S
Sicur Control System
Giugno 2013
S
C
www.sicurcontrolsystem.it
SICUR CONTROL SYSTEM
GIUGNO 2013
AGENDA
L’AZIENDA
LA MISSIONE
LE SOLUZIONI
RIFERIMENTI
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
SICUR CONTROL SYSTEM
GIUGNO 2013
NATA NEL 2007 COME SOCIETÀ ICT SPECIALIZZATA
NELLA PROGETTAZIONE, REALIZZAZIONE E SVILUPPO DI
APPLICAZIONI DI SAFETY SOLUTIONS E SISTEMI DI
TELECOMUNICAZIONI, IN PARTICOLARE WIFI A
BANDA LARGA E IN FIBRA OTTICA
NEL CORSO DEGLI ANNI LA SICUR CONTROL SYSTEM SRL
HA SVILUPPATO UN PORTAFOGLIO COMPLETO DI SERVIZI
NELL’AMBITO DELLA SICUREZZA NEL SETTORE ICT.
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
SICUR CONTROL SYSTEM
GIUGNO 2013
LA NOSTRA MISSIONE È QUELLA DI AFFIANCARE E
SEGUIRE I NOSTRI CLIENTI LUNGO IL PERCORSO
DELL'INFORMATION & COMMUNICATION TECHNOLOGY
FORNENDO UN SUPPORTO SPECIALIZZATO ED EFFICACE
NELLA SCELTA DI SOLUZIONI ALL'AVANGUARDIA.
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
SERVIZI PROPOSTI NELL’AMBITO DELLA SICUREZZA
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
Il tema della sicurezza viene spesso sottovalutato
Spesa iniziale Benefici non immediati
legge italiana prevede l’adeguamento alle misure minime di sicurezza (D.Lgs. 30/06/2003, n. 106) chiunque utilizzi sistemi informatici per scopi economicamente rilevanti, anche se non a scopo di lucro
Il Garantire la sicurezza di un sistema informatico consiste nell’assicurarne la non violabilità da parte di persone non autorizzate garantendo:
la capacità di un sistema di garantire che solamente gli utenti autorizzati possano accedere a quel dato, caso tipo l’accesso alla posta elettronica privata.
Confidenzialità
Integrità è la proprietà che garantisce che il dato possa essere modificato solamente da utenti autorizzati.
Disponibilità
la possibilità degli utenti autorizzati di avere sempre accesso ad un certo dato o risorsa. Anche se questo concetto può sembrare ovvio in sistemi complessi può essere messo in secondo piano senza essere implementato e controllato da solide policy
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
di un sistema informatico è una caratteristica di un suo componente per cui risulta suscettibile a particolari situazioni che portano al guasto, spesso improvviso, del componente stesso o di un particolare ad esso direttamente correlato.
Vulnerabilità o Falla
Minaccia
è la causa della falla
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
diventa elevato nel momento in cui il sistema, affetto da vulnerabilità, diventa oggetto di attenzione da parte di soggetti portatori di una minaccia.
Rischio
Il livello di rischi sarà proporzionale al numero di falle ed al numero di attacchi
Il rischio è tanto più elevato quanto più è elevato il valore dei dati da proteggere.
Rischio = Vulnerabilità x Minaccia
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
l’attività dei cyber-criminali professionisti, è mirata all’attacco dei sistemi informatici con lo scopo di realizzare facili guadagni attraverso il furto di informazioni.
Fonte: Trustwave 2012
1,00%
2,00% 2,00%
2,00%
3,00% 3,00%
23,00%
27,00%
37,00%
Top Attacks
Clickjacking
Stolen Credentials
Predictable Resource Location
Cross-Site Request Forgery
Brute Force
Banking Trojan
Denial of Service
SQL Injection
Unreported
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
Fonte: Trustwave 2012
2,00% 3,00% 4,00%
7,00%
7,00%
9,00%
10,00%
24,00%
34,00%
Top Outcomes
Session Hijacking
Link Spam
Account Takeover
Disinformation
Monetary Loss
Planting of Malware
Defacement
Downtime
Leakage of Information
Il defacement e il downtime rappresentano gli obbiettivi principale da parte dei cyber-criminali
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
VULNERABILITY ASSESSMENT
l’analisi di un’applicazione software mirata alla ricerca di errori o bug che, se opportunatamente sfruttate, possono costituire delle vulnerabilità per la sicurezza dell’applicazione stessa
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
VULNERABILITY ASSESSMENT LIFE CYCLE
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
ANALISI
Analisi Infrastruttura di rete
Check dei servizi esposti
Identificazione delle BU
Acquisizione policy
Software Open Source per la
Mappatura della rete Aziendale
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
VERIFICA (ASSESSMENT)
Identificazione del rischio
Vulnerabilità e Criticità
Classificazione del rischio
Software Open Source di
Vulnerability Assessment
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
REPORT
Misurare il livello di rischio
Descrizione Vulnerabilità
Note
Workaround Note
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
Wokaround References
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
CORREZIONE
Fix Vulnerabilità rilevate
Identificazione punti di
verifica
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
PREVENZIONE
Aggiornamento/Definizione
Policy Aziendale
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
MONITORAGGIO
Monitoraggio Trend
vulnerabilità
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
L'attività di DB Assessment and Activity Risk permette di valutare il
grado di protezione delle banche dati presenti sui sistemi informativi
aziendali.
DB Assessment and Activity Risk rappresenta un'indispensabile
strumento di supporto al processo di organizzazione, tracciamento
delle attività e protezione delle banche dati aziendali.
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
L'attività di DB Assessment and Activity Risk si compone dei seguenti
passi:
1. Check All Databases : Censire tutte le banche dati presenti in azienda
2. Assessment: Effettuare la verifica delle vulnerabilità e valutare, attraverso
un'analisi mirata sui dati, le attività che potrebbero risultare
potenzialmente illecite e di alto potenziale di rischio.
3. Reporting: Report sulle vulnerabilità riscontrate e i rischi individuati
4. Fix Vulnerability: Correzione delle vulnerabilità riscontrate.
5. Monitoring: Monitoraggio delle vulnerabilità e delle attività rischiose
attraverso una piattaforma dedicata
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
LA SICUR CONTROL SYSTEM OFFRE SOLUZIONI DI SAFETY
SOLUTIONS ALL’AVANGUARDIA PER QUALUNQUE ESIGENZA
SETTORI DI APPLICAZIONI:
• VIDEO SORVEGLIANZA – VIDEOCONTROLLO;
• SICUREZZA RESIDENZIALE
• SISTEMI DI PREVENZIONE E MONITORAGGIO AMBIENTALI;
• SISTEMI DI PREVENZIONE E MONITORIAGGIO BOSCHIVO
ANTINCENDIO
• SISTEMI D’ALLARME GENERAL PURPOSE
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
PROGETTAZIONE E SVILUPPO DI APPLICAZIONI PER IL
PLANNING, IL DIMENSIONAMENTO E PERFORMANCE DI
RETI DI COMUNICAZIONE
NETWORK, SYSTEM & SECURITY MANAGEMENT
DISASTER RECOVERY & BUSINESS CONTINUITY PLAN
PROGETTAZIONE, GESTIONE E DEPLOY DI WIFI
NETWORK (2.4-5GHZ)
DATA LOGGING & TRAKKING - VOIP
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it
GRAZIE PER LA VOSTRA ATTENZIONE
SCS (Sicur Control System) s.r.l.
Sede legale
Via Benedetto Croce Snc – 87046 Montalto Uffugo( CS)
Sede Operativa
C/da Piano di Maio snc – 87036 Rende (CS)
Contatti
Tel. +39 0984.446959 - Fax. +39 0984.448060
EMail: [email protected] PEC: [email protected]
SICUR CONTROL SYSTEM
GIUGNO 2013
Francesco Monteleone
Sicur Control System
www.sicurcontrolsystem.it