StudioAG fornisce i suoi servizi di consulenza con un approccio mirante esclusivamente al miglioramento dei livelli di sicurezza dei suoi clienti, operando indipendentemente da ogni interesse commerciale nella rivendita di prodotti (approccio vendor-neutral). I punti di riferimento sono le linee guida e gli standard riconosciuti a livello internazionale in questo settore. In molti casi partecipiamo attivamente allo sviluppo degli standard e alla ricerca indipendente nel campo della sicurezza informativa e della cyber security.
Gestione della sicurezza (GRC – Governance, Risk, Compliance)
La gestione dei rischi è ormai un approccio consolidato alla gestione aziendale, a tutti i livelli. Anche la sicurezza del patrimonio informativo aziendale va affrontata in quest’ottica: sarebbe miope pensare che misure tecniche o peggio il mero acquisto di una serie di prodotti possa garantire un livello di sicurezza adeguato nel tempo e l’adeguamento ai numerosi standard di mercato e alle leggi rilevanti. La gestione del rischio è un processo complesso che parte dalla valutazione dei rischi presenti per arrivare a modellare la loro mitigazione e il controllo nel tempo.
Possiamo affiancare aziende, P.A. e organizzazioni nelle progettazione e gestione di un sistema di Security Governance in grado di affrontare i rischi e le minacce interne ed esterne, in conformità alle migliori pratiche, agli standard internazionali e ovviamente alle norme vigenti (compliance), in particolare privacy, antiriciclaggio e responsabilità amministrativa degli enti (D. 231).
Auditing e certificazione ISO 27001
Effettuiamo analisi della conformità agli standard internazionali ISO in materia di sicurezza informatica, valutazione dei passi da intraprendere per allinearsi agli standard, progettazione di un nuovo Sistema di Gestione della Sicurezza delle Informazioni ed eventualmente ottenere la certificazione ISO (gap analysis), inoltre audit su sistemi ISO27001 già attivi.
Security Assessment
La valutazione globale dello stato della sicurezza informativa all’interno dell’organizzazione fornisce ai responsabili un quadro completo del livello di sicurezza attuale, sia dal punto di vista strettamente tecnico che organizzativo. E’ un processo relativamente complesso che, se realizzato nella sua completezza, si compone delle fasi seguenti:
1. Raccolta delle informazioni. Effettuata sia per mezzo di interviste con i referenti aziendali che con strumenti informatici, mira a mappare in dettaglio il sistema informativo da valutare, la struttura organizzativa che lo controlla e lo utilizza. Per un assessment aziendale normalmente si procede con una metodologia di tipo “white box”, in cui l’analista ha a disposizione tutte le informazioni sul sistema.
2. Valutazione delle vulnerabilità (vulnerability assessment). Questa fase del processo ha lo scopo di identificare le vulnerabilità tecniche (punti deboli che possono essere sfruttati da un attaccante) delle risorse censite precedentemente. Vengono usati diversi tool per verificare la presenza di vulnerabilità note, ma il risultato viene comunque in seguito valutato manualmente dal consulente, in modo da valutare e priorizzare i punti deboli dei sistemi in modo coerente con la loro architettura.
3. Audit dell’organizzazione e della compliance. Con questo processo si mappano i ruoli e le funzioni dell’organizzazione, con particolare riguardo alla gestione e al flusso delle informazioni. Inoltre si confrontano le procedure in essere con le normative cogenti (Privacy, D.Lgs. 231, Antiriciclaggio…) e i modelli di gestione.
4. Test di penetrazione. I punti deboli dei sistemi rilevati precedentemente – o un loro sottoinsieme significativo – vengono sfruttati (in modo non invasivo) al fine di rilevarne la rischiosità. Il penetration test può essere effettuato a vari livelli di dettaglio e adattato alle esigenze di ogni singolo cliente.
5. Documentazione dei risultati. Tutta l’attività viene documentata e presentata ai referenti aziendali.
Test di penetrazione e valutazione delle vulnerabilità
Sono attività specifiche che mirano a valutare tecnicamente il livello di sicurezza dell’infrastruttura ICT. Possono essere attivate da sole o nel contesto di una valutazione complessiva della sicurezza. Il risultato sono dei rapporti dettagliati sui risultati ottenuti.
La norma certificabile internazionale ISO/IEC 27001 sulla sicurezza delle informazioni è un riferimento riconosciuto a livello mondiale e specifica i requisiti per la progettazione, implementazione e operatività di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Permette le gestione ed il controllo dei rischi legati alla sicurezza delle informazioni all’interno di organizzazioni di qualsiasi tipologia. E’ un processo di gestione, quindi si posizione ad un livello più alto rispetto alle scelte tecnologiche di dettaglio; inoltre comprende non solo la sicurezza informatica ma anche ad gli aspetti organizzativi, la gestione e l’addestramento delle risorse umane e la sicurezza fisica. (la sicurezza informatica è quindi un sottoinsieme della sicurezza delle informazioni). L’approccio della ISO/IEC 27001 è improntato all’analisi e alla gestione consapevole dei rischi, in coerenza con altri standard internazionali, in primis la ISO/IEC 9001.
L’implementazione di un SGSI, integrato al modello di gestione, può fornire un aiuto nei controlli interni imposti dalle normative cogenti, ad esempio in Italia il D.Lgs. 231/2000 (responsabilità amministrativa degli enti) e il D.Lgs. 196/2003 (testo unico sulla privacy).
Servizi di consulenza
- gap analysis: analisi dello stato dell’organizzazione e del percorso da fare: definizione dell’ambito di applicazione del SGSI, analisi dello stato attuale delle procedure, interviste ed osservazione dei processi, identificazione delle carenze rispetto alla norma, report finale sui gap esistenti e su come colmarli prima della certificazione;
- consulenza in fase di implementazione del Sistema di Gestione ISO/IEC 27001;
- supporto al cliente nella fase di certificazione
- conduzione di audit interni per verificare lo stato del sistema
- consulenza per l’integrazione del SGSI ISO 27001 con altri sistemi o modelli (ISO 9001, ISO 20000, COBIT..)
- consulenza per l’integrazione con la compliance aziendale (Modello di gestione 231, Privacy, Antiriciclaggio…)
I penetration test (“pentest“) sono tra i migliori mezzi per valutare – e correggere – il livello di sicurezza informativa di un’organizzazione (o di una parte di essa).
Le analisi di vulnerabilità (vulnerability scan o anche vulnerability assessment) si limitano a scoprire ed elencare le vulnerabilità tecniche presenti nei sistemi sotto esame (o, nel secondo caso, anche a valutarne la gravità). Il pentest fa il passo successivo, sfruttando i punti deboli trovati, assieme ad informazioni complementari sull’organizzazione, per compromettere l’obiettivo. Inoltre, i mezzi usati non si limitano a quelli puramente tecnici ma possono includere anche tecniche di social engineering. as well.
Sfruttare i vantaggi…
Simulare il comportamento dei criminali reali permette al cliente di valutare quanto siano realmente efficaci i sistemi di sicurezza, i controlli e le misure organizzative in essere. Gli attacchi potranno essere messi in atto sfruttando metodi diversi e in sinergia, come nei casi reali.
I pentest vanno quindi al di là dell’approccio formalistico – pur necessario – di solito utilizzato per gli audit di sicurezza, soprattutto per finalità di compliance e permettono – se ben realizzati e documentati – di valutare i rischi e gli impatti economici, finanziari e operativi di un attacco riuscito al patrimonio informativo aziendale.
…senza i rischi
La preparazione del pentest è estremamente importante, forse più dell’attività di hacking vera e propria. L’ambito di applicazione del test e le “regole di ingaggio” dovranno essere perfettamente chiare e definite contrattualmente. L’ambito (gli obiettivi) può essere definito in termini tecnici (indirizzi IP, sistemi o URL) ma può per esempio definire anche quali sono i vettori di attacco permessi (escludendo, ad esempio, il social engineering) o limitare l’accesso fisico alla strutture del cliente. Anche i contenuti del report finale dovranno essere descritti prima dell’inizio dei lavori. Quest’ultimo è un punto molto importante perché l’attività potrà portare valore solo se le informazioni fornite al cliente potranno essere facilmente utilizzate per azioni correttive.
Il nostro approccio fornisce sia le conoscenze tecniche che la prospettiva gestionale ed operativa necessarie per un pentest che sia utile al cliente.
Due tipologie
Nel pentest di tipo black-box il team inizia con informazioni minime o nulle sugli obiettivi. In questo caso la fase di raccolta delle informazioni viene svolta in modo analogo a quello che farebbe un reale attaccante. In un pentest di tipo white-box invece sono fornite molte più informazioni, ad esempio indirizzi, tipologia di software, versioni. In questo caso il budget e le risorse possono concentrarsi sull’attacco vero e proprio.
L’approccio black-box presenta il vantaggio di simulare fedelmente le reali minacce e i procedimenti di attacco e inoltre di permettere di valutare anche come vengono gestite le informazioni riservate e quanto è facile ottenerle.
L’approccio white-box invece può essere particolarmente utile nel caso le minacce principali temute siano interne all’organizzazione, oppure for focalizzare le risorse su un limitato insieme di obiettivi o sistemi.
Scegliere la giusta modalità – o una ibrida – è il primo passo per progettare un intervento di consulenza su misure per ogni cliente.
I processi di Vulnerability Scan e Vulnerability Assessment hanno l’obiettivo di identificare le vulnerabilità tecnologiche dei sistemi IT aziendali, o di un singolo sistema. Entrambi possono essere attivati come servizi autonomi oppure nel più ampio abito di una valutazione globale della sicurezza (security assessment). Si differenziano per il livello di analisi: mentre la scansione delle vulnerabilità è effettuate in gran parte in modo automatizzato, l’attività di valutazione (assessment) prevede un contenuto consulenziale più grande, comprendente una verifica manuale delle vulnerabilità individuate, la loro organizzazione e priorizzazione, e un collegamento con l’architettura del sistema informativo analizzato.
Analisi delle vulnerabilità (vulnerability scanning)
Verifica delle vulnerabilità presenti nei sistemi IT effettuata con strumenti per lo più automatizzati dall’interno e/o dall’esterno. Copre i livelli software presenti dai Sistemi Operativi alle applicazioni, al software di sistema degli apparati di rete. Il risultato dell’attività è un report tecnico contenente l’elenco delle vulnerabilità rilevate e i passi da compiere per correggerle. Il destinatario naturale del report è il reparto tecnico ICT (CED).
Valutazione delle vulnerabilità (vulnerabilty assessment)
Questo servizio aggiunge alla scansione automatizzata una valutazione dei risultati da parte del consulente alla luce dell’infrastruttura di rete esistente. Inoltre comprende una analisi della architettura.