Metriche per la misurazione dei risultati di un Penetration Testing Come utilizzare i risultati all'interno di una analisi dei rischi?
Relatore Massimo Biagiotti Project Manager - Senior Security Consultant Iso27001 Lead Auditor, ITIL v3 + 5 anni in attività di Ethical Hacking Responsabile del Progetto Internship e Progetti di Ricerca Trainer
Rischio misura del pericolo alla sicurezza insito in un applicazione, un sistema operativo o in una rete di computer, valutando il grado di vulnerabilità, il livello di minaccia e il valore delle risorse presenti nel sistema 3
Analisi dei rischi valutazione del livello di rischio che un impresa, un associazione o un privato dovrebbe fare per garantirsi il corretto e costante funzionamento di un sistema in tutta sicurezza 4
Un esempio: metodologia CRAMM (Iso27001 compliant) 5
Minacce e contromisure Minacce Indisponibilità servizi fondamentali Guasti/malfunzionamenti hw Degrado Errori nell esercizio delle applicazioni Accesso non autorizzato per visione o divulgazione dati Accesso non autorizzato per modifica dati Manomissione distruzione sw Virus Sabotaggio Disastri Contromisure di sicurezza In fase di progettazione In fase di esercizio In fase correttiva Business Il management vuole minimizzare l impatto sul business 6
Minacce, asset ed impatto Processi di business Applicazioni Dati Infrastruttura Criteri di valutazione dell Impatto Evento Asset Vulnerabilità asset Impatto Sul business Rischio 7
Rischio e rischio residuo: concetti base Impatto Rischio residuo Rischio Rischio residuo ( attraverso l implementazione delle contromisure si riduce uno o più dei tre fattori) vulnerabilità 8
Minacce e Asset Minacce Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Infrastruttura esistente Nuova Infrastruttura Reti Applicazi ioni Requisiti di sicurezza/contromisure in funzione del livello di rischio Sistemi in esercizio Nuovi Sistemi 9 Sistemi
Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Applicazioni in esercizio: Attività di Vulnerability Assessment e Penetration testing: Consentono di valutare il reale rischio delle applicazioni in esercizio al fine di determinare le contromisure da implementare per ridurlo fino al livello ritenuto accettabile dal business 10
Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Applicazioni in manutenzione: 1) Linee guida sviluppo sicuro: l attività di sviluppo per la manutenzione evolutiva segue le linee guida che consentono di implementare i corretti meccanismi di sicurezza nel rispetto delle policy e del rischio residuo accettato. 2)Attività di Vulnerability Assessment e Penetration testing Consentono di valutare il reale rischio delle applicazioni prima che passino in esercizio ( unit test, system test, collaudo, etc.) 11
Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Nuove applicazioni: 1) Linee guida sviluppo sicuro: l attività di sviluppo di qualsiasi applicazione deve seguire le linee guida che consentono di implementare i corretti meccanismi di sicurezza nel rispetto delle policy e del rischio residuo accettato. 2)Attività di Code Review: consentono di valutare il rischio delle applicazioni prima che passino in esercizio ( unit test, system test, collaudo, etc.) 12
Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Si classificano le vulnerabilità rilevate, la probabilità di sfruttamento, ecc. in funzione del rischio correlato e dell impatto sul business Vengono individuate le possibili contromisure che possono essere messe in campo, se ne valuta la fattibilità, la messa in esercizio, ecc. 13
Ethical Hacking - processo Information Gathering Test Planning Svolgimento Test (PT, VA, ecc.) Reporting Risk Analysis (classificazione in funzione della criticità) Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Verifica della bontà delle contromisure messe in campo Information Gathering Test Planning Si verifica se le contromisure messe in campo sono realmente efficaci 14
Come si misura il rischio? Esistono numerosi modi, più o meno articolati e utili, per valutare il rischio e ciascuno dipende dall approccio e dalla logica di fondo. Ciò è dovuto al fatto che calcolare il rischio significa tenere conto di molte variabili che mutano al variare del contesto 15
Metodologie Di seguito alcune metodologie e strumenti tra i più noti. Per ciascuna è definito l approccio qualitativo quantitativo o ibrido. Va sottolineato che spesso gli approcci quantitativi partono da quelli qualitativi facendo poi delle assunzioni di base per passare da aggettivi a valori.
AS/NZS 4360:2004 Metodologia Qualitativa Quantitativa Semi-quantitativa AS/NZS 4360:2004 Risk Management X X X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche Poiché AS/NZS ha l obiettivo di definire il processo di risk management in modo generale identifica e definisce tutte le diverse tipologie di approccio alla misurazione dei rischi: qualitativo, quantitativo e semiquantitativo. 17
Ce.TRA - Continuous e.business Threat and Risk Analysis Metodologia Qualitativa Quantitativa Semi-quantitativa Ce.TRA -Continuous e.business Threat and Risk Analysis X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche L approccio è di tipo semi-quantitativo. Viene effettuata una misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere).. 18
CRAMM Metodologia Qualitativa Quantitativa Semi-quantitativa CRAMM X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche. L approccio alla misurazione dei rischi è di tipo semi-quantitativo. Il set di minacce e vulnerabilità è fisso e guidato dal tipo di asset. Il rischio viene espresso, attraverso un opportuna matrice, i cui elementi sono definiti in funzione di impatto/minaccia/vulnerabilità. 19
ISA Information Security Assessment Metodologia Qualitativa Quantitativa Semi-quantitativa ISA Information Security Assessment X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche L approccio alla misurazione dei rischi è di tipo semi-quantitativo è consente la misurazione del rischio effettivo o residuo (cioè il rischio relativo alla situazione in essere, comprese le contromisure implementate). L obiettivo principale che si intende perseguire attraverso l applicazione della metodologia ISA è la protezione del patrimonio informativo aziendale: la metodologia può essere applicata in tutte le fasi di vita di un attività, una funzione, un progetto, un processo, un prodotto o un bene; è indipendente rispetto a specifici settori industriali ed economici. 20
NORA - Network Oriented Risk Analysis methodology Metodologia Qualitativa Quantitativa Semi-quantitativa NORA -Network Oriented Risk Analysis methodology X La metodologia prevede l applicazione dell analisi dei rischi su: risorse tecnologiche. La metodologia NORA punta l attenzione sui contesti di rete di comunicazione come ambito di applicazione dell analisi del rischio. In particolare la risorsa base che viene definita nella prima fase della metodologia e intorno alla quale ruoterà tutto il processo di analisi del rischio, è costituita dal NAP (Network Access Path), ossia la descrizione dei percorsi di accesso alla rete in termini di client, server e funzione di rete (O&M, Billing, etc.). L approccio alla misurazione dei rischi è di tipo qualitativo. Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere). 21
OCTAVE - Operationally Critical Threat, Asset, and Vulnerability Evaluation Metodologia Qualitativa Quantitativa Semi-quantitativa OCTAVE -Operationally Critical Threat, Asset, and Vulnerability Evaluation X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche. L approccio alla misurazione dei rischi è di tipo qualitativo. Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere). Consente di fornire indicazioni in merito a: riduzione probabilità; riduzione conseguenze; accettare il rischio; contromisure preventive; disegno della contromisura; applicazione della contromisura. 22
OSSTMM Metodologia Qualitativa Quantitativa Semi-quantitativa OSSTMM Open Source Security Testing Methodology Manual X La metodologia prevede l applicazione dell analisi dei rischi su: risorse di business; risorse tecnologiche. Open Source Security Testing Methodology Manual (OSSTMM) è una metodologia per l esecuzione di test sulla sicurezza e una metrica per la misurazione dei risultati. Quest ultima è denominata RAVs (Risk Assessment Values). Consente di fornire indicazioni in merito a: riduzione conseguenze; evitare il rischio; accettare il rischio; contromisure preventive; contromisure reattive; disegno della contromisura; applicazione della contromisura. 23
RISKWATCH Metodologia Qualitativa Quantitativa Semi-quantitativa RISKWATCH X X X La metodologia prevede l applicazione dell analisi dei rischi su: processi; risorse di business; risorse tecnologiche. L approccio alla misurazione dei rischi è sia di tipo qualitativo che di tipo quantitativo e semi-quantitativo. Le metodologie di misurazione dei rischi utilizzate sono: SQRM è la metodologia standard quantitativa di RiskWatch presente anche nella versione internazionale in inglese; TLQE è la metodologia qualitativa/semiquantitativa. Consente dati di input qualitativi, ma anche quantitativi, fornendo in uscita risultati Qualitativi. Utilizza funzionalità di normalizzazione dei dati di input. Permette l analisi costi/benefici; La TLQ QUAL è la versione qualitativa pura e consente notevoli riduzioni di tempi e di costi, permettendo comunque, una valutazione completa del livello di sicurezza e un'identificazione dei rischi, considerati possibili nell'ambito dell analisi. 24
Grafi d attacco I grafi d attacco rappresentano i modi attarverso i quali un utente malevolo può sfruttare delle vulnerabilità che gli permettano di avere accesso a risorse di un sistema. Analizzando tali grafi è possibile comprendere quanto rischiose siano le vulnerabilità in modo tale che questa informazione sia d aiuto nel decidere quali siano le migliori contromisure da inserire e quale sia la prioritizzazione di tali interventi 25
A cosa servono? Misurano l effetto combinato delle vulnerabilità Permettono quindi di comprendere le correlazioni tra le stesse Visualizzano come un attaccante può combinarle per introdursi illecitamente Un grafo è un modello di sequenze potenziali di condizioni che permettono la compromissione di risorse 26
Esempio Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 27
Ipotetico grafo tra la macchina 0 ed il DB Server Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 28
Probabilità 0.1 0.8 0.8 0.9 0.9 0. 9 0.1 0.8 I numeri rappresentano le probabilità stimate di sfruttamento, sulla base della loro difficoltà. Gli exploit ftp_rhosts e rsh non richiedono molta competenza da parte dell attaccante Uno skill maggiore viene richiesto per ftp_rhosts al fine di creare un file.rhost. sshd_bof e local_bof sono attacchi buffer-overflow, che richiedono maggiori competenze. Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 29
Propagazione delle vulnerabilità 0.1 0.8 0.8 ( 0.60) 0.9 ( 0.54) 0.9( 0.72) 0.8 0.1 0.9( 0.72) ( 0.087 ) Quando un exploit deve seguirne un altro nel grafo, significa che entrambi sono necessari a raggiungere l obiettivo, quindi le loro probabilità devono essere moltiplicate: p(a and B) = p(a)p(b) Quando è possibile scegliere più percorsi, ciascuno di essi è sufficiente a raggiungere l obiettivo: p(a or B) = p(a) + p(b) p(a)p(b). Fonte: Anoop Singhal NIST, Lingyu Wang Concordia University, Sushil Jajodia George Madison University 30
Variazioni a seguito di interventi L inserimento di una contromisura cambia ovviamente il grafo d attacco ed al contempo il modo attraverso il quale le probabilità si propagano. 31
Metrica per la misurazione di un risultato di pentest Abbiamo visto la complessità degli approcci possibili per il calcolo del rischio, a questo va aggiunto che nello specifico di un attività di pentest, la valutazione di minacce, vulnerabilità ed impatti può essere peculiare. Infatti altri elementi potrebbero essere importanti da considerare tra cui: Esposizione della vulnerabilità Vettori d attacco Componente vulnerabile Processo di business collegato Profondità dell attacco 32
Conclusioni Ognuna delle precedenti diventa quindi un nuovo importante elemento di valutazione che opportunamente combinato con gli altri ci potrebbe permettere di esprimere delle analisi di rischio che possono, al meglio, supportare le esigenze di business a partire da analisi operative ; questo, oltre a migliorare il calcolo e la gestione del rischio stesso, crea anche l importante collegamento dialettico tra chi dirige e chi gestisce, cosa che spesso nelle aziende non è efficace. 33
Grazie Massimo Biagiotti massimo.biagiotti@business-e.it +393395728442 www.business-e.it 34