| |
|
Governance
Compliance
Gestione della conformità rispetto a standard e norme
|
| |
Risk Management
Calcolo del rischio e determinazione dei criteri di gestione
|
| |
|
|
|
| |
| |
|
|
Security Testing |
| |
Sintesi
Le attività di test e verifica devono colmare le lacune tra
una progettazione allo stato dell’arte e la realtà
operativa dei sistemi, e sono inoltre fondamentali per capire,
documentare e migliorare la postura di sicurezza
dell’azienda.. Un programma di test e verifica completo ed
efficace, integrato nella routine di gestione operativa della rete e
dei sistemi, consente in primo luogo di evitare incidenti di sicurezza,
mentre rimediare ad un evento avverso dopo che si è
verificato potrebbe rivelarsi uno sforzo inefficace e molto oneroso dal
punto di vista economico e di immagine. Le politiche stabilite
dall’azienda hanno funzione di “baseline”
a cui fare riferimento per valutare se i requisiti e la postura di
sicurezza riscontrati nella pratica operativa sono corretti. Le
attività di testing dovrebbero pertanto essere integrate a
pieno titolo nelle pratiche di Risk Management aziendale. Sarebbe
però limitativo affidarsi unicamente ad un modello che si
limita ad un approccio “Penetrate&Patch”:
l’evoluzione delle vulnerabilità nel software ha
contribuito a evidenziarne l’incompletezza e
l’inefficacia, installare le patch di sicurezza senza
approfondire le cause dei problemi non è quindi considerata
una soluzione strategica alle problematiche di sicurezza. In questo
contesto, è di primaria importanza impostare una corretta
gestione dei rischi associati al sistema informativo aziendale,
gestione che non può prescindere da attività
cicliche di verifica. Queste attività devono avere uno
spettro di azione completo, che comprenda: persone, a cui vanno
garantite sufficienti preparazione e consapevolezza; processi, che
riflettano politiche e procedure adeguate alle necessità
aziendali; tecnologie,
che consentano di implementare i processi in modo efficace.
L’attività di test non si limita agli aspetti
puramente tecnologici, ma deve poter rilevare anche le
vulnerabilità di tipo operazionale ed organizzativo che
potrebbero risultare in una scorretta postura di sicurezza. Un aspetto
di fondamentale importanza è anche la metodologia utilizzata
per l’esecuzione dei test e la valutazione dei risultati.
Communication Valley ispira le sue attività di verifica alle
metodologie OSSTMM e OWASP, globalmente riconosciute e adottate come
punto di riferimento per l’esecuzione di test completi,
accurati, verificabili e ripetibili.
L’attività di Security Testing ha una struttura
modulare, come sintetizzato nel dettaglio, in modo da potersi adattare
a molteplici esigenze.
Dettaglio
Network&Service
Discovery
Network
Vulnerability Assessment
Penetration Test
Web Application Test
Wireless Assessment
VoIP Assessment
Assessment Telefonico
Network
& Service Discovery
Le attività di Network&Service Discovery sono
propedeutiche alle successive fasi di Vulnerability Assessment ed
eventualmente Penetration Test e si prefiggono l’obiettivo di
raccogliere il maggior numero di informazioni possibili sui sistemi e
gli apparati oggetto del test, nonché sui proprietari e gli
eventuali gestori dei sistemi stessi. Le ricerche vengono effettuate
principalmente verificando l’esposizione su Internet delle
aziende/organizzazioni, mediante la consultazione di database
pubblicamente accessibili (RIPE, WHOIS, etc.), la verifica dei
riferimenti sui principali motori di ricerca e sui gruppi di
discussione (Google, newsgroup, etc.), l’esecuzione di query
DNS sui server autoritativi. Questo tipo di ricerca può
consentire di isolare informazioni di rilievo relative
all’ambiente di rete cui appartengono gli obiettivi, alle
tecnologie utilizzate, ad eventuali informazioni sensibili che sono
direttamente o indirettamente veicolate attraverso Internet. Questo
tipo di attività assume maggiore rilevanza quando vengono
testati sistemi esposti sulla rete globale e quindi accessibili
dall’esterno della rete aziendale, mentre ha un impatto
generalmente trascurabile nel caso che l’obiettivo del test
siano sistemi raggiungibili solo dall’interno della rete
aziendale. Successivamente vengono utilizzati una serie di strumenti
per determinare tipologia e funzioni dei sistemi che devono essere
testati. In particolare le informazioni fondamentali che è
possibile raccogliere e catalogare in questa fase sono: indirizzi IP
e/o nome host; porte TCP e UDP aperte; tipologia dei servizi
disponibili su tali porte; tipologia e versione delle applicazioni
associate ai singoli servizi; tipologia e versione dei sistemi
operativi utilizzati.
Network
Vulnerability Assessment
In questa fase si cerca di individuare tutte le
vulnerabilità presenti sui sistemi oggetto del test
utilizzando principalmente scanner automatici. L’uso di
strumenti automatici consente di eseguire la verifica di un grande
numero di sistemi in un lasso di tempo limitato. Communication Valley
utilizza principalmente due scanner che dispongono di una serie di
firme continuamente aggiornate per identificare le
vulnerabilità più recenti. Sui dati raccolti
dagli scanner viene successivamente effettuata una accurata analisi
manuale da parte degli analisti di Communication Valley: questa
attività offre un valore aggiunto determinante in quanto
consente di eliminare i falsi positivi e soprattutto i falsi negativi,
ottimizzando e completando l’insieme delle informazioni
raccolte dagli strumenti automatici, che non sono mai accurati al 100%.
In particolare ogni vulnerabilità viene correttamente
contestualizzata ed eventualmente riclassificata. Alla fine della fase
di assessment, tutte le vulnerabilità presenti vengono
identificate e verificate e ad ognuna viene associato un livello di
rischio, che può essere mitigato attraverso le azioni
correttive che vengono contestualmente suggerite.
Penetration Test
In questa fase, si cerca di sfruttare le vulnerabilità
presenti sui sistemi per compromettere
l’integrità, la confidenzialità e la
disponibilità delle informazioni e dei servizi: lo scopo
ultimo è quello di determinare il grado di
fattibilità di un attacco e di verificarne
l’impatto nel caso venga portato a termine con successo. Si
tratta di un’attività che si concentra su una
profonda analisi di vulnerabilità specifiche per verificare
se è possibile compromettere i sistemi in un intervallo di
tempo prestabilito e concordato. Concretamente vengono simulati, con la
maggiore fedeltà possibile, gli attacchi che potrebbero
essere presi in considerazione da un attaccante in base agli scenari e
allo stato dell’arte. Nei casi più frequenti, un
sistema o un servizio possono essere resi irraggiungibili (Denial of
Service), oppure un utente malintenzionato può ottenere da
remoto di un accesso privilegiato, senza contare la
possibilità per l’attaccante di espandere il suo
raggio d’azione una volta che un sistema
all’interno della rete è stato compromesso. Gli
analisti di Communication Valley replicano le tecniche di attacco
comunemente utilizzate, avvalendosi sia di codice pubblicamente
reperibile su Internet (“exploit” delle varie
vulnerabilità) che di script e programmi specifici
appositamente realizzati in base alle necessità della
singola sessione di test.
Questo tipo di attività consente di verificare problemi
derivanti dalle vulnerabilità del software o dei sistemi, da
errata progettazione o configurazione, da errori o dimenticanze umane,
etc. e richiede un elevato livello di competenza,
professionalità ed esperienza, mantenuto nel tempo
attraverso un continuo processo di aggiornamento, analisi,
sperimentazione ed interscambio con tutte le realtà ed i
canali informativi (ufficiali, ufficiosi e dell'underground) nel campo
della sicurezza delle informazioni.
Web Application
Test
La sicurezza degli applicativi dovrebbe essere garantita principalmente
attraverso una rigorosa fase di progettazione del software.
Sfortunamente, molti processi di sviluppo non prevedono ancora una fase
standard di test relativa agli aspetti di sicurezza, prima che gli
applicativi vengano rilasciati. La conseguenza è che molti
problemi di sicurezza vengono individuati quando il software
è già in produzione, rendendo il processo
inefficace e spesso proibitivo dal punto di vista dei costi necessari
per implementare rimedi strutturali. Le modalità con le
quali si può compromettere un applicativo possono essere
infinite, e non sempre un test di sicurezza può essere
esaustivo nelle sue conclusioni, tuttavia risulta essere uno strumento
molto importante per segnalare con corretta priorità le
criticità che devono essere risolte. La sicurezza deve
essere comunque considerata una componente fondamentale per chiunque
produca o utilizzi software applicativo.
Una verifica efficace del software applicativo prevede di superare i
limiti del prevedibile e di utilizzare un modello di pensiero che
ricalchi quello di un attaccante che vuole violare e sovvertire i
meccanismi di funzionamento dell’applicazione. Questo tipo di
attività consente di scoprire comportamenti inaspettati del
software e di testare la coerenza della logica di funzionamento
prevista dagli sviluppatori. Questo spiega anche perché la
verifica non può essere completamente affidata a strumenti
automatici, che non possono avere una conoscenza approfondita di
applicativi che spesso sono sviluppati “su misura”
per le diverse esigenze, e la cui complessità non si presta
ad essere verificata solamente attraverso schemi di analisi rigidamente
predefiniti. Gli strumenti automatici sono infatti progettati per
verifiche generiche e non personalizzate su codice specifico (quello di
volta in volta da testare). Spesso i problemi di sicurezza
più importanti non sono quelli generici, ma bensì
quelli relativi alla progettazione e alla logica funzionale
dell’applicativo, ciò che di fatto rende unica e
personalizzata ogni verifica di questo tipo. Il supporto degli
strumenti automatici può in ogni caso dare un apporto
significativo per individuare velocemente alcune categorie di
potenziali vulnerabilità, ma è fondamentale
conoscerne il funzionamento e i limiti, in modo da poterne sfruttare le
potenzialità senza subirne le limitazioni.
L’approccio seguito da Communication Valley prevede in
quest’ottica di utilizzare eventuali strumenti automatici
solo e unicamente a supporto di una analisi manuale effettuata da
Senior Data Analyst, basata sulla Web Application Security Testing
Guide rilasciata da OWASP.
Wireless
Assessment
I vantaggi di estendere la tradizionale infrastruttura di rete con una
componente wireless sono essenzialmente la superiore
portabilità e flessibilità unite al risparmio sul
costo dei cablaggi, di cui beneficia una vasta gamma di apparati
portatili, quali laptop, PDA e telefoni cellulari, con
capacità di interconnettersi utilizzando non solo la
tecnologia Wi-Fi ma anche quella Bluetooth. Le reti wireless sono
soggette alle medesime vulnerabilità delle reti cablate,
però diversamente dalle reti tradizionali non è
possibile confinare il segnale all’interno di un mezzo fisico
come il cavo, e questo comporta l’esistenza di possibili
vulnerabilità specifiche. L’insieme delle
attività di test consente di evidenziare una serie di
possibili criticità, come elencato di seguito.
- Mappatura della copertura di segnale 802.11/Bluetooth
(anche dall’esterno del perimetro aziendale e/o da altre aree
non di proprietà).
- Punti di accesso o dispositivi non autorizzati.
- Configurazioni di default o non sicure degli apparati.
- Corretto utilizzo di protocolli di cifratura adeguati al
livello di sicurezza necessario.
- Corretto utilizzo e gestione delle chiavi di cifratura e
delle credenziali di autenticazione.
- Supporto nella definizione delle eventuali misure
correttive e delle azioni volte al miglioramento del livello di
sicurezza tecnologico ed organizzativo.
- Supporto alla definizione di politiche e procedure per il
controllo degli accessi alla rete wireless.
L’insieme di questi interventi consente di minimizzare i
rischi legati alla disponibilità, integrità e
confidenzialità dei dati che transitano sulla rete wireless.
VoIP Assessment
L’utilizzo del VoIP (Voice over IP) permette di utilizzare la
rete dati per veicolare il traffico voce, integrando
l’infrastruttura esistente con apparati dedicati. La
qualità di servizio (QoS) per queste applicazioni deve
essere significativamente superiore, in quanto la trasmissione della
voce non tollera ritardi superiori ai 200 ms, pena una degradazione
inaccettabile del segnale, che non è più
intelligibile. Questo requisito fondamentale è a volte in
contrapposizione con la necessità di applicare varie misure
di sicurezza che inevitabilmente introducono elementi di ritardo
(firewall, cifratura, etc.), che possono degradare la
qualità del segnale in modo significativo. Nonostante quindi
il VoIP possa essere considerato come una delle tante applicazioni che
si appoggiano sulla rete dati, gli aspetti legati alla sicurezza devono
tenere conto del particolare impatto sulla qualità del
servizio, e assume quindi grande importanza la corretta valutazione dei
possibili rischi. Le minacce principali sono: Denial of Service,
intercettazione, vulnerabilità dei protocolli, accesso non
autorizzato, Vishing, Spit.
Le attività di test dell’infrastruttura VoIP
prevedono le usuali tecniche di “footprinting” ed
enumerazione per raccogliere informazioni su sistemi ed applicazioni,
successivamente si verifica la possibilità di intercettare
ed alterare le comunicazioni con attacchi di tipo
“man-in-the-middle” oppure di sovvertire la logica
di funzionamento inviando pacchietti di dati modificati (fuzzing) per
testare le risposte dei sistemi ed eventualmente guadagnare un accesso
privilegiato oppure provocare un’interruzione del servizio
(Denial of Service).
Assessment
Telefonico
Le moderne architetture di rete affrontano il problema della sicurezza
con un approccio di tipo multilivello: incorporano cioè
molti elementi che, con funzioni diverse, contribuiscono a definire il
livello di sicurezza dell’infrastruttura. Gli investimenti
sono generalmente concentrati sulla rete dati, trascurando il fatto che
spesso questa non è separata o agevolmente separabile dalla
rete voce. I problemi di sicurezza legati alla rete telefonica
aziendale sono di diverso tipo:
- un utente interno può collegare un modem al
proprio PC ed attivarne la risposta automatica, realizzando un punto
d’accesso non autorizzato che può essere sfruttato
dall’utente stesso o da un attaccante esterno;
- un utente interno può accedere via modem a reti
esterne all’azienda evitando in questo modo le tecnologie di
protezione e controllo previsti nei punti di accesso noti;
- i punti d’accesso autorizzati
dall’azienda, come modem per la tele-gestione, fax ufficiali
e RAS possono essere soggetti ad attacco e ad abuso da parte di
malintenzionati;
- i centralini aziendali possono essere attaccati
dall’esterno per condurre ad abusi e frodi;
- gli utenti della rete telefonica aziendale possono fare un
uso scorretto e contrario alle policy delle linee telefoniche messe a
loro disposizione;
Come si vede ci sono molti aspetti dell’utilizzo della rete
telefonica che rendono vulnerabile l’azienda, assoggettandola
a possibili attacchi ed abusi, effettuati sia dall’interno
che dall’esterno. Buona parte di questi problemi sono legati
alla difficoltà del controllo dell’utilizzo di
modem, autorizzati o meno.
La metodologia dell'assessment telefonico si basa sull'esecuzione di
chiamate, iterate in numero variabile, sull'intervallo di interni
telefonici oggetto della scansione. La gestione dei cicli di chiamate
è automatizzato tramite apposito software, che si occupa
anche dell'archiviazione dei risultati, che possono essere di tipo
modem, fax, voce, occupato o timeout.
|
| |
|
|
