05/10/06 1@ 2006 ­ Secure Network S.r.l.

Penetration test vs. Security Assessment

Capire le differenze tra le metodologie, gli obiettivi e i risultati

(per non parlare di quelle tra i consulenti)

Stefano Zanero, PhD - s.zanero@securenetwork.itCTO & Founder, Secure Network

05/10/06 @ 2006 ­ Secure Network S.r.l.

Secure Network: chi siamo

● Società giovane, nata nel 2004● Raccoglie l’esperienza indipendente di

consulenti del settore● Consulenza, Formazione, Ricerca focalizzata

sulla sicurezza● Collaborazione con il mondo dell’università e

della ricerca

05/10/06 @ 2006 ­ Secure Network S.r.l.

I valori di Secure Network

● Persone: giovani “cresciuti” nel settore con elevate competenze accademiche e professionali

● Innovazione: siamo inseriti nelle principali comunità di ricerca, in particolare a livello universitario, nel campo della sicurezza informatica

● Indipendenza: non siamo legati a nessun prodotto in particolare, e quindi garantiamo di elaborare la soluzione migliore in base alle esigenze del cliente

● Focalizzazione: offriamo una gamma completa di servizi, ma esclusivamente nell’ambito della sicurezza informatica

● Personalizzazione: i percorsi di Secure Network sono tagliati a misura delle esigenze del cliente

@ 2006 ­ Secure Network S.r.l.

(alcuni) nostri clienti

05/10/06 @ 2006 ­ Secure Network S.r.l.

Buzzword e valore aziendale

● Il settore ICT è stato a lungo (e spesso lo è ancora) un settore di buzzword

− Venditori di fumo− Esperti improvvisati− Tecnologie pseudomiracolose

● Per ottenere valore dalla consulenza sulla sicurezza ICT dobbiamo comprendere il significato di alcuni termini chiave

05/10/06 @ 2006 ­ Secure Network S.r.l.

“Facciamo un Penetration Test!”

● Ormai il 90% delle società di informatica offre la “sicurezza” nel suo portafoglio

● Di queste, moltissime offrono il servizio di “penetration test” o “vulnerability scan” o altre definizioni fantasiose

● Il problema è: cosa si intende con ogni termine ?

● Vi fidereste di chi non sa nemmeno definire correttamente ciò che offre ?

05/10/06 @ 2006 ­ Secure Network S.r.l.

Definizioni chiave

● Vulnerability scan● Vulnerability assessment● Risk assessment● Penetration test● Security audit● Security assessment

05/10/06 @ 2006 ­ Secure Network S.r.l.

Vulnerability scan

● Una verifica tipicamente automatizzata delle vulnerabilità tecnologiche di uno o più sistemi

● Utilizza uno o più software di scansione come Nessus (~ open source), Retina o ISS Scanner (commerciali)

● Esempio di informazione:− Il server all'indirizzo 1.2.3.4 ospita un server web di marca

X, versione 3.5, che ha una vulnerabilità di questo tipo...

05/10/06 @ 2006 ­ Secure Network S.r.l.

Vulnerability assessment

● Una verifica automatizzata e umana delle vulnerabilità tecnologiche e infrastrutturali di una rete

● Verifica di tipo “glass box”● Oltre ad un vulnerability scan l'analista verifica a

mano la correttezza dei risultati, li prioritizza e li complementa con una analisi dell'architettura

● Il test è più completo del precedente e fornisce più valore

05/10/06 @ 2006 ­ Secure Network S.r.l.

Valore e trappole dei VA

● Una verifica automatizzata delle vulnerabilità non porta valore (la potete fare in casa...)

● Viceversa, un VA porta valore, se l'assesser è competente e ha esperienza

− Punto di partenza per la valutazione della sicurezza puramente tecnologica

● Tuttavia un VA− Non considera componenti fisiche, umane,

procedurali− È statico: soffre la degradazione costante

05/10/06 @ 2006 ­ Secure Network S.r.l.

Degradazione

● Molti test (ed in primis un VA) soffrono di un problema di degradazione

− Vengono aggiunti nuovi servizi, cambiate installazioni, aggiunte e rimosse patch

− Vengono identificate nuove vulnerabilità● Per essere utile “beyond the now timeframe” (Pete

Herzog) qualsiasi test deve includere elementi architetturali e progettuali

05/10/06 @ 2006 ­ Secure Network S.r.l.

Risk assessment

● Metodologie di analisi del rischio si possono applicare anche all'infrastruttura informativa

● Altro strumento utile è la BIA, Business Impact Analysis

● Servono per quantificare il rischio e dimostrare, dati alla mano, l'importanza per l'impresa dell'investimento in sicurezza

● In generale ben poche società di consulenza sono in grado di operare delle vere valutazioni di rischio

05/10/06 @ 2006 ­ Secure Network S.r.l.

Penetration test

● Alcuni vendono come pen-test “una bella passata di Nessus da remoto !”

● Fare un penetration test in realtà significa:− Applicare il metodo di ragionamento che un

aggressore applicherebbe− Effettuare un test “black box”− Focalizzarsi sull'accesso ai dati, non

sull'identificazione di vulnerabilità− Utilizzare anche metodologie e strumenti non

convenzionali

05/10/06 @ 2006 ­ Secure Network S.r.l.

Come distinguere un buon PT ?

● Uso di strumenti ad hoc● Analisi delle applicazioni custom dell'impresa● Uso (concordato col cliente) di tecniche di social

engineering, phishing, etc.● Exploiting effettivo delle vulnerabilità, e dimostrazione

dei risultati (non “si potrebbe” ma “abbiamo fatto”)● Reportistica non automatizzata e presentazione dei

risultati “in persona” con lo staff del cliente

05/10/06 @ 2006 ­ Secure Network S.r.l.

Valore dei penetration test

● Un penetration test non è uno strumento di progetto, ma di verifica

− Chi vi propone un pen-test come “primo” intervento, in genere, non vi aiuta

● Un PT porta valore solo se il team è competente e ha esperienza (controllate le referenze!)

● Da ricordare che un PT:− Non fornisce “garanzie positive”, se non sono entrati

non vuol dire che siamo sicuri− Soffre anch'esso della degradazione

05/10/06 @ 2006 ­ Secure Network S.r.l.

Security assessment

● Un test omnicomprensivo della sicurezza aziendale

− Logica, Informatica, Infrastrutturale, Fisica, Sociale...

● Metodologia di riferimento: OSSTMM (www.osstmm.org)

● Deve comprendere elementi di stato e di processo per evitare la degradazione

05/10/06 @ 2006 ­ Secure Network S.r.l.

Security Auditing

● L'auditing della sicurezza è un processo aziendale, non una consulenza spot

● Significa identificare il livello di sicurezza aziendale e paragonarlo alle policy o alle best practice scelte come metro

● È una procedura iterativa che deve essere implementata nel SGSI aziendale (cfr. ISO 17799:2005)

05/10/06 @ 2006 ­ Secure Network S.r.l.

Quindi... che faccio?

● Un security assessment o almeno un VA− Se la tua azienda ha avuto una crescita

tumultuosa, non ha mai prestato attenzione alla security, o se non è mai stato fatto nulla

● Un penetration test ben fatto− Se hai già applicato un sistema di sicurezza e ne

vuoi verificare l'efficacia● Un risk assessment o BIA

− Se ti serve uno strumento manageriale

05/10/06 @ 2006 ­ Secure Network S.r.l.

E cosa, invece, non devo fare?● Fidarmi di chi cerca di confondere le idee e

spacciare un VA per un PT o un ST● Fidarmi di aziende senza referenze solide

nello specifico settore security● Fidarmi esclusivamente della “grande

società di consulenza”● Fidarmi di chi non fornisce appropriate

garanzie legali, etiche e professionali − Laurea, certificazioni, partecipazione a eventi e

convegni internazionali

05/10/06 @ 2006 ­ Secure Network S.r.l.

Conclusioni● Non è più tempo di perdersi in chiacchiere

− La sicurezza è un campo ben definito● Non è più tempo di praticoni e mestieranti

− Esistono metodi, tecniche e professionalità● Questo campo cambia di giorno in giorno

− Fare consulenza significa anche fare ricerca● Il pen-tester, se è bravo, arriverà a vedere

dati molto riservati− Scegliete un partner di cui potete fidarvi

05/10/06 21@ 2006 ­ Secure Network S.r.l.

Stefano Zanero - s.zanero@securenetwork.it

SecureNetwork S.r.l.: www.securenetwork.it

Grazie per l'attenzione

Domande ?