8. Sicurezza dei sistemi informa1vi

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "8. Sicurezza dei sistemi informa1vi"

Transcript

1 Corso di Laurea in Matema1ca Dipar9mento di Matema9ca e Fisica Sistemi per l elaborazione delle informazioni 8. Sicurezza dei sistemi informa1vi Dispense del corso IN530 prof. Marco Liverani Sicurezza dei sistemi informa1vi In ambito IT garan9re la sicurezza di un sistema informa9vo significa garan9rne: riservatezza delle informazioni (confiden'ality): solo chi è autorizzato deve poter accedere all informazione; integrità delle informazioni (integrity): le informazioni non devono essere danneggiate o modificate per caso o con intenzioni malevole; disponibilità delle informazioni (availability): le informazioni devono essere sempre disponibili a chi è autorizzato ad u9lizzarle Occuparsi di sicurezza informa9ca significa quindi predisporre poli1che, processi, controlli e contromisure informa1che in grado di contrastare le minacce che rischiano di compromewere la riservatezza, l integrità e la disponibilità delle informazioni Nell ambito della sicurezza informa9ca l oggewo più prezioso da proteggere è l informazione, il dato, o il servizio di business erogato con il supporto del sistema informa9co (es.: il valore di un computer non è dato solo dal suo prezzo di acquisto, ma soprawuwo dall importanza del dato che ges9sce e del servizio che eroga) M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 1

2 Sicurezza dei sistemi informa1vi Perché si adowano delle misure di sicurezza? Da cosa ci si vuole proteggere? Le minacce per un sistema informa1vo sono di diversi 9pi: 1. catastrofi naturali e inciden1 imprevis9 2. aggressione da parte di hacker, ossia da parte di sogge\ esterni intenziona9 a compromewere la sicurezza del sistema informa9vo: per danneggiare l azienda sowraendo informazioni, compromewendo le informazioni o rendendole indisponibili e in questo modo impedendo la correwa erogazione di un servizio di business o la realizzazione di un prodowo 3. socware malevolo, come virus o malware, in grado di danneggiare i da9 o i sistemi informa9ci, anche solo deteriorandone le performance 4. afvità scorrege e illecite da parte di personale interno all organizzazione aziendale, dipenden9 e collaboratori dell azienda, talvolta effewuate inconsapevolmente Tali minacce sono in grado di provocare un danno al business aziendale, awraverso: la compromissione dei sistemi informa1ci che consentono all azienda di erogare un servizio ai propri clien9; la fuga di no1zie riservate, che potrebbero danneggiare direwamente l azienda (es.: da9 commerciali o breve\) o i suoi clien9 (es.: numeri di carte di credito o informazioni sanitarie) la modifica o la cancellazione di da1 rilevan1 (es.: spostamento di valori economici sui con9 bancari o su con9 assicura9vi o previdenziali) Domini tema1ci della Sicurezza IT (ISC) 2 Interna'onal Informa'on Systems Security Cer'fica'on Consor'um, ha definito 8 domini tema9ci della sicurezza IT: questa suddivisione rappresenta una buona classificazione degli ambi9 di intervento della sicurezza informa9ca (CISSP knowledge domains) 1. Security and Risk Management Confiden9ality, integrity, and availability concepts; Security governance principles; Compliance; Legal and regulatory issues; Professional ethic; Security policies, standards, procedures and guidelines 2. Asset Security Informa9on and asset classifica9on; Ownership (e.g. data owners, system owners); Protect privacy; Appropriate reten9on; Data security controls; Handling requirements 3. Security Engineering Engineering processes using secure design principles, Security capabili9es of informa9on systems, Security architectures, designs, and solu9on elements vulnerabili9es, Web- based systems vulnerabili9es, Mobile systems vulnerabili9es, Cryptography, Physical security 4. Communica1on and Network Security Secure network architecture design, Secure network components, Secure communica9on channels, Network awacks 5. Iden1ty and Access Management Physical and logical assets control, Iden9fica9on and authen9ca9on of people and devices, Third- party iden9ty services, Access control awacks, Iden9ty and access provisioning lifecycle 6. Security Assessment and Tes1ng Assessment and test strategies, Security process data, Security control tes9ng, Test outputs, Security architectures vulnerabili9es 7. Security Opera1ons Inves9ga9ons, Incident Management, and Disaster Recovery, Logging and monitoring ac9vi9es, Patch and vulnerability management, Change management processes, Recovery strategies Disaster recovery processes and plans Business con9nuity planning, Physical security 8. SoCware Development Security Security in the sohware development lifecycle, Development environment security controls, Sohware security effec9veness, Acquired sohware security impact M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 2

3 Alcuni 1pi di agacco informa1co AWacchi in grado di sfruware specifiche debolezze di un programma socware Exploit: sfruwando un bug o una vulnerabilità del sohware, l awaccante riesce a far eseguire il codice di un programma al target sowo awacco, in modo da danneggiare le informazioni, compromewerne la riservatezza o acquisire privilegi eleva9 sulla macchina Shell code: è un awacco che mediante un exploit riesce ad eseguire una shell del sistema opera9vo sulla macchina target Buffer overflow (anche stack overflow, heap overflow): è un awacco che, saturando un area di memoria della macchina, sovrascrive la memoria adiacente, compromewendo il correwo funzionamento del programma o dell intero sistema; 9picamente sono dovu9 ad una inadeguata ges9one dell input da parte del programma, che accewa quan9tà di da9 in ingresso tali da saturare la memoria dedicata al processo Cracking: modifica sohware con l obie\vo di rimuovere un codice di protezione di un programma o di accedere ad aree protewe del sistema; viene effewuato eseguendo il reverse engineering del codice binario di un programma Alcuni 1pi di agacco informa1co AWacchi in grado di sfruware connessioni di rete e porte TCP di accesso al sistema target o di intervenire sul traffico di rete Backdoor: è una tecnica di awacco ad un sistema informa9co che sfruwa porte nascoste, ma lasciate aperte da chi ges9sce il sistema per eseguire più agevolmente operazioni di manutenzione del sistema; una backdoor può anche essere a\vata mediante un programma trojan che crea una porta di accesso via rete al computer a\vando un servizio non autorizzato in ascolto su una specifica porta TCP o UDP Port scanning: scansione di tuwe le possibili porte TCP/UDP aperte su un host, al fine di studiarne la configurazione e individuarne delle debolezze o dei pun9 di awacco Sniffing: intercewazione dei pacche\ che viaggiano sulla rete a cui è connesso il computer dell awaccante; l obie\vo è quello di carpire informazioni riservate trasmesse in chiaro Keylogging: intercewazione (mediante sohware malware o disposi9vi hardware collega9 al computer awaccato) dei da9 digita9 sulla tas9era dall utente durante una normale sessione di lavoro Spoofing: si tenta di accedere ad un host, falsificando l iden9tà del computer dell awaccante (indirizzo IP, MAC address, hostname DNS, ecc.) DoS/DDoS: Denial of Service/Distributed Denial of Service, sono awacchi provenien9 da uno (DoS) o più computer (DDoS) collega9 alla rete, che, u9lizzando porte di connessione del server sowo awacco, note e aperte per l erogazione di servizi, mirano a saturarne le risorse (es.: numero di connessioni contemporanee ges9bili dal server) fino a rendere non più fruibili i servizi eroga9 dal server M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 3

4 Alcuni 1pi di agacco informa1co AWacchi condo\ con l u9lizzo di socware malevolo (malware, virus,...) Malware: è genericamente un sohware che opera con l intenzione di violare la protezione delle informazioni presen9 su un computer per eliminarle o trafugarle Trojan Horse: è un sohware che viene eseguito inconsapevolmente dall utente sul proprio computer e, così facendo, provoca l apertura di una porta TCP che viene sfruwata dall awaccante per accedere al computer Virus: sono sohware che danneggiano i da9 presen9 sul computer e che hanno la capacità di a\varsi agganciandosi ad un programma non malevolo, modificandone il codice binario; ogni volta che il programma contagiato viene eseguito, viene eseguito anche il virus Spyware: sohware che inviano a des9natari esterni e non autorizza9, informazioni presen9 sul computer su cui è installato lo Spyware AWacchi di social engineering, con l obie\vo di sfruware la scarsa consapevolezza della riservatezza delle informazioni apparentemente non cri9che da parte del personale di un organizzazione, per accedere ad informazioni riservate Le tecniche di social engineering prevedono anche l acquisizione di materiale di scarto (fogli stampa9, dische\, CD, DVD, hard disk dismessi, per acquisire informazioni u9li a portare a termine un awacco al sistema informa9vo Altre tecniche consistono nel fornire strumen1 dota1 di Trojan che vengono poi inseri9 inconsapevolmente dagli uten9 sui loro computer Tecniche di social engineering/social hacking sono usate per compiere fur1 d iden1tà, trafugando le credenziali di un utente (a sua insaputa), per poi accedere al sistema awraverso canali standard Sicurezza dei sistemi informa1vi La sicurezza si occupa di predisporre contromisure idonee a contrastare minacce di 9po fisico e di 9po logico : le prime riguardano l integrità dei sistemi (computer, re9, ecc.), le altre riguardano minacce e contromisure di 9po sohware Rilevazione fumi Antincendio Incendio Sicurezza Fisica Rilevazione allagamento Allagamento Minacce fisiche Porte, allarmi, guardiania, videosorveglianza Furto e Danneggiamento Sicurezza IT Minacce Sicurezza perimetrale Attacchi informatici dalla rete Sicurezza Logica Sicurezza end-point Virus e malware Minacce logiche Sicurezza applicativa, Sistemi AAA, Crittografia dei dati Accesso non autorizzato ad applicazioni e dati Furto di informazioni M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 4

5 Sicurezza fisica di un sistema informa1vo La sicurezza fisica del sistema informa9vo riguarda prevalentemente: sicurezza dell edificio che ospita il sistema informa9vo: guardiania telecamere di videosorveglianza e sistemi di registrazione video locali ad accesso riservato con porte blindate controlli di accesso delle persone all edificio guardiania e personale di por9neria sistemi di iden9ficazione e di controllo degli accessi delle persone (con badge personale o da9 biometrici) processi di accertamento dell iden9tà e rilascio di chiavi o badge di accesso sistemi an9furto o di rilevazione della presenza in locali riserva9 sistemi an1- incendio e an1- allagamento rilevatori di fumo e fiamme sistema automa9co di allarme e disposi9vi an9- incendio porte, pare9, materiali, armadi ignifughi sistemi di business con1nuity e di disaster recovery gruppi di con9nuità elewrica e procedure di spegnimento sicuro dei sistemi in caso di prolungata assenza di energia elewrica sistemi di clima9zzazione dei locali CED al fine di garan9re la correwa temperatura di esercizio dei sistemi sistemi di ridondanza elewrica, di componen9 hardware informa9che, di connessione di rete piano di ripris9no dei sistemi e delle a\vità in locali diversi e distan9 da quelli del sito primario in caso di disastro ( sito secondario o sito di disaster recovery ) Sicurezza logica di un sistema informa1vo Sicurezza perimetrale l insieme degli strumen9 e delle tecniche u9lizzate per impedire accessi non autorizza9 alla rete aziendale dall esterno o awacchi informa9ci che possano compromewere l erogazione di servizi in questo ambito le contromisure sono strumen9 che analizzano i pacche\ che viaggiano in rete bloccando quelli sospe\ o a\vando degli allarmi in loro presenza Sicurezza degli end- point l insieme degli strumen9 e delle tecniche usate per proteggere i computer e gli altri disposi9vi di 9po end- point, ossia le foglie del grafo della rete informa9ca aziendale, cos9tuite dai personal computer e dagli altri disposi9vi connessi in rete in questo ambito si opera awraverso apposite configurazioni del sistema opera9vo della macchina end- point (hardening della configurazione, cifratura dei volumi), awraverso l aggiornamento sohware con9nuo, l applicazione di patch di sicurezza e mediante l installazione di sohware an9- malware e an9- virus Sicurezza applica1va tecniche di scriwura di sohware sicuro, limitando il rischio di presenza di vulnerabilità, tecniche di verifica (vulnerability assessment, applica'on penetra'on test) strumen9 di 9po AAA (Authen'ca'on, Authoriza'on, Accoun'ng) integra9 con tuwe le applicazioni del sistema informa9vo aziendale M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 5

6 Sicurezza perimetrale Obie\vo: rendere accessibili dalla rete esterna i servizi offer9 dal sistema informa9vo aziendale proteggere il sistema informa9vo (e i suoi da9) da accessi non autorizza9 dall esterno contrastare awacchi informa9ci condo\ awraverso la rete (DoS/DDoS, port scanning, spoofing,...) Sicurezza perimetrale: firewall Il principale strumento di sicurezza perimetrale è il Firewall È un computer dotato di due o più interfacce di rete e svolge il ruolo di gateway tra due o più re9 Ges9sce le regole che determinano il traffico che può passare da una rete ad un altra Tipicamente collega tre re9 dis9nte: la rete esterna, fuori dal perimetro del sistema informa9vo aziendale (es.: la rete Internet) la rete interna, la rete aziendale vera e propria, a cui sono connessi gli end- point degli uten9 interni; questa rete generalmente non è accessibile dall esterno, ma i nodi di questa rete possono aprire connessioni verso nodi della rete esterna su alcuni protocolli applica9vi e verso alcuni indirizzi esterni la rete DMZ (demilitarized zone), la rete del sistema informa9vo aziendale a cui sono connessi gli host che erogano servizi verso l esterno e che quindi devono essere accessibili dalla rete esterna (mail server, web server, DNS, ecc.) Processo opera9vo: Valutazione della direzione del traffico (rete sorgente, rete des9nazione) e selezione delle policy di sicurezza impostate Valutazione della raggiungibilità dell indirizzo di des9nazione (eventualmente tramite NAT) dall indirizzo di origine Valutazione della raggiungibilità della porta TCP/UDP del server richiesta dal client sulla base delle policy di sicurezza impostate A\vazione della connessione, oppure drop del pacchewo M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 6

7 Sicurezza perimetrale: IDS / IPS I sistemi IDS (intrusion detec'on system) sono appara9 hardware o programmi sohware dedica9 ad analizzare il traffico di rete in ingresso per rilevare sequenze di da9 che siano riconoscibili come accessi non autorizza9 dall esterno I sistemi IDS si basano sull applicazione di regole euris9che per determinare che una connessione è illecita, un tenta9vo di intrusione (riuscito) non autorizzato I sistemi IPS (intrusion preven'on system) sono, al contrario, sistemi che analizzando il traffico di rete iden9ficano un tenta9vo di intrusione dall esterno non autorizzato e non ancora eseguito e lo bloccano (drop del pacchewo di rete) Ad esempio i sistemi IDS e IPS sono in grado di iden9ficare (IDS) e di bloccare (IPS) un port scan dalla rete esterna Spesso ques9 disposi9vi sono una componente implementata nel sohware del Firewall Sicurezza perimetrale: Content Filtering e Proxy Server Un proxy server è una componente (hardware o sohware) che riceve richieste dalla rete interna (9picamente HTTP/HTTPS), modifica i pacche\ IP impostando come indirizzo IP client il proprio indirizzo esterno, ed inviando il pacchewo a des9nazione; la risposta del server viene così ricevuta dal Proxy Server che provvede a girarla al client Lo scopo di un proxy server (ad esempio un HTTP proxy) è quello di: rendere accessibile una risorsa esterna anche tramite un client con un indirizzo privato non stabilire una connessione di rete direwa tra client (interno) e server (esterno): la connessione è intermediata dal proxy in modo del tuwo trasparente per i due interlocutori rifiutare connessioni verso si9 presen9 in una black list ges9ta nella configurazione del proxy (es.: si9 pornografici, si9 di fishing, si9 i cui contenu9 contravvengono all e9ca aziendale, ecc.) Un content filter è una sorta di proxy che awua le proprie regole di raggiungibilità o irraggiungibilità di un sito, sulla base del contenuto presente nel traffico di rete dall esterno verso l interno Anche un sistema an9virus o an9spam installato su un mail server, è una sorta di content filter: entra nel merito del contenuto delle mail e stabilisce se trasmewerle o eliminarle dalla coda M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 7

8 Sicurezza perimetrale: VPN Virtual Private Network Una VPN è una connessione di rete privata basata su una infrastrugura di trasporto pubblica (es.: Internet) La VPN è basata su due componen9, gli end- point della VPN, che svolgono il ruolo di gateway per il traffico che passa da un nodo all altro della rete: l end- point VPN della rete a cui è connessa la sorgente della trasmissione, riceve i pacche\ des9na9 ad un computer connesso all altro capo della VPN, li cifra con una chiave nota all altro end- point e lo inviano l end- point VPN della rete a cui è connesso l host di des9nazione, riceve il pacchewo cifrato, lo decifra e lo inoltra all indirizzo di des9nazione in questo modo il traffico che passa sulla rete pubblica è cifrato e, se anche venisse intercewato da un awaccante, non sarebbe facile decifrarne il contenuto la rete VPN può essere di tre 9pi: VPN site- to- site: due nodi delle due re9 (si9) che devono comunicare in VPN (es.: due filiali della stessa azienda) sono end- point VPN; gli altri nodi della rete u9lizzano la VPN in modo trasparente VPN client- to- site: uno dei due end- point è un computer client, che deve connewersi alla rete aziendale in modalità sicura; sul client viene installato un sohware che svolge il ruolo di terminatore VPN VPN client- to- client: la VPN viene stabilita via sohware (con due agent installa9 sui due computer) tra due computer client Sicurezza perimetrale: VPN Virtual Private Network VPN site- to- site (il terminatore VPN può essere realizzato dal firewall) VPN client- to- site: il client è connesso ad una rete aziendale o direwamente alla rete pubblica e dispone di un client VPN che si occupa della cifratura del traffico scambiato con il terminatore VPN aziendale M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 8

9 Sicurezza degli end- point La protezione delle postazioni di lavoro e dei server, i cosidde\ end point del sistema informa9vo aziendale, può essere awuata su quawro linee principali: Hardening, aggiornamento con9nuo con patch Sistemi An9virus Personal firewall Sistemi Data Loss Preven9on Hardening della macchina Consiste nella applicazione di configurazioni del socware di base e del sohware applica9vo che riducano il rischio di creare i presuppos9 per awacchi dall esterno (es.: disabilitazione di servizi inu9li o non u9lizza9, impostazione di password non banali, definizione di profili di autorizzazione per gli uten9 della macchina che limi9no la loro opera9vità, ecc.) Una componente fondamentale dell hardening è l installazione di tuwe le patch di sicurezza disponibili per il sohware di base e per il sohware applica9vo; l impostazione di poli9che di aggiornamento automa9co con9nuo del sistema opera9vo delle postazioni di lavoro è una buona prassi Sicurezza degli end- point SoCware An1virus È buona norma installare su tuwe le postazioni di lavoro un sohware an9virus Sono programmi che analizzano in tempo reale il contenuto di file e programmi nel momento in cui ques9 vengono acquisi9 dall esterno (via mail, via trasferimento file dalla rete, mediante memoria di massa removibile, ecc.) e iden1ficano dei pagern nelle sequenze di byte, riconducibili a quelle che carawerizzano sohware infewato da virus: quei programmi vengono elimina9 o copia9 in un area del filesystem dewa di quarantena Gli an9virus eseguono valutazioni euris1che basate sui pagern (le firme dei virus) aggiorna9 con9nuamente dai laboratori di ricerca e sviluppo dei produwori dei sohware an9virus: è buona norma quindi configurare il sohware an9virus per scaricare quo9dianamente gli aggiornamen9 delle firme dei nuovi virus scoper9 dal produwore dell an9virus Personal firewall Come componente del sistema opera9vo sono spesso presen9 dei sohware che consentono di awuare sul personal computer o sul server delle poli9che di accewazione o di rifiuto di connessioni provenien9 dalla rete, analoghe a quelle definite sui firewall Questo genere di strumento non può sos9tuire un firewall vero e proprio perché per riuscire a valutare le richieste di connessione dall esterno, la macchina deve comunque accewarle: pertanto il personal firewall non è in grado di evitare che la macchina end- point venga awaccata, ma può limitare in modo significa9vo la probabilità che l awacco abbia successo M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 9

10 Sicurezza degli end- point Sistemi di Data Loss Preven1on (DLP) Sui personal computer, ma anche sui file server, sono presen9 molte informazioni anche cri9che o riservate, in forma destruwurata : si trawa di da9 importan9 contenu9 su documen9 Microsoh Word, tabelle Microsoh Excel, documen9 elewronici in formato PDF o Microsoh Powerpoint, ecc. Tali informazioni non sono ges9te mediante un programma che ne limi9 l accessibilità da parte degli uten9 sulla base di specifiche autorizzazioni: quei file possono essere facilmente distru\, stampa9, condivisi con altri, anche con chi non ha il permesso di accedere a tali informazioni La riservatezza, l integrità e la disponibilità delle informazioni presen9 sui file prodo\ con strumen9 di office automa9on, dipendono dalla consapevolezza dell utente I sistemi DLP arricchiscono il sistema opera9vo della macchina di funzionalità evolute di protezione delle informazioni non strugurate: permewono di definire e di awuare policy di cifratura dei file policy di protezione da danneggiamen9 policy per la condivisione dei file stessi (es.: impediscono la stampa o la condivisione via e- mail di documen9 che rispewano un determinato formato o contengono specifici pawern riconducibili ad informazioni riservate, ecc.) Sicurezza applica1va Consiste nell adoware metodologie e strumen9 per rendere sicure le applicazioni informa9che mediante cui gli uten9 autorizza9 accedono ai da9 presen9 nel sistema informa9vo aziendale: progegazione e sviluppo di socware intrinsecamente sicuro e resistente ad awacchi informa9ci adozione di componen1 architegurali in grado di offrire servizi di protezione applica1va ben ingegnerizza9 e indipenden9 dalla codifica dei programmi (servizi AAA ) M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 10

11 Metodologie di progegazione e sviluppo sicure ProgeWazione e sviluppo di sohware sicuro anche grazie alle contromisure adowate per il controllo degli accessi al sistema informa9vo e la messa in protezione dei da9, la maggior parte degli awacchi informa9ci sono indirizza9 direwamente verso le applicazioni gli obie\vi degli awacchi sono le vulnerabilità presen9 all interno delle applicazioni sohware sono state sviluppate numerose metodologie per aumentare il livello di qualità nel processo di progewazione e sviluppo del sohware, al fine di ridurre non solo la difewosità funzionale dei programmi, ma di curare anche la progewazione di sohware esente da vulnerabilità intrinseche Metodologie di progegazione e sviluppo sicure Security Development Lifecycle (SDL): definito da Microsoh per ridurre la vulnerabilità dei propri prodo\ Si ar9cola su sewe fasi principali: 1. Training: formazione dei programmatori sulle tecniche di sviluppo sicuro del sohware 2. Requirements: definizione dei rischi rela9vi alla riservatezza dei da9 e alla sicurezza 3. Design (progewazione): nella definizione dei requisi9 del sohware devono essere considera9 anche i requisi9 ineren9 la sicurezza; devono essere defini9 scenari di awacco al sohware, in modo da realizzare requisi9 che si pongano come contromisure efficaci 4. Implementa1on (sviluppo): u9lizzo di tool di sviluppo verifica9 e approva9 dal responsabile dello sviluppo sohware, a\vare opzioni e u9lity di warning sulla compilazione del sohware, effewuare verifiche sta9che sul codice sohware prima della sua compilazione 5. Verifica1on (verifica e validazione del sohware awraverso test e verifiche di piani di awacco): test dinamici anche mediante tool sohware, test fuzzy mediante l introduzione di input casuale, revisione della superficie di awacco del sohware (l insieme degli aspe\ che possono essere oggewo di un awacco informa9co) 6. Release (rilascio): preparare piani di risposta ad inciden9 informa9ci in modo da produrre tempes9vamente correzioni e patch, eseguire test finali di sicurezza sulla release sohware oggewo di rilascio 7. Response: a valle del rilascio del sohware, awuare piani di risposta alle segnalazioni di inciden9 informa9ci M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 11

12 Metodologie di progegazione e sviluppo sicure Il modello CLASP (Comprehensive, Lightweight Applica'on Security Process) fornito dal progewo OWASP (Open Web Applica'on Security Project) fornisce un approccio struwurato all integrazione di a\vità di sicurezza in ogni fase di un ciclo di sviluppo sohware È basato su cinque pun9 di vista (view) Concepts view Role- based view Ac9vity- Assessment View Ac9vity- Implementa9on View Vulnerability View Altre metodologie: Capability Maturity Model Integra9on (CMMI) Systems Security Engineering Capability Maturity Model (SSE- CMM) Sohware Assurance Maturity Model (SAMM) Building Security in Maturity Model (BSIMM) Metodologie di progegazione e sviluppo sicure Le minacce a cui è sowoposto un sohware possono essere classificate secondo il modello STRIDE definito da Microsoh: Spoofing: awacchi basa9 sulla falsificazione dell iden9tà (es.: web spoofing: falsificazione dell iden9tà di un server web per far credere ad un utente di essere connesso ad un certo server mentre è connesso ad un server malevolo) Tampering: l informazione in transito viene modificata o rimpiazzata prima di raggiungere il des9natario (es.: modifica di un ordine, di un movimento bancario, ecc.) Repudia1on: ripudio delle informazioni prodowe dal sistema Informa1on disclosure: divulgazione di informazioni riservate ges9te dall applicazione Denial of Service: il servizio erogato dal sohware awaccato viene reso indisponibile agli uten9, inviando al sohware una quan9tà di richieste tali da saturare la sua capacità di risposta Eleva1on of privilege: incremento dei privilegi dell utenza con cui viene eseguita una determinata applicazione, al fine di violare l integrità o la riservatezza dei da9 M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 12

13 Sistemi AAA: authen'ca'on, authoriza'on, accoun'ng Sul sistema informa9vo vengono introdowe delle componen9 infrastruwurali che offrono servizi di auten9cazione, autorizzazione e accoun'ng degli uten9 delle applicazioni Auten1cazione: meccanismi per accertare l iden9tà dell utente (o per auten9care la dichiarazione di iden9tà fawa dall utente) Autorizzazione: meccanismi di verifica e awuazione delle regole di autorizzazione assegnate ad un utente per l esecuzione di una determinata funzionalità applica9va o per l accesso ad un dato o 9po di dato Accoun1ng: meccanismi di responsabilizzazione dell utente, anche awraverso il tracciamento delle operazioni svolte sui da9 mediante le applicazioni o gli altri strumen9 resi disponibili sul sistema informa9vo Se offerte come servizio, le funzioni devono solo essere richiamate dalle applicazioni, awraverso apposi9 protocolli o funzioni di libreria: in questo modo si semplifica lo sviluppo del socware: non devono essere progewate e implementate le funzioni di auten9cazione, autorizzazione e accoun9ng in tuwe le applicazioni si garan9sce maggiore sicurezza: le funzioni sono sviluppate una volta per tuwe (o sono basate su un prodowo di mercato) e integrate con le applicazioni e i sistemi; non si corre il rischio che le stesse funzioni possano essere implementate in maniera differente da un applicazione all altra si garan9sce maggiore flessibilità: la sos9tuzione di una funzione di 9po AAA con un altra può essere fawa centralmente, senza dover modificare ogni applicazione Auten1cazione L auten9cazione di un utente nei confron9 di un applicazione (o di un applicazione nei confron9 di un altra applicazione) si basa su una delle seguen9 informazioni: qualcosa che si conosce: ad esempio una password o un PIN; qualcosa che si possiede: ad esempio un badge, una chiave, un token; qualcosa che si è: ad esempio l impronta digitale, il modello della re9na dell occhio, ecc. La fase di login su un applicazione o su un sistema informa9co è quella in cui l utente dichiara la propria iden9tà (ad esempio awraverso uno username univoco) e l applicazione o il sistema lo auten9cano awraverso la verifica di una password segreta (nota solo all utente) inserita contestualmente dall utente Da quel momento in poi viene aperta una sessione di lavoro entro cui l utente può operare sull applicazione o sul sistema senza doversi auten9care nuovamente Più sistemi possono stabilire relazioni di fiducia tra di loro per consen9re ad un utente di auten9carsi su un sistema senza poi doversi auten9care nuovamente anche sugli altri (anche se gli account sono diversi): single sign- on M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 13

14 Auten1cazione START input username e password La password è in chiaro : l invio della password al sistema di login è un passaggio cri9co, il canale deve essere protego NO username esiste? SÌ calcola hash della password à hash(pwd) La password è trawata in forma cifrata, non viene memorizzata in chiaro KO recupera da repository account hash(pwd) associato a username La password cifrata è memorizzata su file, directory LDAP, database,... NO i due hash sono uguali? SÌ KO NO password scaduta? SÌ input nuova password STOP OK calcola hash(pwd) e memorizzalo su repository account associato a username Auten1cazione forte Si parla di auten1cazione forte (strong authen'ca'on) quando il meccanismo di auten9cazione è basato su due dei tre fawori es.: per auten9care l utente che dichiara la propria iden9tà awraverso uno username, si fornisce una password e un codice generato da un token assegnato all utente stesso Auten1cazione forte con cer1fica1 digitali L utente è dotato di una smart- card con a bordo una coppia di chiavi criwografiche; il server di auten9cazione possiede la chiave pubblica dell utente Il passo cri9co è la generazione delle chiavi criwografiche e l assegnazione agli uten9: questa fase deve essere protewa e ges9ta con un processo ben definito e verificato Algoritmo challenge/response : 1. il server genera un codice e lo sowopone all utente che ne produce una cifratura asimmetrica con la propria chiave privata 2. Se il server riesce a portare in chiaro il codice u9lizzando la chiave pubblica dell utente, allora avrà compiuto la sua auten9cazione: solo con la chiave pubblica dell utente si può riportare in chiaro il codice cifrato con la sua chiave privata; il codice è noto al server che può quindi verificarne l uguaglianza con quello generato al passo precedente M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 14

15 Auten1cazione forte Auten1cazione forte con OTP (one 'me password) Un algoritmo genera in tempo reale una password che può essere u1lizzata dall utente una sola volta: anche se intercewata da un awaccante la password non sarà più u9le per auten9carsi a nome di un altro utente Tre 9pi di algoritmi principali per la generazione di OTP: Algoritmi basa9 sulla sincronizzazione temporale tra server OTP e client che fornisce la password (le OTP sono valide solo per un breve periodo di tempo, es.: 30 ) Algoritmi basa9 su una catena di password legate tra loro e generate per via algoritmica, in base anche ad un seme associato al client OTP assegnato all utente: il server e il client generano una nuova password in base alla password precedente Algoritmi di 9po challenge/response: il server genera un numero casuale e lo invia al client che res9tuirà un codice basato su quel numero casuale e sul seme associato al client OTP dell utente Auten1cazione forte con OTP Secret DB OTP Server T 0 : caricamento dei segre9 associa9 ai token OTP nel database del server OTP Utente User: mrossi TokenID: XY987Z Secret DB OTP Server 1234 T 1 : assegnazione token all utente e registrazione associazione utente/token sul DB Utente M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 15

16 Auten1cazione forte con OTP Secret DB OTP Server User: mrossi password: s3cr3t OTP: 9753 RADIUS T 2 : auten9cazione: utente invia username, password e OTP generata dal token sul momento Utente user: mrossi password: s3cr3t? Auten9cazione OK / KO Secret DB Ok? Ok! OTP Server RADIUS 1234 T 3 : OTP server verifica username e password su un sistema di auten9cazione (anche esterno) Utente T 4 : server OTP verifica se il codice OTP può essere generato dal token XY987Z assegnato all utente mrossi Autorizzazione Le applicazioni, i sistemi applica9vi, i sistemi opera9vi sono strumen9 awraverso cui l utente (o un altro programma) può accedere alle informazioni e ges9rle eseguendo delle operazioni di lewura, scriwura, modifica e cancellazione A garanzia della sicurezza delle informazioni (riservatezza, integrità e disponibilità), i sistemi applica9vi implementano meccanismi di autorizzazione degli uten9 per l accesso ai da9 awraverso le funzionalità messe a disposizione dal sistema stesso Partendo dal presupposto che l utente non può in alcun modo operare sui da9 ges99 dall applicazione, un autorizzazione è il permesso di compiere una determinata operazione su un certo 9po di dato (es.: inserire una fawura, visualizzare un cer9ficato medico, approvare una richiesta di acquisto, ecc.) I sistemi prevedono anche autorizzazioni necessarie per assegnare o revocare autorizzazioni: generalmente l amministratore del sistema è autorizzato a priori a ges9re le autorizzazioni degli altri uten9 L applicazione delle autorizzazioni permewe di implementare un meccanismo di controllo degli accessi ai da9: l utente chiede di eseguire una determinata operazione su un dato il sistema verifica se l utente è autorizzato a compiere tale operazione su quel dato il sistema concede o impedisce l accesso al dato: controllo degli accessi Per poter autorizzare un utente, questo dovrà essere stato precedentemente auten1cato M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 16

17 Autorizzazione Per garan9re una correwa poli9ca di autorizzazione degli uten9 è opportuno definire un insieme di ruoli applica1vi che sia possibile awribuire agli uten9 Ciascun ruolo prevede un insieme di autorizzazioni che saranno così awribuite a tu\ gli uten9 a cui verrà assegnato un determinato ruolo Si costruisce un profilo dell utente del sistema informa9vo basato sui ruoli (e quindi sulle autorizzazioni) che si assegnano all utente Assegnare o rimuovere un ruolo ad un utente significa assegnare o rimuovere un insieme di autorizzazioni allo stesso utente In un organizzazione ben struwurata i ruoli applica'vi dovrebbero corrispondere ai ruoli di business degli uten9 Es.: per un applicazione ges9onale in un contesto scolas9co o universitario, i profili autorizza9vi possono essere costrui9 sui ruoli di docente, studente, bibliotecario, ecc. In questo modo un cambio di ruolo nell organizzazione, porterebbe ad una facile iden9ficazione del nuovo profilo autorizza9vo da awribuire all utente RBAC: role based access control, è una poli9ca di controllo degli accessi alle informazioni basata sui ruoli assegna9 agli uten9 Accoun1ng Per responsabilizzare gli uten9 nell uso delle credenziali e delle autorizzazioni che sono state loro assegnate, è necessario tracciare le operazioni svolte dagli uten9 tramite le funzioni rese disponibili dai sistemi applica9vi I sistemi producono delle indicazioni sinte9che sulla sequenza di operazioni svolte nel tempo: tali informazioni vengono chiama9 log I log sono memorizza9 su file o su apposi9 sistemi di raccolta dei log; esistono protocolli (es.: syslog) e librerie sohware (es.: log4j) che consentono di semplificare la scriwura di log e di inviare i log prodo\ da un sistema verso un sistema di raccolta Esistono vari 9pi di log: log di sistema: informano sullo stato di funzionamento di un sistema e tracciano gli errori avvenuto nel corso del funzionamento del sistema stesso log applica1vi: informano sullo stato di funzionamento di un programma e sulle operazioni svolte sui da9 log di database: informano sulle operazioni svolte sui da9; sono u9li anche per ripris9nare lo stato del database ad un punto precedente all esecuzione di determinate operazioni di modifica dei da9 log di audit: informano sulle operazioni svolte dagli uten9 mediante un sistema o un applicazione M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 17

18 Governance della sicurezza del sistema informa1vo aziendale In un sistema informa9vo complesso l implementazione di sistemi AAA porta ad un contesto difficile da ges9re Applica9ons Utente Directories File Shares Utente Sistemi Databases Utente uten9 ogni utente ha circa 10 account diversi account ad ogni account sono assegnate decine di autorizzazioni autorizzazioni sistemi e applicazioni ogni applicazione o sistema ha decine di autorizzazioni differen' Governance della sicurezza del sistema informa1vo aziendale In par9colare diventa complicato awuare una vera governance della sicurezza informa1ca definizione e awuazione di poli1che per la sicurezza definizione e awuazione di processi ges1onali controlla1 raccolta tempes1va di informazioni e da1 per poter controllare e misurare il servizio controllo e misura di eventuali scostamen1 dai requisi1 dewa9 da norma9ve e regolamen9 (compliance) Alcune domande a cui il responsabile della sicurezza delle informazioni è tenuto a rispondere: A quali informazioni ha accesso Mr X? Chi ha accesso alle informazioni presen9 nell archivio Y? Chi ha autorizzato Mr X ad accedere all archivio Y? Siamo sicuri che gli uten9 del nostro sistema informa9vo abbiano solo le autorizzazioni necessarie per lo svolgimento del loro lavoro? Siamo sicuri che le autorizzazioni assegnate agli uten9 del sistema informa9vo rispe\no le linee guida sulla sicurezza interne e le norma9ve vigen9? Qual è il processo di con cui vengono assegnate credenziali ed autorizzazioni ai nuovi dipenden9 dell azienda? E per i consulen9 esterni? E per i fornitori? Per i partner con cui condividiamo alcune informazioni o servizi? Qual è il processo con cui vengono modificate le autorizzazioni degli uten9 che cambiano sede o ruolo aziendale? E quando cessano la collaborazione con l azienda cosa succede? Quanto tempo viene impegnato oggi nella ges9one del ciclo di vita delle credenziali e delle autorizzazioni assegnate agli uten9? Abbiamo definito criteri di assegnazione delle autorizzazioni basate sulla funzione aziendale degli uten9? Viene posta maggiore awenzione nella assegnazione di autorizzazioni riguardan9 le risorse più cri9che del sistema informa9vo aziendale? Quali sono le risorse più cri9che? M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 18

19 Governance della sicurezza del sistema informa1vo aziendale Per consen9re una effe\va a\vità di governance della sicurezza del sistema informa9vo aziendale è necessario definire delle policy, dei processi organizza1vi e dei controlli predisporre dei sistemi IT integra1 in grado di automa9zzare e guidare gli amministratori e gli uten9 nella applicazione delle policy, riducendo possibilità di errore e violazioni delle poli9che e delle norma9ve esisten9 Alcuni dei principali sistemi di supporto alla governance della sicurezza del sistema informa9vo: sistemi di Risk Assessment, Risk Analysis, Risk Management: supporto all analisi e alla ges9one dei rischi a cui è soggewo il sistema informa9vo aziendale sistemi di Iden1ty Management, Iden1ty Governance: supporto alla ges9one del ciclo di vita delle credenziali e delle autorizzazioni assegnate agli uten9 del sistema informa9vo aziendale sistemi di Access Management, Iden1ty Federa1on: centralizzazione dei servizi di auten9cazione e autorizzazione, anche su base federata, ossia estendendo il perimetro del servizio ad altre organizzazioni con cui l azienda ha stabilito degli accordi di collaborazione (e di fiducia) sistemi SIEM (Security Informa'on Event Management): supporto alla raccolta, correlazione e analisi dei log provenien9 dalle diverse componen9 del sistema informa9vo aziendale Iden1ty Management: contestualizzazione E- mail server Security Admins Directory server Intranet Security Admins Security Admins?!? ERP Security Admins CRM Data Warehouse Security Admins Security Admins Responsabile Sicurezza delle Informazioni... Security Admins M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 19

20 Iden1ty Management: deploy della soluzione J E- mail server Directory server Intranet ERP CRM Data Warehouse... PROVISIONING Policy Processi e Procedure Responsabile Sicurezza delle Informazioni IDM SINCRONIZZAZIONE HR Informazioni Monitoraggio Controllo Security Admins Iden1ty Management: carageris1che principali È una componente di sicurezza logica che consente di ges1re centralmente le iden1tà digitali delle persone abilitate ad u9lizzare il sistema informa9vo aziendale Raccoglie in un database unificato tuwe le informazioni rela9ve all iden9ficazione dell utente sul sistema stesso e su tuwe le piawaforme integrate con IDM (virtual iden'ty degli uten9) Conosce il nomina9vo ed altri da9 anagrafici per ciascuna persona abilitata ad u9lizzare il sistema informa9vo aziendale Conosce gli account con cui ciascun utente si auten9ca ed accede sui vari sistemi Raccoglie alcune delle informazioni rela9ve alla strugura organizza1va aziendale Conosce la collocazione di ogni persona nella struwura organizza9va, al fine di stabilire chi è autorizzato ed è responsabile dell assegnazione di credenziali e privilegi di accesso ad ogni utente Raccoglie le informazioni rela9ve alle piagaforme informa1che che compongono il sistema informa9vo e su cui gli uten9 dovranno accedere Conosce le informazioni con cui ogni utente viene iden9ficato su ciascuna piawaforma (più account utente per ogni persona, un account per ciascuna piawaforma) Es.: IBM RACF, Microsoh Ac9ve Directory, Lotus Notes, ecc. M. Liverani - Dispense del corso IN530 - Sistemi per l'elaborazione delle informazioni 20

La protezione del dato in IPZS

La protezione del dato in IPZS La protezione del dato in IPZS Ing. Maurizio Qua.rociocchi Dire.ore ICT & Business Solu;ons 5 dicembre 2013 Scuola Superiore dell Economia e delle Finanze SETTORI DI ATTIVITÀ IPZS SICUREZZA ED ANTICONTRAFFAZIONE

Dettagli

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010 AIPSI- ISSA European Security Conference 2010 Roma, 28 ottobre 2010 L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010 Marco R.A. Bozzetti Founder OAI Direttivo AIPSI Indice 1. L iniziativa

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

2. Componen1 di un sistema informa1vo aziendale

2. Componen1 di un sistema informa1vo aziendale Corso di Laurea in Matema1ca Dipar9mento di Matema9ca e Fisica per l elaborazione delle informazioni 2. Componen1 di un sistema informa1vo aziendale Dispense del corso IN530 prof. Marco Liverani Stru;ura

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Modello ISO- OSI. Modelli di re* Livelli (L5, L6) Livelli (L3, L4) A. Ferrari

Modello ISO- OSI. Modelli di re* Livelli (L5, L6) Livelli (L3, L4) A. Ferrari Modello ISO- OSI Modelli di re* A. Ferrari L OSI (Open System Interconnec*ons) è un progeao formulato dall ISO (Interna*onal Standard Organiza*on) alla fine degli anni 70 con lo scopo di proporre un modello

Dettagli

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r.

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r. Network Hardening Università degli Studi di Pisa Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Applicata Stage svolto presso BK s.r.l Tutor Accademico Candidato Tutor

Dettagli

le campagne interne di Security Awareness verso i dipenden6

le campagne interne di Security Awareness verso i dipenden6 le campagne interne di Security Awareness verso i dipenden6 L esperienza della ASL NAPOLI 2 NORD Di Imma Orilio CIO & INNOVATION PROGRAM MANAGER ART. 1 CONVINCERE IL CAPO CHE INTERNET E COSA BUONA! SICUREZZA

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Presentazione Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241

Dettagli

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa M ODULO 7 - SYLLABUS 1.0 IT Security Corso NUOVA ECDL 2015 prof. A. Costa Minacce ai dati 1 Concetti di sicurezza Differenze fra dati e informazioni Il termine crimine informatico: intercettazione, interferenza,

Dettagli

ISO 27036. Information technology Security techniques Information security for supplier relationships. Ing. Bruno Bernardi Padova 29/04/2015

ISO 27036. Information technology Security techniques Information security for supplier relationships. Ing. Bruno Bernardi Padova 29/04/2015 ISO 27036 Information technology Security techniques Information security for supplier relationships Ing. Bruno Bernardi Padova 29/04/2015 THIENE ROMA PARMA CUNEO BARI TRENTO SASSARI UK POLAND CROATIA

Dettagli

Integrazione sicurezza fisica e logica: strategie e benefici per la banca

Integrazione sicurezza fisica e logica: strategie e benefici per la banca Integrazione sicurezza fisica e logica: strategie e benefici per la banca Ing. Roberto Lorini Executive Vice President VP Tech Convegno ABI Banche e Sicurezza 2009 Roma, 9 giugno 2009 Agenda Gli orientamenti

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS Alessandro Ronchi Senior Security Project Manager La Circolare 263-15 aggiornamento

Dettagli

OGGETTO DELLA FORNITURA...4

OGGETTO DELLA FORNITURA...4 Gara d appalto per la fornitura di licenze software e servizi per la realizzazione del progetto di Identity and Access Management in Cassa Depositi e Prestiti S.p.A. CAPITOLATO TECNICO Indice 1 GENERALITÀ...3

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management

Alfonso Ponticelli. Soluzioni Tivoli di Security Information and Event Management Alfonso Ponticelli Soluzioni Tivoli di Security Information and Event Management Compliance and Security secondo IBM Gestione delle identità e controllo degli accessi alle risorse aziendali: le soluzioni

Dettagli

Monitoraggio di outsourcer e consulenti remoti

Monitoraggio di outsourcer e consulenti remoti 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway

Dettagli

Convegno Nazionale di Information Systems Auditing

Convegno Nazionale di Information Systems Auditing Convegno Nazionale di Information Systems Auditing Strategie di difesa dalle frodi: IT Governance e metodologie Verona, 25 Maggio 2006 Massimo Chiusi UniCredit S.p.A. Divisione Global Banking Services

Dettagli

RUBRICA ERP L implementazione e la gesone di un ERP può seguire i principi dell IT Governance? L IT Governance applicata ai sistemi ERP

RUBRICA ERP L implementazione e la gesone di un ERP può seguire i principi dell IT Governance? L IT Governance applicata ai sistemi ERP RUBRICA ERP L implementazione e la gesone di un ERP può seguire i principi dell IT Governance? L IT Governance applicata ai sistemi ERP INDICE Introduzione Intervista all Ing. Paolo Di Mar!no, Responsabile

Dettagli

Tracciabilità degli utenti in applicazioni multipiattaforma

Tracciabilità degli utenti in applicazioni multipiattaforma Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del

Dettagli

IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci

IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci IP Intelligence IP Fingerprinting per l antifrode Emanuele Bracci Techub: presenza sul territorio Siti principali: Roma Milano Parma Presidi: L Aquila Mestre Più di 80 specialisti sul territorio nazionale

Dettagli

Making the Internet Secure TM

Making the Internet Secure TM Making the Internet Secure TM e-security DAY 3 luglio 2003, Milano Kenneth Udd Senior Sales Manager SSH Communications Security Corp. SSH Communications Security Corp Storia Fondata nel 1995 Ideatrice

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Soluzioni e Proge-! Datakey Software Engineering Srl 1

Soluzioni e Proge-! Datakey Software Engineering Srl 1 Soluzioni e Proge- 1 Datakey 30 anni di SoSware Datakey nasce Nel 1985, avente ad ogge0o l a2vità di proge0azione di servizi informa:ci opera trasformazioni orientate alla crescita; E cer:ficata ISO 9001

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it Lab 8 Visti i problemi con la macchina virtuale e la rete, l assignment è sospeso 1 Autenticazione

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Accesso all'informazione da Mobile

Accesso all'informazione da Mobile Accesso all'informazione da Mobile nel Document Management e nell'informa2on Management Pino Grimaldi Technical Office Manager ICT Trade 22 Maggio 2013 Cosmic Blue Team CBT - Cosmic Blue Team è la capo

Dettagli

Identity Management: dalla gestione degli utenti all'autenticazione in un contesto di integrazione globale

Identity Management: dalla gestione degli utenti all'autenticazione in un contesto di integrazione globale Identity Management: dalla gestione degli utenti all'autenticazione in un contesto di integrazione globale Dr. Elio Molteni, CISSP-BS7799 elio.molteni@ca.com Business Development Owner, Security Computer

Dettagli

LA SICUREZZA INFORMATICA

LA SICUREZZA INFORMATICA LA SICUREZZA INFORMATICA Ing. Gianfranco Pontevolpe CNIPA e-mail: pontevolpe@cnipa.it Programma Introduzione alla sicurezza La sicurezza di Internet Le protezioni 2 1 Programma Introduzione alla sicurezza

Dettagli

Zeroshell come Cap.ve Portal per l'accesso ad IDEM. Fulvio Ricciardi INFN Lecce

Zeroshell come Cap.ve Portal per l'accesso ad IDEM. Fulvio Ricciardi INFN Lecce Zeroshell come Cap.ve Portal per l'accesso ad IDEM Fulvio Ricciardi INFN Lecce IDEM DAY - Bologna 10 Novembre 2011 Gli argomen@ traba@ Proteggere la rete tramite Cap@ve Portal Vantaggi e svantaggi L accesso

Dettagli

QUICK HEAL END POINT SECURITY 5.3

QUICK HEAL END POINT SECURITY 5.3 QUICK HEAL END POINT SECURITY 5.3 Fornisce una ges-one centralizzata per : - An-virus - Controllo dei disposi-vi - Controllo delle applicazioni Core Protec-on Previene l ingresso in rete di virus, worms,

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni PRINCIPI DI COMPUTER SECURITY Andrea Paoloni 2 Cade il segreto dei codici cifrati Corriere della Sera 26 febbraio 2008 3 Gli hacker sono utili? 4 Safety vs Security SAFETY (salvezza): protezione, sicurezza

Dettagli

"Sanità Ele,ronica e Innovazione delle Re5"

Sanità Ele,ronica e Innovazione delle Re5 Angelo Lino Del Favero Presidente Angelo di Lino Federsanità Del Favero ANCI Dire9ore Is:tuto Superiore di Sanità Presidente di Federsanità ANCI Direttore Istituto Superiore di Sanità Slide 1 "Sanità Ele,ronica

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

La piattaforma per la gestione elettronica documentale integrata

La piattaforma per la gestione elettronica documentale integrata Tutti noi prendiamo decisioni, facciamo valutazioni, pianifichiamo strategie basandoci sulle informazioni in nostro possesso. Il tempo è una risorsa preziosa, ottimizzarlo rappresenta un obiettivo prioritario.

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Secure Email N SOC Security Service

Secure Email N SOC Security Service Security Service La gestione e la sicurezza della posta non è mai stata così semplice ed efficace N-SOC rende disponibile il servizio modulare SecaaS Secure Email per la sicurezza e la gestione della posta

Dettagli

File Sharing & LiveBox WHITE PAPER. http://www.liveboxcloud.com

File Sharing & LiveBox WHITE PAPER. http://www.liveboxcloud.com File Sharing & LiveBox WHITE PAPER http://www.liveboxcloud.com 1. File Sharing: Definizione Per File Sync and Share (FSS), s intende un software in grado di archiviare i propri contenuti all interno di

Dettagli

LA BUSINESS UNIT SECURITY

LA BUSINESS UNIT SECURITY Security LA BUSINESS UNIT SECURITY FABARIS È UN AZIENDA LEADER NEL CAMPO DELL INNOVATION SECURITY TECHNOLOGY. ATTINGIAMO A RISORSE CON COMPETENZE SPECIALISTICHE E SUPPORTIAMO I NOSTRI CLIENTI AD IMPLEMENTARE

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Tecnologie Gnu Linux per la sicurezza della rete aziendale

Tecnologie Gnu Linux per la sicurezza della rete aziendale Tecnologie Gnu Linux per la sicurezza della rete aziendale Massimiliano Dal Cero, Stefano Fratepietro ERLUG 1 Chi siamo Massimiliano Dal Cero CTO presso Tesla Consulting Sicurezza applicativa e sistemistica

Dettagli

Accessi remoti sicuri alle risorse di rete aziendali La tecnologia PortWise

Accessi remoti sicuri alle risorse di rete aziendali La tecnologia PortWise Accessi remoti sicuri alle risorse di rete aziendali La tecnologia PortWise Nasce nel 1990 come distributore esclusivo della tecnologia F-Prot (ora F-Secure) Da più di 15 anni focalizzata SOLO nell ambito

Dettagli

ANALISI DELL INFRASTRUTTURA IT

ANALISI DELL INFRASTRUTTURA IT ITAS ANALISI DELL INFRASTRUTTURA IT Criticità di sicurezza Trento Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Soluzioni di strong authentication per il controllo degli accessi

Soluzioni di strong authentication per il controllo degli accessi Abax Bank Soluzioni di strong authentication per il controllo degli accessi Allegato Tecnico Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO

Dettagli

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Alessandro Bulgarelli bulgaro@weblab.ing.unimo.it Riccardo Lancellotti riccardo@weblab.ing.unimo.it WEB Lab Modena Pagina 1 Black hat

Dettagli

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Monitorare la superficie di attacco Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Vulnerabilità Difetto o debolezza che può essere sfruttata per violare la politica di sicurezza di un sistema(*)

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Panoramica sulla tecnologia

Panoramica sulla tecnologia StoneGate Panoramica sulla tecnologia StoneGate SSL-VPN S t o n e G a t e P a n o r a m i c a s u l l a t e c n o l o g i a 1 StoneGate SSL VPN Accesso remoto in piena sicurezza La capacità di fornire

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

Product Overview. ITI Apps Enterprise apps for mobile devices

Product Overview. ITI Apps Enterprise apps for mobile devices Product Overview ITI Apps Enterprise apps for mobile devices ITI idea, proge2a e sviluppa apps per gli uten6 business/enterprise che nell ipad, e nelle altre pia2aforme mobili, possono trovare un device

Dettagli

Allegato Tecnico. Progetto di Analisi della Sicurezza

Allegato Tecnico. Progetto di Analisi della Sicurezza Allegato Tecnico Progetto di Analisi della Sicurezza Obiettivo E richiesta dal cliente un analisi della sicurezza reti/sistemi del perimetro internet ed un analisi della sicurezza interna relativa al sistema

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012 Architetture dei WIS Prof.ssa E. Gentile a.a. 2011-2012 Definizione di WIS Un WIS può essere definito come un insieme di applicazioni in grado di reperire, cooperare e fornire informazioni utilizzando

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

Accesso alle applicazioni protetto. Ovunque.

Accesso alle applicazioni protetto. Ovunque. Scheda tecnica Accesso alle applicazioni protetto. Ovunque. Utenti mobili protetti Nelle organizzazioni odierne, ai responsabili IT viene spesso richiesto di fornire a diversi tipi di utente l'accesso

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione delle applicazioni web Kleis A.I. SecureWeb www.kwaf.it Cos'è Kleis A.I. SecureWeb? Kleis A.I. SecureWeb è un modulo software della Kleis A.I. Security Suite che ha

Dettagli

Perché abbiamo problemi di sicurezza? Sicurezza. Reti di calcolatori. 2001-2007 Pier Luca Montessoro (si veda la nota di copyright alla slide n.

Perché abbiamo problemi di sicurezza? Sicurezza. Reti di calcolatori. 2001-2007 Pier Luca Montessoro (si veda la nota di copyright alla slide n. RETI DI CALCOLATORI Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 2001-2007 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright Questo insieme di trasparenze

Dettagli

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali.

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali. Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi Introduzione Molte aziende possiedono informazioni

Dettagli

Sicurezza. Sistemi Operativi 17.1

Sicurezza. Sistemi Operativi 17.1 Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi 17.1 Introduzione Molte aziende possiedono

Dettagli

Solutions for Demanding Business

Solutions for Demanding Business Solutions for Demanding Business Le minacce informa%che alle transazioni online, come comba7erle. Dall auten%cazione alla prevenzione delle frodi ABI Banche e Sicurezza - Roma, 4 giugno 2015 2 Asseco Group

Dettagli

Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Agenda Presentazioni Identity & Access Management Il

Dettagli

Gli aspetti di sicurezza nella gestione documentale

<Insert Picture Here> Gli aspetti di sicurezza nella gestione documentale 1 Gli aspetti di sicurezza nella gestione documentale Riccardo Baldini EMEA Oracle UCM Sales Consultant La tutela della sicurezza Perdita di informazioni Assicurazione della privacy

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Marco Misitano, CISSP, CISM Advanced Technologies, Security Cisco Systems Italy misi@cisco.com

Dettagli

Security audit per le stampanti di rete. Danilo Massa

Security audit per le stampanti di rete. Danilo Massa Security audit per le stampanti di rete Danilo Massa Agenda Secure printing Standard di sicurezza Rischi Audit Domande e risposte Secure printing Le stampanti di rete sono in realtà dispositivi multifunzionali

Dettagli

Perché abbiamo problemi di sicurezza? Sicurezza nel computer dell utente. Sicurezza. Sicurezza. Nota di Copyright

Perché abbiamo problemi di sicurezza? Sicurezza nel computer dell utente. Sicurezza. Sicurezza. Nota di Copyright SICUREZZA INFORMATICA RETI DI CALCOLATORI II Introduzione Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine Nota di Copyright Questo insieme di trasparenze (detto nel seguito

Dettagli

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise

Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Accesso remoto sicuro alla rete aziendale La tecnologia PortWise Luigi Mori Network Security Manager lm@symbolic.it Secure Application Access. Anywhere. 1 VPN SSL Tecnologia di accesso remoto sicuro alla

Dettagli

L iniziativa OAI e il Rapporto 2009

L iniziativa OAI e il Rapporto 2009 L iniziativa OAI e il Rapporto 2009 Marco R.A. Bozzetti Past President FidaInform e ClubTI Milano GeaLab Srl, Malabo Srl Indice 1. L iniziativa OAI, Osservatorio Attacchi Informatici in Italia 1. Il Rapporto

Dettagli

Sicurezza in Internet. Criteri di sicurezza. Firewall

Sicurezza in Internet. Criteri di sicurezza. Firewall Sicurezza in Internet cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Criteri di sicurezza Servizi di filtraggio Firewall Controlli di accesso Servizi di sicurezza Autenticazione Riservatezza,

Dettagli

Sicurezza in Internet

Sicurezza in Internet Sicurezza in Internet Mario Cannataro cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni

Dettagli

SICUREZZA INFORMATICA RETI DI CALCOLATORI II. Introduzione

SICUREZZA INFORMATICA RETI DI CALCOLATORI II. Introduzione SICUREZZA INFORMATICA RETI DI CALCOLATORI II Introduzione Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1 Nota di Copyright Questo insieme di trasparenze (detto nel seguito

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall I firewall Perché i firewall sono necessari Le reti odierne hanno topologie complesse LAN (local area networks) WAN (wide area networks) Accesso a Internet Le politiche di accesso cambiano a seconda della

Dettagli

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa

Dettagli