penetration test vs. security assessment · 05/10/06 @ 2006 secure network s.r.l. 1 penetration...
TRANSCRIPT
05/10/06 1@ 2006 Secure Network S.r.l.
Penetration test vs. Security Assessment
Capire le differenze tra le metodologie, gli obiettivi e i risultati
(per non parlare di quelle tra i consulenti)
Stefano Zanero, PhD - [email protected] & Founder, Secure Network
05/10/06 @ 2006 Secure Network S.r.l.
Secure Network: chi siamo
● Società giovane, nata nel 2004● Raccoglie l’esperienza indipendente di
consulenti del settore● Consulenza, Formazione, Ricerca focalizzata
sulla sicurezza● Collaborazione con il mondo dell’università e
della ricerca
05/10/06 @ 2006 Secure Network S.r.l.
I valori di Secure Network
● Persone: giovani “cresciuti” nel settore con elevate competenze accademiche e professionali
● Innovazione: siamo inseriti nelle principali comunità di ricerca, in particolare a livello universitario, nel campo della sicurezza informatica
● Indipendenza: non siamo legati a nessun prodotto in particolare, e quindi garantiamo di elaborare la soluzione migliore in base alle esigenze del cliente
● Focalizzazione: offriamo una gamma completa di servizi, ma esclusivamente nell’ambito della sicurezza informatica
● Personalizzazione: i percorsi di Secure Network sono tagliati a misura delle esigenze del cliente
@ 2006 Secure Network S.r.l.
(alcuni) nostri clienti
05/10/06 @ 2006 Secure Network S.r.l.
Buzzword e valore aziendale
● Il settore ICT è stato a lungo (e spesso lo è ancora) un settore di buzzword
− Venditori di fumo− Esperti improvvisati− Tecnologie pseudomiracolose
● Per ottenere valore dalla consulenza sulla sicurezza ICT dobbiamo comprendere il significato di alcuni termini chiave
05/10/06 @ 2006 Secure Network S.r.l.
“Facciamo un Penetration Test!”
● Ormai il 90% delle società di informatica offre la “sicurezza” nel suo portafoglio
● Di queste, moltissime offrono il servizio di “penetration test” o “vulnerability scan” o altre definizioni fantasiose
● Il problema è: cosa si intende con ogni termine ?
● Vi fidereste di chi non sa nemmeno definire correttamente ciò che offre ?
05/10/06 @ 2006 Secure Network S.r.l.
Definizioni chiave
● Vulnerability scan● Vulnerability assessment● Risk assessment● Penetration test● Security audit● Security assessment
05/10/06 @ 2006 Secure Network S.r.l.
Vulnerability scan
● Una verifica tipicamente automatizzata delle vulnerabilità tecnologiche di uno o più sistemi
● Utilizza uno o più software di scansione come Nessus (~ open source), Retina o ISS Scanner (commerciali)
● Esempio di informazione:− Il server all'indirizzo 1.2.3.4 ospita un server web di marca
X, versione 3.5, che ha una vulnerabilità di questo tipo...
05/10/06 @ 2006 Secure Network S.r.l.
Vulnerability assessment
● Una verifica automatizzata e umana delle vulnerabilità tecnologiche e infrastrutturali di una rete
● Verifica di tipo “glass box”● Oltre ad un vulnerability scan l'analista verifica a
mano la correttezza dei risultati, li prioritizza e li complementa con una analisi dell'architettura
● Il test è più completo del precedente e fornisce più valore
05/10/06 @ 2006 Secure Network S.r.l.
Valore e trappole dei VA
● Una verifica automatizzata delle vulnerabilità non porta valore (la potete fare in casa...)
● Viceversa, un VA porta valore, se l'assesser è competente e ha esperienza
− Punto di partenza per la valutazione della sicurezza puramente tecnologica
● Tuttavia un VA− Non considera componenti fisiche, umane,
procedurali− È statico: soffre la degradazione costante
05/10/06 @ 2006 Secure Network S.r.l.
Degradazione
● Molti test (ed in primis un VA) soffrono di un problema di degradazione
− Vengono aggiunti nuovi servizi, cambiate installazioni, aggiunte e rimosse patch
− Vengono identificate nuove vulnerabilità● Per essere utile “beyond the now timeframe” (Pete
Herzog) qualsiasi test deve includere elementi architetturali e progettuali
05/10/06 @ 2006 Secure Network S.r.l.
Risk assessment
● Metodologie di analisi del rischio si possono applicare anche all'infrastruttura informativa
● Altro strumento utile è la BIA, Business Impact Analysis
● Servono per quantificare il rischio e dimostrare, dati alla mano, l'importanza per l'impresa dell'investimento in sicurezza
● In generale ben poche società di consulenza sono in grado di operare delle vere valutazioni di rischio
05/10/06 @ 2006 Secure Network S.r.l.
Penetration test
● Alcuni vendono come pen-test “una bella passata di Nessus da remoto !”
● Fare un penetration test in realtà significa:− Applicare il metodo di ragionamento che un
aggressore applicherebbe− Effettuare un test “black box”− Focalizzarsi sull'accesso ai dati, non
sull'identificazione di vulnerabilità− Utilizzare anche metodologie e strumenti non
convenzionali
05/10/06 @ 2006 Secure Network S.r.l.
Come distinguere un buon PT ?
● Uso di strumenti ad hoc● Analisi delle applicazioni custom dell'impresa● Uso (concordato col cliente) di tecniche di social
engineering, phishing, etc.● Exploiting effettivo delle vulnerabilità, e dimostrazione
dei risultati (non “si potrebbe” ma “abbiamo fatto”)● Reportistica non automatizzata e presentazione dei
risultati “in persona” con lo staff del cliente
05/10/06 @ 2006 Secure Network S.r.l.
Valore dei penetration test
● Un penetration test non è uno strumento di progetto, ma di verifica
− Chi vi propone un pen-test come “primo” intervento, in genere, non vi aiuta
● Un PT porta valore solo se il team è competente e ha esperienza (controllate le referenze!)
● Da ricordare che un PT:− Non fornisce “garanzie positive”, se non sono entrati
non vuol dire che siamo sicuri− Soffre anch'esso della degradazione
05/10/06 @ 2006 Secure Network S.r.l.
Security assessment
● Un test omnicomprensivo della sicurezza aziendale
− Logica, Informatica, Infrastrutturale, Fisica, Sociale...
● Metodologia di riferimento: OSSTMM (www.osstmm.org)
● Deve comprendere elementi di stato e di processo per evitare la degradazione
05/10/06 @ 2006 Secure Network S.r.l.
Security Auditing
● L'auditing della sicurezza è un processo aziendale, non una consulenza spot
● Significa identificare il livello di sicurezza aziendale e paragonarlo alle policy o alle best practice scelte come metro
● È una procedura iterativa che deve essere implementata nel SGSI aziendale (cfr. ISO 17799:2005)
05/10/06 @ 2006 Secure Network S.r.l.
Quindi... che faccio?
● Un security assessment o almeno un VA− Se la tua azienda ha avuto una crescita
tumultuosa, non ha mai prestato attenzione alla security, o se non è mai stato fatto nulla
● Un penetration test ben fatto− Se hai già applicato un sistema di sicurezza e ne
vuoi verificare l'efficacia● Un risk assessment o BIA
− Se ti serve uno strumento manageriale
05/10/06 @ 2006 Secure Network S.r.l.
E cosa, invece, non devo fare?● Fidarmi di chi cerca di confondere le idee e
spacciare un VA per un PT o un ST● Fidarmi di aziende senza referenze solide
nello specifico settore security● Fidarmi esclusivamente della “grande
società di consulenza”● Fidarmi di chi non fornisce appropriate
garanzie legali, etiche e professionali − Laurea, certificazioni, partecipazione a eventi e
convegni internazionali
05/10/06 @ 2006 Secure Network S.r.l.
Conclusioni● Non è più tempo di perdersi in chiacchiere
− La sicurezza è un campo ben definito● Non è più tempo di praticoni e mestieranti
− Esistono metodi, tecniche e professionalità● Questo campo cambia di giorno in giorno
− Fare consulenza significa anche fare ricerca● Il pen-tester, se è bravo, arriverà a vedere
dati molto riservati− Scegliete un partner di cui potete fidarvi
05/10/06 21@ 2006 Secure Network S.r.l.
Stefano Zanero - [email protected]
SecureNetwork S.r.l.: www.securenetwork.it
Grazie per l'attenzione
Domande ?