Audit dei sistemi di posta elettronica Presentazione per Danilo Massa GIAC GCIH, GCFA, GREM certified professional Torino 27 gennaio 2011
Agenda Introduzione Dominio dell audit Procedurale e legale Architetturale Sicurezza tecnica Soluzioni in house ed in the cloud Domande e risposte
Introduzione Nel 1971, Raymond Samuel Tomlinson, «inventava» la moderna posta elettronica inviando un messaggio tra due elaboratori DEC KA10 (PDP- 10), situati nello stesso ufficio, usando la rete ARPANET a cui erano connessi L inventore non ricorda il testo della prima mail, ma propende per qualcosa del tipo: QWERTYUIOP
Introduzione Oggi, si parla sempre più spesso dei sistemi di «collaboration», che integrano al loro interno: Posta elettronica Chat Video chiamate File sharing avanzato Su dispositivi sempre più «mobili».
Introduzione che utilizzano nuove piattaforme
Introduzione su cui operano piccoli e grandi nomi:
Dominio dell audit L audit di un sistema di posta può coprire ambiti diversi tra loro ma parzialmente sovrapposti, andando quindi ad analizzare diversi aspetti dei sistemi di mail o collaboration Procedurale e legale Architetturale Sicurezza tecnica
Procedurale e legale Oggetto dell audit: policy e procedure Le policy e le procedure devono indirizzare gli utenti e l azienda ad un uso corretto dello strumento, per evitare non solo problemi economici, ma anche legali, architetturali e di sicurezza. Uso consentito (privacy, peculato, ) Le informazioni che si possono inviare (data classification) Le modalità di accesso consentite Le modalità di archiviazione e backup (DRP, BCP, ) Le procedure per la gestione degli incidenti L adeguamento a norme e decreti (DPS, )
Procedurale e legale Rischi La mancanza di policy e procedure ben definite possibilmente sottoscritte/note agli utenti può portare a: Danni economici (hardware, gestione, ) Divulgazione di informazioni riservate Problemi legali (spam, stalking, ) Perdita delle informazioni (cancellazione, incidenti, ) Errori nell acquisizione delle evidenze digitali di reato
Architetturale Oggetto dell audit: le infrastrutture ed i servizi La posta elettronica ed in generale i sistemi di collaboration necessitano di una infrastruttura IT complessa in cui audit comporta l esame di molte componenti: Architettura alto livello (topologia, ruoli, ) Componenti server (cluster, bilanciatori, ) Client attended ed unattended Sistemi di backup per server (standard, inline, ) Sistemi di backup per client Sistemi di monitoring Capacity (dimensioni delle caselle, backup, ) Design e progettazione sistemi ed integrazioni
Architetturale Rischi Sistemi non perfettamente gestiti, configurati e manutenuti possono generare: Incremento dei costi di gestione Indisponibilità del servizio Integrazioni «fuzzy» (sicurezza ridotta) Perdita di informazioni (crash, errori di configurazione, ) Uso improprio dello strumento (database, EDI, )
Architetturale esempio Exchange 2007 2007 Microsoft Corporation - Authors: Martin McClean& Astrid McClean (Microsoft Australia)
Sicurezza tecnica Oggetto dell audit: configurazioni, protocolli, Con architetture complesse, la sicurezza diviene anch essa complessa e l auditor deve tenere conto di diversi aspetti: Sistemi anti-malware (virus, spam, ) Analisi tecniche (VA e/o PT) Sistemi di backup e loro implementazione (cifratura) Strumenti per il data leak/loss prevention Sistemi per la correlazione dei log (gestione incidenti) Sistemi per il digital forensic (acquisizione, )
Sicurezza tecnica Rischi La mancata implementazione di corrette procedure e di appositi strumenti per la sicurezza nei sistemi di mail e collaboration può portare a: Furto delle informazioni Intercettazioni «digitali» Danni economici Danni all immagine aziendale Furto di identità
Dominio dell audit Modalità di esecuzione dell audit L approccio più immediato per la progettazione e l esecuzione di un audit completo è il classico top down Procedurale e legale Architetturale Sicurezza tecnica Figure professionali: Auditor COBIT/ITIL/ISO Architetto sistemi di posta Auditor sicurezza tecnica Legale
Soluzioni in house e in the cloud Quando conviene mettere le applicazioni sul cloud? Ad oggi diverse aziende italiane hanno già spostato parte dei loro sistemi aziendali sul cloud e molte sono partite appunto dalla posta elettronica, implementando diversi scenari in cui il cloud è usato come: archivio di posta elettronica servizio di posta per consulenti/esterni unico servizio di posta e collaboration aziendale Questo è accaduto in aziende che non necessariamente avevano i propri sistemi in outsourcing
Soluzioni in house e in the cloud Pro e contro: caso in house I principali punti a favore di una soluzione in house sono: controllo totale dei sistemi/applicazioni/dati integrazione stretta con altri sistemi aziendali (VOIP) elevato livello di sicurezza (cifratura, DLP, ) possibilità di acquisizione evidenze digitali di reato monitoraggio efficace I principali punti a sfavore sono: costi elevati (hw, sw, energia, ) provisioning di nuove risorse non efficiente personale dedicato
Soluzioni in house e in the cloud Pro e contro: caso in the cloud I principali punti a favore di una soluzione cloud sono: costi ridotti provisioning di risorse efficiente I principali punti a sfavore sono: perdita di controllo (dove sono i miei dati?) integrazione con sistemi aziendali difficoltosa livello di sicurezza basso o non adeguato acquisizione evidenze di reato problematica «audit» basato solo su SLA/KPI a contratto
Conclusioni L esecuzione di un audit completo sotto tutti gli aspetti di un sistema di mail/collaboration è molto complesso, in quanto: i sistemi di collaboration sono sempre più integrati con media diversi (fax, telefono, video conferenza, ) la quantità di informazioni condivise su questi media è enorme non esistono strumenti tecnici integrati che diano una visione completa dei sistemi per la loro governance
Conclusioni E molto importante ricordare che lo scopo finale di un audit è quello di fornire le necessarie informazioni e linee guida per migliorare sistemi e processi. In questo caso è però forse più facile evidenziare la forte interrelazione che vi è tra le procedure, le architetture e la sicurezza, di cui è necessario tenere conto in ogni remediation plan.
Domande e risposte Domande e risposte