Metriche per la misurazione dei. Come utilizzare i risultati all'interno di una analisi dei rischi?

Documenti analoghi
Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

V.I.S.A. VoiP Infrastructure Security Assessment

KeyMap Analisi del Rischio

Sicuramente

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

Cybersecurity per la PA: approccio multicompliance Sogei

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Organizzare per Crescere

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

Il ruolo dei controlli nella gestione del rischio di frode

Servizio L2.S3.9 - Servizi professionali

Progetto di Information Security

VULNERABILITY ASSESSMENT E PENETRATION TEST

Gli strumenti di misurazione della conformità al Regolamento UE sulla protezione dei dati personali 2016/679 (GDPR)

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Application Risks Assessment. Analisi dei rischi e pianificazione delle contromisure

TECNOLOGIE DELL INFORMAZIONE E DELLA COMUNICAZIONE PER LE AZIENDE

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

Security & Compliance Governance

Considerazioni di carattere ambientale e appalti pubblici nel diritto interno: TUTELA AMBIENTALE A LIVELLO NAZIONALE

CLASSIFICAZIONE CONSIP PUBLIC APPENDICE 2 AL CAPITOLATO TECNICO LOTTO 2. Descrizione dei profili professionali

PIANO DI AUDIT RISK BASED APPROCCIO METODOLOGICO

1. I compiti del Collegio Sindacale quale comitato per il controllo interno e la revisione contabile

Consulenza e Software, insieme per la certificazione ISO : presentazione di un caso reale

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

MEGA Process Oriented & Risk Driven Solution

Considerazioni sul Risk Management

La manutenzione è da sempre considerata un servizio

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Ciclo di vita per lo sviluppo di software sicuro

Rischi dell informatica e scelte di trasferimento

SQL e linguaggi di programmazione. Cursori. Cursori. L interazione con l ambiente SQL può avvenire in 3 modi:

IT Risk Assessment. IT Risk Assessment

Sistemi informativi secondo prospettive combinate

SICUREZZA e QUALITÀ. Relatore: Giovanni Scotti - - Certification Coordinator per SGS Italia S.p.A.

FRAMEWORK NAZIONALE PER LA CYBER SECURITY

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

1) Junior TIBCO Consultant

InfoSec: non solo firewall e antivirus. Massimo Grandesso

Sezione 1 - Gestione e governance della protezione dei dati

Percorso professionalizzante per la Compliance in banca

Gestione dell integrazione del progetto. Luigi De Laura, PMP, PE, PMI Central Italy Chapter Branch Toscana director

La Sicurezza nel Cloud Computing. Simone Riccetti IBM IT Security Architect

ITIL e PMBOK Service management and project management a confronto

CONTINUOUS PERIMETER ASSESSMENT Descrizione del servizio e degli strumenti utilizzati

Novembre 2014 Maurizio Pedraglio moviri.com

UX-PM level 1: Adopting UX

Acquisizione di prodotti e servizi Parte 2

Metodologia di lavoro: PCM & GOPP

CATALOGO DI HEVA MANAGEMENT ACCREDITATO DA FONDAZIONE IDI

Configuration Management secondo l ISO

Moviri e DevOps: Case Studies. Un approccio concreto al DevOps per accelerare dialogo e risultati tra IT Operations e Quality Assurance

I processi di innovazione

Iniziativa : "Sessione di Studio" a Roma. Roma, 3 marzo 2010 presso Monte Paschi Siena. 1 marzo p.v.

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

L IT Audit nel gruppo Benetton

La Gestione della Prestazione

Operations Management

Piani di vigilanza per il monitoraggio sui reati informatici. Dr. Giuseppe DEZZANI Informatico Forense

ERP Operational Security Evaluate, Build, Monitor

Offerta Risk Management e Find your way

PROPOSTE FORMATIVE LINEE ADA

Certificazioni ISECOM e Certificazione PILAR advanced user

Valutazione d impatto e gestione integrata dei rischi

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

PRINCIPIO DI REVISIONE N 320. Significatività

Obblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale

Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network

REPERTORIO DELLE QUALIFICAZIONI PROFESSIONALI DELLA REGIONE CAMPANIA

CAPITOLO 7 GESTIONE DEI PROCESSI

SISTEMI INFORMATIVI DIREZIONALI

Risultati, cioè attenzione ai risultati.

Progettazione di basi di dati

Intervento del Dott. Ruggero Battisti, Socio Fondatore Global Management Group S.r.l.

Esperienze di analisi del rischio in proggeti di Information Security

La CyberSecurity nel modello ICT per la PA

LUCA COMELLO, PMP Head of Business Consulting. Udine, 27 Ottobre 2017 METODI DI RISK MANAGEMENT Inquadramento metodologico

UN NETWORK DI AZIENDE PER SERVIRE TUTTA ITALIA

DIVISIONE DATA & NETWORK SECURITY

L integrazione della Customer Satisfaction nel ciclo delle performance

Il governo del Rischio informatico alla luce delle Nuove Disposizioni di Vigilanza Prudenziale

Able Tech. Company Profile

ANALISI E GESTIONE DEI COSTI

Confartigianato Vicenza. Navigazione Web ed sicura per l associazione di categoria di PMI più grande d Italia

Virtualizzazione Infrastrutture ICT. A chi è rivolto. Vantaggi per il Cliente. Perchè Luganet. Partner Commerciale

Project Management Newsletter

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Sistema di controllo interno

Stato dell arte sulle tecniche di testing di Sistemi Embedded

Mission. Proteggiamo il Business dei nostri Clienti

La ISA nasce nel Servizi DIGITAL SOLUTION

Settore Guida Sicurezza Ferroviaria

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

Case Study Certificazione BS 7799

Transcript:

Metriche per la misurazione dei risultati di un Penetration Testing Come utilizzare i risultati all'interno di una analisi dei rischi?

Relatore Massimo Biagiotti Project Manager - Senior Security Consultant Iso27001 Lead Auditor, ITIL v3 + 5 anni in attività di Ethical Hacking Responsabile del Progetto Internship e Progetti di Ricerca Trainer

Rischio misura del pericolo alla sicurezza insito in un applicazione, un sistema operativo o in una rete di computer, valutando il grado di vulnerabilità, il livello di minaccia e il valore delle risorse presenti nel sistema 3

Analisi dei rischi valutazione del livello di rischio che un impresa, un associazione o un privato dovrebbe fare per garantirsi il corretto e costante funzionamento di un sistema in tutta sicurezza 4

Un esempio: metodologia CRAMM (Iso27001 compliant) 5

Minacce e contromisure Minacce Indisponibilità servizi fondamentali Guasti/malfunzionamenti hw Degrado Errori nell esercizio delle applicazioni Accesso non autorizzato per visione o divulgazione dati Accesso non autorizzato per modifica dati Manomissione distruzione sw Virus Sabotaggio Disastri Contromisure di sicurezza In fase di progettazione In fase di esercizio In fase correttiva Business Il management vuole minimizzare l impatto sul business 6

Minacce, asset ed impatto Processi di business Applicazioni Dati Infrastruttura Criteri di valutazione dell Impatto Evento Asset Vulnerabilità asset Impatto Sul business Rischio 7

Rischio e rischio residuo: concetti base Impatto Rischio residuo Rischio Rischio residuo ( attraverso l implementazione delle contromisure si riduce uno o più dei tre fattori) vulnerabilità 8

Minacce e Asset Minacce Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Infrastruttura esistente Nuova Infrastruttura Reti Applicazi ioni Requisiti di sicurezza/contromisure in funzione del livello di rischio Sistemi in esercizio Nuovi Sistemi 9 Sistemi

Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Applicazioni in esercizio: Attività di Vulnerability Assessment e Penetration testing: Consentono di valutare il reale rischio delle applicazioni in esercizio al fine di determinare le contromisure da implementare per ridurlo fino al livello ritenuto accettabile dal business 10

Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Applicazioni in manutenzione: 1) Linee guida sviluppo sicuro: l attività di sviluppo per la manutenzione evolutiva segue le linee guida che consentono di implementare i corretti meccanismi di sicurezza nel rispetto delle policy e del rischio residuo accettato. 2)Attività di Vulnerability Assessment e Penetration testing Consentono di valutare il reale rischio delle applicazioni prima che passino in esercizio ( unit test, system test, collaudo, etc.) 11

Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Nuove applicazioni: 1) Linee guida sviluppo sicuro: l attività di sviluppo di qualsiasi applicazione deve seguire le linee guida che consentono di implementare i corretti meccanismi di sicurezza nel rispetto delle policy e del rischio residuo accettato. 2)Attività di Code Review: consentono di valutare il rischio delle applicazioni prima che passino in esercizio ( unit test, system test, collaudo, etc.) 12

Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Si classificano le vulnerabilità rilevate, la probabilità di sfruttamento, ecc. in funzione del rischio correlato e dell impatto sul business Vengono individuate le possibili contromisure che possono essere messe in campo, se ne valuta la fattibilità, la messa in esercizio, ecc. 13

Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Verifica della bontà delle contromisure messe in campo Information Gathering Test Planning Si verifica se le contromisure messe in campo sono realmente efficaci 14

Come si misura il rischio? Esistono numerosi modi, più o meno articolati e utili, per valutare il rischio e ciascuno dipende dall approccio e dalla logica di fondo. Ciò è dovuto al fatto che calcolare il rischio significa tenere conto di molte variabili che mutano al variare del contesto 15

Metodologie Di seguito alcune metodologie e strumenti tra i più noti. Per ciascuna è definito l approccio qualitativo quantitativo o ibrido. Va sottolineato che spesso gli approcci quantitativi partono da quelli qualitativi facendo poi delle assunzioni di base per passare da aggettivi a valori.

AS/NZS 4360:2004 Metodologia Qualitativa Quantitativa Semi-quantitativa AS/NZS 4360:2004 Risk Management X X X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche Poiché AS/NZS ha l obiettivo di definire il processo di risk management in modo generale identifica e definisce tutte le diverse tipologie di approccio alla misurazione dei rischi: qualitativo, quantitativo e semiquantitativo. 17

Ce.TRA - Continuous e.business Threat and Risk Analysis Metodologia Qualitativa Quantitativa Semi-quantitativa Ce.TRA -Continuous e.business Threat and Risk Analysis X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche L approccio è di tipo semi-quantitativo. Viene effettuata una misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere).. 18

CRAMM Metodologia Qualitativa Quantitativa Semi-quantitativa CRAMM X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche. L approccio alla misurazione dei rischi è di tipo semi-quantitativo. Il set di minacce e vulnerabilità è fisso e guidato dal tipo di asset. Il rischio viene espresso, attraverso un opportuna matrice, i cui elementi sono definiti in funzione di impatto/minaccia/vulnerabilità. 19

ISA Information Security Assessment Metodologia Qualitativa Quantitativa Semi-quantitativa ISA Information Security Assessment X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche L approccio alla misurazione dei rischi è di tipo semi-quantitativo è consente la misurazione del rischio effettivo o residuo (cioè il rischio relativo alla situazione in essere, comprese le contromisure implementate). L obiettivo principale che si intende perseguire attraverso l applicazione della metodologia ISA è la protezione del patrimonio informativo aziendale: la metodologia può essere applicata in tutte le fasi di vita di un attività, una funzione, un progetto, un processo, un prodotto o un bene; è indipendente rispetto a specifici settori industriali ed economici. 20

NORA - Network Oriented Risk Analysis methodology Metodologia Qualitativa Quantitativa Semi-quantitativa NORA -Network Oriented Risk Analysis methodology X La metodologia prevede l applicazione dell analisi dei rischi su: risorse tecnologiche. La metodologia NORA punta l attenzione sui contesti di rete di comunicazione come ambito di applicazione dell analisi del rischio. In particolare la risorsa base che viene definita nella prima fase della metodologia e intorno alla quale ruoterà tutto il processo di analisi del rischio, è costituita dal NAP (Network Access Path), ossia la descrizione dei percorsi di accesso alla rete in termini di client, server e funzione di rete (O&M, Billing, etc.). L approccio alla misurazione dei rischi è di tipo qualitativo. Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere). 21

OCTAVE - Operationally Critical Threat, Asset, and Vulnerability Evaluation Metodologia Qualitativa Quantitativa Semi-quantitativa OCTAVE -Operationally Critical Threat, Asset, and Vulnerability Evaluation X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche. L approccio alla misurazione dei rischi è di tipo qualitativo. Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere). Consente di fornire indicazioni in merito a: riduzione probabilità; riduzione conseguenze; accettare il rischio; contromisure preventive; disegno della contromisura; applicazione della contromisura. 22

OSSTMM Metodologia Qualitativa Quantitativa Semi-quantitativa OSSTMM Open Source Security Testing Methodology Manual X La metodologia prevede l applicazione dell analisi dei rischi su: risorse di business; risorse tecnologiche. Open Source Security Testing Methodology Manual (OSSTMM) è una metodologia per l esecuzione di test sulla sicurezza e una metrica per la misurazione dei risultati. Quest ultima è denominata RAVs (Risk Assessment Values). Consente di fornire indicazioni in merito a: riduzione conseguenze; evitare il rischio; accettare il rischio; contromisure preventive; contromisure reattive; disegno della contromisura; applicazione della contromisura. 23

RISKWATCH Metodologia Qualitativa Quantitativa Semi-quantitativa RISKWATCH X X X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche. L approccio alla misurazione dei rischi è sia di tipo qualitativo che di tipo quantitativo e semi-quantitativo. Le metodologie di misurazione dei rischi utilizzate sono: SQRM è la metodologia standard quantitativa di RiskWatch presente anche nella versione internazionale in inglese; TLQE è la metodologia qualitativa/semiquantitativa. Consente dati di input qualitativi, ma anche quantitativi, fornendo in uscita risultati Qualitativi. Utilizza funzionalità di normalizzazione dei dati di input. Permette l analisi costi/benefici; La TLQ QUAL è la versione qualitativa pura e consente notevoli riduzioni di tempi e di costi, permettendo comunque, una valutazione completa del livello di sicurezza e un'identificazione dei rischi, considerati possibili nell'ambito dell analisi. 24

Grafi d attacco I grafi d attacco rappresentano i modi attarverso i quali un utente malevolo può sfruttare delle vulnerabilità che gli permettano di avere accesso a risorse di un sistema. Analizzando tali grafi è possibile comprendere quanto rischiose siano le vulnerabilità in modo tale che questa informazione sia d aiuto nel decidere quali siano le migliori contromisure da inserire e quale sia la prioritizzazione di tali interventi 25

A cosa servono? Misurano l effetto combinato delle vulnerabilità Permettono quindi di comprendere le correlazioni tra le stesse Visualizzano come un attaccante può combinarle per introdursi illecitamente Un grafo è un modello di sequenze potenziali di condizioni che permettono la compromissione di risorse 26

Esempio Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 27

Ipotetico grafo tra la macchina 0 ed il DB Server Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 28

Probabilità 0.1 0.8 0.8 0.9 0.9 0. 9 0.1 0.8 I numeri rappresentano le probabilità stimate di sfruttamento, sulla base della loro difficoltà. Gli exploit ftp_rhosts e rsh non richiedono molta competenza da parte dell attaccante Uno skill maggiore viene richiesto per ftp_rhosts al fine di creare un file.rhost. sshd_bof e local_bof sono attacchi buffer-overflow, che richiedono maggiori competenze. Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 29

Propagazione delle vulnerabilità 0.1 0.8 0.8 ( 0.60) 0.9 ( 0.54) 0.9( 0.72) 0.8 0.1 0.9( 0.72) ( 0.087 ) Quando un exploit deve seguirne un altro nel grafo, significa che entrambi sono necessari a raggiungere l obiettivo, quindi le loro probabilità devono essere moltiplicate: p(a and B) = p(a)p(b) Quando è possibile scegliere più percorsi, ciascuno di essi è sufficiente a raggiungere l obiettivo: p(a or B) = p(a) + p(b) p(a)p(b). Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 30

Variazioni a seguito di interventi L inserimento di una contromisura cambia ovviamente il grafo d attacco ed al contempo il modo attraverso il quale le probabilità si propagano. 31

Metrica per la misurazione di un risultato di pentest Abbiamo visto la complessità degli approcci possibili per il calcolo del rischio, a questo va aggiunto che nello specifico di un attività di pentest, la valutazione di minacce, vulnerabilità ed impatti può essere peculiare. Infatti altri elementi potrebbero essere importanti da considerare tra cui: Esposizione della vulnerabilità Vettori d attacco Componente vulnerabile Processo di business collegato Profondità dell attacco 32

Conclusioni Ognuna delle precedenti diventa quindi un nuovo importante elemento di valutazione che opportunamente combinato con gli altri ci potrebbe permettere di esprimere delle analisi di rischio che possono, al meglio, supportare le esigenze di business a partire da analisi operative ; questo, oltre a migliorare il calcolo e la gestione del rischio stesso, crea anche l importante collegamento dialettico tra chi dirige e chi gestisce, cosa che spesso nelle aziende non è efficace. 33

Grazie Massimo Biagiotti massimo.biagiotti@business-e.it +393395728442 www.business-e.it 34

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back