"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
Security Project Management: Esperienze nella gestione di Vulnerability Assessment e Penetration Test
1. Milano, 19-21 ottobre 2011 - Fieramilanocity
Security Project Management
1
Esperienze nella gestione di Vulnerability Assessment e
Penetration Test
Simone Onofri – simone.onofri@techub.it
2. Milano, 19-21 ottobre 2011 - Fieramilanocity
Agenda
• Introduzione
• Cos’è il Security Project Management?
• Come fare?
• Svolgimento!
• Creare il Team 2
• Conclusioni
3. Milano, 19-21 ottobre 2011 - Fieramilanocity
Cos’è IWA? IWA/HWG è un’Associazione professionale no profit riconosciuta
Partecipazioni internazionali leader mondiale nella fornitura dei principi e delle certificazioni di
formazione per i professionisti della Rete Internet; è presente in
100 paesi, con 130 sedi ufficiali in rappresentanza di più di 165.000
associati.
La sua missione:
• Fornire programmi formativi di qualità;
• Fornire agli associati supporto e collaborazione a livello
regionale, nazionale e internazionale, nonché un marchio di
3
Partecipazioni nazionali affiliazione riconosciuto a livello mondiale;
• Promuovere i principi universali di etica e di pratica
professionale per tutti i professionisti della Rete Internet;
•Fornire supporto per la definizione e lo studio di normative
nei Paesi in cui è presente
Network:
http://www.iwa.it http://www.itlists.org
http://blog.iwa.it http://webaccessibile.org
http://skillprofiles.eu
4. Milano, 19-21 ottobre 2011 - Fieramilanocity
Perché IWA?
• Fare rete tra professionisti
– Scambiarsi informazioni / esperienze
– Condividere buone pratiche di lavoro
• Apprendere
– Consultare documentazione condivisa 4
– Discutere con gli altri soci
– Partecipare ad eventi formativi / informativi
• Divulgare
– Effetto “ebola”: condividere la conoscenza
– Proporsi come discenti per seminari e corsi
13. “is the process of
determining how effectively
an entity being assessed
meets specific security
objectives.”
NIST – Information Security Assessment Methodology
18. Planning Developing a Security Prioritizing and Selecting and
Assessment Policy Scheduling Assessment Customizing Technique
Determining the Developing the Addressing any legal
logistics assessment plan consideration
Coordination Assessing
Execution
Analysis Data Handling
Post-Execution
Mitigation Remediation
Reporting
Recommendation Mitigation
NIST – Information Security Assessment Methodology
19. Pianificazione Definizione Autorizzazione
Kickoff
del Piano e Manleva
Esecuzione
Verifica delle
Condizioni di Valutazione Analisi
Ingresso
Conclusione
Piano di
Reportistica Workshop
Rientro
Techub – Security Testing
26. “The scope must be clearly defined
contractually before verifying vulnerable
services”
ISECOM OSSTMM – Rules Of Engagement (Rule 17)
27. “to gather
information needed for assessment
execution—such as the assets to be
assessed, the threats of
interest against the assets, and the
security controls to be used to mitigate”
NIST Information Security Assessment Methodology – Planning
30. 2 days for a class C <= 12 hops over a 64k
digital line
Add an additional hour per class C for every hop over 12
More bandwidth will decrease scanning time proportionally
Does not count for systems protected by an active IDS or application-level
firewall
ISECOM OSSTMM – Rule of Thumb (Enumeration)
31. 3 man-weeks for 10 live systems in a class
C <= 12 hops over 64k ISDN
Add an additional 1/2 man hour per live system for every hop over 12
More bandwidth will decrease testing time proportionally up to 1Mb.
Increasing the number of testers will decrease testing time proportionally.
Analysis and reporting will
become more complicated and take longer with more than 5 testers
Does not count for systems protected by an active IDS or application-level
firewall
ISECOM OSSTMM – Rule of Thumb (OSSTMM Test)
32. “Total testing time should never exceed 3
months for a single test”
ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
33. “Analysis can begin early but not before
half the initial machine time for
enumeration has lapsed”
ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
34. “1/2 the time spent testing is needed for
reporting”
ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
37. “If necessary for privileged testing, the
client must provide two, separate, access
tokens whether they be
passwords, certificates, secure ID
numbers, badges, etc. and they should be
typical to the
users of the privileges being tested rather
than especially empty or secure accesses.”
ISECOM OSSTMM – Rules Of Engagement (Rule 23)
40. “the legal departments of each
organization may be involved.”
NIST Information Security Assessment Methodology – Legal Consideration
41. “Performing security tests against any
scope without explicit written permission
from the target owner or appropriate
authority is strictly forbidden”
ISECOM OSSTMM – Rules Of Engagement (Rule 6)
42. “Contracts should limit liability to the cost
of the job, unless malicious activity has
been proven”
ISECOM OSSTMM – Rules Of Engagement (Rule 9)
43. “Contracts must clearly explain the limits
and dangers of the security test as part of
the statement of
work”
ISECOM OSSTMM – Rules Of Engagement (Rule 10)
44. “In the case of remote testing, the
contract must include the origin of the
Analysts by address,
telephone number or IP address.”
ISECOM OSSTMM – Rules Of Engagement (Rule 11)
45. “The contract must include clear, specific
permissions for tests involving survivability
failures, denial of service, process
testing, and social engineering.”
ISECOM OSSTMM – Rules Of Engagement (Rule 14)
52. “it is critical for assessors to coordinate
with various entities in the organization
*…+ for assessment schedule, activities,
and potential impacts *…+ ”
NIST Information Security Assessment Methodology – Coordination
53.
54. “Appropriate personnel are informed of
any critical high-impact
vulnerabilities as soon as they are
discovered”
NIST Information Security Assessment Methodology – Coordination
55. “Verified limitations, such as discovered
breaches, vulnerabilities with known or
high exploitation rates, vulnerabilities
which are exploitable for full,
unmonitored or untraceable access, or
which may immediately endanger lives,
discovered during testing must be
reported to the customer with
a practical solution as soon as they are
found”
ISECOM OSSTMM – Rules Of Engagement (Rule 28)
56. “Client notifications are required
whenever the Analyst changes the testing
plan, changes the source test venue, has
low trust findings, or any testing problems
have occurred. Notifications must be
provided previous to running
new, dangerous, or high traffic tests, and
regular progress updates
are required.”
ISECOM OSSTMM – Rules Of Engagement (Rule 35)
63. “In caso di attività pregresse viene
effettuata l’analisi delle differenze
tra la situazione iniziale e quella
attuale”
64. Andamento del Piano di Rientro
Quantità delle vulnerabilità
P1
P2
P3
P4
Scansione Inizale Scansione dopo 2 settimane Scansione dopo 4 settimane
65.
66. “il dettaglio tecnico dei risultati delle
attività fornendo evidenze e
proponendo soluzioni e
suggerimenti”
67. “Per ogni vulnerabilità viene
specificata una breve descrizione, la
gravità e l’impatto, suggerimenti per
il rientro e gli indirizzi IP/URL affetti”
68. “per ogni vulnerabilità verificata sono
descritti i passi dettagliati sia per
l’identificazione che per la verifica e i
rimedi specifici rispetto il contesto e
la classificazione secondo diverse
metriche”
69. “The client must be notified when the
report is being sent as to expect its arrival
and to confirm
receipt of delivery”
ISECOM OSSTMM – Rule of Engagement (Rule 40)
70. “All communication channels for delivery
of the report must be end to end
confidential.”
ISECOM OSSTMM – Rule of Engagement (Rule 41)
73. “The security testing organization should
not outnumber the invited attendees at
the workshop”
ISECOM OSSTMM – Rule of Thumb (Additional calculation)
74. “from the security testing organization at
a workshop, one should always be
the actual tester and one other should
always be a commercial (sales) person”
ISECOM OSSTMM – Rule of Thumb (Additional calculation)
75. “With or without a Non-Disclosure
Agreement contract, the security Analyst
is required to provide
confidentiality and non-disclosure of
customer information and test results”
ISECOM OSSTMM – Rules Of Engagement (Rule 8)
78. “La composizione dell’Analyst Team è
definita ogni volta che è eseguita
un’attività sulla base dell’ambiente e
dell’architettura in cui si opera”
79. “Assessors should have significant security
and networking knowledge, including
expertise in network
security, FW, IDS/IPS, OS, programming, an
d networking ”
NIST Information Security Assessment Methodology – Assessor Selection and Skill
80. “The test plan may not contain
plans, processes, techniques, or
procedures which are outside the area of
expertise or competence level of the
Analyst”
ISECOM OSSTMM – Rules of Engagement (Rule 19)
81.
82. Riferimenti
IBM X-Force: http://xforce.iss.net/
ISECOM OSSTMM (2.1, 2.2, 3.0), No More Bad Security: http://www.isecom.org/
NIST Technical Guide to Information Security Testing and Assessment (SP800-115)
http://csrc.nist.gov/
OWASP Testing Guide, TOP 10 2010: http://www.owasp.org/
Prince2: http://www.prince-officialsite.com/