Il GovCERT.it
Gianluigi Moxedano
Convegno Forum PA
Roma – 9 maggio 2005
1
Convegno Forum PA - 9 maggio 2005
Il GovCERT.it è un CSIRT
COMPUTER
SECURITY
INCIDENT
RESPONSE
TEAM
2
Convegno Forum PA - 9 maggio 2005
Agenda
Come è nato il GovCERT.it
Gestione degli incidenti di sicurezza ICT
2004: dati 2004 e tendenze
Organizzazione della gestione degli incidenti nella PA
centrale
Il GovCERT.it: profilo e stato dell’arte
Fonti utilizzate: CSI/FBI, F-Secure, McAfee, OasiSecuritynet, SIRMI, Symantec, Trend Micro
3
Convegno Forum PA - 9 maggio 2005
Come è nato il GovCERT.it
Proposto dal “Comitato tecnico nazionale sulla
sicurezza informatica e delle telecomunicazioni nelle
pubbliche amministrazioni”
Approvato dal Comitato dei ministri per la società
dell’informazione
Attuato dal CNIPA attraverso la creazione di una
“Unità di gestione degli attacchi informatici“ - maggio
2004
Assume il nome di GovCERT.it in conformità alla
nomenclatura in uso nell’Unione Europea
Finanziamenti resi disponibili - settembre 2004
4
Convegno Forum PA - 9 maggio 2005
Incidente di sicurezza ICT
DEFINIZIONE
TRADIZIONALE
EVENTO CHE COMPORTA UNA PERDITA DI
RISERVATEZZA, DI INTEGRITÀ O DI
DISPONIBILITÀ DEI DATI
DEFINIZONE
AGGIORNATA
LA VIOLAZIONE O L'IMMINENTE
MINACCIA DI VIOLAZIONE DELLA
POLITICA DI SICUREZZA ICT O DELLE
PRASSI DI SICUREZZA STANDARD
5
Convegno Forum PA - 9 maggio 2005
Importanza della gestione degli incidenti
LA PREVENZIONE BASATA SULLA
VALUTAZIONE DEI RISCHI PUÒ
RIDURRE IL NUMERO DI
INCIDENTI MA GLI INCIDENTI
NON POSSONO ESSERE DEL
TUTTO EVITATI
LE MINACCE ALLA SICUREZZA
SONO DIVENTATE PIÙ
NUMEROSE E PIÙ DIROMPENTI
EMERGONO FREQUENTEMENTE
NUOVI TIPI DI INCIDENTI
UN APPROCCIO MIRATO ESCLUSIVAMENTE ALLA
PROTEZIONE È INCOMPLETO ED INSUFFICIENTE
LA GESTIONE DEGLI
INCIDENTI È FONDAMENTALE
NELLA SICUREZZA ICT
PREVENZIONE
RILEVAZIONE
REAZIONE
6
Convegno Forum PA - 9 maggio 2005
Il 2004: vulnerabilità e minacce
Vulnerabilità
Oltre 2500 nuove vulnerabilità
Più del 90% medie e gravi
Oltre il 50% su applicazioni Web
Presi di mira i browser più diffusi
Attacchi
20.000 nuovi malicious code
11.000 nuovi virus del tipo Win32
MyDoom.A più grave infezione di sempre
L’attacco Slammer è il più comune
Aumento di adware, spyware, spam, phishing
7
Convegno Forum PA - 9 maggio 2005
Il tempo come fattore sempre più critico
Blaster ha messo in
ginocchio reti e sistemi
dopo solo 26 giorni dalla
scoperta della vulnerabilità
TEMPO DISPONIBILE PER
CORREGGERE VULNERABILITÀ
Sasser ha colpito reti e
sistemi dopo solo 18 giorni
dalla scoperta della
vulnerabilità
Slammer ha infettato il 90%
dei sistemi vulnerabili in
meno di 10 minuti
TEMPO DISPONIBILE PER
CONTRASTARE L’ATTACCO
Durante la diffusione di
MyDoom 1 mail su 12 era
infetto
8
Convegno Forum PA - 9 maggio 2005
La finestra temporale si stringe
Data
Vulnerabilità
Giorni
trascorsi
Worm
MS02-039 - Buffer Overruns in SQL
Server 2000 Resolution Service
Could Enable Code Execution
27 gennaio
2003
Slammer
16 Luglio
2003
MS02-039 - Buffer Overrun In RPC
Interface Could Allow Code
Execution
12 Agosto 2003
13 Aprile
2004
MS04-011- Security Update for
Microsoft Windows (LSASS)
1 Maggio 2004
24 Luglio
2002
187 gg
Blaster
26 gg
Sasser
18 gg
9
Convegno Forum PA - 9 maggio 2005
Alcuni dati italiani
Più del 50% delle aziende italiane non dispone di
personale IT specializzato sulla sicurezza
I problemi legati alla sicurezza delle reti informatiche
hanno un forte impatto sul sistema Paese

Oltre il 40% delle aziende italiane impiega da 2 a 5
giorni per riprendersi

Il 94% delle aziende italiane ha dovuto affrontare il
problema
La PA centrale investe per la sicurezza ICT una
percentuale troppo bassa della spesa informatica
globale (dati da piano triennale)
10
Convegno Forum PA - 9 maggio 2005
Costo degli incidenti nella PA
Danno economico

Non si dispone di dati per la valutazione dei danni
economici contestualizzati alla PA italiana

$ 200.000 all’anno per ente/azienda solo per infezioni
virali (dato estrapolato da report CSI/FBI USA)
Ricaduta sociale


Disservizi per la collettività
Freno al programma di E-GOVERNMENT
Danno di immagine

Es. web defacement
Problemi legali/giudiziari
11
Convegno Forum PA - 9 maggio 2005
Il tassello mancante nella PAC
DIRETTIVA 16/1/2002
CERT-AM ED UNITÀ
LOCALI NELLE PA
CENTRALI
CERT-AM
CERT-AM
CERT-AM
CERT-AM
GovCERT.it
CERT-AM
ISTITUZIONE DEL
GovCERT.it
CERT GOVERNATIVO
DI COORDINAMENTO
CERT-AM
CERT-AM
CERT-AM
PA CENTRALE
12
Convegno Forum PA - 9 maggio 2005
La comunità di riferimento
Il GovCERT.it è un CSIRT di coordinamento dei
CERT-AM delle PA centrali
Gli interlocutori del GovCERT.it sono stati classificati
in:

ISTITUZIONALI
• Consiglieri tecnici del ministro per la sicurezza ICT
• Comitati Sicurezza ICT
• Responsabili sistemi informativi

DI RIFERIMENTO
• Responsabili sicurezza ICT

OPERATIVI
• Gli appartenenti ai gruppi CERT-AM
13
Convegno Forum PA - 9 maggio 2005
Piano dei servizi
EARLY
PROVVISORIO
WARNING
COMPLETO
SUPPORTO
INCIDENTI
OSSERVATORIO
WEB ASSESSMENT
DIFFUSIONE
WEB
INFO
RACCOLTA INFO
PROVVISORIO
SETT
2004
LUG
2005
OTT
2005
COMPLETO
GEN
2006
NOV
2006
14
Convegno Forum PA - 9 maggio 2005
Relazioni del GovCERT.it
CNIPA e
Comitato
Fornitori
software
TF-CSIRT
FIRST
Operatori
TLC
GovCERT.it
ISP
FF.OO.
ORGANISMI
EUROPEI
Altri CSIRT
MEDIA
15
Convegno Forum PA - 9 maggio 2005
CSIRT governativi in Europa
16
Convegno Forum PA - 9 maggio 2005
Attività svolte ed in corso
Comunità di riferimento


È stata istituita ed è in corso
di ampliamento
Il 4 aprile u.s. si è tenuta la
prima riunione operativa
Early warning


Da gennaio 2005 inviate 23
informative (20 segnalazioni
di vulnerabilità 3 avvisi di
minacce imminenti)
Rete informativa



Fonti private specializzate
Fornitori di tecnologia
Infrastruttura tecnologica

In corso di realizzazione
Relazioni

Verificati 18 Web defacement
nella PAC e 138 nella PAL
Accordi di collaborazione con:
• Fornitori di tecnologia
• Fornitori specializzati
Politiche e procedure

Fonti aperte
• Operatori TLC ed ISP
• FF.OO.
In corso di istituzione GdL
nell’ambito del CNIPA
• Organizzazioni analoghe
italiane

Partecipazione a comunità
internazionali
17
Convegno Forum PA - 9 maggio 2005
Valore aggiunto del GovCERT.it
Servizi

Il GovCERT.it erogherà servizi non realizzabili da parte dei singoli CERTAM per criteri di economicità e qualità e necessità di visione di insieme
quali:
• Early warning
• Raccolta ed analisi delle informazioni provenienti dalla comunità di
riferimento a fini statistici, di valutazione delle tendenze ed orientamento
degli investimenti
Relazioni

Per poter adempiere compiutamente alla sua missione il GovCERT.it
disporrà di una rete di relazioni per:
• Erogare servizi di qualità
• Agire come facilitatore nei confronti dei CERT-AM

Rappresenterà l’Italia nei contesti europei ed internazionali
Capacità di coordinamento

Definizione di politiche e procedure omogenee per tutta la comunità di
riferimento

In caso di incidenti diffusi
18
Convegno Forum PA - 9 maggio 2005
Cosa non è il GovCERT.it
NON È UN ORGANISMO INVESTIGATIVO
NON È UN GRUPPO DI PRONTO INTERVENTO
ON SITE
NON È UN CONTACT CENTER APERTO A TUTTA
LA PA MA RISERVATO AI SOLI
RAPPRESENTANTI DELLA COMUNITÀ DI
RIFERIMENTO
19
Convegno Forum PA - 9 maggio 2005
CONTATTI
Posta elettronica:


[email protected]
[email protected]
• Nota: Entro luglio diventeranno caselle postali del dominio
govcert.it
Telefoni:


GovCERT.it
06.85264420 06.85264291 06.85264203
Gianluigi Moxedano 06.85264472
• Nota: i numeri di telefono potrebbero cambiare a breve
20
Convegno Forum PA - 9 maggio 2005