SlideShare a Scribd company logo

Agile nei servizi di cyber security (Security Summit Edition)

Simone Onofri
Simone Onofri

Nello scenario attuale Agile è una delle carte vincenti per offrire ai propri Clienti servizi di Cyber Security che generano il loro valore in poco tempo. Durante lo speech, dopo una breve introduzione, sarà descritta - tramite esempi e casi reali - la metodologia utilizzata in un contesto internazionale per i progetti di Security Testing ed Ethical Hacking.

Internet
1 of 33
© DXC 2017 June 11, 2017 Agile nei servizi di Cyber Security (Security Summit Edition) Fabrizio Tocci Simone Onofri
© DXC 2017 June 11, 2017 Simone Onofri Cyber Defense Lead per l’Europa Sud @ DXC Fabrizio Tocci PM Lead per i Security Advisory Services per l’Europa Sud @ DXC
June 11, 2017 3© DXC 2017 Thrive on change CSC e HPE Enterprise Services hanno innovato clienti per più di 60 anni Insieme, lavoriamo per circa 6000 clienti pubblici e privati in più di 70 paesi I nostri clienti ottengono benefici dall’indipendenza tecnologica, talenti in tutto il mondo, dalla nostra esperienza e dalla nostra ampia rete di partner Siamo in una posizione unica per guidare le trasformazioni digitali, creare maggiore valore per le nostre persone, i nostri clienti e i nostri partner DXC Technology è un’azienda leader per servizi IT end-to-end. Guidiamo i clienti nelle loro trasformazioni digitali, moltiplicando le loro capability, aiutandoli a sfruttare la potenza dell’innovazione e a capitalizzare sul cambiamento.
June 11, 2017 4© DXC 2017 DXC Technology a colpo d’occhio $25B LEADER GLOBALE PER I SERVIZI IT 250+PARTNER 60+ANNI DI INNOVAZIONE DIPDENDENTI IN TUTTO IL MONDO 170,000+ 91DATA CENTER PAESI 70+ PROJECT MANAGER CERTIFICATI 3,600+37DELIVERY CENTER STRATEGICI ~6,000CLIENTI Più di 200 aziende Fortune 50014 STRATEGIC PARTNERS
June 11, 2017 5© DXC 2017 Agenda 1. I servizi di Cyber Security 2. Perché Agile in un contesto Enterprise 3. Esempio di applicazione di Agile su un progetto di Cyber Security 4. Conclusioni
June 11, 2017 6© DXC 2017 I servizi di Cyber Security
June 11, 2017 7© DXC 2017 “ http://cc.tifrh.res.in/webdata/documents/events/facilities/IT_act_2008.pdf La Cyber Security è la protezione delle informazioni che vengono utilizzate su dispositivi tecnologici (e.g. computer, telefoni, IoT, reti). Protezione dall’accesso non autorizzato, dall’abuso, dalla perdita, dalla modifica o la distruzione’’ Definizione ispirata a “The Information Technology ACT, 2008”
June 11, 2017 8© DXC 2017 Identificare cosa proteggere Proteggere il valore Indagare gli attacchi quanto prima Reagire propriamente alle minacce Riparare i danni e l’erogazione Il Framework per la Cyber Security https://www.files.ethz.ch/isn/130080/Russia-U%20S%20%20bilateral%20on%20terminology%20v76%20(2)-1.pdf https://www.nist.gov/sites/default/files/documents/2017/01/30/draft-cybersecurity-framework-v1.1.pdf Asset Management Security Governance Risk Assessment / Management (…vulnerability information is received from information sharing forums and sources) Identity and Access Management Awareness and Training Data Security / Information Protection (vulnerability management plan is developed and implemented) Maintenance & Protective Technology Anomalies and Events Security Continuous Monitoring (Vulnerability scans are performed) Detection Response Planning Communications Analysis Mitigation (Newly identified vulnerabilities are mitigated or documented as accepted risks) Recovery Planning Improvements Communications
June 11, 2017 9© DXC 2017 Raccomandazioni dal Framework Nazionale per la Cyber Security Attività di threat modeling, vulnerability assessment e penetration testing permettono di identificare le debolezze dei propri sistemi […] e per questo se ne raccomanda l’introduzione […] Nonostante questo documento non preveda un controllo dedicato in modo specifico a questo aspetto, riteniamo che questo punto debba gradualmente entrare a far parte delle normali routine di controllo dei sistemi delle imprese. È molto importante, e ampiamente rimarcato dagli esperti che hanno partecipato alla consultazione pubblica, una estensiva fase di controllo, monitoraggio e valutazione delle vulnerabilità dei propri asset aziendali.
June 11, 2017 10© DXC 2017 Un Penetration Test è un metodo per la valutazione della sicurezza tramite la simulazione di un attacco dall’interno o dall’esterno’’ Definizione di Penetration Test ispirata al CREST “
@ DXC 2017 Physical Human COMSEC SPECEC PHYSEC Web APPSEC Mobile IoT Asset Telco Data Networks WiFi Inspired by the ISECOM HHS
June 11, 2017 12© DXC 2017 «Un Vulnerability Assessment è un metodo per la valutazione della sicurezza tramite l’utilizzo di strumenti automatici che permettono l’identificazione di vulnerabilità note e comuni nella configurazione di un sistema» Definizione di Vulnerability Assessment ispirata al CREST
June 11, 2017 13© DXC 2017 Attività a confronto Scopo Modalità di esecuzione Sono utilizzati per validare il livello minimo di sicurezza e come precursori dei Penetration Test. Orientato ad una «lista di vulnerabilità note» Tempistiche Utilizzo di strumenti automatici. Trovano le vulnerabilità e comuni e già note (e.g. mis-configurazioni o componenti non aggiornati). Poco tempo, tipicamente minuti o ore per i sistemi; ore o giorni per le applicazioni. Sono utilizzati come simulazione di un attacco reale, dimostrando l’effettiva efficacia del controlli di sicurezza di un ambiente specifico in un determinato momento. Orientato all’obiettivo. Giorni o settimane, secondo la complessità del bersaglio. Approccio manuale che non si limita alla sola rimozione dei falsi positivi e vanno più in profondità di un VA. Si possono usare strumenti automatici. Normalmente si sviluppano strumenti ad-hoc. Vulnerability Assessment Penetration Test
June 11, 2017 14DXC Proprietary and Confidential Benefici dei Penetration Test • Trovare vulnerabilità su software, applicazioni, processi, persone per capire: • Le vulnerabilità prima che vengano sfruttate da un attaccante malevolo. • Come mitigarle e quali controlli implementare. • Se i controlli implementati lo siano maniera efficace. • Evitare danni alla reputazione, perdite economiche o d’immagine ecc…
June 11, 2017 15© DXC 2017 Perché Agile in un contesto Enterprise
June 11, 2017 16© DXC 2017 Vantaggi dell’essere Agili: più successo FY2011-2015 CHAOS Report (Progetti Software) 39% 11% 52% 60% 9% 29% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Agile Waterfall Hanno successo Sfidanti Falliti
June 11, 2017 17© DXC 2017 Vantaggi dell’essere Agili: Benefici Reattività al cambiamento Massimizzazione del valore Più soddisfazione da parte dei Clienti Cultura basata sulla collaborazione Risultati finali di alta qualità Persone più motivate Migliore percezione da parte dei Clienti
June 11, 2017 18© DXC 2017 Esempio di applicazione di Agile su un progetto di Cyber Security
June 11, 2017 19© DXC 2017 Come si struttura un Penetration Test: Livello di progetto Si inizia con la Request For Proposal (RFP), con requisiti di alto livello. Il primo prodotto è la Proposal del Fornitore con stima di tempi e costi . Si inizia quando la proposta è accettata. Insieme al Cliente si fa una Pianificazione di alto livello e tecnica almeno della prima fase di consegna. E’ necessario avere dei documenti legali firmati: CoA e NdA. Nelle fasi di consegna si svolgono le attività tecniche secondo le metodologie specialistiche necessarie per l’attività specifica. Ad ogni limite di fase si raccoglie il feedback e si pianifica/rivaluta il lavoro successivo. Nella chiusura produciamo della documentazione di gestione che ci permette di fatturare, confermiamo i prodotti consegnati e procediamo con la distruzione delle informazioni sensibili in nostro possesso. Avvio del Progetto Inizio del Progetto Fasi di consegna Chiusura del Progetto I processi utilizzati sono quelli di PRINCE2(R) in una configurazione Agile.
June 11, 2017 20© DXC 2017 Come si struttura un Penetration Test: Livello tecnico-specialistico di una Fase di Consegna Discovery Attack Ottenimento dell’accesso al sistema Escalation dei privilegi Raccolta delle informazioni sul sistema Installazione di ulteriori strumenti sul sistema Planning Reporting InizioProgetto/ Finefaseprec. Fasetecnica (1parte) Fasetecnica (2parte) Inspired by NIST SP-800-115
June 11, 2017 21© DXC 2017 Il caso d’esempio: Penetration Test su diversi bersagli Dettagli sul progetto Attività di Penetration Testing Richiesti 8 deliverable complessi Parti coinvolte sul progetto Cliente nel settore Banking / Insuriance Requisiti iniziali Fornitore: team interno (Sales, Pre-sales, Account & Financial Management, PMO, Delivery) e team esterno (altri fornitori) Cliente: team interno (Sicurezza, IT); team esterno (altri fornitori) Budget limitato Deadline definite dall’alto RFP senza informazioni rilevanti/non disponibili al Cliente
June 11, 2017 22DXC Proprietary and Confidential Mission Impossible La prima opinione della struttura di Delivery anche in relazione al budget disponibile durante la fase di offerta. La soluzione accettata da tutto il team è stata l’utilizzo del «timeboxing»
June 11, 2017 23© DXC 2017 Timeboxing e Penetration Testing • Il Penetration Test - per sua natura - è un processo iterativo[1] che ha lo scopo di ottenere, passo dopo passo, il controllo totale del bersaglio e ben si presta al timeboxing. • Dal tempo a disposizione dipendono il numero di iterazioni, la profondità e l’ampiezza della valutazione. • E’ sempre importante considerare che un attaccante reale ha in media 146 giorni per portare avanti l’attacco prima che venga scoperto[2]. [1] NIST SP-800-115 [2] Mandiant M-Trends 2016 • La timebox è un intervallo di tempo prefissato, una finestra temporale in cui viene creato un incremento di progetto rilasciabile, potenzialmente utilizzabile.
June 11, 2017 24© DXC 2017 Consigli per le stime Considerare che le persone siano produttive per circa l’80% del loro tempo. Le persone che lavorano su diversi progetti contemporaneamente ci metteranno più tempo per eseguire le loro attività, considerando il tempo che viene perso per passare ad attività diverse. Normalmente le persone sono ottimiste nel fare le stime, quindi sottostimano. Stimare usando l’esperienza propria e del resto del team. Assicurarsi che la persona responsabile della creazione del deliverable sia la stessa che fa la stima. Considerare sempre del tempo per il problem-solving, le riunioni e gli imprevisti. Stimare la singola attività più che provare a stimare tutto insieme. Comunicare tutte le assunzioni, esclusioni e i vincoli quando si presenta la stima.
June 11, 2017 25© DXC 2017 Avvio: stesura della proposta facendo una stima di massima e verificandone la fattibilità Deliverable Cosa è stato importante Cosa è successo Creazione del team: relativo ad una practice che ha le caratteristiche necessarie: dinamicità dell’offerta, tipologia delle opportunità, ripetitività delle proposte, maturità del team. Il team è composto solo lato fornitore da persone provenienti da Delivery, PMO, Sales, Presales, Account & Financial Management. Definizione del business case: del fornitore, rendendolo compatibile con quello del Cliente Proposal: abbiamo prodotto il documento di Proposal analizzando l’RFP, capendo i benefici che voleva ottenere il Cliente, quindi stima dell’effort (Delivery), economics (Sales), stesura del documento (Presales) e su come gestire la governance (Account & Financial Management) e il progetto (PMO). Collaborare: come un unico team inter-funzionale. Sviluppo iterativo/incrementale: lavorando per brevi iterazioni, rilasciando sempre qualcosa (e.g. effort, cost, price, documento in bozza/rivisto). Divide et impera: a livello di progetto, abbiamo diviso in elementi di delivery più piccoli. La giornata tipica: • Stand-up e brainstorming giornaliero con chi sta lavorando al progetto. • Allineamento settimanale con tutto il team o nei momenti di revisione del lavoro svolto.
June 11, 2017 26© DXC 2017 Documento di ambito: Contiene tutte le informazioni relative ai test e la pianificazione. E’ un documento «vivo» in quanto Agile. Non contiene solo il piano di lavoro ma tutti i dettagli (approccio al rischio, alla comunicazione ecc…) Cominciano i cambiamenti: una volta accettata la proposta, il team cambia. Ci salutano i colleghi Sales e Presales ed entrano nel team più persone di delivery che dovranno poi eseguire l’attività. Kick-Off con il cliente: anzitutto incontriamo fisicamente il Cliente. Revisioniamo in maniera critica i deliverable, i fattori di rischio, i tempi e le priorità (considerando in particolare le timebox), i controlli di progetto (e.g. monitoraggio e controllo, accettazione dei deliverable) e le come gestire la parte legale (e.g. mettendo in contatto i reparti legali di ambo le parti). Definizione della Governance interna: anche in un contesto Agile è importante la governance che sta «sopra» al progetto, abbiamo richiesto degli interventi in momenti specifici e formali con la nostra struttura di Account Management, come da processi interni. Inizio: il Cliente accetta la proposta e il nostro scopo è condividere l’approccio e pianificare Deliverable Collaborazione: coinvolgimento del team Cliente- Fornitore per creare «cultura» a garanzia della ripetibilità dell’approccio. Tutte le persone erano già assegnate ad altre attività. Focalizzazione sul business: coinvolgendo il Cliente per dare la priorità ai vari deliverable. Cosa è stato importante Cosa è successo
June 11, 2017 27© DXC 2017 Il Piano iniziale di alto livello W01 W02 W03 W04 W05 W06 W07 W08 W09 W10 W11 W12 W13 W14 W15 W14 W15 Inizio Att #3 Fasi di consegna Att #1 Att #7 Att #4 Att #2 Att #6 Att #5 Att #8 Prep. Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Closure
June 11, 2017 28© DXC 2017 Presupposizioni al piano: le attività preparatorie – in particolare quelle che hanno richiesto il coinvolgimento dei legali – hanno richiesto più tempo del previsto. Cambio di percorso: delle attività desiderate che richiedevano il coinvolgimento di determinati fornitori: nel caso migliore è stato necessario far slittare la i tempi; nel caso peggiore le attività non erano più fattibili. Importanza dei benefici: col Cliente ci siamo concentrati su come ottenere ugualmente i benefici desiderati cambiando le attività o modificandole e definendo delle priorità in caso di tempi ridotti. Gestione del tempo: anticipazione delle attività indipendenti; per quelle slittate, anticipazione giornaliera dei risultati, così da avere i benefici quanto prima. Risultati delle attività di cui: - Confermati: 4 consegnati secondo quanto pianificato o in anticipo. - Sostituiti: 2 realizzazione non praticabile e sostituiti con altri. - Modificati: 2 parzialmente modificati. Fasi di consegna Deliverable Cosa è stato importante Cosa è successo Focalizzarsi sui benefici: e non sui deliverable «in se» o sulle singole attività. Lo scopo di un Penetration Test infatti è di valutare la sicurezza di un determinato bersaglio. E la valutazione si può eseguire secondo diversi tipi di test.
June 11, 2017 29© DXC 2017 Come è stata strutturata la singola attività I Tester concordano che l’attività tecnica durerà quindi 8 giornate, il Team Lead concorda col Cliente la clausola della Timebox con l’accordo di allinearsi verso la fine della giornata per anticipare risultati e definire le priorità. Ogni mattina i tester fanno una chiamata su skype di massimo 15 minuti dove insieme dicono cosa hanno trovato, dubbi e riflessioni, impedimenti che hanno riscontrato e che in caso di necessità sono portati all’attenzione del Project Manager. * Le «quick-win» o «low-hanging-fruits» sono quelle vulnerabilità facili da trovare e/o da sfruttare che hanno un impatto alto Kick-Off Close-Out 1.5gg - Investigation Concentrarsi sulla raccolta di informazioni ed eventuali quick- win* 1.5 gg . Consolidation Consolidamento dei risultati e raccolta delle evidenze, inizio stesura del report 5gg - Refinement Attacchi dai più semplici a più complessi, sfruttamento di vulnerabilità
June 11, 2017 30© DXC 2017 Il Piano finale di alto livello W01 W02 W03 W04 W05 W06 W07 W08 W09 W10 W11 W12 W13 W14 W15 W14 W15 Inizio Att #3 Fasi di consegna Att #1 Att #7 Att #4 Att #2 Att #6 Att #5 Att #8 Prep. Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Closure Att #9 Att #10
June 11, 2017 31© DXC 2017 Conclusioni
June 11, 2017 32© DXC 2017 Eccellenza in Agilità Il Cliente ha risposto al questionario del Net Promoter Score ed è risultato essere un Promotore. Le persone sono il fattore chiave Le persone sono il fattore chiave per l’adozione dell’”Agile thinking”. La cultura tipicamente basata su processi e cavilli legali deve cambiare. Lezioni apprese Importanza nel Business Agile è un modello di riferimento per i servizi di Cyber Security, in particolare nei progetti sfidanti.
@ DXC 2017 Grazie.

Recommended

Security Project Management - Agile nei servizi di Cyber Security
Security Project Management - Agile nei servizi di Cyber SecuritySecurity Project Management - Agile nei servizi di Cyber Security
Security Project Management - Agile nei servizi di Cyber SecuritySimone Onofri
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesSimone Onofri
 
Agile Project Framework
Agile Project FrameworkAgile Project Framework
Agile Project FrameworkSimone Onofri
 
Agile e Lean Management
Agile e Lean Management Agile e Lean Management
Agile e Lean ManagementSimone Onofri
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 
Agile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e KanbanAgile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e KanbanSimone Onofri
 
La salute del software
La salute del softwareLa salute del software
La salute del softwareGuido Pederzini
 
Lean anche io! No tu no! - Italian Agile Days 2013
Lean anche io! No tu no! - Italian Agile Days 2013Lean anche io! No tu no! - Italian Agile Days 2013
Lean anche io! No tu no! - Italian Agile Days 2013Andrea Scavolini
 

Recommended

Security Project Management - Agile nei servizi di Cyber Security
Security Project Management - Agile nei servizi di Cyber SecuritySecurity Project Management - Agile nei servizi di Cyber Security
Security Project Management - Agile nei servizi di Cyber SecuritySimone Onofri
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesSimone Onofri
 
Agile Project Framework
Agile Project FrameworkAgile Project Framework
Agile Project FrameworkSimone Onofri
 
Agile e Lean Management
Agile e Lean Management Agile e Lean Management
Agile e Lean ManagementSimone Onofri
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 
Agile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e KanbanAgile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e KanbanSimone Onofri
 
La salute del software
La salute del softwareLa salute del software
La salute del softwareGuido Pederzini
 
Lean anche io! No tu no! - Italian Agile Days 2013
Lean anche io! No tu no! - Italian Agile Days 2013Lean anche io! No tu no! - Italian Agile Days 2013
Lean anche io! No tu no! - Italian Agile Days 2013Andrea Scavolini
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
6 presentazione lagioia-finale-n2
6 presentazione lagioia-finale-n26 presentazione lagioia-finale-n2
6 presentazione lagioia-finale-n2Redazione InnovaPuglia
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxUNI - Ente Italiano di Normazione
 
Abilitare le organizzazioni e le persone ad adottare con successo il Cloud
Abilitare le organizzazioni e le persone ad adottare con successo il CloudAbilitare le organizzazioni e le persone ad adottare con successo il Cloud
Abilitare le organizzazioni e le persone ad adottare con successo il CloudAmazon Web Services
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected frameworkRauno De Pasquale
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint OverviewLeonardo Antichi
 
Introduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentIntroduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentPaolo Sammicheli
 
Building infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdkBuilding infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdkAndrea Valentini
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecMaurizio Quattrociocchi
 
Debito Tecnico Questo Sconosciuto
Debito Tecnico Questo SconosciutoDebito Tecnico Questo Sconosciuto
Debito Tecnico Questo Sconosciutoinspearit Italy
 
Introduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentIntroduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentPaolo Sammicheli
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017SMAU
 
Workshop Ideare e creare Web Applications, Introduzione ad AngularJS
Workshop Ideare e creare Web Applications, Introduzione ad AngularJSWorkshop Ideare e creare Web Applications, Introduzione ad AngularJS
Workshop Ideare e creare Web Applications, Introduzione ad AngularJSGiovanni Buffa
 
Cloud Computing: La nuvola intelligente 2016
Cloud Computing: La nuvola intelligente 2016Cloud Computing: La nuvola intelligente 2016
Cloud Computing: La nuvola intelligente 2016Lorenzo Carnevale
 
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Simone Onofri
 
Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day Simone Onofri
 

More Related Content

Similar to Agile nei servizi di cyber security (Security Summit Edition)

Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
Abilitare le organizzazioni e le persone ad adottare con successo il Cloud
Abilitare le organizzazioni e le persone ad adottare con successo il CloudAbilitare le organizzazioni e le persone ad adottare con successo il Cloud
Abilitare le organizzazioni e le persone ad adottare con successo il CloudAmazon Web Services
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected frameworkRauno De Pasquale
 
Introduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentIntroduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentPaolo Sammicheli
 
Building infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdkBuilding infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdkAndrea Valentini
 
Debito Tecnico Questo Sconosciuto
Debito Tecnico Questo SconosciutoDebito Tecnico Questo Sconosciuto
Debito Tecnico Questo Sconosciutoinspearit Italy
 
Introduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentIntroduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentPaolo Sammicheli
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017SMAU
 
Workshop Ideare e creare Web Applications, Introduzione ad AngularJS
Workshop Ideare e creare Web Applications, Introduzione ad AngularJSWorkshop Ideare e creare Web Applications, Introduzione ad AngularJS
Workshop Ideare e creare Web Applications, Introduzione ad AngularJSGiovanni Buffa
 
Cloud Computing: La nuvola intelligente 2016
Cloud Computing: La nuvola intelligente 2016Cloud Computing: La nuvola intelligente 2016
Cloud Computing: La nuvola intelligente 2016Lorenzo Carnevale
 

Similar to Agile nei servizi di cyber security (Security Summit Edition) (20)

Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
 
6 presentazione lagioia-finale-n2
6 presentazione lagioia-finale-n26 presentazione lagioia-finale-n2
6 presentazione lagioia-finale-n2
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
 
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
 
Abilitare le organizzazioni e le persone ad adottare con successo il Cloud
Abilitare le organizzazioni e le persone ad adottare con successo il CloudAbilitare le organizzazioni e le persone ad adottare con successo il Cloud
Abilitare le organizzazioni e le persone ad adottare con successo il Cloud
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected framework
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Introduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentIntroduzione all'Agile Software Development
Introduzione all'Agile Software Development
 
Building infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdkBuilding infrastructure as code with typescript and aws cdk
Building infrastructure as code with typescript and aws cdk
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSec
 
Debito Tecnico Questo Sconosciuto
Debito Tecnico Questo SconosciutoDebito Tecnico Questo Sconosciuto
Debito Tecnico Questo Sconosciuto
 
Introduzione all'Agile Software Development
Introduzione all'Agile Software DevelopmentIntroduzione all'Agile Software Development
Introduzione all'Agile Software Development
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
 
Workshop Ideare e creare Web Applications, Introduzione ad AngularJS
Workshop Ideare e creare Web Applications, Introduzione ad AngularJSWorkshop Ideare e creare Web Applications, Introduzione ad AngularJS
Workshop Ideare e creare Web Applications, Introduzione ad AngularJS
 
Cloud Computing: La nuvola intelligente 2016
Cloud Computing: La nuvola intelligente 2016Cloud Computing: La nuvola intelligente 2016
Cloud Computing: La nuvola intelligente 2016
 

More from Simone Onofri

Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Simone Onofri
 
Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day Simone Onofri
 
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deploymentAttacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deploymentSimone Onofri
 
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con LinuxLinux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con LinuxSimone Onofri
 
Agile Lean Conference 2017 - Leadership e facilitazione
Agile Lean Conference 2017 - Leadership e facilitazioneAgile Lean Conference 2017 - Leadership e facilitazione
Agile Lean Conference 2017 - Leadership e facilitazioneSimone Onofri
 
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...Simone Onofri
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Cyber Defense - How to be prepared to APT
Cyber Defense - How to be prepared to APTCyber Defense - How to be prepared to APT
Cyber Defense - How to be prepared to APTSimone Onofri
 
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...Simone Onofri
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
 
Penetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network SnifferPenetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network SnifferSimone Onofri
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaHackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaSimone Onofri
 
Agile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & BusinessAgile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & BusinessSimone Onofri
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaSimone Onofri
 
Lean Startup Machine - Rome - Agile e Lean Project Management
Lean Startup Machine - Rome - Agile e Lean Project ManagementLean Startup Machine - Rome - Agile e Lean Project Management
Lean Startup Machine - Rome - Agile e Lean Project ManagementSimone Onofri
 
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service ManagementITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service ManagementSimone Onofri
 
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...Simone Onofri
 
TEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieTEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieSimone Onofri
 

More from Simone Onofri (20)

Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
 
Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day
 
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deploymentAttacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
 
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con LinuxLinux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
 
Agile Lean Conference 2017 - Leadership e facilitazione
Agile Lean Conference 2017 - Leadership e facilitazioneAgile Lean Conference 2017 - Leadership e facilitazione
Agile Lean Conference 2017 - Leadership e facilitazione
 
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
Cyber Defense - How to be prepared to APT
Cyber Defense - How to be prepared to APTCyber Defense - How to be prepared to APT
Cyber Defense - How to be prepared to APT
 
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
 
Penetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network SnifferPenetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network Sniffer
 
ORM Injection
ORM InjectionORM Injection
ORM Injection
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
 
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaHackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
 
Agile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & BusinessAgile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & Business
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e Difesa
 
Lean Startup Machine - Rome - Agile e Lean Project Management
Lean Startup Machine - Rome - Agile e Lean Project ManagementLean Startup Machine - Rome - Agile e Lean Project Management
Lean Startup Machine - Rome - Agile e Lean Project Management
 
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service ManagementITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
 
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
 
TEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieTEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
 

Agile nei servizi di cyber security (Security Summit Edition)

  • 1. © DXC 2017 June 11, 2017 Agile nei servizi di Cyber Security (Security Summit Edition) Fabrizio Tocci Simone Onofri
  • 2. © DXC 2017 June 11, 2017 Simone Onofri Cyber Defense Lead per l’Europa Sud @ DXC Fabrizio Tocci PM Lead per i Security Advisory Services per l’Europa Sud @ DXC
  • 3. June 11, 2017 3© DXC 2017 Thrive on change CSC e HPE Enterprise Services hanno innovato clienti per più di 60 anni Insieme, lavoriamo per circa 6000 clienti pubblici e privati in più di 70 paesi I nostri clienti ottengono benefici dall’indipendenza tecnologica, talenti in tutto il mondo, dalla nostra esperienza e dalla nostra ampia rete di partner Siamo in una posizione unica per guidare le trasformazioni digitali, creare maggiore valore per le nostre persone, i nostri clienti e i nostri partner DXC Technology è un’azienda leader per servizi IT end-to-end. Guidiamo i clienti nelle loro trasformazioni digitali, moltiplicando le loro capability, aiutandoli a sfruttare la potenza dell’innovazione e a capitalizzare sul cambiamento.
  • 4. June 11, 2017 4© DXC 2017 DXC Technology a colpo d’occhio $25B LEADER GLOBALE PER I SERVIZI IT 250+PARTNER 60+ANNI DI INNOVAZIONE DIPDENDENTI IN TUTTO IL MONDO 170,000+ 91DATA CENTER PAESI 70+ PROJECT MANAGER CERTIFICATI 3,600+37DELIVERY CENTER STRATEGICI ~6,000CLIENTI Più di 200 aziende Fortune 50014 STRATEGIC PARTNERS
  • 5. June 11, 2017 5© DXC 2017 Agenda 1. I servizi di Cyber Security 2. Perché Agile in un contesto Enterprise 3. Esempio di applicazione di Agile su un progetto di Cyber Security 4. Conclusioni
  • 6. June 11, 2017 6© DXC 2017 I servizi di Cyber Security
  • 7. June 11, 2017 7© DXC 2017 “ http://cc.tifrh.res.in/webdata/documents/events/facilities/IT_act_2008.pdf La Cyber Security è la protezione delle informazioni che vengono utilizzate su dispositivi tecnologici (e.g. computer, telefoni, IoT, reti). Protezione dall’accesso non autorizzato, dall’abuso, dalla perdita, dalla modifica o la distruzione’’ Definizione ispirata a “The Information Technology ACT, 2008”
  • 8. June 11, 2017 8© DXC 2017 Identificare cosa proteggere Proteggere il valore Indagare gli attacchi quanto prima Reagire propriamente alle minacce Riparare i danni e l’erogazione Il Framework per la Cyber Security https://www.files.ethz.ch/isn/130080/Russia-U%20S%20%20bilateral%20on%20terminology%20v76%20(2)-1.pdf https://www.nist.gov/sites/default/files/documents/2017/01/30/draft-cybersecurity-framework-v1.1.pdf Asset Management Security Governance Risk Assessment / Management (…vulnerability information is received from information sharing forums and sources) Identity and Access Management Awareness and Training Data Security / Information Protection (vulnerability management plan is developed and implemented) Maintenance & Protective Technology Anomalies and Events Security Continuous Monitoring (Vulnerability scans are performed) Detection Response Planning Communications Analysis Mitigation (Newly identified vulnerabilities are mitigated or documented as accepted risks) Recovery Planning Improvements Communications
  • 9. June 11, 2017 9© DXC 2017 Raccomandazioni dal Framework Nazionale per la Cyber Security Attività di threat modeling, vulnerability assessment e penetration testing permettono di identificare le debolezze dei propri sistemi […] e per questo se ne raccomanda l’introduzione […] Nonostante questo documento non preveda un controllo dedicato in modo specifico a questo aspetto, riteniamo che questo punto debba gradualmente entrare a far parte delle normali routine di controllo dei sistemi delle imprese. È molto importante, e ampiamente rimarcato dagli esperti che hanno partecipato alla consultazione pubblica, una estensiva fase di controllo, monitoraggio e valutazione delle vulnerabilità dei propri asset aziendali.
  • 10. June 11, 2017 10© DXC 2017 Un Penetration Test è un metodo per la valutazione della sicurezza tramite la simulazione di un attacco dall’interno o dall’esterno’’ Definizione di Penetration Test ispirata al CREST “
  • 12. June 11, 2017 12© DXC 2017 «Un Vulnerability Assessment è un metodo per la valutazione della sicurezza tramite l’utilizzo di strumenti automatici che permettono l’identificazione di vulnerabilità note e comuni nella configurazione di un sistema» Definizione di Vulnerability Assessment ispirata al CREST
  • 13. June 11, 2017 13© DXC 2017 Attività a confronto Scopo Modalità di esecuzione Sono utilizzati per validare il livello minimo di sicurezza e come precursori dei Penetration Test. Orientato ad una «lista di vulnerabilità note» Tempistiche Utilizzo di strumenti automatici. Trovano le vulnerabilità e comuni e già note (e.g. mis-configurazioni o componenti non aggiornati). Poco tempo, tipicamente minuti o ore per i sistemi; ore o giorni per le applicazioni. Sono utilizzati come simulazione di un attacco reale, dimostrando l’effettiva efficacia del controlli di sicurezza di un ambiente specifico in un determinato momento. Orientato all’obiettivo. Giorni o settimane, secondo la complessità del bersaglio. Approccio manuale che non si limita alla sola rimozione dei falsi positivi e vanno più in profondità di un VA. Si possono usare strumenti automatici. Normalmente si sviluppano strumenti ad-hoc. Vulnerability Assessment Penetration Test
  • 14. June 11, 2017 14DXC Proprietary and Confidential Benefici dei Penetration Test • Trovare vulnerabilità su software, applicazioni, processi, persone per capire: • Le vulnerabilità prima che vengano sfruttate da un attaccante malevolo. • Come mitigarle e quali controlli implementare. • Se i controlli implementati lo siano maniera efficace. • Evitare danni alla reputazione, perdite economiche o d’immagine ecc…
  • 15. June 11, 2017 15© DXC 2017 Perché Agile in un contesto Enterprise
  • 16. June 11, 2017 16© DXC 2017 Vantaggi dell’essere Agili: più successo FY2011-2015 CHAOS Report (Progetti Software) 39% 11% 52% 60% 9% 29% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Agile Waterfall Hanno successo Sfidanti Falliti
  • 17. June 11, 2017 17© DXC 2017 Vantaggi dell’essere Agili: Benefici Reattività al cambiamento Massimizzazione del valore Più soddisfazione da parte dei Clienti Cultura basata sulla collaborazione Risultati finali di alta qualità Persone più motivate Migliore percezione da parte dei Clienti
  • 18. June 11, 2017 18© DXC 2017 Esempio di applicazione di Agile su un progetto di Cyber Security
  • 19. June 11, 2017 19© DXC 2017 Come si struttura un Penetration Test: Livello di progetto Si inizia con la Request For Proposal (RFP), con requisiti di alto livello. Il primo prodotto è la Proposal del Fornitore con stima di tempi e costi . Si inizia quando la proposta è accettata. Insieme al Cliente si fa una Pianificazione di alto livello e tecnica almeno della prima fase di consegna. E’ necessario avere dei documenti legali firmati: CoA e NdA. Nelle fasi di consegna si svolgono le attività tecniche secondo le metodologie specialistiche necessarie per l’attività specifica. Ad ogni limite di fase si raccoglie il feedback e si pianifica/rivaluta il lavoro successivo. Nella chiusura produciamo della documentazione di gestione che ci permette di fatturare, confermiamo i prodotti consegnati e procediamo con la distruzione delle informazioni sensibili in nostro possesso. Avvio del Progetto Inizio del Progetto Fasi di consegna Chiusura del Progetto I processi utilizzati sono quelli di PRINCE2(R) in una configurazione Agile.
  • 20. June 11, 2017 20© DXC 2017 Come si struttura un Penetration Test: Livello tecnico-specialistico di una Fase di Consegna Discovery Attack Ottenimento dell’accesso al sistema Escalation dei privilegi Raccolta delle informazioni sul sistema Installazione di ulteriori strumenti sul sistema Planning Reporting InizioProgetto/ Finefaseprec. Fasetecnica (1parte) Fasetecnica (2parte) Inspired by NIST SP-800-115
  • 21. June 11, 2017 21© DXC 2017 Il caso d’esempio: Penetration Test su diversi bersagli Dettagli sul progetto Attività di Penetration Testing Richiesti 8 deliverable complessi Parti coinvolte sul progetto Cliente nel settore Banking / Insuriance Requisiti iniziali Fornitore: team interno (Sales, Pre-sales, Account & Financial Management, PMO, Delivery) e team esterno (altri fornitori) Cliente: team interno (Sicurezza, IT); team esterno (altri fornitori) Budget limitato Deadline definite dall’alto RFP senza informazioni rilevanti/non disponibili al Cliente
  • 22. June 11, 2017 22DXC Proprietary and Confidential Mission Impossible La prima opinione della struttura di Delivery anche in relazione al budget disponibile durante la fase di offerta. La soluzione accettata da tutto il team è stata l’utilizzo del «timeboxing»
  • 23. June 11, 2017 23© DXC 2017 Timeboxing e Penetration Testing • Il Penetration Test - per sua natura - è un processo iterativo[1] che ha lo scopo di ottenere, passo dopo passo, il controllo totale del bersaglio e ben si presta al timeboxing. • Dal tempo a disposizione dipendono il numero di iterazioni, la profondità e l’ampiezza della valutazione. • E’ sempre importante considerare che un attaccante reale ha in media 146 giorni per portare avanti l’attacco prima che venga scoperto[2]. [1] NIST SP-800-115 [2] Mandiant M-Trends 2016 • La timebox è un intervallo di tempo prefissato, una finestra temporale in cui viene creato un incremento di progetto rilasciabile, potenzialmente utilizzabile.
  • 24. June 11, 2017 24© DXC 2017 Consigli per le stime Considerare che le persone siano produttive per circa l’80% del loro tempo. Le persone che lavorano su diversi progetti contemporaneamente ci metteranno più tempo per eseguire le loro attività, considerando il tempo che viene perso per passare ad attività diverse. Normalmente le persone sono ottimiste nel fare le stime, quindi sottostimano. Stimare usando l’esperienza propria e del resto del team. Assicurarsi che la persona responsabile della creazione del deliverable sia la stessa che fa la stima. Considerare sempre del tempo per il problem-solving, le riunioni e gli imprevisti. Stimare la singola attività più che provare a stimare tutto insieme. Comunicare tutte le assunzioni, esclusioni e i vincoli quando si presenta la stima.
  • 25. June 11, 2017 25© DXC 2017 Avvio: stesura della proposta facendo una stima di massima e verificandone la fattibilità Deliverable Cosa è stato importante Cosa è successo Creazione del team: relativo ad una practice che ha le caratteristiche necessarie: dinamicità dell’offerta, tipologia delle opportunità, ripetitività delle proposte, maturità del team. Il team è composto solo lato fornitore da persone provenienti da Delivery, PMO, Sales, Presales, Account & Financial Management. Definizione del business case: del fornitore, rendendolo compatibile con quello del Cliente Proposal: abbiamo prodotto il documento di Proposal analizzando l’RFP, capendo i benefici che voleva ottenere il Cliente, quindi stima dell’effort (Delivery), economics (Sales), stesura del documento (Presales) e su come gestire la governance (Account & Financial Management) e il progetto (PMO). Collaborare: come un unico team inter-funzionale. Sviluppo iterativo/incrementale: lavorando per brevi iterazioni, rilasciando sempre qualcosa (e.g. effort, cost, price, documento in bozza/rivisto). Divide et impera: a livello di progetto, abbiamo diviso in elementi di delivery più piccoli. La giornata tipica: • Stand-up e brainstorming giornaliero con chi sta lavorando al progetto. • Allineamento settimanale con tutto il team o nei momenti di revisione del lavoro svolto.
  • 26. June 11, 2017 26© DXC 2017 Documento di ambito: Contiene tutte le informazioni relative ai test e la pianificazione. E’ un documento «vivo» in quanto Agile. Non contiene solo il piano di lavoro ma tutti i dettagli (approccio al rischio, alla comunicazione ecc…) Cominciano i cambiamenti: una volta accettata la proposta, il team cambia. Ci salutano i colleghi Sales e Presales ed entrano nel team più persone di delivery che dovranno poi eseguire l’attività. Kick-Off con il cliente: anzitutto incontriamo fisicamente il Cliente. Revisioniamo in maniera critica i deliverable, i fattori di rischio, i tempi e le priorità (considerando in particolare le timebox), i controlli di progetto (e.g. monitoraggio e controllo, accettazione dei deliverable) e le come gestire la parte legale (e.g. mettendo in contatto i reparti legali di ambo le parti). Definizione della Governance interna: anche in un contesto Agile è importante la governance che sta «sopra» al progetto, abbiamo richiesto degli interventi in momenti specifici e formali con la nostra struttura di Account Management, come da processi interni. Inizio: il Cliente accetta la proposta e il nostro scopo è condividere l’approccio e pianificare Deliverable Collaborazione: coinvolgimento del team Cliente- Fornitore per creare «cultura» a garanzia della ripetibilità dell’approccio. Tutte le persone erano già assegnate ad altre attività. Focalizzazione sul business: coinvolgendo il Cliente per dare la priorità ai vari deliverable. Cosa è stato importante Cosa è successo
  • 27. June 11, 2017 27© DXC 2017 Il Piano iniziale di alto livello W01 W02 W03 W04 W05 W06 W07 W08 W09 W10 W11 W12 W13 W14 W15 W14 W15 Inizio Att #3 Fasi di consegna Att #1 Att #7 Att #4 Att #2 Att #6 Att #5 Att #8 Prep. Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Closure
  • 28. June 11, 2017 28© DXC 2017 Presupposizioni al piano: le attività preparatorie – in particolare quelle che hanno richiesto il coinvolgimento dei legali – hanno richiesto più tempo del previsto. Cambio di percorso: delle attività desiderate che richiedevano il coinvolgimento di determinati fornitori: nel caso migliore è stato necessario far slittare la i tempi; nel caso peggiore le attività non erano più fattibili. Importanza dei benefici: col Cliente ci siamo concentrati su come ottenere ugualmente i benefici desiderati cambiando le attività o modificandole e definendo delle priorità in caso di tempi ridotti. Gestione del tempo: anticipazione delle attività indipendenti; per quelle slittate, anticipazione giornaliera dei risultati, così da avere i benefici quanto prima. Risultati delle attività di cui: - Confermati: 4 consegnati secondo quanto pianificato o in anticipo. - Sostituiti: 2 realizzazione non praticabile e sostituiti con altri. - Modificati: 2 parzialmente modificati. Fasi di consegna Deliverable Cosa è stato importante Cosa è successo Focalizzarsi sui benefici: e non sui deliverable «in se» o sulle singole attività. Lo scopo di un Penetration Test infatti è di valutare la sicurezza di un determinato bersaglio. E la valutazione si può eseguire secondo diversi tipi di test.
  • 29. June 11, 2017 29© DXC 2017 Come è stata strutturata la singola attività I Tester concordano che l’attività tecnica durerà quindi 8 giornate, il Team Lead concorda col Cliente la clausola della Timebox con l’accordo di allinearsi verso la fine della giornata per anticipare risultati e definire le priorità. Ogni mattina i tester fanno una chiamata su skype di massimo 15 minuti dove insieme dicono cosa hanno trovato, dubbi e riflessioni, impedimenti che hanno riscontrato e che in caso di necessità sono portati all’attenzione del Project Manager. * Le «quick-win» o «low-hanging-fruits» sono quelle vulnerabilità facili da trovare e/o da sfruttare che hanno un impatto alto Kick-Off Close-Out 1.5gg - Investigation Concentrarsi sulla raccolta di informazioni ed eventuali quick- win* 1.5 gg . Consolidation Consolidamento dei risultati e raccolta delle evidenze, inizio stesura del report 5gg - Refinement Attacchi dai più semplici a più complessi, sfruttamento di vulnerabilità
  • 30. June 11, 2017 30© DXC 2017 Il Piano finale di alto livello W01 W02 W03 W04 W05 W06 W07 W08 W09 W10 W11 W12 W13 W14 W15 W14 W15 Inizio Att #3 Fasi di consegna Att #1 Att #7 Att #4 Att #2 Att #6 Att #5 Att #8 Prep. Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Rilascio Closure Att #9 Att #10
  • 31. June 11, 2017 31© DXC 2017 Conclusioni
  • 32. June 11, 2017 32© DXC 2017 Eccellenza in Agilità Il Cliente ha risposto al questionario del Net Promoter Score ed è risultato essere un Promotore. Le persone sono il fattore chiave Le persone sono il fattore chiave per l’adozione dell’”Agile thinking”. La cultura tipicamente basata su processi e cavilli legali deve cambiare. Lezioni apprese Importanza nel Business Agile è un modello di riferimento per i servizi di Cyber Security, in particolare nei progetti sfidanti.