OMNIA GROUP OMNIA BUSINESS SECURITY 2014 KEEP YOUR BUSINESS SAFE ITSECURITY

Transcript

1 OMNIA GROUP BUSINESS SECURIY 2014 KEEP YOUR BUSINESS SAFE ISECURIY OMNIA

2 I SECURIY OMNIA // SOLUZIONI AVANZAE PER LA SICUREZZA INFORMAICA est sulle vulnerabilità, prove di attacco informatico, messa in sicurezza del codice di software, applicazioni e piattaforme web. La nuova divisione Omnia Group per rendere sicuri tutti i tuoi sistemi aziendali. U n attacco di cyber-spionaggio per il furto di dati sensibili in un Azienda viene scoperto in media 458 giorni dopo il suo inizio. 15 Nella maggior parte dei casi, il personale si accorge di quello che sta succedendo solo perché avvertito da Enti Governativi. MESI DI FURO DI DAI OGNI ANNO, VENGONO UCCISE PIÙ PERSONE DAI MAIALI CHE DAGLI SQUALI. QUESO MOSRA QUANO SIAMO BRAVI A VALUARE I RISCHI. (BRUCE SCHNEIER) 2

3 I SECURIY OMNIA CYBER-CRIME & HACKING Confidenzialità e sicurezza delle nostre informazioni sono messe in pericolo ogni giorno. SIAMO DAVVERO SICURI? Abbiamo usato una citazione di Bruce Schneier, uno dei maggiori esperti di sicurezza informatica, per spiegare uno dei dati sulla sicurezza I più importanti: molto spesso il top management è convinto di conoscere SISEMI ALAMENE VULNERABILI perfettamente beni, informazioni e rischi della propria azienda, ma dopo una corretta analisi rimane sconcertato e scopre di aver avuto per anni una visione parziale e distorta. software, hardware, reti, applicativi, codice, server aziendali 3

4 I SECURIY OMNIA IALIA SOO AACCO In Italia c è una forte sottovalutazione del pericolo, soprattutto nelle Piccole e Medie Imprese. PRIMI IN EUROPA ED USA 42% Aumento degli attacchi informatici nell anno 2013 In generale, le aziende tendono a sottovalutare il problema e a ritenere che le contromisure adottate a protezione di un sistema siano sufficienti a scongiurare un attacco informatico. 604 Migliaia di profili con dati sensibili rubati per ogni attacco Nei primi 6 mesi del 2013 l Italia si è conquistata la maglia nera come nazione più colpita da attacchi informatici in tutta l Europa occidentale e Nord America. 247 Migliaia di attacchi web scoperti e fermati ogni giorno 4

5 I SECURIY OMNIA DAI CYBER-CRIME RUSSIA USA AFRICA Gli attacchi informatici nel mondo sono in crescita dal L Italia ha il primato in Europa con il 44% dei sistemi attaccati per furto di password e dati bancari

6 I SECURIY OMNIA // NON CAPIERÀ MAI A ME LA SESSA COSA... Lo pensano tutte le aziende: in psicologia si chiama l «illusione della sicurezza». La stessa per cui allacciamo la cintura in aereo. I casi a seguire sono pubblici: la maggior parte delle aziende non dichiara gli attacchi subiti per paura di problemi legali. Spesso anche le grandi aziende non hanno sistemi di sicurezza adeguati, come dimostrano i casi seguenti. Oltre il 92% delle piccole e medie imprese non hanno nessun sistema di sicurezza e non ne sono neanche consapevoli. I casi a seguire sono molti noti; tuttavia, la maggior parte delle 39% AZIENDE aziende non dichiara gli attacchi subiti per paura di problemi legali. Aprile PlayStation numeri di carta di credito non USA ed informazioni su 77 milioni di account rubati. Danni per 171 milioni di dollari. che subiscono attacchi informatici hanno meno di 250 dipendenti ILLUSIONE DELLA SICUREZZA Febbraio Symantec (Norton Antivirus) - Furto, tentata estorsione e pubblicazione di 1,27 Giga di codice sorgente. Luglio Linkedin - Furto della password per oltre 6 milioni di utente. Agosto POS di migliaia di Aziende in Australia - Furto dei dati di Carte di Credito; lo stesso gruppo criminale aveva già hackerato i terminali Subway. «NON FARE MAI PREVISIONI», DISSE UN UOMO SAGGIO: «SOPRAUO SUL FUURO». 6

7 I SECURIY OMNIA // QUALI SONO I RISCHI? Nel 97% dei casi, i nostri test mostrano vulnerabilità nel sistema. Nel 32% dei casi, queste 97% 32% vulnerabilità coinvolgono l accesso a dati finanziari e legali sensibili. Nel 18% dei casi, i danni potenziali per un intrusione nel sistema ammontano ad oltre 3 milioni di euro. 18% USO LIMIAO DI SISEMI PROEIVI Secondo l Italian Cyber Security Report, studio realizzato dall università La Sapienza di Roma, il primato di attacchi informatici italiano è legato a un uso limitato di sistemi protettivi: solo nel 33% dei casi siamo consapevoli dei rischi legati alla sicurezza. 7

8 I SECURIY OMNIA // I NOSRI SERVIZI OMNIA SICUREZZA I Omnia ti accompagna in un percorso a 360 gradi di messa in sicurezza di tutti i dati sensibili presenti in azienda o nelle applicazioni software. Omnia analizza la situazione dei sistemi applicativi e delle reti aziendali e pone correttivi che risolvano le vulnerabilità del sistema. Penetration est (P) - Prova di attacco per valutare la sicurezza di un infrastruttura I e la possibilità di accedere a dati, policies ed informazioni riservate. Vulnerability Assessment (VA) - Individuazione delle vulnerabilità presenti nelle componenti applicative e infrastrutturali dei sistemi e delle reti aziendale. Code Review - Individuazione e correzione degli errori di sicurezza del codice sorgente di software ed applicazioni sviluppate dall azienda o da fornitori esterni. 8

9 I SECURIY OMNIA // VULNERABILIY ASSESSMEN (VA) L obiettivo principale di un VA consiste nell individuare in maniera analitica ed esaustiva le varie tipologie di vulnerabilità presenti nelle componenti applicative ed infrastrutturali del sistema/rete da analizzare. Il Vulnerability Assessment permette di fotografare lo stato dell infrastruttura I nel momento in cui viene eseguito e supportare la pianificazione di misure correttive efficaci e mirate a diminuire i rischi. Lo scopo di un VA è quello di verificare: l effettiva attuazione delle politiche di sicurezza; lo stato di hardening dei server anche in termini di analisi delle porte; l aggiornamento dei sistemi operativi e degli applicativi. Prima Fase - Definizione dominio e pianificazione - Viene formalizzato il dominio di intervento, concordate le tecniche di indagine, le modalità operative, le risorse da predisporre per la conduzione dell attività e sono acquisite le informazioni inerenti l architettura di rete e le piattaforme applicative coinvolte. Sono concordate con il Cliente le rules of engagement, ossia le modalità di dettaglio con cui il test deve essere svolto e l ambito di esecuzione dello stesso. Seconda Fase - Network Scanning - Lo scopo dello scanning è quello di identificare il maggior numero di informazioni sui sistemi in rete, identificando la tipologia di apparato, il sistema operativo con il livello di patching ed i servizi attivi. erza Fase - Vulnerability Discovery - In questa fase si cerca di individuare le vulnerabilità che potrebbero essere sfruttate da un attaccante. Quarta Fase - Reporting - La fase finale prevede l elaborazione dei risultati, la redazione e la consegna al cliente di tutta la documentazione relativa all attività svolta, la descrizione delle vulnerabilità individuate e l indicazione delle correzioni suggerite per sanare i problemi riscontrati. ools & Metodologie Per le operazioni di scanning e vulnerability discovery vengono utilizzati un insieme di strumenti e tool, principalmente OpenSource. Ad esempio, per la fase di scanning vengono impiegati programmi quali Nmap, hping2/3, arpscan, UnicornScan, Snmpwalk, xprobe2, IkeScan, SipScan e numerosi altri. Prima di eseguire la fase di vulnerability discovery viene svolta un analisi dei risultati ottenuti dalla fase di scanning per individuare lo strumento più adatto in base alla tipologia di target rilevato (ad esempio device di rete/voip, server, servizio web, ecc.). Gli strumenti proposti per questa fase sono numerosi, fra i principali, dobbiamo sicuramente citare NeXpose, OpenVAS e Nessus. Nessus è un Network Security Scanner in grado di analizzare da remoto i sistemi e determinare se è possibile penetrare in essi, sfruttando specifiche vulnerabilità con un ampio e aggiornatissimo database. Nessus è considerato uno dei migliori Security Vulnerability Scanner presenti sul mercato. Ogni vulnerabilità riporta il riferimento numerico CVE (Common Vulnerabilities and Exposure). La metodologia utilizzata principalmente è la OSSMM 3.0 (Open Source Security esting Methodology Manual ISECOM, personale certificato OPS. 9

10 I SECURIY OMNIA // PENERAION ES (P) Il Penetration est (P) è un servizio di sicurezza offensiva atto a valutare la sicurezza di un infrastruttura I e l eventuale capacità di individuare e di reagire ad attacchi informatici, anche accidentali. Il Penetration est può anche avere l obiettivo di valutare realmente e tecnicamente la possibilità di eseguire un escalation of privilege nell accedere a dati ed informazioni riservate, del non rispetto di una policy aziendale oppure della possibilità di leakage di dati classificate da parte di un insider infedele o di un consulente esterno (esempio furto di dati contabili, brevetti, codice sorgente, ecc.). Prima Fase - Footprinting (raccolta informazioni) Questa fase ha lo scopo di raccogliere il maggior numero d informazioni sull obiettivo che si intende attaccare senza toccare l obiettivo stesso, ovvero effettuando una cosiddetta analisi non invasiva. Seconda Fase - Scanning (analisi dell infrastruttura) L obiettivo dello scanning è ottenere una mappa il più dettagliata possibile del sistema da attaccare; ciò significa acquisire informazioni su quali ip dei blocchi di rete trovati nella fase precedente siano effettivamente contattabil, scoprire che servizi abbiano attivi (CP/UDP portscan) e che sistemi operativi nascondano. erza Fase - Enumeration (enumerazione dei servizi) Con questa fase si inizia l analisi invasiva infatti si effettuano connessioni dirette ai server ed interrogazioni esplicite. Attraverso l enumerazione si vuole giungere a identificare, sulle macchine riscontrate come raggiungibili, degli account validi, delle risorse condivise e delle applicazioni attive sulle porte in ascolto. Quarta Fase - Gaining access (sfruttamento vulnerabilità, tecniche di evasione) Una volta ottenute le informazioni del punto precedente inizia il vero e proprio attacco che ha come obiettivo il riuscire ad entrare (penetrare) nel sistema. 10 I metodi utilizzati si basano sostanzialmente sulla ricerca di password corrispondenti agli utenti trovati (password guessing), sullo sfruttamento d errori progettuali delle applicazioni e servizi attivi sul server (buffer overflows, Sql Injection, ecc.) o del sistema operativo stesso. Quinta Fase - Escalating Privileges (opzionale) L obiettivo di questa fase è sfruttare i risultati ottenuti nella fase precedente per ottenere il pieno controllo del sistema remoto attaccato. Sesta Fase - Pilfering (opzionale) Se si giunge a questa fase significa che si è ottenuto il pieno controllo del sistema target. Quindi è bene valutare la configurazione del sistema stesso al fine di capire se, dove e cosa il sistema registra (logs), eventualmente si disabilita l auditing. Settima Fase - Covering traces / backdoors (opzionale) Prima di abbandonare il sistema conquistato vengono cancellati i logs ed eventualmente installati trojan o backdoors che consentono di rientrare facilmente sulla macchina in un secondo momento. Il P rappresenta un servizio di elevato livello tecnico con un più alto valore aggiunto rispetto al Vulnerability Assessment. Infatti rispetto a quest ultimo non ci si limita ad individuare le vulnerabilità ma si valutano approfonditamente e si cercano di sfruttarle spesso combinando più tecniche assieme anche da domini differenti, ad esempio combinando attacchi applicativi assieme a quelli di rete.

11 I SECURIY OMNIA // PENERAION ES (P) Il P rappresenta un servizio di elevato livello tecnico con un più alto valore aggiunto rispetto al Vulnerability Assessment. Infatti rispetto a quest ultimo non ci si limita ad individuare le vulnerabilità ma si valutano approfonditamente e si cercano di sfruttarle spesso combinando più tecniche assieme anche da domini differenti, ad esempio combinando attacchi applicativi assieme a quelli di rete. In particolare, il Penetration est può essere eseguito su una moltitudine eterogenea di targets (web, rete, wireless, voip, scada, ecc.), al limite su tutta l infrastruttura I del cliente o su una sua parte di essa (rete inside, rete dmz, perimetrale, ecc.). I test possono essere condotti dall interno, dall esterno all organizzazione o da una combinazione di essi a seconda delle specifiche esigenze e degli obiettivi che si vuole perseguire.. Le metodologie utilizzate - Come base per effettuare i Penetration est viene utilizzata una metodologia ormai consolidata nella comunità scientifica internazionale (Isecom OSSMM - Open Source Security esting Methodology Manual). Oltre a questa metodologia generale viene utilizzata anche una serie di indicazioni più tecniche e specifiche per le attività di Security Assessment contenute nel NIS SP Il National Institute of Standards and echnology (NIS) è un agenzia del governo degli Stati Uniti d America che si occupa della gestione delle tecnologie. Il NIS attualmente si sta occupando attivamente delle tessere di identificazione per i dipendenti federali per controllare e prevenire il terrorismo, i criminali e tutti gli accessi non autorizzati all interno di strutture governative e dei loro sistemi informatici. Report Finale - Al termine dell attività viene rilasciato un documento di sintesi che riporta le modalità di esecuzione del Penetration est, l elenco dei controlli effettuati e tutte le vulnerabilità rilevate con le azioni correttive suggerite. ipologie di Attacco Cross-site scripting: attacchi che sfruttano una non corretta validazione dei contenuti restituiti dal server in risposta a richieste HP opportunamente modificate. Parameter tampering: attacchi che sfruttano una non corretta validazione dei parametri passati dal browser al web server. Hidden field manipulation: attacchi che, sfruttando paradigmi di programmazione non sicuri, alterano il valore di parametri applicativi fra due successive richieste HP. Backdoors e opzioni di debug: attacchi basati su errori di configurazione e/o di programmazioni molto noti e diffusi. Stealth commanding: attacchi che mediante tecniche di injection mirano ad eseguire comandi sui server. Forceful browsing: attacchi che mirano ad accedere a risorse protette seguendo percorsi di navigazione non previsti. Buffer overflow: attacchi che comportano l esecuzione di codice arbitrario in assenza di opportuna validazione dei parametri in ingresso. Cookie poisoning: attacchi basati sulla manipolazione dei coockies di sessione HP. Configurazioni errate: attacchi che sfruttano comuni errori di configurazione. Vulnerabilità note: attacchi che sfruttano la mancata applicazione di patch. SQL injection: attacchi che mirano all esecuzione di query non previste sui DBMS di back end. Attacchi HP: manipolazioni degli Header HP. 11

12 I SECURIY OMNIA // SECURIY CODE REVIEW Il Security Code Review, noto anche come Peer Review, è un test sistemico che viene eseguito per esaminare un codice sorgente, identificare e correggere errori a beneficio del miglioramento della qualità del software. Coinvolgere un consultente di Security in ogni fase del Systems Development Life-Cycle (SDLC - ciclo di vita dello sviluppo) comporta un enorme vantaggio sia in termini economici che di performance rispetto ad interventi di revisione in fasi successive. Intervenire a intervalli regolari consente di individuare eventuali problemi nelle prime fasi del ciclo di vita dello sviluppo, in queste fasi il costo per la risoluzione è sensibilmente ridotto. Diverse Forme di Code Review - Esistono diverse forme e modalità di revisione del codice relativamente al livello di formalità richiesto, che possono essere schematizzate nel modo seguente (secondo un grado di formalità crescente): Ad hoc Review; Passaround; Pair programming; Walkthrough; eam Review; Ispezione. Un Risparmio a Lungo ermine - L impatto dell integrazione di un sistema di code review orientata alla security all interno del SDLC comporta un approccio completamente nuovo, sicuro e puntale alle procedure di sviluppo. Adottare fin da subito una procedura di code review si rivela un investimento che nel lungo periodo porterà vantaggi impagabili. Modello Waterfall con Security Code Review 1. Definizione dei requisiti - Requisiti applicativi in termini di security. 2. Definizione dell architettura - Architettura della security applicativa e/o definizione del set di minacce al sistema. 3. Sviluppo - Adozione di best practices orientate alla security; Security esting; Code review orientata alla security. 4. est - Penetration esting. 5. Deploy - Gestione delle configurazioni in termini di security; Deploy secondo criteri di security. Servizi Security Code Review Prevenzione SQL Injection Prevenzione Cross-Site Scripting (XSS) Prevenzione altri tipi di Injection (LDAP, OS Injection, XPA Injection, Mitigation Log Injection, ecc.) Prevenzione Buffer Overflow Messa in sicurezza del sistema di autenticazione ed autorizzazione Prevenzione Cross-Site Request Forger (CSFR) Prevenzione Clickjacking Implementazione di un sistema sicuro di Log Implementazione di un sistema di gestione degli errori orientato alla security Adesione al Secure Development Life Cycle (SDLC) Review con strumenti manuali e automatici Adozione di librerie/classi per la gestione della security 12

13 I SECURIY OMNIA IL GRUPPO OMNIA 5 divisioni di servizi informatici. Oltre 90 dipendenti. 19 anni di esperienza I. Omnia Group ti offre la garanzia di oltre 19 anni di esperienza nell automazione di processi core-business di alcune delle più grandi aziende Italiane, come Coop Italia, Autostrade e Mapei. In Italia le aziende I hanno in media 5 collaboratori e 4 anni di storia. Con i suoi 91 collaboratori, i 19 anni di esperienza, le partnership con multinazionali leader di settore, Omnia Group è in grado di offrirti una partnership tecnologica d eccellenza. CONAACI CONSULENZA GRAUIA contactus@omniagroup.it

14 HAI PROBLEMI...? ABBIAMO LA SOLUZIONE. OMNIA GROUP - SICUREZZA I ISECURIY OMNIA contactus@omniagroup.it