Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità"

Marino Mari
8 anni fa
Visualizzazioni

1 L Eccellenza nei servizi e nelle soluzioni IT integrate. Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità 2012 MARZO Omnitech s.r.l. Via Fiume Giallo, Roma Via dei Bossi, Milano Tel.: Fax.:

2 L Eccellenza nei servizi e nelle soluzioni IT integrate. Riccardo Morsicani Security Analyst - Omnitech 2012 MARZO Omnitech s.r.l. Via Fiume Giallo, Roma Via dei Bossi, Milano Tel.: Fax.:

3 Agenda Verifiche di sicurezza - scenari tipici 2 esempi reali di attacco Come ridurre l esposizione in modo efficiente?

4 Framework sicurezza Processo(sicurezza( Procedure( Policy( Verifiche( sicurezza( Rilascio( esercizio( Controllo( u6lizzo((log)(

5 Framework sicurezza Processo(sicurezza( Procedure( Policy( Verifiche( sicurezza( Rilascio( esercizio( Controllo( u6lizzo((log)( Vulnerability Assessment Plan & Remediation IT SYSTEM Penetration Test Analysis & Report

6 Comune scenario aziendale 01 - Internet 02 - Rete interna 04 - Outsourcing 03 - Sede Remota

7 Overview scenario OS int APP NET ext DB vpn

8 Esempio attacco da esterno (I) SQL Injection password password

9 Esempio attacco da esterno (II)

10 Esempio attacco da esterno (II)

11 Esempio attacco da esterno (II)

12 Esempio attacco da esterno (II)

13 Overview attacco esterno OS int APP NET ext Sql injection DB credenziali/token sessione in chiaro

14 Overview attacco esterno shell file system accesso privilegiato OS int APP NET ext Sql injection DB credenziali/token sessione in chiaro

15 Overview attacco esterno shell file system accesso privilegiato OS int APP NET ext Sql injection DB credenziali/token sessione in chiaro

16 Overview attacco interno OS int APP NET ext DB vpn

17 Esempio attacco da interno - OS(I) Vulnerability Scanner

18 Esempio attacco da interno - OS(II)

19 Esempio attacco da interno - OS(III)

20 Esempio attacco da interno - OS(IV)

21 Esempio attacco da interno - OS(IV)

22 Esempio attacco da interno - OS(IV)

23 Esempio attacco da interno - OS(IV)

24 Overview attacco interno OS int APP NET ext DB vpn

25 Overview attacco interno Software non aggiornato Credenziali deboli/default OS int APP NET ext DB vpn

26 Overview attacco interno Software non aggiornato Credenziali deboli/default OS int APP NET ext DB vpn

27 L Eccellenza nei servizi e nelle soluzioni IT integrate. Approccio trasverale alla Soluzione Omnitech s.r.l. Via Fiume Giallo, Roma Via dei Bossi, Milano Tel.: Fax.:

28 Stato della sicurezza in base all ambito Applicativi Sistemi Operativi Credenziali Database Esseri Umani Rete Policy Sicurezza Fisica Processi Numero rilievi (vulnerabilità) N/A Alto Medio Basso

29 Database PROBLEMA 1).Credenziali)banali)o)di)default) 2).Mancanza)di)segregazione)livello)network 3.)Presenza)di)da=)sensibili)in)chiaro)su)database)(es.)credenziali)utente) 3).Vulnerabilità)applica=ve)che)permeDono)di)accedere)ai)da=)del)database RISCHIO Compromissione)totale)della)sicurezza)delle)basi)da= RACCOMANDAZIONI IMPATTO IT EFFICACIA Redigere)una)password)policy) BASSO MEDIA Implementare)VLAN)/)ACL)lato)network MEDIO MEDIA RiscriDura)porzioni)codice)applica=vo ALTO ELEVATA Adozione)soluzioni)di)sicurezza)database)(es.)DB)security)gateway) BASSO ELEVATA

30 Sistemi operativi PROBLEMA 1.)Credenziali)banali)o)di)default 2.)Sistemi)e)applicazioni)non)aggiorna=)(patch)level)molto)basso) RISCHIO Compromissione)totale)dei)sistemi RACCOMANDAZIONI IMPATTO IT EFFICACIA Redigere)una)password)policy) BASSO MEDIA Aggiornare)Ac=ve)Directory ALTO MEDIA Auten=cazione)centralizzata MEDIO ELEVATA Innalzare)il)patch)level ALTO ELEVATA Dotarsi)di)un)sistema)di)Intrusion)Detec=on/Preven=on)System BASSO ELEVATA

31 Applicativi PROBLEMA 1).Completa)assenza)di)sistemi)di)cifratura)nei)flussi)di)comunicazione 2).Presena)di)da=)sensibili)in)chiaro)su)database)(es.)credenziali)utente) 3).Vulnerabilità)applica=ve)che)permeDono)di)accedere)ai)da=)del)database 4).Credenziali)banali)o)di)default 5).Applicazioni)non)aggiornate)(patch)level)molto)basso) RISCHIO Compromissione)totale)della)sicurezza)dell applicaione)e)delle)basi)da=)collegate RACCOMANDAZIONI IMPATTO IT EFFICACIA Innalzare)il)patch)level ALTO ELEVATA RiscriDura)porzioni)codice)applica=vo ALTO ELEVATA Redazione)Password)Policy BASSO MEDIO Adozione)protocolli)sicuri)(hDps) ALTO ELEVATA Adozione)soluzioni)di)sicurezza)database)(es.)DB)security)gateway) BASSO ELEVATA Esecuzione)collaudo)di)sicurezza)prima)del)rilascio)in)esercizio MEDIA ELEVATA

32 Network PROBLEMA 1).Mancanza)di)ACL)per)segregazione)VLAN 2).Mancanza)di)sistemi)di)sicurezza)adegua=)(IDP/IPS/VA) RISCHIO Esposizione)di)tuT)i)sistemi)ad)accessi)direT)e/o)a)vulnerabilità)note RACCOMANDAZIONI IMPATTO IT EFFICACIA Implementare)VLAN)/)ACL)lato)network MEDIO MEDIA Dotarsi)di)un)sistema)di)Intrusion)Detec=on/Preven=on)System BASSO ELEVATA

33 Credenziali PROBLEMA 1).Credenziali)banali)o)di)default)per)la)quasi)totalità)degli)ambien=) analizza= 2).Credenziali)banali)o)di)default)anche)per)utenze)amministra=ve)(es.) Domain)Admin,)root,)SAP*,)LdapAdmin)ecc) RISCHIO Compromissione)totale)di)sistemi,)applicazioni)e)basi)da= RACCOMANDAZIONI IMPATTO IT EFFICACIA Redigere)una)password)policy) BASSO MEDIA Ges=one)Credenziali)centralizzata ALTO MEDIA Implementazione)sistemi)single)signYon ALTO ELEVATA Implementazione)sistemi)Strong)Authen=ca=on)(almeno)per)admin) MEDIO ELEVATA Aggiornare)Ac=ve)Directory ALTO MEDIA

34 Comportamento umano PROBLEMA 1).Credenziali)in)chiaro)in)file)script,)procedure,)history)comandi)ecc. 2).Bassa)consapevolezza)sui)rischi)di)sicurezza RISCHIO Abbassamento)del)livello)globale)di)sicurezza)degli)ambien= RACCOMANDAZIONI IMPATTO IT EFFICACIA Security)Policy BASSO MEDIA Raccomandazioni)dal)Top)Management BASSO ELEVATA Formazione)di)sicurezza BASSO ELEVATA

35 Esempio mitigazione con DB gateway shell file system accesso privilegiato OS int APP NET ext Sql injection DB credenziali/token sessione in chiaro

36 Esempio mitigazione con DB gateway shell file system accesso privilegiato OS int APP NET ext Sql injection DB credenziali/token sessione in chiaro

37 Esempio mitigazione con DB gateway shell file system accesso privilegiato OS int APP NET ext Sql injection DB

38 Esempio mitigazione con DB gateway OS int APP NET ext Sql injection DB

39 Esempio mitigazione con DB gateway OS int APP NET ext Sql injection DB

40 Esempio mitigazione con IDS/IPS Software non aggiornato Credenziali deboli/default OS int APP NET ext DB vpn

41 Esempio mitigazione con IDS/IPS Software non aggiornato Credenziali deboli/default OS int APP NET ext DB vpn

42 Esempio mitigazione con IDS/IPS Credenziali deboli/default OS int APP NET ext DB vpn

43 Esempio mitigazione con IDS/IPS OS int APP NET ext DB vpn

44 Conclusioni RACCOMANDAZIONI Applicabilità Efficacia Raccomandazioni)dal)Top)Management ALL ELEVATA Procedure)e)Policy ALL MEDIA Sistema)di)Intrusion)Detec=on/Preven=on)System OS,)Network ELEVATA Implementare)VLAN)/)ACL)lato)network OS,)DB,)APP MEDIA Adozione)soluzioni)di)sicurezza)database)(es.)DB)security)gateway) APP,)DB ELEVATA Implementazione)sistemi)single)signYon)/)Strong)Authen=ca=on APP,)OS ELEVATA Formazione)di)sicurezza ALL ELEVATA Security)Assessment)Periodico ALL ELEVATA Incremento sensibile del livello di sicurezza

45 L Eccellenza nei servizi e nelle soluzioni IT integrate. Grazie per l attenzione. riccardo.morsicani@omnitechweb.it 2012 MARZO Omnitech s.r.l. Via Fiume Giallo, Roma Via dei Bossi, Milano Tel.: Fax.:

Documenti analoghi

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma IT Risk-Assessment Assessment: il ruolo dell Auditor nel processo. AIIA - Consigliere del Chapter di Roma Agenda Overview sul Risk-Management Il processo di Risk-Assessment Internal Auditor e Risk-Management