Penetration Test Integrazione nell'attività di internal auditing

Transcript

1 Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing

2 CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT Obiettivi Organizzazione Piattaforma tecnologica 1

3 Telecom Italia Audit & Compliance Services È responsabile: delle attività di revisione sul sistema di controllo interno di tutte le Società del Gruppo italiane ed estere; del presidio della attività di compliance rispetto alle disposizioni di legge e normative interne risorse risorse Torino, Torino, Milano, Milano, Roma, Roma, Rio Rio de de Janeiro Janeiro TI TI AUDIT AUDIT & COMPLIANCE COMPLIANCE SERVICES SERVICES TIAUDIT LATAM TIAUDIT LATAM MODELLI E PROGRAMMI MODELLI E PROGRAMMI DI REVISIONE DI REVISIONE TI TIAUDIT & COMPLIANCE Services ha ha forma forma di di società societàconsortile a r.l. r.l. DIREZIONE DIREZIONE AUDIT AUDIT REVISIONE REVISIONE TECNICA TECNICA DIREZIONE COMPLIANCE DIREZIONE COMPLIANCE Sox 231 CRSA Monitoraggio AP 2

4 Revisione Tecnica REVISIONE REVISIONE TECNICA TECNICA I principali ambiti di intervento riguardano: Rete TLC rete tlc (fissa e mobile) Supervisor IT reti trasmissioni televisive servizi, applicativi di gestione, sicurezza fisica sicurezza logica Sistemi informativi sviluppo/esercizio sistemi OSS, BSS sicurezza delle applicazioni/piattaforme Supervisor Soluzione tecnologiche personalizzate (es. Clientela TOP, Residenziale) Gestione immobiliare ed ambientale ~ 20 persone Torino, Milano, Roma Rio de Janeiro ISA Tecnical Auditor 3

5 Internal Security Assessment - ISA Tipologie di attività Security assessment: la ricerca sistematica delle vulnerabilità di un sistema sia attraverso tool automatici (Vulnerability Assessment) sia attraverso attività manuale (Penetration Test). Technology assessment: analisi dei database e della qualità dei dati. Ambiti di attività svolte nell ambito delle attività di audit, comprese nel Piano di Audit, approvato dal Comitato per il Controllo Interno; seguono iter di audit classico: report => action plan => monitoraggio avanzamenti Non rientrano nella competenza di TI Audit le attività: su sistemi e piattaforme non appartenenti al Gruppo TI (ossia di Clienti esterni) condotte nell ambito del processi di delivery del software (sistemi ed applicazioni in pre-esercizio/collaudo). 4

6 Alcuni dati Numero di vulnerabilità catalogate dal 1995 (fonte juniper) Numero di attacchi con livello di gravità elevata ricevuti da un server di test (honeypot) (fonte cert.org) Q1-Q2,

7 Framework operativo - metodologico Gli elementi fondamentali su cui basare lo sviluppo e la gestione di un gruppo specializzato per le attività di Internal Security Assessment sono stati la creazione di un processo controllato e strutturato L approccio adottato è metodologico robusto proceduralizzato identificato L adozione di un processo ripetibile, gestito ed identificato avviene attraverso: adozione di metodologie internazionalmente riconosciute, quali OWASP e OSSTMM progettazione completa e dettagliata delle attività da effettuarsi tracciamento completo dell attività e del relativo traffico generato 6

8 Ambiente di lavoro controllato Team di lavoro (2 analisti) coordinati da team leader interno (dipendente). TL: supervisore dell intera attività a garanzia del rispetto della metodologia e del perimetro di intervento definito collettore delle informazioni legate all attività di verifica interfaccia unica verso la funzione esaminata Piattaforma e consulenti hardware e software di proprietà di TI-Audit Interconnessione alla rete aziendale e pubblica tramite sistemi di controllo (sistema di tracciamento, IPS/IDS). Utilizzo di personale esterno su base progetto Rotazione di fornitori 7

9 Piattaforma per il tracciamento dell attività Postazioni Team di analisi Piattaforma cattura traffico Sistema di interconnessione protetta per verifiche di tipo internal/external Switch interconnessione con sistema cattura traffico Apparato di verifica traffico per attività di tipo external. Server e servizi da analizzare sistemi piattaforme Sistema con capacità elaborativa adeguata utilizzato per la registrazione di tutto il traffico passante applicazioni Traffico generato in fase di analisi Il traffico viene rediretto sul sistema di tracciamento. Il traffico raggiunge la destinazione senza subire alterazioni. 8

10 Piattaforma cattura traffico La piattaforma per la cattura del traffico (in ingresso e in uscita) nel corso delle attività di Security Assessment garantisce: un sistema di tracciamento (logging), completo e dettagliato delle attività svolte, in modo che sia possibile documentare i test effettuati (ed i relativi risultati). Non meno importante, il tracciamento delle attività garantisce, implicitamente, la possibilità di documentare anche quanto non effettuato la univoca identificazione della risorsa che ha eseguito le attività tecniche di test (Vulnerability Assessment e Penetration Test) la riservatezza delle informazioni acquisite o documentate nel corso dell intervento di audit 9

11 Strumentazione operativa postazioni di lavoro tracciamento interno tracciamento esterno Postazioni di lavoro di proprietà Ti/Audit Le postazioni riconsegnate ogni sera e poste in sicurezza Le postazioni al termine di ogni attività vengono reinstallate da zero Tutto il software presente è di proprietà Ti-Audit e controllato dal Team Leader Unica interfaccia verso i sistemi analizzati Configurazione di tutte le componenti necessarie alla cattura del traffico automatizzata Sistema dotato di firewall per la garanzia del perimetro di analisi Assegnazione univoca di indirizzi IP ad ogni analista Apparato IPS per il monitoraggio attivo (possibilità di blocco) del traffico. Interconnessione verso la rete pubblica fisicamente differente dalla intranet. Raggiungibilità dei sistemi da una sola stanza identificata (VLAN). Assegnazione univoca di indirizzi IP ad ogni analista. Interconnessioni cifrate all interno della VLAN. 10

12 Security Assessment come sicurezza proattiva Obiettivo del Security Assessment è evidenziare i punti deboli di un sistema, un ambiente o una rete utilizzando tecniche invasive ma non dannose, valutando diversi vettori di attacco: esterno, interno, VPN e WiFi. Ambiti di competenza e potenziali attacchi Applications Furto di identità, Spam, Phishing Sfruttamento della banda, attacchi di tipo DOS / DDoS Network Middleware Operation system Furto dati, truffe Controllo intera piattaforma Hardware / Storage Raccolta software illegale, musica o film 11

13 Vulnerability Assessment vs. Penetration test Vulnerability Assessment Utilizza unicamente tool automatici Consente di rilevare unicamente le vulnerabilità per cui è programmato il tool utilizzato Fornisce dati solo sulle macchine direttamente esposte al test Penetration test Combina tool automatici e tecniche manuali È in grado di rilevare problematiche non individuabili da un tool automatico Consente di simulare un'intrusione strutturata in più step combinati, fornendo una misura più precisa del rischio effettivo di ogni vulnerabilità Possibilità di exploiting, allo scopo di verificare l'impatto della vulnerabilità Un attività di Penetration test (Ethical Hacking) è in grado di fornire un analisi molto più precisa e in profondità dello stato di sicurezza dei sistemi analizzati, rispetto ad un attività di Vulnerability Assessment. 12

14 Vettori di attacco 13

15 Conoscenze tecniche presenti nel Gruppo ISA Le professionalità richieste per le attività di Security Assessment, per un adeguata analisi e valutazione delle diverse aree tecnologiche presenti in Telecom Italia, sono: Sistema Operativo (Unix, Microsoft, ecc.) Network (architetture, protocolli, sistemi di sicurezza) Sistemi di telefonica fissa/mobile e televisivi Sistemi OSS, BSS, Web Application, E-commerce Tecniche di attacco e hardening dei sistemi/applicazioni/reti Metodologie di Ethical Hacking (OWASP, OSSTMM) Sistemi crittografici 14

16 Key points Approccio white box dove prima black box Elevata documentabilità delle analisi audit Ambiente fortemente strutturato e controllato Controllo interno dei progetti (team leader) Action plan nel sistema di monitoraggio audit Comprensibilità per il Top delle issue di sicurezza sollevate 15