Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it 3 Ottobre 2013 Security Summit Verona
$ whois -=mayhem=- Security Evangelist @ Members of: Associazione Informatici Professionisti, CLUSIT, OPSI/AIP Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, Hacker s Profiling Project Spippolatori.org, IISFA, Metro Olografix, CrISTAL! 2
Di cosa parliamo? Quale azione che non ho ancora intrapreso Quale tecnologia che ancora non ho Quale processo che non ho ancora formalizzato potrebbero aumentare la sicurezza della mia azienda? Ho una strategia di security? Di cosa non mi sono ancora preoccupato? 3
Da cosa iniziare Ho mai eseguito una Security Gap Analysis per capire quali rischi corro, quali aree di miglioramento esistono? 4
Preoccuparsi degli estranei Ho mai eseguito un Penetration Test per assicurarmi che la strategia adottata sia effettivamente efficace? 5
Code Review Applicazioni web, non si può vivere senza, non si può vivere con loro, se si tiene alla sicurezza... Troppo spesso il risultato del Penetration Test suggerisce che sarebbe opportuno procedere ad una completa revisione di alcune applicazioni 6
Interni Ci preoccupiamo sempre degli sconosciuti su Internet come minaccia, ma raramente valutiamo gli ospiti (Captive Portal) o i collaboratori (NAC). Come gestisco l accesso alle mie risorse? 7
Password L anello più debole della catena, che continua a causare problemi di gestione, potrebbe essere indirizzato con qualche accorgimento banale (OTP?) 8
AAA Quasi tutti si preoccupano di Authentication Molti si preoccupano di Authorization Quasi nessuno si preoccupa di Accounting Come faccio Audit su cosa? Cosa prescrive la legge? 9
AdS Nel 2014 ancora troppe aziende non avranno evidenza di quale consulente o dipendente ha fatto cosa su quale sistema... Non mi interessa lo richieda la legge, mi serve davvero! 10
Secure Erase Un altro aspetto troppo spesso trascurato è la cancellazione sicura dei supporti riutilizzati o dismessi. A volte anche soluzioni fai-da-te sono estremamente efficaci, con investimenti praticamente nulli... 11
Monitor Un LCD su ogni scrivania! No, conoscere la propria infrastruttura, prevenire gli incidenti, conoscere le anomalie... 12
Checklist / Strumenti Troppo spesso non esistono processi formali per attività tanto banali quanto indispensabili (L antivirus è aggiornato? Il Backup ha funzionato? Ho messo le ultime patch?) 13
Ticketing L IT non è un mero costo, ma per poterlo raccontare devo avere le statistiche correte Poter tenere traccia di problemi o attività evolutive, gestire priorità... a chi non serve? 14
DEV - Test - EDU Quante aziende hanno un ambiente di sviluppo ed uno di test? (hint: troppo poche) Di quelle che le hanno, quante se ne occupano seriamente da un punto di vista security? (n.b: quanti ambienti hanno i dati di produzione?) 15
Automazione Industriale Troppo spesso i computer che gestiscono i macchinari in fabbrica vengono ignorati, la rete lasciata in gestione agli elettricisti... Se l azienda subisce un danno, tutti gli stakeholders lo dovranno affrontare... 16
Server & Desktop Consolidation Quanti incident vengono ancora gestiti sulle macchine fisiche? Su PC strategici (es. server XP) Virtual Machine significa anche un accesso più semplice a strategie di Disaster Recovery, anche per i PC 17
Cloud (troppo spesso non si sa cosa si desidera, il rischio è che Babbo Natale fraintenda...)? 18
MdM Quanti cellulari e tablet ci sono in azienda? Quanti dati (e di che natura) contengono? Chi ha perso qualche notte di sonno a preoccuparsene? 19
Social Network! Se la risposta è abbiamo bloccato Facebook abbiamo un problema... Una politica di Social Media Security è oggi indispensabile... 20
Conclusioni -
Budget Troppo spesso prevediamo Euro per prodotti e non per servizi non prevediamo Tempo o impegno Babbo Natale potrebbe esaudire i nostri desideri se chiedessimo le cose giuste 22
Dove andiamo? L investimento in security è in aumento Il numero di tentativi di attacco è in aumento Il numero di attacchi di successo è in aumento Il costo per attacco è in aumento Forse va cambiato l approccio... 23
Tecnologia aliena? 24
Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sul business 25
Cosa fare? Rischi facili da prevenire difficili da mitigare a posteriori 26
Non è un optional.. Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso 27
These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-ShareAlike-2.5 version; you can copy, modify, or sell them. Please cite your source and use the same license :) Domande? Grazie dell attenzione! Alessio L.R. Pennasilico - apennasilico@clusit.it facebook:alessio.pennasilico - twitter:mayhemspp 3 Ottobre 2013 Security Summit Verona