Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007



Documenti analoghi
NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

VULNERABILITY ASSESSMENT E PENETRATION TEST

Presentazione Istituzionale V.4 - Aggiornata al 8/07/2013

Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

Penetration Test Integrazione nell'attività di internal auditing

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Vulnerability scanning

Gruppo di ricerca AIEA Roma Il valore del Penetration Test dal punto di vista dell auditor. Roma, 28 Settembre 2005

Security by example. Alessandro `jekil` Tanasi LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

Progetto di Information Security

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Politica per la Sicurezza

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Cleis Security nasce:

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Ruolo e attività del punto nuova impresa

Esperienze di analisi del rischio in proggeti di Information Security

I SERVIZI DI INVESTMENT ADVISORY NEL PRIVATE BANKING, STRATEGIE COMMERCIALI NEL GRUPPO BPU

Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

PARTNER DI PROGETTO. Università degli Studi di Palermo Dipartimento di Ingegneria Industriale

Norme per l organizzazione - ISO serie 9000

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Gestione Operativa e Supporto

LA REVISIONE LEGALE DEI CONTI La comprensione

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

Il servizio di registrazione contabile. che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili

Carlo Bartolomeo Novaro - Studio di Coaching. Executive Team & Business Coaching NPL Training

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

TAURUS INFORMATICA S.R.L. Area Consulenza

Case Study Certificazione BS 7799

leaders in engineering excellence

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Presentazione Aziendale

Controllo di Gestione

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

MANUALE DELLA QUALITÀ Pag. 1 di 6

IL PERCORSO DI COACHING

(Impresa Formativa Simulata)

BILANCIARSI - Formazione e Consulenza per la legalità e la sostenibilità delle Organizzazioni

L OUTSOURCING IT: BEST PRACTICE E AUDITING

Company Profile - Axitea 1-020

La diffusione dell ICF nell inserimento lavorativo dei disabili - Roma, 28 marzo Masterplan disabilità Collocamento mirato ex L.

1- Corso di IT Strategy

MED-EX Medicine & Exercise info@med-ex.it. From human resource to human performance

MANUALE DELLA QUALITÀ SISTEMA DI GESTIONE DELLA QUALITA

Sicurezza informatica in azienda: solo un problema di costi?

Copyright IKS srl

2 PRINCIPI E VALORI CAP. 2.0 PRINCIPI E VALORI 2.1 SCOPO 2.2 PRINCIPI Inclusività

Progetto Atipico. Partners

PROCEDURA GESTIONE APPROVVIGIONAMENTO E FORNITORI 02 30/09/2006 SOMMARIO

EA 03 Prospetto economico degli oneri complessivi 1

Corso formazione su Sistema di gestione della qualità. Standard ISO 9001:2000/2008 Vision 2000

penetration test (ipotesi di sviluppo)

Principali elementi di una certificazione energetica

La certificazione CISM

OHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro

Normativa UNI CEI EN 16001:2009 Energy efficiency tramite un sistema di gestione per l energia. ABB Group September 29, 2010 Slide 1

Riccardo Lega Coordinatore del progetto EQDL c/o il Polo Qualità di Napoli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

Scende in campo l esperienza

CREATIVITÀ E STRATEGIA, UN EFFICACE PIANIFICAZIONE

EdiSoftware S.r.l. La Soluzione che stavi cercando EdiSoftware EdiSoftware gruppo di esperti Soluzione Gestionale Soluzione Gestionale

INFORMAZIONE FORMAZIONE E CONSULENZA. benchmark ingbenchmarking benchmarkingbench marking

COS È UN MULTI FAMILY OFFICE

C omunicazione E fficace

NUMANI PER CHI AMA DISTINGUERSI

Sicurezza, Rischio e Business Continuity Quali sinergie?

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Lavora dove vuoi FIGARO

SAP per centralizzare tutte le informazioni aziendali

CRM: IL FUTURO DEL MARKETING ATTRAVERSO LA CONOSCENZA DEL CLIENTE

Servizi La Techno Security svolge attività di progettazione, installazione e manutenzione di impianti elettronici.

Strategie e Operatività nei processi di backup e restore

CFO Solutions - Via Diaz, Verona - Tel Fax info@cieffeo.com -

Bringing it all together. BT Mobile. Nasce la convergenza per le aziende. Bringing it all together.

CORSO ACCESS PARTE II. Esistono diversi tipi di aiuto forniti con Access, generalmente accessibili tramite la barra dei menu (?)

Danais s.r.l. Profilo Aziendale

Generazione Automatica di Asserzioni da Modelli di Specifica

Giorgio Colato LA RIFORMA DELL AUTOTRASPORTO. IL FILO ROSSO CHE LEGA LA RESPONSABILITA, CONTRATTI E QUALITA

SENAPA CONSULTING CATALOGO FORMAZIONE EDIZIONE True Partnership, True Prevention, True Protection

C3 indirizzo Elettronica ed Elettrotecnica Profilo

Sistemi Qualità Certificazione ISO9001

Iniziativa : "Sessione di Studio" a Roma

SAIPEM: gestione efficiente delle performance. CST TPO Service per monitorare proattivamente i sistemi SAP

Transcript:

Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007

Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle minacce della IT Security: La sicurezza proattiva. Siamo nel campo della cosiddetta sicurezza proattiva: in poche parole, prevenire è meglio che curare. Le verifiche di sicurezza sono generalmente chiamate Penetration Test o Security Assessment : sono eseguite da personale altamente specializzato con un forte background tecnico. C è un estrema necessità di etica professionale e riservatezza: in un penetration ti testt tuttitti i segreti di un azienda vengono portati ti allo scoperto.

Sicurezza Proattiva 3 Prima del rilascio ufficiale della prima release dell OSSTMM p (Open Source Security Testing Methodology Manual) non esisteva una metodologia specifica per i Security Test che rispettasse allo stesso tempo la privacy delle persone e delle informazioni e che tenesse conto delle esigenze dei penetration tester in termini di standard, modularità, libertà di integrazione e che soprattutto sia liberamente utilizzabile.

Significato di sicurezza Proattiva 4 Tramite Vulnerability Scanning e Penetration Testing, oltre che attacchi complessi come quelli dell Ethical Hacking, eseguiamo verifiche proattive, direttamente sul campo, mirate alla sicurezza della informazioni. L obiettivo è di scoprire i punti deboli di un sistema, un ambiente o una rete utilizzando tecniche invasive ma non dannose valutando diversi vettori di attacco: esterno, VPN, interno, e quanto già presentato come attacco nella parte precedente della presentazione.

Sicurezza Proattiva 5 [ Terminologie e modi di dire nel mercato ICT Security italiano ] 1996-1999: Test di intrusione/penetrazione, Ethical Hacking In Italia si muovono i primi passi nel settore del pen-testing. Pochi ma buoni 1999-2004: Vulnerability/Security Assessment, Test di vulnerabilità, *Security*Assessment, Super-Ethical-Hacking di tutto un po Il chaos: nicchia di mercato a crescita esponenziale. Improvvisazione, terminologie errate nel pre-sale, mancanza di procedure ed esperienza nell esecuzione della commessa, pen-tester presi al volo in esterno: falso senso di sicurezza, delusione: processo incompleto. 2001 2003: Penetration Testing, Ethical Hacking. Aumenta la richiesta di chiarezza e garanzie da parte dei clienti: referenze, liberatorie, specialisti, trasparenza sui processi di security testing, riferimento a metodologie, training-on-the-job. 2004-2007: Certified Security Testing/Auditing Nasce la voglia di unire gli standard e creare processi di valutazione a 360 : vengono applicate verifiche teoriche (ISO17799/BS7799, OCTAVE, COBIT, ISM3, CRAMM, etc..) epratiche (OSSTMM, OWASP) internazionalmente i t riconosciute. i

Gli Obiettivi di un Security Test 6 Identificare la sicurezza perfetta, o modelli a cui rifarsi e determinare il gap con la sicurezza attuale. Individuare i Business Risks Il rischio della perdita di business legato ad un motore di ricerca per cartoni animati è sicuramente differente da quello di un istituzione finanziaria o di un istituto ospedaliero. Individuare tutte le violazioni della privacy, sia a livello interno che esterno. Rischi di violazione della privacy per i client, gli impiegati e per l azienda. Individuare eventuali esposizioni dei processi Questa è la crossline con il Risk Assessment.

Limiti di un Security Test 7 Perdita di business Possibili disservizio durante lo svolgimento dei test. Dispendio di energie e di risorse La reazione degli impiegati durante lo stato di allerta. Falso senso di sicurezza Anche se un test da risultato positivo, la sicurezza si evolve, gli attaccanti anche. Può essere molto superficiale E non ha valore se i problemi rilevati non vengono risolti. Motivazioni politiche Un security test non può risolvere i conflitti politici interni all azienda azienda e se il capo dice di aver ragione, ha ragione.

Classificazione dei Test di sicurezza 8 Vulnerability Scanning Security Scanning Penetration Testing Risk Assessment Security Auditing Ethical Hacking OSSTMM Security Testing

Classificazione dei Test di sicurezza 9 (1) Vulnerability Scanning Verifiche automatizzate Report in lingua inglese Alto numero di falsi positivi e negativi (falsi allarmi, falso senso di sicurezza ) Si limita alla parte IP (2) Security Scanning Scanning automatizzato, verifiche manuali Report in lingua inglese o italiana Tuning manuale dei falsi positivi e negativi Si limita alla parte IP

Classificazione dei Test di sicurezza 10 (3) Penetration Testing: Azioni di verifica eseguite manualmente secondo metodologie proprietarie Report in lingua italiana del Tiger Team Possibilità di abbinare opzioni quali: Social Engineering,Trashing, Physical Intrusion, Web Applications Security Testing. Non si limita it alla parte IP Aumenta il tempo di esecuzione (4) Risk Assessment: Azioni di valutazione e correlazione tra i dati raccolti nelle operazioni di testing ed il valore aziendale del rischio. I risultati possono essere generati dalle 3 precedenti metodologie di analisi tecnica del rischio).

Classificazione dei Test di sicurezza 11 (5) Security Auditing Azioni di auditing dell'intera infrastruttura informativa Personalizzazione del report Puo' essere il risultato di metodologie di sicurezza proattive sposate con le metodologie dell'analisi del rischio (6) Ethical Hacking Azioni di verifica a 360 Eseguito con limitazioni ambientali e/o temporali Tuning manuale dei falsi positivi e negativi Azioni congiunte di Penetration Test, Phreaking, Social Engineering, Reverse Engineering, etc.

Classificazione dei Test di sicurezza (7) Posture Assessment & Security Testing (OSSTMM) 12 Azioni ripetute di verifica e confronto eseguite in un arco temporale predefinito con il Cliente Le analisi si basano su fattori conoscitivi iniziali (scaturiti da precedenti azioni di testing) e sono eseguite secondo la metodologia OSSTMM, ripetibile e quantificabile Il Report e' redatto in lingua italiana e rispetta le guidelines standard (legislative e best practice ) Il Report finale e' certificato OSSTMM

Riferimenti e link utili 13 Riferimenti: http://www.isecom.org http://www.osstmm.org http://osstmm.mediaservice.net p// http://www.melani.admin.ch/index.html?lang=it Link utili: http://www.cert.org http://www.hackerhighschool.org http://www.mitre.org

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back