Pattern Recognition and Applications Lab

University

of Cagliari, Italy

Department of Electrical and Electronic

Engineering

CERTIFICAZIONIPERLASICUREZZA

Giorgio Giacinto

giacinto@diee.unica.it

CorsoSicurezzaInforma1ca2015-2016

h9p://pralab.diee.unica.it 2

Cosavuoldirecer1ficare?•  Stabilirecosasiintendepersicurezza•  AvereorganismichegerarchicamenteaCribuisconola

qualificadicer$ficatori

•  CerFficazioniperprofessionisF–  A9ribuisconounaqualifica

•  CerFficazioniperprodoHsoIware

–  Provanoilpossessodicertecara9eris1che

http://pralab.diee.unica.it

CerFficazioniprofessionali

h9p://pralab.diee.unica.it 4

CISSPCerFfiedInformaFonSystemsSecurityProfessional

•  Rilasciatadall’associazionenoprofit(ISC)²InternaFonalInformaFonSystemsSecurityCerFficaFon

ConsorFum.

•  Nel2004lacer1ficazioneCISSPhaacquisitol’accreditamentoANSIISO/IECStandard17024:2003–  Versioneaggiornata:ISO/IEC17024:2012

•  ÈconformeairequisiFdelDiparFmentodellaDifesa

(DoD)USA

h9p://pralab.diee.unica.it 5

Comeo9enerelacer1ficazioneCISSP•  Occorreessereunprofessionistadaalmeno5anniinalmeno

duedeiseguen1oCodominiesostenereunesame–  SecurityandRiskManagement

•  Security,Risk,Compliance,Law,Regula1ons,BusinessCon1nuity–  AssetSecurity

•  Protec1ngSecurityofAssets–  SecurityEngineering

•  EngineeringandManagementofSecurity–  Communica1onsandNetworkSecurity

•  DesigningandProtec1ngNetworkSecurity–  Iden1tyandAccessManagement

•  ControllingAccessandManagingIden1ty–  SecurityAssessmentandTes1ng

•  Designing,Performing,andAnalyzingSecurityTes1ng–  SecurityOpera1ons

•  Founda1onalConcepts,Inves1ga1ons,IncidentManagement,DisasterRecovery

–  So[wareDevelopmentSecurity•  Understanding,Applying,andEnforcingSo[wareSecurity

h9p://pralab.diee.unica.it 6

CISSPinItalia•  (ISC)2halasuasezioneinItaliacheprovvedea

organizzareiseminariforma1viperl’o9enimentodellacer1ficazione

h9p://pralab.diee.unica.it

Altrenormeecer1ficaizoni

7

http://pralab.diee.unica.it

CerFficazionisoIware

h9p://pralab.diee.unica.it

OrangeBook•  IlDiparFmentodellaDifesa(DoD)

degliUSAhapubblicatonel1985un

documentonotocome�OrangeBook�.

http://www.dynamoo.com/orange

•  IldocumentodivideiSistemi

OperaFviinseCecategorie

(D,C1,C2,B1,B2,B3,A1)

relaFvamenteaduncertonumero

dicaraCerisFcherelaFvealla

sicurezza

–  A9ualmenteèunaclassificazionedatata,maiprincipi-guidasonotu9oravalidi

9GiorgioGiacinto2014Cer1ficazione

h9p://pralab.diee.unica.it

OrangeBook•  LivelloD:MinimalProtecFon

–  Questacategoriaèassegnataasistemiopera1vinonclassificabilidalpuntodivistadellasicurezza•  MS-DOS,Windows95/98/ME

•  LivelloC:DiscreFonaryProtecFon–  Laprotezionedeglioggedèopzionale.–  IlSistemaOpera1vosupportalefunzionidiloggingdibase

•  C1:Discre1onarySecurityProtec1onPrimeversionidiUNIX

•  C2:ControlledAccessProtec1onIBMOS/400,WinNT/2000/XP,NovellNetware

10GiorgioGiacinto2014Cer1ficazione

h9p://pralab.diee.unica.it

OrangeBook•  LivelloB:MandatoryProtecFon

–  Laprotezionenonèfacolta1vamaobbligatoria–  Aciascunutenteeaciascunogge9oèassegnatounlivellodisicurezza•  B1:LabeledSecurityProtec1onHP-UX,CrayResearchTrustedUnicos8.0,DigitalSEVMS

•  B2:StructuredProtec1onHoneywellMul1cs,CryptekVSLAN,trustedXENIX

•  B3:SecurityDomainsGetronics/WangFederalXTS-300

•  LivelloA:VerifiedProtecFon– Metodiformaliperverificarelasicurezza

•  A1:VerifiedProtec1onBoeingMSLLAN,HoneywellSCOMP

11GiorgioGiacinto2014Cer1ficazione

h9p://pralab.diee.unica.it

CommonCriteria•  LeorganizzazioniperlasicurezzadiUSA,Canadae

Europahannointrapresounosforzoperuniformareicritericoncuivalutarelasicurezzadeisistemiinforma1ci

•  CommonCriteria

–  Primaversionenel1996.Versionea9uale3.1Release4Laversione2.3èstatapubblicatacomeISO/IEC15408:2005eISO/IEC18405:2005

–  Nel2014accordoperunarevisionedellemodalitàdicer1ficazione

12GiorgioGiacinto2014Cer1ficazione

h9p://pralab.diee.unica.it

Cer1ficatoriCommonCriteria•  17nazioniconlaboratoridicer1ficazione

–  Australia–  Canada–  CoreadelSud–  Francia–  Germania–  India–  Italia(dal5o9obre2009)–  Giappone–  Malesia

•  8nazionisolou1lizzatrici–  Austria,RepubblicaCeca,Danimarca,Finlandia,Grecia,

Israele,Pakistan,Ungheria,

13

–  Norvegia–  NuovaZelanda–  Olanda–  RegnoUnito–  Spagna–  Sta1Uni1d’America–  Svezia–  Turchia

GiorgioGiacinto2014Cer1ficazione

h9p://pralab.diee.unica.it 14

Evalua1onAssuranceLevel(EAL)•  IsistemisonovalutaFinunascalada1a7

–  EAL1,livelloinferiore–  EAL7,livellosuperiore

EAL1-funcFonallytested

EAL2-structurallytested

EAL3-methodicallytestedandchecked

EAL4-methodicallydesigned,testedandreviewed

EAL5-semiformallydesignedandtested

EAL6-semiformallyverifieddesignandtested

EAL7-formallyverifieddesignandtested

h9p://pralab.diee.unica.it

Protec1onProfiles•  IntrodoHdirecentecomeinsiemedirequisiFminimida

soddisfareperunacertacategoriadiprodoHalfinedisuperareleverificherelaFveaundeterminatoEAL–  AccessControlDevicesandSystems(2PP)–  BiometricSystemsandDevices(2PP)–  BoundaryProtec1onDevicesandSystems(11PP)–  DataProtec1on(7PP)–  Databases(1PP)–  ICs,SmartCardsandSmartCard-RelatedDevicesandSystems(54PP)

–  KeyManagementSystems(4PP)–  Mul1-Func1onDevices(3PP)–  NetworkandNetwork-RelatedDevicesandSystems(13PP)–  Opera1ngSystems(2PP)–  OtherDevicesandSystems(33PP)–  ProductsforDigitalSignatures(17PP)–  TrustedCompu1ng(3PP)

15

h9p://pralab.diee.unica.it

PrododCer1fica1

16

h9p://pralab.diee.unica.it

PrododCer1fica1

17

h9p://pralab.diee.unica.it

PrododCer1fica1

18

h9p://pralab.diee.unica.it

Esempidiprododvaluta1secondoCCEAL7+

–  FortFoxHardwareDataDiode,versieFFHDD2+EAL7

–  VirtualMachineofMultosM3G230MmaskwithAMD113v4–  MemoryManagementUnitdesmicrocontrôleursSAMSUNGS3FT9KF/

S3FT9KT/S3FT9KSenrévision1EAL6+

–  GreenHillsSo[wareINTEGRITY-178BSepara1onKernel,comprising:INTEGRITY-178BRealTimeOpera1ngSystem(RTOS),versionIN-ICR750-0101-GH01_RelrunningonCompactPCIcard,versionCPN944-2021-021withPowerPC,version750CXe

–  InfineonSecurityControllerM7893B11withop1onalRSA2048/4096v1.03.006,ECv1.03.006,SHA-2v1.01librariesandToolboxv1.03.006andwithspecificICdedicatedso[ware(firmware)

19GiorgioGiacinto2014Cer1ficazione

h9p://pralab.diee.unica.it

Esempidiprododvaluta1secondoCC

EAL4+–  Microso[WindowsServer2008R2–  RedHatEnterpriseLinuxon32bitx86Architecture,Version6.2–  JBossEnterpriseApplica1onPlasorm6Version6.2.2–  Microso[SQLServer2014DatabaseEngineEnterpriseEdi1onx64–  FINXRTOSSecurityEnhanced(SE)v3.1Sistemiopera1vichesoddisfanoilProtec1onProfile–  Microso[Windows10andWindowsServer2012R2–  IBMz/OSVersion2Release1

AltrisistemichesoddisfanoilProtec1onProfile–  SamsungGalaxyNote4withAndroid5VPNClient–  Microso[Windows10MobilewithLumia950,950XL,550,635,and

Windows10withSurfacePro420

h9p://pralab.diee.unica.it 21

OCSIOrganismo Certificazione Sicurezza Informatica•  L’OCSIges1sceloSchemaNazionaleperlavalutazionee

cer1ficazionedellasicurezzadisistemieprododnelse9oredellatecnologiadell'informazione(DPCMdel30.10.2003-G.U.n.9827.04.2004)

•  L’ISCOM(Is1tutoSuperioredelleComunicazioniedelleTecnologiedell’Informazione)delMinisterodelloSviluppoEconomicoè,perdecreto,l’OrganismodiCer1ficazione

•  L’OCSIagisceinconformitàaglistandardinternazionaliISO/IECIS-15408(CommonCriteria)eaicriterieuropeiITSECeITSEM.

http://pralab.diee.unica.it

SchemidicerFficazionedei

processiaziendali

22

h9p://pralab.diee.unica.it

Limi1CC•  Lacer1ficazionesecondoiCCècara9erizzatada–  Tempilunghi–  Cos1al1

•  CCèadeguatainambitomilitareenegliambi1civiliadaltorischio(impian1chimici,nucleari,ecc.)

•  Lapervasivitàdeglistrumen1informa1cirendenecessario–  L’usodistrumen1cer1fica1–  Schemidicer1ficazionefacilmenteu1lizzabili

23

h9p://pralab.diee.unica.it

Inizia1vecongiuntepubblico-privato

•  InUSAeUKsonosta1cos1tui1gruppidilavoroconesponen1diis1tuzionipubblicheeaziendeprivateperdefinireschemidicer1ficazionedeiprocessiaziendali

•  InUSAilNISTèstatodemandatoaorganizzareigruppidilavoroeredigereloschema

•  InUKl’inizia1vaèstatarealizzatadalMinisterodegliInterni

24

h9p://pralab.diee.unica.it

NIST–CyberSecurityFramework•  Versione1.0-Febbraio2014

FrameworkforImprovingCri8calInfrastructureCybersecurity

25

h9p://pralab.diee.unica.it

FrameworkitalianoCyberSecurityh9p://www.cybersecurityframework.it

•  PresentatoufficialmenteaFebbraio2016

•  PredispostodalCIS-SapienzaedalLaboratorioNazionaleCybersecuritypressoilCINI

•  BasatosulframeworkNIST

•  Estensioneapiccoleemedieimprese,sucuisireggegranpartedell’economiaitaliana

26

h9p://pralab.diee.unica.it

UKCyberEssen1als•  Inizia1vadelgovernoUK

PrimaversioneGiugno2014•  CyberEssenFal

Basatosuautocer1ficazione•  CyberEssenFalPlus

Cer1ficazionerilasciatadaunorganismoesterno•  Requisi1tecnicidibase–  Boundaryfirewallsandinternetgateways–  Secureconfigura1on–  Accesscontrol– Malwareprotec1on–  Patchmanagement

27

http://pralab.diee.unica.it

CerFficazione

perapplicazioniweb

h9p://pralab.diee.unica.it 29

AccertamentodilivellidisicurezzaOWASP•  OWASPApplicaFonSecurityVerificaFonStandard2009

–  Definisce4livellidiverificaedocumentazione

h9p://pralab.diee.unica.it 30

LivelliOWASP•  Livello1-VerificaAutomaFca

Sufficienteselaminacciaprincipaleprovienedaviruseworm

•  Livello2-VerificaManuale

Necessariosel’applicazioneelaborada1personali,transazionifinanziarie,B2B,ecc.

•  Livello3-VerificadelProgeCoNecessariosel’applicazioneeffe9uaprevalentementetransazioniB2Binclusoiltra9amentodida1sanitari

•  Livello4-VerificaInternaApplicazionilegateainfrastru9urecri1che,allaprotezionedellavitaumana,emilitari

http://pralab.diee.unica.it

AltrecerFficazioni

31

h9p://pralab.diee.unica.it

NormeISO27000sInforma1onsecuritymanagement

32

IES/IEC27000

27001

27002

27034

Famigliadinormeperlages1onedellasicurezzadelleinformazioni–nonriguardanoesclusivamentelasicurezzainforma8caNormadiriferimentoperogni1podiaziendamirataallages1onesicuradelleinformazioni,indipendentementedalletecnologieu1lizzateMisuredisicurezzaperlami1gazionedelrischiosullasicurezzadelleinformazionicontestualizzatesullatecnologiau1lizzataSicurezzadelleapplicazioni(Applica1onSecurityControls)

h9p://pralab.diee.unica.it

Cer1ficazioniperapplicazioni•  PCI(PaymentCardIndustry)SecurityStandard–  PCI-DSS(DataSecurityStandard)Perimerchantcheelaboranoda1dipagamento

–  PA-DSSPeriprodu9oridiso[warecheges1sconoda1rela1viacartedipagamento

33