Transcript

1 SANS INSTITUTE: CRITICAL SECURITY CONTROLS V6.0 pubblicato dal Center for Internet Security come CCSC «CIS Critical Security Controls for Effective Cyber Defense» nella versione 6.0 di ottobre (SANS INSTITUTE) CIRCOLARE 18 aprile 2017, n. 2/2017. Sostituzione della circolare n. 1/2017 del 17 marzo 2017, recante: Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1 agosto 2015)». Art. 5 Tempi di attuazione Entro il 31 dicembre 2017 le amministrazioni dovanno attuare gli adempimenti ivi previsti. Traduzione a cura di Glauco Riem PROCEDURE È fondamentale la rilevazione delle anomalie operative e ciò rende conto dell importanza data agli inventari, che costituiscono le prime due classi di misure, nonché la protezione della configurazione, che è quella immediatamente successiva (terza classe). La quarta classe deve la sua priorità alla duplice rilevanza dell analisi delle vulnerabilità. In primo luogo le vulnerabilità sono l elemento essen- ziale per la scalata ai privilegi che è condizione determinante per il successo dell attacco; pertanto la loro eliminazione è la misura di prevenzione più efficace. Secondariamente si deve considerare che l analisi dei sistemi è il momento in cui è più facile rilevare le alterazioni eventualmente

2 intervenute e rilevare un attacco in corso. La quinta classe è rivolta alla gestione degli utenti, in particolare gli amministratori. La sua rilevanza è dimostrata dall ascesa, accennata in premessa, dal 12 al 5 posto nelle SANS 20, motivata dalle considerazioni cui si è fatto riferimento poco dianzi. La sesta classe deve la sua considerazione al fatto che anche gli attacchi complessi prevedono in qualche fase l installazione di codice malevolo e la sua individuazione può impedirne il successo o rilevarne la presenza. Le copie di sicurezza, settima classe, sono alla fine dei conti l unico strumento che garantisce il ripristino dopo un incidente. L ultima classe, la protezione dei dati, deve la sua presenza alla considerazione che l obiettivo principale degli attacchi più gravi è la sottra- zione di informazioni. ACRONIMI: CSC 1 Inventario dei dispositivi autorizzati e non autorizzati. Gestire attivamente (inventariare, tracciare e monitorare) tutti i dispositivi hardware della rete in modo che solo i dispositivi autorizzati ricevano accesso e che i dispositivi non autorizzati e non gestiti siano identificati e non autorizzati all accesso. Inventory of Authorized and Unauthorized Devices

3 Actively manage (inventory, track, and correct) all hardware devices on the network so that only authorized devices are given access, and unauthorized and unmanaged devices are identified and prevented from gaining access. CSC 2 Inventario dei Software autorizzati e non autorizzati: Gestire attivamente (inventariare, tracciare e monitorare) tutto il software utilizzato internamente in modo che solo software autorizzato sia installato e possa essere eseguito e se si trova un software non autorizzato se ne deve impedire l'installazione e l'esecuzione. Inventory of Authorized and Unauthorized Software Actively manage (inventory, track, and correct) all software on the network so that only authorized software is installed and can execute, and unauthorized and unmanaged software is located and prevented from installation or execution. CSC 3 Configurazioni sicure per l'hardware e Software su dispositivi mobili, laptop, workstation e server Stabilire, attuare e gestire attivamente la configurazione di sicurezza dei computer e dei dispositivi elettronici portatili, dei server e delle workstation mediante una gestione di configurazione rigorosa e del costante controllo delle modifiche (eventualmente apportate dall utente), per impedire agli attaccanti di sfruttare servizi ed impostazioni vulnerabili. Secure Configurations for Hardwareand Software on Mobile Devices, Laptops, Workstations, and Servers Establish, implement, and actively manage (track, report on, and correct) the security configuration of laptops, servers, and workstations using a rigorous configuration management and change control process in order to prevent attackers from exploiting vulnerable services and settings. CSC 4 Costante analisi delle vulnerabilità e valutazione dei relativi rimedi:

4 Acquisire, valutare e agire continuamente sulle nuove informazioni per individuare le vulnerabilità e per rimediare e ridurre al minimo le opportunità degli attaccanti. Continuous Vulnerability Assessment and Remediation Continuously acquire, assess, and take action on new information in order to identify vulnerabilities, and to remediate and minimize the window of opportunity for attackers CSC 5 Uso controllato di Privilegi amministrativi: Tracciare, controllare, prevenire e corregge l'utilizzo, l'assegnazione e la configurazione dei privilegi amministrativi sui computer, sulle reti e sugli applicativi. Controlled Use of Administrative Privileges Track, control, prevent, and correct the use, assignment, and configuration of administrative privileges on computers, networks, and applications. CSC 6 Manutenzione, monitoraggio e analisi dei registri di controllo: Raccogliere, gestire ed analizzare i registri di controllo degli eventi che potrebbero aiutare a rilevare le non conformità, comprendere o effettuare un ripristino del sistema dopo un attacco. Maintenance, Monitoring and Analysis of Audit Logs Collect, manage, and analyze audit logs of events that could help detect, understand, or recover from an attack. CSC 7 e browser Web protezioni: Minimizzare e ridurre l area eventualmente aggredita e le opportunità per gli attaccanti di manipolare il comportamento umano attraverso la loro interazione con i browser web ed i sistemi di posta elettronica. and Web Browser Protections Minimize the attack surface and the opportunities for attackers to manipulate human behavior through their interaction with web browsers and systems.

5 CSC 8 Malware Defenses: Controllare l'installazione, la diffusione e l'esecuzione di codici dannosi alla rete aziendale, ottimizzando l'utilizzo dell'automazione per consentire un rapido aggiornamento della difesa, della raccolta di dati e delle azioni correttive. Malware Defenses: Control the installation, spread, and execution of malicious code at multiple points in the enterprise, while optimizing the use of automation to enable rapid updating of defense, data gathering, and corrective action. SC 9 Limitazione e controllo delle porte di rete, protocolli e servizi: Gestire (tracciare, controllare e correggere) con continuità l'utilizzo di porte logiche, protocolli e servizi su dispositivi in rete al fine di minimizzare le possibili vulnerabilità che gli attaccanti potrebbero utilizzare. Limitation and Control of Network Ports, Protocols, and Services Manage (track, control, and correct) the ongoing operational use of ports, protocols, and services on networked devices in order to minimize windows of vulnerability available to attackers. CSC 10 Recupero dati: Capacità di correggere in modo appropriato le informazioni critiche con una metodologia collaudata al fine di un ripristino tempestivo dei dati. Data Recovery Capability Properly back up critical information with a proven methodology for timely recovery. SC 11 Configurazioni sicure per dispositivi di rete quali firewall, router e switch: Stabilire, implementare e gestire attivamente la configurazione di protezione dei dispositivi dell'infrastruttura di rete utilizzando la rigorosa gestione della configurazione e il

6 processo di controllo delle modifiche per impedire agli attacchi di sfruttare servizi e impostazioni vulnerabili. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches Establish, implement, and actively manage (track, report on, and correct) the security configuration of network infrastructure devices using a rigorous configuration management and change control process in order to prevent attackers from exploiting vulnerable services and settings. CSC 12 Difesa del confine: Rilevare, prevenire e corregge il flusso di trasferimento delle informazioni in rete ed i relativi diversi livelli di sicurezza con particolare riguardo agli oggetti logici che possano essere dannosi alla sicurezza. Boundary Defense Detect, prevent, and correct the flow of information-transferring networks of different trust levels with a focus on security-damaging data. CSC 13 Protezione dati: Evitare e limitare il diffondersi non autorizzato di dati minimizzandone gli effetti e garantendo la privacy e l'integrità delle informazioni e dei dati sensibili. Data Protection Prevent data exfiltration, mitigate the effects of exfiltrated data, and ensure the privacy and integrity of sensitive information. CSC 14 Accesso controllato basato sul bisogno di sapere: Monitorare, controllare, prevenire, correggere e proteggere l'accesso a risorse critiche (ad esempio, informazioni, risorse, sistemi) secondo un individuazione formale di operatori, di computer ed applicazioni che li devono utilizzare e che hanno il diritto di accesso alle informazioni e ciò in base ad una autorizzazione preventivamente data ed approvata. Controlled Access Based on the Need to Know

7 Track, control, prevent, correct, and secure access to critical assets (e.g., information, resources, systems) according to the formal determination of which persons, computers, and applications have a need and right to access these critical assets based on an approved classification. CSC 15 Controllo accessi wireless: Monitorare, controllare, prevenire e correggere l'utilizzo di sicurezza delle reti locali wireless, dei punti di accesso e dei sistemi client wireless. Wireless Access Control Track, control, prevent, and correct the security use of wireless local area networks (LANS), access points, and wireless client systems. CSC 16 Monitoraggio dell'account e controllo: Gestire attivamente il ciclo di vita degli account di sistema e delle applicazioni - la loro creazione, l'uso, la dormienza e la cancellazione - al fine di ridurre al minimo le opportunità per gli attaccanti di sfruttarli. Account Monitoring and Control Actively manage the lifecycle of system and application accounts their creation, use, dormancy, deletion in order to minimize opportunities for attackers to leverage them. CSC 17 Valutazione delle competenze in materia di sicurezza e adeguata formazione per colmare le lacune: Identificare le conoscenze, le competenze e le abilità specifiche necessarie per sostenere la difesa dell'impresa; sviluppare ed eseguire un piano integrato per valutare, individuare e rimediare le lacune, attraverso politiche, programmi di pianificazione organizzativa, formazione e sensibilizzazione per tutti i ruoli funzionali dell'organizzazione. Security Skills Assessment and Appropriate Training to Fill Gaps Identify the specific knowledge, skills, and abilities needed to support defense of the enterprise; develop and execute an integrated plan to assess, identify and remediate

8 gaps, through policy, organizational planning, training, and awareness programs for all functional roles in the organization. CSC 18 Sicurezza software applicativo: Gestire il ciclo di vita di tutti i software sviluppati e acquisiti in house per prevenire, individuare e correggere le debolezze della sicurezza. Application Software Security Manage the security lifecycle of all in-house developed and acquired software in order to prevent, detect, and correct security weaknesses. CSC 19 Risposta a incidenti e gestione: Proteggere le informazioni dell'organizzazione, così come la sua reputazione, sviluppando e implementando un'infrastruttura di risposta a criticità (attraverso piani, ruoli definiti, formazione, comunicazioni, supervisione di gestione). Incident Response and Management Protect the organization s information, as well as its reputation, by developing and implementing an incident response infrastructure (e.g., plans, defined roles, training, communications, management oversight). CSC 20 Test di penetrazione ed esercitazioni del Red Team: Testare la resistenza delle difese di un'organizzazione (tecnologia, processi e persone) simulando gli obiettivi e le azioni di un aggressore dandone prova in appositi documenti e verbali redatti ad hoc. Penetration Tests and Red Team Exercises: Test the overall strength of an organization s defenses (technology, processes, and people) by simulating the objectives and actions of an attacker.