Nozioni fondamentali sulla
protezione
Fabrizio Grossi
Agenda





Caso aziendale
Disciplina di gestione dei rischi per
la sicurezza
Difesa a più livelli
Procedure consigliate
10 regole sempre valide sulla protezione
Impatto delle violazioni
alla protezione
Perdita
di profitti
Danni alla
reputazione
Perdita di fiducia
da parte degli
investitori
Perdita di fiducia
da parte dei clienti
Perdita o
compromissione
di dati
Conseguenze
legali
Interruzione
dei processi
aziendali
Agenda





Caso aziendale
Disciplina di gestione dei rischi
per la sicurezza
Difesa a più livelli
Procedure consigliate
10 regole sempre valide sulla protezione
Processi in cui si articola la disciplina della
gestione dei rischi per la sicurezza



Valutazione
 Valutazione e stima delle risorse
 Identificazione dei rischi per la sicurezza
 Analisi e assegnazione di priorità ai rischi per la
sicurezza
 Monitoraggio, pianificazione e programmazione
dei rischi
Sviluppo e implementazione
 Sviluppo di una contromisura di protezione
 Verifica della contromisura di protezione
 Acquisizione della conoscenza relativa alla
protezione
Operazioni
 Rivalutazione delle risorse nuove o modificate e dei
rischi per la sicurezza
 Stabilizzazione e distribuzione di contromisure
nuove o modificate
Valutazione: Valutare e stimare
le risorse
Assegnare priorità alle risorse (scala da 1 a 10)
1. Il server fornisce funzionalità di base ma non ha
alcun impatto finanziario sull'attività aziendale.
3. Il server ospita informazioni importanti,
che possono tuttavia essere recuperate
rapidamente e facilmente in caso
di perdita o danno.
5. Il server ospita dati importanti
il cui recupero richiederebbe del tempo.
8. Il server ospita informazioni importanti
per il conseguimento degli obiettivi
aziendali. Una sua perdita
avrebbe serie conseguenze sulla
produttività di tutti gli utenti.
10.Il server ha un impatto fondamentale sull'attività
dell'azienda. Una sua perdita causerebbe un
considerevole svantaggio competitivo all'azienda.
Valutazione: Identificare le minacce
alla protezione mediante il modello
STRIDE
Tipi di minacce
Spoofing
Tampering
Repudiation
Information disclosure
Denial of service
Elevation of privilege
Esempi
Falsificazione di messaggi di posta elettronica
 Riproduzione di pacchetti di autenticazione
 Alterazione di dati durante la trasmissione
 Modifica dei dati contenuti in file
 Eliminazione di un file importante senza che tale
operazione venga rilevata
 Acquisto di un prodotto senza che tale
operazione venga rilevata
 Esposizione di informazioni in messaggi di errore
 Esposizione di codice su siti Web
 Saturazione di una rete con pacchetti SYN
 Saturazione di una rete con pacchetti ICMP
contraffatti
 Sfruttamento di sovraccarichi di buffer per
ottenere privilegi di sistema
 Ottenimento di privilegi di amministratore
in maniera illegale

Valutazione: Analisi e assegnazione
di priorità ai rischi per la sicurezza
mediante il modello DREAD

DREAD






Damage (danno)
Reproducibility
(riproducibilità)
Exploitability
(sfruttabilità)
Affected Users
(utenti interessati)
Discoverability (identificabilità)
Esposizione al rischio = Priorità delle risorse x
Punteggio assegnato alla minaccia
Agenda





Caso aziendale
Disciplina di gestione dei rischi per
la sicurezza
Difesa a più livelli
Procedure consigliate
10 regole sempre valide sulla protezione
Struttura organizzativa per la
protezione

L'utilizzo di un approccio a più livelli offre una serie
di vantaggi, tra cui:
 Aumenta il rischio per un hacker di essere rilevato e scoperto
 Riduce le probabilità di successo di un attacco
Dati
Applicazione
Host
Rete interna
Perimetro
Sicurezza fisica
Criteri, procedure
e consapevolezza
ACL, crittografia
Protezione avanzata di applicazioni,
antivirus
Protezione avanzata del sistema
operativo, gestione delle patch,
autenticazione, sistemi di rilevamento
delle intrusioni basati su host
Segmenti di rete, IPSec, NIDS
Firewall, quarantena VPN
Personale di sicurezza, lucchetti
e dispositivi di monitoraggio
Formazione utenti
Descrizione del livello criteri,
procedure e consapevolezza
Devo
configurare un
firewall. Quali
porte devo
bloccare?
Hanno bloccato
il mio sito Web
preferito. Per
fortuna ho
un modem
Penso che terrò
aperta la porta
della stanza dei
computer. Molto
più facile
Penso che
utilizzerò il
mio nome
come
password
Compromissione del livello criteri,
procedure e consapevolezza
Sai, anch'io ho
una rete. Come hai
configurato i tuoi
firewall?
Sai dove si trova
la stanza dei
computer?
Bel modem
davvero. Quale
è il numero di
quella linea?
Non riesco mai
a trovare un buona
password. Che
cosa utilizzi?
Protezione del livello criteri,
procedure e consapevolezza
Procedura di
configurazion
e del firewall
Criterio di
protezione
di accesso
fisico
Procedura di
richiesta di
periferica
La formazione
relativa alla
protezione aiuta gli
utenti a supportare il
criterio di protezione.
Criterio di
segretezza
delle
informazioni
utente
Compromissione del livello di
sicurezza fisica
Visualizzare,
modificare o
rimuovere file
Danneggiare
hardware
Rimuovere
hardware
Installare codice
dannoso
Protezione del livello di sicurezza
fisica
Chiudere a chiave porte e installare allarmi
Impiegare personale di sicurezza
Applicare procedure di accesso
Monitorare l'accesso
Limitare le periferiche di inserimento dati
Utilizzare strumenti di accesso remoto
per migliorare la protezione
Descrizione del livello perimetrale
Partner aziendali
Ufficio principale
LAN
LAN
Servizi Internet
Il perimetro di una rete
comprende connessioni a:
 Internet
 Uffici di filiale
 Partner aziendali
 Utenti remoti
 Reti senza fili
 Applicazioni Internet
Internet
Servizi Internet
Ufficio di filiale
Utente remoto
Rete
senza fili
LAN
Compromissione del livello
perimetrale
Partner aziendali
Ufficio principale
LAN
LAN
Servizi Internet
La compromissione del
perimetro della rete può avere
numerose conseguenze, tra cui:
 Attacco alla rete aziendale
 Attacco a utenti remoti
 Attacco da partner aziendali
 Attacco da un ufficio di filiale
 Attacco a servizi Internet
 Attacco da Internet
Internet
Servizi Internet
Ufficio di filiale
Utente remoto
Rete
senza fili
LAN
Protezione del livello perimetrale
Partner aziendali
Ufficio principale
LAN
LAN
Servizi Internet
Internet
La protezione del perimetro della
rete riguarda:
 Firewall
 Blocco delle porte di
Utente remoto
comunicazione
 Conversione di indirizzi IP
e di porta
 Reti private virtuali
 Protocolli di tunneling
 Quarantena VPN
Servizi Internet
Ufficio di filiale
Rete
senza fili
LAN
Compromissione del livello rete
interna
Accesso non
autorizzato
a sistemi
Porte di
comunicazione
non previste
Intercettazione
di pacchetti
dalla rete
Accesso a tutto il
traffico di rete
Accesso non
autorizzato a reti
senza fili
Protezione del livello rete interna
Implementare l'autenticazione reciproca
Segmentare la rete
Crittografare le comunicazioni di rete
Bloccare le porte di comunicazione
Controllare l'accesso alle periferiche di rete
Applicare una firma digitale ai pacchetti di rete
Compromissione del livello
host
Configurazione di
sistemi operativi
non protetta
Accesso non
monitorato
Sfruttamento di
punti deboli dei
sistemi operativi
Diffusione
di virus
Protezione del livello host
Implementare l'autenticazione reciproca
Applicare tecniche di protezione avanzata al
sistema operativo
Installare patch di protezione
Implementare controlli
Disabilitare o rimuovere servizi non
necessari
Installare e mantenere aggiornato software
antivirus
Compromissione del livello
applicazioni




Perdita di applicazioni
Esecuzione di codice dannoso
Utilizzo estremo di applicazioni
Utilizzo indesiderato di applicazioni
Protezione del livello applicazioni
Abilitare solo servizi e funzionalità
necessari
Configurare impostazioni di protezione
delle applicazioni
Installare aggiornamenti di protezione per
le applicazioni
Installare e mantenere aggiornato software
antivirus
Eseguire applicazioni con i privilegi più
ridotti possibili
Compromissione del livello dati
Interrogare file
di directory
Visualizzare,
modificare o
rimuovere
informazioni
Documenti
File di directory
Applicazioni
Sostituire o
modificare file
di applicazioni
Protezione del livello dati
Crittografare file con EFS
Limitare l'accesso ai dati mediante elenchi
di controllo di accesso
Spostare file dalla posizione predefinita
Creare piani di backup e ripristino dei dati
Proteggere documenti e posta elettronica
mediante Windows Rights Management
Services
Agenda





Caso aziendale
Disciplina di gestione dei rischi per
la sicurezza
Difesa a più livelli
Procedure consigliate
10 regole sempre valide sulla protezione
Procedure di protezione
consigliate







Difesa a più livelli
Protezione come caratteristica
di progettazione
Privilegi più ridotti possibili
Fare tesoro degli errori passati
Gestire i livelli di protezione
Rendere gli utenti consapevoli in fatto
di protezione
Sviluppare e verificare piani e procedure di
intervento in risposta a incidenti
di protezione
Elenco di controllo di
protezione
Creare criteri di protezione e documenti procedurali
Consultare i documenti sulla protezione forniti
da Microsoft
Iscriversi per ricevere comunicati via posta
elettronica contenenti avvisi sulla protezione
Implementare un modello di difesa a più livelli
Effettuare regolarmente procedure di backup
e ripristino
Pensare come un hacker
Agenda







Caso aziendale
Disciplina di gestione dei rischi per
la sicurezza
Difesa a più livelli
Intervento di risposta a incidenti
di protezione
Scenari di attacco
Procedure consigliate
10 regole sempre valide sulla protezione
10 regole sempre valide sulla protezione
http://www.microsoft.com/technet/columns/security/essays/10imlaws.asp (in lingua inglese)
1
Se un hacker riesce a persuadervi a eseguire il proprio programma nel
vostro computer, questo non sarà più il vostro computer.
2
Se un hacker riesce a modificare il sistema operativo del vostro
computer, questo non sarà più il vostro computer.
3
Se un hacker riesce a ottenere accesso fisico illimitato al vostro
computer, questo non sarà più il vostro computer.
4
Se consentite a un hacker di caricare programmi sul vostro sito Web,
quest'ultimo non sarà più il vostro sito Web.
5
Password deboli sono in grado di vanificare anche la protezione più
avanzata.
6
La protezione di un computer è direttamente proporzionale
all'affidabilità del suo amministratore.
7
La protezione dei dati crittografati è direttamente proporzionale alla
protezione della chiave di crittografia.
8
Eseguire un programma antivirus non aggiornato non è molto diverso
da non eseguire alcun programma antivirus.
9
È praticamente impossibile mantenere un anonimato assoluto, nella
vita reale come sul Web.
10
La tecnologia non è la panacea di tutti i mali.
Riepilogo di sessione





Caso aziendale
Disciplina di gestione dei rischi per
la sicurezza
Difesa a più livelli
Procedure consigliate
10 regole sempre valide sulla protezione
Passaggi successivi
1.
Per essere sempre aggiornati nel campo della
protezione

Abbonarsi ai bollettini sulla protezione all'indirizzo:
http://www.microsoft.com/security/security_bulletins/alerts2.asp
(in lingua inglese)

Informazioni aggiornate relative alla protezione Microsoft
sono disponibili all'indirizzo:
http://www.microsoft.com/security/guidance/ (in lingua inglese)
2.
Accesso a materiale di formazione aggiuntivo
sulla protezione

Seminari di formazione on-line e con istruttore sono
disponibili all'indirizzo:
http://www.microsoft.com/seminar/events/security.mspx
(in lingua inglese)

Per trovare un CTEC di zona che offre corsi
di formazione pratica, visitare l'indirizzo:
http://www.microsoft.com/italy/traincert/Default.mspx