Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

Transcript

1 Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007

2 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle minacce della IT Security: La sicurezza proattiva. Siamo nel campo della cosiddetta sicurezza proattiva: in poche parole, prevenire è meglio che curare. Le verifiche di sicurezza sono generalmente chiamate Penetration Test o Security Assessment : sono eseguite da personale altamente specializzato con un forte background tecnico. C è un estrema necessità di etica professionale e riservatezza: in un penetration ti testt tuttitti i segreti di un azienda vengono portati ti allo scoperto.

3 Sicurezza Proattiva 3 Prima del rilascio ufficiale della prima release dell OSSTMM p (Open Source Security Testing Methodology Manual) non esisteva una metodologia specifica per i Security Test che rispettasse allo stesso tempo la privacy delle persone e delle informazioni e che tenesse conto delle esigenze dei penetration tester in termini di standard, modularità, libertà di integrazione e che soprattutto sia liberamente utilizzabile.

4 Significato di sicurezza Proattiva 4 Tramite Vulnerability Scanning e Penetration Testing, oltre che attacchi complessi come quelli dell Ethical Hacking, eseguiamo verifiche proattive, direttamente sul campo, mirate alla sicurezza della informazioni. L obiettivo è di scoprire i punti deboli di un sistema, un ambiente o una rete utilizzando tecniche invasive ma non dannose valutando diversi vettori di attacco: esterno, VPN, interno, e quanto già presentato come attacco nella parte precedente della presentazione.

5 Sicurezza Proattiva 5 [ Terminologie e modi di dire nel mercato ICT Security italiano ] : Test di intrusione/penetrazione, Ethical Hacking In Italia si muovono i primi passi nel settore del pen-testing. Pochi ma buoni : Vulnerability/Security Assessment, Test di vulnerabilità, *Security*Assessment, Super-Ethical-Hacking di tutto un po Il chaos: nicchia di mercato a crescita esponenziale. Improvvisazione, terminologie errate nel pre-sale, mancanza di procedure ed esperienza nell esecuzione della commessa, pen-tester presi al volo in esterno: falso senso di sicurezza, delusione: processo incompleto : Penetration Testing, Ethical Hacking. Aumenta la richiesta di chiarezza e garanzie da parte dei clienti: referenze, liberatorie, specialisti, trasparenza sui processi di security testing, riferimento a metodologie, training-on-the-job : Certified Security Testing/Auditing Nasce la voglia di unire gli standard e creare processi di valutazione a 360 : vengono applicate verifiche teoriche (ISO17799/BS7799, OCTAVE, COBIT, ISM3, CRAMM, etc..) epratiche (OSSTMM, OWASP) internazionalmente i t riconosciute. i

6 Gli Obiettivi di un Security Test 6 Identificare la sicurezza perfetta, o modelli a cui rifarsi e determinare il gap con la sicurezza attuale. Individuare i Business Risks Il rischio della perdita di business legato ad un motore di ricerca per cartoni animati è sicuramente differente da quello di un istituzione finanziaria o di un istituto ospedaliero. Individuare tutte le violazioni della privacy, sia a livello interno che esterno. Rischi di violazione della privacy per i client, gli impiegati e per l azienda. Individuare eventuali esposizioni dei processi Questa è la crossline con il Risk Assessment.

7 Limiti di un Security Test 7 Perdita di business Possibili disservizio durante lo svolgimento dei test. Dispendio di energie e di risorse La reazione degli impiegati durante lo stato di allerta. Falso senso di sicurezza Anche se un test da risultato positivo, la sicurezza si evolve, gli attaccanti anche. Può essere molto superficiale E non ha valore se i problemi rilevati non vengono risolti. Motivazioni politiche Un security test non può risolvere i conflitti politici interni all azienda azienda e se il capo dice di aver ragione, ha ragione.

8 Classificazione dei Test di sicurezza 8 Vulnerability Scanning Security Scanning Penetration Testing Risk Assessment Security Auditing Ethical Hacking OSSTMM Security Testing

9 Classificazione dei Test di sicurezza 9 (1) Vulnerability Scanning Verifiche automatizzate Report in lingua inglese Alto numero di falsi positivi e negativi (falsi allarmi, falso senso di sicurezza ) Si limita alla parte IP (2) Security Scanning Scanning automatizzato, verifiche manuali Report in lingua inglese o italiana Tuning manuale dei falsi positivi e negativi Si limita alla parte IP

10 Classificazione dei Test di sicurezza 10 (3) Penetration Testing: Azioni di verifica eseguite manualmente secondo metodologie proprietarie Report in lingua italiana del Tiger Team Possibilità di abbinare opzioni quali: Social Engineering,Trashing, Physical Intrusion, Web Applications Security Testing. Non si limita it alla parte IP Aumenta il tempo di esecuzione (4) Risk Assessment: Azioni di valutazione e correlazione tra i dati raccolti nelle operazioni di testing ed il valore aziendale del rischio. I risultati possono essere generati dalle 3 precedenti metodologie di analisi tecnica del rischio).

11 Classificazione dei Test di sicurezza 11 (5) Security Auditing Azioni di auditing dell'intera infrastruttura informativa Personalizzazione del report Puo' essere il risultato di metodologie di sicurezza proattive sposate con le metodologie dell'analisi del rischio (6) Ethical Hacking Azioni di verifica a 360 Eseguito con limitazioni ambientali e/o temporali Tuning manuale dei falsi positivi e negativi Azioni congiunte di Penetration Test, Phreaking, Social Engineering, Reverse Engineering, etc.

12 Classificazione dei Test di sicurezza (7) Posture Assessment & Security Testing (OSSTMM) 12 Azioni ripetute di verifica e confronto eseguite in un arco temporale predefinito con il Cliente Le analisi si basano su fattori conoscitivi iniziali (scaturiti da precedenti azioni di testing) e sono eseguite secondo la metodologia OSSTMM, ripetibile e quantificabile Il Report e' redatto in lingua italiana e rispetta le guidelines standard (legislative e best practice ) Il Report finale e' certificato OSSTMM

13 Riferimenti e link utili 13 Riferimenti: p// Link utili: