Servizi di verifica e supporto alla Sicurezza Informatica In collaborazione con SEI – Sistemi di Esercizio Infrastrutturale.

Slides:



Advertisements
Presentazioni simili
XmlBlackBox La presentazione Alexander Crea 11 Aprile 2010 La presentazione Alexander Crea 11 Aprile 2010.
Advertisements

B.P.M. Business Process Manager
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
La riduzione dei privilegi in Windows
INTERNET: RISCHI E PERICOLI
INTERNET FIREWALL Bastion host Laura Ricci.
Pagina 1 PRESENTAZIONE DELLA POSIZIONE ESPRESSA DA TIM NELLA CONSULTAZIONE PUBBLICA SU ENUM Napoli, 4 novembre 2003.
XmlBlackBox La presentazione Alexander Crea 7 Giugno 2010 La presentazione Alexander Crea 7 Giugno 2010.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Introduzione all’analisi forense: metodologie e strumenti
La Tecnica NTG 5 PERFORMANCE Metodologia. La Tecnica NTG 5 Performance OBIETTIVI razionalizzare le modalità per raggiungere i risultati stimolare la quantificazione.
Struttura dei sistemi operativi (panoramica)
Corso di Sicurezza su Reti II
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
L'alternanza scuola - lavoro.
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
Presentazione a cura diSlide n.1 AVIPA 1. Presentazione generale dell'ambiente software Viterbo, 10 Dicembre 2008.
Daniel Stoilov Tesi di Laurea
LOCALIZZAZIONE SATELLITARE GEOREFENRENZIATA. OBIETTIVI Gestire il database cartografico al fine di poter visualizzare la posizione dei mezzi localizzati,
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
BRIDGE-3K Verso il futuro La migrazione dai sistemi HP3000. Un ponte verso il futuro conservando la cultura e le risorse aziendali. NOVITA 2007.
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
SEZIONE STUDENTE HOMEPAGE STUDENTE Lo studente ha la sola facoltà di registrarsi e fare il test. Inizierà il suo lavoro cliccando su REGISTRATI (figura.
Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.
SENSORI ANTI INTRUSIONE CONTROLLO DELLA TEMPERATURA SISTEMA SAFECAM.
Guida IIS 6 A cura di Nicola Del Re.
A cura della Unità Nazionale eTwinning Italia Guida pratica alla registrazione eTwinning
GESTIONE GRANULARE DEGLI ACCESSI FINESTRE DI DETTAGLIO INTERSCAMBIO DEI DATI CON LARCHIVIO DI ALTRE PROCEDURE GESTIONE VERSAMENTI MANCATI TABELLIZZAZIONE.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Il modello di riferimento OSI
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Presentazione del problema Obiettivo: Lapplicazione di Search of Sematic Services permette di ricercare sevizi semantici, ossia servizi a cui sono associati.
ECDL per TUTTI con I Simpson Azzurra & Silvia.
Configurazione di una rete Windows
Il progetto INPA INterscambio tra Pubbliche Amministrazioni REGIONE LIGURIA.
L’architettura a strati
Divisione Rete Progetto ELI2. Divisione Rete Il presente documento descrive le principali attivit à che saranno svolte per la gestione dell ’ erogazione.
Creato da Riccardo Nuzzone
Snamretegas Nuova Piattaforma informatica gestione processi commerciali Evoluzioni tecnologiche nelle integrazioni B2B introdotte dalla nuova piattaforma.
DCRUO – Sviluppo Risorse Umane Sistemi di Sviluppo e Compensation PROGETTO “OPEN SOURCE” SVILUPPO DELLE COMPETENZE PROFESSIONALI DEL PERSONALE DI FRONT.
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
Progetto di un Gestore di Nomi Corso di Reti di Calcolatori L-S prof. Antonio Corradi A.A 2003/2004 Autore: Molesini Ambra.
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 2 -Telnet, FTP e altri Ernesto Damiani Lezione 4 – Napster e.
UNITA’ 02 Malware.
Modulo Foundation Il modulo Foundation rappresenta la struttura portante dell’intera soluzione Wsa, nella quale possono essere definite le configurazioni.
Software di Packet-Filtering e Port-Filtering su reti TCP/IP Come filtrare il traffico di rete in transito sulle interfacce presenti, frapponendosi tra.
Sicurezza e attacchi informatici
Aditech Life Acquisizione Parametri Monitoraggio Live da remoto
Cloud SIA V anno.
TOE Livello Applicativo Target Of Evaluation: livello applicativo Analisi applicazione GP (prenotazioni visite specialistiche) Analisi applicazione GA.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Servizi di verifica e supporto alla Sicurezza Informatica In collaborazione con ver 2.1 SEI – Sistemi di Esercizio Infrastrutturale.
Seat 2007 Vulnerability Assessment. Background  Start-up Avvio del Vulnerability Assessment, svolto con il contributo della Funzione DITP-TI e DINT,
Analisi di sicurezza della postazione PIC operativa
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
SISTEMA GESTIONE TOMBINI
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
SARA Assicurazioni Proposta di VA. Esigenze e requisiti  Esigenze:  Affrontare la sicurezza in maniera più organica e pianificata  Definire e seguire.
TSF S.p.A Roma – Via V. G. Galati 71 Tel Società soggetta all’attività di Direzione e Coordinamento di AlmavivA S.p.A.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Servizi di verifica e supporto alla Sicurezza Informatica In collaborazione con SEI – Sistemi di Esercizio Infrastrutturale

La richiesta TSF TSF ha predisposto un richiesta di offerta legata alla: “FORNITURA DI SERVIZI DI VERIFICA E SUPPORTO ALLA SICUREZZA INFORMATICA” L’ offerta, che è stata aggiudicata dall’RTI tra Hacking Team e Business-e, si compone di due servizi principali: CRISIS SUPPORT ACTIVITY ANALYSIS ACTIVITY Di seguito verranno descritte le due attività inserendole nel contesto ITIL, le linee guida per l’erogazione dei servizi IT, implementate da TSF.

L’IT Service Management di TSF è basato su ITIL. Questa scelta è volta a fornire servizi IT nella giusta qualità in base a definiti SLA. Pertanto il servizio andrà contestualizzato nell’ambito dei processi ITIL interessati. SERVICE MANAGEMENT Inquadramento del servizio nel contesto ITIL

Descrive come i clienti e gli utenti possono accedere ai servizi adeguati a supportare le loro attività ed il business, e come questi servizi sono supportati. SERVICE MANAGEMENT Service Support

Service Desk Incident Management Problem Management Change Management Release Management Configuration Management Users Alerts Il Service Support e l’Incident Management

> Se il Service Desk non può risolvere l’incidente all’interno di un intervallo predefinito, si determina quale gruppo di supporto dovrebbe occuparsi dell’incidente. Questo indirizzamento, definito “escalation funzionale”, si basa sulla categoria alla quale è assegnato l’incidente. > Sulla base delle priorità e degli SLA, l’utente/i coinvolto verrà informato sul massimo tempo stimato per risolvere l’incidente > Il service Desk instrada gli incidenti per i quali non è disponibile alcuna soluzione immediata, avendo classificato l’incidente e verificato che non esiste un incidente simile per il quale è stata resa disponibile una soluzione. > Il Service Desk, in caso di incidente con grande impatto, rileva un “allarme” > Le procedure per la gestione di particolari incident ovvero gli incidenti di sicurezza sono predisposte dal Security Management e veicolate dall’Incident Management. In tale contesto si inserisce il servizio denominato “Crisis Support”. L’Incident Management e la Crisis Support

Tale attività, in relazione a quanto sino ad ora esposto, si divide in due fasi: > PROBLEM SOLVING: a seguito di evento di tipo distruttivo avvenuto all’interno del Perimetro T.S.F. per le quali siano state attivate le prime procedure di emergenza. Questa tipologia di attività, di carattere reattivo, scaturisce dalla ricezione di un allarme di sicurezza inviato dal Cliente, ed è rivolta ad effettuare l’applicazione delle relative contromisure, a seconda del tipo di “allarme” rilevato, a tutela del patrimonio tecnologico e informativo di T.S.F. > DIFESA PROATTIVA: Sarà analizzata nell’ambito del Security Management Crisis Support Activity

L’attività sarà erogata nel seguente modo: > Raccolta dei dati necessari alla determinazione della tipologia dell’allarme (ovvero identificare se l’allarme è di tipo rete, sistema o applicazione). Questo processo include l’analisi dei log provenienti da dispositivi di sicurezza (FW, IDS, ecc), dispositivi di rete, sistemi e applicazioni impattati dall’evento > Valutazione dell’impatto in termini di: disponibilità dei sistemi e servizi coinvolti, vulnerabilità sfruttate, eventuali informazioni sottratte > Applicazione delle contromisure tecnologiche atte al ripristino delle normali condizioni operative. Nel caso in cui l’applicazione delle contromisure necessiti dell’interazione con entità esterne a T.S.F. (ad esempio il carrier fornitore della connettività), lo specialista intervenuto potrà farsi carico, qualora il Cliente lo ritenga opportuno, di condividere con le entità esterne coinvolte la strategia di azione in risposta all’evento > Stesura del rapporto di intervento Problem Solving: erogazione

Il servizio di problem solving verrà erogato H24 per i giorni lavorativi, il sabato, la domenica e le festività. L’attivazione dell’intervento dovrà avvenire entro 30 minuti dalla ricezione della chiamata di segnalazione. I numeri assegnati per il servizio di Crisis support sono: Numero Verde: (attivo 9-18) Reperibilità: (h24) Escalation: (h24) Problem Solving: erogazione (segue)

> Nell’ambito delle attività del Security Management troviamo quella dell’allerta e dell’identificazione di nuove minacce e possibili vulnerabilità. In questo ambito si collocano pertanto le altre due attività oggetto del contratto ovvero l’attività di 2) DIFESA PROATTIVA 1) ANALYSIS ACTIVITY & Security Management

L’attività è divisa nelle seguenti fasi: PENETRATION TEST REMEDIES (Analisi conclusiva e supporto) REPETITION 1) Analysis Activity

Simulazione di un partner Simulazione di un outsourcer Simulazione di un hacker Simulazione di un dipendente remoto Sono effettivamente sicuro? Chi richiede i miei servizi riesce ad avere più privilegi di quelli previsti? E’ tutelata la mia immagine? Lo studio esterno

EROGAZIONE SERVIZI Analisi di applicazioni web Tecniche di fuzzing Analisi dei protocolli Penetration test applicativo Stress test applicativo Reverse engineering Code review Sono sicure le mie applicazioni? Sono soggetto ad un potenziale rischio di furto di informazioni? Sono adeguatamente protetti i miei dati? Lo studio applicativo

La metodologia adottata

HT/B-e Ethical Hacking Non-invasive Analysis FOOTPRINTINGSCANNING Invasive Analysis ENUMERATION Attack GAINING ACCESS ESCALATING PRIVILEDGES Consolidation PILFERING COVERING TRACES Fasi dell’attacco

NON – INVASIVAINVASIVA FOOTPRINTING Questa fase ha lo scopo di raccogliere il maggior numero di informazioni sull’obiettivo che si intende attaccare senza “toccare” l’obiettivo stesso, ovvero effettuando una cosiddetta “analisi non invasiva”. In particolare in questa fase si cerca di determinare: domini, blocchi di rete e indirizzi IP dei sistemi direttamente collegati a Internet. Gli strumenti utilizzati sono: Search Engine, Whois server, Arin database, interrogazione DNS, ecc. SCANNING L’obiettivo dello scanning è ottenere una mappa più dettagliata possibile del sistema da attaccare. Ciò significa acquisire informazioni su quali indirizzi IP dei blocchi di rete trovati nella fase precedente siano effettivamente “contattabili” dall’esterno (IP discovery), quali servizi siano “attivi” (TCP/UDP port scan) e, infine, quali sistemi operativi “posseggano”. Gli strumenti utilizzati sono: interrogazioni ICMP (gping, fping, ecc.), scansione delle porte TCP e UDP (strobe, netcat, nmap, ecc.), fingerprint dello stack (nmap, ettercap). ENUMERATION Con questa fase si inizia l’”analisi invasiva”. Si effettuano, infatti, connessioni dirette ai server e “interrogazioni” esplicite. Tali attività potrebbero, a seconda della configurazione presente sui sistemi target, originare dei logs sui sistemi (tipicamente su sistemi di controllo). Attraverso l’enumerazione si vuole giungere a identificare, sulle macchine riscontrate come raggiungibili, account validi (list user accounts), risorse condivise (list file shares) e applicazioni attive sulle porte in ascolto (identify application). Le tecniche utilizzate variano a seconda dei sistemi operativi delle macchine che vogliamo analizzare. Fasi dell’attacco (in depth) - 1

ATTACCOCONSOLIDAMENTO GAINING ACCESS Una volta ottenute le informazioni del punto precedente, inizia il vero e proprio attacco che ha come obiettivo riuscire a “entrare” nel sistema remoto. I metodi utilizzati anche in questo caso dipendono dal sistema operativo della macchina target, ma si basano sostanzialmente sulla ricerca di password corrispondenti agli utenti trovati (password guessing), sullo sfruttamento di errori progettuali delle applicazioni e servizi attivi sul server (buffer overflows, attacchi data driven, ecc.) o del sistema operativo stesso. ESCALATING PRIVILEDGES L’obiettivo di questa fase è sfruttare i risultati ottenuti nella fase precedente per ottenere il pieno controllo del sistema remoto attaccato. Ciò si ottiene, per esempio, reperendo i files presenti sul sistema che contengono le password (/etc/passwd, SAM, ecc.) e tentando di decifrare le password in essi contenute (password cracking), oppure utilizzando appositi exploits. PILFERING Se si giunge a questa fase significa che si è ottenuto il pieno controllo del sistema target. Quindi è bene valutare la configurazione del sistema stesso al fine di capire se, dove e cosa il sistema registra (logs). I sistemi di auditing saranno eventualmente disabilitati (es. con Win NT mediante auditpol). A questo punto la macchina in oggetto può diventare una “testa di ponte” per attaccare altre macchine. In tal caso saranno reperite informazioni riguardanti altri sistemi. COVERING TRACKS Prima di abbandonare il sistema “conquistato” vengono cancellati gli eventuali logs che hanno registrato la presenza clandestina ed eventualmente installati trojan o back-doors che consentano di rientrare facilmente sulla macchina in un secondo momento. Può essere utile anche installare tools nascosti quali sniffers o keyloggers al fine di catturare altre password del sistema locale o di altri sistemi ai quali utenti ignari si collegano dalla macchina controllata. Fasi dell’attacco (in depth) - 2

ANALISI APPLICATIVAMETODI DI ATTACCO Serie di tentativi di attacco che coinvolgono i protocolli di comunicazione utilizzati dagli utenti finali per interagire con le applicazioni. Nel caso specifico delle applicazioni web, tali attacchi sono basati anche su manipolazioni dei pacchetti HTTP che vengono scambiati fra i browser degli utenti ed il web server. Esistono diverse categorie di attacchi ai layer dell’infrastruttura applicativa: web server, application server, data tier. Caratteristica comune a tutti gli attacchi applicativi è la completa trasparenza ad ogni sistema di difesa perimetrale. Di seguito vengono elencati i metodi attualmente conosciuti. Cross-site scripting: attacchi che sfruttano una non corretta validazione dei contenuti restituiti dal server in risposta a richieste HTTP opportunamente modificate. Parameter tampering: attacchi che sfruttano una non corretta validazione dei parametri passati dal browser al web server. Hidden field manipulation: attacchi che, sfruttando paradigmi di programmazione non sicuri, alterano il valore di parametri applicativi fra due successive richieste HTTP. Backdoors e opzioni di debug: attacchi basati su errori di configurazione e/o di programmazioni molto noti e diffusi. Forceful browsing: attacchi che mirano ad accedere a risorse protette seguendo percorsi di navigazione non previsti. Buffer overflow: attacchi che comportano l’esecuzione di codice arbitrario in assenza di opportuna validazione dei parametri in ingresso. Cookie poisoning: attacchi basati sulla manipolazione dei cookie di sessione HTTP. Configurazioni errate: attacchi che sfruttano comuni errori di configurazione. Vulnerabilità note: attacchi che sfruttano la mancata applicazione di patch. SQL injection: attacchi che mirano all’esecuzione di query non previste sui DBMS di backend Attacchi http: manipolazioni degli Header HTTP. Attacco applicativo

> DIFESA PROATTIVA: concernente la segnalazione di nuove vulnerabilità e di nuovi exploit, potenzialmente pericolosi per T.S.F. per i quali non siano ancora state rilasciate contromisure relativamente alle tipologie di attacchi informatici. Queste attività verranno erogate in modalità continuativa, e sono finalizzate a mantenere aggiornato il personale T.S.F. affinché venga ridotto a zero il divario temporale tra il rilascio di una contromisura ad una vulnerabilità pertinente al patrimonio informativo di T.S.F. e la sua applicazione in esercizio. 2) Difesa proattiva

> Le attività di carattere preventivo, verranno direttamente erogate dal Centro Servizi Hacking Team/Business-e che, essendo in contatto con il mondo dell’underground, analizzando quotidianamente i bollettini di sicurezza emessi dai principali advisory, siano essi pubblici (SANS, CERT, MITRE, ecc) o emessi direttamente dai fornitori delle tecnologie impiegate presso l’ambiente T.S.F., provvederà a comunicare tempestivamente le informazioni secondo le modalità concordate con il Cliente in sede di definizione del contratto. > Sarà cura dell’offerente di predisporre, all’interno delle sue strutture di back office, una procedura automatica per conservare le informazioni in oggetto in un repository che conterrà oltre al dettaglio del bollettino anche la data di comunicazione del medesimo al Cliente. > I risultati dell’attività di Penetration Test possono essere utilizzati al fine di ottimizzare il processo di identificazione dei bollettini attinenti il contesto T.S.F. Difesa proattiva (segue)