Presentazione tenuta presso il Security Summit del 2011 e relativa all'inquadramento delle attività di Etical Hacking come problem management proattivo.
L’utilizzo crescente dei droni, che implicazioni sulla privacy
Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical Hacking
1. Seminario associazioni:
Seminario a cura di itSMF Italia
Problem Management proattivo di
sicurezza secondo ITIL: attività di
Ethical Hacking
Andrea Praitano
14/03/2011 Security Summit 2011 1
2. Agenda
• Struttura dei processi ITIL v3;
• Il Problem Management proattivo;
• Attività di Ethical Hacking:
– cosa sono;
– processo di gestione e trattamento;
• Sovrapposizione con i processi ITIL v3;
• Conclusioni.
14/03/2011 Security Summit 2011 2
3. Introduzione Relatore - Andrea Praitano
• Membro del Consiglio Direttivo di itSMF Italia;
• Responsabile della Comunicazione per itSMF Italia;
• Team Leader del GdL itSMF Italia “ITIL & Analisi dei Rischi”;
• Socio fondatore di ISIPM (IStituto Italiano di Project
Management);
• Pubblicazioni:
– Foundations of IT Service Management Basato su ITIL v3 (Van Haren
Publishing);
– Foundations of IT Service Management Basato su ITIL (Van Haren Publishing);
– Introduzione a ITIL (OGC);
– ISO/IEC 20000 Pocket Guide (Van Haren Publishing);
– Roles in Security Management (Van haren Publishing);
• Service & Security Consultant per Business-e S.p.A.
(Gruppo IT Way) presso Banche, Telco, industrie, ecc.
20000
27002
14/03/2011 Security Summit 2011 3
7. Release Management
CMDB
DML
Relazioni fra processi (flusso “reattivo”)
Il flusso reattivo parte da
un evento che è
avvenuto e, mano a
mano, viene
approfondito dalle
diverse strutture fino ad
arrivare alla sua
completa e definitiva
risoluzione.
14/03/2011 Security Summit 2011 7
8. Incident
• Nella terminologia ITIL, un “incident” è definito come:
– una interruzione non pianificata a un servizio IT o la riduzione
della qualità di un servizio IT. Il guasto di un configuration item
che non ha ancora impattato sul servizio è anche un incidente,
ad esempio, il malfunzionamento di un disco da un mirror set.
14/03/2011 Security Summit 2011 8
11. Release Management
CMDB
DML
Relazioni fra processi (flusso proattivo)
Il flusso proattivo parte
da un evento che è
ipotizzato (ma
probabile) e, mano a
mano, viene
approfondito dalle
diverse strutture fino ad
arrivare a mettere in
esercizio le opportune
contromisure atte a far si
che non accada.
14/03/2011 Security Summit 2011 11
12. Relazioni fra processi (flusso proattivo)
Si ipotizza cosa potrebbe
succedere come
“potenziali” eventi
Proactive Problem
Management
Analizza:
• gli eventi potenziali;
• la probabilità di accadimento;
• gli impatti;
• ecc.
Individua le contromisure da
mettere in esercizio per evitare
l’accadimento ovvero ridurre
l’impatto dell’evento potenziale
ipotizzato
Release & Deployment
Management
Service Asset &
Configuration
Management
CMDB
Problem Management
Change Management
RfC
14/03/2011 Security Summit 2011 12
14. Ethical Hacking – cos’è?
Sono attività che
simulano attacchi.
Sono svolte con modalità
similari a quelle usabili da
hacker malevoli.
Sono svolte al fine di andare
ad individuare delle
vulnerabilità “in essere”.
Le vulnerabilità
analizzate sono quelle
sfruttabili.
Gli obiettivi possono essere
molteplici: furto di
informazioni; frodi; furto di
denaro; ecc.
Sono svolte sia in modo
proattivo (ad es. PT) che
reattivo (ad es. indagini
forensi).
14/03/2011 Security Summit 2011 14
15. Ethical Hacking - processo
Information
Gathering
Test
Planning
Svolgimento Test
(PT, VA, ecc.)
Reporting
Si effettua una raccolta
di informazioni
relativamente al sistema
da “attaccare”
Si pianifica l’attività
da svolgere
Si svolgono le verifiche
“in campo” relativamente
alle vulnerabilità presenti
sui sistemi e che sono
effettivamente sfruttabili
da un malintenzionato
Si riportano le vulnerabilità
rilevate e le modalità di
sfruttamento delle stesse
14/03/2011 Security Summit 2011 15
16. Ethical Hacking - processo
Information
Gathering
Test
Planning
Svolgimento Test
(PT, VA, ecc.)
Reporting
Risk Analysis
(classificazione in
funzione della criticità)
Risk Treatment
(individuazione possibili contromisure,
valutazione fattibilità, messa in esercizio )
Si classificano le vulnerabilità
rilevate, la probabilità di
sfruttamento, ecc.
Vengono individuate le possibili contromisure
che possono essere messe in campo, se ne
valuta la fattibilità, la messa in esercizio, ecc.
14/03/2011 Security Summit 2011 16
17. Ethical Hacking - processo
Information
Gathering
Test
Planning
Svolgimento Test
(PT, VA, ecc.)
Reporting
Risk Analysis
(classificazione in
funzione della criticità)
Risk Treatment
(individuazione possibili contromisure,
valutazione fattibilità, messa in esercizio )
Verifica della bontà delle
contromisure messe in campo
Information
Gathering
Test
Planning
Si verifica se le contromisure
messe in campo sono
realmente “efficaci”
14/03/2011 Security Summit 2011 17
19. Ethical Hacking – processi ITIL
Information
Gathering
Test
Planning
Svolgimento Test
(PT, VA, ecc.)
Reporting
Risk Analysis
(classificazione in
funzione della criticità)
Risk Treatment
(individuazione possibili contromisure,
valutazione fattibilità, messa in esercizio )
Verifica della bontà delle
contromisure messe in campo
CMDB
Proactive Problem Management
Problem Management Change Management
Release
Management
Change Management
(Post Implementation Review)
14/03/2011 Security Summit 2011 19
21. Conclusioni
• Un’organizzazione strutturata secondo ITIL può:
– essere di supporto allo svolgimento delle verifiche perché è in grado
di fornire le informazioni per rendere la verifica più efficace;
– gestire la messa in esercizio delle contromisure necessarie a
sanare le vulnerabilità rilevate;
• Le attività di Ethical Hacking (Penetration Test/Vulnerability
Assessment) si inseriscono perfettamente nell’ottica di un
Problem Management Proattivo di sicurezza secondo ITIL.
• Ci sono poi altre connessioni relative a:
– Governo delle verifiche di sicurezza (Information Security
Management);
– Gestione delle utenze (Access Management);
– Gestione degli incidenti di sicurezza (Incident Management);
– Centri di competenza per l’analisi di vulnerabilità specifiche
(Availability Management, Capacity Management, ecc.).
14/03/2011 Security Summit 2011 21
22. Conclusioni complessive
IT Service Management e
Information Security sono solo
apparentemente due branche
dell’ICT differenti.
…..ma in realtà sono
complementari e non in
concorrenza. Anzi l’una può essere
di aiuto a fare meglio il lavoro
dell’altra.
L’adozione di framework di IT Service
Management (ISO 20k, ITIL, ecc.) permette di
dare un approccio “strutturato” che può
essere di aiuto all’Information Security, al
Project Management, all’Application
Management, ecc.
La ISO 20k e la ISO 27k hanno
delle impostazioni un po’
diverse e ci si auspica che,
tramite la ISO 27013, si
riescano a far convergere.
14/03/2011 Security Summit 2011 22
24. Non hai mai commesso un errore, non hai mai tentato qualcosa di nuovo.
A. Einstein
Andrea Praitano
+39 328 8122642
andrea.praitano@itsmf.it
itSMF Italia
Via Ventimiglia, 115
10126 Torino
tel.011 6399.345
segreteria@itsmf.it
Grazie.
14/03/2011 Security Summit 2011 24
Editor's Notes
Dire come distinguere processi da fasi del ciclo di vita