Analisi dei rischi - processo (III) (risk04 - maggio'09) Il processo di gestione dei rischi Il processo di analisi dei rischi (parte III) ESTABLISH CONTEXT RISK ANALYSIS RISK COMMUNICATION RISK IDENTIFICATION Marco Domenico Aime < m.aime @ polito.it > RISK ESTIMATION RISK EVALUATION RISK DECISION POINT 1 Assessment satisfactory No Yes RISK MONITORING AND REVIEW RISK ASSESSMENT RISK TREATMENT Politecnico di Torino RISK DECISION POINT 2 Accept risks Dip. di Automatica e Informatica No Yes fonte: ISO 27005 RISK ACCEPTANCE END OF FIRST OR SUBSEQUENT ITERATIONS 1 2.1.4. Identificazione dell'impatto (Impact identification) Il processo di gestione dei rischi 1. definizione del contesto (establish context) motivazioni dell'analisi target e criteri dell'analisi beni, minacce e vulnerabilità, controlli e impatti 2. identificazione dei rischi (risk identification) RISK ANALYSIS modello delle minacce e delle vulnerabilità 3. stima dei rischi (risk estimation) piano operativo (operational plan) piano di risposta agli incidenti (incident response) audit certificazione piano di continuità operativa (business continuity) trattamento dei rischi (risk treatment) RISK IDENTIFICATION ASSET IDENTIFICATION THREAT IDENTIFICATION valore beni, occorrenza minacce e vulnerabilità, valutazione impatti, valutazione rischi revisione dei rischi (risk review) 2 modello degli asset identificazione dell'impatto VULNERABILITY IDENTIFICATION IMPACT IDENTIFICATION EXISTING CONTROL EVALUATION 4. classificazione dei rischi (risk evaluation) RISK ESTIMATION modello degli impatti rischi e priorità, controlli addizionali, opzioni di trattamento dei rischi 3 4 Identificazione dell'impatto n consiste nell'identificare gli effetti potenziali dovuti n alle minacce n considerando le possibili vulnerabilità dei beni a prescindere dall'effetto dei controlli n n Identificazione dell'impatto corrisponde al collegamento del modello di minacce e vulnerabilità con il modello dei beni n n es. aggiungo in un attack tree i nodi che rappresentano la compromissione dei requisiti/dimensioni di sicurezza dei beni coinvolti (cfr. identificazione minacce e vulnerabilità) perché è utile identificare gli effetti di minacce e vulnerabilità prima di considerare i controlli già esistenti? n per poter, in fase di trattamento dei rischi, analizzare l'effetto dei controlli esistenti e: n stimarne l'efficacia n un controllo può essere classificato come efficace, non sufficiente, o non giustificato n confrontarla con quella di altri controlli proposti n 5 © Marco Domenico Aime (2009) n un controllo può essere rimosso, sostituito con uno più appropriato, o confermato (es. perché ottimale o per ragioni di costi) 6 1 Analisi dei rischi - processo (III) (risk04 - maggio'09) 2.1.5. Valutazione dei controlli esistenti (Evaluate existing and planned controls) Impatto e beni n un impatto può riguardare: n n n n conoscenze sui controlli RISK IDENTIFICATION ASSET IDENTIFICATION molti beni una parte di un bene THREAT IDENTIFICATION modello delle minacce delle vulnerabilità, e degli impatti in assenza di contromisure, gli impatti saranno combinazioni dei beni e dimensioni/requisiti coinvolti n n RISK ANALYSIS un bene VULNERABILITY IDENTIFICATION valutazione dei controlli IMPACT IDENTIFICATION EXISTING CONTROL EVALUATION in fase di stima si può valorizzare il danno parziale (cfr. stima degli impatti) RISK ESTIMATION modello dei controlli e valorizzazione successivamente differiranno (possibilmnte diminuiranno) per l'effetto dei controlli esistenti e/o pianificati e della loro efficiacia 8 7 Controlli n Incidenti e controlli controllo (control): n anche contromisura (safeguard / countermeasure) n mezzo per gestire i rischi, incluse politiche, procedure, lienee guida, pratiche e strutture organizzative, di natura amministrativa, tecnica, gestionale o legale [cfr. 17799:2005] n procedura o meccanismo tecnologico che riduce il rischio (cfr. MAGERIT v2) n tecnologie di difesa o moduli usati per rilevare, prevenire o bloccare attachi (cfr. OWASP) riguarda (affects) minaccia (threat) sfrutta (exploits) causa (causes) bene (asset) possiede (has) vulnerabilità (vulnerability) riduce impatto (reduces) (impact) valore (value) possiede (has) riduce (reduces) riduce (reduces) controllo (control) 9 10 Valutazione dei controlli esistenti n Acquisizione delle informazioni in effetti richiede tre attività distinte: n identificazione dei controlli esistenti e/o pianificati n verifica dello loro stato di funzionamento (implementazione e utilizzo corretti) n un controllo che non funziona come previsto può introdurre delle vulnerabilità valutazione degli effetti dei controlli (valorizzazione) n n n n è anche necessario considerare le situazioni in cui un controllo può fallire: è possibile aggiungere ulteriori livelli di controlli 13 © Marco Domenico Aime (2009) documenti sul processo di gestione della sicurezza n piano di sicurezza, piano di risposta agli incidenti, piano di continuità operativa n se la gestione della sicurezza è ben pianificata, tutti i controlli esistenti e/o pianificati e il loro stato dovrebbero essere listati in questi documenti questionari/interviste a responsabili della sicurezza e agli utenti n responsabili sicurezza fisica, sicurezza ICT, servizi, ... n verificare quali controlli sono realmente implementati 14 2 Analisi dei rischi - processo (III) (risk04 - maggio'09) Acquisizione delle informazioni n Tipi di controlli ispezione diretta n confronto tra controlli effettivamente implementati con quelli listati nei documenti/questionari/checklist n come per l'identificazione delle vulnerabilità, anche questa fase può avvalersi di: n procedure di test e valutazione – checklist e guide standard n strumenti automatici n come al solito, più formalizzati i controlli contro minacce naturali e accidentali, meno quelli contro attacchi intenzionali n in pratica si usano dizionari di controlli e guide per la valutazione (security assessment) – scanner di rete, ... 16 15 Tipi di controlli - protezioni incluse Tipi di controlli - inibisce i tentativi di violazione della politica di sicurezza - include controlli come access control, protezioni crittografiche, metodi di autenticazione nell' hardware, software e firmware n distinguiamo innanzi tutto tra controlli preventivo tecnico investigativo n tecnici n (non tecnici) gestionali e operativi come modalità distinguiamo innanzi tutto in n preventivi (prevent) preventivo n investigativi (detect) investigativo n reattivi (recover) controllo non tecnico - allarme di violazione o tentativo di violazione della politica di sicurezza - include controlli come audit trails, intrusion detection, verifiche di integrità n reattivo - controlli gestionali e operativi - es. politiche di sicurezza, piano di sicurezza, sicurezza personale/fisica/ambientale, gestione dei rischi 18 19 Controlli gestionali n Controlli gestionali si tratta delle best practice per la progettazione di sistemi di gestione della sicurezza: n n n 12/05/09 n nello sviluppo software corrispondono ai principi per la progettazione di applicazioni sicure, ad esempio: preventivi: assegnazione delle responsabilità di sicurezza, sviluppo di un piano di sicurezza, sicurezza del personale (separation of duties, least privilege, ...), training di sicurezza n investigativi: sicurezza del personale (investigazioni, rotation of duties), periodici test e valutazioni di sicurezza (controlli e procedure), sviluppo di un processo di gestione dei rischi n defense in depth least privilege n assumere i sistemi esterni come insicuri n n gestione eccezioni security features != secure fetures n mai dipendere solo da security through obscurity n imparare dagli errori riscontrati © Marco Domenico Aime (2009) n n reattivi: sviluppo di un piano di continuità operativa, sviluppo di un piano di risposta algi incidenti cfr. SP 800-30, © Marco Domenico Aime (2009) © Marco Domenico Aime (2009) pp. 32-37 20 12/05/09 minimizzare la superficie di attacco (attack surface) usare default sicuri cfr. M.Howard, D.LeBlanc, Writing Secure Code, chap. 3 21 3 Analisi dei rischi - processo (III) (risk04 - maggio'09) Controlli operativi n Controlli operativi si tratta delle best practice per l'implementazione dei sistemi di gestione della sicurezza: n n n n preventivi: procedure per uso e rottamazione dei media, controllo dell'accesso fisico ai dispositivi, servizi di backup, protezioni ambientali (fuoco/acqua/ calore/...), fornitura energia di emergenza, procedure di gestione degli aggiornamenti n n © Marco Domenico Aime (2009) pp. 32-37 22 Controlli tecnici n servizi e meccanismi di sicurezza delle informazioni n un dispositivo di sicurezza implementa tipicamente un'insieme di servizi e meccanismi di sicurezza n es. M.Howard, D.LeBlanc, 'Writing Secure Code' es. OWASP Code Review investigativi: controllo delle sicurezza fisica, controllo della sicurezza ambientale, procedure di investigazione informatica (forensic investigation) reattivi: procedure per continuità operativa, procedure di risposta agli incidenti cfr. SP 800-30, 12/05/09 n nello sviluppo software corrispondono alle best practice per la scrittura di codice sicuro: 12/05/09 © Marco Domenico Aime (2009) 23 Tassonomia dei controlli di dependability es. firewall appliance con capacità di filtraggio e supporto IPSec bisogna tener conto di controlli non strettamente di sicurezza, ma che interagiscono con essi: n servizi di routing: es. un firewall fornisce 'network access control', ma anche 'routing control' n controlli di allocazione risorse (CPU / storage / banda) n es. in relazione ad attacchi di tipo denial of service fonte: Avizienis, Laprie, Randell, Landwher, “Basic Concepts and Taxonomy of Dependable and Secure Computing”, IEEE TDSC, 2004 24 25 Categorie di controlli tecnici di sicurezza n Controlli tecnici reattivi le numerose relazioni di interdipendenza identificano bene le difficoltà nella pianificazione di sicurezza n il problema dei controlli reattivi nella sicurezza delle informazioni n n molte relazioni di dipendenza ricorsive tra requisiti e controlli di sicurezza meccanismi di reazione automatici sono spesso sfruttabili da un attaccante per causare danno (es. denial of service) fonte: NIST SP 800-30, pp 33 12/05/09 © Marco Domenico Aime (2009) © Marco Domenico Aime (2009) 27 28 4 Analisi dei rischi - processo (III) (risk04 - maggio'09) Servizi e meccanismi di sicurezza Servizi e meccanismi di sicurezza n un servizio di sicurezza può essere implementato attraverso l'uso (congiunto o alternativo) di diversi meccanismi di sicurezza n le metodologie di analisi dei rischi classiche si concentrano su i servizi di sicurezza più che sui meccanismi richiede (requires) requisito di sicurezza (requirement) richiede (requires) implementa (implements) implementa (implements) richiede (requires) implementa (implements) prodotto di sicurezza (product) servizio di sicurezza (service) meccanismo di sicurezza (mechanism) fonte: W.Stallings, Cryptography and Network Security, 4th Ed, pp. 21 30 29 Riferimenti su controlli di sicurezza n le metodologie di analisi dei rischi includono dizionari e guide n per i principi alla loro base: n n Riferimenti su controlli di sicurezza n IETF RFC utili: prima parte del corso W.Stallings, 'Cryptography and Network Security' n 4949 - Internet Security Glossary, Version 2 n 3871 - Operational Security Requirements for Large (ISP) IP Network Infrastructure 3631 - Security Mechanisms for the Internet n n NIST SP 800-100, Information Security Handbook: A Guide for Managers n 3013 - Recommended Internet Service Provider Security Services and Procedures n S.Harris, 'CISSP Certification All-in-One Exam Guide' M.Howard, D.LeBlanc, 'Writing Secure Code', 2nd edition n 2350 - Expectations for Computer Security Incident Response n 2504 - Users' Security Handbook 2196 - Site Security Handbook n n 36 Dizionari e guide per controlli di sicurezza n ISO 27005: dizionario di controlli dizionari e guide, esempi: n 12/05/09 37 NIST SP 800-53: “Recommended Security Controls for Federal Information Systems and Organizations”, http://csrc.nist.gov/publications/index.html n ISACA “COBIT Security Baseline”, http://www.isaca.org (a pagamento) n ISO 270002 / ISO 17799 / BS 7799-1 (a pagamento) n PCI/DSS n ISO/IEC 15408, “Information technology - Security techniques Evaluation criteria for IT security”, http://www.commoncriteriaportal.org/ n ISF, “The Standard of Good Practice for Information Security”, http://www.isfsecuritystandard.com/index_ns.htm n per dimensione di sicurezza e minacce n confidenzialità n Eavesdropping n n © Marco Domenico Aime (2009) © Marco Domenico Aime (2009) 38 Physical Controls, Data confidentiality protection, Low radiation equipment with Malicious code n 12/05/09 Physical Controls, Information security policy, Data confidentiality protection Electromagnetic radiation n n fonte: ISO 27005 Protection against malicious code, Information security incident management © Marco Domenico Aime (2009) 39 5 Analisi dei rischi - processo (III) ISO 27005: dizionario di controlli n n ISO 27005: dizionario di controlli 40 12/05/09 © Marco Domenico Aime (2009) ISO 27005: dizionario di controlli fonte: ISO 27005 integrità n Deterioration of storage media n Maintenance error n Malicious code n n n n Protection against malicious code, Incident management n Identification and authentication, Logical access control and audit, Protection against malicious code, Network management, Data integrity protection © Marco Domenico Aime (2009) n Technical failure n ISO 27005: dizionario di controlli n n Identification and authentication, Logical access control and audit, Network segregation, Physical access control, Media control, Data integrity Security awareness and training, Back-ups, Identification and authentication, Logical access control and audit, Protection from malicious code Deterioration of storage media n Failure of communication equipment and services n n n © Marco Domenico Aime (2009) 12/05/09 Media controls, Back-ups Redundancy and Back-ups, Network management, Cabling, Non-repudiation Fire, water n Security awareness and training, Back-ups 44 fonte: ISO 27005 Disciplinary process, Media controls, Back-ups, Material protection, Identification and authentication, Logical access control and audit n Operational issues, Physical security, Data integrity © Marco Domenico Aime (2009) 43 Destructive attack n User error n 12/05/09 Cabling, Network management, © Marco Domenico Aime (2009)Data integrity protection disponibilità Unauthorized access to storage media n n n Use of unauthorized programmes and data n Operational issues, Network management, Power and air conditioning, Back-ups Transmission errors n 12/05/09 Power and air conditioning, Back-ups ISO 27005: dizionario di controlli fonte: ISO 27005 Unauthorized access to computers, data, services and applications n n 42 Reporting of software malfunctions, Operational issues, Back-ups, Data integrity protection Supply failure (power, air conditioning) n 12/05/09 Network management, Data integrity protection, Nonrepudiation n n Masquerading of user identity fonte: ISO 27005 Software failure n Maintenance, Back-ups, Data integrity protection 41 Misrouting/re-routing of messages Media controls, Back-ups, Data integrity protection n n Operational issues, Physical security, Data confidentiality protection Physical controls, Personnel, Data confidentiality protection, Media controls © Marco Domenico Aime (2009) n Unauthorized access to storage media Incident management, Operational issues 12/05/09 n Identification and authentication, Logical access control and audit, Network segregation, Physical access control, Media control, Data confidentiality protection Theft n n n Network management, Data confidentiality protection fonte: ISO 27005 Unauthorized access to computers, data, services and applications n Software failure n n n Identification and authentication, Logical access control and audit, Protection against malicious code, Network management, Data confidentiality protection Misrouting/re-routing of messages n n ISO 27005: dizionario di controlli fonte: ISO 27005 Masquerading of user identity n n (risk04 - maggio'09) Physical protection, Business continuity plan © Marco Domenico Aime (2009) 45 6 Analisi dei rischi - processo (III) ISO 27005: dizionario di controlli n ISO 27005: dizionario di controlli fonte: ISO 27005 Maintenance error n n Maintenance, Back-ups n Malicious code n Masquerading of user identity n n n (risk04 - maggio'09) Misuse of resources n Protection against malicious code, Incident managemen Natural disasters n Software failure n Misrouting/re-routing of messages n n Network management, Non-repudiation © Marco Domenico Aime (2009) ISO 27005: dizionario di controlli n ISO 27005: dizionario di controlli fonte: ISO 27005 n Theft n Traffic overloading n n n Physical controls, Personnel, Media controls n Cabling, Network management 48 n User error 12/05/09 Magerit: catalogo di controlli n Operational issues, Physical security Security awareness and training, Back-ups, Controls for Marco Domenico Aime (2009) accountability, ©authenticity and reliability n controlli generali: pratiche di gestione della sicurezza, con un effetto positivo su tutti i beni n generali n n n per la protezione dei servizi per la protezione dei dati/informazioni n per la protezione delle applicazioni (software) n n per la protezione dei dispositivi (hardware) per la protezione deelle comunicazioni Privilege management adjudication, revision and termination n Procedures for scaling and managing incidents Procedures for continuity of operations: emergency and recovery n n n n n sicurezza fisica relative all'outsourcing © Marco Domenico Aime (2009) © Marco Domenico Aime (2009) 49 Magerit: catalogo di controlli distingue in controlli (contromisure): 12/05/09 Security awareness and training, Back-ups, Identification and authentication, Logical access control and audit, Protection from malicious code Unauthorized access to storage media n © Marco Domenico Aime (2009) Identification and authentication, Logical access control and audit, Network segregation, Physical access control, Media control n n 12/05/09 fonte: ISO 27005 Use of unauthorized programmes and data n Redundancy and Back-ups, Network management 47 Unauthorized access to computers, data, services and applications Transmission errors n Power and air conditioning, Back-ups © Marco Domenico Aime (2009) Operational issues, Network management, Business continuity plan n Reporting of software malfunctions, Operational issues, Back-ups 12/05/09 Technical failure n n 46 Natural disaster protection, Business continuity plan Supply failure (power, air conditioning) n 12/05/09 Personnel, Operational issues, Identification and authentication, Logical access control and audit, Network management n n Identification and authentication, Logical access control and audit, Protection against malicious code, Network management, Data back-up fonte: ISO 27005 n 51 12/05/09 Organisational security: roles, committees, etc. Corporate information security policy Auditing, recording (certification) and accreditation of the system © Marco Domenico Aime (2009) 52 7 Analisi dei rischi - processo (III) (risk04 - maggio'09) Magerit: protezione dei servizi 12/05/09 fonte: MAGERIT, catalogo, pp 47-51 (english version) © Marco Domenico Aime (2009) Magerit: protezione dati/informazioni 53 12/05/09 Magerit: protezione applicazioni 12/05/09 fonte: MAGERIT, catalogo, pp 47-51 (english version) © Marco Domenico Aime (2009) fonte: MAGERIT, catalogo, pp 47-51 (english version) © Marco Domenico Aime (2009) © Marco Domenico Aime (2009) © Marco Domenico Aime (2009) 54 Magerit: protezione dispositivi 55 12/05/09 Magerit: protezione comunicazioni 12/05/09 fonte: MAGERIT, catalogo, pp 47-51 (english version) fonte: MAGERIT, catalogo, pp 47-51 (english version) © Marco Domenico Aime (2009) 56 Magerit: sicurezza fisica 57 12/05/09 fonte: MAGERIT, catalogo, pp 47-51 (english version) © Marco Domenico Aime (2009) 58 8 Analisi dei rischi - processo (III) (risk04 - maggio'09) Magerit: protezione del personale Magerit: outsourcing n la separazione tra servizi di sicurezza esterni e interni diventa sempre più felssibile e complicata: n n n n fonte: MAGERIT, catalogo, pp 47-51 (english version) 12/05/09 © Marco Domenico Aime (2009) 59 Magerit: outsourcing n 12/05/09 servizi di comunicazione sviluppo interno / COTS / piattaforme applicative servizi di supporto per applicazioni e dispositivi servizi di archiviazione e protezione dati n esecuzione remota di applicazioni (Application Service Provisioning, Software As A Service, Virtualisation as a service) n sicurezza gestita: monitoraggio remoto e delega nella gestione degli incidenti n ... © Marco Domenico Aime (2009) OCTAVE: catalogo di pratiche di sicurezza nei casi di outsourcing, un'importanza fondamentale hanno gli aspetti contrattuali: n n n n responsabilità e penali per non conformità n Catalog of Practices SLA: service level agreement (disponibilità) NDA: Non-disclosure agreement (confidenzialità) identità e qualifica del personale in carica coordinamento nell'investigazione e risoluzione degli incidenti procedure di terminazione contratto (durata) n 60 Operational Practice Areas Strategic Practice Areas fonte: OCTAVE 12/05/09 © Marco Domenico Aime (2009) 61 OCTAVE: catalogo di pratiche di sicurezza 12/05/09 © Marco Domenico Aime (2009) OCTAVE: catalogo di pratiche di sicurezza Operational Practice Areas Strategic Practice Areas Physical Security Security Awareness and Training 62 Security Security Security Collaborative Contingency Security Strategy Management Policies and Planning/ Regulations Management Disaster Recovery Physical Security Plans and Procedures Information Technology Security System and Network Management Staff Security Incident Management Physical Access Control Monitoring and Auditing IT Security General Staff Practices Authentication and Authorization Monitoring and Auditing Physical Security Encryption Vulnerability Management System Administration Tools Security Architecture and Design fonte: OCTAVE fonte: OCTAVE 12/05/09 © Marco Domenico Aime (2009) © Marco Domenico Aime (2009) 63 12/05/09 © Marco Domenico Aime (2009) 64 9 Analisi dei rischi - processo (III) (risk04 - maggio'09) STRIDE e controlli n STRIDE e controlli Threat type distingue tra: n tecniche di mitigazione: n autenticazione integrità n servizi di non ripudio n n confidenzialità disponibilità n autorizzazione n n Mitigation Technique cfr. M.Howard, S.Lipner, The Security Development Lifecycle, Microsoft Press, pp. 125-126 Mitigation Technologies Authenticate principals: • Basic authentication • Digest authentication • Cookie authentication Spoofing Authentication • Kerberos authentication • PKI systems such as SSL/TLS • IPSec • Digitally signed packets Authenticate code or data: • Digital signatures • Message authentication codes • Hashes e tecnologie di mitigazione • Access Control Lists (ACLs) Tampering Integrity • Message authentication codes • Digital signatures 12/05/09 © Marco Domenico Aime (2009) STRIDE e controlli Threat type Mitigation Technique cfr. M.Howard, S.Lipner, The Security Development Lifecycle, Microsoft Press, pp. 125-126 Mitigation Technologies • Secure auditing and logging Non-repudiation services Efficacia dei controlli tecnici n • Strong authentication Repudiation 66 65 è determinante anche considerare l'efficacia dei controlli, in termini di: • Digital signatures n forza intrinseca n es. algoritmi crittografici, lunghezza chiavi, ... n affidabilità n procedure di test e valutazione interne / esterne • Secure time-stamps • Trusted third parties • Access Control Lists (ACLs) Information disclosure Confidentiality • Encryption • Access Control Lists (ACLs) • Filtering Denial of Service Availability n • Quota • Authorization • Access Control Lists (ACLs) Escalation of Privileges • Group or role membership Authorization n • Privilege ownership 67 12/05/09 Efficacia dei controlli tecnici n metodi per la misurazione dell'efficia dei controlli di sicurezza sono un'area di crescente attenzione accademica e industriale n storicamente un aspetto poco sviluppato n intrinsecamente difficile n n uso effettivo n • Permissions certificazioni: generali o per l'uso nel sistema sotto analisi (es. Common Criteria: http://www.commoncriteriaportal.org/) un controllo non attivo o usato scorrettamente © Marco Domenico Aime (2009) costituisce una vulnerabilità 68 ISO 27004 ruolo di formalizzazione e modelli esempi: n ISO 27004: standard per metriche e misurazione di un ISMS fonte: ISO 27004 12/05/09 © Marco Domenico Aime (2009) © Marco Domenico Aime (2009) 69 12/05/09 © Marco Domenico Aime (2009) 70 10 Analisi dei rischi - processo (III) (risk04 - maggio'09) Modello dei controlli n Modello strutturato dei controlli riassumendo un modello dei controlli include almeno: n esempio di modello strutturato: n identificazione n grafo n n n categroizzazione servizi di sicurezza offerti n beni (e proprietà) a cui si può applicare costruito a partire da tamplate in stile OCTAVE effetti rappresentati dai collegamenti con il grafo delle minacce / vulnerabilità / impatti n efficacia n n efficacia rappresentata in termini delle minacce che riguardano i controlli stessi n 12/05/09 © Marco Domenico Aime (2009) © Marco Domenico Aime (2009) 71 12/05/09 cfr. la sezione su 'trattamento dei rischi' © Marco Domenico Aime (2009) 72 11