Security by example

1,061 views
996 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,061
On SlideShare
0
From Embeds
0
Number of Embeds
49
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Security by example

  1. 1. Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  2. 2. Chi vi parla? Consulente ● Penetration tester ● Forenser ● Sviluppatore di software per il vulnerability ● assessment Ricercatore nel campo IT security ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  3. 3. Esempio Vogliamo creare una società che offra un ➔ servizio web tramite il proprio sito internet LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  4. 4. Realizzazione.. Aspetti burocratici, fiscali e amministrativi ● Sistemi e infrastrutture ● Network e connettività ● Servizi e hardware ● Ciclo di vita del software ● Analisi ● Progetto ● Implementazione ● Collaudo ● Manutenzione ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  5. 5. Sicurezza
  6. 6. Minacce Virus ● Malware ● Furto di informazioni ● Cracker occasionale ● (script kiddie) Cracker ● professionista LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  7. 7. Sicurezza.. La sicurezza è un processo non un prodotto ● Il livello di sicurezza è dato dalla sicurezza ● dell'elemento più debole Ogni livello deve esser messo in sicurezza ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  8. 8. Sicurezza fisica
  9. 9. Sicurezza Fisica Perchè ricorrere a una complicata violazione informatica quando quello che ci serve è appoggiato su una scrivania? Password su post-it ● Documenti cestinati ● Documenti visibili ● Eccessi di fiducia ● Terminali accesi ● senza utenti LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  10. 10. Prevenzione Controllo dell'accesso ai locali, policy ● (regole) di accesso Trattare nel modo dovuto i documenti (ad ● es. in cartelline) Non lasciare informazioni nei rifiuti ● Attenzione a come vengono portati dati ● fuori dall'ufficio Porre attenzione ai piccoli dettagli dei ● computer (segni di scasso) Prevenzione di incendi, allagamenti ecc. ● ..e molto altro.. ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  11. 11. Sicurezza dell'infrastruttura
  12. 12. Sicurezza dell'infrastruttura Sistemi vengono installati e abbandonati ● Utilizzo di configurazioni di default ● Ambienti di test diventano sistemi di ● produzione Adozione di tecnologie obsolete o insicure ● Parti dell'infrastruttura raggiungibile e ● esposta Mancanza di filtraggio dei flussi di rete ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  13. 13. Prevenzione Hardening dei sistemi operativi e dispositivi ● di rete Definizione di policy per l'uso e gli accessi ● Applicazione di access lists e AAA ● Aggiornamenti costanti ● Utilizzo di sistemi di intrusion detection ● Vulnerability assessment periodici ● Defense in depth ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  14. 14. Sicurezza dei sistemi
  15. 15. Sicurezza dei sistemi Vulnerabilità server side ● Vulnerabilità client side ● Configurazioni errate ● ....ecc... ecc... ● Ma quanti sono in grado di accorgersi che il ● proprio sistema è stato compromesso? LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  16. 16. Prevenzione Patch plan ● Limitare l'esposizione dei servizi ● Sistemi di sicurezza proattiva ● HIDS ● Sensibilizzazione degli utenti e adozione di ● policy Spesso non è un problema tecnologico ma ● umano LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  17. 17. Sicurezza applicativa
  18. 18. Sicurezza applicativa Analisi e progettazione fatta male e in fretta ● Non utilizzo di best practices nello sviluppo ● Errori di programmazione(bug) ● Diffusione di virus e worm ● Accesso non autorizzato a sistemi ● Furto di dati ● Abuso di sistemi e risorse ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  19. 19. Applicazioni sicure Utilizzo di tecnologie adeguate e loro corretto ● impiego Utilizzo di crittografia e autenticazione forte ● se necessario Introduzione di un processo di testing e ● auditing nello sviluppo Introduzione di metriche di collaudo per ● l'acquisizione di nuove applicazioni LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  20. 20. Monitoraggio e manutenzione
  21. 21. Monitoraggio e manutenzione Senza monitoraggio non si ha conoscenza di ● ciò che accade Monitoraggio a tutti i livelli (rete, sistemi e ● applicazioni) Monitoraggio di: ● Traffico ● Accessi ● Sorgenti dati ● Uso delle applicazioni ● Manutenzione e aggiornamenti periodici ● dell'infrastuttura e delle applicazioni LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  22. 22. Lo stato dell'arte della security Richiede che la sicurezza sia introdotta fin ● dalla progettazione, pena un totale ridisegno E' una proprietà di vari livelli architetturali ● E' dispendiosa in termini di risorse, ● procedure, gestione e mentalità Rimane un problema da affrontare per ogni ● tipo di azienda Quindi la sicurezza non è un predicato ● booleano LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  23. 23. Conclusione La sicurezza va afforntata a tutti i livelli ● Infrastrutturali ● Nel ciclo di vita di un software ● Il suo stato deve essere monitorato e ● mantenuto all'interno di un processo aziendale La sicurezza è composta da: ● Prodotti e tecnologie ● Procedure e processi ● Fattore umano (esperienza!) ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  24. 24. Domande

×