L analisi del rischio: il modello statunitense

Transcript

1 L analisi del rischio: il modello statunitense La sicurezza nelle agenzie federali USA La gestione della sicurezza in una Nazione deve affrontare ulteriori problemi rispetto a quella tipica di una Azienda. Infatti è necessario avere un uniformità di obiettivi un uniformità di progettazione e di soluzioni tecniche ed infine risulta di fondamentale importanza l ottimizzazione delle risorse umane. Negli USA in seguito agli eventi dell 11 settembre 2001, è stata rinforzata la strategia di messa in sicurezza delle Agenzie Federali, anche mediante il progetto FISMA (Federal Information Security Management Act. Il FISMA Implementation Project è stato istituito nel gennaio 2003 al fine di produrre gli standard di sicurezza e le linee guida richieste dal Congresso degli Stati Uniti d America. La vision del FISMA Il raggiungimento degli obiettivi stabiliti dal congresso avviene attraverso i seguenti elementi: 1) Standard per la classificazione delle informazioni; 2) Standard per l individuazione di requisiti minimi di sicurezza per le informazioni e i sistemi informativi; 3) Linee guida per la selezione degli appropriati controlli che devono essere attuati nei sistemi informativi; 4) Linee guida per la verifica dell efficacia dei controlli di sicurezza realizzati; 5) Linee guida per la certificazione dei sistemi informativi. Gli obiettivi principali sono cosi elencati: a) realizzare programmi di sicurezza che siano basati sull analisi e la gestione dei rischi e siano cost-effective ;b) stabilire i livelli di sicurezza che devono essere assicurati dalle agenzie federali e dai loro outsourcer; c) uniformare e rendere più convenienti dal punto di vista economico l applicazione dei controlli di sicurezza; d) stabilire modalità di controllo delle misure di sicurezza realizzate che siano efficaci, uniformi e comparabili; e) fornire dei punti di riferimento stabili e univoci per tutti i dirigenti e il personale delle agenzie federali; g) aumentare il livello di sicurezza delle infrastrutture critiche nazionali. I punti fondamentali nella gestione del rischio sono i seguenti: 1. Classificare il sistema informativo; 2. Selezionare e individuare i controlli minimi di sicurezza; 3. Aggiungere controlli sulla base di una stima del rischio; 4. Realizzare i controlli di sicurezza; 5. Documentare i controlli di sicurezza; 6. Stimare l efficacia dei controlli; 7. Autorizzare le operazioni sui sistemi informativi (need to know); 8. Verificare in modo continuativo nel tempo. Tutto il ciclo completo del FISMA viene meglio raffigurato nel grafico successivo:

2 Per ciò che concerne il FISMA esiste una notevole mole di informazioni tra cui è di fondamentale importanza citare i seguenti documenti: a)fips 199: Standards for Security Categorization of Federal Information and Information Systems SP : Guide for Mapping Types of Information and Information Systems to Security Categories; b) FIPS 200: Minimum Security Requirements for Federal Information and Information Systems SP : Recommended Security Controls for Federal Information Systems; c) SP : Guide for Developing Security Plans for Federal Information Systems; d) SP : Security Configuration Checklists Program for IT Products; e) SP A: Guide for Assessing the Security Controls in Federal Information Systems; f) SP : Guide for the Security Certification and Accreditation of Federal Information Systems. Inoltre il NIST (organo massimo di certificazione sulla sicurezza americana) ha sviluppato moltissime altre linee guida divise per tecnologia (VPN, crittografia, Wireless, etc), per prodotti specifici (Oracle, Sistemi operativi, etc.), in forma di checklist. Nelle due tabelle successive viene fatta una classificazione delle categorie di sicurezza per mission e per contenuti.

3

4 Le metriche L attuazione del FISMA è monitorata a livello federale, infatti il monitoraggio è effettuato sulla base di specifici criteri stabiliti nella SP Da un punto di vista documentale è necessario analizzare le relazioni con gli standard internazionali, tra cui ISO 27001/17799 e Common Criteria,. La metodologia USA presenta degli aspetti positivi come la classificazione con obiettivi univoci per tutti, (ovverossia delle linee guida tecniche molto dettagliate) e degli aspetti negativi come la farraginosità, (infatti la sicurezza non è solo formalità). Tale modello statunitense difficilmente trova applicazione in Italia. Passiamo ora ad esaminare la gestione degli asset. Un asset è un bene da proteggere che viene catalogato per valore (economico, non economico) come ad esempio l integrità, la confidenzialità, la disponibilità (da 1 a 10). L asset ha anche una sua collocazione geografica ed è di fondamentale importanza nei processi aziendali. Ci permette di analizzare anche il proprietario, la marca/produttore, le capacità/prestazioni, la data (ad esempio, la data di acquisizione). Gli asset nell IT Gli asset in IT presentano determinate fasi che sono a) l identificazione, b) l acquisizione/generazione, c) la gestione durante il ciclo di vita, d) la gestione della configurazione, e) la gestione dei cambiamenti, f) la distruzione. Quando parliamo di gestione degli asset e ci riferiamo all aspetto umano intendiamo con ciò analizzare il sistema di gestione delle risorse umane e di skill inventory mentre se ci riferiamo all aspetto documentale intendiamo soffermarci sulla gestione documentale e knowledge management. Un software di asset management dovrebbe dare la possibilità di definire campi informativi personalizzati (numero di contratto, data di acquisto, etc), consentire la generazione automatica di

5 un numero progressivo identificativo unico, consentire la visualizzazioni del database personalizzabili. Inoltre consente l effettuazione delle seguenti attività cosi elencate: 1) gestione dello storico; 2) stato attuale dell asset; 3) classificazione dell asset in base a criteri definiti dall utente; 4) associare documenti (manuali, etc); 5) visualizzare eventuali associazioni tra asset; 6) identificazione responsabili/utenti/proprietari; 7) effettuare ricerche libere; 8) reportistica personalizzabile; 9) gestire vari ruoli e privilegi sull asset. Inoltre l asset managemente consente l integrazione con applicativi di office automation, la gestione di help desk, il Billing, la gestione finanziaria, il monitoraggio, l autodiscovery degli asset nella rete LAN. Esistono dei softaware applicativi per la gestione degli asset tra cui ricordiamo IRM (opensource, tracciamento degli asset, trouble ticketing), Hyperic HQ (opensource), Remedy Asset Management HP openview AssetCenter, Assyst di Axios Systems (integrata con ITIL) Change management La Gestione del cambiamento (ch ange management) si prefigge di realizzare cambiamenti nel sistema minimizzando l impatto negativo (interruzioni, atteggiamento negativo del personale, etc), di analizzarne il processo tramite l RFC (Request for Change mediante degli studi di fattibilità) di effettuare un approvazione formale ed una pianificazione dettagliata ed infine di effettuare una fase di monitoraggio. Il sistema (ovverosia il software) di gestione del cambiamento dovrebbe essere integrato con il sistema di asset management, gestire le priorità delle RFC, gestire le varie tipologie di utenti, gestione dei workflow di approvazione, allegare alle RFC tutta la documentazione pertinente, ed infine gestire lo storico dei cambiamenti. Lo scopo del configuration management è quello di identificare, controllare e tracciare tutte le versioni di hw, sw, documentazione, processi, procedure. Inoltre consente solo agli autorizzati di introdurre modifiche (per es, alla documentazione). La Configuration management presenta delle fasi cosi enunciate: a) Stabilire la baseline della configurazione (composizione, interrelazioni); b) Istituire un database (Configuration Management Database CMD); c) Gestire le configurazioni; d) Cancellare le configurazioni. Applicativi Esistono dei softaware applicativi per la gestione della Configuration Management tra cui ricordiamo Cmdbuild (opensource, in italiano, ispirato a ITIL), Netdirector (opensource), Controltier opensource, Microsoft SMS (System Management Server) e MOM (Microsoft Operation Manager) I processi aziendali L analisi dei processi aziendali consente di individuare gli asset. I processi possono essere suddivisi in processi strategici, processi competitivi, che costituiscono il nucleo competitivo dell ente, processi di innovazione e trasformazione, che, nel futuro, consentiranno maggiore competitività, processi operativi che realizzano i prodotti/servizi (logistica, marketing, vendite, etc), processi di supporto, che aumentano l efficacia e l efficienza (amministrazione, gestione del personale, servizi IT). Per ogni processo occorre conoscere lo scopo del processo, il responsabile, l inizio e la fine del processo (temporale e/o funzionale), il cliente e il fornitore, gli input e gli output, i vincoli di legge, normativi o regolamentari, i controlli da effettuare, le infrastrutture necessarie per lo svolgimento, le risorse umane coinvolte ed infine gli eventuali sottoprocessi. Analisi dei processi

6 E piuttosto diffuso uno standard (v.1.0 del 2004, v. 2.0 in fase di revisione) il cosiddetto BPMN ( Business Process Modeling Notation) sviluppato da Business Process Management Initiative (BPMI) BPMN Business Process Modeling Notation (BPMN) The BPMN will provide businesses with the capability of defining and understanding their internal and external business procedures through a Business Process Diagram, which will give organizations the ability to communicate these procedures in a standard manner. BPMN will also be supported with an internal model that will enable the generation of executable BPEL4WS (v1.1). Quando si parla di BPMN si analizzano i cosiddetti ruoli cosi elencati: 1) Business analyst: costruisce logicamente i processi; 2) Technical Developer: realizza la tecnologia che realizza i processi; 3) Business People: monitorano i processi. Gli elementi fondamentali del BPMN sono raffigurati nei seguenti grafici:

7

8

9 Attualmente ci sono 43 implementazioni di BPMN tra cui possiamo ricordare un tool applicativo chiamato Intalio ( opensource e freeware. Per utilizzare al meglio BPMN normalmente si usa una matrice (Design Structure Matrix) ( che ha tutti i processi come righe e come colonne (si veda la seguente tabella). Processi critici Un processo è critico quando il suo output è usato da più processi, il suo risultato ha valore per l azienda, ha bisogno di molti input ed infine è composto da molti sottoprocessi. Causa Effetto

10 Molta importanza nella gestione dei processi aziendali assumono i cosiddetti diagrammi di causa effetto tra cui non possiamo non menzionare il diagramma di Ishikawa, o a lisca di pesce. Nei diagrammi di causa effetto è possibile studiare un problema determinandone le cause, analizzare le motivazioni per il malfunzionamento di un processo, esaminare le relazione tra i dati e tra i processi. Altra metodologia da ricordare è quella delle 4 M (Metodi, Macchine, Materiali, Manpower). Passiamo infine ad esaminare le minacce che si possono verificare all interno dell analisi del rischio. Una minaccia sfrutta una vulnerabilità per arrecare danno agli asset. L analisi delle minacce può essere condotto mediante il modello degli attack tree (alberi di attacco). E un modello formale introdotto da Schneier, CIO della Counterpane Internet Security, nel Un contributo importante è stato dato da Edward Amoroso (Fundamentals of Computer Security) nel 1994 Gli Attack trees sono diagrammi multilivello costituiti da una radice, da dei rami, dalle foglie. I nodi figli sono condizioni che devono essere soddisfatte per rendere vera la foglia madre. Quando la radice è vera l attacco è completo.

11 La notazione dell attack tree può essere anche quello dei normali schemi logici (AND, OR, NOT, XOR, i cosiddetti operatori booleani). Se si aggiungono informazioni sui costi (monetari, di competenza, etc) o sulle probabilità di evento, si può stabilire anche l attacco a minor costo o quello più probabile. Attack tree: applicativi

12 Analisi attack tree Dall analisi attack tree si può (per esempio) determinare il minimo insieme di eventi che realizza una foglia, determinare la probabilità di evento per una foglia, determinare gli indicatori per ogni insieme di eventi, determinare i valori di rischio per ogni foglia, effettuare una reportistica varia. Le vulnerabilità Le vulnerabilità possono essere di tre tipi e cioè amministrative (es., policy e procedure di sicurezza), fisiche (es., persone, luoghi, apparati fisici) e tecniche (es., configurazioni, backdoor, gestione password). I nuovi trend degli attacchi sfruttano sempre più porte tcp/ip lecite. Possono essere fermati solo da firewall e da contromisure di tipo applicativo. Sfruttano il social engineering (complicità involontaria di insider), tendono al furto d identità e/o alla creazione di zombie (bot network) utilizzando piattaforme nuove (umts, bluetooth, ), utilizzano raffinate tecniche per nascondersi (rootkit,..). I pericoli principali sono lo Spam, il Phishing e l esecuzione di programmi illeciti lato client. Per misurare le vulnerabilità di un sistema informatico si utilizza il metodo CVSS (Common vulnerabillity Scoring System). Ora però e necessario rispondere alla seguente domanda: Quale sforzo deve compiere un attaccante per sfruttare una vulnerabilità? La risposta è la seguente: 1) tempo, 2) equipaggiamento hw e sw, 3) capacità (conoscenze); 4) conoscenza del sistema attaccato, 5) accesso al sistema. Le vulnerabilità: come si cercano? Il ciclo di vita di un vulnerabilità presenta le seguenti fasi: a) la vulnerabilità viene scoperta (da chi?); b) viene rilasciato il primo exploit; c) la vulnerabilità viene conosciuta da tutti (disclosure); d) sviluppo delle patch tempo.

13 Gli attacchi possono essere alle dipendenze da risorse esterne del software, all interfaccia utente, al progetto del software (ad es.: algoritmi insicuri), all implementazione del progetto (ad es.: configurazione). Il modo migliore per cercare vulnerabilità è quello di installare il software in una sandbox (tipo Holodeck di Star Trek) e verificare tutte le interazioni con l esterno. Security Information Providers La disclosure viene effettuata dai Security Information Providers (non solo ), dal CERT, dal Secunia, dal FrSirt, da ISS X-Force Securityfocus, da Mitre, da OSVDB. Tipologie di disclosure IAV-A: Information Assurance Vulnerabilità Alerts. Sono vulnerabilità ad alto rischio che devono essere risolte entro 30 giorni. IAV-B: IAV Bullettins. Sono vulnerabilità a rischio medio. IAV-T: IAV Technical Advisory. Sono vulnerabilità a rischio basso. Statistiche Utilizzando programmi specifici che si basano su basi di dati che devono essere aggiornate. Si utilizzano alcuni tool come Nessus, Nikto eeye Retina, Saint. Spesso questi programmi fanno anche penetration testing Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare