richiede un approccio innovativo, considerato che la sicurezza delle informazioni 竪 un problema di anello debole, solo la comprensione degli asset, dei processi e degli endpoint in possesso pu嘆 permettere di predisporre un valido sistema di difesa. Il 92% di tutte le organizzazioni e il 49% delle grandi organizzazioni 竪 venuta a conoscenza di una violazione della sicurezza perch辿 informata da un soggetto esterno (Verizon Data Breach 2012)
  • 26. Strategie DifensiveStrategie Difensive Essere preparatiEssere preparati Dal momento che subire un incidente 竪 solo questione di tempo, 竪 di fondamentale importanza implementare un insieme di processi di gestione del rischio, armonizzati e coordinati allinterno di un piano complessivo di Social Business Security che includa: Prevenzione Monitoraggio Moderazione <in ottica security> Gestione Crisis Management
  • 27. Essere preparatiEssere preparati Definizione di policies e responsabilit per tutti gli attori coinvolti Moderazione in real time della conversazione in ottica Security Prevenzione delle minacce tramite Cyber Intelligence Analisi dei Rischi Cyber ed aggiornamento continuo Tutela legale (proattiva e reattiva) Gestione degli incidenti e degli attacchi informatici Questo sia per ottimizzare il ROI del Social Business, sia per evitare danni economici o dimmagine (anche importanti e complessi da sanare), sia per impedire la perdita di dati sensibili o per rimediare ove gli incidenti si siano gi verificati. Strategie DifensiveStrategie Difensive
  • 28. Some things in life areSome things in life are unpredictable,unpredictable, your IT Securityyour IT Security doesntdoesnt have to behave to be oneone of themof them