Security Project Management: Esperienze nella gestione di Vulnerability Assessment e Penetration Test

  • 1,294 views
Uploaded on

"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra) …

"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)

Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.


Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,294
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Milano, 19-21 ottobre 2011 - FieramilanocitySecurity Project Management 1 Esperienze nella gestione di Vulnerability Assessment e Penetration TestSimone Onofri – simone.onofri@techub.it
  • 2. Milano, 19-21 ottobre 2011 - FieramilanocityAgenda• Introduzione• Cos’è il Security Project Management?• Come fare?• Svolgimento!• Creare il Team 2• Conclusioni
  • 3. Milano, 19-21 ottobre 2011 - Fieramilanocity Cos’è IWA? IWA/HWG è un’Associazione professionale no profit riconosciutaPartecipazioni internazionali leader mondiale nella fornitura dei principi e delle certificazioni di formazione per i professionisti della Rete Internet; è presente in 100 paesi, con 130 sedi ufficiali in rappresentanza di più di 165.000 associati. La sua missione: • Fornire programmi formativi di qualità; • Fornire agli associati supporto e collaborazione a livello regionale, nazionale e internazionale, nonché un marchio di 3Partecipazioni nazionali affiliazione riconosciuto a livello mondiale; • Promuovere i principi universali di etica e di pratica professionale per tutti i professionisti della Rete Internet; •Fornire supporto per la definizione e lo studio di normative nei Paesi in cui è presente Network: http://www.iwa.it http://www.itlists.org http://blog.iwa.it http://webaccessibile.org http://skillprofiles.eu
  • 4. Milano, 19-21 ottobre 2011 - FieramilanocityPerché IWA?• Fare rete tra professionisti – Scambiarsi informazioni / esperienze – Condividere buone pratiche di lavoro• Apprendere – Consultare documentazione condivisa 4 – Discutere con gli altri soci – Partecipare ad eventi formativi / informativi• Divulgare – Effetto “ebola”: condividere la conoscenza – Proporsi come discenti per seminari e corsi
  • 5. Perchè questapresentazione con IWA?
  • 6. Percentuale delle vulnerabilità scoperte che interessano Applicazioni Web WebApp 37% Altre 63% IBM X-Force® 2011 Mid-year Trend and Risk Report
  • 7. …cos’è il security project management?
  • 8. “Organizzazioneprovvisoria creata allo scopo di consegnare uno o più prodotti aziendali *…+” Progetto – Glossario Prince2
  • 9. “Pianificazione, delegazione, monitoraggio e controllo di tutti gliaspetti del progetto” Project Management – Glossario Prince2
  • 10. “la motivazione di tutte le personecoinvolte nel progetto” Project Management – Glossario Prince2
  • 11. “per raggiungerne le relative finalità entro gli obiettivi diprestazione prestabiliti” Project Management – Glossario Prince2
  • 12. “tempistica, costi, qualità, ambito, benefici e rischi” Project Management – Glossario Prince2
  • 13. “is the process ofdetermining how effectively an entity being assessed meets specific security objectives.” NIST – Information Security Assessment Methodology
  • 14. “security is about protection” Pete Herzog - No More Bad Security
  • 15. …come fare?
  • 16. Direction Directing a Project (DP) Initiating a Managing Stage Closing a Management Project (IP) Boundaries (SB) Project (CP) Controlling a Stage (CS)Delivery Managing Product Delivery (MP) Prince2 – Project Flow (parte)
  • 17. Pete Herzog - No More Bad Security
  • 18. Planning Developing a Security Prioritizing and Selecting and Assessment Policy Scheduling Assessment Customizing Technique Determining the Developing the Addressing any legal logistics assessment plan consideration Coordination AssessingExecution Analysis Data HandlingPost-Execution Mitigation Remediation Reporting Recommendation Mitigation NIST – Information Security Assessment Methodology
  • 19. Pianificazione Definizione Autorizzazione Kickoff del Piano e ManlevaEsecuzione Verifica delle Condizioni di Valutazione Analisi IngressoConclusione Piano di Reportistica Workshop Rientro Techub – Security Testing
  • 20. …svolgimento!
  • 21. Pianificazione
  • 22. “definire le modalità dell’attività, secondo le necessità del Cliente, siada un punto di vista tecnico che di risorse, quindi tempistiche”
  • 23. Kick-off e Definizione del Piano
  • 24. Tabella per la definizione di un Security Test
  • 25. “The scope must be clearly definedcontractually before verifying vulnerable services” ISECOM OSSTMM – Rules Of Engagement (Rule 17)
  • 26. “to gather information needed for assessment execution—such as the assets to be assessed, the threats of interest against the assets, and thesecurity controls to be used to mitigate” NIST Information Security Assessment Methodology – Planning
  • 27. Timeframe
  • 28. 2 days for a class C <= 12 hops over a 64k digital line Add an additional hour per class C for every hop over 12 More bandwidth will decrease scanning time proportionallyDoes not count for systems protected by an active IDS or application-level firewall ISECOM OSSTMM – Rule of Thumb (Enumeration)
  • 29. 3 man-weeks for 10 live systems in a class C <= 12 hops over 64k ISDN Add an additional 1/2 man hour per live system for every hop over 12 More bandwidth will decrease testing time proportionally up to 1Mb.Increasing the number of testers will decrease testing time proportionally. Analysis and reporting will become more complicated and take longer with more than 5 testersDoes not count for systems protected by an active IDS or application-level firewall ISECOM OSSTMM – Rule of Thumb (OSSTMM Test)
  • 30. “Total testing time should never exceed 3 months for a single test” ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
  • 31. “Analysis can begin early but not before half the initial machine time for enumeration has lapsed” ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
  • 32. “1/2 the time spent testing is needed for reporting” ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
  • 33. Ulteriori elementi necessari
  • 34. “If necessary for privileged testing, the client must provide two, separate, access tokens whether they be passwords, certificates, secure IDnumbers, badges, etc. and they should be typical to the users of the privileges being tested ratherthan especially empty or secure accesses.” ISECOM OSSTMM – Rules Of Engagement (Rule 23)
  • 35. Autorizzazione e Manleva
  • 36. “the legal departments of each organization may be involved.”NIST Information Security Assessment Methodology – Legal Consideration
  • 37. “Performing security tests against anyscope without explicit written permission from the target owner or appropriate authority is strictly forbidden” ISECOM OSSTMM – Rules Of Engagement (Rule 6)
  • 38. “Contracts should limit liability to the cost of the job, unless malicious activity has been proven” ISECOM OSSTMM – Rules Of Engagement (Rule 9)
  • 39. “Contracts must clearly explain the limitsand dangers of the security test as part of the statement of work” ISECOM OSSTMM – Rules Of Engagement (Rule 10)
  • 40. “In the case of remote testing, thecontract must include the origin of the Analysts by address, telephone number or IP address.” ISECOM OSSTMM – Rules Of Engagement (Rule 11)
  • 41. “The contract must include clear, specificpermissions for tests involving survivability failures, denial of service, process testing, and social engineering.” ISECOM OSSTMM – Rules Of Engagement (Rule 14)
  • 42. Esecuzione
  • 43. “implementare le attivitàtecniche secondo quanto definito nel piano di intervento”
  • 44. Verifica delle condizioni di ingresso
  • 45. Attività tecniche e di analisi
  • 46. “it is critical for assessors to coordinatewith various entities in the organization*…+ for assessment schedule, activities, and potential impacts *…+ ” NIST Information Security Assessment Methodology – Coordination
  • 47. “Appropriate personnel are informed of any critical high-impact vulnerabilities as soon as they are discovered” NIST Information Security Assessment Methodology – Coordination
  • 48. “Verified limitations, such as discoveredbreaches, vulnerabilities with known or high exploitation rates, vulnerabilities which are exploitable for full, unmonitored or untraceable access, orwhich may immediately endanger lives, discovered during testing must be reported to the customer with a practical solution as soon as they are found” ISECOM OSSTMM – Rules Of Engagement (Rule 28)
  • 49. “Client notifications are requiredwhenever the Analyst changes the testing plan, changes the source test venue, haslow trust findings, or any testing problems have occurred. Notifications must be provided previous to running new, dangerous, or high traffic tests, and regular progress updates are required.” ISECOM OSSTMM – Rules Of Engagement (Rule 35)
  • 50. Conclusione
  • 51. “descrivere e presentare i risultati delle attività”
  • 52. Reportistica e Piano di Rientro
  • 53. “strutturata su più livelli per facilitare la lettura e lacomprensione dei risultati a destinatari di estrazione differente”
  • 54. “una visione sintetica e di alto livello dei risultati dei test effettuati”
  • 55. “In caso di attività pregresse vieneeffettuata l’analisi delle differenze tra la situazione iniziale e quella attuale”
  • 56. Andamento del Piano di RientroQuantità delle vulnerabilità P1 P2 P3 P4Scansione Inizale Scansione dopo 2 settimane Scansione dopo 4 settimane
  • 57. “il dettaglio tecnico dei risultati delle attività fornendo evidenze e proponendo soluzioni e suggerimenti”
  • 58. “Per ogni vulnerabilità vienespecificata una breve descrizione, lagravità e l’impatto, suggerimenti peril rientro e gli indirizzi IP/URL affetti”
  • 59. “per ogni vulnerabilità verificata sono descritti i passi dettagliati sia perl’identificazione che per la verifica e irimedi specifici rispetto il contesto e la classificazione secondo diverse metriche”
  • 60. “The client must be notified when thereport is being sent as to expect its arrival and to confirm receipt of delivery” ISECOM OSSTMM – Rule of Engagement (Rule 40)
  • 61. “All communication channels for delivery of the report must be end to end confidential.” ISECOM OSSTMM – Rule of Engagement (Rule 41)
  • 62. Workshop
  • 63. “The security testing organization shouldnot outnumber the invited attendees at the workshop” ISECOM OSSTMM – Rule of Thumb (Additional calculation)
  • 64. “from the security testing organization at a workshop, one should always be the actual tester and one other shouldalways be a commercial (sales) person” ISECOM OSSTMM – Rule of Thumb (Additional calculation)
  • 65. “With or without a Non-DisclosureAgreement contract, the security Analyst is required to provide confidentiality and non-disclosure of customer information and test results” ISECOM OSSTMM – Rules Of Engagement (Rule 8)
  • 66. …creare il team
  • 67. “La composizione dell’Analyst Team è definita ogni volta che è eseguitaun’attività sulla base dell’ambiente e dell’architettura in cui si opera”
  • 68. “Assessors should have significant security and networking knowledge, including expertise in networksecurity, FW, IDS/IPS, OS, programming, an d networking ”NIST Information Security Assessment Methodology – Assessor Selection and Skill
  • 69. “The test plan may not contain plans, processes, techniques, orprocedures which are outside the area of expertise or competence level of the Analyst” ISECOM OSSTMM – Rules of Engagement (Rule 19)
  • 70. RiferimentiIBM X-Force: http://xforce.iss.net/ISECOM OSSTMM (2.1, 2.2, 3.0), No More Bad Security: http://www.isecom.org/NIST Technical Guide to Information Security Testing and Assessment (SP800-115)http://csrc.nist.gov/OWASP Testing Guide, TOP 10 2010: http://www.owasp.org/Prince2: http://www.prince-officialsite.com/
  • 71. Credits fotograficiDiegohp93, Rickydavid, ohskylab, Florence Ivy, yuan2003, MrTopf, sonrisaelectrica, twicepix, Boyce Duprey, Marco Wessel, UNC - CFC - USFK
  • 72. GrazieSimone Onofrisimone.onofri@techub.ithttp://www.techub.it