Seat 2007 Vulnerability Assessment. Background  Start-up Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI e DINT,

Slides:



Advertisements
Presentazioni simili
Overview CSR Software è una applicazione web based ideata per aiutare le imprese nella gestione e nella realizzazione del bilancio sociale. Il software.
Advertisements

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
L’offerta di prodotti di Sicurezza e la roadmap evolutiva
Le tecnologie informatiche per l'azienda
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Java Enterprise Edition (JEE)
Amministratore di sistema di Educazione&Scuola
UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA
Roma, Presentazione del sistema ClicLavoro.
La sicurezza nel mondo Social Network dei
4-1 Il Livello di Rete Crediti Parte delle slide seguenti sono adattate dalla versione originale di J.F Kurose and K.W. Ross (© All Rights Reserved)
La rete in dettaglio: rete esterna (edge): applicazioni e host
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Laurea Triennale in Infermieristica
NESSUS.
Politecnico di Milano Analisi e Valutazione sulla sicurezza delle applicazioni web generate con WebML/WebRatio Luca Carettoni -
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
Architettura Three Tier
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Corso di Sicurezza su Reti II
Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Commercio Elettronico e Transazioni Commerciali in Internet Betty BronziniCorso di Sicurezza 2003.
Workshop CNAF – Bologna 8 Luglio 2011 FARO Accesso Web a risorse e servizi remoti in ambiente Grid/Cloud A. Rocchi, C. Sciò, G. Bracco, S. Migliori, F.
Cos’è un CMS? Content Management System
INTERNET FIREWALL BASTION HOST.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Strategy2 Con un approccio integrato tra professionisti esperti di informatica, di materie economico-finanziarie e di processi aziendali, abbiamo realizzato.
Norman Endpoint Protection Sicurezza all'avanguardia in tutta facilità!
L’applicazione integrata per la gestione proattiva delle reti IT
MODELLI DI RIFERIMENTO
Lo sviluppo del progetto informatico
Sistemi Informativi sul Web
Slide 1 Un browser migliore Passa a Firefox – il modo più veloce, sicuro e intelligente per navigare sul Web.
Progetto Ingegneria del Software
EM 09 INTERNET … UN PO DI STORIA. EM 09 Nasce per garantire comunicazioni efficienti … Tra le sedi delle forze armate americane Tra le sedi delle forze.
30/03/2011. Con un approccio integrato che prevede la sinergia tra professionisti dellinformatica, esperti in materie economico- finanziarie e ingegneri.
Sistema per la gestione dei piani di assistenza domiciliare
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Creato da Riccardo Nuzzone
Snamretegas Nuova Piattaforma informatica gestione processi commerciali Evoluzioni tecnologiche nelle integrazioni B2B introdotte dalla nuova piattaforma.
Francesco M. Taurino 1 NESSUS IL Security Scanner.
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
21 gennaio Sirti S.p.A. VA/PT di: 3 reti pubbliche (indirizzi selezionati)‏ 3 reti private (indirizzi selezionati)‏ 7 (6) applicazioni web.
Networking e sicurezza: dal binomio ad un’unica disciplina Forum P.A Carlo Riccardi.
DIT Department of Information and Communication Technology Information System Ingegneria del Software: un caso di studio.
Sicurezza e attacchi informatici
30 agosto Progetto Quarantena Gateway Security Appliance.
Cloud SIA V anno.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Simulazione Computer Essentials
PHP.  HTML (Hyper Text Markup Language)  CSS (Cascading Style Sheets)  Javascript (linguaggio di programmazione client)  PHP ( Hypertext Preprocessor.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Servizi di verifica e supporto alla Sicurezza Informatica In collaborazione con ver 2.1 SEI – Sistemi di Esercizio Infrastrutturale.
Analisi di sicurezza della postazione PIC operativa
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Security Monitor and Auditing & Event Management Franco Rasello Angelo Bianchi Integra Spa.
Servizi di verifica e supporto alla Sicurezza Informatica In collaborazione con SEI – Sistemi di Esercizio Infrastrutturale.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
Architetture software
SARA Assicurazioni Proposta di VA. Esigenze e requisiti  Esigenze:  Affrontare la sicurezza in maniera più organica e pianificata  Definire e seguire.
TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.
Esercitazione TST a.a. 2015/2016 Guida operativa.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
1 luglio Application Security Database Protection.
Vulnerability Assessment
Transcript della presentazione:

Seat 2007 Vulnerability Assessment

Background  Start-up Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI e DINT, su committment della funzione Tutela di DRU, attraverso la costituzione di un gruppo di lavoro con risorse Seat e M&PSkyLab. Una volta definito il perimetro di intervento, è stato necessario dotarsi di: 1.Metodogia 2.Strumenti 3.Reportistica di dettaglio  Obiettivi che ci si è posti (entro primi mesi 2008): verificare possibili intrusioni dall’esterno e dall’interno dell’azienda, su infrastrutture e sistemi informativi di SEAT Pagine Gialle SPA, da un punto di vista della sicurezza delle informazioni trattate.

Piano del progetto Di seguito sono elencate le principali attività che il piano prevede, a valle dell’analisi effettuata da M&P, e la percentuale di completamento Schedulati Ottobre Novembre CDB Schedulato Settembre Credit Scoring Non ancora schedulato SEM In corso EAI terminato

Piano del progetto (cont.) Di seguito sono elencate le principali attività che il piano prevede, a valle dell’analisi effettuata da M&P, e la percentuale di completamento Disp.Mobili terminato VOIP terminato MPLS router terminato

Piano del progetto (cont.) Di seguito sono elencate le principali attività che il piano prevede, a valle dell’analisi effettuata da M&P, e la percentuale di completamento Schedulati Settembre Non ancora scedulato Non ancora scedulato Non ancora scedulato

Overview Di seguito riportiamo la nostra Metodologia, gli Strumenti utilizzati e la struttura del Report con cui vengono descritti i risultati ottenuti per il Security Probe e Vulnerability Assessment di varie componenti dell’infrastruttura informativa di SEAT Pagine Gialle

Metodologia (network probe)

Metodologia (web appl. probe)

Metodologia  Passi della metodologia ‘classica’ di Security Probe:  Footprinting  Scanning  Enumeration  Gaining Access  Escalating Privileges  Pilfering (*)  Covering traces and creating back doors (*)  (*) attività di hacking non eseguite in un security probe autorizzato

Probe applicativo  Probe Applicativo (Web Application Vulnerability Assessment – WAVA) Questa analisi è costituita da una serie di tentativi d’attacco che coinvolgono i protocolli e le logiche di comunicazione utilizzati dagli utenti finali per interagire con le applicazioni. Nel caso specifico delle applicazioni web, tali attacchi sono basati su manipolazioni dei pacchetti HTTP che vengono scambiati fra i browser degli utenti ed il web server. Esistono diverse categorie di attacchi verso applicazioni web, che possono portare alla compromissione di uno o più layer dell’intera infrastruttura applicativa: Web Server, Application Server, Middle Tier, Database Management System.

Strumenti  Strumenti Le analisi saranno svolte da personale esperto umano e non da semplici tools automatici in grado di generare Le analisi saranno svolte da personale esperto umano e non da semplici tools automatici in grado di generare report rigidi e privi di intelligenza (al contrario di un vero attaccante alla vostra infrastruttura). Il nostro personale userà gli stessi tools in mano alla comunità hacker e si mantiene costantemente aggiornato sulle nuove vulnerabilità scoperte o su nuove tecniche o tools di intrusione e di protezione. Alcuni esempi di tools usati sono :  nmap  hping  cain & abel  Atstake LC5  Exploit Always updated per specifiche vulnerabilità di servizi e applicazioni  Keygrab  Ethereal  Ettercap  Acunetix (WAVA)  Sandcat Suite (WAVA)  KisMet per le reti (wi-fi)  etc.

Report (Macroblocchi del Report Tecnico finale) Executive Summary Modus Operandi Report Cronologico Attività Minime Consigliate

Report Il risultato finale di un security probe è un documento tecnico dove sono evidenziate le problematiche riscontrate sia attraverso l’analisi ‘a tavolino’ con la parte tecnica del cliente e sia attraverso una fase di scansioni e attacchi simulati. Il documento dovrebbe sempre concludersi con i suggerimenti per l’assessment della situazione con un elenco di contromisure minime da applicare per sanare le problematiche evidenziate.

Elementi di rischio segnalati - EAI

Elementi di rischio segnalati – Disp.Mobili

Elementi di rischio segnalati – VOIP

Elementi di rischio segnalati – MPLS router