1. Qualità del software:
Sicurezza
Qualità del software:
Sicurezza
Standard e tecniche di analisi per la sicurezzaStandard e tecniche di analisi per la sicurezza
www.cybsec.it
via Pietro L. Laforgia, 24 - 70126 Bari
+39 080 8092051
info@cybsec.it
P.IVA 07951270722
2. Sicurezza IT: ISO/IEC 27001
Permette di valutare attentamente i rischi per il
business e le diverse tipologie di informazioni
gestite. Evidenzia le aree in cui è necessario un
miglioramento. Può essere definito una
metodologia per la gestione della sicurezza IT.
Vantaggi:
● Minimizzazione e controllo del rischio.
● Riduzione costi e delle violazioni di
sicurezza IT.
● Riconoscimento vulnerabilità.
● Standardizzazione = vantaggio competitivo.
● Rafforzamento fiducia e soddisfazione con /
degli stakeholder.
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
3. Qualità del software: ISO/IEC 25010
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Adeguatezza
funzionale
Performance Compatibilità Usabilità Affidabilità Sicurezza Manutenibilità Portabilità
Completezza
Correttezza
Appropriatezza
Tempo
Risorse
Capacità
Coesistenza
Interoperabilità
Riconoscibilit
à
Apprendibilità
Operabilità
Protezione
errori
Estetica
Accessibilità
Maturità
Disponibilità
Tolleranza
Ripristino
Riservatezza
Integrità
Non ripudio
Trasparenza
Autenticità
Modularità
Riusabilità
Analizzabilità
Modificabilità
Testabilità
Adattabilità
Installabilità
Sostituibilità
4. ISO/IEC 25010
● Sostituisce ISO/IEC 9126-1 del 1991-2001. Riprende alcune definizioni dello standard ISO 9241-X.
● Lo standard per le fasi di coding, test ed esercizio sia per Web App che per quelle di tipo
conversazionale, comunicativo e operativo.
● Modello di qualità base ISO/IEC 25023 sulla misurazione della qualità del software e ISO/IEC 25051
sui requisiti e testing dei prodotti a scaffale (RUSP).
● Sviluppo, manutenzione, acquisto di software, assicurazione di qualità, revisione,
valutazione, certificazione.
● Definizione di Qualità
○ interna, relativa a proprietà "statiche/strutturali" del software verificabili con analizzatori o ispezioni.
○ esterna, relativa a proprietà "dinamiche/comportamentali" del software verificabili in esecuzione in ambienti
simulati.
○ in uso, relativa all'impatto del software sul campo verificabile nei contesti d'uso in ambienti simulati o reali,
tenendo anche conto della partecipazione degli utenti e della User Experience.
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
5. Sicurezza parametro di qualità
A cosa si riferisce? Il grado con cui un prodotto o sistema protegge le informazioni e i dati da persone,
altri prodotti o sistemi che possiedono un grado di accesso ai dati appropriato al loro tipo e livello di
autorizzazione. Si intuisce che la sicurezza contribuisce alla fiducia.
● Riservatezza: dato accessibile solo a chi è autorizzato.
● Integrità: prevenzione agli accessi o modifiche non autorizzati / e.
● Non ripudio: prova di paternità di un’azione o evento, che sottintende il non ripudio.
● Trasparenza (Accountability): tracciamento delle azioni intraprese da un’entità.
● Autenticità: prova di identità di un soggetto o di una risorsa.
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
6. Common Vulnerabilities and Exposure (CVE)
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
● Gestito dal MITRE (ONG USA), organizza le vulnerabilità con un punteggio
● Database organizzato delle vulnerabilità riconosciute del software pubblico
○ e.g. Sistemi Operativi: Windows, kernel Linux
○ e.g. Content Management System: Drupal, Joomla, Wordpress
● Utilizza una serie di Authority riconosciute dal MITRE per inserire le
vulnerabilità
● Richieste per vulnerabilità inserite dalla community di sviluppatori o ethical
hacker (White Hat)
● Oggi 05/09/2018: 106477 vulnerabilità inserite
● Comprende il famoso U.S. National Vulnerability Database (NVD)
7. Common Weakness Enumeration (CWE)
● Gestito dal MITRE (ONG USA), organizza le debolezze con un punteggio
● Database organizzato delle debolezze di sicurezza causate da
programmazione errata
○ e.g. lettura dati
○ e.g. scrittura dati
○ e.g. login
● Strutturato in categorie per sviluppatori, ricercatori e ingegneri del
software
● Worst Practice che causano debolezze
● Oggi 05/09/2018: 716 debolezze inserite
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
8. Open Web Application Security Project (OWASP)
● Fondazione USA (ONG) dal 2001, partecipano da tutto il mondo
● Propongono una metodologia (Framework) di sicurezza
● Si definiscono OPEN
○ la libertà dalle pressioni commerciali permette loro di fornire informazioni sulla sicurezza delle
applicazioni che siano: imparziali, pratiche e a costo zero
○ offrono supporto alle aziende sull’uso della tecnologia di sicurezza in commercio e non sono
affiliati a nessuna di loro
● Il materiale che producono è di libero accesso
○ Zed Attack Proxy (ZAP): strumento per ricercare automaticamente vulnerabilità
○ Top Ten: lista delle tipologie di vulnerabilità più sfruttate
○ Progetti di sviluppo: ModSecurity CRS e CSFRGuard.
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
9. Vulnerability Assessment
● Analisi continuativa dei sistemi (comprese le applicazioni)
○ Vengono definiti i target, i channel e i vector
● Ciclo di vita basato sul PDCA (Plan-Do-Check-Act):
○ Discover (Plan): raccolta delle informazioni sui sistemi e
sull’azienda
○ Prioritize (Plan-Do): pianificazione dell’intervento, vengono
definite le priorità in base al rischio supposto più alto
○ Asses (Do-Check): fase di controllo delle vulnerabilità e
valutazione reale del rischio
○ Report (Check): si stilano le valutazioni e i rischi con un
linguaggio comprensibile anche ai non addetti
○ Remediate (Act): si propongono gli interventi e si realizzano
○ Verify (Act-Plan): si riparte verificando i risultati e stilando le
procedure per la nuova fase di discovery
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
10. Vulnerability Assessment interno ed esterno
● Interno
○ Verifica dell'aggiornamento dei sistemi esposti
○ Sicurezza sugli attacchi mirati all’accesso diretto alla rete
○ Analisi interna alla / e sede / i dell’azienda
■ Rete Cloud privata
● Esterno
○ Verifica del livello di sicurezza dei sistemi esposti
○ Simulazione di attacco da una posizione fisica esterna alla rete aziendale
○ Analisi su servizi esposti alla rete internet
■ HTTP, SMTP, etc.
■ VPN
■ Rete Cloud pubblica
■ Ad hoc (su porte TCP o UDP)
○ Obblighi di legge (stakeholder, e.g. GDPR)
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
11. Penetration Testing
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
● Testing della sicurezza degli accessi alla rete interna:
○ sui sistemi (server interni, DMZ, etc.)
○ su applicativo (accesso a database, file di configurazione, etc.)
● Test continuativi (modifiche o aggiornamenti)
● Ciclo di vita (fase attiva 1, 2, 4 - fase passiva 3, 5, 6):
○ Information Gathering: si raccolgono informazioni dall’esterno
○ Threat modeling: si applicano metodi per l’identificazione delle
minacce
○ Vulnerability Analysis: si analizzano le vulnerabilità per decidere
come effettuare l’attacco
○ Exploitation: si effettua l’attacco con applicazione degli exploit
○ Post Exploitation: si analizza cosa è compromesso e si misura il
danno
○ Reporting: si realizzano i report riassuntivi
12. Penetration Test su applicativo
● Risulta uno strumento laddove sia presente un’applicazione esposta o pubblicata sulla Internet.
● Quest’analisi viene svolta ricorrendo a sistemi semi-automatici solo nella fase iniziale: per essere completata, infatti,
richiede capacità tecniche ed esperienza.
● La metodologia utilizzata è quella definita dal framework proposto da OWASP (Open Web Application Security
Project).
● Verifica sui punti della OWASP top 10 (2017):
○ Injection - Presente dal 2003
○ Broken Authentication - Presente dal 2003, mitigato il
problema di Session Management
○ Sensitive Data Exposure
○ XML External Entities (XXE)
○ Broken Access Control - Presente dal 2003
○ Security Misconfiguration
○ Cross-Site Scripting (XSS) - Presente dal 2003
○ Insecure Deserialization
○ Using Components with Known Vulnerabilities
○ Insufficient Logging&Monitoring
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
13. VA vs PenTest
via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Grado di conoscenza degli attori: Target e Attacker
● VA -> Workflow generico
○ Molteplici metodologie e framework
■ e.g. NIST SP800 - 42 / 115, OSSTMM, OWASP
○ Si possono effettuare PenTest per il VA esterno
○ Analisi e report dettagliati (linguaggio meno tecnico)
○ Valutazione dei rischi e proposta soluzioni
○ Tipologie Tandem, Blind
● PenTest -> Workflow definito
○ Molteplici metodologie e framework (e.g. OSSTMM)
○ Report analitici non necessari ma consigliati (linguaggio tecnico)
○ Solo valutazioni, nessuna soluzione
○ Tipologie Double Blind