RICHMOND CYBER RESILIENCE FORUM 2018

PROGRAMMA CONFERENZE E RELATORI

CONFERENZA D’APERTURA

Malcolm K. Palmore

CISM, CISSP - Information Security / Risk Management Executive - FBI San Francisco - Cyber Branch

 LO SCENARIO DELLE CYBER MINACCE: I TREND E L’UTILIZZO DEI PRINCIPI DI RISK MANAGEMENT PER DIFENDERE LE RETI

Lo scenario delle minacce in ambito cyber è un ambiente in continua trasformazione.
Gli attori delle minacce si avvantaggiano sia delle vulnerabilità tecniche che di quelle umane attraverso il social engineering.
L’intervento esaminerà l’attuale scenario delle minacce, visto attraverso la lente dell’FBI,
e offrirà osservazioni su pratiche di risk management e sullo sviluppo di programmi di information security, per aiutare i manager a rendere sicure le reti e a informare i vertici dell’azienda dei possibili rischi.

M. K. Palmore serves as the leader of the San Francisco FBI – Cyber Security Branch. His responsibilities include the strategic and operational management of several teams of cyber intrusion investigators, computer scientists, analysts and digital forensics personnel charged with conducting investigations of cyber threat actors in both the criminal and national security intrusion realms.
Mr. Palmore’s leadership and investigative experiences include: Cyber Security, Crisis Management/Response,
Internal Risk-Management Advisory and Counter-Terrorism matters.
Mr. Palmore entered on duty with the FBI in 1997. His assignments, in addition to San Francisco, have included FBIHQ (Washington, D.C.), Sacramento, Los Angeles and several overseas engagements. In addition to his operational duties, Mr. Palmore writes extensively on the subject of leadership and has been interviewed by several outlets on the subjects of Information Security and Cyber Security Awareness.
Mr. Palmore’s certifications include the ISACA – CISM, ISC2 – CISSP and the Carnegie Mellon University CISO Certificate. He earned a B.S. from the United States Naval Academy and a MBA from Pepperdine University. Prior to the FBI, Mr. Palmore served as a commissioned officer in the United States Marine Corps.

Francesco Vestito

Generale di Brigata Aerea – Capo del CIOC Comando Interforze Operazioni Cibernetiche

CONFERENZA SERALE
PROSPETTIVE DELLA DIFESA PER LA SICUREZZA CIBERNETICA

L’intervento verterà sull’evoluzione dell’organizzazione Difesa nel dominio cyber. Nello specifico si fornirà un cenno al quadro normativo di riferimento da cui discende quanto realizzato dalla Difesa nel settore della Cyber Defence e si illustrerà l’organizzazione preposta per l’assolvimento dei compiti discendenti; saranno illustrati gli aspetti primari che stanno portando verso un’evoluzione organizzativa tesa al completamento della capacità di Cyber Defence e al raggiungimento di una piena capacità anche nelle Cyber Operations, attraverso la costituzione del Comando Interforze per le Operazioni Cibernetiche, definendo le future esigenze formative della Difesa, organizzative e infostrutturali.  L’intervento si concluderà con delle considerazioni finali e degli elementi di riflessione generali.

COME DEFINIRE IL CYBER-BUDGET (E PERCHÉ)

 

Attualmente i budget dedicati alla IT Security (per non parlare della Cyber Security, per la quale i budget sostanzialmente ancora non esistono) sono per lo più derivati dal budget IT.
Nel corso del seminario dimostriamo che questo approccio non è più sostenibile, anzi è controproducente, dato il livello raggiunto dalle minacce (che rappresentano ormai un pericolo esistenziale per le nostre organizzazioni), e proponiamo un modello logico-pratico di definizione del cyber-budget commisurato al contesto attuale.

Andrea Zapparoli Manzoni

Managing Director di un centro di ricerca internazionale in materia di Cyber Defense e dicente Clusit

Alessandro Rodolfi

Cultore della materia alle cattedre di Informatica e Informatica giuridica avanzata presso la facoltà di Giurisprudenza dell’Università degli Studi di Milano, socio fondatore di DataConSec,Presidente di Whistleblowing Solutions

GESTIRE LA SICUREZZA AI TEMPI DEL GDPR

A quasi un mese dalla definitiva applicazione del Regolamento europeo in materia di protezione dei dati personali, il seminario si pone l’obiettivo di analizzare lo stato dell’arte con particolare riferimento alle “adeguate” misure di sicurezza previste dal legislatore comunitario. Verranno esaminate le linee guida emesse in materia dalle principali Autorità europee e le recenti attività di armonizzazione effettuate dal Garante Privacy italiano. Si affronteranno, tra le altre, tematiche strategiche legate all’accountability del titolare del trattamento e al rapporto tra l’approccio basato sul rischio e l’obbligo di notifica delle violazioni di dati personali (c.d. data breach).  Quali azioni dovrebbero già essere operative nelle organizzazioni? Quali invece potrebbero essere le attività da pianificare e indirizzare nel medio-lungo periodo? Durante il seminario si forniranno una serie di spunti derivanti dall’esperienza maturata sul campo al fine indirizzare i futuri interventi di Cyber Security muovendosi cum grano salis all’interno di un framework normativo complesso con un elevato impatto sui sistemi informativi.

DA NOBODY A ‘ROOT’. COSA VUOL DIRE FARE ATTIVITÀ DI SICUREZZA OFFENSIVA.

 

I membri di un red team sono spesso visti come qualcuno in grado di compiere magie con un browser ed un prompt. Un semplice host si tramuta in una porta attraverso la quale, durante un penetration test, si può entrare per prendere il controllo di un network più complesso.
Anche se spesso legato ad attività criminali, la compromissione di un sistema è anche parte essenziale del processo di validazione di un setup di un server o del deploy di un’applicazione web destinata al cliente finale.
Durante il talk percorreremo i vari passaggi che si incontrano durante un’attività di offensive security osservandone l’applicazione su server preparati ad hoc per essere violati da chi vuole approfondire l’apprendimento della sicurezza offensiva, o da chi vuole semplicemente divertirsi un po’, risolvendo qualche challenge senza avere problemi con la legge.

Il punto di partenza sarà quello di un attaccante attestato ad una rete che non conosce.
Da qui, vedremo a fine del talk di quanti sistemi riuscirà ad essere amministratore.

Paolo Perego

Specialista di sicurezza applicativa

Matteo Tassoni

Country Security & Crisis Manager, (Italy, Balkans, Greece & Israel) - ABB SpA

IL LATO OPERATION SECURITY DELLA CYBER RESILIENCE

 

Il punto più debole di ogni architettura di Security è sempre il fattore umano: l’operatore finale.
Per questo il giusto completamento di una struttura di CyberSecurity non può prescindere da alcuni aspetti di Operation Security che fungono da integrazione di ogni firewall aziendale.
Nella narrazione parleremo di:
– La Clean Desk Policy con i suoi sotto insiemi:
o La classificazione (non IT) della documentazione cartacea (Pubblica, Confidenziale e Riservata)
o Le regole sulla chiusura degli uffici durante la giornata e a fine giornata (con valutazioni anti-incendio)
o L’archiviazione della documentazione (Confidenziale e Riservata) a fine giornata
o Le famigerate password sui post-it
– La funzione del SecurPrinting
– I controlli da parte del personale di Security durante la notte
– L’importanza di una Operational Cyber Security Induction (via webinar per esempio) per i nuovi assunti e per il personale in generale sui temi di cui sopra.

TESTIMONIANZE
Cyber resilience: un’opportunità per le Aziende virtuose

 

Le Aziende che si confrontano quotidianamente con le sfide del mercato devo organizzarsi in maniera consapevole per gestire i rischi cyber. I servizi essenziali erogati dalle Società che gestiscono infrastrutture critiche devono essere garantiti in continuità, attraverso una attenta politica preventiva, una reattiva gestione degli incidenti ed una efficace interazione con le Autorità istituzionali.

Alessandro Manfredini

Responsabile Group Security A2A

Pawel 'okno' Zorzan Urban

Cyber Security Manager, Ethical Hacker & Penetration Tester

THE HACK GAME: DON’T TRY THIS AT HOME!

The Hack Game è un “gioco” dedicato alla formazione in ambito Cyber Security.
Dopo un breve momento iniziale di formazione tecnica Ethical Hacker, per rendere tutti i partecipanti autonomi nella scoperta di vulnerabilità e problematiche di sicurezza dovute ad errata configurazione e/o mancati aggiornamenti, il gioco si svolgerà in piccoli gruppi.
Ogni gruppo avrà a disposizione 3 Access Point con 3 misure di scurezza differenti che le squadre o i singoli dovranno “craccare” in modo da ottenere accesso alla rete “bersagli”, per ogni rete Wi-Fi saranno presenti 2 server vulnerabili. Ogni partecipante avrà a disposizione un computer preparato con tool e sistemi dedicati all’attacco offensivo (sì avete capito bene, offensivo, simuliamo infatti il comportamento di un Cyber Criminale per capire il rischio che corriamo ogni giorno).
Lo scopo del gioco è quello di sensibilizzare gli attaccanti in ambito Cyber Security, così che imparino a conoscere le tecnologie ed evitare eventuali problemi di sicurezza.
E questo è solo l’inizio, tante sorprese durante il “gioco” ed un’ultima sfida nascosta che metterà a dura prova la passione e il know-how di chi colpirà il bersaglio.
Durante la formazione ed il “gioco” non verranno trascurati gli aspetti seri della sicurezza informatica e dei dai personali.

 

CYBER TERRORISM: IPOTESI SBAGLIATE E FATTI VERI + CIÒ CHE SPERO NON ACCADA MAI!

Questa presentazione inizierà con una definizione provvisoria del termine “Cyber Terrorismo”, poi ci concentreremo su quelle supposizioni sbagliate che ci facciamo spesso leggendo le notizie divulgate dai mezzi di informazione.
Lo speaker analizzerà l’argomento con fatti reali e veri, dirigendosi così verso il vero “nucleo” del suo discorso: cosa i (cyber) terroristi non hanno (ancora) fatto, o meglio “cosa speriamo davvero che non accada mai”.
La presentazione terminerà con la prospettiva di un “possibile attacco terroristico informatico”, in modo che tutti noi possiamo effettivamente capire quanto le problematiche inerenti ICT e Info Sec influenzino e influiscano sulla nostra “vita reale” e sul mondo di oggi.

Raoul Chiesa

Autore, membro del prestigioso Roster of Experts presso l’ITU (International Telecommunication Union, Nazioni Unite) di Ginevra.

SICUREZZA E INTERNET OF THINGS

La crescente diffusione di sistemi di Internet of Things sia in ambito consumer sia in ambito di industria 4.0 rappresenta una grande opportunità ma nasconde delle inevitabili minacce. I produttori e gli utilizzatori di tali dispositivi, infatti, non sempre aderiscono a best practice di sicurezza dei device, le quali vengono ormai espressamente richieste dalla legge. La mancata progettazione sicura o l’implementazione non corretta di un sistema IoT può, quindi, comportare diverse responsabilità con un’esposizione ai danni molto elevata sia in termini di tutela dei dati personali posseduti dall’azienda sia in termini di tutela del patrimonio aziendale e della proprietà industriale. In questo workshop si esamineranno i requisiti giuridici di sicurezza dell’IoT e si traccerà una possibile roadmap sulla loro corretta adozione.

Pierluigi Perri

Università degli Studi di Milano

Giacomo Zucco

Esperto di Bitcoin, cryptocurrencies e blockchain

BITCOIN, BLOCKCHAIN & CYBER-SECURITY

Il termine “blockchain” è attualmente usato (ed abusato) come una parola magica per suscitare facili entusiasmi: una “buzz-word” a tutti gli effetti. In questo workshop verranno analizzate le caratteristiche fondamentali e le potenziali implicazioni che si nascondono, spesso in modo confuso, dietro al termine, per andare oltre l'”hype” mediatico e verso la sostanza, tramite un inquadramento dettagliato delle tecnologie “blockchain” (e “blockchain-inspired”), del protocollo Bitcoin, delle cosiddette “crypto-currency”, con particolare attenzione alla sovrapposizione e all’interazione di questi temi con quelli tipici dell’industria Cyber-sec. Verranno sfidati alcuni luoghi comuni, riportando l’attenzione su use-cases realistici e possibili applicazioni industriali e di mercato.

LA DATA BREACH NOTIFICATION: OBBLIGHI E PROCEDURE

Tra gli obblighi che sono stati introdotti dal Regolamento europeo sulla protezione dei dati rientra quello di avere una procedura per la gestione delle violazioni di dati personali. Queste violazioni, note con l’espressione data breach, sono definite come “violazioni di sicurezza”, a rimarcare ancora una volta la centralità della sicurezza e della gestione del rischio nel GDPR. Al fine di non farsi cogliere impreparati, progettare un piano di analisi e risposta ai data breach è diventata un’esigenza di tutte le aziende, le quali hanno 72 ore per comunicare all’Autorità di controllo l’avvenuta violazione. Questo lasso di tempo, tuttavia, rischia di essere del tutto insufficiente se non si è proceduto ad effettuare prima alcune valutazioni sulla natura dei dati presenti in azienda e a predisporre degli strumenti di contenimento del danno.

Pierluigi Perri

Università degli Studi di Milano

Selene Giupponi

Segretario Generale IISFA e Membro Fondatore di ECSO. Cyber Security Advisor e Senior Digital Forensics expert per numerosi uffici della Procura della Repubblica, NATO, ITU (ONU).

LA NUOVA ERA DELLE INVESTIGAZIONI DIGITALI: PASSATO, PRESENTE E FUTURO

 

La Digital Forensics è a un punto di svolta. Fino ad ora, poteva quasi esser definita una scienza “statica”: quando avvengono degli incidenti i PC, server, traffico di rete e posta vengono analizzati per andare alla ricerca delle prove lasciate dall’attaccante. Ma oggi il futuro sembra indicare una nuova prospettiva di analisi … con l’avvento della Cyber Threat Intelligence, ho provato, per la prima volta, una metodologia totalmente innovativa: la Digital Forensics insieme alla Cyber Threat Intelligence.
Lo scopo di questa presentazione è di spiegare in che modo questa nuova metodologia investigativa può essere applicata ad ogni tipo di incidente informatico come minacce interne, spionaggio industriale etc.., soprattutto, al beneficio che ne possono trarre tutte le tipologie di aziende e organizzazioni.

INFORMATION SECURITY AWARENESS: UNA PRIORITA’ ASSOLUTA PER IL BUSINESS

La sensibilizzazione sulla sicurezza delle informazioni è una priorità imprescindibile per l’azienda moderna di qualsiasi settore e dimensione che voglia favorire l’allineamento della sicurezza con gli obiettivi e le strategie aziendali e proteggere al meglio il proprio business. Nel panorama moderno, la tecnologia digitale è onnipresente nei processi aziendali, le minacce informatiche si evolvono e i rischi di impatti sul business si moltiplicano. Quando la tecnologia fallisce, l’ultimo baluardo è la persona, che però, come insegnano recenti casi di cronaca, spesso è anche l’anello debole della catena. Scopriamo quindi come strutturare un programma aziendale di educazione e sensibilizzazione sulla sicurezza – con l’esempio di una campagna premiata dal Clusit – e quali sono i benefici in termini di cultura aziendale, di riduzione dei rischi e di supporto e protezione del business.

Ettore Guarnaccia

Professionista dell’ICT e dell’information security

EXHIBITOR INSIGHTS

Evoluzione delle minacce e approccio integrato alla Cyber Defence

Gli attacchi informatici sono una realtà: in uno scenario in cui non è possibile bloccare tutte le minacce, il modo in cui un’azienda risponde agli attacchi è fondamentale.
Oggi la sicurezza informatica e la gestione del rischio cyber sono una delle priorità del business e come tali devono essere valorizzate, facendone comprendere l’importanza a tutti i livelli dell’azienda.
La complessità crescente degli attacchi rende necessaria una strategia e metodologia che realizzi una difesa proattiva e globale, che permetta di intercettare e gestire efficacemente segnali al fine di bloccare con tempestività l’attacco; è altresì necessario uno scambio di informazioni a livello non solo nazionale ma internazionale. Una sicurezza multilivello che integri Threat Intelligence, AI e machine learning per aiutare le aziende a scoprire i più sofisticati attacchi in qualsiasi fase del loro sviluppo.

Marco Zanovello

Program Manager Yarix - Cyber Division Var Group

Diego Ghidini

Sales Director, BlackBerry Italia

Cybersecurity & “Enterprise of Things”: la sicurezza in azienda quando tutto è ormai connesso

 

Con l’emergere di Internet of Things/Enterprise of Things e dei loro miliardi di dispositivi connessi anche in azienda, il panorama dei rischi è cambiato in modo aggressivo: ciò a cui un intruso può accedere o modificare ora include veicoli, dispositivi medici e macchinari industriali solo per iniziare. I vantaggi per la società nel collegare tutti questi endpoint stanno diventando sempre più chiari, così come i rischi reali che si presentano lasciando anche un solo ed unico endpoint vulnerabile.
La sicurezza delle imprese è a volte paragonata alla costruzione di un castello per difendersi da un’orda infinita. Il successo non è tanto nel superare gli invasori, quanto nel contrastarli efficacemente in modo tale che si dirigano altrove alla ricerca di un attacco più facile: investire di più in difesa di quanto un aggressore sia disposto a spendere per l’attacco.
Ma è arrivato il momento di pensare in modo diverso e iniziare a prendere in considerazione attacchi invisibili e sconosciuti provenienti da questi miliardi di endpoint interconnessi. La scala delle minacce e delle potenziali aree di attacco è a un livello completamente nuovo e si espande quotidianamente. L’impresa moderna non è più un castello ma un regno interconnesso che richiede una maggiore sicurezza per gestire minacce mai individuate prima.
La buona notizia è che BlackBerry ha affrontato a lungo questi problemi, ascoltando i propri clienti e sviluppando software, servizi e procedure che si sono evoluti per navigare meglio in questo regno e mitigare i rischi di attacco.

DATA VALUE OR DATA KILLER?

 

I dati e le informazioni hanno un valore sempre più strategico all’interno delle organizzazioni, ne sono diventate un asset fondamentale.
La loro valorizzazione, gestione e tutela è quindi parte, o dovrebbe esserlo, della strategia aziendale.
Molte organizzazioni stanno rafforzando la propria capacità di gestione del cyber risk passando da una
conduzione che sinora è stata prevalentemente delegata ai reparti tecnici, ad una di tipo risk management, attraverso la definizione di strategie di governo, modelli di valutazione e conseguentemente con interventi di mitigazione del rischio. Si tratta in molti casi di primi passi verso una gestione più strategica del cyber risk che però richiede un approccio molto diverso da quanto fatto sinora.
Uno degli elementi di cambiamento è la ponderazione dei diversi metodi di mitigazione del cyber risk, che tipicamente portano alla valutazione, possibile solo a seguito di una preventiva analisi e misurazione economica dello stesso, di quanto di questo rischio debba essere mitigato con interventi interni ad esempio organizzativi o tecnologici, quanto ceduto a terzi ad esempio tramite outsourcing di attività o assicurazione, e quanto ci si possa consentire di mantenere.
Una non corretta gestione di questa strategia può avere conseguenze catastrofiche, trasformando l’informazione da valore a killer di un’organizzazione.

Cosa fare quindi? Come va approcciato il tema? Con quali modelli o strategie?

Pamela Pace

Partner Obiectivo

Fabio Monzini,

Major Account Executive, Akamai

SECURITY & PERFORMANCE

Gli utenti si aspettano che la loro online experience sia sempre disponibile e sicura e che i loro asset personali e aziendali siano sempre protetti. Poiché un numero crescente di dati e processi
aziendali viene trasferito online, le aziende devono affrontare problemi legati alla protezione di siti Web e infrastrutture, senza tuttavia sacrificare le performance in cambio della sicurezza.
Akamai permette di portare il contenuto agli utenti estendendo il perimetro di sicurezza fino al cloud, fornendo protezione dai sempre più sofisticati attacchi al data center e al Web.

Programma conferenze edizioni passate:

Clicca sul link per scaricare

Scarica il Programma Conferenze 2017