SECURITY

VULNERABILITY ASSESSMENT & PENETRATION TEST

La gestione della sicurezza informatica di un’azienda è composta da una serie di processi specializzati che affrontano ambiti specifici come, ad esempio, la protezione perimetrale, la protezione dai virus e dallo spam, la protezione dai tentativi di intrusione e la protezione delle informazioni di proprietà dell’azienda. L’efficacia delle misure di sicurezza applicate devono essere continuamente verificate per individuare nuove minacce o mancate conformità dovute a nuove esigenze di business, ad evoluzioni tecnologiche o ad evoluzioni di nuovi strumenti malevoli a disposizione di utenti malintenzionati. Uno dei processi fondamentali che un’azienda deve implementare per la verifica continua dell’efficacia delle misure di sicurezza tecnologiche applicate, è quello che permette di gestire le vulnerabilità a cui è soggetto ogni sistema informatico. Gli strumenti messi in campo a tale scopo sono molteplici, in particolare: Vulnerability Assessment (VA) Consente di ottenere una lista delle proprie vulnerabilità più immediatamente identificabili (vulnerabilità del software, password di default, etc.) al fine di porvi poi rimedio assegnando loro delle priorità e strutturando gli interventi correttivi in una unità di tempo relativamente breve. Il processo di VA viene condotto con soluzioni tecnologiche che hanno lo scopo di analizzare le reti aziendale, rilevare ogni apparato connesso ad esse, riconoscerlo, classificarlo, ricercare potenziali vulnerabilità note (software non aggiornato, certificati non validi, porte/servizi non indispensabili aperti, etc.), verificare la criticità associata ad ogni singola vulnerabilità in funzione dell’importanza del sistema afflitto (valore dell’asset) e dell’impatto potenziale (minaccia), valutare la necessità di eseguire interventi correttivi che eliminino le vulnerabilità individuate in modo da ricondurre il sistema ad un livello di sicurezza accettabile e, infine, verificare l’efficacia dell’intervento eseguito. Gli strumenti utilizzati per il VA, effettuano in modalità semi-automatica ricerche di vulnerabilità che rilevano una quota esigua delle falle potenzialmente presenti. Pertanto, tale attività deve essere realizzata tramite attività specialistiche di organizzazioni interne o esterne con elevata competenza tecnica di sicurezza, in grado di tradurre i risultati ed individuare falsi positivi. Penetration Test (PT) Il PT (eventualmente integrato da un Vulnerability Assessment) consiste invece in una verifica sistematica sul campo tramite l’attività di emulazione di un attacco informatico al sistema informativo aziendale al fine di valutarne l’effettivo livello di sicurezza. In concreto, attraverso l’uso di numerosi tool, tecniche sofisticate e attività completamente manuali, si cerca di accedere in modo non autorizzato ad uno o più sistemi/reti con il massimo dei privilegi, analizzando, inoltre, tutte quelle problematiche legate alle logiche applicative o a eventuali falle di processo, non verificabili altrimenti senza una simulazione reale di utenti malintenzionati (Ethical Hacking). Diversamente dal Vulnerability Assessment, il Penetration Test non si focalizza necessariamente sull’individuazione, l’analisi e la descrizione di ogni vulnerabilità presente su un sistema, ma anche sullo sfruttamento effettivo di ogni sua problematica di sicurezza. I due strumenti sono quindi molto diversi tra di loro ma concorrono, ciascuno nella propria misura, a delineare un quadro del reale stato della sicurezza nel momento in cui vengono eseguiti.

 

BUSINESS CONTINUITY & DISASTER RECOVERY

Business Continuity (BC) La Business Continuity si articola come l’insieme delle attività volte a ridurre i danni/impatti causati da disastri o incidenti di sicurezza a livelli accettabili mediante la combinazione di controlli preventivi e di attività di recovery. Si costituisce, perciò, come un framework integrato per la pianificazione e l’implementazione di processi, tramite controlli di sicurezza e contromisure al fine di prevenire la distruzione, l’interruzione o il rallentamento dell’erogazione dei servizi di core business. La BC si articola nelle seguenti fasi/attività:

 – BIA (Business Impact Analysis), analisi di natura qualitativa e quantitativa che fornisce una stima degli impatti sui processi di Business e sulle risorse, utilizzate per l’erogazione dei servizi a seguito di un’indisponibilità del servizio stesso. Gli impatti economico/finanziari contemplati possono essere sia diretti (come ad esempio perdite finanziarie o sanzioni legali) che indiretti (come ad esempio la perdita di immagine o i costi di ripristino dell’operatività).

 – RA (Risk Analysis), è la stima del valore di rischio associata alle risorse che supportano i processi di Business, in rapporto alla probabilità di accadimento di un incidente di sicurezza (minaccia), al suo grado di esposizione (vulnerabilità) e all’impatto che si potrebbe generare sull’erogazione del servizio.  

 – Analisi congiunta dei risultati di BIA e di RA, viene effettuata al fine di mettere in relazione gli impatti (valutati in fase di BIA) e le cause (incidenti di sicurezza considerati in fase di RA). Il management, in base agli output delle attività di BIA e di RA, individua così la strategia di Business Continuity ottimale relativa ai servizi erogati.

 – Analisi costi/benefici al fine di:

  • definire le soglie di accettabilità degli Impatti e dei Rischi;
  • individuare gli asset che vanno inseriti nei piani di Risk Treatment e/o Business Continuity;
  •  scegliere la strategia di Business Continuity adeguata.

– Stesura del Risk Treatment Plan e dei Piani di continuità (Business Continuity Plan), un vero e proprio piano di emergenza che guida l’amministrazione nella gestione dei rischi cui essa è soggetta, definendo ed elencando le azioni da intraprendere prima, durante e dopo un’emergenza per assicurare la continuità del servizio. Il principale obiettivo di questa documentazione è massimizzare l’efficacia della risposta all’emergenza, pianificando e specificando tutti gli interventi necessari al fine di assegnare le responsabilità e identificare i percorsi da seguire (“chi” deve fare “che cosa” e “quando”). Come parte del processo di Business Continuity Plan, il Disaster Recovery Plan assume una particolare importanza in quanto specifica, a livello tecnico, le precauzioni da prendere e le attività da svolgere per mettere al sicuro dati e funzioni aziendali da attacchi o eventi disastrosi, nonché per ripristinare sistemi e infrastrutture necessari all’erogazione di servizi di core business. Pertanto la Business Continuity impone una valutazione complessiva dell’organizzazione volta a:

  • Identificare le attività Core dell’azienda;
  • Stimare gli impatti economico/finanziari indotti da un’indisponibilità, ridotta o permanente, dei processi di business, in rapporto al contesto complessivo dell’azienda.

Questi step consentono di delineare il quadro generale del dominio di continuità e con esso:

  • Le strategie di Business Continuity consone per i profili di impatto e per la missione dell’organizzazione;
  • I Business ContinuityPlans (BCPs), ossia gli aspetti attuativi di natura tecnologica, organizzativa e procedurale tali da garantire, nel rispetto delle strategie individuate, la disponibilità delle risorse necessarie allo svolgimento di quei processi aziendali determinanti per la continuità della missione d’impresa.

 

DATA PROTECTION & DATA LOSS PREVENTION

Nel settore della sicurezza informatica si rileva un continuo aumento delle minacce ed un incremento del pericolo di furto di identità o di informazioni rispettivamente a carico del singolo o delle aziende. Il tema della Protezione dei Dati è quanto mai attuale in vista soprattutto dell’attuazione della nuova normativa in ambito europeo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679). Data Protection Molteplici sono i meccanismi comunemente disponibili che proteggono i computer da azioni malevoli e da attacchi interni. Tra i più diffusi abbiamo firewall, antivirus, antispam, anti-malware, sistemi di prevenzione delle intrusioni (IPS) e sistemi di controllo degli accessi di rete (NAC). L’uso di firewall, per esempio, limita l’accesso di estranei alla rete interna, e un sistema di rilevamento delle intrusioni rileva i tentativi di intrusione da parte di estranei. Gli attacchi interni possono essere evitati attraverso scansioni antivirus in grado di rilevare i Trojan installati sui PC che inviano informazioni riservate o sistemi anti-malware per bloccare perdite di dati ad opera di malicious software. Accanto alle protezioni classiche per impedire attacchi dall’esterno, è sempre più necessario prevedere anche sistemi che impediscano alle informazioni di uscire dai sistemi aziendali: i cosiddetti sistemi di Prevenzione di Perdita dei Dati. Data Loss Prevention (DLP) Soluzioni DLP dedicate sono utili per individuare e prevenire tentativi non autorizzati di copia o invio dati sensibili, intenzionalmente o meno, senza autorizzazione, soprattutto da parte di personale che possiede autorizzazioni e privilegi per accedere alle informazioni di tipo confidenziale. Queste soluzioni utilizzano diversi metodi per classificare le informazioni sensibili. Alcuni di questi metodi possono essere la corrispondenza esatta dei dati, i metodi statistici o l’utilizzo di parole chiave che “marcano” il file, secondo opportune policy di sicurezza, come dato da proteggere. L’azione che ne consegue è tipicamente il blocco della copia o della trasmissione del dato stesso. Esistono sia soluzioni hardware con dispositivi di Network DLP, sia sistemi di Endpoint DLP, eseguiti su workstation degli utenti finali o sui server aziendali. Come i sistemi basati sulla rete, i sistemi Endpoint sono in grado di controllare il flusso di informazioni tra gruppi o tipi di utenti. Essi possono anche controllare le comunicazioni tramite e-mail prima che queste vengano inserite nell’archivio aziendale, in modo da poter bloccare una comunicazione, così come l’accesso ai dispositivi fisici (come ad esempio i dispositivi mobili con capacità di memorizzazione dei dati quali smartphone, tablet, Pendrive o Hard Disk esterni) e, in alcuni casi, possono accedere alle informazioni prima che queste vengano criptate. I sistemi basati su Endpoint possono anche fornire controlli applicativi per bloccare le trasmissioni che tentano di inviare informazioni riservate, e forniscono un feedback immediato per l’utente con opportuna messaggistica di warning.

 

ISO

Lo standard ISO27001 pone l’accento sugli aspetti gestionali della sicurezza delle informazioni, definendo un Sistema di Governo della Security che consente di censire, monitorare e trattare i rischi dell’organizzazione. Lo standard identifica determinati e specifici controlli di sicurezza (Logici, Fisici e Procedurali) volti a trattare le vulnerabilità ed i rischi evidenziatesi e pertanto adottare le opportune strategie e politiche di sicurezza dell’azienda. ll ciclo di vita della sicurezza delle Informazioni identificato dalla ISO27001 prevede un processo continuativo, identificabile in 4 fasi (PLAN-DO-CHECK-ACT), che permette di gestire, monitorare e migliorare la sicurezza delle informazioni, come di seguito illustrato:

 

Il processo prevede una serie di attività e produzione di deliverables che vanno dalla formalizzazione delle Policy di Sicurezza, all’Analisi del rischio legato agli information asset impiegati per erogare i processi di business, dei relativi piani d’azione/trattamento dei processi di Security Management, sino alla stesura delle procedure ed istruzioni operative.

 

SOC

Con la definizione di Security Operations Center, facciamo riferimento ad un team strategico che si occupa della gestione degli eventi di sicurezza ICT, con il ruolo di presidio delle attività di monitoring, segnalazione e follow-up tecnico, con il fine di aiutare le aziende a prevenire attacchi esterni e a mantenere gli ambienti sicuri e affidabili.

Il SOC presidia la gestione applicativa delle piattaforme di security, esegue attività di analisi e di correlazione degli eventi di sicurezza, partendo da allarmi ed informazioni provenienti dagli apparati di sicurezza, dall’assessment delle misure di protezione adottate in linea con i Piani di Sicurezza e dal coordinamento delle altre strutture aziendali in caso di incidente informatico di sicurezza. Il SOC si pone dunque come centro di competenza per le attività di:

Security Monitoring and Incident Handling:

– Monitoraggio in real-time degli eventi di sicurezza informatica delle infrastrutture ICT

– Gestione degli incidenti di sicurezza informatica

– Security alerting, con analisi delle segnalazioni provenienti da altre fonti (via Email, Bullettin…).

Security Device Management:

Gestione degli apparati di sicurezza (Firewall, IDS, Antivirus, UTM, ACS) in termini di fault, configuration e performance management

Security Technical Support:

– Gestione delle piattaforme di sicurezza

– Esecuzione attività di Security Assessment

– Gestione piattaforme antivirus

– Collaudo di sicurezza dei sistemi.

Service Monitoring

– Definizione delle modalità di attuazione dei controlli di sicurezza, individuati dalle funzioni competenti per il trattamento del rischio, in conformità con le strategie aziendali;

– Verifica, per i sistemi in uso in ambito SOC, della compliance alle disposizioni ed alle normative interne di sicurezza, nonché ai vincoli legati al testo unico in materia di protezione dei dati personali (D.Lgs. 196/03) e GDPR (Nuovo regolamento (EU) 2016/679).

 

ENCRYPTION

La Crittografia è lo strumento più formale ed efficace di cui dispone la nostra comunità per proteggere i dati. La Crittografia o Cifratura definisce la tecnica di trasformazione di un testo in chiaro in un testo cifrato. Con i suoi algoritmi e protocolli viene garantita:

  • riservatezza del contenuto
  • integrità del contenuto
  • autenticità del mittente Il processo di Crittografia si basa, in genere, sull’utilizzo di una chiave di cifratura e un algoritmo informatico. Le tecniche sono molteplici e sono migliorate nel tempo per far fronte alla continua evoluzione di attacchi sempre più insidiosi ad opera di utenti malintenzionati. Con i futuri sviluppi della crittografia quantistica avremo tecniche più sofisticate, nello scenario attuale sono presenti:
  • Crittografia a chiave simmetrica (chiave segreta), tra i più comuni 3DES e AES
  • Crittografia a chiave asimmetrica (chiave pubblica), tra i più comuni RSA, DSA
  • Algoritmi di hashing (impronta digitale) tra i più comuni MD5 e SHA-1 I moderni sistemi di crittografia utilizzano le diverse tecniche suddette implementandole insieme per garantire maggior sicurezza nella trasmissione dei dati. Sono sempre più diffuse le applicazioni che si avvalgono di questi sistemi, tra cui:
  • navigare in sicurezza sul web (protocolli HTTPS)
  • certificati di firma e cifratura dei messaggi di posta elettronica, autenticazione dei server di rete con l’utilizzo di certificati digitali rilasciati da enti certificatori (CA Certification Authority)
  • effettuare transazioni economiche con carta di credito
  • posta elettronica certificata (PEC)
  • stabilire un canale di comunicazione sicuro su Internet, con comunicazioni cifrate VPN SSL/TLS
  • scambiare informazioni riservate con sistema di cifratura su supporti removibili (usb key, hard disk esterni..)
  • VoIP e comunicazione voce
  • metodi di autenticazione tramite Public Key Infrastructure (PKI)
  • utilizzo del passaporto elettronico/voto elettronico