Cyber Security e Social Networks: Minacce, Rischi e Contromisure

Cyber Security
e Social Networks:
Minacce, Rischi e Contromisure
Padova, 10 Settembre 2015
1
Agenda
TASSONOMIA DEGLI AGENTI OSTILI E DELLE MINACCE
ATTACCHI RECENTI E RELATIVI IMPATTI
SCENARI DI RISCHIO E STRUMENTI DI MITIGAZIONE
LA SOCIAL MEDIA SECURITY POLICY NEL CONTESTO DELLE ATTIVITÀ
DI CYBER SECURITY
ISACA VENICE Chapter
2
Rapporto Clusit 2015
https://clusit.it/rapportoclusit/
ISACA VENICE Chapter
3
La Sicurezza nei Social Media
liberamente scaricabile
http://c4s.clusit.it
Licenza CC-BY-SA versione 3.0
ISACA VENICE Chapter
4
Situazione globale
 Oggi i Social Media sono diventati una dei principali terreni di
caccia per il cybercrime organizzato trans-nazionale, che
nel 2014 ha raggiunto un turnover (stimato) di 15 miliardi di
dollari, in crescita del 10% sull’anno precedente.
 Nel 2014 74 milioni di persone sono stati vittime di cybercrime
solo negli USA, (2/3 tramite i Social Media, 10 al secondo) per
32 Md $ di perdite dirette. Nel mondo la stima 2014 è di oltre
110 Md $.
 Osserviamo sul campo che il trend continua imperterrito,
perché:
 Il ROI per i cyber criminali è in media del 750-800% alla
settimana
 Le barriere di accesso per “mettersi in affari” sono
bassissime
 Il rischio di essere individuati, perseguiti e puniti è troppo
basso
 I proprietari delle piattaforme Social non fanno security.
ISACA VENICE Chapter
5
Dati e statistiche
ISACA VENICE Chapter
6
Dati e statistiche
ISACA VENICE Chapter
7
Dati e statistiche
ISACA VENICE Chapter
8
Dinamiche e trend
 la superficie di attacco complessivamente esposta
dalla nostra civiltà digitale cresce più velocemente
della nostra capacità di proteggerla.
 la vera questione per i difensori (con riferimento ai dati,
alle infrastrutture informatiche ed a tutti quei servizi, molti
dei quali critici, oggi realizzati tramite l’ICT) non è più “se”,
ma “quando” si subirà un attacco informatico (dalle
conseguenze più o meno dannose), e quali saranno gli
impatti conseguenti.
 Tutto ciò che può essere attaccato lo sarà. O lo è già
stato.
 La ragione principale per cui gli attaccanti hanno la
meglio è economica, non tecnica, e risiede nella
crescente asimmetria tra i differenti “modelli di
business”: per ogni dollaro investito dagli attaccanti nello
sviluppo di nuovo malware, o nella ricombinazione di
malware esistente per nuovi scopi, il costo sopportato dai
difensori è di milioni di dollari.
ISACA VENICE Chapter
9
Scenari di rischio
 Le principali minacce generiche derivanti dall’uso dei Social Media si possono
riassumere in:








Malware (trojan, worms, rootkits, etc)
Applicazioni di terze parti non trusted / maliziose
Spam (in combinazione con malware)
Phishing & Whaling
Furto di identità
Danni alla privacy
Diffamazione
Stalking
 Oltre alle minacce generiche, le minacce specifiche derivanti dall’uso dei Social
Media in ambito business si possono riassumere in:







Danni all'immagine ed alla reputazione
Interruzione del servizio
Perdita di dati riservati / proprietà intellettuale
Open Source Intelligence (OSInt) da parte di concorrenti
Danni a terze parti (liabilities / responsabilità)
Frodi e Social Engineering
Minore produttività dei collaboratori
ISACA VENICE Chapter
10
Scenari di rischio
 I Social Media sono una importante fonte di rischio d’impresa … anche
per le Aziende che non li utilizzano!
 Attacchi informatici, frodi, furti di dati e di denaro, di proprietà intellettuale,
concorrenza sleale, danni a terze parti e di immagine …
ISACA VENICE Chapter
11
Scenari di rischio
 I Social Media sono l'ambito nel quale
i criminali ed i malintenzionati
ottengono maggiore efficacia e minori
rischi / costi.
Uno spear phishing "ben fatto" su
LinkedIn o su Facebook può avere un
tasso di conversione del 70-80%.
 Questo tasso di successo
elevatissimo consente ai criminali di
rimanere "under the radar", facendo
attacchi a gruppi relativamente piccoli
di bersagli e diluendoli nel tempo per
non dare nell'occhio.
 Tutti i principali attacchi degli ultimi 2
anni sono partiti da uno S.P. su Social
Network.
ISACA VENICE Chapter
12
Scenari di rischio
ISACA VENICE Chapter
13
Scenari di rischio
ISACA VENICE Chapter
14
Scenari di rischio
ISACA VENICE Chapter
15
Scenari di rischio
ISACA VENICE Chapter
16
Scenari di rischio
ISACA VENICE Chapter
17
Scenari di rischio
ISACA VENICE Chapter
18
Scenari di rischio
ISACA VENICE Chapter
19
Scenari di rischio
 Più un Brand è famoso e seguito, più i suoi comunicatori sono bravi, più ha
"followers", più sarà considerato un "watering hole" dai cattivi. Si colpisce la
pagina FB del Brand per colpire tutte le zebre (gli utenti) in un colpo solo….
ISACA VENICE Chapter
20
Scenari di rischio
 L’attacco di Cybercriminali (egiziani) al Gruppo Alpitour su Facebook ha
esposto 120.000 “friends” (incluse numerose agenzie di viaggi) al
malware Zeus per 50 ore.
ISACA VENICE Chapter
21
Scenari di rischio
Phishing via Facebook
ISACA VENICE Chapter
Spear Phishing via LinkedIn
22
Scenari di rischio
Mal-Advertising a pagamento su Facebook che punta a siti malevoli (!)
ISACA VENICE Chapter
23
Scenari di rischio
Un solo esempio per
tutti….
Ne potremmo fare alcune
migliaia, ogni giorno ce
ne
sono di nuovi 
 Sfruttando la notizia della morte di Bin
Laden, decine di migliaia di utenti
Facebook sono stati infettati da un trojan
(non rilevato dagli antivirus) che ruba dati
personali e trasforma i PC delle vittime in
zombie, al servizio dei cybercriminali …
 Per la natura dei Social Media, i criminali
hanno la possibilità di infettare e
compromettere milioni di sistemi nel giro
di poche ore …
ISACA VENICE Chapter
24
Scenari di rischio
A PsyOps “test” via Twitter
(by the “Syrian Electronic Army”, a pro-Assad mercenary group)
ISACA VENICE Chapter
25
Scenari di Rischio
Associated Press Twitter account hijacking caused to NYSE a 53B $ loss in
5 minutes
ISACA VENICE Chapter
26
Che fare nel nuovo scenario
 Fare formazione ed aggiornamento a tutti i livelli (i VIP
sono i più pericolosi!)
 Definire regole chiare e condivise, specifiche per
l’utilizzo dei Social Media (Social Media policy orientate
alla Security)
 Controllare e misurare il loro livello di adozione e la loro
efficacia nel tempo rispetto all’evoluzione delle minacce
 Responsabilizzare gli utenti e le strutture aziendali
coinvolti, a qualsiasi titolo, dall’uso dei Social Media.
NB: diciamolo una volta per tutte: i SM non sono un
problema (solo) dell’IT né un ambito di pertinenza esclusiva
del Marketing! Occorre uscire dai Silos e lavorare in
maniera multidisciplinare.
ISACA VENICE Chapter
27
Strumenti di mitigazione
E’ di fondamentale importanza implementare un insieme di processi di gestione del
rischio, armonizzati e coordinati all’interno di un piano complessivo di Social
Business Security basato su Policies precise, specifiche ed aggiornate che
includa:
Prevenzione – Monitoraggio – Moderazione – Gestione – Crisis Management
 Definizione di policies e responsabilità per tutti gli attori coinvolti
 Moderazione in real time della conversazione in ottica Security
 Prevenzione delle minacce tramite Cyber Intelligence
 Analisi dei Rischi Cyber e suo aggiornamento continuo
 Tutela legale (proattiva e reattiva)
 Gestione in real time degli incidenti e degli attacchi informatici
ISACA VENICE Chapter
28
Conclusioni
 Stimolare il necessario commitment a livello di Direzione e di
Stakeholders, sostenendolo con argomentazioni scientifiche (statistiche,
ROI, KPI, KSI…. NB basta chiacchiere!)
 Dedicare risorse e $$$. Non pensate di cavarvela “gratis.” E NO, la
vostra agenzia di Digital Marketing non vi può supportare. Deve
collaborare però, e capire di cosa stiamo parlando.
 Creare una struttura multidisciplinare per la gestione della Social Media
Strategy che includa ed integri competenze di Marketing, Legali, di HR,
di Risk Management e di Information Security Management;
 Nominare un unico responsabile per la Social Media
Strategy che abbia una visione globale dei problemi e
delle opportunità (inclusa la Security);
 Utilizzare persone skillate*. Scegliere i consulenti
giusti  ma non dare in outsourcing il tutto. Questo è
know-how strategico per l’azienda.
* (non in Web Marketing! in Social Business, alcuni con competenze di
Security)
ISACA VENICE Chapter
29