La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

TSF S.p.A. 00155 Roma – Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.

Presentazioni simili


Presentazione sul tema: "TSF S.p.A. 00155 Roma – Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A."— Transcript della presentazione:

1

2 TSF S.p.A. 00155 Roma – Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa Risk Analysis tecnica e Penetration Test relativi alle nuove funzionalità che si renderanno disponibili alle piattaforme di lavoro PIC operative 28 Ottobre 2008

3 3 Oggetto delle analisi Ambiente centrale   Già analizzato e certificato Funzionalità aggiuntive fruibili dalle postazioni PIC operative   Lettura della posta elettronica su caselle di posta interne (OWA)   Navigazione su alcuni portali applicativi interni (portale lineadiretta) Target   Delta architetturale e funzionale Obiettivo   Rilevare ed evidenziare eventuali punti critici di sicurezza presenti nell’introduzione di tali nuove funzionalità

4 Risk Analysis (1) 4 Approccio   Prettamente tecnologico   Aderente ai controlli ISO27001 Attività previste   A.1 - Verifica delle policy "rilassate" sulla PDL PIC   A.2 - Analisi della sicurezza della sistema di posta, in merito alle sole relazioni con la PDL PIC   A.3 - Analisi delle modalità di accesso ai siti web intranet da parte della PDL PIC   A.4 - Verifica regole su firewall, router e reverse proxy aggiunte da questo progetto   A.5 - Analisi dello stato di blindatura del reverse proxy   A.6 - Analisi dei flussi di comunicazione tra PDL PIC e reverse proxy

5 Risk Analysis (2) 5 Attività previste   A.7 - Valutazione delle minacce, analisi dei rischi tecnologici e valutazione quantitativa del rischio residuo   A.8 - Valutazione dei GAP rispetto ai controlli previsti dalla ISO27001 Delivery   Documento descrittivo delle attività eseguite, dei risultati ottenuti e delle azioni che eventualmente si consigliano di effettuare   Mitigazione del rischio qualitativa   GAP con i controlli ISO27001

6 Vulnerability Assessment 6 Approccio   Vulnerability Assessment in ambiente di esercizio Attività previste   B.1 - Raggiungibilità della VPN rossa (PDL PIC) dalla VPN Verde   B.2 - Test di effettiva copertura da malware della PDL PIC   B.3 - Vulnerability assessment del reverse proxy dalla LAN Accesso   B.4 - Vulnerability assessment del reverse proxy dalla LAN Front-end   B.5 - Raggiungibilità del sistema centrale attestandosi con portatile nella stessa rete della PDL PIC Delivery   Documento descrittivo delle attività eseguite, dei risultati ottenuti e delle azioni che eventualmente si consigliano di effettuare

7 Pianificazione e tempistiche 7 ElapsedConsegnaInizio attività Risk Analysis 20 giornate Seconda metà di Novembre 2008 28 Ottobre 2008 Vulnerability Assessment 15 giornate 3 settimane solari dall’inizio delle attività Appena terminati i lavori (dal 5 al 10 Novembre)

8 Gantt 8

9 Raccolta informazioni per l’attività di RA 9   A.1 - elenco policy di hardening (soprattutto quelle oggetto del delta)   A.2 - configurazione del server di posta in relazione ai client PDL PIC   A.3 - whitelist e tipologia di accesso e di applicativi web e flusso di dati   A.4 - regole di firewall, router e reverse inerenti il delta oggetto dello studio   A.5 - policy di hardening del reverse proxy e della piattaforma MS su cui gira   A.6 - flussi di comunicazione e scambio dati tra PDL PIC e reverse   A.7 - niente da richiedere   A.8 - interviste inerenti i controlli ISO e relativi al delta oggetto dello studio (controlli ISO non previsti precedentemente e controlli ISO già in essere)

10 Raccolta informazioni per l’attività di VA 10   B.1 - attestazione alla rete verde e lista della rete rossa per test di raggiungibilità   B.2 - affiancamento durante i test e creazione di un utente di test PDL PIC   B.3 - affiancamento per attestazione alla LAN Accesso   B.4 - affiancamento per attestazione alla LAN Front-End   B.5 - attestazione alla rete PIC e lista della rete centrale per test di raggiungibilità

11 Criticità 11   Di difficile valutazione in quanto strettamente dipendenti dalle attività progettuali in corso e quindi dai tempi di reperibilità delle informazioni   Forte dipendenza nella pianificazione dalle attività programmate per la realizzazione la messa in esercizio della soluzione

12 Proposte e sviluppi futuri 12 Code review   Fonte di possibili rischi costituisce il codice sviluppato ad hoc e che verrà eseguito dalle postazioni PDL PIC operative: modulo di lancio browser e gestione dell’autenticazione via smartcard   E’ consigliabile pianificare, come sviluppo futuro, un reverse engineering e un code review: il primo per rilevare il grado di reversibilità del codice, il secondo per rilevare eventuali vulnerabilità applicative Web Application Intranet   E’ consigliabile pianificare un’analisi di sicurezza degli applicativi web a cui le postazioni PIC operative si collegheranno


Scaricare ppt "TSF S.p.A. 00155 Roma – Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A."

Presentazioni simili


Annunci Google