SEI – Sistemi di Esercizio Infrastrutturale
Servizi di verifica e supporto alla Sicurezza
Informatica
In collaborazione con
La richiesta TSF
TSF ha predisposto un richiesta di offerta legata alla:
“FORNITURA DI SERVIZI DI VERIFICA E SUPPORTO ALLA SICUREZZA
INFORMATICA”
L’ offerta, che è stata aggiudicata dall’RTI tra Hacking Team e Business-e, si
compone di due servizi principali:
•
•
CRISIS SUPPORT ACTIVITY
ANALYSIS ACTIVITY
Di seguito verranno descritte le due attività inserendole nel contesto ITIL, le
linee guida per l’erogazione dei servizi IT, implementate da TSF.
Inquadramento del servizio nel contesto ITIL
L’IT Service Management di TSF è basato su ITIL. Questa scelta è volta a fornire
servizi IT nella giusta qualità in base a definiti SLA.
Pertanto il servizio andrà contestualizzato nell’ambito dei processi ITIL interessati.
SERVICE MANAGEMENT
Service Support
Descrive come i clienti e gli
utenti possono accedere ai
servizi
adeguati
a
supportare le loro attività ed
il business, e come questi
servizi sono supportati.
SERVICE MANAGEMENT
Service
Desk
Configuration
Mng
Incident
Mng
Problem
Mng
Change
Mng
Release
Mng
Il Service Support e l’Incident Management
Release
Management
Users
Service
Desk
Incident
Management
Alerts
Configuration
Management
Problem
Management
Change
Management
L’Incident Management e la Crisis Support
>
Se il Service Desk non può risolvere l’incidente all’interno di un intervallo
predefinito, si determina quale gruppo di supporto dovrebbe occuparsi
dell’incidente. Questo indirizzamento, definito “escalation funzionale”, si basa
sulla categoria alla quale è assegnato l’incidente.
>
Sulla base delle priorità e degli SLA, l’utente/i coinvolto verrà informato sul
massimo tempo stimato per risolvere l’incidente
>
Il service Desk instrada gli incidenti per i quali non è disponibile alcuna soluzione
immediata, avendo classificato l’incidente e verificato che non esiste un
incidente simile per il quale è stata resa disponibile una soluzione.
>
Il Service Desk, in caso di incidente con grande impatto, rileva un “allarme”
>
Le procedure per la gestione di particolari incident ovvero gli incidenti di
sicurezza sono predisposte dal Security Management e veicolate dall’Incident
Management.
In tale contesto si inserisce il servizio denominato “Crisis Support”.
Crisis Support Activity
Tale attività, in relazione a quanto sino ad ora esposto, si divide in
due fasi:
>
PROBLEM SOLVING: a seguito di evento di tipo distruttivo avvenuto
all’interno del Perimetro T.S.F. per le quali siano state attivate le prime
procedure di emergenza. Questa tipologia di attività, di carattere
reattivo, scaturisce dalla ricezione di un allarme di sicurezza inviato dal
Cliente, ed è rivolta ad effettuare l’applicazione delle relative
contromisure, a seconda del tipo di “allarme” rilevato, a tutela del
patrimonio tecnologico e informativo di T.S.F.
>
DIFESA PROATTIVA: Sarà analizzata nell’ambito del Security
Management
Problem Solving: erogazione
L’attività sarà erogata nel seguente modo:
>
>
>
>
Raccolta dei dati necessari alla determinazione della tipologia dell’allarme
(ovvero identificare se l’allarme è di tipo rete, sistema o applicazione).
Questo processo include l’analisi dei log provenienti da dispositivi di
sicurezza (FW, IDS, ecc), dispositivi di rete, sistemi e applicazioni impattati
dall’evento
Valutazione dell’impatto in termini di: disponibilità dei sistemi e servizi
coinvolti, vulnerabilità sfruttate, eventuali informazioni sottratte
Applicazione delle contromisure tecnologiche atte al ripristino delle normali
condizioni operative. Nel caso in cui l’applicazione delle contromisure
necessiti dell’interazione con entità esterne a T.S.F. (ad esempio il carrier
fornitore della connettività), lo specialista intervenuto potrà farsi carico,
qualora il Cliente lo ritenga opportuno, di condividere con le entità esterne
coinvolte la strategia di azione in risposta all’evento
Stesura del rapporto di intervento
Problem Solving: erogazione (segue)
Il servizio di problem solving verrà erogato H24 per i giorni lavorativi, il
sabato,
la domenica e le festività. L’attivazione dell’intervento dovrà
avvenire entro 30 minuti dalla ricezione della chiamata di segnalazione.
I numeri assegnati per il servizio di Crisis support sono:
• Numero Verde: 800502444 (attivo 9-18)
• Reperibilità: 338-2674325 (h24)
• Escalation: 335 1028305 (h24)
Security Management
>
Nell’ambito delle attività del Security Management troviamo quella
dell’allerta e dell’identificazione di nuove minacce e possibili vulnerabilità.
In questo ambito si collocano pertanto le altre due attività oggetto del
contratto ovvero l’attività di
1) ANALYSIS ACTIVITY
&
2) DIFESA PROATTIVA
1) Analysis Activity
L’attività è divisa nelle seguenti fasi:
•
•
•
PENETRATION TEST
REMEDIES (Analisi conclusiva e supporto)
REPETITION
Lo studio esterno
Sono effettivamente sicuro?
Chi richiede i miei servizi riesce ad
avere più privilegi di quelli previsti?
E’ tutelata la mia immagine?
Simulazione
di un
outsourcer
Simulazione
di un partner
Simulazione
di un
dipendente
remoto
Simulazione
di un hacker
Lo studio applicativo
Sono sicure le mie applicazioni?
Sono soggetto ad un potenziale rischio di
furto di informazioni?
Sono adeguatamente protetti i miei dati?
EROGAZIONE
SERVIZI
Analisi di
applicazioni
web
Tecniche di
fuzzing
Code
review
Analisi dei
protocolli
Reverse
engineering
Stress test
applicativo
Penetration
test
applicativo
La metodologia adottata
Analisi iniziale
1) Definizione degli obiettivi e
dello scopo del VA
2) Identificazione e classificazione
degli Assett Critici
output
Project
Plan
Assessment
1) Identificazione vulnerabilità di rete e dei
servizi (Medium Level Assessment)
2) Identificazione vulnerabilità di sistema
(Basic Level Assessment)
3) Identificazione vulnerabilità delle
applicazioni (Advanced Level Assessment)
output
Descrizione
AS-IS
Vulnerabilità e
minacce
Analisi conclusiva
1) Contestualizzazione e
prioritizzazione delle vulnerabilità
2) Definizione di un project plan
per la risoluzione delle
vulnerabilità
output
Security
Plan
Strategia di
intervento
Fasi dell’attacco
HT/B-e Ethical
Hacking
Non-invasive
Analysis
FOOTPRINTING
SCANNING
Invasive
Analysis
ENUMERATION
Attack
ESCALATING
PRIVILEDGES
GAINING ACCESS
Consolidation
PILFERING
COVERING TRACES
Fasi dell’attacco (in depth) - 1
NON – INVASIVA
FOOTPRINTING
Questa fase ha lo scopo di raccogliere il maggior
numero di informazioni sull’obiettivo che si intende
attaccare senza “toccare” l’obiettivo stesso, ovvero
effettuando una cosiddetta “analisi non invasiva”.
In particolare in questa fase si cerca di determinare:
domini, blocchi di rete e indirizzi IP dei sistemi
direttamente collegati a Internet. Gli strumenti
utilizzati sono: Search Engine, Whois server, Arin
database, interrogazione DNS, ecc.
SCANNING
L’obiettivo dello scanning è ottenere una mappa più
dettagliata possibile del sistema da attaccare. Ciò
significa acquisire informazioni su quali indirizzi IP dei
blocchi di rete trovati nella fase precedente siano
effettivamente
“contattabili”
dall’esterno
(IP
discovery), quali servizi siano “attivi” (TCP/UDP port
scan) e, infine, quali sistemi operativi “posseggano”.
Gli strumenti utilizzati sono: interrogazioni ICMP
(gping, fping, ecc.), scansione delle porte TCP e UDP
(strobe, netcat, nmap, ecc.), fingerprint dello stack
(nmap, ettercap).
INVASIVA
ENUMERATION
Con questa fase si inizia l’”analisi invasiva”. Si
effettuano, infatti, connessioni dirette ai server
e
“interrogazioni”
esplicite.
Tali
attività
potrebbero, a seconda della configurazione
presente sui sistemi target, originare dei logs
sui sistemi (tipicamente su sistemi di controllo).
Attraverso l’enumerazione si vuole giungere a
identificare, sulle macchine riscontrate come
raggiungibili, account validi (list user accounts),
risorse condivise (list file shares) e applicazioni
attive
sulle
porte
in
ascolto
(identify
application). Le tecniche utilizzate variano a
seconda dei sistemi operativi delle macchine
che vogliamo analizzare.
Fasi dell’attacco (in depth) - 2
ATTACCO
CONSOLIDAMENTO
GAINING ACCESS
Una volta ottenute le informazioni del punto
precedente, inizia il vero e proprio attacco che ha
come obiettivo riuscire a “entrare” nel sistema
remoto. I metodi utilizzati anche in questo caso
dipendono dal sistema operativo della macchina
target, ma si basano sostanzialmente sulla ricerca
di password corrispondenti agli utenti trovati
(password guessing), sullo sfruttamento di errori
progettuali delle applicazioni e servizi attivi sul
server (buffer overflows, attacchi data driven, ecc.)
o del sistema operativo stesso.
PILFERING
Se si giunge a questa fase significa che si è
ottenuto il pieno controllo del sistema target.
Quindi è bene valutare la configurazione del
sistema stesso al fine di capire se, dove e cosa il
sistema registra (logs). I sistemi di auditing
saranno eventualmente disabilitati (es. con Win NT
mediante auditpol). A questo punto la macchina in
oggetto può diventare una “testa di ponte” per
attaccare altre macchine. In tal caso saranno
reperite informazioni riguardanti altri sistemi.
ESCALATING PRIVILEDGES
L’obiettivo di questa fase è sfruttare i risultati
ottenuti nella fase precedente per ottenere il pieno
controllo del sistema remoto attaccato. Ciò si
ottiene, per esempio, reperendo i files presenti sul
sistema che contengono le password (/etc/passwd,
SAM, ecc.) e tentando di decifrare le password in
essi contenute (password cracking), oppure
utilizzando appositi exploits.
COVERING TRACKS
Prima di abbandonare il sistema “conquistato”
vengono cancellati gli eventuali logs che hanno
registrato la presenza clandestina ed
eventualmente installati trojan o back-doors che
consentano di rientrare facilmente sulla macchina
in un secondo momento. Può essere utile anche
installare tools nascosti quali sniffers o keyloggers
al fine di catturare altre password del sistema
locale o di altri sistemi ai quali utenti ignari si
collegano dalla macchina controllata.
Attacco applicativo
ANALISI APPLICATIVA
METODI DI ATTACCO
Serie di tentativi di attacco che coinvolgono i protocolli
di comunicazione utilizzati dagli utenti finali per
interagire con le applicazioni.
Nel caso specifico delle applicazioni web, tali attacchi
sono basati anche su manipolazioni dei pacchetti HTTP
che vengono scambiati fra i browser degli utenti ed il
web server.
Esistono diverse categorie di attacchi ai layer
dell’infrastruttura applicativa: web server, application
server, data tier. Caratteristica comune a tutti gli
attacchi applicativi è la completa trasparenza ad ogni
sistema di difesa perimetrale.
Di seguito vengono elencati i metodi attualmente
conosciuti.
Hidden field manipulation: attacchi che, sfruttando
paradigmi di programmazione non sicuri, alterano il
valore di parametri applicativi fra due successive
richieste HTTP.
Backdoors e opzioni di debug: attacchi basati su
errori di configurazione e/o di programmazioni molto
noti e diffusi.
Forceful browsing: attacchi che mirano ad accedere a
risorse protette seguendo percorsi di navigazione non
previsti.
Buffer overflow: attacchi che comportano l’esecuzione
di codice arbitrario in assenza di opportuna validazione
dei parametri in ingresso.
Cookie poisoning: attacchi basati sulla manipolazione
dei cookie di sessione HTTP.
Configurazioni errate: attacchi che sfruttano comuni
errori di configurazione.
Vulnerabilità note: attacchi che sfruttano la mancata
applicazione di patch.
SQL injection: attacchi che mirano all’esecuzione di
query non previste sui DBMS di backend
Attacchi http: manipolazioni degli Header HTTP.
Cross-site scripting: attacchi che sfruttano una non
corretta validazione dei contenuti restituiti dal server in
risposta a richieste HTTP opportunamente modificate.
Parameter tampering: attacchi che sfruttano una
non corretta validazione dei parametri passati dal
browser al web server.
2) Difesa proattiva
>
DIFESA
PROATTIVA:
concernente
la
segnalazione
di
nuove
vulnerabilità e di nuovi exploit, potenzialmente pericolosi per T.S.F. per i
quali non siano ancora state rilasciate contromisure relativamente alle
tipologie di attacchi informatici. Queste attività verranno erogate in
modalità continuativa, e sono finalizzate a mantenere aggiornato il
personale T.S.F. affinché venga ridotto a zero il divario temporale tra il
rilascio di una contromisura ad una vulnerabilità pertinente al
patrimonio informativo di T.S.F. e la sua applicazione in esercizio.
Difesa proattiva (segue)
>
Le attività di carattere preventivo, verranno direttamente erogate dal Centro Servizi
Hacking Team/Business-e che, essendo in contatto con il mondo dell’underground,
analizzando quotidianamente i bollettini di sicurezza emessi dai principali advisory, siano
essi pubblici (SANS, CERT, MITRE, ecc) o emessi direttamente dai fornitori delle
tecnologie impiegate presso l’ambiente T.S.F., provvederà a comunicare tempestivamente
le informazioni secondo le modalità concordate con il Cliente in sede di definizione del
contratto.
>
Sarà cura dell’offerente di predisporre, all’interno delle sue strutture di back office, una
procedura automatica per conservare le informazioni in oggetto in un repository che
conterrà oltre al dettaglio del bollettino anche la data di comunicazione del medesimo al
Cliente.
>
I risultati dell’attività di Penetration Test possono essere utilizzati al fine di ottimizzare il
processo di identificazione dei bollettini attinenti il contesto T.S.F.