BE.iT

CYBERSECURITY

CI OCCUPIAMO DIRETTAMENTE DELLE
3 FORME DI SICUREZZA INFORMATICA

DIFENSIVA

icon_1_red_new

LA SICUREZZA DIFENSIVA HA COME COMPITO QUELLO DI PRESERVARE I DATI.

Devono essere garantiti:

01. Disponibilità

Il dato deve essere disponibile al momento richiesto, indipendentemente da possibili attacchi o da guasti del sistema in cui sono conservati.

Ricadono all’interno di questa categoria:

Sistemi di ridondanza

Possono essere a livello della memorizzazione delle informazioni (RAID, Storage, Replica sincrona/asincrona, Disaster Recovery), sia a livello dei sistemi atti ad elaborarli (Cluster, Business Continuity)

Sistemi di backup

02. Accessibilità

Misure precauzionali devono essere messe in atto per limitare l’accesso al dato ai soli utilizzatori autorizzati.

Tecnologie atte per raggiungere questo scopo sono:

directory copia_red_new

Directory Service

Active Directory, RedHat Identity Manager/FreeIPA, Oracle Identity Manager, sono alcuni Directory Service presenti sul mercato. Il directory service contiene una raffigurazione di ogni oggetto presente all’interno del sistema informativo. Tra questi vi sono account utente, computer, stampanti, sistemi di storage, cartelle di rete…

policy copia_red_new

Policy Manager

Questo componente permette di creare delle policy di sicurezza che possono essere applicate ad ogni oggetto presente all’interno del Directory Service

cryptography copia_red_new

Crittografia

L’utilizzo della crittografia, unito ad altri sistemi, permette di gestire correttamente l’accessibilità alle informazioni e di proteggerle sia all’interno dei sistemi sia in transito verso altri luoghi

03. Protezione Perimetrale

I sistemi di protezione perimetrale permettono un accesso controllato e sicuro verso altre reti (per esempio la rete Internet), con un livello di sicurezza inferiore o non gestito dall’organizzazione. Essi comprendono:
FIREWALL: questi sistemi permettono di filtrare il traffico passante e di stabilire quale sia autorizzato a passare da una rete all’altra. I moderni firewall comprendono altre funzioni come:

vpn copia 2_red_new

VPN

Permettono di collegare più sedi della propria azienda, o di altre aziende collaboratrici, usando delle reti a bassa sicurezza ma disponibili pervasivamente (come la rete Internet), leased line pubbliche

proxy copia 2_red_new

Proxy Server

Servizio di filtering specializzato in una serie di protocolli di livello 7 (application). Un esempio sono i proxy http/https
encrypted copia 2_red_new

Advanced Thread Protection

Fornisce un servizio in grado di analizzare il traffico tramite sonde di Deep Packet Inspection e di rilevare attacchi complessi
isp copia 2_red_new

ISP/IDP

Sistemi in grado di verificare la presenza di traffico anomalo e di reagire di conseguenza
server copia 2_red_new

Proxy Server

Possono essere integrati con altri sistemi (come i firewall, vedi sopra) o sistemi indipendenti
location copia 2_red_new

Sonde

Sono poste in punti specifici della rete. Il loro compito è esaminare il traffico passante e farlo analizzare da sistemi IDS/IDP

04. Gestione dei Log

Ogni evento, all’interno di un sistema informativo, genera dei log. Tali log sono spesso la fonte primaria di informazione in relazione ad eventi di sicurezza e violazioni della stessa.

E’ necessario sia gestirli correttamente (in modo che siano sia accessibili sia protetti correttamente da manipolazione), sia avere dei sistemi in grado di correlare log provenienti da diverse fonti in modo da comprendere la natura di uno o più specifici eventi (SIEM)

05. Gestione del Patching

I sistemi informativi sono naturalmente soggetti a bug. Tali bug sono continuamente scoperti e i produttori provvedono a produrre delle patch per correggere il problema.

E’ essenziale che vi siano delle procedure corrette per la manutenzione del sistema informativo e per la gestione del patching, onde evitare che, per trascuratezza, il sistema diventi vulnerabile.

06. Honeypot

Sono sistemi il cui scopo è quello di agire da bersagli per gli attacchi informatici.

Hanno la duplice funzione di deviare l’attenzione degli attaccanti verso un sistema trappola e di poter permettere di analizzare la natura degli attacchi informatici portati al sistema al fine di profilare gli attaccanti e le loro intenzioni.

OFFENSIVA

icon_2 copia_red_new

LA SICUREZZA OFFENSIVA HA LO SCOPO DI VERIFICARE LE INFRASTRUTTURE ED I SERVIZI IN ESSERE AL FINE DI EVITARE CHE EVENTUALI BUG POSSANO PERMETTERE AD UN ATTACKER DI PRENDERE IL CONTROLLO DEL SISTEMA.

La sicurezza offensiva si basa essenzialmente su 3 processi:

01. Vulnerability assessment

È un processo automatizzato che permette di effettuare la scansione di centinaia o migliaia di macchine in un lasso di tempo ridotto. Il suo scopo è quello trovare i bug noti nei servizi e nei sistemi attivi.

Tali bug sono quelli noti e catalogati nelle liste di CVE (Common Vulnerabilities and Exposures). Questo significa che un vulnerability assessment è efficace solamente su software noto e non sviluppato ad hoc. In questo modo si può aumentare il livello di sicurezza generale del sistema e predisporlo per un controllo più puntuale

02. Penetration Test

E’ un processo che si applica ad un target più limitato e ristretto di un vulnerability assessment. Normalmente un penetration test si effettua sui servizi più esposti al pubblico o all’accesso tramite reti pubbliche o a bassa sicurezza.

Tipico esempio del target di un penetration test sono delle web application sviluppate ad hoc. Un’analisi puntuale, effettuata da un white hacker esperto, sarà in grado di evidenziare eventuali falle nel codice proprietario della web application.

03. Code Inspection

Disponendo del codice sorgente, è possibile effettuare una code inspection ai fini della sicurezza generale dell’applicazione.

Tipici problemi che possono essere trovati con questo specifico tipo di code inspection possono essere:

SQL Injection

Cross-site Scripting

Input/data Validation

Authentication

Authorization

Exposing Sensitive Data

Code Accesss Security

Exception Management

Data Access

Weak/wrong Use of Cryptography

Unsafe and Unmanaged Code Use

Configuration

Threading

Undocumented Public Interfaces

Covert Channel

POST INCIDENT

icon_3 copia_red_new

LA SICUREZZA POST INCIDENT COINVOLGE TUTTA LA PARTE RELATIVA ALLA GESTIONE CORRETTA DI UN INCIDENT DI SICUREZZA.

Questo comprende sia le procedure per la corretta gestione e conservazione delle evidenze digitali, sia la parte di analisi dell’incident (al fine di comprendere cosa sia effettivamente accaduto), oltre a tutto quanto sia necessario per tornare con i sistemi online senza il rischio di incorrere nelle stesse problematiche dell’incident.

Sono comprese:

Computer Forensics

Quella branca della sicurezza informatica che si occupa della raccolta e dell’analisi delle evidenze digitali, a fini probatori e di indagine. Compito della computer forensics è quella di esaminare le fonti di prova generate da un incident al fine sia di capire quanto sia effettivamente accaduto ovvero:

Vettore di attacco

Il vettore di attacco è ciò che è stato utilizzato per poter generare l’incident. Normalmente è il metodo che è stato utilizzato o per accedere al sistema informativo senza le dovute credenziali o per effettuare un’operazione di priviledge escalation per guadgnare diritti e ingannare le policy di security in essere.

Trackback

L’analisi delle fonti di prova digitali permette di avviare il processo per capire l’origine dell’attacco e trovare il possibile aggressore. Data la natura del protocollo TCP/IP uno o più hop possono essere nascosti o richiedono la collaborazione di terze parti (per esempio provider) per arrivare all’endpoint della comunicazione.