Metodologie e tecniche per la sicurezza delle reti aziendali
|
|
- Orlando Palma
- 8 anni fa
- Visualizzazioni
Transcript
1 Corso di laurea in Scienze e tecnologie dell informazione Metodologie e tecniche per la sicurezza delle reti aziendali RELATORE Prof. Ernesto Damiani TESI DI LAUREA DI Lorenzi Stefano CORRELATORE Matr Dott. Claudio Agostino Ardagna Anno Accademico 2011/2012
2 Dedica La generazione dei numeri casuali è troppo importante per essere lasciata al caso. Robert R. Coveyou
3 Ringraziamenti Sonodiverselepersonechevorreiringraziare, echeinmododiversomihanno aiutato a portare a termine questo ciclo di studi. Ringrazio innanzittutto Monica e Leonardo per la pazienza avuta in questi anni, e per avermi appoggiato in questo cammino. Ringrazio il Dott. Claudio Agostino Ardagna per la pazienza avuta nel correggere questo lavoro Ringrazio l azienda Selex Elsag CyberLabs, per la quale lavoro, per la possibilità datomi di poter affrontare questa ricerca anche in ore lavorative, e tutti i colleghi, che in questi anni mi hanno aiutato a crescere professionalmente, e con i quali, quotidianamente c è un piacevole confronto sulle tematiche affrontate in questo lavoro. Ringrazio gli amici Luca e Giusy, perchè questo percorso universitario ebbe inizio, quasi casualmente, da un invito a cena a casa loro. 2
4 Prefazione L interdipendenza delle reti informatiche è in aumento, determinando nuove criticità e rischi tra i diversi sistemi, ormai fortemente integrati tra loro, interdipendenti e basati su piattaforme condivise. Oltre a disguidi tecnici, nuove minacce arrivano anche da tipologie di attacchi che fino a poco tempo fa sembravano solo teorici. Prendiamo come esempio Stuxnet, un worm informatico in grado di spiare e riprogrammare pc e plc industriali. E ormai evidente che è indispensabile proteggere tutte le nostre infrastrutture con nuove metodologie, con particolare attenzione a quelle informatiche. L obiettivo di questo lavoro di tesi è l analisi di un nuovo modello che possa fotografare nel modo più completo e dettagliato possibile il livello di sicurezza dell infrastruttura presa in considerazione e, nel limite del possibile, di migliorarla. Il progetto di tesi propone un analisi generale dell ambiente partendo dall applicazione e dall infrastruttura, fino ad arrivare ai dati transitanti dalla rete, analisi che mette in evidenza le vulnerabilità in modo da identificare con precisione dove e perché intervenire, minimizzando i rischi per il business asset. La metodologia presentata in questo lavoro di tesi si caratterizza per la circolarità e la suddivisione del Vulnerability Assessment in 3 livelli: infrastrutturale, applicativo, policy aziendali. Per quanto riguarda l analisi applicativa, in particolar modo per il mondo 3
5 web, OWASP rappresenta le fondamenta per questo tipo di analisi; essa sostiene che si raggiunge la sicurezza di un applicativo by design, ossia all interno del ciclo di vita del software. L analisi applicativa si suddivide in due parti, white e black box. La prima tecnica identifica le vulnerabilità a partire dal codice sorgente del componente, la seconda attraverso un insieme di test mirati. Nell attività di VA è presente il problema di degradazione, in quanto nel tempo, sia nuovi asset che nuovi applicativi vengono aggiunti e nuove vulnerabilità vengono scoperte, modificando in questo modo la situazione analizzata precedentemente. La tesi mette in evidenza l inadeguatezza di un approccio tradizionale con scansioni usando tool di vulnerability scanner (Nessus, Nikto etc..) e le possibilità date da un approccio complementare, come l uso del passive vulnerability scanner (PVS), ossia il continuo monitoraggio del traffico di rete. In questo modo, verrebbe gestito almeno in parte il problema della degradazione del VA tradizionale. Inoltre, PVS osserva quali sistemi sono attivi, con quali protocolli comunicano e con chi comunicano, quale applicazione eseguono e quale vulnerabilità sono presenti. Queste informazioni vengono poi confrontate con le policy aziendali e l Information Technology (IT) valuterà di conseguenza se bloccare o meno una determinata tipologia di traffico. E comunque fondamentale che la sicurezza di una struttura informatica non sia un attività fine a se stessa, ma in continua evoluzione. Sarà quindi necessario, ciclicamente, analizzare la robustezza dell infrastruttura e degli applicativi, affinché nuove vulnerabilità vengano scoperte. Sia i sistemi operativi che le applicazioni vengono continuamente aggiornate, con il rischio di introdurre nuove vulnerabilità. Il lavoro di tesi lascia spazio ad alcuni sviluppi futuri. Primo fra tutti, l appro- 4
6 fondimento del vulnerability assessment nell ambito delle basi di dati. Lavori futuri riguardano anche la ricerca di una metodologia atta a rilevare gli Advance Persistent Threat (APT). Tale metodologia permetterà di aggiungere le signature degli APT rilevati nelle regole dei sistemi di Intrusion Detection System (IDS), in modo da rendere l infrastruttura ancora più sicura. 5
7 Indice Introduzione 13 1 Risk Analysis Standard ISO La famiglia ISO Standard ISO Standard ISO Progettare un vulnerability assessment Definizioni della terminologia Vulnerability scan Vulnerability assessment Risk assessment Penetration Test Security assessment Security Auditing Cos è un vulnerability assessment Le vulnerabilità Le categorie delle vulnerabilità Limitazioni di un VA
8 3 Vulnerabilità infrastrutturali Vulnerability scanner Nessus Nmap Microsoft baseline security analyzer Nikto Modalità d uso di un vulnerability scanner Performance Analysis Valutazione prestazionale e affidabilità di Sistemi Complessi RAMS Reliability - Affidabilità Availability - Disponibilità Maintainability - Mantenibilità Safety - Sicurezza Tecniche di Analisi e Modellazione dei Sistemi Software Tool per stress test Owasp Cos è Owasp? TOP I tool di OWASP Vulnerabilità applicative Vulnerabilità applicative SQL injection Cross-site scripting Le Cross-Site Request Forgeries Buffer Overflow
9 7 Assessment applicativo Analisi della web application Analisi dinamica (black box analysis) IBM AppScan ZAP Considerazioni Analisi statica (white box analysis) Extranet services Considerazioni Ciclo di vita del software Passive vulnerability scanner Cos è un passive vulnerability scanner Vantaggi di un passive scanning PVS & vulnerability scanner Risk Exposure Analyzer Risk Analisisys overview Skybox Security Caso di studio Web Application Firewall Caratteristiche dei WAF WAF e scansione applicativa Conclusioni 139 A Raccolta dati e reportistica 143 A.1 MagicTree
10 Elenco delle figure 1 Processo per la messa in sicurezza di una infrastruttura Suddivisione in livelli della messa in sicurezza di una rete Shema Risk Analysis ISO Framework ISO ISO Suddivisione dei processi SANS Vulnerability Finestra temporale di una vulnerabilità. Fonte [5] Controllo remoto di un prompt dos Creazione di un policy con Nessus Nmap Microsoft baseline security analyzer Nikto Schema di rete Classificazione dei guasti all interno di un sistema Andamento caratterisco di Z(t) Availability
11 4.4 Sistema in serie Sistema in parallelo Safety Sicurezza - Costi Modello di Metodologia di Test Finestra temporale di una vulnerabilità Owasp Zap SDLC OWASP Guidelines e tools Struttura Web Application Tipologie di security test Esplorazione e analisi di una web application Proxy Zap Distribuzione delle vulnerabilità in modalità statica e dinamica SLDC cattura del traffico Firefox Risk Exposure Analysis CIA Mappa di rete Skybox prima del bilanciamento CIA Skybox dopo del bilanciamento CIA Riscontro scansione applicativa e WAF WAF in modalità offline WAF in modalità inline
12 A.1 MagicTree
13 Elenco delle tabelle 5.1 Security web tool tool per analisi statica Caso specifico dell intersezione Visualizzazione vulnerabilità, scanner applicativo e un WAF. 137 A.1 MagicTree tool riconosciuti
14 Introduzione I computer si sono diffusi moltissimo in questo ultimo ventennio, e le reti informatiche stanno diventando ogni giorno sempre più complesse. Anche la loro accessibilità e la loro interdipendenza è in aumento, ed è proprio quest ultima a determinare nuove criticità e rischi tra i diversi sistemi, ormai fortemente integrati ed interdipendenti, basati su piattaforme condivise. Un esempio è certamente quello accaduto nel 1998 al Galaxy IV, il satellite per telecomunicazioni in orbita geo-stazionaria sulla costa occidentale degli Stati Uniti. Il suo guasto comportò ritardi di diverse ore per una ventina di voli della United Airlines in fase di decollo a causa della mancata comunicazione del clima in quota; alcune emittenti radiofoniche rimasero oscurate. Ma la cosa più sorprendente furono le conseguenze sul sistema di trasporto viario. Infatti, per l impossibilità di trattare le carte di credito nelle aree di servizio lungo le autostrade, che utilizzavano le comunicazioni satellitari per la connessione con i circuiti degli enti emettitori, ci furono notevoli difficoltà nell effettuare anche i rifornimenti di carburante ai veicoli.[12] La qualità della vita, la sicurezza e lo sviluppo nei paesi industrializzati dipendono ormai fortemente dal funzionamento continuo e sempre più coordinato di un insieme di infrastrutture che, per la loro importanza e strategicità, sono definite Infrastrutture Critiche, come ad esempio: le varie reti di comunicazione; 13
15 le reti e le infrastrutture di trasporto persone e merci (aereo, navale, ferroviario e stradale); il sistema elettrico ed energetico; le reti a supporto del Governo, delle Regioni ed enti locali; i circuiti economico finanziari. Un altro caso si è verificato il 28 settembre del 2003, quando la rete elettrica italiana è stata separata dalla rete europea portando così ad un collasso del sistema elettrico. Non è semplice valutare il danno economico di questo black-out, ma una stima è stata valutata intorno ai 640 milioni di Euro. [11] Oltre ai disguidi tecnici, da cui bisogna ad ogni modo proteggersi, altre minacce arrivano da nuove tipologie di attacchi che fino poco tempo fa sembravano solo teorici. Prendiamo come esempio Stuxnet, un worm informatico in grado di spiare e riprogrammare pc e plc industriali. Tale worm è stato scoperto a metà del 2010; pare che la sua implementazione risalga a inizio Symantec afferma che la maggior parte di pc infetti si trova in Iran: da qui le speculazioni in base alle quali l obiettivo del virus potrebbero essere le centrali nucleari in costruzione nel paese asiatico. La contaminazione è iniziata tramite una chiavetta USB (presente praticamente in tutti i pc) per poi diffondersi attraverso la rete. La complessità di Stuxnet è insolita per un virus informatico in quanto l attacco richiede la conoscenza dei processi industriali e mira all attacco a infrastrutture industriali. Considerata la complessità del virus, per la sua realizzazione si sarebbe dovuto impiegare un team di programmatori di diverse discipline e la verifica di sistemi reali per evitare di bloccare il funzionamento del PLC. Secondo i tecnici Siemens, la creazione di questo malware avrebbe richiesto mesi se non anni di lavoro se 14
16 eseguita da una sola persona. Nonostante la sua giovane età, questo worm ha già subito diverse varianti: questo indica come gli sviluppatori di stuxnet siano attivi sul loro progetto. [15] Un nuovo modello per mettere in sicurezza una rete E ormai evidente che dobbiamo iniziare a proteggere tutte le nostre infrastrutture anche con nuove metodologie, con particolare attenzione a quelle informatiche ed è per questo motivo che questo lavoro vuole analizzare un nuovo modello, il cui obiettivo è quello di fare una fotografia il più completa e dettagliata possibile del livello di sicurezza dell infrastruttura presa in considerazione. Approccio - Il focus in questo genere di iniziativa è quello di valutare il livello di sicurezza di un Core Business Service nel suo complesso, o quanto meno di tutte le componenti tecnologiche che lo compongono; Check-up completo- Oggi i budget a disposizione della security vengono normalmente dispiegati su perimetri molto estesi ma estremamente verticali; es. su tutta l infrastruttura perimetrale, oppure su tutti i server dell infrastruttura interna, oppure su tutta la rete, oppure ancora solo su diverse applicazioni web, solo sui client, ecc. Come detto sopra, focalizzando l assessment su un unico Core Business Service, possiamo permetterci di analizzare in maniera minuziosa tutte le componenti tecnologiche che lo abilitano (infrastruttura perimetrale, infrastruttura interna, applicazioni, DB, client, ecc.) in modo da individuarne eventuali vulnerabilità tecniche e organizzative e/o di sicurezza fisica 15
17 afferenti allo specifico servizio di business. Il concetto di fondo è che individuate 100 vulnerabilità sul Core Business Service, verosimilmente l 80%, o più di queste saranno sicuramente presenti anche sulle componenti che abilitano tutti gli altri Business Service. In ultima analisi, l approccio di questo lavoro consente all ente interessato, a fronte dell esito dell assessment svolto su uno dei suoi servizi di business e messo a conoscenza dei propri processi interni usati per mettere in sicurezza tutti gli altri servizi, di andare ad applicare per analogia le evidenze emerse sul servizio analizzato agli altri componenti. Quello che si vuole proporre è un analisi generale dell ambiente partendo dall applicazione e dall infrastruttura, fino ad arrivare ai dati transitanti dalla rete. Tale analisi metterà in evidenza le vulnerabilità in modo da identificare con precisione dove e perché intervenire, al fine di minimizzare il più possibile il livello di rischio del proprio business asset. Possiamo quindi pensare che il processo utile per mettere in sicurezza una rete, possa i seguenti passi 16
18 Fig. 1: Processo per la messa in sicurezza di una infrastruttura In prima analisi, un azienda deve valutare i propri rischi, a seconda del suo core bussiness, e valutare anche quanto investire nella sicurezza della sua infrastruttura. Successivamente, con l esecuzione di Vulnerability Assessment, è possibile avere una prima fotografia della sicurezza, ed essere a conoscenza di eventuali vulnerabilità presenti nel sistema operativo,applicazione o db. Successivamente, attraverso l uso di un IDS, sarà possibile valutare cosa transita nella rete, e attraverso pattern match, valutare se il traffico passante possa considerarsi lecito o meno. La figura 2 vuole mostrare come si potrebbe suddividere la gestione della messa in sicurezza di una infrastruttura. 17
19 Fig. 2: Suddivisione in livelli della messa in sicurezza di una rete Come vedremo nei capitoli successivi, i punti chiave da prendere in considerazione sono 3, ossia controlli di tipo 1. Infrastruturale: prende in considerazione la parte hardware del mondo IT, come i server, client, firewall etc; 2. Applicativo: prende in considerazione gli applicativi presenti sull infrastruttura, dall implementazione alla configurazione; 3. Policies: prende in considerazione le regole imposte dall azienda, tipicamente gestite dal Security Manager aziendale. In questo lavoro si vuole analizzare una metodologia per mettere in sicurezza una rete aziendale di grandi dimensioni. Per fare questo, è necessario prima fare una analisi dei rischi in modo da valutare il grado di Confidentiality, Integrity, Availability (CIA) che si vuole dare all azienda. Successivamente verrà fatta una fotografia della rete attraverso un approccio semitradizionale di Vulnerability Assessment (VA). Questo permetterà di dare un 18
20 primo output al cliente in tempi rapidi. Come vedremo, l approccio tradizionale oltre a generare un alto traffico di rete, soffre del problema di degradazione. Per ovviare, almeno in parte, a questi problemi, l integrazione di un sistema di Intrusion Detection System (IDS) può essere d aiuto. La tesi è organizzata come segue: Capitolo 1: breve riassunto dei principali standard che riguardano gli aspetti del mondo ICT; in particolare vengono prese in considerazione famiglie ISO [6] [7] [8]. Capitolo 2: si imposteranno le basi di un attività di VA, chiarendo la terminologia, troppo spesso usata a sprosito. Verrà illustrato il concetto di vulnerabilità e il suo ciclo di vita. Infine, verranno discussi alcuni limiti di questa attività. Capitolo 3: in maniera sicuramente non esaustiva, verranno presi in considerazione i principali tool usati nelle attività di vulnerability scan. Capitolo 4: verrà introdotto il concetto dell acronimo Reliability (affidabilità), Availabity (disponibilità), Maintainability (manutenibilità), Safety(sicurezza) conosciuto con l acronimo Rams con valutazioni delle prestazioni dell infrastruttura analizzata. Capitolo 5: viene descritta la metodologia OWASP [10], standard de facto nella sicurezza applicativa. Vengono anche discussi alcuni tool messi a disposizione dall associazione OWASP per questo tipo di analisi. 19
21 Capitolo 6: vengono discusse le principali vulnerabilità applicative, con particolare attenzione al mondo web, e come quest ultime possono essere sfruttate da malintenzionati. Capitolo 7: assessment applicativo, differenza tra analisi white box e black box. Verranno discusse queste due modalità, che viste sotto due insiemi differenti, ma con una parte di intersecazione aiuterà ad una eliminazione veloce dei falsipositivi. Capitolo 8: verrà introdotto l uso di un Intrusion Detection System (IDS), per la ricerca di vulnerabilità. Analizzando in maniera passiva il traffico passante in una rete è possibile trovare alcune vulnerabilità, oppure vedere violazioni di policy aziendali. Questa attività non genererà traffico aggiuntivo come dimostrato nel capitolo precedente e si rivelerà complemetare al vulnerability assemente tradizionale. Capitolo 9: pesare correttamente le vulnerabilità trovate è fondamentale. Come vedremo, i tool usati danno spesso una classificazione del tipo alta, media o bassa. La stessa vulnerabilità trovata su un server web non può avere lo stesso peso della stessa vulnerabilità trovata su server di stampa. Capitolo 10: si approfondirà l uso di un WAF (Web Application Firewall) per mediare le vulnerabilità. A seguito di un alto numero di vulnerabilità trovate, non sempre è possibile sistemarle tutte in tempi brevi, mentre con l uso di questi strumenti alcune possono essere mediate, per essere sistemate successivamente. 20
22 Capitolo 1 Risk Analysis Quando si gestisce una grande infrastruttura informatica e si lavora quotidianamente per la sua sicurezza è indispensabile avere ben chiaro quale tipo di sicurezza si vuole raggiungere (visto che è impossibile pensare alla sicurezza al 100%). Deve essere chiaro a quale rischio l azienda è esposta, e a seconda del proprio core bussiness, valutare anche quali sono le priorità di remediation. Tipicamente, a seconda delle proprie esigenze e della disponibilità economica aziendale, viene anche predisposto un certo budget per trovare il giusto bilanciamento tra necessità e disponibilità. Nei capitoli successivi vedremo come trovare eventuali vulnerabilità presenti nell infrastruttura o nelle applicazioni. Ma deve essere chiaro fin da subito che ogni vulnerabilità, andrà valutata in base al contesto, e quindi ripesata rispetto al risultato che avremo. E il caso ad esempio, di una vulnerabilità presente sia su un server web che su un server di stampa, probabilmente, daremo priorità al server web, in quanto contiene dati più sensisibili rispetto al server di stampa. Come mostrato in [1], nella pratica, nel risk analysis è necessario valutare i seguenti punti: 21
23 esigenze in termini di sicurezza; tipologia del dato trattato; traffico di rete; hardware a disposizione; software utilizzato; Servizi che si vogliono offrire. Fig. 1.1: Shema Risk Analysis Negli anni sono state implementate diverse best practice, per la gestine dell analisi dei rischi, nel paragrafo successivo, vuole mostrare un breve riassunto su alcuni standard International Standard Organization (ISO). Si demanda naturalmente alla documentazione ufficiale per maggiori dettagli. 1.1 Standard ISO Lo Standard ISO 27001, è stata scritto nel 2005, riporta una serie di linee guida al fine di gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall inglese Information Security Management System), 22
24 questa linee guida includono aspetti relativi alla sicurezza logica, fisica ed organizzativa. Come vedremo in questo lavoro, i dati possono essere fortemente a rischio, infatti violazioni dei sistemi informatici, come sostengono molte statistiche sono fortemente in aumento. L obiettivo della ISO è proprio quello di proteggere le informazioni/dati, al fine di garantire l integrità, la riservatezza e la disponibilità, e fornire al tempo stesso,i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell azienda. Come la maggior parte delle ISO, anche la 27001, è stata scritta per poter essere applicata alla maggior parte dei settori commerciali. Inoltre questo standard, stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L obiettivo principale è quello di creare un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT. La norma non è business oriented, ed è quindi applicabile a diverse tipologie di imprese, siano esse private o pubbliche. E fondamentale però l adozione e gestione di un ISMS che a sua volta richiede un impegno di risorse significativo, per questo motivo spesso è un ufficio specifico che in genere coincide con l ufficio Organizzazione e Qualità. Essa specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato all interno di un contesto di rischi legati alle attività centrali dell organizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessità di una singola organizzazione o di una sua parte. Il sistema è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati. Riassumento lo standard prevede: pianificazione e progettazione; identificazione dei rischi; 23
25 analisi e valutazione; selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi; assunzione del rischio residuo da parte del management; implementazione; monitoraggio; mantenimento e il miglioramento. All interno dello standard ISO è presente l Annex A Control objectives and controls che contiene oltre 100 controlli a cui, l organizzazione che intende applicare la norma, deve attenersi. Questi controlli spaziano su diversi argomenti, dalla politica e l organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni). La gestione della Business Continuity e il rispetto normativo, completano l elenco degli obiettivi di controllo. L organizzazione deve motivare quali di questi controlli non sono applicabili all interno del suo ISMS, per esempio un organizzazione che non attua al suo interno commercio elettronico può dichiarare non applicabili i controlli del A.10.9 che si riferiscono appunto all e-commerce. 1.2 La famiglia ISO LafamigliaISO31000(checomprendela31000ela31010)èstatapubblicata nel 2009, con l intento di fornire uno standard per l attuazione della gestione 24
26 dei rischi. Lo scopo di tale norma è quello di essere applicabile e adattabile per qualsiasi impresa pubblica, privata, associazione, gruppo o individuo, ne consegue che come una famiglia di standard di gestione del rischio, non è sviluppato per un particolare gruppo di settore, ma piuttosto vuole fornire la struttura delle best practice da seguire nelle operazioni che si occupano di gestione del rischio. Lo scopo della norma ISO è quello di fornire principi e orientamentigenerali sulla gestione del rischio. questo standard mira a fornire un paradigma universalmente riconosciuto per i professionisti e le società che si occupano nei processi di gestione del rischio per sostituire la miriade degli standard presenti prima del 2009, anno di stesura dell ISO Attualmente la famiglia ISO si suddivide principalmente in due parti: 1. ISO 31000: Implementazione di principi e linee guida; 2. ISO 31010: Risk Management - Risk Assessment Techniques Standard ISO L introduzione alla nuova norma UNI ISO riporta: Le organizzazioni di tutti i tipi e dimensioni si trovano ad affrontare fattori ed influenze interni ed esterni che rendono incerto il raggiungimento dei propri obiettivi. Il rischio è l effetto che questa incertezza ha sugli obiettivi dell organizzazione. Ovviamente qualsiasi attività di un organizzazione comporta un rischio: la loro gestione può essere applicata in qualsiasi momento a un intera organizzazione, alle sue numerose aree e livelli, cosi come alle specifiche funzioni, progetti e attività. Applicabile a qualunque tipo di rischio, la UNI ISO Gestione del rischio - Principi e linee guida può essere utilizzata da imprese pubbliche, private o 25
27 sociali, associazioni, gruppi o individui e, pertanto, non è specifica per alcuna industria o settore. Per far sì che la gestione del rischio sia efficace, un organizzazione dovrebbe, a tutti i livelli, seguire gli 11 principi riportati nella norma, la figura 1.2 ne mostra il framework; 26
28 Fig. 1.2: ISO
29 il successo della gestione del rischio dipende inoltre dall efficacia della struttura gestionale di riferimento, che definisce le basi e gli assetti organizzativi per progettare, attuare e migliorare in continuo la gestione del rischio, nonchè per integrare la stessa all interno dell organizzazione. A tal fine, la norma fornisce indicazioni relative a: l impegno costante da parte della direzione per l introduzione di una efficace gestione del rischio e per la relativa definizione di politica e obiettivi; la progettazione della struttura di riferimento per gestire il rischio; la definizione delle responsabilità; l integrazione della gestione del rischio nei processi organizzativi; l assegnazione delle risorse; i meccanismi di comunicazione e reporting (interni ed esterni); l attuazione della gestione del rischio; il monitoraggio, il riesame e il miglioramento continuo della struttura di riferimento. Il processo di gestione del rischio comprende, come indicato nella norma, un piano per la comunicazione e consultazione degli stakeholder, la definizione del contesto, l identificazione e l analisi del rischio, la sua ponderazione, trattamento, monitoraggio e riesame e la registrazione del processo stesso. La UNI ISO è l adozione nazionale, in lingua italiana, della norma internazionale elaborata dal comitato tecnico ISO/TMB WG Risk management. 28
30 Per definire invece i termini di base relativi alla gestione del rischio, nel catalogo UNI è presente la norma UNI Gestione del rischio - Vocabolario che costituisce un riferimento generale applicabile a tutte le organizzazioni, al fine di promuovere un approccio coerente per la descrizione della gestione del rischio e l utilizzo della terminologia pertinente. Fulcro di questa ISO è naturalmente il framework. Fig. 1.3: Framework ISO Standard ISO La presente norma internazionale è uno standard di supporto per ISO e fornisce indicazioni sulla selezione e applicazione di tecniche sistematiche per la valutazione del rischio. La valutazione del rischio fornisce ai responsabili, di comprendere come i rischi potrebbero compromettere il conseguimento degli obiettivi dei controlli già in atto. Questo fornisce una base per le decisioni sul metodo più idoneo da utilizzare per trattare i rischi. L output del risk 29
31 assessment diventerà l input ai processi decisionali dell organizzazione. Come mostrato in figura 1.2, la valutazione dei rischi è quel processo globale che permette di: identificare i rischi; analisi dei rischi valutazione dei rischi. Il modo in cui viene applicato il processo dipende non solo dal contesto del processo di gestione del rischio, ma anche sui metodi e le tecniche utilizzati per effettuare la valutazione del rischio. Fig. 1.4: ISO
32 Capitolo 2 Progettare un vulnerability assessment Nel capitolo precedente abbiamo sottolineato l importanza del risk analisys, e la necessità da parte dell azienda di conoscere e valutare la propria esposizione al rischio. Una volta identificata quest ultima, allora sarà possibile valutare quale tipo di Vulnerability Assessment sarà necessario applicare, considerando quale grado di dettaglio, e di conseguenza di costo, si vuole affrontare. 2.1 Definizioni della terminologia Ci sono diversi termini per identificare diverse attività di IT security, purtroppo però, non sempre vengono usate correttamente. E quindi importante mettere chiarezza fin da subito alle definizioni usate, come : vulnerability scan, vulnerability assessment, 31
33 risk assessment, penetration test, security audit, security assessment Vulnerability scan Viene generalmente indicata un attività, completamente automatizzata delle vulnerabilità presenti in un sistema. Tipicamente vengono usati tool automatici, come Nessus o Iss Scanner. Il risultato di questa attività è generalmente un informazione del tipo: Il server con indirizzo ha il sistema operativo X versione y ha una vulnerabilità di questo tipo Vulnerability assessment In questa attività, oltre a eseguire un vulnerability scan, è necessaria anche una verifica umana delle vulnerabilità presenti nel contesto. L analista, dovrà pesare le vulnerabilità trovate e dare una priorità della sistemazione. Questa attività, grazie al lavoro umano, ha un valore aggiunto rispetto al vulnerability scanner. Infatti, l analista si occuperà anche di: depurazione di falsi positivi; capire bene la topologia della rete; potrebbe avere le regole dei firewall; potrebbe essere a conosceza delle policy aziendali. 32
34 In questa attività, non si simula il malintenzionato, quindi, è necessario facilitare il più possibile l attività di VA. Ad esempio, se la rete presa in considerazione ha un firewall, le varie scansioni è preferibile farle oltre il firewall. Questo perchè, come vedremo nel capitolo 3, farle prima dell apparato genererebbe molti falsi positivi, in quanto il firewall blocca le richieste. In linea di massima, questa attività è poco invasiva: il security group si limita a ricercare le vulnerabilità e le segnala al cliente; alla fine si trova la soluzione migliore, cercando di mediare le vulnerabilità trovate e eventuali costi per un remediation plain. Tuttavia, in questa attività non vengono considerate alcune componenti importanti come: componenti fisiche; componente umana; componenti procedurali. Un altro limite di questa attività è che essa soffre del problema della degradazione: infatti, periodicamente vengono aggiunti nuovi servizi, cambiate le installazioni, aggiunte o rimosse patch Risk assessment Questa attività segue una metodologia di analisi del rischio (nel mondo IT ci sono ISO 27001, e 31010) e vengono spesso usati tool BIA (Businnes Impact Analyst). Questi tool sono utili per quantificare il rischio e dimostrare l importanza dell investimento in sicurezza. 33
35 2.1.4 Penetration Test Questa attività richiede di simulare l attività di un maleintenzionato e cerca di sfruttare almeno una vulnerabilità per raggiungere il suo fine, ossia prendere possesso della macchina remota, anche con metodologie e strumenti non convenzionali. Questa attività può essere condotta sia dall interno che dall esterno della rete analizzata. Tipicamente le attività eseguite dall interno hanno lo scopo di verificare se esistono possibilità di accedere a file e/o dispositivi in modo inappropriato. Nei pentest, potrebbe essere richiesto di testare non solo le macchine, ma di valutare anche le persone addette a tali macchine; quindi tipicamente si suddivide in test di tipo: overt o evidente: i dipendenti, con particolare attenzione all IT, sono a conoscenza dell attività in corso. In un contesto siffatto non ha senso l utilizzo di metodologie di social engineering; covert o nascosto: si esegue l attività, con l autorizzazione dei manager, e all insaputa dello staff IT. In questa attività, ha senso testare anche la capacità e affidabilità degli addetti alla sicurezza durante un emergenza e la reale validità delle politiche di sicurezza dell azienda. Naturalmente, non è scontato che tale attività porti a garanzie positive. Potrebbe infatti accadere che il tecnico non penetri la macchina in questione, ma questo non significa che la macchina sia al sicuro da attacchi. Anche questa attività, come i Vulnerability assessment, soffre del problema della degradazione. Da un punto di vista teorico, ma non troppo, come dimostrato in [9], attraverso il social engineering, è possibile penetrare una rete o una macchina con ottimi livelli di sicurezza. In una attività del genere, non siamo interessati 34
36 a come una rete è stata progettata, ma nemmeno capire qual è il suo stato attuale. Siamo interessati solo alla ricerca di una vulnerabilità, e qualora non la trovassimo, possiamo sempre basarci sul social engineering Security assessment Il security assesment è un attività più ampia rispetto alle precedenti, comprende molte delle attività descritte in precedenza. Essa prende in considerazione: sicurezza logica; sicurezza informatica; sicurezza infrastrutturale; sicurezza sociale. Tale attività deve comprendere elementi di stato e di processo per evitare la degradazione. La metodologia di riferimento è proposta da OSSTMM ( Security Auditing Quest attività si preoccupa di identificare il livello di sicurezza aziendale e confrontarlo con le policy o con le best practice aziendali, entrambi prese come elemento di paragone. Quest attività dovrebbe essere parte integrante dei processi aziendali e non una consulenza saltuaria. 35
37 2.2 Cos è un vulnerability assessment Quando si parla di sicurezza informatica s intende sempre la capacità di un sistema informativo di resistere, con un determinato livello di confidenza, agli incidenti o alle azioni illecite atte a compromettere disponibilità, autenticità, integrità e riservatezza dei dati presenti nel sistema stesso, o trasmessi a servizi o a rete informatiche. L obiettivo di un VA è appunto quello di poter trovare, eventuali vulnerabilità presenti nella rete, in modo da poter successivamente proteggere al meglio l organizzazione, tenendo in considerazione le differenti dimensioni della sicurezza: disponibilità: riduzione a livelli accettabili del rischio di impedimento agli utenti autorizzati di fruire del sistema informativo e di accedere e utilizzare le informazioni, sia a seguito di fatti accidentali e/o naturali che di atti dolosi di soggetti non autorizzati; integrità: riduzione a livelli accettabili del rischio di cancellazioni o modifiche di informazioni a seguito sia di fatti accidentali e/o naturali, che di atti dolosi di soggetti non autorizzati; autenticità: che non esista dubbio di chi è responsabile di una informazione o della prestazione di un servizio, tanto al fine di avere fiducia di lui come di poterlo perseguire dopo eventuali inadempimenti o errori. In detrimento all autenticità possono esserci sostituzioni ed inganni mirati a realizzare una frode. L autenticità è la base per poter lottare contro il ripudio e, in quanto tale, fondamento per il commercio elettronico o per l amministrazione elettronica, permettendo di avere fiducia senza bisogno di documenti cartacei né di presenzia fisica; 36
38 riservatezza: riduzione a livelli accettabili del rischio di accesso improprio e dell utilizzazione dell informazione da parte di soggetti non autorizzati. Come molte attività, la pianificazione del lavoro è fondamentale, ed eseguirla bene è davvero complesso. Sono infatti molti i punti da sincronizzare in un attività siffata, occorre perciò una pianificazione accurata del lavoro, coadiuvato insieme al cliente, anche per poter tener conto del livello di CIA (Confidentiality - Integrity - Availability) da lui richiesto. Per fare ciò, come spesso accade nel mondo informatico, di fronte a problemi complessi si cerca sempre di suddividere il problema in sottoproblemi (divide et impera). Nel caso specifico si suddivide in tre processi il lavoro: 1. preparazione; 2. analisi; 3. gestione; processi di questo genere, vengono successivamente organizzati in attività che, alla fine, si suddividono in compiti da espletare. 37
39 Fig. 2.1: Suddivisione dei processi In ogni compito si indica quello che si deve fare così come le possibili difficoltà per poterlo eseguire al meglio, nonché il modo per affrontare con successo tale compito. Come detto sopra, è fondamentale, che nella fase di pianificazione sia coinvolto anche il cliente, per poter capire bene cosa si vuole fare nell attività di VA e come farla. Di solito viene effettuato un kickoff meeting per organizzare il lavoro individuando: scopo ed obiettivi: in questa fase si va alla ricerca degli asset da analizzare; parti coinvolte: viene determinato quali uffici/aree vengono coinvolte nell attività; modalità: tipicamente si cerca di essere il meno invasivi possibile, quindi si concorda ad esempio, quanti asset vengono analizzati in parallelo, maggiore saranno gli asset, maggiore sarà il traffico di rete generato; 38
40 tecniche ed approcci: si valuta il tipo di verbosità desiderata dal cliente; tempistica di esecuzione. Più dettagliamente, ma in maniera non esplicativa, al fine di poter pianificare al meglio l attività di VA è importante che nella parte di kickoff si possa rispondere ai punti seguenti, questo anche per avere delle informazioni iniziali che riguardano la struttura da analizza: E possibile consultare gli schemi di rete? Capire il perimetro della rete che si vuole analizzare; La rete su quante sedi/filiali è strutturata? Nel VA si vuole prendere in considerazione tutte le sedi/filiali? Come avviene il collegamento tra le filiali? Con quali regole (firewall,...) Le macchine sono fisiche o anche virtuali? La rete è mista (windows/linux)? Quanti sono i server? E i client? E possibile avere le regole dei firewall (questo è utile per pesare meglio eventuali vulnerabilità poi mediate dai firewall) Esiste un sistema di backup? Come avviene il backup? Esiste una gestione dei log (fw e dei sistemi)? Di quanti giorni? 39
41 E centralizzato? Come avviene il trasferimento dei dati (in chiaro o cifrato)? Che tipologia di server sono presenti? (mail server, web server...) Che tipo di applicazioni si usano in azienda? Compilate o web? Si vuole analizzare anche le applicazioni? Si hanno i sorgenti di queste applicazioni? Si vuole analizzare anche il loro comportamento? Che impatto ha l attività di VA sull infrastruttura analizzata? Valutare la sensibilità dei dati; C è qualche attività che il cliente non vuole che sia fatta? Come detto sopra, questa lista non vuole essere autoesplicativa, ma a seconda del contesto analizzato può essere perfezionata. Durante l attività, solo una piccola parte dei dipendenti deve sapere che è in atto l assessment, tipicamente managment e IT, i primi perchè hanno commissionato il lavoro, i secondi perchè dovranno dare supporto all analista. Questo è dovuto al fatto che non devono esserci comportamente diversi dalla quotidianità, al fine di non sfalsare il risultato finale. 2.3 Le vulnerabilità Quando si parla di sicurezza di una rete informatica occorre prendere in considerazione l ambiente esterno in cui il sistema viene a trovarsi. Cio permette di proteggere quest ultimo da: 40
42 accessi non autorizzati; modifica o cancellazione di dati fraudolenta; perdita di dati o introduzione di inconsistenze. Considerando che una rete è un insieme di apparati, occorre verificare periodicamente che tali apparati siano aggiornati, perchè sistemi operativi e firmware sono in continua evoluzione, nuove vulnerabilità vengono scoperte e quindi sistemate. Le vulnerabilità sono molte migliaia e riguardano sia servizi di rete, che applicazioni specifiche (IIS, Oracle, etc) e periodicamente i produttori rilasciano patch per le vulnerabilità note. In rete sono presenti molti siti che mettono a disposizione database con le vulnerabilità note, il loro stato e gravità. Seppur questa scelta sia stata in parte contestata dai produttori di software, essa rappresenta sicuramente un opportunità per l utente che viene così messo a conoscenza dei potenziali rischi a cui è esposto e possa valutarne le contromisure. Alcuni siti che offrono questo servizio sono: SANS; Secunia; Security Focus. Seppur ogni vulnerabilità è classificata con un indice di gravità (alta, media, bassa), come vedremo nel capitolo 9, di fatto queste gravità, come già detto in 1 veranno poi pesate, perchè la gravità dipende dal contesto (la stessa gravità su un server web e su pc che gestisce una stampante ha peso differente); è importante sottolineare inoltre che non esiste una lista di vulnerabilità dalle quali sia necessario o sufficiente proteggersi. Per queste motivazioni occorre: 41
43 monitorare gli annunci di nuove vulnerabilià inerenti ai propri sistemi; adottare le contromisure suggerite (installazione di patch, riconfigurazione dei servizi, filtraggio di rete); disporre di un architettura di sicurezza e di policy adatte a minimizzare l impatto di nuove vulnerabilità Le categorie delle vulnerabilità Poter categorizzare le vulnerabilità è importante per poter fissare delle priorità nelle contromisure da adottare. Ci sono situazioni, però, nelle quali non risulta conveniente installare la nuova patch che elimina una determinata vulnerabilità: è il caso di una macchina in produzione, dove eventuali patch al sistema operativo non sono state testate con una determinata applicazione. In questo caso è auspicabile testare prima il sistema in una situazione di laboratorio. Non esiste nemmeno una metrica standard per misurare la gravità di una vulnerabilità. Ogni organizzazione ha adottato criteri propri per indicare la gravità associata a ogni vulnerabilità. In questo lavoro viene preso come riferimento la classificazione CVSS, uno standard comunemente accettato. La figura 2.2 prende in considerazione il sito di SANS, il quale suddivide le vulnerabilità in quattro classi: 1. Critical; 2. High; 3. Moderate; 4. Low. 42
44 Fig. 2.2: SANS Vulnerability Sono molti i fattori chiave presi in considerazione per valutare il grado della vulnerabilità. SANS prende in considerazione i seguenti punti: diffusione del prodotto; valutazione dell asset: si tratta di un server o client? A che livello di privilegio? il problema è stato trovato nelle configurazioni di default? hanno un alto valore gli asset interessati (ad esempio database, e- commerce server)? codice di exploit è pubblicamente disponibile? quanto è difficile sfruttare la vulnerabilità? Remoto o locale? Senza credenziali o accesso fisico? 43
45 quanto è complesso per un attaccante informato, realizzare il proprio exploit? Sono disponibili dettagli tecnici della vulnerabilità? Riporto dal sito Sans come loro catalogano le vulnerabilità: CRITICAL vulnerabilities are those vulnerabilities that typically affect default installations of very widely deployed software, result in root compromise of servers or infrastructure devices, and the information required for exploitation (such as example exploit code) is widely available to attackers. Further, exploitation is usually straightforward, in the sense that the attacker does not need any special authentication credentials, knowledge about individual victims, and does not need to social engineer a target user into performing any special functions. HIGH vulnerabilities are typically those that have the potential to become CRITICAL, but have one or a few mitigating factors that make exploitation less attractive to attackers. For example, vulnerabilities that have many CRITICAL characteristics but are difficult to exploit, do not result in elevated privileges, or have a minimally sized victim pool are usually rated HIGH. Note that HIGH vulnerabilities where the mitigating factor arises from a lack of technical exploit details will become CRITICAL if these details are later made available. Thus, the paranoid administrator will want to treat such HIGH vulnerabilities as CRITICAL, if it is assumed that attackers always possess the necessary exploit information. MODERATE vulnerabilities are those where the scales are slightly tipped in favor of the potential victim. Denial of service vulnerabilities are typically rated MODERATE, since they do not result in compromise of a target. Exploits that require an attacker to reside on the same local network as a 44
46 victim, only affect nonstandard configurations or obscure applications, require the attacker to social engineer individual victims, or where exploitation only provides very limited access are likely to be rated MODERATE. LOW vulnerabilities by themselves have typically very little impact on an organization s infrastructure. These types of vulnerabilities usually require local or physical system access or may often result in client side privacy or denial of service issues and information leakage of organizational structure, system configuration and versions, or network topology. A questo punto, potrebbero sorgere un paio di domande: perchè la grande maggioranza delle intrusioni avviene sfruttando vulnerabilità note, per le quali esistono patch/upgrade da lungo tempo? Perchè alcune tecniche di intrusione (es. buffer overflow), pur essendo tecnicamente complesse da implementare, riescono ad essere utilizzate così frequentemente? Per poter rispondere a queste domande è necessario introdurre due concetti: 1. ciclo di vita di una vulnerabilità; 2. finestra temporale di esposizione di un sistema. Ciclo di vita di una vulnerabilità Come ampiamente discusso in [5,16] una vulnerabilità attraversa fasi diverse della sua evoluzione che ne determinano la criticità e la diffusione. 1. Creazione: durante la fase di sviluppo viene introdotto nel codice un errore; 2. Scoperta: un esperto di sicurezza scopre l errore all interno del codice, intuisce che questo ha una o più conseguenze negative sulla sicurezza 45
47 del sistema. Da questo momento si parla di vulnerabilità e non più di errore nel codice; 3. Condivisione: la conoscenza della vulnerabilità scoperta viene fatta prima circolare in ambito ristretto, poi si diffonde anche grazie allo sviluppo di tool automatici che ne fanno uso; 4. Pubblicazione Patch/Upgrade: il produttore del sistema viene a conoscenza della vulnerabilità, quindi corregge l errore emettendo una patch o una nuova versione del codice. La presenza di tale vulnerabilità, insieme alla presenza della patch disponibile viene resa pubblica. Finestra temporale di una vulnerabilità Come visibile dalla figura 2.3 tutti i sistemi sono soggetti a una finestra di esposizione, anche se gestiti al meglio. Infatti la scoperta di nuove vulnerabilità è impredicibile. Inoltre, la conoscenza dell individuazione delle nuove vulnerabilità circola velocemente su chat, mailing list, ecc... e altrettanto velocemente la disponibilità di tool automatici atti all utilizzo delle vulnerabilità trovate. Purtroppo, le patch rappresentano una soluzione spesso inefficace in quanto: scarsa consapevolezza di molti sistemisti; frequenza di emissione troppo elevata; spesso causa di malfunzionamenti o nuovi problemi. 46
48 Fig. 2.3: Finestra temporale di una vulnerabilità. Fonte [5] E interessante notare che la curva di figura 2.3 cresce rapidamente nonostante il fatto che sfruttare alcune vulnerabilità sia complesso. Questo è dovuto principalmente a due fattori: 1. scripting: dopo le prime intrusioni, compiute da esperti, la tecnica per realizzarle viene automatizzata (scrittura di script, descrizione delle procedure); 2. script Kiddies: la disponibilità di exploit (tool automatici) permette di sfruttare con successo vulnerabilità nei sistemi anche a persone dotate di scarse competenze tecniche, aumentando drasticamente il numero dei potenziali attaccanti. Un esempio pratico è il seguente: installare un Windows Server 2003 con una installazione di default e analizzare come sia possibile attaccare questa macchina. Successivamente si lancia uno scanner (che vedremo nel paragrafo 47
49 3.1 e si osservano le vulnerabilità presenti sul server (nel caso specifico 9 vulnerabilità Alte). Si può notatare subito la presenza di vulnerabilità legate al buffer overflow, nel caso specifico del problema di RPC (vulnerabilità storica su questo sistema operativo), sarà relativamente semplice sfruttare questa vulnerabilità: in pochi minuti sarà possibile avere a disposizione un prompt di dos, da dove sarà poi possibile creare, modificare ed eliminare files. La semplicità e la velocità con cui è possibile sferrare il seguente attacco convince sempre più dell utilità di un security assesment a livello infrastuturale. 48
50 Fig. 2.4: Controllo remoto di un prompt dos 2.4 Limitazioni di un VA E importante, mettere subito in chiaro che questo genere di attività, pur portando sicuramente un valore aggiunto alla sicurezza attuale dell infrastruttura aziendale presa in considerazione, ha anche delle limitazioni. Come detto a inizio capitolo, questa attività soffre del problema di degradazione, ossia, nel tempo nuove vulnerabilità verranno scoperte, nuove macchine verranno aggiunte o tolte dalla rete, nuove patch verranno installate sulle macchine, nuovi servizi pure. Inoltre è importante sottolineare che il VA, è una fotografia della situazione del momento, è quindi fondamentale che i vari apparati, che si vuole analizzare, siano accesi e collegati alla rete. 49
51 Spesso le workstation sono multi-utente, ed ogni utente abilita servizi personali, ovviamente durante l attività di VA essendo attivo un solo utente, solo quest ultimo verrà analizzato. E quindi fondamentale, che l attività di analisi, la macchina sia loggata con l utenza più usata, o comunque di maggior interesse. Inoltre a volte è possibile che alcune workstation, abbiano installata una o più macchine virtuali, e anche quest ultime potrebbero essere messe in rete, queste macchine, se non sono attive, non saranno analizzate. 50
52 Capitolo 3 Vulnerabilità infrastrutturali In questo capitolo sono elencati i principali tool per le scansioni a livello infrastrutturale, come vedremo nel seguito, un aspetto fondamentale è dove posizionarsi all interno dell infrastruttura al fine di trovare le vulnerabilità. 3.1 Vulnerability scanner Sono molti i tool di vulnerability scanner presenti sul mercato. In questo lavoro verrà preso in considerazione Nessus. Questa scelta è dovuta al fatto che è sicuramente il tool più noto per questa tipologia di attività, inoltre, rilascia il report finale in diversi formati, tra cui il formato xml. Questo formato, è molto malneabile, e ci permette di gestirlo nel tool che vedremo nel capitolo 9 e nell appendice A, infatti, questo formato ci permetterà di poter correlare una serie di vulnerabilità trovate nelle diverse fasi dell assessment. E importante sottolineare che il focus di questa parte del lavoro è quello di riuscire, tramite questa metodologia di vulnerability assessment, di assegnare un peso alle vulnerabilità trovate. Questo ci permetterà di concentrarsi meglio sulle vulnerabilità realmente critiche per l azienda. Supponiamo che 51
53 il tool di vulnerability scanner usato rilevi una stessa vulnerabilità critica a diverse macchine. Pur avendo la stessa vulnerabilità, è probabile che peseremo in maniera differente la criticità trovata sul server web, rispetto al server di stampa. Oppure, se abbiamo una vulnerabilità alta, ma siamo certi che tale vulnerabilità non possa essere sfruttata in quanto bloccata dal firewall, probabilmente ci concentreremo su altre vulnerabilità trovate Nessus Nessus è un progetto che ha come scopo quello di fornire alla comunità uno strumento potente e facile da usare, per poter scoprire e analizzare le vulnerabilità presenti in una rete, al fine di evitarne lo sfruttamento da parte di utenti maliziosi. E probabilmente il più completo ed evoluto strumento di vulnerability scanning disponibile nel mondo free-ware. Come riportato in [4], Nessus è un software proprietario del tipo client/server sviluppato da Tenable Network Security. Il client è basato su un interfaccia web sviluppata in Flash. Periodicamente vengono rilasciati dei nuovi plugin che coprono i diversi protocolli, backdoor, applicazioni e vulnerabilità locali: in questo modo è possibile rilevare le reali applicazioni in esecuzione su ogni porta aperta. Alla base del suo funzionamento vi è un sistema di abilitazione di plugin, al fine di creare le cosiddette policy. Al momento dell esecuzione di una scansione, è necessario creare una policy adatta alla scansione in atto. Tale prodotto è installabile sui seguenti sistemi operativi: Microsoft Windows; Mac OS X; Linux; 52
54 FreeBSD; Solaris. Sono possibili scansioni diverse: dall interno della rete (per ottenere quante più informazioni è possibile su potenziali vulnerabilità o debolezze del sistema target) e dall esterno. In questo modo è possibile valutare quali vulnerabilità sono presenti e a seconda del contesto sarà possibile capire ciò che un malintenzionato (interno o esterno) è in grado di poter fare. E prassi fare un approfondita analisi dei server a livello di interfaccia tra la rete locale e internet, ovvero quell insieme di server che viene normalmente definito come DMZ (zona demilitarizzata). Quest ultimo termine specifica una sottorete inserita come zona neutrale tra la rete privata di un organizzazione e internet, zona che permette connessioni esclusivamente verso l esterno: server di posta elettronica, server HTTP con applicazioni web o server VPN. Nessus, inizialmente lancia una scansione sulle porte per verificare quali sono i servizi attivi e la tipologia di sistema operativo presente sulla macchina o presenti nella sottorete target. La fase di scansione delle porte è fondamentale: questo ci permette di stabilire la tipologia del target e, di conseguenza, ci permette di sapere quali plugin sono pertinenti a quel target (ad esempio Apache o ISS plugin per un server web o vulnerabilità del sistema operativo) e quale servizio è attivo su tale porta. Naturalmente, questo tool è anche in grado di rilevare servizi anche su porte non standard. Qualora fosse necessario eseguire una scansione su una rete di grande dimensioni, sarebbe opportuno posizionare un server Nessus per ogni segmento di rete. Inoltre, qualora fossero note alcune caratteristiche della macchina sulla quale si esegue la scansione, come ad esempio il sistema operativo o servizi in esecuzione, allora è possibile impostarli al momento della creazione della 53
55 policy. Ciò permette di fare scansioni molto mirate e più performanti. Finita la scansione, Nessus genera un report indicante una lista di tutte le porte aperte e i potenziali rischi associati. Sarà poi possibile esportare tali report in vari formati, come ad esempio HTML o PDF, oppure un formato nativo (un file xml che viene poi importato successivamente in un tool di risk analysis che vedremo nel capitolo 9). Fig. 3.1: Creazione di un policy con Nessus 3.2 Nmap E probabilmente il port scanning più famoso al mondo è molto affidabile e versatile, ormai presente in tutte le distribuzioni linux, sistemi windows e mac. E capace di effettuare scansioni delle porte ad un computer, o ad un intera rete allo scopo di rilevare i servizi attivi; ipotizza il sistema operativo del computer remoto, in maniera molto affidabile. Permette inoltre di trovare applicazioni server installate su una macchina. Le scansioni possono 54
56 essere eseguite in diverse modalità, al fine di non farsi rilevare dai vari apparati presenti nella rete, o per non generare troppo traffico, è infatti possibile effettuare scansioni tcp (con handshake completo), con scansioni syn, XMAS e molte altre modalità. Fig. 3.2: Nmap 3.3 Microsoft baseline security analyzer La piattaforma più utilizzata, almeno nell ambito workstation, è senza dubbio quella Microsoft, questo comporta un maggior interesse, da parte dei malintenzionati, a trovare vulnerabilità su tale piattaforma. Per questo motivo, è fondamentale, avere tali macchine aggiornate con tutte le patch di sicurezza, che Microsoft rilascia regolarmente il primo martedi di ogni mese. Inoltre Microsoft, mette a disposizione di tutti, gratuitamente un prodotto che si chiama Microsoft baseline security analyzer. Tale prodotto, fa una scansione di tutti i software microsoft installati come: 55
57 Microsoft Windows; Internet Explorer; IIS web server; Microsoft SQL Server; Microsoft Office. E fondamentale, fare un controllo con questo tool, in un contesto di macchine Microsoft. Fig. 3.3: Microsoft baseline security analyzer 3.4 Nikto Nikto è uno web server scanner open source, che esegue test completi e approfonditi contro i vari elementi di un server Web, potenzialmente pericolosi, come CGI, verifiche di versioni obsolete di server, e problemi specifici di una determinata versione di server. Inoltre, controlla alcuni parametri di configurazione del web server, come ad esempio alcune parametri di default che 56
58 potrebbero essere modificati, per rendere meno lasche le regole; ricerca anche eventuali plugin installati (spesso le vulnerabilità sono presenti proprio nei plugin). Non tutti i controlli riguardano la sicurezza, seppur lo siano la maggioranza, ma ci sono alcuni verifiche che sono solo informazioni. Nikto, non è concepito come uno strumento furtivo, ma al contrario, uno strumento per valutare il livello di sicurezza del proprio server web. Permette infatti di testare un server web nel minor tempo possibile. Tuttavia, vi è il supporto anti-ids, ossia metodi nel caso in cui si desidera fare un tentativo di penetrazione al server, ma questo deve essere visto, come una possibilità di mettere alla prova il vostro sistema IDS. Fig. 3.4: Nikto 3.5 Modalità d uso di un vulnerability scanner I tool di scansione delle vulnerabilità sono sicuramente utili, tuttavia è richiesto una modalità d uso adeguata al contesto, e un lavoro manuale, a fine scansione, per poter eliminare eventuali falsi positivi. Infatti, questi tool in alcune circostanze possono portare a esiti non corretti: 57
Sicurezza Aziendale: gestione del rischio IT (Penetration Test )
Sicurezza Aziendale: gestione del rischio IT (Penetration Test ) Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l Information Technology (IT). Solo negli ultimi anni si è iniziato
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliIl modello di ottimizzazione SAM
Il modello di ottimizzazione control, optimize, grow Il modello di ottimizzazione Il modello di ottimizzazione è allineato con il modello di ottimizzazione dell infrastruttura e fornisce un framework per
DettagliConfiguration Management
Configuration Management Obiettivi Obiettivo del Configuration Management è di fornire un modello logico dell infrastruttura informatica identificando, controllando, mantenendo e verificando le versioni
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliCapire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.
LA RETE INFORMATICA NELL AZIENDA Capire i benefici di una rete informatica nella propria attività. I componenti di una rete I dispositivi utilizzati I servizi offerti LA RETE INFORMATICA NELL AZIENDA Copyright
DettagliISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.
ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems
DettagliSistemi informativi secondo prospettive combinate
Sistemi informativi secondo prospettive combinate direz acquisti direz produz. direz vendite processo acquisti produzione vendite INTEGRAZIONE TRA PROSPETTIVE Informazioni e attività sono condivise da
DettagliCosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?
Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi
DettagliCorso di Amministrazione di Sistema Parte I ITIL 1
Corso di Amministrazione di Sistema Parte I ITIL 1 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici ITSM
DettagliVULNERABILITY ASSESSMENT E PENETRATION TEST
VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo
DettagliProtezione della propria rete
Protezione della propria rete Introduzione Questo documento vuole essere un promemoria per la protezione della propria rete informatica oltre che fornire una checklist di supporto nelle modalità di progettazione
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
DettagliIncident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.
Il braccio destro per il business. Incident & Vulnerability Management: Integrazione nei processi di un SOC Roma, 13 Maggio 2014 Complesso Monumentale S.Spirito in Sassia Il braccio destro per il business.
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
Dettaglipenetration test (ipotesi di sviluppo)
penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni
DettagliNCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical
DettagliNorme per l organizzazione - ISO serie 9000
Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al
DettagliTi consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.
Sommario A cosa serve InfoWEB?... 3 Quali informazioni posso comunicare o ricevere?... 3 Cosa significa visualizzare le informazioni in maniera differenziata in base al livello dell utente?... 4 Cosa significa
DettagliCLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.
CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente
DettagliG.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni
G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,
DettagliProject Management. Modulo: Introduzione. prof. ing. Guido Guizzi
Project Management Modulo: Introduzione prof. ing. Guido Guizzi Definizione di Project Management Processo unico consistente in un insieme di attività coordinate con scadenze iniziali e finali, intraprese
DettagliIl controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali
La gestione dei rischi operativi e degli altri rischi Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali Mario Seghelini 26 giugno 2012 - Milano
DettagliMODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.
ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico
DettagliL ergonomia dei sistemi informativi
Strumenti non convenzionali per l evoluzione d Impresa: L ergonomia dei sistemi informativi di Pier Alberto Guidotti 1 L ergonomia dei sistemi informativi CHI SONO Pier Alberto Guidotti Fondatore e direttore
Dettaglidella manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.
L 320/8 Gazzetta ufficiale dell Unione europea IT 17.11.2012 REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per il monitoraggio che devono
DettagliGestione della Sicurezza Informatica
Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un
DettagliLA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0
LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0 LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI PIANIFICAZIONE STRATEGICA NELL ELABORAZIONE
DettagliFirewall, Proxy e VPN. L' accesso sicuro da e verso Internet
L' accesso sicuro da e verso Internet L' accesso ad Internet è ormai una necessità quotidiana per la maggior parte delle imprese. Per garantire la miglior sicurezza mettiamo in opera Firewall sul traffico
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliRequisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
DettagliV.I.S.A. VoiP Infrastructure Security Assessment
V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere
DettagliSoftware per Helpdesk
Software per Helpdesk Padova - maggio 2010 Antonio Dalvit - www.antoniodalvit.com Cosa è un helpdesk? Un help desk è un servizio che fornisce informazioni e assistenza ad utenti che hanno problemi nella
DettagliI Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001
I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001 Percorsi di ampliamento dei campi di applicazione gestiti in modo
DettagliProgetto di Information Security
Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliLe Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema
Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema Normativa del Garante della privacy sugli amministratori di sistema la normativa: http://www.garanteprivacy.it/garante/doc.jsp?id=1577499
DettagliSVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007
Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,
DettagliGestione Operativa e Supporto
Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per
DettagliLa VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I
La VPN con il FRITZ!Box Parte I 1 Introduzione In questa mini-guida illustreremo come realizzare un collegamento tramite VPN(Virtual Private Network) tra due FRITZ!Box, in modo da mettere in comunicazioni
DettagliLa certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799
Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme
DettagliProgettaz. e sviluppo Data Base
Progettaz. e sviluppo Data Base! Introduzione ai Database! Tipologie di DB (gerarchici, reticolari, relazionali, oodb) Introduzione ai database Cos è un Database Cos e un Data Base Management System (DBMS)
DettagliCreare una Rete Locale Lezione n. 1
Le Reti Locali Introduzione Le Reti Locali indicate anche come LAN (Local Area Network), sono il punto d appoggio su cui si fonda la collaborazione nel lavoro in qualunque realtà, sia essa un azienda,
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliIl modello veneto di Bilancio Sociale Avis
Il modello veneto di Bilancio Sociale Avis Le organizzazioni di volontariato ritengono essenziale la legalità e la trasparenza in tutta la loro attività e particolarmente nella raccolta e nell uso corretto
DettagliLa Guida per l Organizzazione degli Studi professionali
La Guida per l Organizzazione degli Studi professionali Gianfranco Barbieri Senior Partner di Barbieri & Associati Dottori Commercialisti Presidente dell Associazione Culturale Economia e Finanza gianfranco.barbieri@barbierieassociati.it
DettagliSISTEMA DI GESTIONE INTEGRATO. Audit
Rev. 00 del 11.11.08 1. DISTRIBUZIONE A tutti i membri dell organizzazione ING. TOMMASO 2. SCOPO Gestione degli audit interni ambientali e di salute e sicurezza sul lavoro 3. APPLICABILITÀ La presente
DettagliUNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso
SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali
DettagliCompany Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB
Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
DettagliUniversità di Macerata Facoltà di Economia
Materiale didattico per il corso di Internal Auditing Anno accademico 2010-2011 Università di Macerata Facoltà di Economia Obiettivo della lezione ERM - Enterprise Risk Manangement Per eventuali comunicazioni:
DettagliGestire le NC, le Azioni Correttive e Preventive, il Miglioramento
Scopo Responsabile Fornitore del Processo Input Cliente del Processo Output Indicatori Riferimenti Normativi Processi Correlati Sistemi Informatici Definire le modalità e le responsabilità per la gestione
Dettagli11. Evoluzione del Software
11. Evoluzione del Software Andrea Polini Ingegneria del Software Corso di Laurea in Informatica (Ingegneria del Software) 11. Evoluzione del Software 1 / 21 Evoluzione del Software - generalità Cosa,
DettagliSecurity by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.
Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment
DettagliLa Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni
Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi
DettagliNetwork Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale
Network Monitoring & Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale Nicholas Pocher Poker SpA - Settimo Torinese, Novembre 2013 1 Indice Il Network Monitoring:
Dettaglilem logic enterprise manager
logic enterprise manager lem lem Logic Enterprise Manager Grazie all esperienza decennale in sistemi gestionali, Logic offre una soluzione modulare altamente configurabile pensata per la gestione delle
DettagliUniversità di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.
Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 3 Marco Fusaro KPMG S.p.A. 1 IT Governance IT Governance E il processo di
DettagliCOME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING
Febbraio Inserto di Missione Impresa dedicato allo sviluppo pratico di progetti finalizzati ad aumentare la competitività delle imprese. COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING COS E UN
DettagliChange Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni
Change Management Obiettivi Obiettivo del Change Management è di assicurarsi che si utilizzino procedure e metodi standardizzati per una gestione efficiente ed efficace di tutti i cambiamenti, con lo scopo
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliLa tecnologia cloud computing a supporto della gestione delle risorse umane
La tecnologia cloud computing a supporto della gestione delle risorse umane L importanza delle risorse umane per il successo delle strategie aziendali Il mondo delle imprese in questi ultimi anni sta rivolgendo
DettagliSOLUZIONE Web.Orders online
SOLUZIONE Web.Orders online Gennaio 2005 1 INDICE SOLUZIONE Web.Orders online Introduzione Pag. 3 Obiettivi generali Pag. 4 Modulo di gestione sistema Pag. 5 Modulo di navigazione prodotti Pag. 7 Modulo
DettagliProgetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl
Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:
DettagliLa Metodologia adottata nel Corso
La Metodologia adottata nel Corso 1 Mission Statement + Glossario + Lista Funzionalià 3 Descrizione 6 Funzionalità 2 Schema 4 Schema 5 concettuale Logico EA Relazionale Codice Transazioni In PL/SQL Schema
DettagliI MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale
La soluzione modulare di gestione del Sistema Qualità Aziendale I MODULI Q.A.T. - Gestione clienti / fornitori - Gestione strumenti di misura - Gestione verifiche ispettive - Gestione documentazione del
DettagliAttività federale di marketing
Attività federale di marketing Gestione e certificazione delle sponsorizzazioni Il Feedback Web Nel piano di sviluppo della propria attività di marketing, la FIS ha adottato il sistema Feedback Web realizzato
DettagliScheda. Il CRM per la Gestione del Marketing. Accesso in tempo reale alle Informazioni di rilievo
Scheda Il CRM per la Gestione del Marketing Nelle aziende l attività di Marketing è considerata sempre più importante poiché il mercato diventa sempre più competitivo e le aziende necessitano di ottimizzare
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliDescrizione dettagliata delle attività
LA PIANIFICAZIONE DETTAGLIATA DOPO LA SELEZIONE Poiché ciascun progetto è un processo complesso ed esclusivo, una pianificazione organica ed accurata è indispensabile al fine di perseguire con efficacia
DettagliLa manutenzione come elemento di garanzia della sicurezza di macchine e impianti
La manutenzione come elemento di garanzia della sicurezza di macchine e impianti Alessandro Mazzeranghi, Rossano Rossetti MECQ S.r.l. Quanto è importante la manutenzione negli ambienti di lavoro? E cosa
Dettaglivisto il trattato sul funzionamento dell Unione europea,
17.11.2012 IT Gazzetta ufficiale dell Unione europea L 320/3 REGOLAMENTO (UE) N. 1077/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per la supervisione da parte delle
DettagliLA NORMA OHSAS 18001 E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO
LA NORMA OHSAS 18001 E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO Studio Candussi & Partners novembre 2008 Lo Studio Candussi & Partners Lo Studio opera dal 1998 con consulenti
DettagliSicurezza informatica in azienda: solo un problema di costi?
Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci
DettagliISO 9001:2000: COME UTILIZZARE LA NORMA PER GESTIRE I FORNITORI
Attenzione: la Guida che state stampando è aggiornata al 14/06/2007. I file allegati con estensione.doc,.xls,.pdf,.rtf, etc. non verranno stampati automaticamente; per averne copia cartacea è necessario
DettagliFirewall applicativo per la protezione di portali intranet/extranet
Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI)
DettagliARTICOLO TECNICO Smart-MED-Parks: il Software
ARTICOLO TECNICO Smart-MED-Parks: il Software Introduzione Da Febbraio 2013, data di lancio del progetto Smart-MED-Parks, sono state realizzate un insieme di azioni al fine di: - Aumentare il livello di
Dettagli03. Il Modello Gestionale per Processi
03. Il Modello Gestionale per Processi Gli aspetti strutturali (vale a dire l organigramma e la descrizione delle funzioni, ruoli e responsabilità) da soli non bastano per gestire la performance; l organigramma
DettagliRegistratori di Cassa
modulo Registratori di Cassa Interfacciamento con Registratore di Cassa RCH Nucleo@light GDO BREVE GUIDA ( su logiche di funzionamento e modalità d uso ) www.impresa24.ilsole24ore.com 1 Sommario Introduzione...
Dettagliuadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda
Fa quadrato attorno alla tua azienda Soluzioni software per L archiviazione elettronica dei documenti Perché scegliere Q Archiviazione Elettronica dei Documenti? Tale applicativo si pone come obbiettivo
DettagliSTORE MANAGER.. LE COMPETENZE CARATTERISTICHE E I BISOGNI DI FORMAZIONE
STORE MANAGER.. LE COMPETENZE CARATTERISTICHE E I BISOGNI DI FORMAZIONE 1 Indice 1. Premessa 2. Obiettivo 3. Le competenze del profilo ideale Competenze 3.1. Età ed esperienza 3.2. Le reali competenze
Dettaglihttp://www.ilveliero.info veliero@samnet.it Il nuovo browser italiano dedicato alla navigazione e comunicazione sicura in internet per bambini
http://www.ilveliero.info veliero@samnet.it Il nuovo browser italiano dedicato alla navigazione e comunicazione sicura in internet per bambini versione scuola SAM Via di Castro Pretorio, 30 00185 ROMA
DettagliDEPLIANT INFORMATIVO DI PRESENTAZIONE AZIENDALE
DEPLIANT INFORMATIVO DI PRESENTAZIONE AZIENDALE Il presente documento è rivolto a tutti i nostri potenziali clienti. E una breve presentazione di quello che facciamo e di quello che siamo. Di come ci proponiamo
DettagliLa gestione manageriale dei progetti
PROGETTAZIONE Pianificazione, programmazione temporale, gestione delle risorse umane: l organizzazione generale del progetto Dimitri Grigoriadis La gestione manageriale dei progetti Per organizzare il
DettagliQUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE
QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE Step 1 - Decidere come organizzare e pianificare l autovalutazione (AV) 1.1. Assicurare l impegno e il governo del management per avviare il processo. 1.2. Assicurare
DettagliINFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it
INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it redatto ai sensi del decreto legislativo n 196/2003 2 GENNAIO 2014 documento pubblico 1 PREMESSA 3 SEZIONE
DettagliIDS: Intrusion detection systems
IDS/IPS/Honeypot IDS: Intrusion detection systems Tentano di rilevare: attività di analisi della rete tentativi di intrusione intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo
DettagliInfrastruttura di produzione INFN-GRID
Infrastruttura di produzione INFN-GRID Introduzione Infrastruttura condivisa Multi-VO Modello Organizzativo Conclusioni 1 Introduzione Dopo circa tre anni dall inizio dei progetti GRID, lo stato del middleware
DettagliIT Cloud Service. Semplice - accessibile - sicuro - economico
IT Cloud Service Semplice - accessibile - sicuro - economico IT Cloud Service - Cos è IT Cloud Service è una soluzione flessibile per la sincronizzazione dei file e la loro condivisione. Sia che si utilizzi
DettagliPROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ
PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ SERVIZI DI PROJECT MANAGEMENT CENTRATE I VOSTRI OBIETTIVI LA MISSIONE In qualità di clienti Rockwell Automation, potete contare
DettagliI SISTEMI DI GESTIONE DELLA SICUREZZA
I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia
DettagliA cura di Giorgio Mezzasalma
GUIDA METODOLOGICA PER IL MONITORAGGIO E VALUTAZIONE DEL PIANO DI COMUNICAZIONE E INFORMAZIONE FSE P.O.R. 2007-2013 E DEI RELATIVI PIANI OPERATIVI DI COMUNICAZIONE ANNUALI A cura di Giorgio Mezzasalma
DettagliLe fattispecie di riuso
Le fattispecie di riuso Indice 1. PREMESSA...3 2. RIUSO IN CESSIONE SEMPLICE...4 3. RIUSO CON GESTIONE A CARICO DEL CEDENTE...5 4. RIUSO IN FACILITY MANAGEMENT...6 5. RIUSO IN ASP...7 1. Premessa Poiché
DettagliEXPLOit Content Management Data Base per documenti SGML/XML
EXPLOit Content Management Data Base per documenti SGML/XML Introduzione L applicazione EXPLOit gestisce i contenuti dei documenti strutturati in SGML o XML, utilizzando il prodotto Adobe FrameMaker per
DettagliAlla c.a. Sindaco/Presidente Segretario Generale Dirigente competente
Alla c.a. Sindaco/Presidente Segretario Generale Dirigente competente Controllo di Gestione e Misurazione delle Performance: l integrazione delle competenze, la valorizzazione delle differenze e la tecnologia
DettagliUN APP FLESSIBILE E INTUITIVA PER GESTIRE I TUOI AFFARI IN TUTTA COMODITÀ
UN APP FLESSIBILE E INTUITIVA PER GESTIRE I TUOI AFFARI IN TUTTA COMODITÀ APP Mobile MIGLIORA LA QUALITÀ DEL RAPPORTO CON I CLIENTI, SCEGLI LA TECNOLOGIA DEL MOBILE CRM INTEGRABILE AL TUO GESTIONALE AZIENDALE
DettagliCOSTI E CONSUMI SOTTO CONTROLLO
Energia Elettrica Traffico Telefonico Carburanti Gas COSTI E CONSUMI SOTTO CONTROLLO COME NASCE ELETTRAWEB è un programma interamente progettato e implementato da Uno Informatica in grado di acquisire
DettagliMANDATO INTERNAL AUDIT
INTERNAL AUDIT MANDATO INTERNAL AUDIT Il presente Mandato Internal Audit di Società, previo parere favorevole del Comitato Controllo e Rischi in data 30 ottobre 2012 e sentito il Collegio Sindacale e l
Dettagli