Please enable JavaScript.
Coggle requires JavaScript to display documents.
Introduzione Cybersecurity (Gli attacchi: concetti e tecniche (Analisi di…
Introduzione Cybersecurity
Esigenza Cybersecurity
Dati Aziendali
Riservatezza
Integrità
Disponibilità
Conseguenza violazione sicurezza
Danni reputazione
Vandalismo
Furto
Perdita di reddito
Danni alla proprietà intellettuale
Gli attacchi: concetti e tecniche
Individuazione vulnerabilità
Exploit: programma che sfrutta vulnerabilità
Vulnerabilità hardware
Vulnerabilità più diffuse
Overflow del buffer
Input non validato
Race condition
Problemi controllo degli accessi
Analisi di attacchi
Malware
Qualsiasi codice dannoso
Spyware
Tracciare e spiare
Adware
Pubblicità aggressiva
Bot
Operazioni eseguite automaticamente
Scareware
Indurre a compiere operazioni attraverso popup ad esempio
Rootkit
Modificare sistema operativo per creare backdoor
Virus
Codice eseguibile dannoso collegati ad altri
Trojan horse
Esegue operazioni dannose sotto forma di un'operazione desiderata
Worm
Codice dannoso che si replica in maniera dannosa
si trasferisce su nuovi computer senza alcun intervento o consapevolezza da parte dell'utente
Man in the middle
Il MitM consente all'autore dell'attacco di prendere il controllo su un dispositivo senza che l'utente ne sia a conoscenza
Man in the mobile
Il MitMo è un tipo di attacco impiegato per acquisire il controllo su un dispositivo mobile
Ransomware
Tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto
Social engineering
Manipolazione di utenti per estrapolare informazioni
Pretexing
Si ha quando l'autore degli attacchi si rivolge a un individuo mentendogli nel tentativo di ottenere l'accesso a dati con privilegi
Tailgating
Si ha quando l'autore degli attacchi segue rapidamente una persona autorizzata in un luogo sicuro.
Something for Something
Si ha quando l'autore degli attacchi chiede dati personali a un interlocutore in cambio di qualcosa, ad esempio un regalo.
Violazione password WiFi
Social engineering
Brute-force
Network sniffing
Metodi infiltrazione
Phishing
Email fraudolenta per far installare malware
Spear phishing
Sono attacchi mirati, email per particole persone
Exploit delle vulnerabilità
Analisi dei computer per ottenere informazioni
Fase 1
Raccolta informazioni sull'obiettivo, tramite ad esempio scanner
Fase 2
Alcune informazioni possono riguardare il sistema operativo, la relativa versione e un elenco di servizi
Fase 3
Si cercano vulnerabilità note sul sistema operativo
Fase 4
Si ricercano exploit noti o si fabbrica uno ad hoc
Minacce persistenti avanzate (APT)
Operazioni multi fase avanzata e dissimulata a lungo termine contro obiettivo specifico. Per la competenza richiesta è ben finanziato
DoS (Denial of Service)
Attacco alla rete che porta al disservizio
Overwhelming Quantity of Traffic
Enorme volume di dati viene inviato a una rete, un host o un'applicazione a una velocità ingestibile. Ciò causa un rallentamento nella trasmissione o nella risposta oppure l'arresto anomalo di un dispositivo o di un servizio.
Maliciously Formatted Packets
Pacchetto formattato con intento dannoso viene inviato a un host o a un'applicazione e il ricevente non è in grado di gestirlo
DDoS
Simile al DoS ma originato da più sorgenti diverse
Rete di botnet detti zombie che infettano altri computer
SEO: Search Engine Optimization
Attacco per ottimizzare indicizzazione
SEO poisoning
Aumentare il traffico verso siti dannosi che potrebbero contenere malware o eseguire il social engineering
Attacco Misto
Varie tecniche per compromettere un obiettivo
e-mail spam, messaggistica istantanea o siti Web legittimi per distribuire collegamenti da cui vengono scaricati segretamente malware o spyware sul computer
Un altro attacco misto molto diffuso impiega il DDoS in combinazione con e-mail di phishing
Riduzione dell'impatto
Nonostante sforzi nessun sistema è sicuro al 100%
Atteggiamento azienda a seguito attacco
Comunicare il problema ai dipendenti
Essere sinceri e responsabili
Capire cosa ha causato la violazione
Verificare che il sistema sia pulito da rootkit
Istruire partner e clienti su come evitare future violazioni
Proteggere dati e privacy
Protezione dispositivi
Attivare firewall
Utilizzare antispyware e antivirus
Aggiornare software e sistema operativo
Proteggere dispositivi con password
Dispositivi IoT più soggetti a subire attacchi
Protezione Wireless
Cambiare SSID e password predefinite
Nascondere SSID ma cmq non basta
Nelle reti pubbliche utilizzare VPN per evitare eavesdropping
Disattivare bluetooth sui dispositivi mobili quando non serve
Utilizzo password univoche per account online
Non usare parole o nomi tratte da vocabolari
Non utilizzare errori ortografici comuni di parole del dizionario
Non utilizzare nomi di computer o di account
Se possibile, usa caratteri speciali come ! @ # $ % ^ & * ( )
Utilizzare una password composta da almeno dieci caratteri
Utilizzare passprase invece di password
Scegliere un'affermazione significativa
Aggiungere caratteri speciali come ! @ # $ % ^ & * ( )
Maggiore è la lunghezza e migliore è la passphrase
Evitare frasi comuni o famose, ad esempio testi di una canzone famosa
Crittografare i dati
La crittografia è il processo di conversione delle informazioni in formato non leggibile da terzi non autorizzati
Encrypting File System (EFS) è una funzionalità Windows per la crittografia dei dati.
Eseguire backup dati
Harddisk locale
Si può decidere di copiare tutti i dati su un dispositivo Network Attached Storage
Salvare dati sul cloud
Eliminazione permanente file
SDelete di Microsoft
Shred per Linux
Secure Empty Trash per Mac OSX
Autenticazione a due fattori
Autenticazione base: nome account e password o PIN (Personal Identification Number)
Secondo token
Oggetto fisico: carta di credito o bancomat
Scansione biometrica
OAuth 2.0
Open authorization: protocollo standard aperto che permette alle credenziali degli utenti finali di accedere alle applicazioni di terze parti senza esporre la password
Condivisione informazioni
Evitare di inserire troppe informazioni sul web
Uitlizzare modalità privata browser
Proteggere l'azienda
Tipi di firewall
Firewall a livello di rete
il filtro opera in base agli indirizzi IP d'origine e di destinazione
Firewall a livello di trasporto
il filtro opera in base alle porte dati d'origine e di destinazione nonché sugli stati delle connessioni
Firewall a livello applicativo
il filtro opera in base ad applicazioni, programmi e servizi
Firewall per il controllo di applicazioni basato sul contesto
il filtro opera in base a utente, dispositivo, ruolo, applicazione e profilo della minaccia
Server proxy
esegue il filtraggio delle richieste di contenuti Web quali URL, dominio, mezzi di comunicazione
Server proxy reverse
posizionati davanti ai server Web, i server proxy reverse proteggono, nascondono, eseguono l'offload e distribuiscono gli accessi ai server Web
Firewall NAT (Network Address Translation)
nasconde o maschera gli indirizzi privati degli host di rete
Firewall basato su host
esegue il filtraggio delle chiamate a porte e servizi di sistema nell'ambito del sistema operativo di un determinato computer
Scansione delle porte
La scansione delle porte è un processo di verifica di computer, server o altri host di rete volto all'individuazione di eventuali porte aperte
l numero di porta è utilizzato a entrambe le estremità della trasmissione, affinché ciascun dato venga trasmesso correttamente all'applicazione che lo richiede
Risultati scansione porte
Aperta o accettata
L'host ha risposto indicando che un servizio è in ascolto sulla porta.
Chiusa, Rifiutata o Non in ascolto
L'host ha risposto indicando che i tentativi di connessione alla porta verranno rifiutati
Filtrata, Interrotta o Bloccata
Non è stata ricevuta alcuna risposta dall'host.
Appliance di sicurezza
Le appliance di sicurezza possono essere costituite da dispositivi autonomi, come i router e i firewall, schede installate all'interno di dispositivi di rete oppure da moduli dotati di processore e memoria cache proprie
Router
I router ISR Cisco, dispongono di numerose funzionalità firewall quali filtraggio del traffico, capacità di eseguire un sistema di prevenzione delle intrusioni (IPS) nonché di funzionalità VPN per un tunneling crittografato sicuro.
Firewall
dispositivi Cisco Next Generation Firewall offrono tutte le funzionalità di un router ISR nonché quelle di gestione e analisi evoluta della rete
IPS
Dedicati alla prevenzione delle intrusioni
VPN
È progettato per il tunneling crittografato sicuro
Malware/Antivirus
Advanced Malware Protection, AMP) Cisco è presente nei router, firewall, dispositivi IPS e appliance di sicurezza e-mail e Web Cisco di nuova generazione e può anche essere installato, come software, nei computer host
Altri dispositivi di sicurezza
questa categoria è costituita dalle appliance di sicurezza e-mail e Web, dai dispositivi per la decrittografia, dai server per il controllo degli accessi client e dai sistemi per la gestione della sicurezza.
Rilevamento attacchi in tempo reale
Scansione in tempo reale dalla periferia all'endpoint
il rilevamento degli attacchi in tempo reale richiede l'esecuzione di scansioni per mezzo di firewall e di dispositivi di rete IDS/IPS
Inoltre, è necessario avvalersi anche di strumenti di rilevamento di malware client/server di nuova generazione dotati di collegamenti con centri globali per lo studio delle minacce
Attualmente, i dispositivi e il software per la scansione attiva individuano le anomalie di rete utilizzando l'analisi basata sui contesti e il rilevamento dei comportamenti.
Attacchi DDoS e risposta in tempo reale
È molto difficile difendersi dagli attacchi DDoS, poiché questi ultimi hanno origine da centinaia, se non migliaia, di host zombie e assumono l'apparenza di traffico legittimo, come mostrato nella figura
APT, Advanced Persistent Threat
rubano dati per lunghi periodi di tempo
Cisco ha messo a punto AMP Threat Grid
AMP è un software client/server implementato negli endpoint host, come i server standalone o in altri dispositivi di sicurezza di rete
Best practice sicurezza
Eseguire la valutazione dei risch
Creare una policy di sicurezza
Misure per la sicurezza fisica
Misure di sicurezza nei confronti delle risorse umane
Eseguire e testare i backup
Mantenere patch e aggiornamenti per la sicurezza
Attuare il controllo degli accessi
Verificare periodicamente la capacità di reazione agli incidenti
Implementare uno strumento per il monitoraggio, l'analisi e la gestione della rete
Implementare dispositivi per la sicurezza di rete
Implementare una soluzione completa per la sicurezza degli endpoint
Educare gli utenti
Crittografare i dati
Approccio comportamentale alla cybersecurity
Botnet
I botnet sono gruppi di bot, collegati attraverso Internet, controllati da persone o gruppi malintenzionati
Questi bot possono essere attivati per distribuire malware, lanciare attacchi DDoS, diffondere e-mail di spam o eseguire attacchi brute-force per la violazione delle password
I botnet sono generalmente controllati per mezzo di un server di comando e controllo
La kill chain nella cyberdifesa (fasi di attacco)
Ricognizione: raccolta informazioni
Adescamento: creazione payload dannoso
Dirottamento: gli hacker inviano il payload dannoso di tipo exploit all'obiettivo per mezzo di e-mail o altri metodi
Exploit - l'exploit viene eseguito
Installazione - il malware e le backdoor vengono installate all'interno dell'obiettivo.
Comando e controllo - il controllo remoto dell'obiettivo viene assunto per mezzo di un canale o di un server di comando e controllo
Azione - gli hacker eseguono azioni dannose
Sicurezza basata sul comportamento
forma di rilevamento delle minacce che non si affida a firme note, ma sfrutta il contesto informativo per rilevare eventuali anomalie di rete.
Il rilevamento basato sui comportamenti comporta l'acquisizione e l'analisi del flusso di comunicazioni tra un utente di una rete locale e una destinazione, locale o remota
Honeypot
gli honeypot sono strumenti di rilevamento basati sui comportamenti che attirano gli hacker facendo leva sui loro schemi di comportamento dannoso.
Cisco Cyber Threat Defense Solution Architecture
si tratta di un'architettura di sicurezza che impiega il rilevamento basato sui comportamenti
Netflow
La tecnologia Cisco NetFlow viene impiegata per raccogliere informazioni sul flusso dei dati all'interno delle reti
Esse mostrano chi e quali dispositivi si trovano nella rete nonché quando e in che modo utenti e dispositivi hanno avuto accesso alla rete
Le informazioni vengono trasmesse ai collettori NetFlow che raccolgono, archiviano e analizzano i record.
CSIRT - Computer Security Incident Response Team
Garantire conservazione sistemi attraverso atteggiamento proattivo
Aiuta a garantire salvaguardia dell'azienda, dei sistemi e dei dati eseguendo indagini complete delle violazioni della sicurezza
Strumenti prevenzione e rilevamento incidenti
SIEM (Security Information and Event Management, gestione di eventi e informazioni sulla sicurezza)
sono costituiti da software che raccoglie e analizza gli allarmi relativi alla sicurezza
Software che analizza e raccoglie gli avvisi di sicurezza, i registri ed i dati storici e in tempo reale originati dai dispositivi di sicurezza
DLP - Data Loss Prevention
sono elementi software o hardware progettati per impedire il furto o la fuoriuscita di dati sensibili dalle reti
Cisco ISE (Identity Services Engine) e TrustSec
intervengono sull'accesso alle risorse di rete creando policy che segmentano l'accesso stesso in categorie (in base a ruoli definiti)
IDS (Intrusion detection system)
può essere realizzato attraverso un dispositivo di rete dedicato oppure impiegando uno dei molti strumenti disponibili all'interno di server e firewall
Il compito dell'IDS consiste unicamente nel rilevare, registrare e riferire.
La scansione effettuata dall'IDS rallenta la rete
Viene eseguita la copia o il mirroring dei dati da parte di uno switch che, in seguito, li inoltra all'IDS per il rilevamento offline.
IPS (Intrusion prevention system)
sono in grado di bloccare o rifiutare traffico in base a regole positive o in caso di corrispondenza della firma
Snort e Cisco Sourcefire può rilevare tentativi di verifica, attacchi e operazioni di scansione delle porte. Inoltre, esso si integra all'interno di strumenti di terze parti per la creazione di report e analisi di prestazioni e log.
Manuale della sicurezza
Una raccolta di richieste ripetibili riferite alle origini dati degli eventi di sicurezza che attiva il rilevamento di un incidente e la risposta associata