nozioni fondamentali sulla protezione
DESCRIPTION
Nozioni fondamentali sulla protezione. Fabrizio Grossi. Agenda. Caso aziendale Disciplina di gestione dei rischi per la sicurezza Difesa a più livelli Procedure consigliate 10 regole sempre valide sulla protezione. Impatto delle violazioni alla protezione. Perdita di profitti. - PowerPoint PPT PresentationTRANSCRIPT
NozioniNozioni fondamentalifondamentali sullasulla protezioneprotezione
Fabrizio GrossiFabrizio Grossi
AgendaAgenda
CasoCaso aziendaleaziendale DisciplinaDisciplina didi gestionegestione deidei rischirischi perper
lala sicurezzasicurezza DifesaDifesa aa piùpiù livellilivelli ProcedureProcedure consigliateconsigliate 1010 regoleregole sempresempre validevalide sullasulla protezioneprotezione
ImpattoImpatto delledelle violazioniviolazioni allaalla protezioneprotezione
Perdita di profitti
Perdita di fiducia da parte degli
investitori
Danni alla reputazione
Perdita o compromissione
di dati
Interruzione dei processi
aziendali
Perdita di fiducia da parte dei clienti Conseguenze
legali
AgendaAgenda
CasoCaso aziendaleaziendale DisciplinaDisciplina didi gestionegestione deidei rischirischi
perper lala sicurezzasicurezza DifesaDifesa aa piùpiù livellilivelli ProcedureProcedure consigliateconsigliate 1010 regoleregole sempresempre validevalide sullasulla protezioneprotezione
ProcessiProcessi inin cuicui sisi articolaarticola lala disciplinadisciplina delladella gestionegestione deidei rischirischi perper lala sicurezzasicurezza
ValutazioneValutazione ValutazioneValutazione ee stimastima delledelle risorserisorse IdentificazioneIdentificazione deidei rischirischi perper lala sicurezzasicurezza AnalisiAnalisi ee assegnazioneassegnazione didi prioritàpriorità aiai rischirischi perper lala
sicurezzasicurezza Monitoraggio, pianificazione e programmazione Monitoraggio, pianificazione e programmazione
dei rischi dei rischi SviluppoSviluppo ee implementazioneimplementazione
SviluppoSviluppo didi unauna contromisuracontromisura didi protezioneprotezione VerificaVerifica delladella contromisuracontromisura didi protezioneprotezione AcquisizioneAcquisizione delladella conoscenzaconoscenza relativarelativa allaalla
protezioneprotezione OperazioniOperazioni
RivalutazioneRivalutazione delledelle risorserisorse nuovenuove oo modificatemodificate ee deidei rischirischi perper lala sicurezzasicurezza
StabilizzazioneStabilizzazione ee distribuzionedistribuzione didi contromisurecontromisure nuovenuove oo modificatemodificate
Valutazione:Valutazione: ValutareValutare ee stimarestimare lele risorserisorseAssegnare priorità alle risorse (scala da 1 a 10)
1. Il server fornisce funzionalità di base ma non ha alcun impatto finanziario sull'attività aziendale.
3. Il server ospita informazioni importanti, che possono tuttavia essere recuperate rapidamente e facilmente in caso di perdita o danno.
5. Il server ospita dati importantiil cui recupero richiederebbe del tempo.
8. Il server ospita informazioni importanti per il conseguimento degli obiettivi aziendali. Una sua perdita avrebbe serie conseguenze sulla produttività di tutti gli utenti.
10.Il server ha un impatto fondamentale sull'attività dell'azienda. Una sua perdita causerebbe un considerevole svantaggio competitivo all'azienda.
Valutazione:Valutazione: IdentificareIdentificare lele minacceminacce allaalla protezioneprotezione mediantemediante ilil modellomodello STRIDESTRIDE
Tipi di minacce Esempi
Spoofing Falsificazione di messaggi di posta elettronica Riproduzione di pacchetti di autenticazione
Tampering Alterazione di dati durante la trasmissione Modifica dei dati contenuti in file
Repudiation
Eliminazione di un file importante senza che tale operazione venga rilevata
Acquisto di un prodotto senza che tale operazione venga rilevata
Information disclosure Esposizione di informazioni in messaggi di errore Esposizione di codice su siti Web
Denial of service
Saturazione di una rete con pacchetti SYN Saturazione di una rete con pacchetti ICMP contraffatti
Elevation of privilege
Sfruttamento di sovraccarichi di buffer per ottenere privilegi di sistema Ottenimento di privilegi di amministratore
in maniera illegale
Valutazione:Valutazione: AnalisiAnalisi ee assegnazioneassegnazione didi prioritàpriorità aiai rischirischi perper lala sicurezzasicurezza mediantemediante ilil modellomodello DREADDREAD
DREADDREAD DDamageamage (danno)(danno) RReproducibilityeproducibility
(riproducibilità)(riproducibilità) EExploitabilityxploitability
(sfruttabilità)(sfruttabilità) AAffectedffected UsersUsers
(utenti(utenti interessati)interessati) DDiscoverabilityiscoverability (identificabilità)(identificabilità)
EsposizioneEsposizione alal rischiorischio == PrioritàPriorità delledelle risorserisorse xx PunteggioPunteggio assegnatoassegnato allaalla minacciaminaccia
AgendaAgenda CasoCaso aziendaleaziendale DisciplinaDisciplina didi gestionegestione deidei rischirischi perper
lala sicurezzasicurezza DifesaDifesa aa piùpiù livellilivelli ProcedureProcedure consigliateconsigliate 1010 regoleregole sempresempre validevalide sullasulla protezioneprotezione
StrutturaStruttura organizzativaorganizzativa perper lala protezioneprotezione L'utilizzoL'utilizzo didi unun approccioapproccio aa piùpiù livellilivelli offreoffre unauna serieserie
didi vantaggi,vantaggi, tratra cui:cui: AumentaAumenta ilil rischiorischio perper unun hackerhacker didi essereessere rilevatorilevato ee scopertoscoperto RiduceRiduce lele probabilitàprobabilità didi successosuccesso didi unun attaccoattacco
Criteri, procedure e consapevolezzaCriteri, procedure e consapevolezza
ProtezioneProtezione avanzataavanzata deldel sistemasistema operativo,operativo, gestionegestione delledelle patch,patch, autenticazione,autenticazione, sistemisistemi didi rilevamentorilevamento delledelle intrusioniintrusioni basatibasati susu hosthost
Firewall,Firewall, quarantenaquarantena VPNVPN
PersonalePersonale didi sicurezza,sicurezza, lucchettilucchetti ee dispositividispositivi didi monitoraggiomonitoraggio
SegmentiSegmenti didi rete,rete, IPSec,IPSec, NIDSNIDS
ProtezioneProtezione avanzataavanzata didi applicazioni,applicazioni, antivirusantivirus
ACL,ACL, crittografiacrittografia
FormazioneFormazione utentiutenti
Sicurezza fisicaSicurezza fisica
PerimetroPerimetro
Rete internaRete interna
HostHost
ApplicazioneApplicazione
DatiDati
DescrizioneDescrizione deldel livellolivello criteri,criteri, procedureprocedure ee consapevolezzaconsapevolezza
Penso che utilizzerò il mio nome
come password
Devo configurare un firewall. Quali
porte devo bloccare?
Penso che terrò aperta la porta della stanza dei computer. Molto
più facile
Hanno bloccato il mio sito Web preferito. Per fortuna ho un modem
CompromissioneCompromissione deldel livellolivello criteri,criteri, procedureprocedure ee consapevolezzaconsapevolezza
Sai, anch'io ho una rete. Come hai configurato i tuoi
firewall?
Non riesco mai a trovare un buona
password. Che cosa utilizzi?
Sai dove si trova la stanza dei computer?
Bel modem davvero. Quale è il numero di quella linea?
ProtezioneProtezione deldel livellolivello criteri,criteri, procedureprocedure ee consapevolezzaconsapevolezza
Criterio di segretezza delle informazioni utente
Procedura di richiesta di periferica
Procedura di configurazione del firewall
Criterio di protezione di accesso fisico
La formazione relativa alla protezione aiuta gli utenti a supportare il criterio di protezione.
CompromissioneCompromissione deldel livellolivello didi sicurezzasicurezza fisicafisica
Installare codice dannoso
Rimuovere hardware
Danneggiare hardware
Visualizzare, modificare o
rimuovere file
ProtezioneProtezione deldel livellolivello di sicurezzadi sicurezza fisicafisica
Chiudere a chiave porte e installare allarmi
Impiegare personale di sicurezza
Applicare procedure di accesso
Monitorare l'accesso
Limitare le periferiche di inserimento dati
Utilizzare strumenti di accesso remoto per migliorare la protezione
DescrizioneDescrizione deldel livellolivello perimetraleperimetrale
Internet Uffici di filiale Partner aziendali Utenti remoti Reti senza fili Applicazioni Internet
Il perimetro di una rete comprende connessioni a:
Partner aziendali
Servizi Internet
LAN
Ufficio principale
LAN
Servizi Internet
Ufficio di filiale
LAN
Rete senza fili
Utente remoto
Internet
Partner aziendali
Servizi Internet
LAN
Ufficio principale
LAN
Servizi Internet
Ufficio di filiale
LAN
Rete senza fili
Utente remoto
Internet
CompromissioneCompromissione deldel livellolivello perimetraleperimetrale
Attacco alla rete aziendale Attacco a utenti remoti Attacco da partner aziendali Attacco da un ufficio di filiale Attacco a servizi Internet Attacco da Internet
La compromissione del perimetro della rete può avere numerose conseguenze, tra cui:
ProtezioneProtezione deldel livellolivello perimetraleperimetrale
Firewall Blocco delle porte di
comunicazione Conversione di indirizzi IP
e di porta Reti private virtuali Protocolli di tunneling Quarantena VPN
La protezione del perimetro della rete riguarda:
Partner aziendali
Servizi Internet
LAN
Ufficio principale
LAN
Servizi Internet
Ufficio di filiale
LAN
Rete senza fili
Utente remoto
Internet
CompromissioneCompromissione deldel livellolivello reterete internainterna
Accesso non autorizzato
a sistemi
Intercettazione di pacchetti
dalla rete
Porte di comunicazione
non previste
Accesso a tutto il traffico di rete
Accesso non autorizzato a reti
senza fili
ProtezioneProtezione deldel livellolivello reterete internainterna
Implementare l'autenticazione reciproca
Segmentare la rete
Crittografare le comunicazioni di rete
Bloccare le porte di comunicazione
Controllare l'accesso alle periferiche di rete
Applicare una firma digitale ai pacchetti di rete
CompromissioneCompromissione deldel livellolivello hosthost
Configurazione di sistemi operativi
non protetta
Accesso non monitorato
Sfruttamento di punti deboli dei sistemi operativi
Diffusione di virus
Implementare l'autenticazione reciproca
ProtezioneProtezione deldel livellolivello hosthost
Applicare tecniche di protezione avanzata al sistema operativo
Installare patch di protezione
Implementare controlli
Disabilitare o rimuovere servizi non necessari
Installare e mantenere aggiornato software antivirus
CompromissioneCompromissione deldel livellolivello applicazioniapplicazioni PerditaPerdita didi applicazioniapplicazioni EsecuzioneEsecuzione didi codicecodice dannosodannoso UtilizzoUtilizzo estremoestremo didi applicazioniapplicazioni UtilizzoUtilizzo indesideratoindesiderato didi applicazioniapplicazioni
ProtezioneProtezione deldel livellolivello applicazioniapplicazioni
Abilitare solo servizi e funzionalità necessari
Configurare impostazioni di protezione delle applicazioni
Installare aggiornamenti di protezione per le applicazioni
Installare e mantenere aggiornato software antivirus
Eseguire applicazioni con i privilegi più ridotti possibili
CompromissioneCompromissione deldel livellolivello datidati
DocumentiFile di directory
Applicazioni
Visualizzare, modificare o
rimuovere informazioni
Interrogare file di directory
Sostituire o modificare file di applicazioni
ProtezioneProtezione deldel livellolivello datidati
Crittografare file con EFS
Limitare l'accesso ai dati mediante elenchi di controllo di accesso
Spostare file dalla posizione predefinita
Creare piani di backup e ripristino dei dati
Proteggere documenti e posta elettronica mediante Windows Rights Management Services
AgendaAgenda CasoCaso aziendaleaziendale DisciplinaDisciplina didi gestionegestione deidei rischirischi perper
lala sicurezzasicurezza DifesaDifesa aa piùpiù livellilivelli ProcedureProcedure consigliateconsigliate 1010 regoleregole sempresempre validevalide sullasulla protezioneprotezione
ProcedureProcedure didi protezioneprotezione consigliateconsigliate DifesaDifesa aa piùpiù livellilivelli ProtezioneProtezione comecome caratteristicacaratteristica
didi progettazioneprogettazione PrivilegiPrivilegi piùpiù ridottiridotti possibilipossibili FareFare tesorotesoro deglidegli errorierrori passatipassati GestireGestire ii livellilivelli didi protezioneprotezione RendereRendere gligli utentiutenti consapevoliconsapevoli inin fattofatto
didi protezioneprotezione SviluppareSviluppare ee verificareverificare pianipiani ee procedureprocedure didi
interventointervento inin rispostarisposta aa incidentiincidenti didi protezioneprotezione
ElencoElenco didi controllocontrollo didi protezioneprotezione
Creare criteri di protezione e documenti procedurali
Consultare i documenti sulla protezione forniti da Microsoft
Iscriversi per ricevere comunicati via posta elettronica contenenti avvisi sulla protezione
Implementare un modello di difesa a più livelli
Effettuare regolarmente procedure di backup e ripristino
Pensare come un hacker
AgendaAgenda
CasoCaso aziendaleaziendale DisciplinaDisciplina didi gestionegestione deidei rischirischi perper
lala sicurezzasicurezza DifesaDifesa aa piùpiù livellilivelli InterventoIntervento didi rispostarisposta aa incidentiincidenti
didi protezioneprotezione ScenariScenari didi attaccoattacco ProcedureProcedure consigliateconsigliate 1010 regoleregole sempresempre validevalide sullasulla protezioneprotezione
1010 regoleregole sempresempre validevalide sullasulla protezioneprotezione
11 Se un hacker riesce a persuadervi a eseguire il proprio programma nel vostro computer, questo non sarà più il vostro computer.
22 Se un hacker riesce a modificare il sistema operativo del vostro computer, questo non sarà più il vostro computer.
33 Se un hacker riesce a ottenere accesso fisico illimitato al vostro computer, questo non sarà più il vostro computer.
44 Se consentite a un hacker di caricare programmi sul vostro sito Web, quest'ultimo non sarà più il vostro sito Web.
55Password deboli sono in grado di vanificare anche la protezione più avanzata.
66 La protezione di un computer è direttamente proporzionale all'affidabilità del suo amministratore.
77 La protezione dei dati crittografati è direttamente proporzionale alla protezione della chiave di crittografia.
88 Eseguire un programma antivirus non aggiornato non è molto diverso da non eseguire alcun programma antivirus.
99 È praticamente impossibile mantenere un anonimato assoluto, nella vita reale come sul Web.
1010 La tecnologia non è la panacea di tutti i mali.
http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp (in lingua inglese)
RiepilogoRiepilogo didi sessionesessione
CasoCaso aziendaleaziendale DisciplinaDisciplina didi gestionegestione deidei rischirischi perper
lala sicurezzasicurezza DifesaDifesa aa piùpiù livellilivelli ProcedureProcedure consigliateconsigliate 1010 regoleregole sempresempre validevalide sullasulla protezioneprotezione
PassaggiPassaggi successivisuccessivi1.1. PerPer essereessere sempresempre aggiornatiaggiornati nelnel campocampo delladella
protezioneprotezione1.1. Abbonarsi ai bollettini sulla protezione all'indirizzo:Abbonarsi ai bollettini sulla protezione all'indirizzo:
http://www.microsoft.com/security/security_bulletins/alerts2.asphttp://www.microsoft.com/security/security_bulletins/alerts2.asp (in(in lingualingua inglese)inglese)
1.1. Informazioni aggiornate relative alla protezione Microsoft Informazioni aggiornate relative alla protezione Microsoft sono disponibili all'indirizzo:sono disponibili all'indirizzo:http://www.microsoft.com/security/guidance/http://www.microsoft.com/security/guidance/ (in(in lingualingua inglese)inglese)
2.2. Accesso a materiale di formazione aggiuntivo Accesso a materiale di formazione aggiuntivo sulla protezionesulla protezione1.1. Seminari di formazione on-line e con istruttore sono Seminari di formazione on-line e con istruttore sono
disponibili all'indirizzo:disponibili all'indirizzo:http://www.microsoft.com/seminar/events/security.mspxhttp://www.microsoft.com/seminar/events/security.mspx (in(in lingualingua inglese)inglese)
1.1. Per trovare un CTEC di zona che offre corsi Per trovare un CTEC di zona che offre corsi di formazione pratica, visitare l'indirizzo:di formazione pratica, visitare l'indirizzo:http://www.microsoft.com/italy/traincert/Default.mspxhttp://www.microsoft.com/italy/traincert/Default.mspx