Gruppo di ricerca AIEA Roma Il valore del Penetration Test dal punto di vista dell auditor. Roma, 28 Settembre 2005

Transcript

1 Gruppo di ricerca AIEA Roma Il valore del Penetration Test dal punto di vista dell auditor Roma, 28 Settembre

2 Agenda 1. Gruppo di ricerca AIEA: obiettivi e componenti 2. Introduzione 3. Definizione e scopo del Penetration Test 4. Tipologie di esecuzione 5. Provenienza dell attacco 6. Penetration test nell IT Audit 7. Fasi del Penetration Test 8. Gli approcci del Penetration Test 9. Tempi e Costi del Penetration Test 10. Team interno vs. team esterno 11. Rischi legali e contrattuali 12. Contenuto del report finale 13. Conclusioni 2

3 Gruppo di ricerca AIEA Scopo del Gruppo di Ricerca è quello di analizzare, nell ambito delle attività di studio e formazione svolte dall AIEA, le tematiche relative all auditing dei presidi di sicurezza perimetrale dei sistemi informatici aziendali. Il lavoro del gruppo si è orientato maggiormente verso la valutazione dell attuale metodo di controllo denominato Penetration Test. 3

4 Gruppo di ricerca AIEA Componenti del gruppo di ricerca: Coordinatore: Stefano Silvestri (PricewaterhouseCoopers Advisory) Partecipanti: Roberto Apollonio (H3G Italia) Fabrizia Bilancini (PricewaterhouseCoopers Advisory) Piero Brunati (Nest) Francesco Faenzi (Lutech s.p.a.) Enrico Recanatesi (San Paolo IMI) 4

5 Introduzione La diffusione delle telecomunicazioni, oltre ad accrescere il numero di reti informatiche, ha aumentato le problematiche legate al mantenimento della sicurezza negli ambienti di calcolo distribuito. L accesso non autorizzato a dette reti può comportare, in maniera immediata, una perdita di dati riservati a cui fanno seguito una serie di danni economici, di immagine e di controllo sui sistemi informativi. 5

6 Definizione e scopo del Penetration Test Il Penetration Test o Security Probe è un indagine che utilizza un approccio di tipo induttivo sperimentale per la verifica della sicurezza di un computer o di una rete di calcolatori allo scopo di individuarne le possibili vulnerabilità. Ciò avviene tramite: 1. l individuazione dei presidi atti a garantire la sicurezza del sistema oggetto dell auditing; 2. l attacco al sistema per verificare la tenuta di detti presidi. 6

7 Definizione e scopo del Penetration Test Scopo del Penetration Test è quello di ottenere informazioni o privilegi dal sistema informatico o simularne il danneggiamento. Il Penetration Test non deve in nessun caso arrecare danno al sistema o generare la perdita di dati. Il Management aziendale deve essere tenuto costantemente informato dello stato di avanzamento dell indagine. Al termine del Test viene rilasciato un report che evidenzia le carenze individuate al momento del controllo e suggerisce le iniziative correttive da intraprendere. 7

8 Oggetto del Penetration Test Sono individuabili diverse tipologie del test Penetration Test da Internet Wardialing Penetration Test Web application Penetration Test Wireless Penetration Test 8

9 Provenienza dell attacco L attacco può essere effettuato dall interno o dall esterno Gli attacchi esterni usano reti pubbliche dedicate o commutate o reti private con un interfaccia pubblica. Le modalità di esecuzione del test sono: Surface Mode Advance Mode Total Mode 9

10 Provenienza dell attacco Social Engineering Il Social Engineering è una tecnica di manipolazione della popolazione che sfrutta i rapporti interpersonali per ottenere privilegi di cui non si gode, generando un cambiamento delle abitudini di chi è l obiettivo di questi comportamenti ingannevoli. In genere è usato per recuperare user-id, password, e informazioni riservate aziendali quali i numeri telefonici interni. 10

11 Provenienza dell attacco Il Penetration Test effettuato dall interno Su disposizione del Management aziendale può essere assunto, in qualità di dipendente, un tester da porre in posizione privilegiata rispetto ad un auditor esterno. Lo scopo di questo testing è quello di voler simulare gli attacchi al sistema da parte di un proprio dipendente, e valutare la validità dei presidi posti in essere. Sono dettati dal Management gli scopi, la durata del rapporto di lavoro, e quindi del test,i performance indicator del test. 11

12 Penetration Test nell IT Audit Scopo del Penetration Test, nell ottica dell auditing dei sistemi informativi, è quello di verificare la conformità delle componenti del sistema atte a garantirne la sicurezza, ai livelli standard dettati da enti internazionali, come ISACA, o alle politiche e alle procedure aziendali. Esso deve essere considerato un test finalizzato alla verifica dei risultati emersi da un tradizionale IT Audit o da un Vulnerability Assessment (VA). 12

13 Tipologie di esecuzione Il Penetration Test può avvenire in tre modalità: Le possibili falle nella sicurezza dei sistemi informatici possono permettere l intrusione tramite: Internet e gli strumenti ad essa correlati: Firewall, VPN, Siti Web, ; modelli procedurali: Social Engineering, Physical Intrusion, Pishing, ; accessi fisici agli archivi e alla documentazione, inefficenti protezioni contro eventi naturali. 13

14 Tipologie di esecuzione Il Penetration Test può avvenire in tre modalità: Covert Overt Blind 14

15 Fasi del Penetration Test Le fasi fondamentali di un Penetration Test sono: Pianificazione Information gathering Analisi delle vulnerabilità Attacco Analisi dei risultati e rapporto finale 15

16 Gli approcci al Penetration Test Gli approcci al Penetration Test sono detti: Zero-knowledge Il team di tester non ha alcuna informazione sull ambiente di testing Partial-knowledge Prevede che il team sia messo a conoscenza delle policy, delle informazioni sul network e, in genere, informazioni critiche su aspetti critici da testare Full-knowledge Simula un attacco portato dall interno dell azienda, in quanto il team conosce tutto sulle tecnologie e le infrastrutture da testare. 16

17 Team interno vs. Team esterno Il Penetration Test può essere effettuato da un team interno all organizzazione o da uno esterno (tiger team). Evidenziamone i possibili vantaggi e svantaggi. 17

18 Team interno vs. Team esterno Test effettuato da un team interno Vantaggi Minori costi Maggior conoscenza delle reti da testare Maggior velocità nell implementazione delle correzioni Svantaggi Minore specializzazione e preparazione Maggiore possibilità di procurare danni al sistema Possibile conflitto di interesse 18

19 Vantaggi Team interno vs. Team esterno Test effettuato da un team esterno Maggior imparzialità Tecniche di hacking meno convenzionali Assenza di conflitti di interesse Mancanza di condizionamenti Maggiore conoscenza del Penetration Test Svantaggi Accesso da parte di terze parti ad informazioni aziendali Maggiori costi Minore conoscenza del sistema da testare Risultati disponibili solo a fine verifica 19

20 Rischi legali e contrattuali La maggior parte dei rischi legali correlati al Penetration Test riguarda la possibile diffusione, sottrazione o distruzione dei dati oggetti del test; tali rischi devono essere formalizzati nella lettera d incarico. In particolare l auditor e l auditee dovrebbero convenire su regole d ingaggio obiettivi del test scopi del test pianificazione del test modalità di esecuzione del test procedure di notifica dell auditing proprietà dei risultati 20

21 Contenuto del report Il Penetration Test si conclude con la consegna al committente, da parte dell auditor, di un report finale. In genere il report è composto di due parti: Parte Sintetica Parte Analitica 21

22 Tempi e costi del Penetration Test Il tempo ed il costo del test variano molto in base al numero complessità delle entità da controllare ed alla esperienza del team di tester. Influiscono nella determinazione dei tempi e dei costi: - le apparecchiature da verificare - la provenienza del Penetration Test - la esaustività del test. 22

23 Conclusioni Il Penetration Test non permette di far emergere tutte le possibili falle dei sistemi, se non a fronte di costi elevati. Il suo uso deve essere quindi mirato, considerato il rapporto costo/beneficio, e inserito in un contesto più ampio di Risk Management, IT Audit e VA. In genere questo tipo di test ha il pregio di sensibilizzare il Top Management verso una più accurata valutazione dei rischi legati alla protezione dei dati aziendali, tramite la dimostrazione di un avvenuta intrusione nel sistema informatico. 23

24 Conclusioni Non va dimenticato, però, che il Penetration Test deve essere usato a supporto della conferma delle criticità individuate tramite i metodi tradizionali quali IT Audit e Vulnerability Assessment. 24