Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network

Transcript

1 Penetration test vs. Security Assessment Capire le differenze tra le metodologie, gli obiettivi e i risultati (per non parlare di quelle tra i consulenti) Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network 05/10/ Secure Network S.r.l.

2 Secure Network: chi siamo Società giovane, nata nel 2004 Raccoglie l esperienza indipendente di consulenti del settore Consulenza, Formazione, Ricerca focalizzata sulla sicurezza Collaborazione con il mondo dell università e della ricerca

3 I valori di Secure Network Persone: giovani cresciuti nel settore con elevate competenze accademiche e professionali Innovazione: siamo inseriti nelle principali comunità di ricerca, in particolare a livello universitario, nel campo della sicurezza informatica Indipendenza: non siamo legati a nessun prodotto in particolare, e quindi garantiamo di elaborare la soluzione migliore in base alle esigenze del cliente Focalizzazione: offriamo una gamma completa di servizi, ma esclusivamente nell ambito della sicurezza informatica Personalizzazione: i percorsi di Secure Network sono tagliati a misura delle esigenze del cliente

4 (alcuni) nostri 2006 Secure Network S.r.l.

5 Buzzword e valore aziendale Il settore ICT è stato a lungo (e spesso lo è ancora) un settore di buzzword Venditori di fumo Esperti improvvisati Tecnologie pseudomiracolose Per ottenere valore dalla consulenza sulla sicurezza ICT dobbiamo comprendere il significato di alcuni termini chiave

6 Facciamo un Penetration Test! Ormai il 90% delle società di informatica offre la sicurezza nel suo portafoglio Di queste, moltissime offrono il servizio di penetration test o vulnerability scan o altre definizioni fantasiose Il problema è: cosa si intende con ogni termine? Vi fidereste di chi non sa nemmeno definire correttamente ciò che offre?

7 Definizioni chiave Vulnerability scan Vulnerability assessment Risk assessment Penetration test Security audit Security assessment

8 Vulnerability scan Una verifica tipicamente automatizzata delle vulnerabilità tecnologiche di uno o più sistemi Utilizza uno o più software di scansione come Nessus (~ open source), Retina o ISS Scanner (commerciali) Esempio di informazione: Il server all'indirizzo ospita un server web di marca X, versione 3.5, che ha una vulnerabilità di questo tipo...

9 Vulnerability assessment Una verifica automatizzata e umana delle vulnerabilità tecnologiche e infrastrutturali di una rete Verifica di tipo glass box Oltre ad un vulnerability scan l'analista verifica a mano la correttezza dei risultati, li prioritizza e li complementa con una analisi dell'architettura Il test è più completo del precedente e fornisce più valore

10 Valore e trappole dei VA Una verifica automatizzata delle vulnerabilità non porta valore (la potete fare in casa...) Viceversa, un VA porta valore, se l'assesser è competente e ha esperienza Punto di partenza per la valutazione della sicurezza puramente tecnologica Tuttavia un VA Non considera componenti fisiche, umane, procedurali È statico: soffre la degradazione costante

11 Degradazione Molti test (ed in primis un VA) soffrono di un problema di degradazione Vengono aggiunti nuovi servizi, cambiate installazioni, aggiunte e rimosse patch Vengono identificate nuove vulnerabilità Per essere utile beyond the now timeframe (Pete Herzog) qualsiasi test deve includere elementi architetturali e progettuali

12 Risk assessment Metodologie di analisi del rischio si possono applicare anche all'infrastruttura informativa Altro strumento utile è la BIA, Business Impact Analysis Servono per quantificare il rischio e dimostrare, dati alla mano, l'importanza per l'impresa dell'investimento in sicurezza In generale ben poche società di consulenza sono in grado di operare delle vere valutazioni di rischio

13 Penetration test Alcuni vendono come pen-test una bella passata di Nessus da remoto! Fare un penetration test in realtà significa: Applicare il metodo di ragionamento che un aggressore applicherebbe Effettuare un test black box Focalizzarsi sull'accesso ai dati, non sull'identificazione di vulnerabilità Utilizzare anche metodologie e strumenti non convenzionali

14 Come distinguere un buon PT? Uso di strumenti ad hoc Analisi delle applicazioni custom dell'impresa Uso (concordato col cliente) di tecniche di social engineering, phishing, etc. Exploiting effettivo delle vulnerabilità, e dimostrazione dei risultati (non si potrebbe ma abbiamo fatto ) Reportistica non automatizzata e presentazione dei risultati in persona con lo staff del cliente

15 Valore dei penetration test Un penetration test non è uno strumento di progetto, ma di verifica Chi vi propone un pen-test come primo intervento, in genere, non vi aiuta Un PT porta valore solo se il team è competente e ha esperienza (controllate le referenze!) Da ricordare che un PT: Non fornisce garanzie positive, se non sono entrati non vuol dire che siamo sicuri Soffre anch'esso della degradazione

16 Security assessment Un test omnicomprensivo della sicurezza aziendale Logica, Informatica, Infrastrutturale, Fisica, Sociale... Metodologia di riferimento: OSSTMM ( Deve comprendere elementi di stato e di processo per evitare la degradazione

17 Security Auditing L'auditing della sicurezza è un processo aziendale, non una consulenza spot Significa identificare il livello di sicurezza aziendale e paragonarlo alle policy o alle best practice scelte come metro È una procedura iterativa che deve essere implementata nel SGSI aziendale (cfr. ISO 17799:2005)

18 Quindi... che faccio? Un security assessment o almeno un VA Se la tua azienda ha avuto una crescita tumultuosa, non ha mai prestato attenzione alla security, o se non è mai stato fatto nulla Un penetration test ben fatto Se hai già applicato un sistema di sicurezza e ne vuoi verificare l'efficacia Un risk assessment o BIA Se ti serve uno strumento manageriale

19 E cosa, invece, non devo fare? Fidarmi di chi cerca di confondere le idee e spacciare un VA per un PT o un ST Fidarmi di aziende senza referenze solide nello specifico settore security Fidarmi esclusivamente della grande società di consulenza Fidarmi di chi non fornisce appropriate garanzie legali, etiche e professionali Laurea, certificazioni, partecipazione a eventi e convegni internazionali

20 Conclusioni Non è più tempo di perdersi in chiacchiere La sicurezza è un campo ben definito Non è più tempo di praticoni e mestieranti Esistono metodi, tecniche e professionalità Questo campo cambia di giorno in giorno Fare consulenza significa anche fare ricerca Il pen-tester, se è bravo, arriverà a vedere dati molto riservati Scegliete un partner di cui potete fidarvi

21 Grazie per l'attenzione Domande? Stefano Zanero - s.zanero@securenetwork.it SecureNetwork S.r.l.: 05/10/ Secure Network S.r.l.