la rivista della sicurezza informatica

Edisef s.r.l. ROC n°17883 ISSN 2037 - 5611

Pubbl. mensile registrata presso il Tribunale di Roma il 7/10/2010 n°379 Poste Italiane S.p.A. Spedizione in abbonamento postale - 70% Roma Aut. n. C /RM/109 2010

17Ann

o IV

Genn

aio

2013

SICUREZZA DISPOSITIVI MOBILICon tablet e smartphone

l’ufficio è in tasca, ma occhio alla privacy!

PRIMO PIANOFrodi e tecniche di prevenzione e contrasto nel settore assicurativo

SCENARIVulnerability assessment

e penetration test. Linee guida per l’utente

SCENARI

VULNERABILITY ASSESSMENTE PENETRATION TESTLINEE GUIDA PER L’UTENTE

Obiettivo del primo Quaderno ISACA VENICE Chapter èstato quello di circostanziare il valore aggiunto di un

buon penetration test per una PMI, descrivere lecaratteristiche desiderabili per l’esecuzione di un

penetration test e suggerire linee guida per la selezionedei fornitori atti a svolgere attività di tale natura. Sono

state definite in particolare buone pratiche e aspetticritici cui porre attenzione nel commissionare un

Penetration Test da parte di una PMI.Luca Moroni

Informatico certificato CISA(Certified Information Sy-stem Auditor)

Perché una PMI dovrebbe richiedereun servizio di Vulnerability Assessmente/o Penetration Test? Come conferire l’in-carico e a cosa prestare attenzione? Peranalizzare questi temi ISACA VENICEChapter ha avviato nel 2012 un Gruppo diApprofondimento. L’iniziativa, conclusaa fine 2012, è consistita in un confrontofra alcuni professionisti con la formula-zione di linee guida e in una survey. Il ri-sultato è stato consolidato nel primoQuaderno di ISACA VENICE Chapter daltitolo “Vulnerability Assessment e Pene-tration Test -Linee guida per l’utente diverifiche di terze parti sulla sicurezza ICT”.

IntroduzioneIn assenza di termini di riferimento og-gettivi le misure di sicurezza adottate daciascuna organizzazione sono natural-mente correlate alla percezione del ri-schio. Dove tale percezione è chiara econdivisa le misure di sicurezza sono pre-

disposte in modo quasi naturale.Spesso però le misure volte a preve-nire il manifestarsi di rischi attinenti lasicurezza logica, quella che difende lereti ed i sistemi aziendali da accessiindesiderati e da modifiche malevole,vengono trascurate, a volte anche sottole spinte competitive a comunicare dipiù, a integrare i propri dati con quelli deipropri clienti o fornitori, a diffondere ilproprio know how tra i dipendenti.Qual è il senso di spendere tanto persviluppare un nuovo prodotto oun nuovo servizio, per poi nonproteggere adeguatamente i risul-tati di questo investimento?Tuttavia un accesso indesiderato o frau-dolento ai sistemi informativi diun’azienda può causare danni anchegravi, che possono arrivare a mettere arepentaglio la sopravvivenza aziendale.Ad esempio, nell’estate del 2012 una me-dia azienda del padovano è stata sotto-

42

Info

rmat

ion

Sec

urity

n°

17ge

n/fe

b20

13

SCENARI

posta ad attacco da parte di enti esterni.Non è chiaro quale fosse l’obiettivo del-l’attacco, ma nei fatti sono stati cancel-lati tutti i dati, inclusi i dati gestionali, idocumenti di progetto e quelli commer-ciali: il danno subito è stato ingente, conun fermo di diversi giorni. Il fatto è statodenunciato alla polizia postale, e sembrache l’obiettivo dei malviventi fosse quelloimpadronirsi di alcuni segreti industriali.Questa azienda, come quasi tutte quelleche subiscono tali incidenti, non vuoletuttavia essere citata.Un penetration test ha una utilità ana-loga a quella di un controllo notturno:un ente esterno, su richiesta, controllaperiodicamente che l’azienda sia suffi-cientemente protetta da accessi indesi-derati dall’esterno. I risultati consen-tono di capire i punti deboli chepotrebbero essere sfruttati da malinten-zionati, e quindi di porvi rimedio evi-tando gli errori banali e limitando i danni.Obiettivo del primo Quaderno ISACA VE-NICE Chapter è stato quello di circostan-ziare il valore aggiunto di un buon pe-netration test per una PMI, descrivere lecaratteristiche desiderabili per l’esecu-zione di un penetration test e suggerirelinee guida per la selezione dei fornitoriatti a svolgere attività di tale natura.Sono state definite in particolare buonepratiche e aspetti critici cui porre atten-zione nel commissionare un PenetrationTest da parte di una PMI.Il valore del patrimonio immaterialedelle PMI è spesso noto soltanto

in parte.Questo èt i p i -c a -

mente il caso di uno degli asset più im-portanti, vale a dire, le informazioni. Èindispensabile che i responsabili delle PMIcomprendano il valore delle informazionicontenute all’interno del proprio sistemaaziendale e dispongano di un quadro en-tro il quale valutare ed implementare lasicurezza delle informazioni.Prendendo spunto dalla esecuzione diuna analisi da parte di un fornitoreesterno si suggerisce di avviare, com-prendere ed attuare processi formali di si-curezza del patrimonio informativo, com-prendenti anche misure tecniche edorganizzative. Senza misure di questotipo, l’azienda può risultare seriamentedanneggiata da minacce involontarie/at-tacchi deliberati ai propri sistemi infor-mativi, tali da poter determinare in ultimaanalisi la cessazione dell’attività.Il Gruppo di Approfondimento ha predi-sposto un Quick Survey per rilevare piùapprofonditamente il livello di utilizzodi queste tecniche da parte delle impresedel Nord Est d’Italia. Il campione delleaziende che hanno risposto è costituitoda 50 questionari compilati.Nello specifico questi sono stati i quesiti:• Ogni quanto svolge un PENETRATIONTEST;

• Su quale base sceglie il fornitore;

• Ha mai svolto delle analisi di sicurezzanel perimetro interno. Dove l’analisi ècomposta da una serie di processi chesimulano le azioni normalmente svolteda un dipendente o consulente nellarete interna;

• Quale sono gli aspetti per le attivitàsvolte in passato di cui sono stato PIU’soddisfatto (anche più di una rispo-sta);

• Quale sono gli aspetti per le attivitàsvolte in passato di cui sono statoMENO soddisfatto (anche più di una ri-sposta).

Tale indagine trova riscontro e viene uti-lizzata in più punti del documento for-nendo anche degli spunti di riflessione.

SCENARIOL’analisi di Vulnerabilità è un passo ne-cessario per fotografare le problemati-che del sistema informativo. È il passonecessario per sapere le debolezze del si-stema a 360 gradi, per poi decidere comeproteggere il sistema e le trasmissionidati. E’ un passo necessario poiché spessovalutare a priori il problema e risolverlosenza una precedente analisi di vulnera-bilità porta a delle protezioni provvisorie,e spesso inutili, con il conseguente dannoeconomico.

43

Information S

ecurity n° 17gen/feb 2013

Obiettivo del primo Quaderno ISACA VENICE Chapterè stato quello di circostanziare il valore aggiunto diun buon penetration test per una PMI, descrivere le

caratteristiche desiderabili per l'esecuzione dellostesso e suggerire linee guida per la selezione dei

fornitori atti a svolgere attività di tale natura. Sonostate definite in particolare buone pratiche e aspetti

critici cui porre attenzione nel commissionare unPenetration Test da parte di una PMI

“”Obiettivo del primo Quaderno ISACA VENICE Chapter è

stato quello di circostanziare il valore aggiunto di unbuon penetration test per una PMI, descrivere lecaratteristiche desiderabili per l’esecuzione di un

penetration test e suggerire linee guida per la selezionedei fornitori atti a svolgere attività di tale natura. Sono

state definite in particolare buone pratiche e aspetticritici cui porre attenzione nel commissionare un

Penetration Test da parte di una PMI.

Figura 1

SCENARI

Sulla base dell’indagine svolta sulla fre-quenza con cui aziende dell’area Nord Estsvolgono una analisi di sicurezza èemerso questo dato indicativo.Considerando le statistiche sugli inci-denti informatici, la maggior parte de-gli attacchi (circa il 65%) sono stati rea-lizzati con tecniche ben note. Per cuicon la realizzazione di un PenetrationTest queste vulnerabilità potrebbero es-sere mitigate, se non eliminate, con unacerta facilità.Da non dimenticare che il nostro tes-suto produttivo è fatto di PMI ad altovalore aggiunto in termini di knowhow, è pertanto ipotizzabile che il Cy-ber Espionage1 possa fare numerosevittime arrecando un grave danno alleimprese che risultano poco sensibiliz-zate.Si stima che la spesa in ICT security siapari al 15% delle perdite dirette e indi-rette generate dagli incidenti di sicurezza(Clusit 2012). Pertanto una PMI che fa uninvestimento di 5 mila euro in sicurezzariesce a mitigare un rischio per l’aziendadi circa 35 mila euro.

METODOLOGIE STANDARDAl fine di garantire una valutazione di si-curezza indipendente, oggettiva e ripeti-bile, tutte le attività previste devono es-sere condotte in conformità con lemetodologie più accreditate, nel rispettodelle norme internazionali di riferimento.Sulla base della indagine svolta, Meto-dolgia e Documentazione risultano le ca-ratteristiche più importanti su cui vienescelto il fornitore a discapito della Foca-lizzazione. Esito del quesito sottoposto alle aziendecampione: “Su quale base sceglie ilfornitore”.

REQUISITI PER COMMISSIONARE UNPENETRATION TESTSe una Azienda commissiona questa at-tività per la prima volta ad un fornitoreesterno, il valore aggiunto è quello di ve-rificare oggettivamente le barriere difen-sive verso l’esterno. Se invece l’attività ègià stata svolta devo avere come obiettivoquello di standardizzare il processo inmodo da creare un percorso di migliora-mento delle difese.

In generale non esiste una soglia di-mensionale minima per svolgere un PTper una impresa, la motivazione è piut-tosto quella della consapevolezza di unpotenziale rischio e la volontà di miti-garlo. Molti titolari di PMI pensano dinon essere a rischio, in virtù della ri-dotta dimensione della propria aziendae del patrimonio informativo. La mag-gior parte ritiene che soltanto le grandisocietà, quelle che hanno un patrimo-nio di grande rilievo, siano a rischio.Questo non è vero. In primo luogo, lasensitività delle informazioni si applicaalla qualità e non alla quantità delle in-formazioni. In secondo luogo, le PMInon dispongono delle risorse o del per-sonale necessari per affrontare la sicu-rezza in maniera intensiva, come fannole grandi società: sono pertanto piùesposte. Di fatto, le nuove tecnologie consentonoalle piccole aziende di utilizzare unabuona parte dei medesimi sistemi infor-mativi utilizzati dalle grandi imprese. Nelfare questo, le piccole aziende si espon-gono a molte delle minacce che tradi-zionalmente si associano alle grandi so-cietà. Sfortunatamente, una percentualenon irrilevante delle aziende colpite dainconvenienti che hanno messo fuori usoi computer non riesce a recuperare ildanno e l’azienda stessa è costretta achiudere. Affinché il successo sia continuativo, èimperativo pertanto che i titolari ed i re-sponsabili decisionali delle PMI ammet-tano queste insidie e prendano misureatte ad affrontare le questioni relativealla sicurezza delle informazioni.

44

Info

rmat

ion

Sec

urity

n°

17ge

n/fe

b20

13

ISACA© – INFORMATION SYSTEMSAUDIT & CONTROL ASSOCIATION E’ una associazione internazionale, in-dipendente e senza scopo di lucro.Con oltre 100.000 associati a 200 Ca-pitoli in più di 160 Paesi, ISACA(www.isaca.org) è leader mondialenello sviluppo delle competenze certi-ficate, nella promozione di communityprofessionali e nella formazione neisettori dell’assurance e sicurezza, delgoverno dell’impresa, della gestionedell’IT e dei rischi e della compliancein ambito IT.

ISACA VENICE CHAPTERÈ un’associazione non profit costituita in Ve-nezia nel novembre 2011 da un gruppo di pro-fessionisti del Triveneto che operano nel settoredella Gestione e del Controllo dei Sistemi In-formativi. Riunisce coloro che nell’Italia del

Nord Est svolgono attività di Governance, Auditing e Controllo dei Sistemi Infor-mativi promuovendo le competenze e le certificazioni professionali sviluppate daISACA.Iscrivendosi ad ISACA VENICE automaticamente si è soci di ISACA, e si ha la pos-sibilità di accedere gratuitamente ai meeting di ISACA VENICE Chapter ed ai web-casts ed e-Simposium di ISACA, iscriversi ad un prezzo scontato ai corsi di prepa-razione agli esami CISA©, CISM©, CGEIT©, CRISC©, COBIT5© Foundation.(www.isaca.org/chapters5/venice)

Figura 2

SCENARI

Questi sono i requisiti che serve definireper commissionare un PT:• Definire se si appartiene alle infra-strutture critiche2.

• Definire quali sono i beni aziendalicoinvolti in ordine di priorità3 classifi-candoli in un livello da 1 a 3.

• Definire i meccanismi di protezione at-tuali per tali beni.

• Definire fra questi beni ciò che si desi-dera analizzare, il suo stato di verificae la frequenza di analisi. A volte per esi-genze di budget si procede a verifichespecifiche a rotazione.

COME ORIENTARSI NELLA SELEZIONEDEL FORNITORELe organizzazioni dovrebbero fare atten-zione nella scelta del fornitore accredi-tato, perché scegliere valutatori adegua-tamente controllati, abili, esperti riduce irischi legati alle prove di sicurezza. Nonesiste una figura riconosciuta per legge difornitore accreditato come non esiste unaprocedura ottimale nella qualificazionedel fornitore, ma elenchiamo alcune re-gole di “due diligence” per una correttascelta. Nel documento vengono analizzati i se-guenti aspetti che costituiscono le lineeguida proposte:• Tattiche di prevendita del fornitore• Qualificazione del fornitore con verifi-che indirette

• Gestione del rischio nella esecuzionedel servizio

• Metodologia adottata dal fornitore• Reperibilità durante le analisi in caso diincidente

• Oggettività delle analisi• Competenza del fornitore• Rotazione dei fornitori• Uso dei dati del cliente• Pianificazione delle attività• L’opinione del clienteIl campione ha dato le maggiori percen-tuali sul grado di soddisfazione sul servi-zio avuto identificando comePIU’ soddisfacente l’aspetto delle Vul-nerabilità individuate. MENO soddisfacente l’aspetto dell’Ana-lisi del rischio.Per scaricare gratuitamente il documentoa fini divulgativi:http://www.isaca.org/chapters5/Ve-nice/NewsandAnnouncements/Pages/Page1.aspx

NOTE1 http://en.wikipedia.org/wiki/Cyber_spying2 Il governo ha firmato a fine gennaio2013 il decreto volto ad accrescere le ca-pacità del Paese di confrontarsi con leminacce alla sicurezza informaticahttp://www.governo.it/Presidenza/Co-municati/dettaglio.asp?d=70337

3 FIPS PUB 199, Prevede norme per la de-terminazione della categoria di sicurezzadei sistemi informativi di un’organizza-zione che possono essere utili nello svi-luppo di una graduatoria di priorità di talisistemi per scopi di test. FIPS PUB 199 èdisponibile per il downloadhttp://csrc.nist.gov/publications/Pub-sFIPS.html

Considerando le statistiche sugli incidentiinformatici, la maggior parte degli attacchi (circa il

65%) sono stati realizzati con tecniche ben note. Percui con la realizzazione di un Penetration Test queste

vulnerabilità potrebbero essere mitigate, se noneliminate, con una certa facilità.

Da non dimenticare che il nostro tessuto produttivofatto di PMI ad alto valore aggiunto in termini di

know how è ipotizzabile che il Cyber Espionage[1] farànumerose vittime arrecando un grave danno allenostre imprese che risultano impreparate e poco

sensibilizzate

“

”