SlideShare a Scribd company logo

Security Project Management: Esperienze nella gestione di Vulnerability Assessment e Penetration Test

Simone Onofri
Simone Onofri

"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra) Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto. Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.

1 of 84
Milano, 19-21 ottobre 2011 - Fieramilanocity Security Project Management 1 Esperienze nella gestione di Vulnerability Assessment e Penetration Test Simone Onofri – simone.onofri@techub.it
Milano, 19-21 ottobre 2011 - Fieramilanocity Agenda • Introduzione • Cos’è il Security Project Management? • Come fare? • Svolgimento! • Creare il Team 2 • Conclusioni
Milano, 19-21 ottobre 2011 - Fieramilanocity Cos’è IWA? IWA/HWG è un’Associazione professionale no profit riconosciuta Partecipazioni internazionali leader mondiale nella fornitura dei principi e delle certificazioni di formazione per i professionisti della Rete Internet; è presente in 100 paesi, con 130 sedi ufficiali in rappresentanza di più di 165.000 associati. La sua missione: • Fornire programmi formativi di qualità; • Fornire agli associati supporto e collaborazione a livello regionale, nazionale e internazionale, nonché un marchio di 3 Partecipazioni nazionali affiliazione riconosciuto a livello mondiale; • Promuovere i principi universali di etica e di pratica professionale per tutti i professionisti della Rete Internet; •Fornire supporto per la definizione e lo studio di normative nei Paesi in cui è presente Network: http://www.iwa.it http://www.itlists.org http://blog.iwa.it http://webaccessibile.org http://skillprofiles.eu
Milano, 19-21 ottobre 2011 - Fieramilanocity Perché IWA? • Fare rete tra professionisti – Scambiarsi informazioni / esperienze – Condividere buone pratiche di lavoro • Apprendere – Consultare documentazione condivisa 4 – Discutere con gli altri soci – Partecipare ad eventi formativi / informativi • Divulgare – Effetto “ebola”: condividere la conoscenza – Proporsi come discenti per seminari e corsi
Perchè questa presentazione con IWA?
Percentuale delle vulnerabilità scoperte che interessano Applicazioni Web WebApp 37% Altre 63% IBM X-Force® 2011 Mid-year Trend and Risk Report
…cos’è il security project management?
“Organizzazione provvisoria creata allo scopo di consegnare uno o più prodotti aziendali *…+” Progetto – Glossario Prince2
“Pianificazione, delegazione, monitoraggio e controllo di tutti gli aspetti del progetto” Project Management – Glossario Prince2
“la motivazione di tutte le persone coinvolte nel progetto” Project Management – Glossario Prince2
“per raggiungerne le relative finalità entro gli obiettivi di prestazione prestabiliti” Project Management – Glossario Prince2
“tempistica, costi, qualità, ambito, benefici e rischi” Project Management – Glossario Prince2
“is the process of determining how effectively an entity being assessed meets specific security objectives.” NIST – Information Security Assessment Methodology
“security is about protection” Pete Herzog - No More Bad Security
…come fare?
Direction Directing a Project (DP) Initiating a Managing Stage Closing a Management Project (IP) Boundaries (SB) Project (CP) Controlling a Stage (CS) Delivery Managing Product Delivery (MP) Prince2 – Project Flow (parte)
Pete Herzog - No More Bad Security
Planning Developing a Security Prioritizing and Selecting and Assessment Policy Scheduling Assessment Customizing Technique Determining the Developing the Addressing any legal logistics assessment plan consideration Coordination Assessing Execution Analysis Data Handling Post-Execution Mitigation Remediation Reporting Recommendation Mitigation NIST – Information Security Assessment Methodology
Pianificazione Definizione Autorizzazione Kickoff del Piano e Manleva Esecuzione Verifica delle Condizioni di Valutazione Analisi Ingresso Conclusione Piano di Reportistica Workshop Rientro Techub – Security Testing
…svolgimento!
Pianificazione
“definire le modalità dell’attività, secondo le necessità del Cliente, sia da un punto di vista tecnico che di risorse, quindi tempistiche”
Kick-off e Definizione del Piano
Tabella per la definizione di un Security Test
“The scope must be clearly defined contractually before verifying vulnerable services” ISECOM OSSTMM – Rules Of Engagement (Rule 17)
“to gather information needed for assessment execution—such as the assets to be assessed, the threats of interest against the assets, and the security controls to be used to mitigate” NIST Information Security Assessment Methodology – Planning
Timeframe
2 days for a class C <= 12 hops over a 64k digital line Add an additional hour per class C for every hop over 12 More bandwidth will decrease scanning time proportionally Does not count for systems protected by an active IDS or application-level firewall ISECOM OSSTMM – Rule of Thumb (Enumeration)
3 man-weeks for 10 live systems in a class C <= 12 hops over 64k ISDN Add an additional 1/2 man hour per live system for every hop over 12 More bandwidth will decrease testing time proportionally up to 1Mb. Increasing the number of testers will decrease testing time proportionally. Analysis and reporting will become more complicated and take longer with more than 5 testers Does not count for systems protected by an active IDS or application-level firewall ISECOM OSSTMM – Rule of Thumb (OSSTMM Test)
“Total testing time should never exceed 3 months for a single test” ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
“Analysis can begin early but not before half the initial machine time for enumeration has lapsed” ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
“1/2 the time spent testing is needed for reporting” ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
Ulteriori elementi necessari
“If necessary for privileged testing, the client must provide two, separate, access tokens whether they be passwords, certificates, secure ID numbers, badges, etc. and they should be typical to the users of the privileges being tested rather than especially empty or secure accesses.” ISECOM OSSTMM – Rules Of Engagement (Rule 23)
Autorizzazione e Manleva
“the legal departments of each organization may be involved.” NIST Information Security Assessment Methodology – Legal Consideration
“Performing security tests against any scope without explicit written permission from the target owner or appropriate authority is strictly forbidden” ISECOM OSSTMM – Rules Of Engagement (Rule 6)
“Contracts should limit liability to the cost of the job, unless malicious activity has been proven” ISECOM OSSTMM – Rules Of Engagement (Rule 9)
“Contracts must clearly explain the limits and dangers of the security test as part of the statement of work” ISECOM OSSTMM – Rules Of Engagement (Rule 10)
“In the case of remote testing, the contract must include the origin of the Analysts by address, telephone number or IP address.” ISECOM OSSTMM – Rules Of Engagement (Rule 11)
“The contract must include clear, specific permissions for tests involving survivability failures, denial of service, process testing, and social engineering.” ISECOM OSSTMM – Rules Of Engagement (Rule 14)
Esecuzione
“implementare le attività tecniche secondo quanto definito nel piano di intervento”
Verifica delle condizioni di ingresso
Attività tecniche e di analisi
“it is critical for assessors to coordinate with various entities in the organization *…+ for assessment schedule, activities, and potential impacts *…+ ” NIST Information Security Assessment Methodology – Coordination
“Appropriate personnel are informed of any critical high-impact vulnerabilities as soon as they are discovered” NIST Information Security Assessment Methodology – Coordination
“Verified limitations, such as discovered breaches, vulnerabilities with known or high exploitation rates, vulnerabilities which are exploitable for full, unmonitored or untraceable access, or which may immediately endanger lives, discovered during testing must be reported to the customer with a practical solution as soon as they are found” ISECOM OSSTMM – Rules Of Engagement (Rule 28)
“Client notifications are required whenever the Analyst changes the testing plan, changes the source test venue, has low trust findings, or any testing problems have occurred. Notifications must be provided previous to running new, dangerous, or high traffic tests, and regular progress updates are required.” ISECOM OSSTMM – Rules Of Engagement (Rule 35)
Conclusione
“descrivere e presentare i risultati delle attività”
Reportistica e Piano di Rientro
“strutturata su più livelli per facilitare la lettura e la comprensione dei risultati a destinatari di estrazione differente”
“una visione sintetica e di alto livello dei risultati dei test effettuati”
“In caso di attività pregresse viene effettuata l’analisi delle differenze tra la situazione iniziale e quella attuale”
Andamento del Piano di Rientro Quantità delle vulnerabilità P1 P2 P3 P4 Scansione Inizale Scansione dopo 2 settimane Scansione dopo 4 settimane
“il dettaglio tecnico dei risultati delle attività fornendo evidenze e proponendo soluzioni e suggerimenti”
“Per ogni vulnerabilità viene specificata una breve descrizione, la gravità e l’impatto, suggerimenti per il rientro e gli indirizzi IP/URL affetti”
“per ogni vulnerabilità verificata sono descritti i passi dettagliati sia per l’identificazione che per la verifica e i rimedi specifici rispetto il contesto e la classificazione secondo diverse metriche”
“The client must be notified when the report is being sent as to expect its arrival and to confirm receipt of delivery” ISECOM OSSTMM – Rule of Engagement (Rule 40)
“All communication channels for delivery of the report must be end to end confidential.” ISECOM OSSTMM – Rule of Engagement (Rule 41)
Workshop
“The security testing organization should not outnumber the invited attendees at the workshop” ISECOM OSSTMM – Rule of Thumb (Additional calculation)
“from the security testing organization at a workshop, one should always be the actual tester and one other should always be a commercial (sales) person” ISECOM OSSTMM – Rule of Thumb (Additional calculation)
“With or without a Non-Disclosure Agreement contract, the security Analyst is required to provide confidentiality and non-disclosure of customer information and test results” ISECOM OSSTMM – Rules Of Engagement (Rule 8)
…creare il team
“La composizione dell’Analyst Team è definita ogni volta che è eseguita un’attività sulla base dell’ambiente e dell’architettura in cui si opera”
“Assessors should have significant security and networking knowledge, including expertise in network security, FW, IDS/IPS, OS, programming, an d networking ” NIST Information Security Assessment Methodology – Assessor Selection and Skill
“The test plan may not contain plans, processes, techniques, or procedures which are outside the area of expertise or competence level of the Analyst” ISECOM OSSTMM – Rules of Engagement (Rule 19)
Riferimenti IBM X-Force: http://xforce.iss.net/ ISECOM OSSTMM (2.1, 2.2, 3.0), No More Bad Security: http://www.isecom.org/ NIST Technical Guide to Information Security Testing and Assessment (SP800-115) http://csrc.nist.gov/ OWASP Testing Guide, TOP 10 2010: http://www.owasp.org/ Prince2: http://www.prince-officialsite.com/
Credits fotografici Diegohp93, Rickydavid, ohskylab, Florence Ivy, yuan2003, MrTopf, sonrisa electrica, twicepix, Boyce Duprey, Marco Wessel, UNC - CFC - USFK
Grazie Simone Onofri simone.onofri@techub.it http://www.techub.it

Recommended

ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesSimone Onofri
 
Security Project Management - Agile nei servizi di Cyber Security
Security Project Management - Agile nei servizi di Cyber SecuritySecurity Project Management - Agile nei servizi di Cyber Security
Security Project Management - Agile nei servizi di Cyber SecuritySimone Onofri
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Agile nei servizi di cyber security (Security Summit Edition)
Agile nei servizi di cyber security (Security Summit Edition)Agile nei servizi di cyber security (Security Summit Edition)
Agile nei servizi di cyber security (Security Summit Edition)Simone Onofri
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2Pierluigi Sartori
 
Agile Project Framework
Agile Project FrameworkAgile Project Framework
Agile Project FrameworkSimone Onofri
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 

Recommended

ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesSimone Onofri
 
Security Project Management - Agile nei servizi di Cyber Security
Security Project Management - Agile nei servizi di Cyber SecuritySecurity Project Management - Agile nei servizi di Cyber Security
Security Project Management - Agile nei servizi di Cyber SecuritySimone Onofri
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Agile nei servizi di cyber security (Security Summit Edition)
Agile nei servizi di cyber security (Security Summit Edition)Agile nei servizi di cyber security (Security Summit Edition)
Agile nei servizi di cyber security (Security Summit Edition)Simone Onofri
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2Pierluigi Sartori
 
Agile Project Framework
Agile Project FrameworkAgile Project Framework
Agile Project FrameworkSimone Onofri
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difeseWeb Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difeseSimone Onofri
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
 
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaHackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaSimone Onofri
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriSimone Onofri
 
Introduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmIntroduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmSimone Onofri
 
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...Simone Onofri
 
ORM Injection
ORM InjectionORM Injection
ORM InjectionSimone Onofri
 
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...Simone Onofri
 
Agile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & BusinessAgile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & BusinessSimone Onofri
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Simone Onofri
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaSimone Onofri
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
 
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...Simone Onofri
 
Agile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e KanbanAgile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e KanbanSimone Onofri
 
TEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieTEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieSimone Onofri
 
Greek Gods
Greek GodsGreek Gods
Greek GodsPreston Hall Middle School
 
Training Program
Training ProgramTraining Program
Training Programngkaihoe
 
Waiting for the Babel Fish: Languages and Multilingualism
Waiting for the Babel Fish: Languages and MultilingualismWaiting for the Babel Fish: Languages and Multilingualism
Waiting for the Babel Fish: Languages and Multilingualismsbooth
 
Revelation intro
Revelation introRevelation intro
Revelation introPreston Hall Middle School
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations CenterSylvio Verrecchia - IT Security Engineer
 
Quality Software Development LifeCycle
Quality Software Development LifeCycleQuality Software Development LifeCycle
Quality Software Development LifeCycleConsulthinkspa
 

More Related Content

Viewers also liked

Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difeseWeb Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difeseSimone Onofri
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterSimone Onofri
 
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaHackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaSimone Onofri
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriSimone Onofri
 
Introduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmIntroduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmSimone Onofri
 
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...Simone Onofri
 
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...Simone Onofri
 
Agile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & BusinessAgile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & BusinessSimone Onofri
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Simone Onofri
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaSimone Onofri
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
 
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...Simone Onofri
 
Agile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e KanbanAgile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e KanbanSimone Onofri
 
TEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieTEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieSimone Onofri
 
Training Program
Training ProgramTraining Program
Training Programngkaihoe
 
Waiting for the Babel Fish: Languages and Multilingualism
Waiting for the Babel Fish: Languages and MultilingualismWaiting for the Babel Fish: Languages and Multilingualism
Waiting for the Babel Fish: Languages and Multilingualismsbooth
 

Viewers also liked (20)

Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difeseWeb Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 WinterMamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
 
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesaHackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofri
 
Introduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmmIntroduzione ai network penetration test secondo osstmm
Introduzione ai network penetration test secondo osstmm
 
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
 
ORM Injection
ORM InjectionORM Injection
ORM Injection
 
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
 
Agile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & BusinessAgile lean conference - Agile, Lean & Business
Agile lean conference - Agile, Lean & Business
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e DifesaHackers vs Developers - SQL Injection - Attacco e Difesa
Hackers vs Developers - SQL Injection - Attacco e Difesa
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
 
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...
 
Agile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e KanbanAgile Lean Management - MoSCoW, Timeboxing e Kanban
Agile Lean Management - MoSCoW, Timeboxing e Kanban
 
TEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove TecnologieTEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
TEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
 
Greek Gods
Greek GodsGreek Gods
Greek Gods
 
Training Program
Training ProgramTraining Program
Training Program
 
Waiting for the Babel Fish: Languages and Multilingualism
Waiting for the Babel Fish: Languages and MultilingualismWaiting for the Babel Fish: Languages and Multilingualism
Waiting for the Babel Fish: Languages and Multilingualism
 
Revelation intro
Revelation introRevelation intro
Revelation intro
 

Similar to Security Project Management: Esperienze nella gestione di Vulnerability Assessment e Penetration Test

Quality Software Development LifeCycle
Quality Software Development LifeCycleQuality Software Development LifeCycle
Quality Software Development LifeCycleConsulthinkspa
 
DabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingDabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingPANTA RAY
 
iVision Software 2.3
iVision Software 2.3iVision Software 2.3
iVision Software 2.3ivisionweb
 
"BYOD Toolkit": Bring Your Own Device chiavi in mano | CleverMobile Webinar
"BYOD Toolkit": Bring Your Own Device chiavi in mano | CleverMobile Webinar"BYOD Toolkit": Bring Your Own Device chiavi in mano | CleverMobile Webinar
"BYOD Toolkit": Bring Your Own Device chiavi in mano | CleverMobile WebinarClever Consulting
 
Segnali dal futuro. Prevedere le prestazioni dei sistemi web ed evitare gli a...
Segnali dal futuro. Prevedere le prestazioni dei sistemi web ed evitare gli a...Segnali dal futuro. Prevedere le prestazioni dei sistemi web ed evitare gli a...
Segnali dal futuro. Prevedere le prestazioni dei sistemi web ed evitare gli a...K-Tech Formazione
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected frameworkRauno De Pasquale
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsEmerasoft, solutions to collaborate
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016uninfoit
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA SecurityEnzo M. Tieghi
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
 
Smau Milano 2019 - ISIPM
Smau Milano 2019 - ISIPMSmau Milano 2019 - ISIPM
Smau Milano 2019 - ISIPMSMAU
 
La governance de iprogetti agili
La governance de iprogetti agiliLa governance de iprogetti agili
La governance de iprogetti agiliinspearit Italy
 

Similar to Security Project Management: Esperienze nella gestione di Vulnerability Assessment e Penetration Test (20)

Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
Quality Software Development LifeCycle
Quality Software Development LifeCycleQuality Software Development LifeCycle
Quality Software Development LifeCycle
 
DabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingDabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum Meeting
 
iVision Software 2.3
iVision Software 2.3iVision Software 2.3
iVision Software 2.3
 
"BYOD Toolkit": Bring Your Own Device chiavi in mano | CleverMobile Webinar
"BYOD Toolkit": Bring Your Own Device chiavi in mano | CleverMobile Webinar"BYOD Toolkit": Bring Your Own Device chiavi in mano | CleverMobile Webinar
"BYOD Toolkit": Bring Your Own Device chiavi in mano | CleverMobile Webinar
 
Segnali dal futuro. Prevedere le prestazioni dei sistemi web ed evitare gli a...
Segnali dal futuro. Prevedere le prestazioni dei sistemi web ed evitare gli a...Segnali dal futuro. Prevedere le prestazioni dei sistemi web ed evitare gli a...
Segnali dal futuro. Prevedere le prestazioni dei sistemi web ed evitare gli a...
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected framework
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio Devops
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
 
WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016
 
Owasp parte2
Owasp parte2Owasp parte2
Owasp parte2
 
L'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuroL'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuro
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
Software Testing Forum 2012 - Polarion e TRS SpA
Software Testing Forum 2012 - Polarion e TRS SpASoftware Testing Forum 2012 - Polarion e TRS SpA
Software Testing Forum 2012 - Polarion e TRS SpA
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevante
 
Smau Milano 2019 - ISIPM
Smau Milano 2019 - ISIPMSmau Milano 2019 - ISIPM
Smau Milano 2019 - ISIPM
 
La governance de iprogetti agili
La governance de iprogetti agiliLa governance de iprogetti agili
La governance de iprogetti agili
 

More from Simone Onofri

Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Simone Onofri
 
Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day Simone Onofri
 
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deploymentAttacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deploymentSimone Onofri
 
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con LinuxLinux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con LinuxSimone Onofri
 
Agile Lean Conference 2017 - Leadership e facilitazione
Agile Lean Conference 2017 - Leadership e facilitazioneAgile Lean Conference 2017 - Leadership e facilitazione
Agile Lean Conference 2017 - Leadership e facilitazioneSimone Onofri
 
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...Simone Onofri
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Cyber Defense - How to be prepared to APT
Cyber Defense - How to be prepared to APTCyber Defense - How to be prepared to APT
Cyber Defense - How to be prepared to APTSimone Onofri
 
Penetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network SnifferPenetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network SnifferSimone Onofri
 
Agile e Lean Management
Agile e Lean Management Agile e Lean Management
Agile e Lean ManagementSimone Onofri
 
Lean Startup Machine - Rome - Agile e Lean Project Management
Lean Startup Machine - Rome - Agile e Lean Project ManagementLean Startup Machine - Rome - Agile e Lean Project Management
Lean Startup Machine - Rome - Agile e Lean Project ManagementSimone Onofri
 
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service ManagementITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service ManagementSimone Onofri
 

More from Simone Onofri (12)

Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
 
Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day Attacking IoT Devices from a Web Perspective - Linux Day
Attacking IoT Devices from a Web Perspective - Linux Day
 
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deploymentAttacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
 
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con LinuxLinux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
 
Agile Lean Conference 2017 - Leadership e facilitazione
Agile Lean Conference 2017 - Leadership e facilitazioneAgile Lean Conference 2017 - Leadership e facilitazione
Agile Lean Conference 2017 - Leadership e facilitazione
 
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
Cyber Defense - How to be prepared to APT
Cyber Defense - How to be prepared to APTCyber Defense - How to be prepared to APT
Cyber Defense - How to be prepared to APT
 
Penetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network SnifferPenetration Testing con Python - Network Sniffer
Penetration Testing con Python - Network Sniffer
 
Agile e Lean Management
Agile e Lean Management Agile e Lean Management
Agile e Lean Management
 
Lean Startup Machine - Rome - Agile e Lean Project Management
Lean Startup Machine - Rome - Agile e Lean Project ManagementLean Startup Machine - Rome - Agile e Lean Project Management
Lean Startup Machine - Rome - Agile e Lean Project Management
 
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service ManagementITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
 

Security Project Management: Esperienze nella gestione di Vulnerability Assessment e Penetration Test

  • 1. Milano, 19-21 ottobre 2011 - Fieramilanocity Security Project Management 1 Esperienze nella gestione di Vulnerability Assessment e Penetration Test Simone Onofri – simone.onofri@techub.it
  • 2. Milano, 19-21 ottobre 2011 - Fieramilanocity Agenda • Introduzione • Cos’è il Security Project Management? • Come fare? • Svolgimento! • Creare il Team 2 • Conclusioni
  • 3. Milano, 19-21 ottobre 2011 - Fieramilanocity Cos’è IWA? IWA/HWG è un’Associazione professionale no profit riconosciuta Partecipazioni internazionali leader mondiale nella fornitura dei principi e delle certificazioni di formazione per i professionisti della Rete Internet; è presente in 100 paesi, con 130 sedi ufficiali in rappresentanza di più di 165.000 associati. La sua missione: • Fornire programmi formativi di qualità; • Fornire agli associati supporto e collaborazione a livello regionale, nazionale e internazionale, nonché un marchio di 3 Partecipazioni nazionali affiliazione riconosciuto a livello mondiale; • Promuovere i principi universali di etica e di pratica professionale per tutti i professionisti della Rete Internet; •Fornire supporto per la definizione e lo studio di normative nei Paesi in cui è presente Network: http://www.iwa.it http://www.itlists.org http://blog.iwa.it http://webaccessibile.org http://skillprofiles.eu
  • 4. Milano, 19-21 ottobre 2011 - Fieramilanocity Perché IWA? • Fare rete tra professionisti – Scambiarsi informazioni / esperienze – Condividere buone pratiche di lavoro • Apprendere – Consultare documentazione condivisa 4 – Discutere con gli altri soci – Partecipare ad eventi formativi / informativi • Divulgare – Effetto “ebola”: condividere la conoscenza – Proporsi come discenti per seminari e corsi
  • 6. Percentuale delle vulnerabilità scoperte che interessano Applicazioni Web WebApp 37% Altre 63% IBM X-Force® 2011 Mid-year Trend and Risk Report
  • 7. …cos’è il security project management?
  • 8. “Organizzazione provvisoria creata allo scopo di consegnare uno o più prodotti aziendali *…+” Progetto – Glossario Prince2
  • 9. “Pianificazione, delegazione, monitoraggio e controllo di tutti gli aspetti del progetto” Project Management – Glossario Prince2
  • 10. “la motivazione di tutte le persone coinvolte nel progetto” Project Management – Glossario Prince2
  • 11. “per raggiungerne le relative finalità entro gli obiettivi di prestazione prestabiliti” Project Management – Glossario Prince2
  • 12. “tempistica, costi, qualità, ambito, benefici e rischi” Project Management – Glossario Prince2
  • 13. “is the process of determining how effectively an entity being assessed meets specific security objectives.” NIST – Information Security Assessment Methodology
  • 14. “security is about protection” Pete Herzog - No More Bad Security
  • 16. Direction Directing a Project (DP) Initiating a Managing Stage Closing a Management Project (IP) Boundaries (SB) Project (CP) Controlling a Stage (CS) Delivery Managing Product Delivery (MP) Prince2 – Project Flow (parte)
  • 17. Pete Herzog - No More Bad Security
  • 18. Planning Developing a Security Prioritizing and Selecting and Assessment Policy Scheduling Assessment Customizing Technique Determining the Developing the Addressing any legal logistics assessment plan consideration Coordination Assessing Execution Analysis Data Handling Post-Execution Mitigation Remediation Reporting Recommendation Mitigation NIST – Information Security Assessment Methodology
  • 19. Pianificazione Definizione Autorizzazione Kickoff del Piano e Manleva Esecuzione Verifica delle Condizioni di Valutazione Analisi Ingresso Conclusione Piano di Reportistica Workshop Rientro Techub – Security Testing
  • 22. “definire le modalità dell’attività, secondo le necessità del Cliente, sia da un punto di vista tecnico che di risorse, quindi tempistiche”
  • 24.
  • 25. Tabella per la definizione di un Security Test
  • 26. “The scope must be clearly defined contractually before verifying vulnerable services” ISECOM OSSTMM – Rules Of Engagement (Rule 17)
  • 27. “to gather information needed for assessment execution—such as the assets to be assessed, the threats of interest against the assets, and the security controls to be used to mitigate” NIST Information Security Assessment Methodology – Planning
  • 29.
  • 30. 2 days for a class C <= 12 hops over a 64k digital line Add an additional hour per class C for every hop over 12 More bandwidth will decrease scanning time proportionally Does not count for systems protected by an active IDS or application-level firewall ISECOM OSSTMM – Rule of Thumb (Enumeration)
  • 31. 3 man-weeks for 10 live systems in a class C <= 12 hops over 64k ISDN Add an additional 1/2 man hour per live system for every hop over 12 More bandwidth will decrease testing time proportionally up to 1Mb. Increasing the number of testers will decrease testing time proportionally. Analysis and reporting will become more complicated and take longer with more than 5 testers Does not count for systems protected by an active IDS or application-level firewall ISECOM OSSTMM – Rule of Thumb (OSSTMM Test)
  • 32. “Total testing time should never exceed 3 months for a single test” ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
  • 33. “Analysis can begin early but not before half the initial machine time for enumeration has lapsed” ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
  • 34. “1/2 the time spent testing is needed for reporting” ISECOM OSSTMM – Rule of Thumb (Additional Calculation)
  • 36.
  • 37. “If necessary for privileged testing, the client must provide two, separate, access tokens whether they be passwords, certificates, secure ID numbers, badges, etc. and they should be typical to the users of the privileges being tested rather than especially empty or secure accesses.” ISECOM OSSTMM – Rules Of Engagement (Rule 23)
  • 39.
  • 40. “the legal departments of each organization may be involved.” NIST Information Security Assessment Methodology – Legal Consideration
  • 41. “Performing security tests against any scope without explicit written permission from the target owner or appropriate authority is strictly forbidden” ISECOM OSSTMM – Rules Of Engagement (Rule 6)
  • 42. “Contracts should limit liability to the cost of the job, unless malicious activity has been proven” ISECOM OSSTMM – Rules Of Engagement (Rule 9)
  • 43. “Contracts must clearly explain the limits and dangers of the security test as part of the statement of work” ISECOM OSSTMM – Rules Of Engagement (Rule 10)
  • 44. “In the case of remote testing, the contract must include the origin of the Analysts by address, telephone number or IP address.” ISECOM OSSTMM – Rules Of Engagement (Rule 11)
  • 45. “The contract must include clear, specific permissions for tests involving survivability failures, denial of service, process testing, and social engineering.” ISECOM OSSTMM – Rules Of Engagement (Rule 14)
  • 47. “implementare le attività tecniche secondo quanto definito nel piano di intervento”
  • 49.
  • 50. Attività tecniche e di analisi
  • 51.
  • 52. “it is critical for assessors to coordinate with various entities in the organization *…+ for assessment schedule, activities, and potential impacts *…+ ” NIST Information Security Assessment Methodology – Coordination
  • 53.
  • 54. “Appropriate personnel are informed of any critical high-impact vulnerabilities as soon as they are discovered” NIST Information Security Assessment Methodology – Coordination
  • 55. “Verified limitations, such as discovered breaches, vulnerabilities with known or high exploitation rates, vulnerabilities which are exploitable for full, unmonitored or untraceable access, or which may immediately endanger lives, discovered during testing must be reported to the customer with a practical solution as soon as they are found” ISECOM OSSTMM – Rules Of Engagement (Rule 28)
  • 56. “Client notifications are required whenever the Analyst changes the testing plan, changes the source test venue, has low trust findings, or any testing problems have occurred. Notifications must be provided previous to running new, dangerous, or high traffic tests, and regular progress updates are required.” ISECOM OSSTMM – Rules Of Engagement (Rule 35)
  • 58. “descrivere e presentare i risultati delle attività”
  • 59. Reportistica e Piano di Rientro
  • 60. “strutturata su più livelli per facilitare la lettura e la comprensione dei risultati a destinatari di estrazione differente”
  • 61.
  • 62. “una visione sintetica e di alto livello dei risultati dei test effettuati”
  • 63. “In caso di attività pregresse viene effettuata l’analisi delle differenze tra la situazione iniziale e quella attuale”
  • 64. Andamento del Piano di Rientro Quantità delle vulnerabilità P1 P2 P3 P4 Scansione Inizale Scansione dopo 2 settimane Scansione dopo 4 settimane
  • 65.
  • 66. “il dettaglio tecnico dei risultati delle attività fornendo evidenze e proponendo soluzioni e suggerimenti”
  • 67. “Per ogni vulnerabilità viene specificata una breve descrizione, la gravità e l’impatto, suggerimenti per il rientro e gli indirizzi IP/URL affetti”
  • 68. “per ogni vulnerabilità verificata sono descritti i passi dettagliati sia per l’identificazione che per la verifica e i rimedi specifici rispetto il contesto e la classificazione secondo diverse metriche”
  • 69. “The client must be notified when the report is being sent as to expect its arrival and to confirm receipt of delivery” ISECOM OSSTMM – Rule of Engagement (Rule 40)
  • 70. “All communication channels for delivery of the report must be end to end confidential.” ISECOM OSSTMM – Rule of Engagement (Rule 41)
  • 72.
  • 73. “The security testing organization should not outnumber the invited attendees at the workshop” ISECOM OSSTMM – Rule of Thumb (Additional calculation)
  • 74. “from the security testing organization at a workshop, one should always be the actual tester and one other should always be a commercial (sales) person” ISECOM OSSTMM – Rule of Thumb (Additional calculation)
  • 75. “With or without a Non-Disclosure Agreement contract, the security Analyst is required to provide confidentiality and non-disclosure of customer information and test results” ISECOM OSSTMM – Rules Of Engagement (Rule 8)
  • 77.
  • 78. “La composizione dell’Analyst Team è definita ogni volta che è eseguita un’attività sulla base dell’ambiente e dell’architettura in cui si opera”
  • 79. “Assessors should have significant security and networking knowledge, including expertise in network security, FW, IDS/IPS, OS, programming, an d networking ” NIST Information Security Assessment Methodology – Assessor Selection and Skill
  • 80. “The test plan may not contain plans, processes, techniques, or procedures which are outside the area of expertise or competence level of the Analyst” ISECOM OSSTMM – Rules of Engagement (Rule 19)
  • 81.
  • 82. Riferimenti IBM X-Force: http://xforce.iss.net/ ISECOM OSSTMM (2.1, 2.2, 3.0), No More Bad Security: http://www.isecom.org/ NIST Technical Guide to Information Security Testing and Assessment (SP800-115) http://csrc.nist.gov/ OWASP Testing Guide, TOP 10 2010: http://www.owasp.org/ Prince2: http://www.prince-officialsite.com/
  • 83. Credits fotografici Diegohp93, Rickydavid, ohskylab, Florence Ivy, yuan2003, MrTopf, sonrisa electrica, twicepix, Boyce Duprey, Marco Wessel, UNC - CFC - USFK