Download Atti Convegno – Cyber Crime Conference 2017
Che cosa si è detto durante il Cyber Crime Conference
TAVOLA ROTONDA
Modera: Francesca Nava, Giornalista di Piazzapulita – La7
On. Massimo Artini, Vice Presidente IV Commissione Difesa
Sen. Felice Casson, Segretario del COPASIR e Vice Presidente Commissione Giustizia
Gianfranco Incarnato, Ministro Plenipotenziario, Direttore Centrale Sicurezza, Disarmo e non Proliferazione, Ministero degli Affari Esteri
Gen. D. Angelo Palmieri, Capo del VI reparto – sistemi C4I e trasformazione dello Stato Maggiore della Difesa
Paolo Scotto di Castelbianco, Direttore della Scuola di Formazione del DIS
Francesca Nava: Sarà una tavola rotonda particolarmente densa di appuntamenti. Oggi parleremo di diverse tematiche, quindi non solo di cyber security, ma anche di cyber difesa, cyber spionaggio e molto altro. Una giornata particolarmente importante perché il 2016 sarà ricordato come l’anno che ha segnato il percorso dei decenni a venire rispetto al tema della cyber security, infatti, nel 2018, entreranno in vigore una serie di normative molto importanti, adottate dall’Unione Europea, sia sulla privacy ma soprattutto sulla direttiva 1148, meglio conosciuta come direttiva NIS, che di fatto rafforza molto il tema di infosharing, cioè quello scambio di informazioni, quella cooperazione tra stati, proprio sul tema della minaccia cibernetica. Non solo, questa direttiva è ulteriormente importante perché renderà obbligatoria la denuncia degli attacchi informatici subiti da aziende fornitrici di servizi…
La gestione della Cybersecurity attraverso l’Adaptive Security Strategy
Fabio Sammartino, Technical Trainer e Pre-sales Engineer in Kaspersky Lab
Quando si parla di nuove minacce spesso si fa riferimento alle Advanced Persistent Threat (APT), ovvero minacce di tipo avanzato per cui Kaspersky Lab, già da diversi anni, ricerca e sviluppa tecniche innovative che le contrastino. A preoccupare maggiormente gli esperti di Kaspersky Lab, però, sono gli attacchi mirati, cioè qualunque tipo di attacco specifico nei confronti di un’organizzazione ma non necessariamente di tipo avanzato. Si tratta di attacchi molto pericolosi perché ideati per colpire specifiche obiettivi (governi e aziende) e sottrarre dati importanti allo scopo di trarne profitto. Da un’indagine di Kaspersky Lab rivolta alle aziende è emerso che il 15% degli intervistati è stato colpito nell’arco di un anno da almeno un attacco mirato. Di solito le aziende sono restie a condividere queste informazioni per cui si presume che la percentuale di aziende colpite sia in realtà più alta. Questi attacchi colpiscono tutti i segmenti di business con conseguenze che vanno dal furto della proprietà intellettuale e delle informazioni ad attacchi più specifici rivolti a infrastrutture critiche o telecomunicazioni….
Supervised Active Intelligence: approccio innovativo all’Incident Response
Andrea Fumagalli, Vice President of Engineering, DFLabs
Siamo una società che ha proposto un approccio metodologico innovativo al tema dell’Incident Response, chiamato Supervised Active Intelligence, poi calato all’interno della tecnologia che noi sviluppiamo, di nome IncMan. Oggi vi darò una panoramica su che cosa è, quali ne sono i principi fondanti e come è stato caratterizzato da un punto di vista più pratico per supportare l’attività quotidiana degli Incident Responders che lavorano nelle centrali operative. DFLabs è una società interamente italiana, con headquarter a Milano e laboratorio di sviluppo a Crema. Siamo nati con attività di consulenza nell’ambito dell’Incident Response ma poi abbiamo capito che mancava un tassello tecnologico nel panorama di quanto già disponibile e quindi abbiamo creato un’applicazione che incorpora una serie di principi orientati a supportare i team di difesa, tendenzialmente SOC e CSIRT. Al contrario magari di quanto accade in questo genere di conferenze dove tutti mostrano numeri e grafici a torta da cui si deduce che il numero di attacchi è costantemente in crescita, che sono sempre più pericolosi, che il danno reputazionale, d’immagine o finanziario è sempre crescente, ho pensato di darvi una panoramica su come la difesa si è organizzata negli anni….
L’Enterprise Immune System: come usare il Machine Learning per la ‘Next-Generation’ Cyber Defense
Corrado Broli, Country Manager per l’Italia, Darktrace
Vorrei intanto raccontarvi chi siamo e cosa facciamo. Innanzitutto è bene precisare che Darktrace sviluppa una tecnologia particolarmente innovativa, direi anche non convenzionale che è in grado di monitorare il traffico di rete in entrata ed in uscita, di analizzare quindi ciò che accade all’interno di una rete per verificare se il comportamento, di tutti i dispositivi di tutti gli utenti connessi alla rete, si discosta dal loro comportamento abituale e normale. Brevemente dico che Darktrace è stata creata da persone che provenivano dagli ambienti dell’Università di Cambridge, da specialisti del Machine Learning, dell’intelligenza artificiale e abbiamo un headquarter a Cambridge ed a San Francisco, negli Stati Uniti. E’ l’azienda che nella cyber security cresce più velocemente di qualsiasi altra. Fa riferimento appunto al Machine Learning e all’intelligenza artificiale di cui vi spiegherò meglio il significato. Abbiamo oltre 2400 installazioni in tutto il mondo e siamo presenti in 20 Paesi con 24 uffici; in Italia, in particolare, siamo presenti a Milano e qui a Roma…
Digital Transformation: come ripensare la sicurezza
Francesco Armando, Technical Account Manager, Qualys
Il tema della Digital Transformation è quello relativo alla cosiddetta quarta rivoluzione industriale: pensate a quella che è stata la pervasività delle macchine informatiche dalla fine degli anni 60 ad oggi. Il livello di complessità della Digital Transformation e l’impatto che ha sulla qualità della vita secondo il World Economic Forum, che è stato forse il primo a coniare questa definizione ampiamente riciclata, e fondamentalmente sull’impatto che ha sulle vite che abbiamo oggigiorno e sul lavoro che facciamo oggi giorno. Pensate agli IoT, agli oggetti che ci portiamo dietro, la quantità di capacità computazionali che stanno nelle nostre tasche. La risposta in termini di sicurezza deve essere il più possibile integrata e completa per non trovarci a riparlare fra anni degli stessi problemi di cui stiamo discutendo oggi guardando a posteriori quello che era successo nel passato. Quello che possiamo e che dobbiamo fare in questo momento è riesaminare il modo in cui facciamo le nostre attività quotidianamente dal punto di vista informatico, dobbiamo capire che l’impatto del cambiamento è fondamentalmente strategico dal punto di vista di quello che sta succedendo, e sta mettendo in discussione gran parte di quelli che sono gli assunti su cui c’eravamo basati e questo richiede una capacità di innovare continuamente e impatta su quello che è l’approccio della sicurezza…
Business Intelligence, IT Performance, Compliance e Real-Time Security
Gianluca Busco Arrè, Country Manager Panda Security Italia
Oggi abbiamo parlato di cyber security, protezione dei dati, gestione degli incidenti, SOC, ma se guardando la mappa semplificata della metropolitana di Tokio vi si chiedesse di trovare il nome della stazione della metropolitana il cui nome è stato cambiato o cancellato, quanta probabilità abbiamo di trovarlo, considerato che probabilmente questa mappa non l’avete mai vista prima e probabilmente non parliamo giapponese, non sapendo quali stazioni erano presenti prima? La complessità delle problematiche che ci troviamo ad affrontare oggi, quando parliamo di Cyber Security, è tale che spesso probabilmente non ce ne rendiamo neanche conto. Un altro esempio che fa capire quanto forse non ce ne rendiamo davvero conto, è vedere quanti di voi hanno installato sul proprio computer Microsoft Word e sanno, dopo che è stato installato, come è cambiato il sistema, l’host, quante DLL ha installato, se ad esempio ha cambiato le chiavi di registro e quante volte ha fatto queste operazioni. Quante persone sono in grado di dirlo esattamente? Questo, secondo il nostro punto di vista, è il problema ed è inutile girarci intorno. Molti vi parleranno e vi hanno parlato di una minaccia che va di moda ultimamente che è Cryptolocker, che dal nostro punto di vista invece non è il problema…..
La guerra è diventata Cyber, quali sono le armi per combatterla?
Valerio Pastore, CEO di Boole Server
Il titolo dell’intervento parla di cyber guerra, quali sono quindi gli strumenti per difendersi dall’attacco da parte di cracker verso aziende, enti privati o persone? Esistono oggi tantissime soluzioni che permettono di difendere il perimetro aziendale, però di fatto spessissimo l’obiettivo degli hacker, quando tentano di accedere alle aziende, sono le informazioni quindi copiare tutto quello che può essere copiato e portarlo via dall’azienda. All’interno di queste informazioni spesso si trovano anche le password stesse con cui attaccare il sistema informatico. La situazione delle aziende oggi è preoccupante: un dato molto importante parla dei danni che provocano gli attacchi informatici alle aziende: si tratta di 9 miliardi all’anno. Questo ci fa capire che è arrivato il momento di difenderci con tutte le armi che abbiamo a disposizione. Sappiamo che il principale obiettivo di un attacco sono le informazioni riservate e informazioni sensibili e oggi parliamo proprio di questo argomento ovvero delle modalità con cui vengono gestite queste informazioni all’interno delle aziende e non solo. Altri dati preoccupanti provengono dal rapporto OAD 2016 sugli attacchi digitali: dopo un’attenta analisi è stato calcolato che il 37% delle aziende hanno subito o rilevato un attacco intenzionale, il 4% delle aziende hanno subito più di 10 attacchi all’anno, e il 57% sono le aziende che dichiarano di non avere una policy per la sicurezza IT…..
L’evoluzione dell’attuale threat landscape internazionale
Francesca Bosco, UNICRI Program Officer
Tante delle tematiche di cui vorrei parlarvi sono state già menzionate, quindi cercherò di fare un sum up di questa mattinata, dandovi così la prospettiva di chi lavora su queste tematiche da tanto tempo e soprattutto da un punto di vista internazionale. Vorrei condividere una riflessione. Mi ricordo che quando abbiamo iniziato, 10 anni fa, da queste conferenze uscivamo tutti paranoici pensando “the sky is falling” in merito alla security e alla privacy . Mi sono recentemente trovata a partecipare ad una conferenza presso l’Unesco a Parigi in cui si discuteva esattamente di quello di cui ha parlato questa mattina il Ministro Incarnato, cioè quali sono quelle regole che gli Stati si possono dare in materia di cyber security, diciamo così, in “tempo di pace”. Questo è molto interessante ed imporante perché, ripeto, quando abbiamo iniziato 10 anni fa, quasi tutti i discorsi erano fondamentalmente concentrati sulle minacce e i rischi. Oggi ho sentito tante presentazioni che parlano di soluzioni, quindi, per una volta sono ottimista, nel senso che nonostante il titolo della mia presentazione, ovvero l’attuale threat landscape, volevo condividere con voi la riflessione sul fatto che sicuramente stiamo migliorando , anche se rimane tanto da fare…
Dati in mobilità e gestione dell’identità
Michele Barbiero, General Manager CREAplus Italia
Creaplus italia è un distributore verticale in ambito security. Come distributore a valore aggiunto vi è estrema attenzione nella selezione delle tecnologie e nel testing delle stesse. Il focus è non solo individuare la miglior tecnologia ma anticipare i tempi e i trend di mercato considerando le nuove minacce e la facilità di implementazione delle tecnologie stesse. Durante questa sessione oltre a fare una mini panoramica su alcuni vettori d’attacco e dati relativi al CyberCrime cercherò anche di dare un contributo su alcune soluzioni specifiche da noi proposte. Sapete che il 2016 non è stato un anno facile dal punto di vista della sicurezza, è stato piuttosto un anno abbastanza complesso secondo il recente rapporto pubblicato dal Clusit. Nello specifico, su alcuni vettori d’attacco ci sono stati degli incrementi decisamente importanti. Salta ad esempio all’occhio che il Phishing ha avuto un incremento a tripla cifra, gli Zero Day sono anche cresciuti in modo notevole così come attacchi di social engineering. Gli attacchi in altri termini sembrano sempre più non tentare di sfruttare delle vulnerabilità tecnologiche ma delle debolezze umane….
Insider Threat and its effect on GDPR compliance
Amir Yampel, Insider Threats Business Development, ObserveIT
Good afternoon everyone. I’m sorry I do not speak Italian, I’ll speak in English. I hope this is okay. My name is Amir Yampel and I’m here to represent a company called ObserveIT. I’m going to talk today about insider threats and GDPR. I want to start with a story that will probably happen in many places. This is a story about a local hospital and Marco, the new general Data Protection Officer, who was hired by the company of the hospital to manage the GDPR deployment process. Marco is a superstar lawyer and he’s doing everything in the best possible way. First of all, he conducts a risk assessment to make sure that is in place. Then he looked at the data and he defined all the processes – how the data is stored, how it’s being accessed, how it’s being processed. Then he facilitates the right to be forgotten, that is one of the main issues of GDPR. Then he added some tools like a sim product and access control and DLP in order to monitor and prevent unauthorized access to personal data – or as it’s called PII. Then he also conducted a very very good awareness program the GDPR awareness training….
Cyber threat intelligence come abilitatore nelle attività di cyber protection
Gerardo Costabile, Presidente di IISFA Italian Chapter
Oggi non vi farò vedere tecnologie e soluzioni, né mi prolungherò sulle tipologie di nuove minacce, perchè credo che oggi siate stati sufficientemente “bersagliati”, permettetemi una slide di premessa per un concetto che mi interessa trasferirvi, ovvero le tempistiche tra le infezioni, i data breach e la detection. Secondo una serie di report, ad esempio il DBIR di Verizon (ma ce ne sono anche altri), la linea verde che vedete in alto è il tempo di compromissione, giorni o meno di giorni. Nell’84% dei casi abbiamo una compromissione in giorni o meno di giorni: le infezioni in secondi o minuti, l’exfiltration in giorni o poco più. Per la parte di detection, invece, abbiamo la linea azzurra, ovvero secondo le statistiche solo nel 25% dei casi ce ne accorgiamo in giorni o meno di giorni. C’è quindi un chiaro gap tra la parte di tempistiche di infezione o di data exfiltration rispetto a quando ce ne accorgiamo in termini di organizzazione. Questa tempistica può variare e ha una forchetta che in alcuni casi porta addirittura 80-200 giorni. Ovviamente sono troppi, è un tempo troppo elevato. E’ chiaro che questo porta al tema di oggi sulla cyber threat intelligence e quindi come un approccio c.d. intelligence driven può ridurre questo gap e fare in modo che oltre ad avere una buona situation awareness – quindi una conoscenza del contesto, di cosa succede a livello internazionale, ovviamente a livello cyber, ma anche all’interno della propria organizzazione – sia possibile accelerare quei processi di detection e fare in modo che questa tempistica sia ridotta il più possibile….
La protezione del dato informatico dai recenti tentativi di data exfiltration
Stefano Fratepietro, esperto di Cyber Security e Digital Forensics
Spero che l’argomento sia abbastanza interessante anche perché è uno di quei casi di cui la stampa si è occupata nel recentissimo passato. Per chi non mi conoscesse sono Stefano Fratepietro, mi occupo di sicurezza informatica e la mia natura è più legata alla digital forensics, poi mi sono evoluto, eseguo attività di docenza su queste tematiche per alcuni master di alta formazione per l’università di Bologna e Modena- Reggio Emilia. Premessa doverosa. Non vi racconterò nulla che non sia pubblicamente uscito sulla stampa, da analisi fatte da fornitori e quant’altro per un semplice motivo, nè li so e nè si possono raccontare informazioni protette da segreto istruttorio. Tutto quello che vedrete è basato su una mia personale analisi, da fonti aperte, sia sull’ordinanza, che è un papiro praticamente, sono 45 pagine se non ricordo male, usata per la custodia cautelare dei fratelli Occhionero. Un interessante lavoro fatto da Trend Micro su tutta la parte di reverse engineering del malware, e poi informazioni raccolte su quel URL sempre tecnico operative, sempre tutti studi di reverse engineering del malware. L’obiettivo dell’intervento non è quello di raccontarvi bit a bit come funziona il malware ma di spiegarvi esattamente cosa è successo, se eye piramide si può definire un virus informatico classico o un APT. Cercherò di fare chiarezza perché veramente se ne sono sentite di ogni tipo….