La sicurezza: gli standard. ITSEC BS 7799 (ISO ) Common Criteria OWASP

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "La sicurezza: gli standard. ITSEC BS 7799 (ISO 270015) Common Criteria OWASP http://www.owasp.org"

Albano Villani
8 anni fa
Visualizzazioni

1 La sicurezza: gli standard ITSEC BS 7799 (ISO ) Common Criteria OWASP

2 IDENTIFICATION AND AUTHENTICATION A questo gruppo appartengono tutte le funzioni il cui scopo è permettere di verificare l'identità degli utenti che chiedono l'accesso a risorse controllate dal sistema informatico; come è noto, l'identificazione viene usualmente effettuata dal sistema informatico controllando la corrispondenza tra informazioni fornite dall'utente e informazioni, già note al sistema informatico, associate all'utente stesso. Esempi di funzioni in questo gruppo sono le funzioni che permettono il controllo suddetto, le funzioni che consentono l'inclusione e l'eliminazione di utenti dall'elenco di quelli autorizzati ad accedere alle risorse del sistema informatico, le funzioni che mirano a limitare l'efficacia di vari tipi di attacco alla procedura d'identificazione (come ad esempio quello mediante ricerca esaustiva di una password).

sistema informatico, associate all'utente stesso.

3 ACCESS CONTROL A questo gruppo appartengono tutte le funzioni il cui scopo è controllare il flusso delle informazioni fra processi e l'uso delle risorse da parte dei processi stessi; esempi di funzioni in questo gruppo sono le funzioni che permettono la gestione dei diritti d'accesso e la loro verifica, le funzioni che mirano a limitare il problema dell'inferenza, le funzioni che mirano a limitare temporaneamente l'accesso agli oggetti simultaneamente accessibili da più processi in modo da salvaguardarne l'accuratezza e la congruenza.

diritti d'accesso e la loro verifica, le funzioni che mirano a limitare il problema dell'inferenza, le funzioni che mirano a limitare

4 ACCOUNTABILITY A questo gruppo appartengono tutte le funzioni che hanno lo scopo di tenere traccia delle azioni delle varie entità (utenti o processi) in modo che le conseguenze di tali azioni possano essere addebitate a chi le ha svolte. AUDIT A questo gruppo appartengono tutte le funzioni che hanno lo scopo di registrare e analizzare gli eventi che potrebbero rappresentare una minaccia alla sicurezza; a questo gruppo appartengono anche funzioni di analisi sofisticate come quelle che prevedono la creazione di un modello statistico del funzionamento del sistema informatico e che tentano di individuare eventuali attacchi alla sua sicurezza sulla base delle osservazioni di comportamenti che si scostano, in modo poco plausibile, da tale modello; il confine tra le funzioni in questo gruppo e quelle nel gruppo precedente è spesso poco definito.

AUDIT A questo gruppo appartengono tutte le funzioni che hanno lo scopo di registrare e analizzare gli eventi che potrebbero rappresentare una minaccia alla sicurezza; a questo gruppo appartengono

5 OBJECT REUSE A questo gruppo appartengono tutte le funzioni il cui scopo è permettere la riutilizzazione di spazi di memoria centrale o di massa impedendo che questo costituisca una minaccia alla sicurezza; esempi di funzioni in questo gruppo sono le funzioni che permettono la cancellazione o l'inizializzazione di supporti riutilizzabili (dischi, nastri, memorie e simili) quando non sono in uso; ACCURACY A questo gruppo appartengono tutte le funzioni il cui scopo è evitare qualunque tipo di modifica illecita dei dati; esempi di funzioni in questo gruppo sono le funzioni che permettono di prevenire, o almeno rivelare, alterazioni, cancellazioni e inclusioni di nuove parti nei dati scambiati tra processi o passati da un oggetto ad un altro;

simili) quando non sono in uso; ACCURACY A questo gruppo appartengono tutte le funzioni il cui scopo è evitare qualunque tipo di modifica illecita dei dati; esempi di funzioni in questo

6 RELIABILITY OF SERVICE A questo gruppo appartengono tutte le funzioni che assicurano che le risorse siano accessibili e utilizzabili su richiesta da qualsiasi entità autorizzata entro tempi prefissati. DATA EXCHANGE A questo gruppo appartengono tutte le funzioni il cui scopo è quello di garantire la sicurezza dei dati durante la loro trasmissione su canali di comunicazione insicuri.

7 UNIX espleta nativamente alcune delle funzioni di sicurezza: IDENTIFICATION AND AUTHENTICATION Autenticazione tramite password ACCESS CONTROL Permessi ACCOUNTABILITY Log AUDIT OBJECT REUSE ACCURACY Permessi RELIABILTY OF SERVICE DATA EXCHANGE

password ACCESS CONTROL Permessi ACCOUNTABILITY Log AUDIT

8 A livello applicativo esistono svariati prodotti che svolgono le restanti funzioni di sicurezza: AUDIT Swatch NIDS OBJECT REUSE ACCURACY RELIABILTY OF SERVICE Clustering DATA EXCHANGE TLS/SSL

9 Tecniche Nella pratica esistono svariati tipologie di attacchi che possono compromettere una o piu' funzioni di sicurezza: Intrusion Tutte le funzioni di sicurezza Denial Of Service RELIABILITY OF SERVICE Sniffing DATA EXCHANGE

di sicurezza: Intrusion Tutte le funzioni di sicurezza

10 Tecniche Nella pratica esistono svariati tipologie di attacchi che possono compromettere una o piu' funzioni di sicurezza: Intrusion Code injection Authentication bruteforce Denial Of Service Flood Nuke Sniffing Promiscuous ethernet sniffers

sicurezza: Intrusion Code injection Authentication

11 Tecniche Nella pratica esistono svariati tipologie di attacchi che possono compromettere una o piu' funzioni di sicurezza: Intrusion Code injection Remote execution SQL injection Buffer overflow Authentication bruteforce Remote login bruteforce Password bruteforce

Intrusion Code injection Remote execution SQL injection Buffer

Documenti analoghi

RACCOMANDAZIONE N. R (91) 10 DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI SULLA COMUNICAZIONE A TERZI DI DATI PERSONALI DETENUTI DA ORGANISMI PUBBLICI

CONSIGLIO D EUROPA RACCOMANDAZIONE N. R (91) 10 DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI SULLA COMUNICAZIONE A TERZI DI DATI PERSONALI DETENUTI DA ORGANISMI PUBBLICI (adottata dal Comitato dei Ministri