Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Raoul Chiesa, ISECOM, CLUSIT, OWASP, TSTF.net Fabio Guasconi, UNINFO, ISO/IEC ABI, Roma, 27 Maggio 2008 1
I relatori Raoul Chiesa Director of Communication, ISECOM (USA) Membro del Comitato Direttivo: ISECOM (USA), CLUSIT (IT), OWASP Italian Chapter (USA), Telecom Security Task Force (EU/ASIA) Consulente per le Nazioni Unite in tema di Cybercrime presso l UNICRI (United Nations Interregional Crime & Justice Research Institute) Fabio Guasconi Esperto nazionale UNINFO per l'iso/iec, SC27 Chief of Italian Delegation ISO/IEC JTC1/SC27 2
OSSTMM e ISO/IEC 27001 Le norme e le best practices internazionali sulla sicurezza delle informazioni permettono principalmente di unificare e rendere comparabile l approccio impiegato, riconducendolo quanto più possibile a qualcosa di ripetibile e verificabile. ISECOM per OSSTMM e UNINFO, organismo federato UNI, per la ISO/IEC 27001 sono gli enti di riferimento, a livello rispettivamente mondiale e nazionale. 3
Cos è l OSSTMM? Open Source Security Testing Methodology Manual. Creato nel 2001 da Pete Herzog (IBM Tiger Team, SAP) + 3.000.000 di downloads. Uno standard internazionale per i test e le analisi di sicurezza. Una metodologia basata su metodi scientifici. Un mezzo per misurare la sicurezza operativa oggettivamente (e persino finanziariamente). Un mezzo per ridurre in modo totale i falsi positivi ed i falsi negativi. Un processo concreto per essere funzionali e realmente sicuri. Un codice etico con chiare Rules of Engagement. 4
OSSTMM: i moduli Process Security Internet Security Information Security Physical Security Communications Security Wireless Security Process Security Information Security Physical Security Communications Security Wireless Security Internet Security 5
Penetration Testing: approccio OSSTMM 6
Cos è la ISO/IEC 27001? La norma internazionale di riferimento per la gestione della sicurezza delle informazioni. Uno strumento ad alto livello, che considera anche gli aspetti trasversali alla sicurezza Un framework basato sul paradigma PDCA orientato al miglioramento continuo. Un insieme di processi finalizzati al raggiungimento del livello di sicurezza ottimale. Un mezzo per dimostrare agli stakeholders la consistenza del proprio approccio verso la sicurezza. 7
ISO/IEC 27001: struttura 8
Alcuni errori comuni (1) La sicurezza è considerata su due livelli paralleli: tecnologico e organizzativo. Inoltre: spesso è presente una ridotta sensibilità verso il lato tecnologico (pochi vettori di attacco considerati, scarso approfondimento, mancata conoscenza specifica delle terminologie e degli approcci tecnici); molto spesso non esiste alcun collegamento tra lato tecnologico e lato organizzativo (fornitori diversi che non si parlano tra loro o forniture di diversa qualità e ambito). 9
Alcuni errori comuni (2) Soluzioni IT standard dove la sicurezza non sempre è adeguata al loro impiego nel settore finance, uno dei più esposti ad attacchi esterni, ad esempio: Applicazioni Web poco robuste (mancato rispetto dello standard OWASP): sanitizzazione dell input utente, SQL Injection, Cross-Site Scripting, etc. Vulnerabilità causate dalle soluzioni e dalle architetture imposte dai vendor, tenendo in considerazione le sole performance. 10
Approcci alla sicurezza Approccio ORGANIZZATIVO ISO/IEC 27001, COBIT (ISO L.A., CISA, CISM) INTRANET ADMIN DMZ Approccio TECNOLOGICO OSSTMM, OWASP (OPST, OPSA) 11
I punti di incontro (1) La ISO/IEC 27001 può trarre vantaggio dall uso con OSSTMM per migliorare la qualità di diversi suoi processi, primo tra tutti il Risk Assessment, ottenendo: I. Una stima del rischio più precisa, piani di trattamento e quindi investimenti sulle contromisure più corretti. II. Maggiori indicazioni per il monitoraggio e il controllo del livello di sicurezza (indicatori). III. Integrazione con processi e con strutture organizzative di dettaglio, concretizzando maggiormente la sicurezza. 12
I punti di incontro (2) OSSTMM può beneficiare della vision tipica della ISO/IEC 27001 predisponendo i risultati della propria applicazione per una loro fruizione a un più alto livello, raggiungendo quindi: I. Un trattamento non solo più dei sintomi ma anche delle cause. II. L integrazione con processi e con strutture organizzative di più alto livello, portando le problematiche ad una maggiore attenzione. 13
Impiego sul campo: OSSTMM Diffusamente utilizzata per le verifiche tecnologiche in oltre 50 enti o istituti del settore nel mondo; Impiegata dallo US Department of Treasure nei controlli da esso effettuati; Richiesta come requisito per la quotazione in borsa in Messico; Applicata da numerose banche private e centrali, da operatori finanziari. Utilizzato anche da: - U.S. Navy, U.S. Air Force, U.S. Army (Army-mst) 14
Impiego sul campo: ISO/IEC 27001 Impiegata, a diversi livelli di profondità e insieme alle altre norme della famiglia, nella maggior parte delle aziende del settore nel mondo: Adottata ufficialmente dal Ministero del tesoro di Taiwan; Indicata come punto di eccellenza da numerose banche private e da diverse banche centrali; Oltre 4400 certificati emessi nel mondo (di cui un centinaio distribuiti tra i principali operatori del settore). 15
Un nuovo trend per la sicurezza? Il settore finance, anche (ma non solo) per fronteggiare il crescente fenomeno del cybercrime, ha bisogno di innovazione. Integrare davvero i due approcci costituisce un opportunità importante, che permette di ripensare i modelli di sicurezza finora impiegati sotto una prospettiva olistica, mantenendo al tempo stesso un riuso decisamente elevato di quanto già sviluppato. 16
Links www.iso.org www.uninfo.polito.it www.iso27001certificates.com www.sincert.it www.isecom.org www.osstmm.org www.opsa.org www.opst.org osstmm.mediaservice.net 17
Contatti e Q&A RAOUL CHIESA E-mail: raoul@isecom.org FABIO GUASCONI E-mail: fabio.guasconi@sgsi.net DOMANDE? 18