Abstract image of a woman sitting on books and studying on a laptop

Polino fiera dellevante

Redazione InnovaPuglia, profile picture
Redazione InnovaPuglia

Il documento tratta della qualità del software e della sicurezza informatica, evidenziando standard come ISO/IEC 27001 e ISO/IEC 25010, che rappresentano metodologie per la gestione della sicurezza IT e la valutazione della qualità del software. Si approfondiscono analisi delle vulnerabilità, penetration testing e metodologie fornite da organizzazioni come OWASP, con focus sulla protezione delle informazioni e sui rischi associati. Infine, viene discussa l'importanza della sicurezza nel software, inclusi aspetti come riservatezza, integrità, e autenticità.

Technology
1 of 14
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Qualità del software: Sicurezza Qualità del software: Sicurezza Standard e tecniche di analisi per la sicurezzaStandard e tecniche di analisi per la sicurezza www.cybsec.it via Pietro L. Laforgia, 24 - 70126 Bari +39 080 8092051 info@cybsec.it P.IVA 07951270722
Sicurezza IT: ISO/IEC 27001 Permette di valutare attentamente i rischi per il business e le diverse tipologie di informazioni gestite. Evidenzia le aree in cui è necessario un miglioramento. Può essere definito una metodologia per la gestione della sicurezza IT. Vantaggi: ● Minimizzazione e controllo del rischio. ● Riduzione costi e delle violazioni di sicurezza IT. ● Riconoscimento vulnerabilità. ● Standardizzazione = vantaggio competitivo. ● Rafforzamento fiducia e soddisfazione con / degli stakeholder. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Qualità del software: ISO/IEC 25010 via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 Adeguatezza funzionale Performance Compatibilità Usabilità Affidabilità Sicurezza Manutenibilità Portabilità Completezza Correttezza Appropriatezza Tempo Risorse Capacità Coesistenza Interoperabilità Riconoscibilit à Apprendibilità Operabilità Protezione errori Estetica Accessibilità Maturità Disponibilità Tolleranza Ripristino Riservatezza Integrità Non ripudio Trasparenza Autenticità Modularità Riusabilità Analizzabilità Modificabilità Testabilità Adattabilità Installabilità Sostituibilità
ISO/IEC 25010 ● Sostituisce ISO/IEC 9126-1 del 1991-2001. Riprende alcune definizioni dello standard ISO 9241-X. ● Lo standard per le fasi di coding, test ed esercizio sia per Web App che per quelle di tipo conversazionale, comunicativo e operativo. ● Modello di qualità base ISO/IEC 25023 sulla misurazione della qualità del software e ISO/IEC 25051 sui requisiti e testing dei prodotti a scaffale (RUSP). ● Sviluppo, manutenzione, acquisto di software, assicurazione di qualità, revisione, valutazione, certificazione. ● Definizione di Qualità ○ interna, relativa a proprietà "statiche/strutturali" del software verificabili con analizzatori o ispezioni. ○ esterna, relativa a proprietà "dinamiche/comportamentali" del software verificabili in esecuzione in ambienti simulati. ○ in uso, relativa all'impatto del software sul campo verificabile nei contesti d'uso in ambienti simulati o reali, tenendo anche conto della partecipazione degli utenti e della User Experience. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Sicurezza parametro di qualità A cosa si riferisce? Il grado con cui un prodotto o sistema protegge le informazioni e i dati da persone, altri prodotti o sistemi che possiedono un grado di accesso ai dati appropriato al loro tipo e livello di autorizzazione. Si intuisce che la sicurezza contribuisce alla fiducia. ● Riservatezza: dato accessibile solo a chi è autorizzato. ● Integrità: prevenzione agli accessi o modifiche non autorizzati / e. ● Non ripudio: prova di paternità di un’azione o evento, che sottintende il non ripudio. ● Trasparenza (Accountability): tracciamento delle azioni intraprese da un’entità. ● Autenticità: prova di identità di un soggetto o di una risorsa. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Common Vulnerabilities and Exposure (CVE) via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 ● Gestito dal MITRE (ONG USA), organizza le vulnerabilità con un punteggio ● Database organizzato delle vulnerabilità riconosciute del software pubblico ○ e.g. Sistemi Operativi: Windows, kernel Linux ○ e.g. Content Management System: Drupal, Joomla, Wordpress ● Utilizza una serie di Authority riconosciute dal MITRE per inserire le vulnerabilità ● Richieste per vulnerabilità inserite dalla community di sviluppatori o ethical hacker (White Hat) ● Oggi 05/09/2018: 106477 vulnerabilità inserite ● Comprende il famoso U.S. National Vulnerability Database (NVD)
Common Weakness Enumeration (CWE) ● Gestito dal MITRE (ONG USA), organizza le debolezze con un punteggio ● Database organizzato delle debolezze di sicurezza causate da programmazione errata ○ e.g. lettura dati ○ e.g. scrittura dati ○ e.g. login ● Strutturato in categorie per sviluppatori, ricercatori e ingegneri del software ● Worst Practice che causano debolezze ● Oggi 05/09/2018: 716 debolezze inserite via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Open Web Application Security Project (OWASP) ● Fondazione USA (ONG) dal 2001, partecipano da tutto il mondo ● Propongono una metodologia (Framework) di sicurezza ● Si definiscono OPEN ○ la libertà dalle pressioni commerciali permette loro di fornire informazioni sulla sicurezza delle applicazioni che siano: imparziali, pratiche e a costo zero ○ offrono supporto alle aziende sull’uso della tecnologia di sicurezza in commercio e non sono affiliati a nessuna di loro ● Il materiale che producono è di libero accesso ○ Zed Attack Proxy (ZAP): strumento per ricercare automaticamente vulnerabilità ○ Top Ten: lista delle tipologie di vulnerabilità più sfruttate ○ Progetti di sviluppo: ModSecurity CRS e CSFRGuard. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Vulnerability Assessment ● Analisi continuativa dei sistemi (comprese le applicazioni) ○ Vengono definiti i target, i channel e i vector ● Ciclo di vita basato sul PDCA (Plan-Do-Check-Act): ○ Discover (Plan): raccolta delle informazioni sui sistemi e sull’azienda ○ Prioritize (Plan-Do): pianificazione dell’intervento, vengono definite le priorità in base al rischio supposto più alto ○ Asses (Do-Check): fase di controllo delle vulnerabilità e valutazione reale del rischio ○ Report (Check): si stilano le valutazioni e i rischi con un linguaggio comprensibile anche ai non addetti ○ Remediate (Act): si propongono gli interventi e si realizzano ○ Verify (Act-Plan): si riparte verificando i risultati e stilando le procedure per la nuova fase di discovery via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Vulnerability Assessment interno ed esterno ● Interno ○ Verifica dell'aggiornamento dei sistemi esposti ○ Sicurezza sugli attacchi mirati all’accesso diretto alla rete ○ Analisi interna alla / e sede / i dell’azienda ■ Rete Cloud privata ● Esterno ○ Verifica del livello di sicurezza dei sistemi esposti ○ Simulazione di attacco da una posizione fisica esterna alla rete aziendale ○ Analisi su servizi esposti alla rete internet ■ HTTP, SMTP, etc. ■ VPN ■ Rete Cloud pubblica ■ Ad hoc (su porte TCP o UDP) ○ Obblighi di legge (stakeholder, e.g. GDPR) via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
Penetration Testing via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 ● Testing della sicurezza degli accessi alla rete interna: ○ sui sistemi (server interni, DMZ, etc.) ○ su applicativo (accesso a database, file di configurazione, etc.) ● Test continuativi (modifiche o aggiornamenti) ● Ciclo di vita (fase attiva 1, 2, 4 - fase passiva 3, 5, 6): ○ Information Gathering: si raccolgono informazioni dall’esterno ○ Threat modeling: si applicano metodi per l’identificazione delle minacce ○ Vulnerability Analysis: si analizzano le vulnerabilità per decidere come effettuare l’attacco ○ Exploitation: si effettua l’attacco con applicazione degli exploit ○ Post Exploitation: si analizza cosa è compromesso e si misura il danno ○ Reporting: si realizzano i report riassuntivi
Penetration Test su applicativo ● Risulta uno strumento laddove sia presente un’applicazione esposta o pubblicata sulla Internet. ● Quest’analisi viene svolta ricorrendo a sistemi semi-automatici solo nella fase iniziale: per essere completata, infatti, richiede capacità tecniche ed esperienza. ● La metodologia utilizzata è quella definita dal framework proposto da OWASP (Open Web Application Security Project). ● Verifica sui punti della OWASP top 10 (2017): ○ Injection - Presente dal 2003 ○ Broken Authentication - Presente dal 2003, mitigato il problema di Session Management ○ Sensitive Data Exposure ○ XML External Entities (XXE) ○ Broken Access Control - Presente dal 2003 ○ Security Misconfiguration ○ Cross-Site Scripting (XSS) - Presente dal 2003 ○ Insecure Deserialization ○ Using Components with Known Vulnerabilities ○ Insufficient Logging&Monitoring via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722
VA vs PenTest via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - info@cybsec.it - www.cybsec.it - P.IVA 07951270722 Grado di conoscenza degli attori: Target e Attacker ● VA -> Workflow generico ○ Molteplici metodologie e framework ■ e.g. NIST SP800 - 42 / 115, OSSTMM, OWASP ○ Si possono effettuare PenTest per il VA esterno ○ Analisi e report dettagliati (linguaggio meno tecnico) ○ Valutazione dei rischi e proposta soluzioni ○ Tipologie Tandem, Blind ● PenTest -> Workflow definito ○ Molteplici metodologie e framework (e.g. OSSTMM) ○ Report analitici non necessari ma consigliati (linguaggio tecnico) ○ Solo valutazioni, nessuna soluzione ○ Tipologie Double Blind
info@cybsec.it www.cybsec.it 080 - 8092051 via Pietro L. Laforgia 24, 70126 Bari

More Related Content

PDF
Sicurezza e rete
Luca Moroni ✔✔
 
PDF
Android Security - Key Management at GDG DevFest Rome 2013
Consulthinkspa
 
PDF
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
PDF
Gli audit in ambito privacy
CSI Piemonte
 
PDF
Smau Milano 2016 - Marco Bozzetti, Aipsi
SMAU
 
PDF
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Luca Moroni ✔✔
 
PDF
Proteggere i dispositivi mobili
Luca Moroni ✔✔
 
PPTX
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Luca Moroni ✔✔
 
Sicurezza e rete
Luca Moroni ✔✔
 
Android Security - Key Management at GDG DevFest Rome 2013
Consulthinkspa
 
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
Gli audit in ambito privacy
CSI Piemonte
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
SMAU
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Luca Moroni ✔✔
 
Proteggere i dispositivi mobili
Luca Moroni ✔✔
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Luca Moroni ✔✔
 

What's hot (17)

PPT
Padova13 luca moroni3
Luca Moroni ✔✔
 
PDF
Attacchi e difese: l'esperienza del CSI Piemonte
CSI Piemonte
 
PDF
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
BL4CKSWAN Srl
 
PDF
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
BL4CKSWAN Srl
 
PDF
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
Simone Onofri
 
PDF
Caso 3
Luca Moroni ✔✔
 
PDF
Strumenti ISACA a supporto della conformità con il GDPR
Luca Moroni ✔✔
 
PPTX
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Luca Moroni ✔✔
 
PDF
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU
 
PDF
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security
 
PDF
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
PDF
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
PDF
Cyber ready?
CSI Piemonte
 
PDF
Confindustria udine sicurezza in produzione 2014
Luca Moroni ✔✔
 
PDF
Offensive security con strumenti open source
Pordenone LUG
 
PDF
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
uninfoit
 
PDF
Come proteggersi dagli attacchi informatici
Emerasoft, solutions to collaborate
 
Padova13 luca moroni3
Luca Moroni ✔✔
 
Attacchi e difese: l'esperienza del CSI Piemonte
CSI Piemonte
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
BL4CKSWAN Srl
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
BL4CKSWAN Srl
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
Simone Onofri
 
Caso 3
Luca Moroni ✔✔
 
Strumenti ISACA a supporto della conformità con il GDPR
Luca Moroni ✔✔
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Luca Moroni ✔✔
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Cyber ready?
CSI Piemonte
 
Confindustria udine sicurezza in produzione 2014
Luca Moroni ✔✔
 
Offensive security con strumenti open source
Pordenone LUG
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
uninfoit
 
Come proteggersi dagli attacchi informatici
Emerasoft, solutions to collaborate
 
Ad

Similar to Polino fiera dellevante (20)

PPTX
CCI 2019 - SQL Injection - Black Hat Vs White Hat
walk2talk srl
 
PPTX
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Luca_Moroni
 
PDF
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
PPTX
EVENTO PARADIGMA
SWASCAN
 
PDF
Automotive Security
raffaele_forte
 
PDF
Security by design: la cyber security per un progetto innovativo
I3P
 
PPTX
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
PDF
Offering - Vulnerability assessment & ethical hacking
Xenesys
 
PPTX
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
PDF
Un Volo Sulla Cybersecurity
Luca Moroni ✔✔
 
ODP
Sicurezza Informatica Nelle Aziende Installfest2007
jekil
 
PDF
Sicurezza nelle applicazioni web - attacchi e rischi
Marino Di Clemente
 
PDF
Massimo Chirivì AIPSI - SMAU Milano 2017
SMAU
 
PPT
6 presentazione lagioia-finale-n2
Redazione InnovaPuglia
 
PPT
Progetti Open Source Per La Sicurezza Delle Web Applications
Marco Morana
 
PDF
Banche e Sicurezza 2016_Agenda
ABIEventi
 
PDF
Applicazione di una metofolgia di analisi e valutazione del rischio informatico
Federico Cergol
 
PPTX
Security Summit Rome 2011
Marco Morana
 
PDF
Marco Bozzetti AIPSI - SMAU Milano 2017
SMAU
 
PPT
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 
CCI 2019 - SQL Injection - Black Hat Vs White Hat
walk2talk srl
 
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Luca_Moroni
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
EVENTO PARADIGMA
SWASCAN
 
Automotive Security
raffaele_forte
 
Security by design: la cyber security per un progetto innovativo
I3P
 
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
Offering - Vulnerability assessment & ethical hacking
Xenesys
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
Un Volo Sulla Cybersecurity
Luca Moroni ✔✔
 
Sicurezza Informatica Nelle Aziende Installfest2007
jekil
 
Sicurezza nelle applicazioni web - attacchi e rischi
Marino Di Clemente
 
Massimo Chirivì AIPSI - SMAU Milano 2017
SMAU
 
6 presentazione lagioia-finale-n2
Redazione InnovaPuglia
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Marco Morana
 
Banche e Sicurezza 2016_Agenda
ABIEventi
 
Applicazione di una metofolgia di analisi e valutazione del rischio informatico
Federico Cergol
 
Security Summit Rome 2011
Marco Morana
 
Marco Bozzetti AIPSI - SMAU Milano 2017
SMAU
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 
Ad

More from Redazione InnovaPuglia (20)

PDF
Piano triennale 2022-2024 - PRESNTAZIONE
Redazione InnovaPuglia
 
PDF
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
Redazione InnovaPuglia
 
PPTX
Presentazione innovapuglia _settembre2016.pptx
Redazione InnovaPuglia
 
PDF
InnovaPuglia 2014 2018
Redazione InnovaPuglia
 
PDF
InnovaPuglia: I primi due anni
Redazione InnovaPuglia
 
PDF
InnovaPuglia 2015
Redazione InnovaPuglia
 
PDF
Sird imm Presentazione regione puglia
Redazione InnovaPuglia
 
PDF
Presentazione InnovaPuglia 2021
Redazione InnovaPuglia
 
PDF
Procedura bando innoprocess
Redazione InnovaPuglia
 
PDF
Presentazione innoprocess
Redazione InnovaPuglia
 
PDF
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Redazione InnovaPuglia
 
PDF
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Redazione InnovaPuglia
 
PDF
Chris neely the future of cyber security events 3
Redazione InnovaPuglia
 
PDF
Cyber risks impatti, valutazioni e ragioni light
Redazione InnovaPuglia
 
PDF
The new frontiers of it in apulia experiences for global security paul dcruz ...
Redazione InnovaPuglia
 
PDF
Intervento Danilo Caivano a International Business Forum
Redazione InnovaPuglia
 
PDF
Intervento Marco Angelini a International Business Forum
Redazione InnovaPuglia
 
PDF
Intervento Francesco Vestito a International Business Forum
Redazione InnovaPuglia
 
PDF
The Social&Creative Community featured by TALIA project
Redazione InnovaPuglia
 
PPTX
Presentazione Marco Curci
Redazione InnovaPuglia
 
Piano triennale 2022-2024 - PRESNTAZIONE
Redazione InnovaPuglia
 
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
Redazione InnovaPuglia
 
Presentazione innovapuglia _settembre2016.pptx
Redazione InnovaPuglia
 
InnovaPuglia 2014 2018
Redazione InnovaPuglia
 
InnovaPuglia: I primi due anni
Redazione InnovaPuglia
 
InnovaPuglia 2015
Redazione InnovaPuglia
 
Sird imm Presentazione regione puglia
Redazione InnovaPuglia
 
Presentazione InnovaPuglia 2021
Redazione InnovaPuglia
 
Procedura bando innoprocess
Redazione InnovaPuglia
 
Presentazione innoprocess
Redazione InnovaPuglia
 
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Redazione InnovaPuglia
 
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Redazione InnovaPuglia
 
Chris neely the future of cyber security events 3
Redazione InnovaPuglia
 
Cyber risks impatti, valutazioni e ragioni light
Redazione InnovaPuglia
 
The new frontiers of it in apulia experiences for global security paul dcruz ...
Redazione InnovaPuglia
 
Intervento Danilo Caivano a International Business Forum
Redazione InnovaPuglia
 
Intervento Marco Angelini a International Business Forum
Redazione InnovaPuglia
 
Intervento Francesco Vestito a International Business Forum
Redazione InnovaPuglia
 
The Social&Creative Community featured by TALIA project
Redazione InnovaPuglia
 
Presentazione Marco Curci
Redazione InnovaPuglia
 

Polino fiera dellevante

  • 1. Qualità del software: Sicurezza Qualità del software: Sicurezza Standard e tecniche di analisi per la sicurezzaStandard e tecniche di analisi per la sicurezza www.cybsec.it via Pietro L. Laforgia, 24 - 70126 Bari +39 080 8092051 [email protected] P.IVA 07951270722
  • 2. Sicurezza IT: ISO/IEC 27001 Permette di valutare attentamente i rischi per il business e le diverse tipologie di informazioni gestite. Evidenzia le aree in cui è necessario un miglioramento. Può essere definito una metodologia per la gestione della sicurezza IT. Vantaggi: ● Minimizzazione e controllo del rischio. ● Riduzione costi e delle violazioni di sicurezza IT. ● Riconoscimento vulnerabilità. ● Standardizzazione = vantaggio competitivo. ● Rafforzamento fiducia e soddisfazione con / degli stakeholder. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722
  • 3. Qualità del software: ISO/IEC 25010 via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722 Adeguatezza funzionale Performance Compatibilità Usabilità Affidabilità Sicurezza Manutenibilità Portabilità Completezza Correttezza Appropriatezza Tempo Risorse Capacità Coesistenza Interoperabilità Riconoscibilit à Apprendibilità Operabilità Protezione errori Estetica Accessibilità Maturità Disponibilità Tolleranza Ripristino Riservatezza Integrità Non ripudio Trasparenza Autenticità Modularità Riusabilità Analizzabilità Modificabilità Testabilità Adattabilità Installabilità Sostituibilità
  • 4. ISO/IEC 25010 ● Sostituisce ISO/IEC 9126-1 del 1991-2001. Riprende alcune definizioni dello standard ISO 9241-X. ● Lo standard per le fasi di coding, test ed esercizio sia per Web App che per quelle di tipo conversazionale, comunicativo e operativo. ● Modello di qualità base ISO/IEC 25023 sulla misurazione della qualità del software e ISO/IEC 25051 sui requisiti e testing dei prodotti a scaffale (RUSP). ● Sviluppo, manutenzione, acquisto di software, assicurazione di qualità, revisione, valutazione, certificazione. ● Definizione di Qualità ○ interna, relativa a proprietà "statiche/strutturali" del software verificabili con analizzatori o ispezioni. ○ esterna, relativa a proprietà "dinamiche/comportamentali" del software verificabili in esecuzione in ambienti simulati. ○ in uso, relativa all'impatto del software sul campo verificabile nei contesti d'uso in ambienti simulati o reali, tenendo anche conto della partecipazione degli utenti e della User Experience. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722
  • 5. Sicurezza parametro di qualità A cosa si riferisce? Il grado con cui un prodotto o sistema protegge le informazioni e i dati da persone, altri prodotti o sistemi che possiedono un grado di accesso ai dati appropriato al loro tipo e livello di autorizzazione. Si intuisce che la sicurezza contribuisce alla fiducia. ● Riservatezza: dato accessibile solo a chi è autorizzato. ● Integrità: prevenzione agli accessi o modifiche non autorizzati / e. ● Non ripudio: prova di paternità di un’azione o evento, che sottintende il non ripudio. ● Trasparenza (Accountability): tracciamento delle azioni intraprese da un’entità. ● Autenticità: prova di identità di un soggetto o di una risorsa. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722
  • 6. Common Vulnerabilities and Exposure (CVE) via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722 ● Gestito dal MITRE (ONG USA), organizza le vulnerabilità con un punteggio ● Database organizzato delle vulnerabilità riconosciute del software pubblico ○ e.g. Sistemi Operativi: Windows, kernel Linux ○ e.g. Content Management System: Drupal, Joomla, Wordpress ● Utilizza una serie di Authority riconosciute dal MITRE per inserire le vulnerabilità ● Richieste per vulnerabilità inserite dalla community di sviluppatori o ethical hacker (White Hat) ● Oggi 05/09/2018: 106477 vulnerabilità inserite ● Comprende il famoso U.S. National Vulnerability Database (NVD)
  • 7. Common Weakness Enumeration (CWE) ● Gestito dal MITRE (ONG USA), organizza le debolezze con un punteggio ● Database organizzato delle debolezze di sicurezza causate da programmazione errata ○ e.g. lettura dati ○ e.g. scrittura dati ○ e.g. login ● Strutturato in categorie per sviluppatori, ricercatori e ingegneri del software ● Worst Practice che causano debolezze ● Oggi 05/09/2018: 716 debolezze inserite via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722
  • 8. Open Web Application Security Project (OWASP) ● Fondazione USA (ONG) dal 2001, partecipano da tutto il mondo ● Propongono una metodologia (Framework) di sicurezza ● Si definiscono OPEN ○ la libertà dalle pressioni commerciali permette loro di fornire informazioni sulla sicurezza delle applicazioni che siano: imparziali, pratiche e a costo zero ○ offrono supporto alle aziende sull’uso della tecnologia di sicurezza in commercio e non sono affiliati a nessuna di loro ● Il materiale che producono è di libero accesso ○ Zed Attack Proxy (ZAP): strumento per ricercare automaticamente vulnerabilità ○ Top Ten: lista delle tipologie di vulnerabilità più sfruttate ○ Progetti di sviluppo: ModSecurity CRS e CSFRGuard. via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722
  • 9. Vulnerability Assessment ● Analisi continuativa dei sistemi (comprese le applicazioni) ○ Vengono definiti i target, i channel e i vector ● Ciclo di vita basato sul PDCA (Plan-Do-Check-Act): ○ Discover (Plan): raccolta delle informazioni sui sistemi e sull’azienda ○ Prioritize (Plan-Do): pianificazione dell’intervento, vengono definite le priorità in base al rischio supposto più alto ○ Asses (Do-Check): fase di controllo delle vulnerabilità e valutazione reale del rischio ○ Report (Check): si stilano le valutazioni e i rischi con un linguaggio comprensibile anche ai non addetti ○ Remediate (Act): si propongono gli interventi e si realizzano ○ Verify (Act-Plan): si riparte verificando i risultati e stilando le procedure per la nuova fase di discovery via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722
  • 10. Vulnerability Assessment interno ed esterno ● Interno ○ Verifica dell'aggiornamento dei sistemi esposti ○ Sicurezza sugli attacchi mirati all’accesso diretto alla rete ○ Analisi interna alla / e sede / i dell’azienda ■ Rete Cloud privata ● Esterno ○ Verifica del livello di sicurezza dei sistemi esposti ○ Simulazione di attacco da una posizione fisica esterna alla rete aziendale ○ Analisi su servizi esposti alla rete internet ■ HTTP, SMTP, etc. ■ VPN ■ Rete Cloud pubblica ■ Ad hoc (su porte TCP o UDP) ○ Obblighi di legge (stakeholder, e.g. GDPR) via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722
  • 11. Penetration Testing via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722 ● Testing della sicurezza degli accessi alla rete interna: ○ sui sistemi (server interni, DMZ, etc.) ○ su applicativo (accesso a database, file di configurazione, etc.) ● Test continuativi (modifiche o aggiornamenti) ● Ciclo di vita (fase attiva 1, 2, 4 - fase passiva 3, 5, 6): ○ Information Gathering: si raccolgono informazioni dall’esterno ○ Threat modeling: si applicano metodi per l’identificazione delle minacce ○ Vulnerability Analysis: si analizzano le vulnerabilità per decidere come effettuare l’attacco ○ Exploitation: si effettua l’attacco con applicazione degli exploit ○ Post Exploitation: si analizza cosa è compromesso e si misura il danno ○ Reporting: si realizzano i report riassuntivi
  • 12. Penetration Test su applicativo ● Risulta uno strumento laddove sia presente un’applicazione esposta o pubblicata sulla Internet. ● Quest’analisi viene svolta ricorrendo a sistemi semi-automatici solo nella fase iniziale: per essere completata, infatti, richiede capacità tecniche ed esperienza. ● La metodologia utilizzata è quella definita dal framework proposto da OWASP (Open Web Application Security Project). ● Verifica sui punti della OWASP top 10 (2017): ○ Injection - Presente dal 2003 ○ Broken Authentication - Presente dal 2003, mitigato il problema di Session Management ○ Sensitive Data Exposure ○ XML External Entities (XXE) ○ Broken Access Control - Presente dal 2003 ○ Security Misconfiguration ○ Cross-Site Scripting (XSS) - Presente dal 2003 ○ Insecure Deserialization ○ Using Components with Known Vulnerabilities ○ Insufficient Logging&Monitoring via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722
  • 13. VA vs PenTest via Pietro L. Laforgia, 24 - 70126 Bari - +39 080 8092051 - [email protected] - www.cybsec.it - P.IVA 07951270722 Grado di conoscenza degli attori: Target e Attacker ● VA -> Workflow generico ○ Molteplici metodologie e framework ■ e.g. NIST SP800 - 42 / 115, OSSTMM, OWASP ○ Si possono effettuare PenTest per il VA esterno ○ Analisi e report dettagliati (linguaggio meno tecnico) ○ Valutazione dei rischi e proposta soluzioni ○ Tipologie Tandem, Blind ● PenTest -> Workflow definito ○ Molteplici metodologie e framework (e.g. OSSTMM) ○ Report analitici non necessari ma consigliati (linguaggio tecnico) ○ Solo valutazioni, nessuna soluzione ○ Tipologie Double Blind
  • 14. [email protected] www.cybsec.it 080 - 8092051 via Pietro L. Laforgia 24, 70126 Bari