Dalle Minacce Ai Modelli Di Verifica Delle Vulnerabilità

COMPLESSITA’ DEI SISTEMI INFORMATICI E NON

Lunghezza catena Cause principali: Eterogeneità anelli

Progettazione inadeguata Aggravanti: Facilità di aggiungere funzioni, difﬁcoltà a toglierle

Maggiore probabilità di anelli deboli Maggiore difﬁcoltà di controllo

Ing. Enrico P. Mariani – una via per la gestione della complessità MISURA DELLA COMPLESSITA’ Sistemi informatici

Mb di sistema operativo Indici per macchina: Numero di processi contemporanei Start-up time a parità di hardware

Numero di applicazioni Indici per sistema: Numero di database Numero di interfacce

Ing. Enrico P. Mariani – una via per la gestione della complessità SISTEMI INFORMATICI OGGI

INGEGNERISTICHE Diverse conoscenze richieste: LEGALI CONTABILI

TEAM MULTIDISCIPLINARE

Ruolo dell’ingegnere: individuare e risolvere le criticità

Ing. Enrico P. Mariani – una via per la gestione della complessità RUOLO DELLO CNII

Sollevamento di istanze comuni

Diffusione del Coordinamento delle bagaglio commissioni ICT culturale degli Ordini comune degli Ingegneri (106 province)

Ing. Enrico P. Mariani – una via per la gestione della complessità Condivisione di conoscenze e collaborazioni

DigitPA

Ing. Enrico P. Mariani – una via per la gestione della complessità Dalle minacce ai modelli di veriﬁca delle vulnerabilità Agenda • Analisi delle minacce • Contromisure • Veriﬁca dei sistemi in essere • Checklist

Ing. Pietro Vassalli – dalle minacce ai modelli di verifica delle vulnerabilità In che caso ci troviamo? • Esistono diverse possibilità secondo Googman & Lawless: – Innovazione tecnologica? – Paragone con competitor? – Posizionamento tecnologico? • Per noi: – Nuovo cliente? – Analisi per partire su nuovi progetti? Le minacce in numeri – fonte Symantec Le minacce in numeri – fonte Symantec -2 Analisi delle minacce • Tue le minacce sono prevedibili • Le minacce aumentano aumentando la complessità dei sistemi • La tutela dalle minacce ha un costo • Tu gli errori sono umani • Per prevenire gli errori dobbiamo progeare bene i sistemi di prevenzione degli errori • Siamo consci del rischio che siamo dispos a correre? Top 10 even sicurezza nel 2011 (fonte Kaspersky Labs) 1. The Rise of “Hacktivism” (Anonymous, LulzSec, and maybe TeaMp0isoN) 2. The HB Gary Federal Hack 3. The Advanced Persistent Threat (RSA, Night Dragon, Lurid, Shady Rat) 4. The Comodo and DigiNotar Incidents (generazione di certiﬁcati digitali falsi) 5. Duqu: il padre di Stuxnet (virus PLC dell’Iran) Top 10 even sicurezza nel 2011 (fonte Kaspersky Labs)

6. The Sony PlayStation Network Hack 7. Fighting Cybercrime and Botnet Takedowns 8. The Rise of Android Malware 9. MacOS Malware 10. The Carrier IQ Incident – come ti spio il telefonino La mobilità • Tra rischi e opportunità • Il rischio viene dai produttori, Carrier IQ è l’esempio • Mobilità e accesso ai servizi in cloud • Autenticazione e privacy The Carrier IQ • Come abbiamo detto nessun telefono è immune

• Rimuoverlo da iPhone (Apple dice che non ha IQ):

– navigate to Settings > General > About > Diagnostics and Usage. Then simply select “Don’t Send.”

• Per rimuoverlo da Android:

– Con una ﬂash ROM

– http://www.mediaﬁre.com/?jboesg38j981yyw gratis

– https://market.android.com/details?id=com.treve.loggingkey - con 0,76€ dal market

• Dai Blackberry:

– navigate to the Options menu (it could also be Settings > Options)

– Quindi a seconda delle versioni, tipico to Options > Device > Application Management. Identiﬁcare IQ Agent.

– Inﬁnem dopo avere identiﬁcato IQ Agent (Carrier IQ), premere il menu button, and selezionare delete. Quando richiesto di riavviare il telefono rispondere si Il CyberCrime

• Tutti sono potenziali “cybercrimer” • Gli script kiddies • Il social engineering • La “giungla” di internet – poche competenze del potere esecutivo Le contromisure: la sicurezza Partire bene per evitare il peggio • Checklist • Mappa della rete • Mappa dei server e dei device • Mappa dei soware • Mappa degli uten e dei loro diri Il sistema complesso • Approccio bottom - up • L’analisi parte dall’infrastruttura • Dalla continuità del servizio alle VLAN per i backup Il sistema a checklist • Non si tratta di “thumb rules” • Si utilizza un approccio scientifico • Si analizzano attraverso specifiche tabelle i parametri desiderati • Si fa l’analisi degli scostamenti • Si deve avere costanza nella verifica E poi? • Controllo periodico • Aggiornamento dei sw e dei diagrammi • Centralizzazione del patch management sia per i S.O. che per i soware • Evitare strumen consumer nel mondo aziendale: sono fuori controllo Le categorie di analisi

• Gestione IT e architettura dell’azienda • Sistema e applicazioni • Informazioni sugli impianti di elaborazione • Client/server, telecomunicazioni, intranet, extranet Checklist

• Teniamo a mente: i servizi critici • L’hardware critico – attenzione che alcuni servizi che a noi NON sembrano critici lo sono (messenger) • I nostri fornitori: che cosa ci garantiscono? (chi fa cosa) • Struttura fisica dalla corrente agli accessi ISP Checklist 2 • La sicurezza del luogo – videosorveglianza, antifurto… • Il controllo degli accessi alla sala macchine • Il condizionamento, l’antincendio • La distruzione dei documenti (anche i dischi) • Il disaster recovery plan • Offline backup Checklist 3 • Sito ridondante • Il personale che accede: sicurezza, pulizie, visitatori • Esiste un NDA differenziato per i dipendenti, per i fornitori, per i consulenti? • Il disaster recovery –procedure di informazione, sostituzione delle funzioni, telecontrollo • Il modello green efficency Il sistema e le applicazioni • Teniamo a mente: che cosa NON possiamo permetterci di sbagliare • Elenco DINAMICO dei server • Elenco di TUTTI i software e su che macchine • Esistono client con software “speciali”? • Elenco fornitori specifici e riferimenti • Se macchine “tailor made” abbiamo le configurazioni? Architetture • Modalità di connessione ai server (client o web based?) • Meccanismi di collegamento ad internet • Le reti locali – segmenti e accessi (VLAN e 802.1x) • Il Wifi (sicurezza e autenticazione – WPA e radius) • Le connessioni remote e la loro sicurezza Esempio pratico 1 Esempio pratico 2 Esempio pratico 3 Manca il tempo? Quadrante magico: