<Insert Picture Here> Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda • Analisi del contesto (attacchi, vulnerabilità & statistiche) • Sensibilizzazione, formazione e mitigazione del rischio • La gestione della sicurezza in Regione Emilia-Romagna • Le policy di sicurezza, le linee guida e le verifiche • Statistiche sulle vulnerabilità e spunti di miglioramento Attacchi che hanno sfruttato vulnerabilità applicative Statistiche sulle tecniche utilizzate Statistiche sulla tipologia di vulnerabilità Top 25 CWE/SANS e TOP 10 OWASP Formazione e certificazioni sicurezza applicativa Cosa fare per migliorare ? • Consapevolezza del livello di rischio lato fornitore e cliente • Procurement delle applicazioni software inserendo dei requisiti di sicurezza • Adozione del processo SSDLC ed inserimento del security testing nella fase di verifica QA delle applicazioni • Un caso concreto di successo nella PA: l’approccio della La gestione della sicurezza informatica in Regione Emilia-Romagna Una certa sensibilità ai temi della sicurezza informatica • Lo stimolo viene soprattutto dalle normative • Viene percepito come un problema dell’IT Ma … • L’IT «usa» le normative per allargare la visuale e intervenire con misure che migliorino la sicurezza informatica andando al di là del rispetto formale della normativa Le policy di sicurezza e le linee guida Produzione di policy di sicurezza (che nell’ambito di Regione diventano Disciplinari tecnici) e linee guida • Quelli pubblici si trovano in http://regione.emilia-romagna.it/privacy In particolare •Disciplinare Tecnico in materia di sicurezza delle applicazioni informatiche nella Giunta della Regione Emilia-Romagna (2007, sta per essere rilasciata una nuova versione) •Disciplinare tecnico su modalità e procedure relative alle verifiche di sicurezza sul sistema informativo, ai controlli sull’utilizzo dei beni messi a disposizione dall’Ente per l’attività lavorativa con particolare riferimento alle strumentazioni informatiche e telefoniche ed esemplificazioni di comportamenti per il corretto utilizzo di tali beni, da applicare nella Giunta e nell’Assemblea Legislativa della Regione EmiliaRomagna. (2009) •Linee guida per la governance del sistema informatico regionale (2009, sta per essere rilasciata una nuova versione) Le verifiche preventive sulle applicazioni Le policy e linee guida, oltre a descrivere le modalità di sviluppo sicuro, prevedono che: In fase di design di una nuova applicazione l’owner dell’applicazione identifica la natura ed il valore dei dati e delle informazioni che saranno trattate dall’applicazione ed effettuare l’analisi dei rischi incombenti su di esse Prima del passaggio in produzione l’owner dell’applicazione compila una checklist (allegata al DT applicazioni) che documenta le misure di sicurezza implementate Un estratto della checklist Autorizzazione Sono stati previsti meccanismi di separazione dei privilegi in funzione del profilo utente I permessi sono stati assegnati secondo il principio del "minimo privilegio" L'accesso alle risorse di sistema è limitato ai soli account privilegiati Il login applicativo non ha accesso diretto in scrittura alle tabelle dei database È stata prevista la possibilità di configurare i profili autorizzativi In caso di applicazioni web, esistono distinzioni fra aree ad accesso pubblico ed aree ad accesso riservato Sono stati utilizzati i meccanismi nativi del framework su cui si basa l'applicazione per la gestione degli accessi utenti Note di compilazione e risposte attese Obbligatorio per dati in perimetro d.lgs 196/2003, indicare i profili considerati e le macro aree/funzionalità applicativi a cui possono accedere SI SI SI In caso di risposta positiva indicare anche le macro-configurazioni applicabili In caso di risposta positiva indicare la suddivisione delle macro aree/funzionalità applicativi ad eccesso pubblico o ristretto In caso di risposta positiva indicare le funzionalità del framework utilizzate Implementazione Note Le verifiche preventive sulle applicazioni Le policy e linee guida, oltre a descrivere le modalità di sviluppo sicuro, prevedono che: In fase di design di una nuova applicazione l’owner dell’applicazione identifica la natura ed il valore dei dati e delle informazioni che saranno trattate dall’applicazione ed effettuare l’analisi dei rischi incombenti su di esse Prima del passaggio in produzione l’owner dell’applicazione compila una checklist (allegata al DT applicazioni) che documenta le misure di sicurezza implementate Prima del passaggio in produzione viene effettuata una verifica puntuale preventiva in cui viene testata: • L’effettiva implementazione di quanto dichiarato nella checklist • La presenza di eventuali vulnerabilità che insistono sull’applicazione, attraverso una metodologia basata sulle linee guida OSSTMM e OWASP contestualizzata Nel caso di modifiche significative alle applicazioni già in produzione, le verifiche di sicurezza vanno ripetute Un estratto del report Le verifiche preventive sulle applicazioni Ma nel processo permangono alcune criticità Vecchie applicazioni in produzione già da tempo Definizione non precisa di «modifiche significative» Applicazioni che devono andare in produzione «a prescindere» Alcune statistiche Il processo delle verifiche di sicurezza puntuali preventive sulle applicazioni è in essere dal 2009 Da allora sono state verificate in media 50 nuove applicazioni all’anno Per molte di queste sono stati necessari uno o più follow-up Alcune statistiche Media del numero di verifiche effettuate su ogni applicazione 2009 2010 2011 2012 2013 1,99 1,65 1,56 1,88 1,61 Alcune statistiche RER Top 10 •1. Gestione non corretta della sessione •2. Cross-Site Scripting •3. Information leakage / disclosure •4. Gestione inadeguata dei permessi / privilege escalation •5. Errata gestione dei parametri http •6. Sql injection •7. Password in chiaro •8. Assenza di meccanismi di lockout •9. Dati di autenticazione trasmessi con protocollo in chiaro •10. Enumerazione di utenti OWASP Top 10 •1. Injection •2. Broken authentication and session management •3. Cross-Site Scripting •4. Insecure Direct Object References •5. Security Misconfiguration •6. Sensitive Data Exposure •7. Missing Function Level Access Control •8. Cross-Site Request Forgery (CSRF) •9. Using Components with Known Vulnerabilities •10. Unvalidated Redirects and Forwards Spunti di miglioramento • Nuova versione del Disciplinare tecnico in materia di sicurezza delle applicazioni informatiche, con adeguamento alle nuove tecnologie, alle nuove minacce e miglioramento della checklist • Allegati al DT contenenti suggerimenti su come le contromisure alle minacce descritte nel DT possono essere realizzate, tenendo conto delle filiere applicative supportate dall’Ente • Una maggiore formalizzazione del processo di change management Offerta IT Security Organizzazione della sicurezza, Compliance & Risk Management Redazione Security Policy e documentazione collegata Sistema di Gestione Sicurezza Informazioni ISO 27001 Business Continuity, Disaster Recovery (art. 50 bis CAD, ISO 22301) Valutazione livello di sicurezza infrastrutture ICT ed applicazioni software Ethical hacking (VA & PT) di server, apparati di rete e di sicurezza, applicazioni software, Human target: Social Engineering e Social Media Security Supporto nella messa in sicurezza (Hardening & Vulnerability mgmt) Incident Handling & Digital Forensics Gestione incidenti di sicurezza informatica Investigazione digitale Reporting e Consulenze Tecniche di Parte Progettazione infrastruttura informatica secondo le best practices di settore Protezione perimetrale e sistemi UTM Soluzioni SIEM (System Information & Event Management) Soluzioni antivirus ed antimalware per dispositivi fissi e mobili Grazie per l’attenzione … Roberto Obialero Fabio Bucciarelli [email protected] www.ads.it [email protected] www.regione.emilia-romagna.it www.ads.it
© Copyright 2024 ExpyDoc
