Errori tipici nella gestione del data breach
1 like•297 views
Il documento analizza gli errori comuni nella gestione di data breach, evidenziando come le aziende possano faticare a rilevare intrusioni e a comprendere le conseguenze. Viene descritto il ruolo cruciale della perizia informatica forense nel determinare la natura dell'attacco e nel salvaguardare le evidenze digitali. Sono sottolineati anche i vari tipi di attacchi, come ransomware e phishing, e la necessità di mantenere una buona gestione della sicurezza informatica.
Errori tipici nella gestione del data breach
- 1. Errori tipici nella gestione del data breach Paolo Dal Checco - Consulente Informatico Forense
- 2. Chi sono q PhD @UniTO nel gruppo di Sicurezza delle Reti e degli Elaboratori q Passato di R&D su crittografia e sicurezza delle comunicazioni q Collaborazione con Università degli Studi di Torino e Milano q Consulente Informatico Forense, Perizie Informatiche per Privati, Aziende, Avvocati, Procure, Tribunali, F.F.O.O. – CTU Informatico, CTP Informatico q Albo CTU e Periti del Tribunale di Torino, Periti ed Esperti CCIAA TO q Tra i fondatori e nel direttivo dell’Osservatorio Nazionale d’Informatica Forense (www.onif.it) q Socio IISFA, Tech & Law, Clusit, LAB4INT, Assob.It, AIP q www.dalchecco.it, www.ransomware.it, www.bitcoinforensics.it, www.osintbook.it q [email protected], @forensico
- 3. Data Breach • Episodio che causa la perdita/fuoriuscita d’informazioni riservate • Perdita di riservatezza, integrità, disponibilità • Es. data breach con ingresso criminale in azienda fuoriuscita di dati: • Le aziende impiegano mesi per rilevare una intrusione* • L’intruso rimane silente per diverso tempo • L’intruso cancella le tracce dell’accesso e dell’operato • Spesso non è possibile capire: • Come l’intruso è entrato • Cosa ha fatto (preso dati, criptato, installato malware, fatto da ponte per attaccare terzi, etc…) • Quanto tempo è rimasto • Se è uscito *http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/
- 4. Esempio: Man in The Mail • Nota anche come BEC Scam o Business Email Compromise • Variante più pericolosa della CEO Fraud • Esempio calzante della difficoltà d’identificare il perimetro • Difficile capire: • Come sono entrati • Cosa hanno preso • Se sono ancora dentro il perimetro • Spesso diventa strategica la perizia informatica forense su smartphone, caselle di posta, PC e server per identificare da dove è provenuto l’attacco che ha causato l’immissione di bonifici a errate coordinate IBAN • Le perizie informatiche a uso legale, per utilizzo in Tribunale, possono permettere di smarcare le responsabilità di cliente e fornitore nell’accesso da parte dei criminali alle email utilizzate per perpetrare la truffa
- 5. Esempio: Ransomware • Malware che infetta i sistemi (PC, server, talvolta Mac OS, Android, iOS e Linux) criptando i dati e chiedendo un riscatto (in genere in bitcoin) per fornire la chiave di decifratura • In alcuni casi gli attacchi vengono fatti da criminali che accedono ai sistemi (in genere server, in genere via RDP) e fanno danni
- 6. Esempio: Trojan • Keylogger, banking trojan, spy software • Può diffondersi via mail, allegato, link, phishing, navigazione web, SMB, macro, etc… • Spesso i trojan acquisiscono informazioni e mandano «leak» all’esterno • Possibile tracciatura: firewall, proxy, siem, ids, proxy, etc… • Possibili analisi: PC infetto
- 7. Esempio: Phishing • Spesso vettore per Man in The Mail, Ransomware e Trojan • Difficile da impedire tecnicamente • In caso di compromissione, può essere rilevato tramite analisi della posta o del PC del soggetto caduto nel tranello
- 8. Ci sono anche delle bufale…
- 9. Come avviene un data breach
- 10. Errori tipici • Spegnere tutto, staccare la rete, isolare i sistemi • In alcuni casi può avere senso (in particolare isolare i sistemi) ma va fatto pesando pro e contro
- 11. Errori tipici • Non riferire ai responsabili IT o ai colleghi cosa è successo • Piccoli indizi possono indicare un attacco in corso (ma senza diventare paranoici…) • La comunicazione, nelle prime fasi, è importante perché permette di limitare i danni
- 12. Errori tipici • Reinstallare tutto senza mantenere le evidenze digitali • Va benissimo la business continuity, tenere presente anche la digital forensics • Succede spesso con la posta elettronica: le email rilevanti vengono cancellate
- 13. Errori tipici • Sistemi configurati senza log • Oppure log non centralizzati ma sulle macchine attaccate • Log che non differenziano correttamente gli utenti
- 14. Errori tipici • Cattiva gestione delle password • Regole assenti o riutilizzo di password
- 15. Errori tipici • Mancata protezione dei dati (mancata cifratura dischi o pendrive, accumulo mail, permessi aree private, configurazione errata portali, etc…)
- 16. Errori tipici • Mancata percezione dell’impatto del mondo digitale sul reale e viceversa (es. inserimento pendrive, disposizione bonifici su IBAN inviati via mail, click su link o apertura allegati, etc…)
- 17. • Grazie per l’attenzione