SlideShare a Scribd company logo

Polino fiera dellevante

Redazione InnovaPuglia
Redazione InnovaPuglia

"Qualità del software: Sicurezza" - Fabio Polino, Cybersecurity

Technology
1 of 14
Download to read offline
Qualità del software: Sicurezza Qualità del software: Sicurezza Standard e tecniche di analisi per la sicurezzaStandard e tecniche di analisi per la sicurezza www.cybsec.it via Pietro L. Laforgia, 24 - 70126 Bari +39 080 8092051 info@cybsec.it P.IVA 07951270722
Sicurezza IT: ISO/IEC 27001 Permette di valutare attentamente i rischi per il business e le diverse tipologie di informazioni gestite. Evidenzia le aree in cui è necessario un miglioramento. Può essere definito una metodologia per la gestione della sicurezza IT. Vantaggi: ● Minimizzazione e controllo del rischio. ● Riduzione costi e delle violazioni di sicurezza IT. ● Riconoscimento vulnerabilità. ● Standardizzazione = vantaggio competitivo. ● Rafforzamento fiducia e soddisfazione con / degli stakeholder. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Qualità del software: ISO/IEC 25010 via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 Adeguatezza funzionale Performance Compatibilità Usabilità Affidabilità Sicurezza Manutenibilità Portabilità Completezza Correttezza Appropriatezza Tempo Risorse Capacità Coesistenza Interoperabilità Riconoscibilit à Apprendibilità Operabilità Protezione errori Estetica Accessibilità Maturità Disponibilità Tolleranza Ripristino Riservatezza Integrità Non ripudio Trasparenza Autenticità Modularità Riusabilità Analizzabilità Modificabilità Testabilità Adattabilità Installabilità Sostituibilità
ISO/IEC 25010 ● Sostituisce ISO/IEC 9126-1 del 1991-2001. Riprende alcune definizioni dello standard ISO 9241-X. ● Lo standard per le fasi di coding, test ed esercizio sia per Web App che per quelle di tipo conversazionale, comunicativo e operativo. ● Modello di qualità base ISO/IEC 25023 sulla misurazione della qualità del software e ISO/IEC 25051 sui requisiti e testing dei prodotti a scaffale (RUSP). ● Sviluppo, manutenzione, acquisto di software, assicurazione di qualità, revisione, valutazione, certificazione. ● Definizione di Qualità ○ interna, relativa a proprietà "statiche/strutturali" del software verificabili con analizzatori o ispezioni. ○ esterna, relativa a proprietà "dinamiche/comportamentali" del software verificabili in esecuzione in ambienti simulati. ○ in uso, relativa all'impatto del software sul campo verificabile nei contesti d'uso in ambienti simulati o reali, tenendo anche conto della partecipazione degli utenti e della User Experience. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Sicurezza parametro di qualità A cosa si riferisce? Il grado con cui un prodotto o sistema protegge le informazioni e i dati da persone, altri prodotti o sistemi che possiedono un grado di accesso ai dati appropriato al loro tipo e livello di autorizzazione. Si intuisce che la sicurezza contribuisce alla fiducia. ● Riservatezza: dato accessibile solo a chi è autorizzato. ● Integrità: prevenzione agli accessi o modifiche non autorizzati / e. ● Non ripudio: prova di paternità di un’azione o evento, che sottintende il non ripudio. ● Trasparenza (Accountability): tracciamento delle azioni intraprese da un’entità. ● Autenticità: prova di identità di un soggetto o di una risorsa. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Common Vulnerabilities and Exposure (CVE) via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 ● Gestito dal MITRE (ONG USA), organizza le vulnerabilità con un punteggio ● Database organizzato delle vulnerabilità riconosciute del software pubblico ○ e.g. Sistemi Operativi: Windows, kernel Linux ○ e.g. Content Management System: Drupal, Joomla, Wordpress ● Utilizza una serie di Authority riconosciute dal MITRE per inserire le vulnerabilità ● Richieste per vulnerabilità inserite dalla community di sviluppatori o ethical hacker (White Hat) ● Oggi 05/09/2018: 106477 vulnerabilità inserite ● Comprende il famoso U.S. National Vulnerability Database (NVD)
Common Weakness Enumeration (CWE) ● Gestito dal MITRE (ONG USA), organizza le debolezze con un punteggio ● Database organizzato delle debolezze di sicurezza causate da programmazione errata ○ e.g. lettura dati ○ e.g. scrittura dati ○ e.g. login ● Strutturato in categorie per sviluppatori, ricercatori e ingegneri del software ● Worst Practice che causano debolezze ● Oggi 05/09/2018: 716 debolezze inserite via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Open Web Application Security Project (OWASP) ● Fondazione USA (ONG) dal 2001, partecipano da tutto il mondo ● Propongono una metodologia (Framework) di sicurezza ● Si definiscono OPEN ○ la libertà dalle pressioni commerciali permette loro di fornire informazioni sulla sicurezza delle applicazioni che siano: imparziali, pratiche e a costo zero ○ offrono supporto alle aziende sull’uso della tecnologia di sicurezza in commercio e non sono affiliati a nessuna di loro ● Il materiale che producono è di libero accesso ○ Zed Attack Proxy (ZAP): strumento per ricercare automaticamente vulnerabilità ○ Top Ten: lista delle tipologie di vulnerabilità più sfruttate ○ Progetti di sviluppo: ModSecurity CRS e CSFRGuard. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Vulnerability Assessment ● Analisi continuativa dei sistemi (comprese le applicazioni) ○ Vengono definiti i target, i channel e i vector ● Ciclo di vita basato sul PDCA (Plan-Do-Check-Act): ○ Discover (Plan): raccolta delle informazioni sui sistemi e sull’azienda ○ Prioritize (Plan-Do): pianificazione dell’intervento, vengono definite le priorità in base al rischio supposto più alto ○ Asses (Do-Check): fase di controllo delle vulnerabilità e valutazione reale del rischio ○ Report (Check): si stilano le valutazioni e i rischi con un linguaggio comprensibile anche ai non addetti ○ Remediate (Act): si propongono gli interventi e si realizzano ○ Verify (Act-Plan): si riparte verificando i risultati e stilando le procedure per la nuova fase di discovery via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Vulnerability Assessment interno ed esterno ● Interno ○ Verifica dell'aggiornamento dei sistemi esposti ○ Sicurezza sugli attacchi mirati all’accesso diretto alla rete ○ Analisi interna alla / e sede / i dell’azienda ■ Rete Cloud privata ● Esterno ○ Verifica del livello di sicurezza dei sistemi esposti ○ Simulazione di attacco da una posizione fisica esterna alla rete aziendale ○ Analisi su servizi esposti alla rete internet ■ HTTP, SMTP, etc. ■ VPN ■ Rete Cloud pubblica ■ Ad hoc (su porte TCP o UDP) ○ Obblighi di legge (stakeholder, e.g. GDPR) via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Penetration Testing via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 ● Testing della sicurezza degli accessi alla rete interna: ○ sui sistemi (server interni, DMZ, etc.) ○ su applicativo (accesso a database, file di configurazione, etc.) ● Test continuativi (modifiche o aggiornamenti) ● Ciclo di vita (fase attiva 1, 2, 4 - fase passiva 3, 5, 6): ○ Information Gathering: si raccolgono informazioni dall’esterno ○ Threat modeling: si applicano metodi per l’identificazione delle minacce ○ Vulnerability Analysis: si analizzano le vulnerabilità per decidere come effettuare l’attacco ○ Exploitation: si effettua l’attacco con applicazione degli exploit ○ Post Exploitation: si analizza cosa è compromesso e si misura il danno ○ Reporting: si realizzano i report riassuntivi
Penetration Test su applicativo ● Risulta uno strumento laddove sia presente un’applicazione esposta o pubblicata sulla Internet. ● Quest’analisi viene svolta ricorrendo a sistemi semi-automatici solo nella fase iniziale: per essere completata, infatti, richiede capacità tecniche ed esperienza. ● La metodologia utilizzata è quella definita dal framework proposto da OWASP (Open Web Application Security Project). ● Verifica sui punti della OWASP top 10 (2017): ○ Injection - Presente dal 2003 ○ Broken Authentication - Presente dal 2003, mitigato il problema di Session Management ○ Sensitive Data Exposure ○ XML External Entities (XXE) ○ Broken Access Control - Presente dal 2003 ○ Security Misconfiguration ○ Cross-Site Scripting (XSS) - Presente dal 2003 ○ Insecure Deserialization ○ Using Components with Known Vulnerabilities ○ Insufficient Logging&Monitoring via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
VA vs PenTest via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 Grado di conoscenza degli attori: Target e Attacker ● VA -> Workflow generico ○ Molteplici metodologie e framework ■ e.g. NIST SP800 - 42 / 115, OSSTMM, OWASP ○ Si possono effettuare PenTest per il VA esterno ○ Analisi e report dettagliati (linguaggio meno tecnico) ○ Valutazione dei rischi e proposta soluzioni ○ Tipologie Tandem, Blind ● PenTest -> Workflow definito ○ Molteplici metodologie e framework (e.g. OSSTMM) ○ Report analitici non necessari ma consigliati (linguaggio tecnico) ○ Solo valutazioni, nessuna soluzione ○ Tipologie Double Blind
info@cybsec.it www.cybsec.it 080 - 8092051 via Pietro L. Laforgia 24, 70126 Bari

Recommended

Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Consulthinkspa
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Gli audit in ambito privacy
Gli audit in ambito privacyGli audit in ambito privacy
Gli audit in ambito privacyCSI Piemonte
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 

Recommended

Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Consulthinkspa
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Gli audit in ambito privacy
Gli audit in ambito privacyGli audit in ambito privacy
Gli audit in ambito privacyCSI Piemonte
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobiliLuca Moroni ✔✔
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3Luca Moroni ✔✔
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesSimone Onofri
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Luca Moroni ✔✔
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?CSI Piemonte
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 
Offensive security con strumenti open source
Offensive security con strumenti open sourceOffensive security con strumenti open source
Offensive security con strumenti open sourcePordenone LUG
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...uninfoit
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiEmerasoft, solutions to collaborate
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...festival ICT 2016
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeCONFINDUSTRIA TOSCANA NORD
 

More Related Content

What's hot

Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesSimone Onofri
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRLuca Moroni ✔✔
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Luca Moroni ✔✔
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Luca Moroni ✔✔
 
Offensive security con strumenti open source
Offensive security con strumenti open sourceOffensive security con strumenti open source
Offensive security con strumenti open sourcePordenone LUG
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...uninfoit
 

What's hot (17)

Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
 
Caso 3
Caso 3Caso 3
Caso 3
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
 
Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014Confindustria udine sicurezza in produzione 2014
Confindustria udine sicurezza in produzione 2014
 
Offensive security con strumenti open source
Offensive security con strumenti open sourceOffensive security con strumenti open source
Offensive security con strumenti open source
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 

Similar to Polino fiera dellevante

ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...festival ICT 2016
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeCONFINDUSTRIA TOSCANA NORD
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
 
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaGDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaStiip Srl
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
SMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaSMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaAndrea Patron
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2Dario Tion
 
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Par-Tec S.p.A.
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
DabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingDabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingPANTA RAY
 
Responsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tuttiResponsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tuttiTeam per la Trasformazione Digitale
 

Similar to Polino fiera dellevante (20)

ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
 
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
 
Cybersecurity 4.0
Cybersecurity 4.0Cybersecurity 4.0
Cybersecurity 4.0
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
 
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaGDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
 
SMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informaticaSMAU 2011 -Tra privacy sicurezza informatica
SMAU 2011 -Tra privacy sicurezza informatica
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2
 
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 
DabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingDabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum Meeting
 
Responsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tuttiResponsible disclosure. La sicurezza è responsabilità di tutti
Responsible disclosure. La sicurezza è responsabilità di tutti
 
Open Security
Open SecurityOpen Security
Open Security
 

More from Redazione InnovaPuglia

Piano triennale 2022-2024 - PRESNTAZIONE
Piano triennale 2022-2024 - PRESNTAZIONEPiano triennale 2022-2024 - PRESNTAZIONE
Piano triennale 2022-2024 - PRESNTAZIONERedazione InnovaPuglia
 
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdfPIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdfRedazione InnovaPuglia
 
Presentazione innovapuglia _settembre2016.pptx
Presentazione innovapuglia _settembre2016.pptxPresentazione innovapuglia _settembre2016.pptx
Presentazione innovapuglia _settembre2016.pptxRedazione InnovaPuglia
 
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre BariIntervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre BariRedazione InnovaPuglia
 
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre BariIntervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre BariRedazione InnovaPuglia
 
Chris neely the future of cyber security events 3
Chris neely the future of cyber security events 3Chris neely the future of cyber security events 3
Chris neely the future of cyber security events 3Redazione InnovaPuglia
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
The new frontiers of it in apulia experiences for global security paul dcruz ...
The new frontiers of it in apulia experiences for global security paul dcruz ...The new frontiers of it in apulia experiences for global security paul dcruz ...
The new frontiers of it in apulia experiences for global security paul dcruz ...Redazione InnovaPuglia
 
Intervento Danilo Caivano a International Business Forum
Intervento Danilo Caivano a International Business Forum Intervento Danilo Caivano a International Business Forum
Intervento Danilo Caivano a International Business Forum Redazione InnovaPuglia
 
Intervento Marco Angelini a International Business Forum
Intervento Marco Angelini a International Business Forum Intervento Marco Angelini a International Business Forum
Intervento Marco Angelini a International Business Forum Redazione InnovaPuglia
 
Intervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business ForumIntervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business ForumRedazione InnovaPuglia
 
The Social&Creative Community featured by TALIA project
The Social&Creative Community featured by TALIA projectThe Social&Creative Community featured by TALIA project
The Social&Creative Community featured by TALIA projectRedazione InnovaPuglia
 

More from Redazione InnovaPuglia (20)

Piano triennale 2022-2024 - PRESNTAZIONE
Piano triennale 2022-2024 - PRESNTAZIONEPiano triennale 2022-2024 - PRESNTAZIONE
Piano triennale 2022-2024 - PRESNTAZIONE
 
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdfPIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
 
Presentazione innovapuglia _settembre2016.pptx
Presentazione innovapuglia _settembre2016.pptxPresentazione innovapuglia _settembre2016.pptx
Presentazione innovapuglia _settembre2016.pptx
 
InnovaPuglia 2014 2018
InnovaPuglia 2014 2018InnovaPuglia 2014 2018
InnovaPuglia 2014 2018
 
InnovaPuglia: I primi due anni
InnovaPuglia: I primi due anniInnovaPuglia: I primi due anni
InnovaPuglia: I primi due anni
 
InnovaPuglia 2015
InnovaPuglia 2015InnovaPuglia 2015
InnovaPuglia 2015
 
Sird imm Presentazione regione puglia
Sird imm Presentazione regione pugliaSird imm Presentazione regione puglia
Sird imm Presentazione regione puglia
 
Presentazione InnovaPuglia 2021
Presentazione InnovaPuglia 2021Presentazione InnovaPuglia 2021
Presentazione InnovaPuglia 2021
 
Procedura bando innoprocess
Procedura bando innoprocessProcedura bando innoprocess
Procedura bando innoprocess
 
Presentazione innoprocess
Presentazione innoprocessPresentazione innoprocess
Presentazione innoprocess
 
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre BariIntervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
 
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre BariIntervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
 
Chris neely the future of cyber security events 3
Chris neely the future of cyber security events 3Chris neely the future of cyber security events 3
Chris neely the future of cyber security events 3
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
 
The new frontiers of it in apulia experiences for global security paul dcruz ...
The new frontiers of it in apulia experiences for global security paul dcruz ...The new frontiers of it in apulia experiences for global security paul dcruz ...
The new frontiers of it in apulia experiences for global security paul dcruz ...
 
Intervento Danilo Caivano a International Business Forum
Intervento Danilo Caivano a International Business Forum Intervento Danilo Caivano a International Business Forum
Intervento Danilo Caivano a International Business Forum
 
Intervento Marco Angelini a International Business Forum
Intervento Marco Angelini a International Business Forum Intervento Marco Angelini a International Business Forum
Intervento Marco Angelini a International Business Forum
 
Intervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business ForumIntervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business Forum
 
The Social&Creative Community featured by TALIA project
The Social&Creative Community featured by TALIA projectThe Social&Creative Community featured by TALIA project
The Social&Creative Community featured by TALIA project
 
Presentazione Marco Curci
Presentazione Marco Curci Presentazione Marco Curci
Presentazione Marco Curci
 

Polino fiera dellevante

  • 1. Qualità del software: Sicurezza Qualità del software: Sicurezza Standard e tecniche di analisi per la sicurezzaStandard e tecniche di analisi per la sicurezza www.cybsec.it via Pietro L. Laforgia, 24 - 70126 Bari +39 080 8092051 info@cybsec.it P.IVA 07951270722
  • 2. Sicurezza IT: ISO/IEC 27001 Permette di valutare attentamente i rischi per il business e le diverse tipologie di informazioni gestite. Evidenzia le aree in cui è necessario un miglioramento. Può essere definito una metodologia per la gestione della sicurezza IT. Vantaggi: ● Minimizzazione e controllo del rischio. ● Riduzione costi e delle violazioni di sicurezza IT. ● Riconoscimento vulnerabilità. ● Standardizzazione = vantaggio competitivo. ● Rafforzamento fiducia e soddisfazione con / degli stakeholder. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
  • 3. Qualità del software: ISO/IEC 25010 via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 Adeguatezza funzionale Performance Compatibilità Usabilità Affidabilità Sicurezza Manutenibilità Portabilità Completezza Correttezza Appropriatezza Tempo Risorse Capacità Coesistenza Interoperabilità Riconoscibilit à Apprendibilità Operabilità Protezione errori Estetica Accessibilità Maturità Disponibilità Tolleranza Ripristino Riservatezza Integrità Non ripudio Trasparenza Autenticità Modularità Riusabilità Analizzabilità Modificabilità Testabilità Adattabilità Installabilità Sostituibilità
  • 4. ISO/IEC 25010 ● Sostituisce ISO/IEC 9126-1 del 1991-2001. Riprende alcune definizioni dello standard ISO 9241-X. ● Lo standard per le fasi di coding, test ed esercizio sia per Web App che per quelle di tipo conversazionale, comunicativo e operativo. ● Modello di qualità base ISO/IEC 25023 sulla misurazione della qualità del software e ISO/IEC 25051 sui requisiti e testing dei prodotti a scaffale (RUSP). ● Sviluppo, manutenzione, acquisto di software, assicurazione di qualità, revisione, valutazione, certificazione. ● Definizione di Qualità ○ interna, relativa a proprietà "statiche/strutturali" del software verificabili con analizzatori o ispezioni. ○ esterna, relativa a proprietà "dinamiche/comportamentali" del software verificabili in esecuzione in ambienti simulati. ○ in uso, relativa all'impatto del software sul campo verificabile nei contesti d'uso in ambienti simulati o reali, tenendo anche conto della partecipazione degli utenti e della User Experience. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
  • 5. Sicurezza parametro di qualità A cosa si riferisce? Il grado con cui un prodotto o sistema protegge le informazioni e i dati da persone, altri prodotti o sistemi che possiedono un grado di accesso ai dati appropriato al loro tipo e livello di autorizzazione. Si intuisce che la sicurezza contribuisce alla fiducia. ● Riservatezza: dato accessibile solo a chi è autorizzato. ● Integrità: prevenzione agli accessi o modifiche non autorizzati / e. ● Non ripudio: prova di paternità di un’azione o evento, che sottintende il non ripudio. ● Trasparenza (Accountability): tracciamento delle azioni intraprese da un’entità. ● Autenticità: prova di identità di un soggetto o di una risorsa. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
  • 6. Common Vulnerabilities and Exposure (CVE) via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 ● Gestito dal MITRE (ONG USA), organizza le vulnerabilità con un punteggio ● Database organizzato delle vulnerabilità riconosciute del software pubblico ○ e.g. Sistemi Operativi: Windows, kernel Linux ○ e.g. Content Management System: Drupal, Joomla, Wordpress ● Utilizza una serie di Authority riconosciute dal MITRE per inserire le vulnerabilità ● Richieste per vulnerabilità inserite dalla community di sviluppatori o ethical hacker (White Hat) ● Oggi 05/09/2018: 106477 vulnerabilità inserite ● Comprende il famoso U.S. National Vulnerability Database (NVD)
  • 7. Common Weakness Enumeration (CWE) ● Gestito dal MITRE (ONG USA), organizza le debolezze con un punteggio ● Database organizzato delle debolezze di sicurezza causate da programmazione errata ○ e.g. lettura dati ○ e.g. scrittura dati ○ e.g. login ● Strutturato in categorie per sviluppatori, ricercatori e ingegneri del software ● Worst Practice che causano debolezze ● Oggi 05/09/2018: 716 debolezze inserite via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
  • 8. Open Web Application Security Project (OWASP) ● Fondazione USA (ONG) dal 2001, partecipano da tutto il mondo ● Propongono una metodologia (Framework) di sicurezza ● Si definiscono OPEN ○ la libertà dalle pressioni commerciali permette loro di fornire informazioni sulla sicurezza delle applicazioni che siano: imparziali, pratiche e a costo zero ○ offrono supporto alle aziende sull’uso della tecnologia di sicurezza in commercio e non sono affiliati a nessuna di loro ● Il materiale che producono è di libero accesso ○ Zed Attack Proxy (ZAP): strumento per ricercare automaticamente vulnerabilità ○ Top Ten: lista delle tipologie di vulnerabilità più sfruttate ○ Progetti di sviluppo: ModSecurity CRS e CSFRGuard. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
  • 9. Vulnerability Assessment ● Analisi continuativa dei sistemi (comprese le applicazioni) ○ Vengono definiti i target, i channel e i vector ● Ciclo di vita basato sul PDCA (Plan-Do-Check-Act): ○ Discover (Plan): raccolta delle informazioni sui sistemi e sull’azienda ○ Prioritize (Plan-Do): pianificazione dell’intervento, vengono definite le priorità in base al rischio supposto più alto ○ Asses (Do-Check): fase di controllo delle vulnerabilità e valutazione reale del rischio ○ Report (Check): si stilano le valutazioni e i rischi con un linguaggio comprensibile anche ai non addetti ○ Remediate (Act): si propongono gli interventi e si realizzano ○ Verify (Act-Plan): si riparte verificando i risultati e stilando le procedure per la nuova fase di discovery via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
  • 10. Vulnerability Assessment interno ed esterno ● Interno ○ Verifica dell'aggiornamento dei sistemi esposti ○ Sicurezza sugli attacchi mirati all’accesso diretto alla rete ○ Analisi interna alla / e sede / i dell’azienda ■ Rete Cloud privata ● Esterno ○ Verifica del livello di sicurezza dei sistemi esposti ○ Simulazione di attacco da una posizione fisica esterna alla rete aziendale ○ Analisi su servizi esposti alla rete internet ■ HTTP, SMTP, etc. ■ VPN ■ Rete Cloud pubblica ■ Ad hoc (su porte TCP o UDP) ○ Obblighi di legge (stakeholder, e.g. GDPR) via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
  • 11. Penetration Testing via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 ● Testing della sicurezza degli accessi alla rete interna: ○ sui sistemi (server interni, DMZ, etc.) ○ su applicativo (accesso a database, file di configurazione, etc.) ● Test continuativi (modifiche o aggiornamenti) ● Ciclo di vita (fase attiva 1, 2, 4 - fase passiva 3, 5, 6): ○ Information Gathering: si raccolgono informazioni dall’esterno ○ Threat modeling: si applicano metodi per l’identificazione delle minacce ○ Vulnerability Analysis: si analizzano le vulnerabilità per decidere come effettuare l’attacco ○ Exploitation: si effettua l’attacco con applicazione degli exploit ○ Post Exploitation: si analizza cosa è compromesso e si misura il danno ○ Reporting: si realizzano i report riassuntivi
  • 12. Penetration Test su applicativo ● Risulta uno strumento laddove sia presente un’applicazione esposta o pubblicata sulla Internet. ● Quest’analisi viene svolta ricorrendo a sistemi semi-automatici solo nella fase iniziale: per essere completata, infatti, richiede capacità tecniche ed esperienza. ● La metodologia utilizzata è quella definita dal framework proposto da OWASP (Open Web Application Security Project). ● Verifica sui punti della OWASP top 10 (2017): ○ Injection - Presente dal 2003 ○ Broken Authentication - Presente dal 2003, mitigato il problema di Session Management ○ Sensitive Data Exposure ○ XML External Entities (XXE) ○ Broken Access Control - Presente dal 2003 ○ Security Misconfiguration ○ Cross-Site Scripting (XSS) - Presente dal 2003 ○ Insecure Deserialization ○ Using Components with Known Vulnerabilities ○ Insufficient Logging&Monitoring via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
  • 13. VA vs PenTest via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 Grado di conoscenza degli attori: Target e Attacker ● VA -> Workflow generico ○ Molteplici metodologie e framework ■ e.g. NIST SP800 - 42 / 115, OSSTMM, OWASP ○ Si possono effettuare PenTest per il VA esterno ○ Analisi e report dettagliati (linguaggio meno tecnico) ○ Valutazione dei rischi e proposta soluzioni ○ Tipologie Tandem, Blind ● PenTest -> Workflow definito ○ Molteplici metodologie e framework (e.g. OSSTMM) ○ Report analitici non necessari ma consigliati (linguaggio tecnico) ○ Solo valutazioni, nessuna soluzione ○ Tipologie Double Blind
  • 14. info@cybsec.it www.cybsec.it 080 - 8092051 via Pietro L. Laforgia 24, 70126 Bari