• Save
Security by example
Upcoming SlideShare
Loading in...5
×
 

Security by example

on

  • 1,539 views

 

Statistics

Views

Total Views
1,539
Views on SlideShare
1,494
Embed Views
45

Actions

Likes
0
Downloads
0
Comments
0

4 Embeds 45

http://www.tanasi.it 26
http://www.lonerunners.net 16
http://www.slideshare.net 2
http://www.slideee.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Security by example Security by example Presentation Transcript

    • Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Chi vi parla? Consulente ● Penetration tester ● Forenser ● Sviluppatore di software per il vulnerability ● assessment Ricercatore nel campo IT security ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Esempio Vogliamo creare una società che offra un ➔ servizio web tramite il proprio sito internet LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Realizzazione.. Aspetti burocratici, fiscali e amministrativi ● Sistemi e infrastrutture ● Network e connettività ● Servizi e hardware ● Ciclo di vita del software ● Analisi ● Progetto ● Implementazione ● Collaudo ● Manutenzione ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Sicurezza
    • Minacce Virus ● Malware ● Furto di informazioni ● Cracker occasionale ● (script kiddie) Cracker ● professionista LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Sicurezza.. La sicurezza è un processo non un prodotto ● Il livello di sicurezza è dato dalla sicurezza ● dell'elemento più debole Ogni livello deve esser messo in sicurezza ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Sicurezza fisica
    • Sicurezza Fisica Perchè ricorrere a una complicata violazione informatica quando quello che ci serve è appoggiato su una scrivania? Password su post-it ● Documenti cestinati ● Documenti visibili ● Eccessi di fiducia ● Terminali accesi ● senza utenti LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Prevenzione Controllo dell'accesso ai locali, policy ● (regole) di accesso Trattare nel modo dovuto i documenti (ad ● es. in cartelline) Non lasciare informazioni nei rifiuti ● Attenzione a come vengono portati dati ● fuori dall'ufficio Porre attenzione ai piccoli dettagli dei ● computer (segni di scasso) Prevenzione di incendi, allagamenti ecc. ● ..e molto altro.. ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Sicurezza dell'infrastruttura
    • Sicurezza dell'infrastruttura Sistemi vengono installati e abbandonati ● Utilizzo di configurazioni di default ● Ambienti di test diventano sistemi di ● produzione Adozione di tecnologie obsolete o insicure ● Parti dell'infrastruttura raggiungibile e ● esposta Mancanza di filtraggio dei flussi di rete ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Prevenzione Hardening dei sistemi operativi e dispositivi ● di rete Definizione di policy per l'uso e gli accessi ● Applicazione di access lists e AAA ● Aggiornamenti costanti ● Utilizzo di sistemi di intrusion detection ● Vulnerability assessment periodici ● Defense in depth ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Sicurezza dei sistemi
    • Sicurezza dei sistemi Vulnerabilità server side ● Vulnerabilità client side ● Configurazioni errate ● ....ecc... ecc... ● Ma quanti sono in grado di accorgersi che il ● proprio sistema è stato compromesso? LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Prevenzione Patch plan ● Limitare l'esposizione dei servizi ● Sistemi di sicurezza proattiva ● HIDS ● Sensibilizzazione degli utenti e adozione di ● policy Spesso non è un problema tecnologico ma ● umano LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Sicurezza applicativa
    • Sicurezza applicativa Analisi e progettazione fatta male e in fretta ● Non utilizzo di best practices nello sviluppo ● Errori di programmazione(bug) ● Diffusione di virus e worm ● Accesso non autorizzato a sistemi ● Furto di dati ● Abuso di sistemi e risorse ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Applicazioni sicure Utilizzo di tecnologie adeguate e loro corretto ● impiego Utilizzo di crittografia e autenticazione forte ● se necessario Introduzione di un processo di testing e ● auditing nello sviluppo Introduzione di metriche di collaudo per ● l'acquisizione di nuove applicazioni LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Monitoraggio e manutenzione
    • Monitoraggio e manutenzione Senza monitoraggio non si ha conoscenza di ● ciò che accade Monitoraggio a tutti i livelli (rete, sistemi e ● applicazioni) Monitoraggio di: ● Traffico ● Accessi ● Sorgenti dati ● Uso delle applicazioni ● Manutenzione e aggiornamenti periodici ● dell'infrastuttura e delle applicazioni LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Lo stato dell'arte della security Richiede che la sicurezza sia introdotta fin ● dalla progettazione, pena un totale ridisegno E' una proprietà di vari livelli architetturali ● E' dispendiosa in termini di risorse, ● procedure, gestione e mentalità Rimane un problema da affrontare per ogni ● tipo di azienda Quindi la sicurezza non è un predicato ● booleano LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Conclusione La sicurezza va afforntata a tutti i livelli ● Infrastrutturali ● Nel ciclo di vita di un software ● Il suo stato deve essere monitorato e ● mantenuto all'interno di un processo aziendale La sicurezza è composta da: ● Prodotti e tecnologie ● Procedure e processi ● Fattore umano (esperienza!) ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
    • Domande