Studio Informatica Forense e sicurezza Informatica Dott. Alessandro

1
Enterprise Risk Management: è possibile ridurre il rischio senza
aver fatto una data Cassification? Webesene e la protezione del
data in motion
Studio Informatica Forense e sicurezza Informatica
Dott. Alessandro Fiorenzi
Consulente Sicurezza Informatica e Computer Forensic
Direttivo
Delegato in tema di Computer
Forensics
[email protected]
www.alessandrofiorenzi.it
www.studioinformaticaforense.it
ERM: Websense e la protezione del data in motion
Milano 9 Luglio
2014
Classificazione dei dati
2
Richiede che si proceda perlomeno a:
Definizione di una Policy di quali tipi di Documenti
classificare
Definizione di una metrica
Classificazione di tutti i documenti presenti in
azienda
Richiede di istruire le persone che trattano i
dati ad eseguire anche la classificazione (viene
chiesto loro di fare un lavoro non utile al loro business, spesso questo
causa resistenza nell’applicazione e valutazioni non oggettive)
ERM: Websense e la protezione del data in motion
Milano 9 Luglio 2014
Limiti classificazione dati
3
Policy e Metriche spesso non soggettive e non rispettano
principi di oggettività e terzietà
Chi classifica il documento è spesso chi lo produce, questo fa
si che per bypass del controlli di processo venga assegnata
una classificazione di comodo non corrispondente al reale
rischio/valore
Troppi documenti da classificare: nella fase iniziale ci
moltissimi documenti da classificare, questo richiede molto
tempo prima di essere pronti ad attivare un DLP che si basi
sulla classificazione dei documenti
Il rilascio di nuove versioni di documenti fa si che spesso sia
mantenuta la classificazione originale anche se cambia il
rischio associato.
La classificazione dei dati si limita a trattare solo i contenitori
dell’informazione: i documenti e non l’informazione da
salvaguardare.
ERM: Websense e la protezione del data in motion
Milano 9 Luglio 2014
Tutela patrimonio aziendale
4
Il patrimonio aziendale è costituito da asset tangibili e asset intangibili,
questi ultimo sono i più complessi da tutelare:
know-how
Segreti industriali
Brevetti
Informazioni sui clienti (profiling etc…)
Informazioni sui prodotti e redditività
Bandi gara
Piani di sviluppo e acquisizione
Software e servizi
Etc…
Il DLP è uno strumento di tutela e salvaguardia del patrimonio aziendale, in
particolare degli asset intangibili. Le informazioni aziendali, che
costituiscono valore, non si trovano solo nei documenti, ma anche sui
database, nel cvs aziendale, nel crm etc….vengono usati su portali Internet
e intranet, scambiati via mail su dispositivi aziendali e non. La tutela delle
informazioni è un processo complesso a causa dei molti canali con cui può
essere veicolata anche illecitamente
ERM: Websense e la protezione del data in motion
Milano 9 Luglio 2014
DLP fase 1
5
Individuare l’informazione che per l’azienda
rappresenta un valore da salvaguardare
Avviare la sperimentazione/analisi
RiskVision
POC DLP
Usando le policy di default, definite dagli standard
internazionali ISO 27000, PCI-DSS, Sarban Oxley etc
SAE etc… e aggiungendo il matching dell’informazione
che aziendalmente riteniamo importante. La context
analisys del traffico dati, la correlazione con i feed di
sicurezza e l’analisi heuristica permettono di individuare
elementi e comportamenti sensibili per l’azienda.
ERM: Websense e la protezione del data in motion
Milano 9 Luglio 2014
Risultati fase 1
6
Sistematicamente si scopre che:
le informazioni importanti sono trattate con leggerezza:
Inviate per mail a indirizzi privati o di concorrenti
Pubblicate su siti internet (forum, pastebin etc…)
Trattamenti illeciti: dati sensibili o personali trattati da personale non incaricato ai termini del Dlgs. 196/2003
Dati conservati in aree non protette, duplicati su desktop e portatili e mobile
Informazioni amministrative eccessivamente condivise
Modalità di lavoro sconosciute
Uso di sistemi p2p
Uso di sistemi proxy non aziendali
Uso di indirizzi email, e firma aziendale, all’interno di forum
Salvataggio di utenze e password in chiaro e loro invio per email.
Condivisione di dati aziendali su strumenti di IM
Individuazione di agenti di minaccia interni
Malware tipo zeus
Tentativi di accesso a sistemi non aziendali
Utilizzo di strumenti di crack e keygenerator che installano spyware
Utilizzo dei portali che non prevedono la cifratura del canale di autenticazione né l’hashing della password
ERM: Websense e la protezione del data in motion
Milano 9 Luglio 2014
Casi Reali
7
ERM: Websense e la protezione del data in motion
Milano 9 Luglio 2014
DLP fase 2 e 3
8
Fase 2: remediation
Eliminare i falsi positivi: istruendo opportunamente il sistema
Intervenire su ogni area evidenziata per ricondurre l’uso
dell’informazione o i comportamenti a modelli in linea con la tutela
dell’azienda.
Intervenire sui processi
Intervenire sugli Incarichi dei trattamenti
Intervenire sulle persone
Fase 3L: Deploy Interno
Definizione/integrazione delle policy aziendali relativamente alla
componente DLP, indicando i comportamenti ritenuti lesivi dell’azienda
che verranno monitorati dal sistema
Confronto con le rappresentanze sindacali al fine di spiegare che il DLP
è uno strumento di tutela del patrimonio aziendale e che viene attivato
con l’unica finalità di salvaguardia del patrimonio. Escludendo quindi
ogni utilizzo teso al controllo del lavoratore nel rispetto degli articoli 3 e 4
dello statuto dei lavoratori
ERM: Websense e la protezione del data in motion
Milano 9 Luglio 2014
DLP: Start
9
Fase 4: mettiamo in operativo il DLP
Attivare le funzionalità del DLP
Presidiare con regolarità lo strumento
Arricchire nel tempo l’analisi eseguita dal sistema:
Raffinando e incrementando l’identificazione delle
informazioni «critiche/ sensibili»
Adeguando l’analisi alle richieste della compliance
Adeguando l’analisi ai nuovi scenari aziendali
Trattare ogni allarme come un «incident» ,
adottando quindi provvedimenti di remediation, di
repressione e sanzionatori.
ERM: Websense e la protezione del data in motion
Milano 9 Luglio 2014
The Day After DLP
10
Il permanere nel tempo di allarmi, rispetto ai quali
l’azienda ha effettuato dei richiami impone
l’adozione di un protocollo forense che tuteli il diritto
dell’azienda
Avvio fase forense:
Cristallizzazione delle evidenze prodotte da DLP, con
relativi log
Cristallizzazione delle eventuali evidenze presenti su
server e/o sugli strumenti aziendali assegnati alla
risorsa
Analisi e Perizia
Avvio procedimento disciplinare o giuridico con
l’allegazione della perizia e delle evidenze
informatiche
ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014
Grazie
11
Studio Informatica Forense
Dott. Alessandro Fiorenzi
Consulente Sicurezza Informatica e Computer Forensic
www.alessandrofiorenzi.it
www.studioinformaticaforense.it
[email protected]
Mobile: 348/7920172
ERM: Websense e la protezione del data in motion
Milano 9 Luglio 2014