TSF S.p.A. 00155 Roma – Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.

Slides:



Advertisements
Presentazioni simili
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Advertisements

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Le tecnologie informatiche per l'azienda
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Direzione Generale Sistemi Informativi Reti telematiche e minori: lesperienza nelle scuole Reti telematiche e minori: lesperienza nelle scuole Roma, 17.
Sicurezza dei dati e privacy. Nel computer sono conservati dati molto importanti e per questo motivo si deve impararli a proteggerli.
Sicurezza e Policy in Active Directory
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
CD ROM Library. Descrizione generale del sistema La soluzione di CD ROM Library sviluppata permette la condivisione di rete di CD ROM (qualunque numero)
Nuovi servizi per il personale
Bsales Configurazione postazioni di lavoro.
World Wide Web (www) Unita logica tra servizi fisicamente distinti Semplicita di accesso alle informazioni (navigazione ipertestuale) Tanti soggetti concorrono.
Progetto SCUOLE IN RETE
Contributo del CED alla realizzazione di un Sistema Informativo unico per la gestione personale Marzo Marzo 2007.
Distributed File System Service Dario Agostinone.
Ing. Enrico Lecchini BetaTre S.r.l.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
INTEGRAZIONE, RILASCIO
Guida IIS 6 A cura di Nicola Del Re.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
PORTALE SERVIZI. Laccesso al portale avviene attraverso lutilizzo di un codice operatore e di una password comunicati in busta chiusa personalizzata ai.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
SISTEMA INOLTRO TELEMATICO ISTANZE DECRETO FLUSSI 2010
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Slide 1 Un browser migliore Passa a Firefox – il modo più veloce, sicuro e intelligente per navigare sul Web.
SIBA Days 2009 – III Edizione Il Servizio di accesso remoto alle risorse informative elettroniche Domenico Lucarella Coordinamento SIBA Università del.
Presentazione Data Base Ovvero: il paradigma LAPM (Linux - Apache - PHP - mySQL) come supporto Open Source ad un piccolo progetto di Data Base relazionale,
Applicazione Web Informatica Abacus Informatica Classe VIA 2008/2009 N.Ceccon INF (01) Revisione 4.0 settembre 2008.
Sistema per la gestione dei piani di assistenza domiciliare
RECON Acquisizione Parametri Monitoraggio Live da remoto
L’architettura a strati
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
1 (OGGI : DigitPA). 2 La posta elettronica È uno strumento semplice, immediato, efficace ed economico utilizzato nelle comunicazioni interpersonali e.
InternetInternet Sede: Salvo D’acquisto 2010/2011 Docente: Vito Monno.
CUC Centro Unico di Contatto.
Sicurezza informatica
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Progetto di un sistema di comunicazione di gruppo con multicast causale Reti di Calcolatori L-S Marco Canaparo Matricola
Osservatorio regionale del commercio Sistema per il monitoraggio trimestrale delle strutture di vendita e degli esercizi di somministrazione di alimenti.
UNITA’ 02 Malware.
Sicurezza e attacchi informatici
GATECOP Benvenuti in Gatecop, programma specializzato per la gestione delle Palestre.
Aditech Life Acquisizione Parametri Monitoraggio Live da remoto
30 agosto Progetto Quarantena Gateway Security Appliance.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Seat 2007 Vulnerability Assessment. Background  Start-up Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI e DINT,
Analisi di sicurezza della postazione PIC operativa
Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
5 marzo Come affrontare il problema Contromisure organizzative e tecnologiche.
GRUPPO TELECOM ITALIA Roma, Marzo 2010 Nuovi sistemi di gestione dei Clienti Wholesale.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Progetti 2007 gruppo MAIL Commissione Calcolo e Reti INFN O. Pinazza 12 dicembre 2006.
Risultati Leapfrog IP per una comunicazione sicura e affidabile Cristiano Novelli ENEA, XML-Lab.
IL CATALOGO DI MODULI FORMATIVI PROFESSIONALIZZANTI Aggiornamento Provincia di Genova Direzione Politiche Formative e del Lavoro Giancarlo Sintoni.
VLAN Virtual LAN.
SARA Assicurazioni Proposta di VA. Esigenze e requisiti  Esigenze:  Affrontare la sicurezza in maniera più organica e pianificata  Definire e seguire.
TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
COMUNICAZIONE UNICA REGIONALE Le nuove modalità operative per la compilazione e trasmissione telematica della.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Vulnerability Assessment
Transcript della presentazione:

TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A. Assessment di sicurezza Sull’evoluzione 2008 dell’infrastruttura applicativa PIC 20 Novembre 2008

2 Oggetto dell’assessment Obiettivo Rilevare ed evidenziare eventuali punti critici di sicurezza presenti nell’introduzione di funzionalità aggiuntive fruibili da postazioni PIC operative ed in particolare la possibilità di accedere a:   tutti i siti del dominio.rfi.it   tutti i siti del dominio.gruppofs.it   tutti i siti del dominio.in-fs.it Target Delta architetturale e funzionale Ambiente centrale Già analizzato e certificato

Risk Analysis - Modalità di svolgimento (1/2) 3 Approccio   Prettamente tecnologico   Aderente ai controlli ISO27001 Attività previste   A.1 - Verifica delle policy "rilassate" sulla PDL PIC   A.2 - Analisi della sicurezza della sistema di posta, in merito alle sole relazioni con la PDL PIC   A.3 - Analisi modalità di accesso ai siti web intranet da parte della PDL PIC   A.4 - Verifica regole firewall, router e reverse proxy aggiunte   A.5 - Analisi dello stato di blindatura del reverse proxy   A.6 - Analisi dei flussi di comunicazione tra PDL PIC e reverse proxy

Risk Analysis - Modalità di svolgimento (2/2) 4 Attività previste   A.7 - Valutazione delle minacce, analisi dei rischi tecnologici e valutazione quantitativa del rischio residuo   A.8 - Valutazione dei GAP rispetto ai controlli previsti dalla ISO27001 Delivery   Documento descrittivo delle attività eseguite, dei risultati ottenuti e delle azioni che eventualmente si consigliano di effettuare   Mitigazione del rischio qualitativa   GAP con i controlli ISO27001

Risk Analysis – Primi Risultati

6 Variazioni rilevanti occorse Sulla postazione PIC operativa   possibilità di eseguire il browser internet explorer   possibilità di lanciare l’eseguibile RunAs sviluppato ad hoc   possibilità di accedere al servizio OWA per la posta elettronica   possibilità di accedere ai portali lineadiretta. gruppofs.it e portalerfi.rfi.it Sul firewall   Aggiunta di nuove regole per l’accesso ai servizi richiesti Sul dominio   Aggiunta di RunAs, iexplore, nella whitelist degli eseguibili ammessi Sul router   Nessuna variazione Sul server OWA e sui portali indicati   Nessuna variazione

Controlli ISO applicati 7 Controllo ISOVariazione o Consiglio A (organizzativo) A (tecnologico) E’ specificato nel controllo che verranno effettuate delle verifiche sia di rete che applicative. Le prime sono già programmate, le seconde non ancora (in riferimento all’eseguibile runas sviluppato ad hoc). A Si evidenzia come siano previsti dei test di capacity per rilevare eventuali problematiche di performance e/o colli di bottiglia. In questo caso, l’accesso prima non esistente da parte delle postazioni operative PIC verso OWA, portale RFI e LineaDiretta potrebbe generare del traffico non previsto. A A Si sottolinea come sia necessario integrare il tracciamento via log, anche per le nuove funzionalità a cui le postazioni PIC avranno accesso. A Le politiche di controllo accessi legate a requisiti di sicurezza e di business sono variate e quindi occorrerà rendere evidenza cartacea del fatto. A Sono da aggiungere dei nuovi target all’insieme di quelli previsti come destinazioni raggiungibili dalle postazioni. A Viene menzionato il solo utilizzo di canali SSL mentre in realtà l’accesso alle nuove funzionalità può avvenire anche su canale in chiaro http.

Controlli ISO non applicati 8 Controllo ISO Variazione o Consiglio A In questo controllo non applicato viene specificato che nessuna postazione è dotata di supporti rimovibili. Non è chiaro se si tratti di blocchi garantiti da configurazione oppure dalla assenza fisica delle porte. A A Con le evoluzioni relative ad OWA, il canale di posta dovrà essere considerato come possibile fonte di data leakage. A Il timeout per le sessioni ora è applicato al sistema di posta OWA. A Da rivalutare qualora non si ritenga più la rete PIC “logicamente separata” da tutte le altre.

Potenziali vulnerabilità (1) 9   V01 – Esecuzione di script via browser   causare sulla postazione operativa PIC l’esecuzione di ActiveX o di altra tipologia di malware interpretabile ed eseguibile dal browser   V02 – Esecuzione di codice via browser   causare sulla postazione operativa PIC l’esecuzione di un codice arbitrario che sfrutta vulnerabilità presenti nel browser e nelle sue eventuali estensioni   V03 – Esecuzione di macro excel   causare sulla postazione operativa PIC l’esecuzione di macro dannose attraverso l’utilizzo di una versione vulnerabile del tool Excel   V04 – Canale di posta   utilizzare il canale di posta come vettore di iniezione di malware, attraverso internet explorer e excel (i due eseguibili inseriti nella whitelist delle group policy)

Potenziali vulnerabilità (2) 10   V05 – Configurazione proxy   è possibile utilizzare il browser delle postazioni web per raggiungere siti della intranet   V06 – Canale in chiaro   per tutti i target indicati esiste la possibilità di comunicare in chiaro attraverso il protocollo http   V07 – Manipolazione dell’autenticazione   effettuando azioni di reverse engineering e di debug dell’esecuzione del codice custom RunAs si potrebbe manipolare l’autenticazione bypassandola oppure impersonificando un altro utente

Cosa manca: quantificazione Probabilità e Impatto 11 VulnerabilitàStoricoSkill Valore della Probabilità di Accadimento V01Medio V02Alto V03Medio V04Alto V05Basso V06Medio V07Alto VulnerabilitàAsettico Impor tanza Valore Impatto per Integrità, Disponibilità e Confidenzialità V01Basso V02Basso V03// V04Medio V05// V06// V07Alto

Cosa manca: quantificazione rischio e accettazione 12 Vulnerabilità Probabilità di Accadimento Impatto relativo alla integrità Valore del Rischio di Integrità, Disponibilità e Confidenzialità V01 V02 V03 V04 V05 V06 V07 Accettazione del rischio Mitigazione del rischio

Proposta per PT e VA

Proposta di verifiche da eseguire 14 A. A. Controllo dell’effettiva blindatura delle postazioni operative PIC in merito alla whitelist di eseguibili lanciabili dall’operatore B. B. Controllo dello stato di aggiornamento e di hardening della postazione operativa “tipo” C. C. Test di raggiungibilità DALLA postazione operativa PIC ai soli siti ammessi D. D. Controllo dei processi attivi e delle porte aperte sulla postazione operativa “tipo” E. E. Test di verifica dell’effettiva protezione da malware della postazione operativa PIC attraverso l’invio di un set di mail malevole ad hoc (virus molto datato, virus molto recente, attachment zip con password, macro excel, virus excel, spyware) F. F. Vulnerability assessment sul server OWA G. G. Test di raggiungibilità della postazione operativa PIC dalla VPN Verde H. H. Raggiungibilità del CED RFI attestandosi con un portatile nella stessa rete della Postazione operativa PIC I. I. Verifica della possibilità di effettuare reverse engineering sul codice RunAs sviluppato ad hoc e conseguente verifica della possibilità di effettuare manipolazioni dell’autenticazione (da valutarne l’esecuzione in fasi successive).

Guidelines per attività di PT e VA

Linee Guida per PT e VA [TUV]

Pianificazione

Pianificazione (bozza per discussione) 18