Metodologie di Risk Analysis: panoramica sulle metodologie e standard Un approccio pragmatico

Transcript

1 Metodologie di Risk Analysis: panoramica sulle metodologie e standard Un approccio pragmatico Prof. Ing. Claudio Cilli CIA, CISA, CISM, CISSP, CGEIT, CSSLP, CIRISC, M.Inst.ISP cilli@di.uniroma1.it

2 TCP/IP Application Presentation Session HTTP FTP SSL Transport Reliable or unreliable delivery Error correction before retransmit TCP UDP Network Provide logical addressing which routers use for path determination IP Data Link Combines bits into bytes and bytes into frames Access to media using MAC address Error detection not correction / HDLC 2 Physical Move bits between devices Specifies voltage, wire speed and pin-out cables EIA/TIA-232 V.35

3 TCP/IP Application Presentation Session HTTP FTP SSL Transport Reliable or unreliable delivery Error correction before retransmit TCP UDP Network Provide logical addressing which routers use for path determination IP Data Link Combines bits into bytes and bytes into frames Access to media using MAC address Error detection not correction / HDLC 3 Physical Move bits between devices Specifies voltage, wire speed and pin-out cables EIA/TIA-232 V.35

4 SISTEMA distribuito multifunz.

5 INTERNET - IL sistema distribuito Riflessioni sulla crisi dell 11 settembre WTC contesto: NYC = nodo superconnesso 74 TELCO Carrier 100 Int l Internet Carrier con link diretti a 71 paesi Interconnessione effettuata: al NYIX New York Internet Exchange nei Carrier hotels per collegamenti tra operatori presenti nello stesso palazzo 5

6 INTERNET - IL sistema distribuito Riflessioni sulla crisi dell 11 settembre WTC 1.la Rete nel complesso ha dimostrato la sua forte adattabilità nonostante i danni alle infrastrutture (anche ICT) ed al picco di traffico in seguito all evento (accesso a siti web informativi- scambio di messaggi) 2.la Rete ha dimostrato una notevole resilienza agli attacchi fisici, anche se in alcune componenti del sistema la ridondanza è stata inadeguata 3.molti dei problemi, a 8-12 ore dall evento, erano il risultato della mancanza di un piano di continuità operativo che potesse garantire, ad esempio: accesso o controllo remoto dei Data Centers consegna del carburante per i generatori elettrici!!! 4.la Rete ha garantito comunicazioni efficaci ( ed instant messages) a fronte della congestione della rete telefonica. 6

7 INTERNET - IL sistema distribuito Il routing Internet è ritornato alla quasi normalità nel giro di 15 minuti dal collasso della Torre Sud WTC Circa il 2% delle routes non ritornano normali per almeno 24 ore: alcune erano riferite a soggetti presenti al WTC altre erano riferite ad ISP di Italia (!!), Germania, Romania e Sud Africa I veri problemi sono stati tutti legati alla sicurezza informatica 7

8 Sicurezza IT: componenti di base Sicurezza delle transazioni Non Ripudio Sicurezza dei dati e delle applicazioni Sicurezza delle comunicazioni Autenticazione Autorizzazione Riservatezza Integrità 8

9 Evoluzione degli attacchi Alta Diagnostici invisibili Back Doors Vulnerabilita conosciute Sofisticazione del pacchetto/impersonificazione (packet spoofing/forging) Sniffer Livello di sofisticazione degli strumenti di hacking Codice autoreplicante Dirottamento di Sessione (session Hijacking) Disabilitazione audit Bassa 1980 Password semplici Password crack oggi Grado di conoscenza tecnica necessaria 9

10 Una possibile classificazione Disclosure Attack Masquerading Attack Integrity Attack Denial of Service Attack Software Forgery/Poisoning Attack Blended Threats 10

11 Disclosure Attack Esempio: Packet sniffing MITTENTE messaggio DESTINATARIO osserva INTRUSO 11

12 Masquerading Attack Esempio: IP spoofing / Shadow server MITTENTE Messaggio falsificato DESTINATARIO INTRUSO MITTENTE Messaggio DESTINATARIO INTRUSO 12

13 Integrity Attack Esempio: Connection hijacking / Data spoofing MITTENTE INTRUSO Messaggio originale Messaggio falsificato DESTINATARIO 13

14 Denial of Service Attack Esempio: SMURF, Trin00, Ping of Death, Tcp Syn flood INTRUSO (Master) SLAVES Mittente Destinatario 14

15 Software forgery/poisoning Attack (aka MALICIOUS CODE ATTACK) Esempio: Trojan horse, Backdoor,Virus INTRUSO http mail irc es. Canali di trasmissione del virus Propagazione inconsapevole da parte degli utenti 15

16 Blended Threats Combinano le caratteristiche di virus, worm, Trojan horse con le vulnerabilità dei server e di Internet per iniziare, trasmettere e propagare un attacco (autopropagazione) Esempio: NIMDA, CODE RED Sfruttano le vulnerabilità delle tecnologie adottate Ospite infetto es. Canali di trasmissione del codice (autopropagazione) Autopropagazione del codice 16

17 Qual è impatto degli attacchi? Interruzione dei servizi Perdita di guadagni Perdita di produttività Maggiori costi per il ripristino Esposizione a procedimenti giudiziari Come testimone o come imputato(*) Perdita di immagine * Bisogna dimostrare la diligenza nel minimizzare l esposizione agli attacchi 17

18 18 Un approccio metodologico

19 Sicurezza IT Implementare la Sicurezza in un determinato contesto vuol dire: Individuare Risorse da da proteggere Individuare Individuare Definire Determinare Minacce Vulnerabilità Il Il livello accettabile di di rischio Le Le specifiche di di sicurezza Un sistema sicuro è dunque un sistema che rispetta una serie di specifiche di sicurezza 19

20 Valutazione In linea generale la valutazione consente di rispondere, in maniera probabilistica circa la capacità di un sistema (assurance) di rispettare determinate specifiche di sicurezza Emerge dunque la necessità, tra utilizzatore e fornitore di sistemi IT di definire criteri e metodologie per la valutazione delle specifiche di sicurezza richieste da un sistema 20

21 Certificazione La valutazione eseguita da una terza parte indipendente (Organismo di Certificazione), sulla base di standard e metodologie riconosciute per le quali l organismo è stato accreditato da un Ente di Accreditamento, consente di ottenere la CERTIFICAZIONE 21

22 Certificazione Gestore dello schema Enti di accreditamento Enti di certificazione Laboratori di verifica Prodotto/processo da certificare Criteri e standard Certificazione 22

23 Panoramica storica Standard attuali TCSEC (Trusted Computer Security Evaluation Criteria o Orange Book, del 1985) ITSEC (Information Techonology Security Evaluation Criteria, del 1991) Francia, Germania, Olanda e Regno Unito CTCPEC (Canadian Trusted Computer Product Evaluation Criteria, del 1993) finalizzato a conciliare i concetti del TCSEC e del ITSEC FC (Federal Criteria for Information Technology Security, draft del 1993) volto a unificare il modello Nord Americano con quello Europeo Common Criteria: Stati Uniti, Canada, Francia, Germania, Olanda e Regno Unito, in collaborazione con l ISO (International Organization for Standardization) 23

24 Panoramica storica La caratteristica comune è che il livello di assurance deve essere stimato da un valutatore imparziale e, come precisato dai diversi criteri, dipende: dalle caratteristiche dell oggetto da valutare dal rigore con cui il valutatore analizza l oggetto della valutazione e la sua documentazione dalla severità dei requisiti che vengono imposti dai criteri sia sulla stesura della documentazione necessaria alla valutazione sia sull ambiente e sul processo di sviluppo dell oggetto stesso 24

25 Panoramica storica Approccio simile a quello seguito nell area del controllo di qualità ed implica: la valutazione può essere condotta solo se si conosce a priori a quale livello di assurance si ambisce le azioni che il valutatore deve compiere dipendono da tale livello I criteri definiscono una metrica per l assurance: aspetti e documentazione da considerare azioni che il valutatore deve compiere requisiti sull ambiente e sul processo di sviluppo modalità di descrizione dell oggetto da valutare funzioni di sicurezza che deve offrire mirano a soddisfare tutte le esigenze (utilizzatori, produttori, valutatori) precisano ruoli, compiti ed aspettative 25

26 Panoramica storica TCSEC (USA) Canada, prime iniziative NIST - MSFR 1990 Iniziative europee nazionali e regionali Federal Criteria 1992 CTCPEC Progetto Common Criteria 1993 ITSEC 1992 Common Criteria ver BS Common Criteria ver ISO / ISO /12/1999 ISO /2005

27 Risk Management Processo relativo all identificazione, valutazione, controllo e riduzione dei rischi nei sistemi informativi Obiettivo: identificare aree specifiche dove le protezioni sono necessarie per prevenire deliberate o accidentali divulgazioni non autorizzate, modifiche, uso non autorizzato delle informazioni, o negazione del servizio 27

28 Quadro di sintesi Risk Analysis Cost Benefit Analysis Countermeasure Selection Countermeasure Implementation Security Test & Evaluation Penetration Testing Systems Review Certification Contingency Planning 28

29 29 Relazioni nella gestione del rischio

30 SICUREZZA = PROCESSO DINAMICO Evoluzione delle strategie di attacco Disponibilità di strumenti innovativi per contrastare gli attacchi Analisi Gestione Incidenti di sicurezza rischio 30 Verifica sicurezza Attuazione misure

31 Risk Management Methods Austrian IT Security Handbook Control Objectives for Information and Related Technology (CObIT) CCTA Risk Assessment and Management Methodology (CRAMM) Dutch A&K Analysis EBIOS ETSI Factor Analysis of Information Risk Management (FIRM) Failure Modes and Effects Analysis (FMEA) Facilitated Risk Assessment Process (FRAP) Information Risk Assessm,ent Methodologies (IRAM) ISAMM Information Security Forum (ISF) Methods ISO TR (a Techniocalo Report which is a precursor to ISO/IEC 27005) ISO/IEC ISO/IEC IT Grundschutz Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT) MEHARI MIGRA NIST SP NIST SP NSA IAM / IEM / IA-CMM OCTAVE Open Source Security Testing Methodology Manual (OSSTMM) Practical Threat Analysis (PTA) Simple to Apply Risk Assessment (SARA) Security Officers Managemtn and Analysis Project (SOMAP) Simplified Process for Risk Identification (SPRINT) 31

32 Risk Management Tools Risk Management Tools Acuity Stream Archer Axur Callio Casis Citicus ONE Cobra CRAMM EAR / PILAR EBIOS GSTool GxSGSI ISAMM MIGRA Modulo Risk Manager OCTAVE Proteus Enterprise RA2 Art of Risk Resolver Ballot Resolver Risk Risicare Riskwatch RM Studio Risk Manager RiskOptix RSAM vsrisk 32

33 Le metodologie vanno confrontate

34 Sono idonee le formule? IS Risk Analysis Based on a Business Model uses the following:

35 Che fare? Si tratta di scegliere una metodologia pratica Di facile utilizzo Che dia risultati concreti Adattabile In accordo con almeno uno standard consolidato, ma quale? La scelta è caduta su ITSEC per la sua semplicità, coerenza e perché europeo! 35

36 Information Technology Security Evaluation Criteria ITSEC 36

37 Criteri ITSEC ITSEC (Information Technology Security Evaluation Criteria) Gruppo di lavoro misto F, UK, D, NL Finalizzato alla valutazione di sistemi o di prodotti specifici Non sono norme ma criteri: identificano le verifiche da eseguire nel corso della valutazione 37

38 Criteri ITSEC (cont.) Formale: cioè basata su azioni note, imparziali, ripetibili, riproducibili (metodologie) Hanno come oggetto le contromisure IT, anche se il contesto dell'ambiente di esercizio deve essere descritto con tutte le contromisure anche di altro genere Introduce il concetto di T.O.E. (Target of Evaluation) 38

39 Criteri ITSEC Il Target of Evaluation viene analizzato separatamente nelle sue due componenti: Funzionalità di sicurezza previste Livello di assurance per le funzionalità T.O.E.: Sistema Scopo specifico Ambiente operativo noto Prodotto Si può acquistare da solo Può essere incorporato in più sistemi Funzionalità Correttezza assurance Efficacia 39

40 Criteri ITSEC Assurance, due obiettivi: efficacia delle funzioni di sicurezza per contrastare le minacce correttezza nella realizzazione delle funzioni e dei meccanismi di sicurezza (assurance) 7 livelli (E0, E1,..., E6) di valutazione dell assurance 10 classi di funzionalità predefinite 40

41 Analisi di due elementi Efficacia 3 gradi di robustezza Aspetto di costruzione Aspetto operativo Correttezza 6 livelli di valutazione Aspetto di costruzione Processo di sviluppo Ambiente di sviluppo Aspetto operativo Documentazione d uso Ambiente operativo Attributi delle specifiche Tipo di formalizzazione Informali Semiformali Formali Grado di approfondimento Affermare Descrivere Spiegare 41

42 Security Target Politica di sicurezza o Product Rationale Funzioni di sicurezza Meccanismi (opzionale) Robustezza minima dei meccanismi Livello di valutazione 42

43 Valutazione Controllo della idoneità delle funzioni e dei meccanismi Controllo della consistenza delle funzioni e meccanismi ovvero della loro capacità di lavorare bene insieme; Esame della robustezza dei meccanismi Esame della vulnerabilità connessa ad aspetti di costruzione Esame della facilità d uso Esame della vulnerabilità connessa ad aspetti operativi Controllo dei requisiti Controllo del disegno architetturale Controllo del disegno di dettaglio Controllo dell installazione Controllo dell ambiente di sviluppo Controllo della documentazione operativa Controllo dell ambiente operativo Esecuzione dei test di penetrazione Stesura del rapporto di valutazione (ETR) 43

44 Processo di valutazione Politica di Sicurezza Aziendale Politica di Sicurezza Tecnologica Requisiti Preparare la documentazione per la valutazione SPONSOR Document. Obiettivi di Sicurezza Certificato Documentazione TOE Eseguire la valutazione Rilasciare il rapporto di certificazione Rapporto di valutazione (ETR) VALUTATORE ENTE CERTIFICATORE

45 Generic Headings Identificazione e autenticazione Controllo accessi Accountability Audit Riutilizzo di risorse Accuratezza Affidabilità del servizio Scambio dati Ogni Generic Heading è quindi dettagliato nelle contromisure (funzioni) di dettaglio relative (es.: backup, crittografia, ecc.) 45

46 46 La metodologia in pratica

47 Fase 1: Raccolta dati Nel Piano di Sicurezza il vero bene da proteggere sono le informazioni e su di esse si concentrano tutte le attività Fasi di attività: Esame della Politica di Sicurezza Classificazione dei dati Rilevazione della struttura informatica Distribuzione dei dati nei sistemi Analisi delle minacce e degli attacchi 47

48 Esame della Politica di Sicurezza Politica di sicurezza aziendale: l insieme di norme, regole, consuetudini che regolano come i beni aziendali vengono gestiti, protetti e distribuiti all interno dell organizzazione. Tali norme spesso sono sintetizzate in un documento aziendale Politica di sicurezza di sistema: documento, facente parte degli obiettivi di sicurezza se il TOE è costituito da un sistema, che illustra l insieme di norme, regole, consuetudini che regolano come le informazioni rilevanti per la sicurezza (sensitive) ed altre risorse sono gestite, protette e distribuite all interno dello specifico sistema. Il documento fa riferimento agli eventuali documenti di politica di sicurezza aziendale e tecnologica. Il documento dovrebbe identificare gli obiettivi di sicurezza del sistema e le relative minacce e dovrebbe coprire tutti gli aspetti di sicurezza relativi al sistema, inclusi quelli associati alla misure di sicurezza fisica, procedurale e del personale Politica di sicurezza tecnologica: l insieme di norme, regole, consuetudini che regolano l elaborazione delle informazioni rilevanti per la sicurezza (sensitive) e l uso di altre risorse da parte dell hardware e software di un sistema informativo. Tali norme possono essere suddivise in più documenti dedicati a specifiche tecnologie per esempio reti locali, trasmissione dati, stazioni di lavoro personali, ecc. Il documento fa riferimento alla politica di sicurezza aziendale e dovrebbe essere predisposto quando si introducono nuove tecnologie Product rationale: documento, facente parte degli obiettivi di sicurezza se il TOE è costituito da un prodotto, che dovrebbe fornire all eventuale acquirente le informazioni necessarie a valutare se il prodotto può soddisfare gli obiettivi di sicurezza e a definire cosa altro deve essere fatto affinché tali obiettivi possano essere raggiunti completamente. Quindi il documento dovrebbe identificare le modalità d uso del prodotto, l ambiente a cui è indirizzato e le minacce previste in tale ambiente 48

49 Classificazione dei dati I dati e le informazioni devono essere disponibili in una forma possibilmente strutturata Data set Data set #1 Data set #2 Data set n Label Description Comment 49

50 Classificazione dei dati (cont.) Ai responsabili dei dati e manager aziendali viene chiesto di riempire degli opportuni questionari in cui si richiede di valutare la sensibilità dei dati gestiti o utilizzati rispetto ai parametri canonici di integrità, riservatezza e disponibilità con un valore 1, 2 o 3 Il questionario che ogni soggetto intervistato riceve contiene solo gli elementi di propria competenza Data set Data set #1 Data set #2 Data set #3 Data set #4 Data set #5 Integrity Relevance Confidentiality Availability

51 Classificazione dei dati (cont.) I valori attribuiti sono sommati in modo ponderato (Σ/n) e scalati per evitare numeri decimali (x 10, x100, ecc.) L obiettivo è di dividerli in tre macro-classi (High, Medium, Low) per ogni parametro di sensibilità V 1 High Medium Low Integrity H M L V 2 High Medium Low Confidentiality H M L V 3 High Medium Low Availability H M L Alla fine si ottiene la figura seguente 51

52 Classificazione dei dati (cont.) Successive analisi ed interviste eliminalo le eventuali situazioni di incongruenza (i manager desiderano che un certo gruppo sia posizionato, ad esempio per ragioni strategiche aziendali, in una classe diversa da quella spettante dall elaborazione) Data set Data set #1 Data set #2 Data set #3 Data set #4 Data set #5 Data set #6 Data set #7 Data set #8 Integrity Value H M L 52

53 Classificazione dei dati (cont.) Il risultato finale è un report di questo tipo: Integrity Confidentiality Availability Data set Data set #1 H M M Data set #2 L M L Data set n M L L 53

54 Rilevazione della struttura informatica Attraverso interviste e questionari si ottiene una rappresentazione del sistema informativo, distinguendo tra livelli omogenei e sistemi che rivestono particolare importanza Ad esempio: HOST (Mainframe) RETE (Rete Geografica Aziendale) MINICOMPUTER (Sistemi Dipartimentali) LAN (Local Area Network) WORKSTATION (Personal Computer) SISTEMI DI BACK-UP 54

55 Distribuzione dei dati nei sistemi La sensibilità di ogni archivio di dati è la stessa per ogni sistema in cui è presente o elaborato, e pari al valore precedentemente determinato: Data set Integrity Architectural levels Host WAN Mini LAN WS Tape room Data set #1 H H H H Data set #2 L L Data set n M M M 55

56 Distribuzione dei dati nei sistemi (cont.) Analoghe tabelle vengono costruire per i restanti parametri di sensibilità: Confidentiality Data set Architectural levels Host WAN Mini LAN WS Tape room Data set #1 M M M M Data set #2 M M Data set Availability Architectural levels Host WAN Mini LAN WS Tape room Data set #1 M M M M Data set n L L Data set #2 L L Data set n L L 56

57 Distribuzione dei dati nei sistemi (cont.) La sensibilità di ogni sistema informatico viene definita pari a quella dei dati presenti o elaborati di valore più elevato: D a ta s e t In te g r ity A r c h ite c tu r a l le v e ls H o s t W A N M in i L A N W S T a p e ro o m D a ta s e t # 1 D a ta s e t # 2 H H H H L L D a ta s e t n M M M 57

58 Distribuzione dei dati nei sistemi (cont.) La sensibilità del sistema informatico può essere diversa rispetto ai tre parametri di sicurezza: D a ta s e t D a ta s e t # 1 D a ta s e t # 2 A v a ila b ility A rc h ite c tu ra l le v e ls H o s t W A N M in i L A N W S T a p e ro o m M M M M L L D a ta s e t D a ta s e t # 1 D a ta s e t # 2 C o n fid e n tia lity A rc h ite c tu ra l le v e ls H o s t W A N M in i L A N W S T a p e ro o m M M M M M D a ta s e t # 5 L M L D a ta s e t # 5 L L 58

59 Distribuzione dei dati nei sistemi (cont.) Se un sistema non contiene o elabora dati critici o sensibili, il suo valore è non classificato ed è ignorato In base ai risultati conseguiti nei passi precedenti è possibile costruire la tavola riepilogativa finale: Integrity Confidentiality Availability Arch. level Host H M M WAN H M M Mini H M M LAN M M L WS L Tape room H M M 59

60 Analisi delle minacce e degli attacchi Evento non desiderato, sia deliberato che accidentale, che potrebbe in qualsiasi modo arrecare danno direttamente o indirettamente Sono possibili molte classificazioni delle minacce in grado di agire su un sistema. Una è la seguente: FURTI Azioni di appropriazione di apparati, impianti, tabulati, supporti magnetici, o copie di dati e/o programmi, sottratti all azienda con finalità diverse. Per ciò che concerne i dati ed i programmi non necessariamente finalizzati alla divulgazione all esterno FRODI O MALVERSAZIONI (COMPUTER CRIME) Azioni finalizzate ad arrecare un danno alla azienda sia per ricavarne profitti personali illeciti, o per terzi, sia per attivare azioni di ritorsione, intimidazione o comunque compromissori per la missione o per l immagine dell azienda stessa DANNEGGIAMENTO Eventi ti tipo fisico o logico e che comportano danni tali da provocare la perdita di affidabilità fino all interruzione del servizio 60

61 Analisi delle minacce e degli attacchi MANIPOLAZIONI DI DATI E/O PROGRAMMI Azioni vandaliche in grado di arrecare danno all azienda senza finalità conclamate (rientrerebbero altrimenti nelle frodi) PERDITA DI PRIVACY Azioni, sia accidentali che procurate, che possono comunque l accesso ad informazioni riservate o che se non utilizzate dai diretti interessati possono essere suscettibili di erronee o fuorvianti interpretazioni ERRORI SUI DATI E PROGRAMMI Errori derivanti sia dalla mancanza di adeguati test e collaudi al software prima della messa in esercizio, sia derivanti da mancanza di controlli adeguati sui dati immessi nel sistema. UTILIZZO ILLEGALE DI SOFTWARE Azioni di inserimento di software non legale e comunque, anche se legale, non autorizzato dalla struttura responsabile del S.I. DIVULGAZIONE DI DATI E PROGRAMMI Minaccia particolare posta in una posizione intermedia tra la frode ed il furto. L azione infatti può avvenire in assenza di danni per l azienda e rappresentare in tal caso non una frode vera e propria bensì un furto attuato tramite copia illegittima dello stesso. Qualora l evento porti nocumento all azienda si tratta di una frode vera e propria perpetrata con modalità tipiche del furto 61

62 Analisi delle minacce e degli attacchi UTILIZZO ILLEGALE DI RISORSE Utilizzo illecito delle risorse aziendali, costituendo di fatto un abuso nei confronti dell azienda stessa o una appropriazione indebita di beni immateriali AVARIE AI SISTEMI Malfunzionamenti del sistema, sia sull hardware che sul software, in grado di compromettere l affidabilità del sistema stesso. INAGIBILITA DEI LOCALI Condizioni di impraticabilità, temporanea o definitiva, dei locali dove operano i sistemi o dove sono depositati gli archivi off-line necessari ad un esercizio affidabile del sistema. L inagibilità cui si fa riferimento è quella che dipende dalle infrastrutture ausiliarie e logistiche di supporto ove i sistemi sono collocati 62

63 Analisi delle minacce e degli attacchi Le minacce in grado di agire sui sistemi si attuano mediante diverse tipologie di attacchi, come ad esempio: Accesso non autorizzato a dati e programmi Intercettazione delle informazioni in transito sulle linee di comunicazione Analisi del traffico sulla rete locale Abuso di privilegi Furto di supporti o documenti Modifica di dati e programmi Inserimento di virus Ecc. 63 L analisi condotta in azienda consente di determinare quali sono gli attacchi possibili e le modalità di attuazione

64 Fase 2: Elaborazione ITSEC prevede di definire gli obiettivi di sicurezza come insieme delle funzioni di sicurezza (Security Function) atte a contrastare gli attacchi Fasi di attività: Analisi degli obiettivi sulle classi di sensibilità dei dati Determinazione delle funzioni di sicurezza Determinazione dei meccanismi Grado di robustezza dei meccanismi Grado di confidenza (assurance) richiesto 64

65 Analisi degli obiettivi sulle classi di sensibilità dei dati Gli obiettivi (reazione agli attacchi) sono precisati per le tre classi di sensibilità dei dati: Obiettivi di sicurezza H M L Accesso non autorizzato a dati e programmi x x x Intercettazione delle informazioni in transito sulle linee di x comunicazione Analisi del traffico sulla rete locale x x Abuso di privilegi x Furto di supporti o documenti x x x Modifica di dati e programmi x Inserimento di virus x x 65

66 Determinazione delle funzioni di sicurezza I criteri ITSEC, pur lasciando libertà di scelta delle funzioni di sicurezza, ne suggeriscono l'ordinamento in gruppi. A tal fine raccomandano (ma non impongono) l'uso dei seguenti otto gruppi generici (generic headings): identification and authentication access control accountability audit object reuse accuracy reliabilty of service data exchange A queste si aggiungono un gruppo di funzioni di tipo organizzativo e un altro logistico 66

67 Determinazione delle funzioni di sicurezza Gli obiettivi di sicurezza vengono tradotti nelle funzioni di sicurezza necessarie ad attuarli (una per ogni parametro di sicurezza: integrità, riservatezza, disponibilità): Obiettivi di sicurezza Accesso non autorizzato a dati e programmi Intercettazione delle informazioni in transito sulle linee di comunicazione Analisi del traffico sulla rete locale Abuso di privilegi Furto di supporti o documenti Modifica di dati e programmi Inserimento di virus Funzioni di sicurezza Access Control Access Control Identification and Authentication Organizzazione Accountability Access Control Funzioni logistiche Access Control Organizzazione Organizzazione Funzioni logistiche Access Control Reliability of service Organizzazione Accountability Permettendo di costruire la seguente tabella: 67

68 Determinazione delle funzioni di sicurezza (cont.) Sensitivity classes HIGH MEDIUM LOW Security functions Security parameters I C A I C A I C A Identification and Authentication X X X X X X G Access control X X X X X X E Data access control X X X X X X N. Accountability X X X X X X / Audit X X X X X X H Object reuse X E Accuracy X X X A Reliability of service X X X X X X D. Data exchange X X Rules and responsibilities X X X X X X definition O Procedures for system utilisation X X X X X X R Procedures for system management X X X X X X X X X G Training X X X Communication activity to make X X X X X X X X X users aware of security needs Passive detection systems X X L Active detection systems X X O Physical access control systems X X X X X X G UPS X X X X General building structures X X 68

69 Determinazione dei meccanismi Dal confronto tra la tabella relativa alla sensibilità dei sistemi informatici e quella delle funzioni... Sensitivity classes HIGH MEDIUM LOW Integrity Confidentiality Availability Arch. level Host H M M WAN H M M Mini H M M LAN M M L WS L Tape room H M M Security parameters I C A I C A I C A Security functions Identification and Authentication X X X X X X G Access control X X X X X X E Data access control X X X X X X N. Accountability X X X X X X / Audit X X X X X X H Object reuse X E Accuracy X X X A Reliability of service X X X X X X D. Data exchange X X Rules and responsibilities X X X X X X definition O Procedures for system utilisation X X X X X X R Procedures for system management X X X X X X X X X G Training X X X Communication activity to make X X X X X X X X X users aware of security needs Passive detection systems X X L Active detection systems X X O Physical access control systems X X X X X X G UPS X X X X General building structures X X si determina quali funzioni di sicurezza e con quale efficacia (H, M, L, pari alla sensibilità dei dati da proteggere) devono essere adottate per ogni sistema per ogni parametro (integrità, riservatezza, disponibilità) 69

70 Determinazione dei meccanismi I meccanismi di sicurezza attuano le funzioni previste Si cerca di utilizzare quelli certificati Sono scelti sulla base di considerazioni economiche, a parità di grado di robustezza offerta Non esiste un metodo preciso per la loro adozione: l esperienza e la capacità dell esperto decidono 70

71 Grado di robustezza dei meccanismi La robustezza dei meccanismi è definita con precisione in ITSEC Può essere Alta, Media o Bassa, che rappresentano crescenti livelli di resistenza ad un attacco diretto ITSEM definisce le modalità di determinazione del grado di robustezza per i generic headings validi anche per quelli relativi alle funzioni logistiche, basate su: tempo a disposizione per effettuare l attacco complicità necessaria esperienza tecnica posseduta attrezzatura utilizzata Per i meccanismi di tipo organizzativo si può utilizzare la seguente tabella: 71

72 Grado di robustezza dei meccanismi Grado di robustezza Funzioni organizzative Norme di utilizzo Procedure di gestione Formazione Ruoli e responsabilità Sensibilizzazione e comunicazione BASE Definiti Generale MEDIA Definiti Descrizione generale Descrizione generale Generale ALTA Definiti Descrizione dettagliata con formalizzazio ne Descrizione dettagliata Specifica per la sicurezza Specifica BASE: definiti ruoli e responsabilità MEDIO: definiti ruoli e responsabilità. Descritto utilizzo e gestione delle funzioni di sicurezza ALTO: definiti ruoli e responsabilità. Descritto in dettaglio utilizzo e gestione delle funzioni di sicurezza, addestramento alla sicurezza 72

73 Grado di confidenza (assurance) richiesto ITSEC definisce sette livelli (E0..E6) di confidenza (assurance) del sistema di sicurezza rispetto alla sua capacità di attuare le funzioni previste Ogni livello rappresenta crescenti livelli di confidenza Il livello di confidenza è influenzato da diversi fattori, tra cui la completezza e approfondimento della documentazione 73

74 Valutazione economica della sicurezza 74

75 Aspetti generali Le contromisure (meccanismi) di sicurezza determinate dall applicazione della metodologia devono essere scelte in base a: una valutazione economica e quantitativa dei costi connessi al rischio residuo al costo delle contromisure stesse avendo per obiettivo quello di raggiungere la soluzione che presenta il costo minore In realtà è molto difficile adottare un tale approccio perché se da un lato è possibile determinare con esattezza il costo dei sistemi di protezione, dall altro è estremamente difficile calcolare il costo della loro efficacia, cioè del rischio evitato Si tratta di un costo previsto, che dipende dalla volontà di qualcuno di causare un danno (o dalla probabilità di accadimento di un evento naturale) e il fallimento del sistema di contromisure 75

76 Valutazione del costo del rischio Il calcolo del costo del rischio è effettuato tramite l analisi del valore economico e del grado di sensibilità dei dati, come determinato dall applicazione della metodologia In precedenza i data-set sono stati classificati secondo la loro sensibilità, ora ai responsabili aziendali si chiede di indicare (ponendo un segno sulla colonna opportuna) se il data-set è importante o essenziale per l organizzazione dal punto di vista del costo 76 SECURITY QUESTIONNAIRE DATA CLASSIFICATION DEI ACCORDING TO THEIR VALUE AND SENSITIVITY Information system... VALUE SENSITIVITY Important Essential Sensitivity class Risk class Cove-rage grade Relevant data list

77 Valore del sistema informativo Sistema informativo... Stimare il valore del sistema informativo per l azienda, l individuo e il danneggiatore, utilizzando i seguenti parametri: 0 = trascurabile 4 = circa Euro 1 = circa 10 Euro 5 = circa Euro 2 = circa 100 Euro 6 = circa 1 milione di Euro 3 = circa Euro 7 = circa 10 milioni di Euro A. Valore per l azienda Parametro V Costo di ricostruzione... Costo di penalizzazione... Opportunità perdute... Impossibilità a prendere decisioni... Altro... B. Valore per l individuo Reputazione... Libertà civili... Credito... Altro... C. Valore per il danneggiatore Risorsa da vendere... Appropriazione... Vendetta... Miglioramento del credito, stipendio, posizione... Competitività... Vantaggio politico... Altro... 77

78 Probabilità di accadimento di un evento dannoso Sistema informativo... Valutare le probabilità di ciascuno degli eventi sotto indicati utilizzando i seguenti parametri: 0 = impossibile 4 = 1 volta ogni 30 giorni 1 = 1 volta ogni 100 anni 5 = 1 volta ogni 3 giorni 2 = 1 volta ogni 10 anni 6 = 3 volte al giorno 3 = 1 volta all anno 7 = 30 volte al giorno A. Disastri Parametro R Naturali... Danni all hardware e al software... Incuria umana... B. Violazione della riservatezza Curiosità... Ottenimento di informazioni per ragioni politiche o legali... Rivelazione involontaria di informazioni riservate... C. Dolo Saccheggio e sabotaggio... Utente malintenzionato... Appropriazione indebita... Spionaggio industriale... 78

79 Esposizione annua Dalla somministrazione dei questionari precedenti si può determinare quello riassuntivo, dove in ogni riga si può indicare la media dei risultati ottenuti o il caso peggiore tra essi (per effettuare, ad esempio, delle simulazioni): SECURITY QUESTIONNAIRE INFORMATION SYSTEMS VALUES AND PROBABILITY OF HAPPENING OF A DAMAGING EVENT VALUE (V) RISK (R) Information system Company Person Saboteur Integrity Confidentiality Availability 1 (A) (B) (C) (1) (2) (3)

80 Esposizione annua (cont.) Dal significato attribuito ai parametri V e R si ha: L esposizione annua (in Euro) è ovviamente il prodotto del valore del sistema informativo (in Euro) e della probabilità annua di accadimento dell evento dannoso: Dove: Valore del sistema informativo = 10 (V) [Euro] E = esposizione annua in Euro; (R - 3) Probabilità annua = 10 E = 10 (V+R) V = valore del sistema informativo (colonne A oppure B, o C del prospetto) R = probabilità di accadimento dell evento dannoso (dal prospetto precedente, colonne 1 oppure 2, o 3). 80

81 Esposizione annua (cont.) ESPOSIZIONE ANNUA AMMONTARE DELL ESPOSIZIONE ANNUA RELATIVA AL LIVELLO DI SICUREZZA DI OGNI SISTEMA INFORMATIVO Sistema informativo Disastro ESPOSIZIONE ANNUA (LIRE) Violazione Dolo riservatezza Totale Con tale procedimento si perviene ad un prospetto riassuntivo, in cui l esposizione annua è suddivisa, per comodità di analisi, nelle categorie: disastro (colonne 1 e A del prospetto precedente), violazione di riservatezza (colonne 2 e B) e dolo (colonne 3 e C) 81

82 Esempio di calcolo A titolo di esempio si consideri la seguente analisi: La perdita di un file comporta un costo di per ricostruirlo (V = 3) e accade una volta ogni 30 giorni (R = 4): E = 10 ( ) = Euro/anno Un incendio comporta una perdita di 1 milione di Euro (V = 6) e la sua probabilità di accadimento è una volta ogni 100 anni (R = 1): E = 10 ( ) = Euro/anno La ripartenza di un elaboratore fallita per un errore di un operatore comporta un costo di Euro 19 (V = 1); se ciò accade 30 volte al giorno (R = 7), la corrispondente esposizione è: E = 10 ( ) = Euro/anno 82

83 Scelta del grado di sicurezza Il problema della scelta del grado di sicurezza consiste nell individuare, tra le possibili combinazioni di sistemi di salvaguardia, l alternativa ritenuta migliore in base al criterio dei costi e benefici. A tale scopo, può essere utilizzato il metodo che comporta la determinazione del costo totale atteso per ogni alternativa Dove: Xi(K) la quota di ammortamento annua relativa al costo dell installazione del generico sistema di sicurezza K Xg(K) il costo annuale di gestione dello stesso Y(K) l esposizione annuale dovuta al costo del rischio connesso con l adozione di tale sistema di sicurezza T(K) il suo costo totale annuo T(K) = X i (K) + X g (K) + Y(K) 83

84 Scelta del grado di sicurezza (cont.) A causa degli alti costi di realizzazione, la determinazione del miglior sistema di sicurezza sarà generalmente basata sul confronto dei costi totali dei sistemi alternativi relativi ad un periodo di circa 5 anni. La relazione precedente può quindi essere espressa come: T(K) = X i (K) + 5 Ft n n= 1 (X gn (K) + Y n (K)) dove Ftn è il fattore attuale relativo all anno n-esimo, cioè il valore attuale di una lira dell anno n-esimo, al tasso di interesse t. La relazione separa i costi di installazione da quelli ricorrenti; il fattore Ftn riporta i costi futuri al valore attuale consentendone il confronto 84

85 Scelta del grado di sicurezza (cont.) Si possono quindi prendere in esame un certo numero di sistemi di sicurezza determinandone le componenti di costo. Se si contraddistinguere con un indice K più elevato i sistemi più sofisticati, è evidente che al crescere di K aumenteranno i costi di installazione e gestione X(K), con: X(K) = X i (K) + 5 Ft n n= 1 X gn (K) mentre si ridurrà il costo del rischio Y(K) con: Y(K) = 5 Ft n n= 1 Y n (K) 85

86 Scelta del grado di sicurezza (cont.) I risultati potranno quindi essere riportati in un grafico: costi Y(K) X(K) + Y(K) a X(K) b K 86

87 Scelta del grado di sicurezza (cont.) Dall esame del caso ipotizzato nella figura, il sistema di sicurezza che comporta il minimo costo totale atteso risulterebbe quello numero 4. Tuttavia, in considerazione dell aleatorietà della determinazione del costo del rischio, è consigliabile interpretare il risultato di un analisi del tipo proposto. In particolare, se l adozione di un sistema di sicurezza più sofisticato (n. 4 anziché n. 3) comporta una riduzione del costo totale (a) modesta rispetto all incremento di costo del sistema di sicurezza (b), potrebbe risultare opportuno dare la preferenza al sistema di sicurezza di grado inferiore Il procedimento di ottimizzazione può apparire eccessivamente teorico. In effetti non sempre l analisi dei costi e dei benefici può essere applicata in modo quantitativamente rigoroso al problema di scelta del miglior livello di sicurezza nell IT. Vi sono tuttavia numerosi problemi, anche di portata più limitata, che possono essere affrontati con tale metodologia, ottenendo ottimi risultati concreti 87

88 Domande? 88

89 TCSEC Trusted Computer System Evaluation Criteria ORANGE BOOK 89

90 TCSEC Orange Book CARATTERISTICHE SISTEMI MULTIUTENTE ORIENTATO ALLA RISERVATEZZA PREVEDE UN UNICO LIVELLO CHE DEFINISCE SIA I REQUISITI DI SICUREZZA CHE DI CONFIDENZA NON PREVEDE PRODOTTI 90

91 TCSEC Orange Book 4 DIVISIONI D Protezione minima C Protezione discrezionale B Protezione mandatoria A Protezione verificata D 7 CLASSI C1, C2 B1, B2, B3 A1 91

92 92 Requirements Application impact Classificazione TCSEC Orange Book D C2 B1 B2 E3 A1 DOESN T MEET ANY OTHER LEVEL; D I S C R E T I O N A R Y C O N T R O L L E D L A B E L L E D S T R U C T U R E D S E C U R. D O M A I N S V E R I F I E D D E S I G N HIGH LOW C1

93 TCSEC - Orange Book Aspetti considerati Politica di sicurezza Accountability Confidenza (assurance) Qualità documentazione 93

94 Criteri TCSEC Orientati alla riservatezza (approccio militare) 7 classi: D, C1, C2, B1, B2, B3, A1 Appartenenza ad una classe sulla base di: politica di sicurezza audit (accountability) fiducia (assurance) documentazione 94

95 Criteri TCSEC (cont.) Classe (D) Protezione minima Classe (C) Protezione discrezionale C1 - restrizione d accesso C2 - controllo accessi Classe (B) Protezione mandatoria B1 - protezione con etichette B2 - protezione strutturata B3 - domini di sicurezza Classe (A) Protezione certificata A1 - Progetto certificato 95

96 Determinazione delle Evaluation Class Determine Mode of Operation Determine Minimum User Clearance Determine Maximum Data Sensitivity Rating Determine Risk Index 96 Determine Minimum Security Evaluation Class

97 Modes of Operation Dedicated System High Multilevel Compartmented Partitioned Clearance Access Approval Need-to-know 97 = All users = Some users

98 Minimum User Clearance MINIMUM USER CLEARANCE Uncleared (U) Not Cleared but Authorized Access to Sensitive Unclassified (N) Confidential (C) Secret (S) Top Secret (TS)/Current Background Investigation (BI) Top Secret (TS)/Current Special Background Investigation (SBI) One Category (1C) Multiple Categories (MC) RATING (Rmin)

99 Maximum Data Sensitivity Maximum Data Sensitivity Ratings Without Categories RATING (R max ) Maximum Data Sensitivity With Categories RATING (R max ) Unclassified 0 Not Applicable Not Classified but Sensitive 1 N With One or More Categories 2 Confidential 2 C With One or More Categories 3 Secret 3 S With One or More Categories With No More Than One Category Containing Secret Data 4 S With Two or More Categories Containing Secret Data 5 Top Secret 5 TS With One or More Categories With No More Than One Category Containing Secret or Top Secret Data 6 TS With Two or More Categories Containing Secret or TS Data 7 99

100 Calcolo del Risk Index If Rmin < Rmax Risk Index = Rmax - Rmin If Rmin > Rmax Risk Index = 1, if there are categories on the system to which some users are not authorized access 0, otherwise R max = system s maximum data sensitivity R min = system s minimum user clearance 100

101 Minimum Security Evaluation Class RISK INDEX 0 Mode of Operation Dedicated Minimum Criteria Class for Open Environments No Prescribed Min Minimum Criteria Class for Closed Environments No Prescribed Min 0 System High C2 C2 1 Compartmented, Multilevel B1 B1 2 Compartmented, Multilevel B2 B Multilevel Multilevel Multilevel Multilevel Multilevel B3 A1 * * * B2 B3 A1 * * 101

102 Criteri CTCPEC (cont.) Il livello di valutazione conseguito da un prodotto esprime la fiducia complessiva che può essere riposta nel prodotto stesso E riferito complessivamente all insieme di tutte le funzionalità di sicurezza offerte e descritte per mezzo dei criteri funzionali Il risultato della valutazione è una lista i cui elementi sono coppe service-level (es.: CD-2, CR-1, ID-1, IS-1, IT-1, WA-1, WI-1, T-2 è la valutazione equivalente di un sistema TCSEC C2) Approccio molto sistematico Rigido perché considera un ben preciso insieme di funzionalità 102

103 Criteri CC (Common Criteria) Fanno propri alcuni concetti alla base dei criteri preesistenti Gli aspetti di assurance vengono separati da quelli funzionali come in ITSEC I Common Criteria contengono essenzialmente i principi tecnici fondamentali di validità generale, chiari e flessibili per descrivere e valutare: Requisiti funzionali Requisiti di affidabilità 103

104 Criteri CC Requisiti funzionali Tali requisiti sono descritti in modo organico e strutturato per due tipologie di situazioni: Protection Profile (PP) Si riferiscono a famiglie o categorie di prodotti e ambienti generici senza riferimenti a specifici prodotti o sistemi. Security Target (ST) Si riferisce ad uno specifico prodotto o sistema di cui si conoscono le specifiche di sicurezza. Tutti i requisiti di sicurezza (specifiche, descrizione, collegamenti, interdipendenze, ecc.) che si possono comporre nei PP e ST sono contenuti in un catalogo dei requisiti funzionali della sicurezza 104

105 Criteri CC Struttura Protection Profile/Security Target Introduction TOE description Security environment Assumptions Threats Organizational security Policies Security objectives Security requirements Functional req ts Assurance req ts TOE summary specification Rationale 105

106 Criteri CC Classi funzionali per i requisiti di sicurezza 106

107 Criteri CC (cont.) ACM Classe Nome Configuration Management L assurance viene trattata definendo 10 classi dei requisiti che concorrono a determinare l affidabilità della sicurezza ADO ADV AGD ALC ATE AVA Delivery & Operation Development Guidance Documents Life Circle Support Tests Vulnerability Assessment APE ASE AMA Protection Profile Evaluation Security Target Evaluation M aintenance of Assurance 107

108 Criteri CC (cont.) I livelli di valutazione dei CC sono 7 e vengono definiti con la sigla EAL (Evaluation Assurance Levels) (AL-0,..., AL-7) EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 Livello functionally tested structurally tested methodically tested methodically tested and checked semiformally designed and tested semiformally verified designed and tested formally verified designed and tested 108