Analisi dei rischi - processo (III)
(risk04 - maggio'09)
Il processo di gestione dei rischi
Il processo di analisi dei rischi
(parte III)
ESTABLISH CONTEXT
RISK ANALYSIS
RISK COMMUNICATION
RISK IDENTIFICATION
Marco Domenico Aime
< m.aime @ polito.it >
RISK ESTIMATION
RISK EVALUATION
RISK DECISION POINT 1
Assessment satisfactory
No
Yes
RISK MONITORING AND REVIEW
RISK ASSESSMENT
RISK TREATMENT
Politecnico di Torino
RISK DECISION POINT 2
Accept risks
Dip. di Automatica e Informatica
No
Yes
fonte: ISO 27005
RISK ACCEPTANCE
END OF FIRST OR SUBSEQUENT ITERATIONS
1
2.1.4. Identificazione dell'impatto
(Impact identification)
Il processo di gestione dei rischi
1. definizione
del contesto
(establish context)
motivazioni
dell'analisi
target e criteri
dell'analisi
beni, minacce
e vulnerabilità,
controlli e impatti
2. identificazione
dei rischi
(risk identification)
RISK ANALYSIS
modello delle minacce
e delle vulnerabilità
3. stima
dei rischi
(risk estimation)
piano operativo
(operational plan)
piano di risposta
agli incidenti
(incident response)
audit
certificazione
piano di
continuità operativa
(business continuity)
trattamento
dei rischi
(risk treatment)
RISK IDENTIFICATION
ASSET IDENTIFICATION
THREAT IDENTIFICATION
valore beni, occorrenza
minacce e vulnerabilità,
valutazione impatti,
valutazione rischi
revisione
dei rischi
(risk review)
2
modello degli asset
identificazione
dell'impatto
VULNERABILITY
IDENTIFICATION
IMPACT IDENTIFICATION
EXISTING CONTROL
EVALUATION
4. classificazione
dei rischi
(risk evaluation)
RISK ESTIMATION
modello degli
impatti
rischi e priorità, controlli
addizionali, opzioni di
trattamento dei rischi
3
4
Identificazione dell'impatto
n
consiste nell'identificare gli effetti potenziali dovuti
n
alle minacce
n
considerando le possibili vulnerabilità dei beni
a prescindere dall'effetto dei controlli
n
n
Identificazione dell'impatto
corrisponde al collegamento del modello di minacce
e vulnerabilità con il modello dei beni
n
n
es. aggiungo in un attack tree i nodi che
rappresentano la compromissione dei
requisiti/dimensioni di sicurezza dei beni coinvolti
(cfr. identificazione minacce e vulnerabilità)
perché è utile identificare gli effetti di minacce e
vulnerabilità prima di considerare i controlli già
esistenti?
n
per poter, in fase di trattamento dei rischi, analizzare
l'effetto dei controlli esistenti e:
n
stimarne l'efficacia
n un controllo può essere classificato come efficace,
non sufficiente, o non giustificato
n
confrontarla con quella di altri controlli proposti
n
5
© Marco Domenico Aime (2009)
n
un controllo può essere rimosso, sostituito con
uno più appropriato, o confermato (es. perché
ottimale o per ragioni di costi)
6
1
Analisi dei rischi - processo (III)
(risk04 - maggio'09)
2.1.5. Valutazione dei controlli esistenti
(Evaluate existing and planned controls)
Impatto e beni
n
un impatto può riguardare:
n
n
n
n
conoscenze
sui controlli
RISK IDENTIFICATION
ASSET IDENTIFICATION
molti beni
una parte di un bene
THREAT IDENTIFICATION
modello delle minacce
delle vulnerabilità,
e degli impatti
in assenza di contromisure, gli impatti saranno
combinazioni dei beni e dimensioni/requisiti coinvolti
n
n
RISK ANALYSIS
un bene
VULNERABILITY
IDENTIFICATION
valutazione dei
controlli
IMPACT IDENTIFICATION
EXISTING CONTROL
EVALUATION
in fase di stima si può valorizzare il danno parziale
(cfr. stima degli impatti)
RISK ESTIMATION
modello dei controlli
e valorizzazione
successivamente differiranno (possibilmnte
diminuiranno) per l'effetto dei controlli esistenti e/o
pianificati e della loro efficiacia
8
7
Controlli
n
Incidenti e controlli
controllo (control):
n
anche contromisura (safeguard / countermeasure)
n
mezzo per gestire i rischi, incluse politiche,
procedure, lienee guida, pratiche e strutture
organizzative, di natura amministrativa, tecnica,
gestionale o legale [cfr. 17799:2005]
n
procedura o meccanismo tecnologico che riduce il
rischio (cfr. MAGERIT v2)
n
tecnologie di difesa o moduli usati per rilevare,
prevenire o bloccare attachi (cfr. OWASP)
riguarda
(affects)
minaccia
(threat)
sfrutta
(exploits)
causa
(causes)
bene
(asset)
possiede
(has)
vulnerabilità
(vulnerability)
riduce
impatto (reduces)
(impact)
valore
(value)
possiede
(has)
riduce
(reduces)
riduce
(reduces)
controllo
(control)
9
10
Valutazione dei controlli esistenti
n
Acquisizione delle informazioni
in effetti richiede tre attività distinte:
n
identificazione dei controlli esistenti e/o pianificati
n
verifica dello loro stato di funzionamento
(implementazione e utilizzo corretti)
n un controllo che non funziona come previsto può
introdurre delle vulnerabilità
valutazione degli effetti dei controlli (valorizzazione)
n
n
n
n
è anche necessario considerare le situazioni in cui
un controllo può fallire: è possibile aggiungere
ulteriori livelli di controlli
13
© Marco Domenico Aime (2009)
documenti sul processo di gestione della sicurezza
n
piano di sicurezza, piano di risposta agli incidenti,
piano di continuità operativa
n
se la gestione della sicurezza è ben pianificata, tutti i
controlli esistenti e/o pianificati e il loro stato
dovrebbero essere listati in questi documenti
questionari/interviste a responsabili della sicurezza e
agli utenti
n
responsabili sicurezza fisica, sicurezza ICT, servizi, ...
n
verificare quali controlli sono realmente implementati
14
2
Analisi dei rischi - processo (III)
(risk04 - maggio'09)
Acquisizione delle informazioni
n
Tipi di controlli
ispezione diretta
n
confronto tra controlli effettivamente implementati con
quelli listati nei documenti/questionari/checklist
n
come per l'identificazione delle vulnerabilità, anche
questa fase può avvalersi di:
n
procedure di test e valutazione
– checklist e guide standard
n
strumenti automatici
n
come al solito, più formalizzati i controlli contro
minacce naturali e accidentali, meno quelli contro
attacchi intenzionali
n
in pratica si usano dizionari di controlli e guide per la
valutazione (security assessment)
– scanner di rete, ...
16
15
Tipi di controlli
- protezioni incluse
Tipi di controlli
- inibisce i tentativi di violazione
della politica di sicurezza
- include controlli come access
control, protezioni crittografiche,
metodi di autenticazione
nell' hardware,
software e firmware
n
distinguiamo innanzi tutto tra controlli
preventivo
tecnico
investigativo
n
tecnici
n
(non tecnici) gestionali e operativi
come modalità distinguiamo innanzi tutto in
n
preventivi (prevent)
preventivo
n
investigativi (detect)
investigativo
n
reattivi (recover)
controllo
non tecnico
- allarme di violazione o tentativo
di violazione della politica di sicurezza
- include controlli come audit trails,
intrusion detection, verifiche di integrità
n
reattivo
- controlli gestionali e operativi
- es. politiche di sicurezza, piano di sicurezza, sicurezza
personale/fisica/ambientale, gestione dei rischi
18
19
Controlli gestionali
n
Controlli gestionali
si tratta delle best practice per la progettazione di
sistemi di gestione della sicurezza:
n
n
n
12/05/09
n
nello sviluppo software corrispondono ai principi per
la progettazione di applicazioni sicure, ad esempio:
preventivi: assegnazione delle responsabilità di
sicurezza, sviluppo di un piano di sicurezza,
sicurezza del personale (separation of duties, least
privilege, ...), training di sicurezza
n
investigativi: sicurezza del personale (investigazioni,
rotation of duties), periodici test e valutazioni di
sicurezza (controlli e procedure), sviluppo di un
processo di gestione dei rischi
n
defense in depth
least privilege
n
assumere i sistemi esterni come insicuri
n
n
gestione eccezioni
security features != secure fetures
n
mai dipendere solo da security through obscurity
n
imparare dagli errori
riscontrati
© Marco Domenico
Aime (2009)
n
n
reattivi: sviluppo di un piano di continuità operativa,
sviluppo di un piano di risposta algi incidenti cfr. SP 800-30,
© Marco Domenico Aime (2009)
© Marco Domenico Aime (2009)
pp. 32-37
20
12/05/09
minimizzare la superficie di attacco (attack surface)
usare default sicuri
cfr. M.Howard, D.LeBlanc,
Writing Secure Code, chap. 3
21
3
Analisi dei rischi - processo (III)
(risk04 - maggio'09)
Controlli operativi
n
Controlli operativi
si tratta delle best practice per l'implementazione dei
sistemi di gestione della sicurezza:
n
n
n
n
preventivi: procedure per uso e rottamazione dei
media, controllo dell'accesso fisico ai dispositivi,
servizi di backup, protezioni ambientali (fuoco/acqua/
calore/...), fornitura energia di emergenza, procedure
di gestione degli aggiornamenti
n
n
© Marco Domenico Aime (2009)
pp. 32-37
22
Controlli tecnici
n
servizi e meccanismi di sicurezza delle informazioni
n
un dispositivo di sicurezza implementa tipicamente
un'insieme di servizi e meccanismi di sicurezza
n
es. M.Howard, D.LeBlanc, 'Writing Secure Code'
es. OWASP Code Review
investigativi: controllo delle sicurezza fisica, controllo
della sicurezza ambientale, procedure di
investigazione informatica (forensic investigation)
reattivi: procedure per continuità operativa, procedure
di risposta agli incidenti
cfr. SP 800-30,
12/05/09
n
nello sviluppo software corrispondono alle best
practice per la scrittura di codice sicuro:
12/05/09
© Marco Domenico Aime (2009)
23
Tassonomia dei controlli di dependability
es. firewall appliance con capacità di filtraggio e
supporto IPSec
bisogna tener conto di controlli non strettamente di
sicurezza, ma che interagiscono con essi:
n
servizi di routing: es. un firewall fornisce 'network
access control', ma anche 'routing control'
n
controlli di allocazione risorse (CPU / storage / banda)
n es. in relazione ad attacchi di tipo denial of service
fonte: Avizienis, Laprie,
Randell, Landwher,
“Basic Concepts and
Taxonomy of Dependable
and Secure Computing”,
IEEE TDSC, 2004
24
25
Categorie di controlli tecnici di sicurezza
n
Controlli tecnici reattivi
le numerose
relazioni di interdipendenza
identificano bene
le difficoltà nella
pianificazione di
sicurezza
n
il problema dei controlli reattivi nella sicurezza delle
informazioni
n
n
molte relazioni di dipendenza ricorsive tra requisiti e
controlli di sicurezza
meccanismi di reazione automatici sono spesso
sfruttabili da un attaccante per causare danno (es.
denial of service)
fonte: NIST
SP 800-30, pp 33
12/05/09
© Marco Domenico Aime (2009)
© Marco Domenico Aime (2009)
27
28
4
Analisi dei rischi - processo (III)
(risk04 - maggio'09)
Servizi e meccanismi di sicurezza
Servizi e meccanismi di sicurezza
n
un servizio di sicurezza può essere implementato
attraverso l'uso (congiunto o alternativo) di diversi
meccanismi di sicurezza
n
le metodologie di analisi dei rischi classiche si
concentrano su i servizi di sicurezza più che sui
meccanismi
richiede
(requires)
requisito
di sicurezza
(requirement)
richiede
(requires)
implementa
(implements)
implementa
(implements)
richiede
(requires)
implementa
(implements)
prodotto
di sicurezza
(product)
servizio
di sicurezza
(service)
meccanismo
di sicurezza
(mechanism)
fonte: W.Stallings, Cryptography and Network Security,
4th Ed, pp. 21
30
29
Riferimenti su controlli di sicurezza
n
le metodologie di analisi dei rischi includono
dizionari e guide
n
per i principi alla loro base:
n
n
Riferimenti su controlli di sicurezza
n
IETF RFC utili:
prima parte del corso
W.Stallings, 'Cryptography and Network Security'
n
4949 - Internet Security Glossary, Version 2
n
3871 - Operational Security Requirements for Large
(ISP) IP Network Infrastructure
3631 - Security Mechanisms for the Internet
n
n
NIST SP 800-100, Information Security Handbook: A
Guide for Managers
n
3013 - Recommended Internet Service Provider
Security Services and Procedures
n
S.Harris, 'CISSP Certification All-in-One Exam Guide'
M.Howard, D.LeBlanc, 'Writing Secure Code', 2nd
edition
n
2350 - Expectations for Computer Security Incident
Response
n
2504 - Users' Security Handbook
2196 - Site Security Handbook
n
n
36
Dizionari e guide per controlli di sicurezza
n
ISO 27005: dizionario di controlli
dizionari e guide, esempi:
n
12/05/09
37
NIST SP 800-53: “Recommended Security Controls for Federal
Information Systems and Organizations”,
http://csrc.nist.gov/publications/index.html
n
ISACA “COBIT Security Baseline”, http://www.isaca.org (a
pagamento)
n
ISO 270002 / ISO 17799 / BS 7799-1 (a pagamento)
n
PCI/DSS
n
ISO/IEC 15408, “Information technology - Security techniques Evaluation criteria for IT security”,
http://www.commoncriteriaportal.org/
n
ISF, “The Standard of Good Practice for Information Security”,
http://www.isfsecuritystandard.com/index_ns.htm
n
per dimensione di sicurezza e minacce
n
confidenzialità
n
Eavesdropping
n
n
© Marco Domenico Aime (2009)
© Marco Domenico Aime (2009)
38
Physical Controls, Data confidentiality protection, Low
radiation equipment with
Malicious code
n
12/05/09
Physical Controls, Information security policy, Data
confidentiality protection
Electromagnetic radiation
n
n
fonte: ISO 27005
Protection against malicious code, Information security
incident management
© Marco Domenico Aime (2009)
39
5
Analisi dei rischi - processo (III)
ISO 27005: dizionario di controlli
n
n
ISO 27005: dizionario di controlli
40
12/05/09
© Marco Domenico Aime (2009)
ISO 27005: dizionario di controlli
fonte: ISO 27005
integrità
n
Deterioration of storage media
n
Maintenance error
n
Malicious code
n
n
n
n
Protection against malicious code, Incident management
n
Identification and authentication, Logical access control
and audit, Protection against malicious code, Network
management, Data integrity protection
© Marco Domenico Aime (2009)
n
Technical failure
n
ISO 27005: dizionario di controlli
n
n
Identification and authentication, Logical access control
and audit, Network segregation, Physical access control,
Media control, Data integrity
Security awareness and training, Back-ups, Identification
and authentication, Logical access control and audit,
Protection from malicious code
Deterioration of storage media
n
Failure of communication equipment and services
n
n
n
© Marco Domenico Aime (2009)
12/05/09
Media controls, Back-ups
Redundancy and Back-ups, Network management,
Cabling, Non-repudiation
Fire, water
n
Security awareness and training, Back-ups
44
fonte: ISO 27005
Disciplinary process, Media controls, Back-ups, Material
protection, Identification and authentication, Logical access
control and audit
n
Operational issues, Physical security, Data integrity
© Marco Domenico Aime (2009)
43
Destructive attack
n
User error
n
12/05/09
Cabling, Network
management,
© Marco
Domenico Aime (2009)Data integrity protection
disponibilità
Unauthorized access to storage media
n
n
n
Use of unauthorized programmes and data
n
Operational issues, Network management, Power and air
conditioning, Back-ups
Transmission errors
n
12/05/09
Power and air conditioning, Back-ups
ISO 27005: dizionario di controlli
fonte: ISO 27005
Unauthorized access to computers, data, services and
applications
n
n
42
Reporting of software malfunctions, Operational issues,
Back-ups, Data integrity protection
Supply failure (power, air conditioning)
n
12/05/09
Network management, Data integrity protection, Nonrepudiation
n
n
Masquerading of user identity
fonte: ISO 27005
Software failure
n
Maintenance, Back-ups, Data integrity protection
41
Misrouting/re-routing of messages
Media controls, Back-ups, Data integrity protection
n
n
Operational issues, Physical security, Data confidentiality
protection
Physical controls, Personnel, Data confidentiality
protection, Media controls
© Marco Domenico Aime (2009)
n
Unauthorized access to storage media
Incident management, Operational issues
12/05/09
n
Identification and authentication, Logical access control
and audit, Network segregation, Physical access control,
Media control, Data confidentiality protection
Theft
n
n
n
Network management, Data confidentiality protection
fonte: ISO 27005
Unauthorized access to computers, data, services and
applications
n
Software failure
n
n
n
Identification and authentication, Logical access control
and audit, Protection against malicious code, Network
management, Data confidentiality protection
Misrouting/re-routing of messages
n
n
ISO 27005: dizionario di controlli
fonte: ISO 27005
Masquerading of user identity
n
n
(risk04 - maggio'09)
Physical protection, Business continuity plan
© Marco Domenico Aime (2009)
45
6
Analisi dei rischi - processo (III)
ISO 27005: dizionario di controlli
n
ISO 27005: dizionario di controlli
fonte: ISO 27005
Maintenance error
n
n
Maintenance, Back-ups
n
Malicious code
n
Masquerading of user identity
n
n
n
(risk04 - maggio'09)
Misuse of resources
n
Protection against malicious code, Incident managemen
Natural disasters
n
Software failure
n
Misrouting/re-routing of messages
n
n
Network management, Non-repudiation
© Marco Domenico Aime (2009)
ISO 27005: dizionario di controlli
n
ISO 27005: dizionario di controlli
fonte: ISO 27005
n
Theft
n
Traffic overloading
n
n
n
Physical controls, Personnel, Media controls
n
Cabling, Network management
48
n
User error
12/05/09
Magerit: catalogo di controlli
n
Operational issues, Physical security
Security awareness and training, Back-ups, Controls for
Marco Domenico Aime
(2009)
accountability, ©authenticity
and
reliability
n
controlli generali: pratiche di gestione della
sicurezza, con un effetto positivo su tutti i beni
n
generali
n
n
n
per la protezione dei servizi
per la protezione dei dati/informazioni
n
per la protezione delle applicazioni (software)
n
n
per la protezione dei dispositivi (hardware)
per la protezione deelle comunicazioni
Privilege management adjudication, revision and
termination
n
Procedures for scaling and managing incidents
Procedures for continuity of operations: emergency
and recovery
n
n
n
n
n
sicurezza fisica
relative all'outsourcing
© Marco Domenico Aime (2009)
© Marco Domenico Aime (2009)
49
Magerit: catalogo di controlli
distingue in controlli (contromisure):
12/05/09
Security awareness and training, Back-ups, Identification
and authentication, Logical access control and audit,
Protection from malicious code
Unauthorized access to storage media
n
© Marco Domenico Aime (2009)
Identification and authentication, Logical access control
and audit, Network segregation, Physical access control,
Media control
n
n
12/05/09
fonte: ISO 27005
Use of unauthorized programmes and data
n
Redundancy and Back-ups, Network management
47
Unauthorized access to computers, data, services and
applications
Transmission errors
n
Power and air conditioning, Back-ups
© Marco Domenico Aime (2009)
Operational issues, Network management, Business
continuity plan
n
Reporting of software malfunctions, Operational issues,
Back-ups
12/05/09
Technical failure
n
n
46
Natural disaster protection, Business continuity plan
Supply failure (power, air conditioning)
n
12/05/09
Personnel, Operational issues, Identification and
authentication, Logical access control and audit, Network
management
n
n
Identification and authentication, Logical access control
and audit, Protection against malicious code, Network
management, Data back-up
fonte: ISO 27005
n
51
12/05/09
Organisational security: roles, committees, etc.
Corporate information security policy
Auditing, recording (certification) and accreditation of
the system
© Marco Domenico Aime (2009)
52
7
Analisi dei rischi - processo (III)
(risk04 - maggio'09)
Magerit: protezione dei servizi
12/05/09
fonte: MAGERIT, catalogo,
pp 47-51 (english version)
© Marco Domenico Aime (2009)
Magerit: protezione dati/informazioni
53
12/05/09
Magerit: protezione applicazioni
12/05/09
fonte: MAGERIT, catalogo,
pp 47-51 (english version)
© Marco Domenico Aime (2009)
fonte: MAGERIT, catalogo,
pp 47-51 (english version)
© Marco Domenico Aime (2009)
© Marco Domenico Aime (2009)
© Marco Domenico Aime (2009)
54
Magerit: protezione dispositivi
55
12/05/09
Magerit: protezione comunicazioni
12/05/09
fonte: MAGERIT, catalogo,
pp 47-51 (english version)
fonte: MAGERIT, catalogo,
pp 47-51 (english version)
© Marco Domenico Aime (2009)
56
Magerit: sicurezza fisica
57
12/05/09
fonte: MAGERIT, catalogo,
pp 47-51 (english version)
© Marco Domenico Aime (2009)
58
8
Analisi dei rischi - processo (III)
(risk04 - maggio'09)
Magerit: protezione del personale
Magerit: outsourcing
n
la separazione tra servizi di sicurezza esterni e interni
diventa sempre più felssibile e complicata:
n
n
n
n
fonte: MAGERIT, catalogo,
pp 47-51 (english version)
12/05/09
© Marco Domenico Aime (2009)
59
Magerit: outsourcing
n
12/05/09
servizi di comunicazione
sviluppo interno / COTS / piattaforme applicative
servizi di supporto per applicazioni e dispositivi
servizi di archiviazione e protezione dati
n
esecuzione remota di applicazioni (Application
Service Provisioning, Software As A Service,
Virtualisation as a service)
n
sicurezza gestita: monitoraggio remoto e delega nella
gestione degli incidenti
n
...
© Marco Domenico Aime (2009)
OCTAVE: catalogo di pratiche di sicurezza
nei casi di outsourcing, un'importanza fondamentale
hanno gli aspetti contrattuali:
n
n
n
n
responsabilità e penali per non conformità
n
Catalog of
Practices
SLA: service level agreement (disponibilità)
NDA: Non-disclosure agreement (confidenzialità)
identità e qualifica del personale in carica
coordinamento nell'investigazione e risoluzione degli
incidenti
procedure di terminazione contratto (durata)
n
60
Operational
Practice
Areas
Strategic
Practice
Areas
fonte: OCTAVE
12/05/09
© Marco Domenico Aime (2009)
61
OCTAVE: catalogo di pratiche di sicurezza
12/05/09
© Marco Domenico Aime (2009)
OCTAVE: catalogo di pratiche di sicurezza
Operational
Practice Areas
Strategic
Practice Areas
Physical
Security
Security
Awareness
and Training
62
Security
Security
Security Collaborative Contingency
Security
Strategy Management Policies and
Planning/
Regulations Management
Disaster
Recovery
Physical Security Plans
and Procedures
Information
Technology
Security
System and Network Management
Staff Security
Incident Management
Physical Access Control
Monitoring and Auditing IT Security General Staff
Practices
Authentication and Authorization
Monitoring and Auditing
Physical Security
Encryption
Vulnerability Management
System Administration Tools
Security Architecture and Design
fonte: OCTAVE
fonte: OCTAVE
12/05/09
© Marco Domenico Aime (2009)
© Marco Domenico Aime (2009)
63
12/05/09
© Marco Domenico Aime (2009)
64
9
Analisi dei rischi - processo (III)
(risk04 - maggio'09)
STRIDE e controlli
n
STRIDE e controlli
Threat type
distingue tra:
n
tecniche di mitigazione:
n
autenticazione
integrità
n
servizi di non ripudio
n
n
confidenzialità
disponibilità
n
autorizzazione
n
n
Mitigation Technique
cfr. M.Howard, S.Lipner,
The Security Development
Lifecycle,
Microsoft Press, pp. 125-126
Mitigation Technologies
Authenticate principals:
• Basic authentication
• Digest authentication
• Cookie authentication
Spoofing
Authentication
• Kerberos authentication
• PKI systems such as SSL/TLS
• IPSec
• Digitally signed packets
Authenticate code or data:
• Digital signatures
• Message authentication codes
• Hashes
e tecnologie di mitigazione
• Access Control Lists (ACLs)
Tampering
Integrity
• Message authentication codes
• Digital signatures
12/05/09
© Marco Domenico Aime (2009)
STRIDE e controlli
Threat type
Mitigation Technique
cfr. M.Howard, S.Lipner,
The Security Development
Lifecycle,
Microsoft Press, pp. 125-126
Mitigation Technologies
• Secure auditing and logging
Non-repudiation
services
Efficacia dei controlli tecnici
n
• Strong authentication
Repudiation
66
65
è determinante anche considerare l'efficacia dei
controlli, in termini di:
• Digital signatures
n
forza intrinseca
n es. algoritmi crittografici, lunghezza chiavi, ...
n
affidabilità
n procedure di test e valutazione interne / esterne
• Secure time-stamps
• Trusted third parties
• Access Control Lists (ACLs)
Information
disclosure
Confidentiality
• Encryption
• Access Control Lists (ACLs)
• Filtering
Denial of
Service
Availability
n
• Quota
• Authorization
• Access Control Lists (ACLs)
Escalation of
Privileges
• Group or role membership
Authorization
n
• Privilege ownership
67
12/05/09
Efficacia dei controlli tecnici
n
metodi per la misurazione dell'efficia dei controlli di
sicurezza sono un'area di crescente attenzione
accademica e industriale
n
storicamente un aspetto poco sviluppato
n
intrinsecamente difficile
n
n
uso effettivo
n
• Permissions
certificazioni: generali o per l'uso nel sistema sotto
analisi (es. Common Criteria:
http://www.commoncriteriaportal.org/)
un controllo non attivo o usato scorrettamente
© Marco
Domenico Aime (2009)
costituisce una
vulnerabilità
68
ISO 27004
ruolo di formalizzazione e modelli
esempi:
n
ISO 27004: standard per metriche e misurazione di
un ISMS
fonte: ISO 27004
12/05/09
© Marco Domenico Aime (2009)
© Marco Domenico Aime (2009)
69
12/05/09
© Marco Domenico Aime (2009)
70
10
Analisi dei rischi - processo (III)
(risk04 - maggio'09)
Modello dei controlli
n
Modello strutturato dei controlli
riassumendo un modello dei controlli include almeno:
n
esempio di modello strutturato:
n
identificazione
n
grafo
n
n
n
categroizzazione
servizi di sicurezza offerti
n
beni (e proprietà) a cui si può applicare
costruito a partire da tamplate in stile OCTAVE
effetti rappresentati dai collegamenti con il grafo delle
minacce / vulnerabilità / impatti
n
efficacia
n
n
efficacia rappresentata in termini delle minacce che
riguardano i controlli stessi
n
12/05/09
© Marco Domenico Aime (2009)
© Marco Domenico Aime (2009)
71
12/05/09
cfr. la sezione su 'trattamento dei rischi'
© Marco Domenico Aime (2009)
72
11