際際滷

際際滷Share a Scribd company logo

Errori tipici nella gestione del data breach

CSI Piemonte
CSI Piemonte

Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021 Intervento di Paolo Dal Checco, Consulente informatico forense

1 of 17
Downloaded 39 times
Errori tipici nella gestione del data breach Paolo Dal Checco - Consulente Informatico Forense
Chi sono q PhD @UniTO nel gruppo di Sicurezza delle Reti e degli Elaboratori q Passato di R&D su crittografia e sicurezza delle comunicazioni q Collaborazione con Universit degli Studi di Torino e Milano q Consulente Informatico Forense, Perizie Informatiche per Privati, Aziende, Avvocati, Procure, Tribunali, F.F.O.O. CTU Informatico, CTP Informatico q Albo CTU e Periti del Tribunale di Torino, Periti ed Esperti CCIAA TO q Tra i fondatori e nel direttivo dellOsservatorio Nazionale dInformatica Forense (www.onif.it) q Socio IISFA, Tech & Law, Clusit, LAB4INT, Assob.It, AIP q www.dalchecco.it, www.ransomware.it, www.bitcoinforensics.it, www.osintbook.it q paolo@dalchecco.it, @forensico
Data Breach Episodio che causa la perdita/fuoriuscita dinformazioni riservate Perdita di riservatezza, integrit, disponibilit Es. data breach con ingresso criminale in azienda fuoriuscita di dati: Le aziende impiegano mesi per rilevare una intrusione* Lintruso rimane silente per diverso tempo Lintruso cancella le tracce dellaccesso e delloperato Spesso non 竪 possibile capire: Come lintruso 竪 entrato Cosa ha fatto (preso dati, criptato, installato malware, fatto da ponte per attaccare terzi, etc) Quanto tempo 竪 rimasto Se 竪 uscito *http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/
Esempio: Man in The Mail Nota anche come BEC Scam o Business Email Compromise Variante pi湛 pericolosa della CEO Fraud Esempio calzante della difficolt didentificare il perimetro Difficile capire: Come sono entrati Cosa hanno preso Se sono ancora dentro il perimetro Spesso diventa strategica la perizia informatica forense su smartphone, caselle di posta, PC e server per identificare da dove 竪 provenuto lattacco che ha causato limmissione di bonifici a errate coordinate IBAN Le perizie informatiche a uso legale, per utilizzo in Tribunale, possono permettere di smarcare le responsabilit di cliente e fornitore nellaccesso da parte dei criminali alle email utilizzate per perpetrare la truffa
Esempio: Ransomware Malware che infetta i sistemi (PC, server, talvolta Mac OS, Android, iOS e Linux) criptando i dati e chiedendo un riscatto (in genere in bitcoin) per fornire la chiave di decifratura In alcuni casi gli attacchi vengono fatti da criminali che accedono ai sistemi (in genere server, in genere via RDP) e fanno danni
Esempio: Trojan Keylogger, banking trojan, spy software Pu嘆 diffondersi via mail, allegato, link, phishing, navigazione web, SMB, macro, etc Spesso i trojan acquisiscono informazioni e mandano 束leak損 allesterno Possibile tracciatura: firewall, proxy, siem, ids, proxy, etc Possibili analisi: PC infetto
Esempio: Phishing Spesso vettore per Man in The Mail, Ransomware e Trojan Difficile da impedire tecnicamente In caso di compromissione, pu嘆 essere rilevato tramite analisi della posta o del PC del soggetto caduto nel tranello
Ci sono anche delle bufale
Come avviene un data breach
Errori tipici Spegnere tutto, staccare la rete, isolare i sistemi In alcuni casi pu嘆 avere senso (in particolare isolare i sistemi) ma va fatto pesando pro e contro
Errori tipici Non riferire ai responsabili IT o ai colleghi cosa 竪 successo Piccoli indizi possono indicare un attacco in corso (ma senza diventare paranoici) La comunicazione, nelle prime fasi, 竪 importante perch辿 permette di limitare i danni
Errori tipici Reinstallare tutto senza mantenere le evidenze digitali Va benissimo la business continuity, tenere presente anche la digital forensics Succede spesso con la posta elettronica: le email rilevanti vengono cancellate
Errori tipici Sistemi configurati senza log Oppure log non centralizzati ma sulle macchine attaccate Log che non differenziano correttamente gli utenti
Errori tipici Cattiva gestione delle password Regole assenti o riutilizzo di password
Errori tipici Mancata protezione dei dati (mancata cifratura dischi o pendrive, accumulo mail, permessi aree private, configurazione errata portali, etc)
Errori tipici Mancata percezione dellimpatto del mondo digitale sul reale e viceversa (es. inserimento pendrive, disposizione bonifici su IBAN inviati via mail, click su link o apertura allegati, etc)
Grazie per 鉛a岳岳艶稼噛庄看稼艶

More Related Content

Errori tipici nella gestione del data breach

  • 1. Errori tipici nella gestione del data breach Paolo Dal Checco - Consulente Informatico Forense
  • 2. Chi sono q PhD @UniTO nel gruppo di Sicurezza delle Reti e degli Elaboratori q Passato di R&D su crittografia e sicurezza delle comunicazioni q Collaborazione con Universit degli Studi di Torino e Milano q Consulente Informatico Forense, Perizie Informatiche per Privati, Aziende, Avvocati, Procure, Tribunali, F.F.O.O. CTU Informatico, CTP Informatico q Albo CTU e Periti del Tribunale di Torino, Periti ed Esperti CCIAA TO q Tra i fondatori e nel direttivo dellOsservatorio Nazionale dInformatica Forense (www.onif.it) q Socio IISFA, Tech & Law, Clusit, LAB4INT, Assob.It, AIP q www.dalchecco.it, www.ransomware.it, www.bitcoinforensics.it, www.osintbook.it q paolo@dalchecco.it, @forensico
  • 3. Data Breach Episodio che causa la perdita/fuoriuscita dinformazioni riservate Perdita di riservatezza, integrit, disponibilit Es. data breach con ingresso criminale in azienda fuoriuscita di dati: Le aziende impiegano mesi per rilevare una intrusione* Lintruso rimane silente per diverso tempo Lintruso cancella le tracce dellaccesso e delloperato Spesso non 竪 possibile capire: Come lintruso 竪 entrato Cosa ha fatto (preso dati, criptato, installato malware, fatto da ponte per attaccare terzi, etc) Quanto tempo 竪 rimasto Se 竪 uscito *http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/
  • 4. Esempio: Man in The Mail Nota anche come BEC Scam o Business Email Compromise Variante pi湛 pericolosa della CEO Fraud Esempio calzante della difficolt didentificare il perimetro Difficile capire: Come sono entrati Cosa hanno preso Se sono ancora dentro il perimetro Spesso diventa strategica la perizia informatica forense su smartphone, caselle di posta, PC e server per identificare da dove 竪 provenuto lattacco che ha causato limmissione di bonifici a errate coordinate IBAN Le perizie informatiche a uso legale, per utilizzo in Tribunale, possono permettere di smarcare le responsabilit di cliente e fornitore nellaccesso da parte dei criminali alle email utilizzate per perpetrare la truffa
  • 5. Esempio: Ransomware Malware che infetta i sistemi (PC, server, talvolta Mac OS, Android, iOS e Linux) criptando i dati e chiedendo un riscatto (in genere in bitcoin) per fornire la chiave di decifratura In alcuni casi gli attacchi vengono fatti da criminali che accedono ai sistemi (in genere server, in genere via RDP) e fanno danni
  • 6. Esempio: Trojan Keylogger, banking trojan, spy software Pu嘆 diffondersi via mail, allegato, link, phishing, navigazione web, SMB, macro, etc Spesso i trojan acquisiscono informazioni e mandano 束leak損 allesterno Possibile tracciatura: firewall, proxy, siem, ids, proxy, etc Possibili analisi: PC infetto
  • 7. Esempio: Phishing Spesso vettore per Man in The Mail, Ransomware e Trojan Difficile da impedire tecnicamente In caso di compromissione, pu嘆 essere rilevato tramite analisi della posta o del PC del soggetto caduto nel tranello
  • 8. Ci sono anche delle bufale
  • 9. Come avviene un data breach
  • 10. Errori tipici Spegnere tutto, staccare la rete, isolare i sistemi In alcuni casi pu嘆 avere senso (in particolare isolare i sistemi) ma va fatto pesando pro e contro
  • 11. Errori tipici Non riferire ai responsabili IT o ai colleghi cosa 竪 successo Piccoli indizi possono indicare un attacco in corso (ma senza diventare paranoici) La comunicazione, nelle prime fasi, 竪 importante perch辿 permette di limitare i danni
  • 12. Errori tipici Reinstallare tutto senza mantenere le evidenze digitali Va benissimo la business continuity, tenere presente anche la digital forensics Succede spesso con la posta elettronica: le email rilevanti vengono cancellate
  • 13. Errori tipici Sistemi configurati senza log Oppure log non centralizzati ma sulle macchine attaccate Log che non differenziano correttamente gli utenti
  • 14. Errori tipici Cattiva gestione delle password Regole assenti o riutilizzo di password
  • 15. Errori tipici Mancata protezione dei dati (mancata cifratura dischi o pendrive, accumulo mail, permessi aree private, configurazione errata portali, etc)
  • 16. Errori tipici Mancata percezione dellimpatto del mondo digitale sul reale e viceversa (es. inserimento pendrive, disposizione bonifici su IBAN inviati via mail, click su link o apertura allegati, etc)
  • 17. Grazie per 鉛a岳岳艶稼噛庄看稼艶