Metriche per la misurazione dei risultati di un Penetration Testing
Transcript
Metriche per la misurazione dei risultati di un Penetration Testing
Metriche per la misurazione dei risultati di un Penetration Testing Come utilizzare i risultati all'interno di una analisi dei rischi? Relatore Massimo Biagiotti Project Manager - Senior Security Consultant • Iso27001 Lead Auditor, ITIL v3 • + 5 anni in attività di Ethical Hacking • Responsabile del Progetto Internship e Progetti di Ricerca • Trainer Rischio misura del pericolo alla sicurezza insito in un’applicazione, un sistema operativo o in una rete di computer, valutando il grado di vulnerabilità, il livello di minaccia e il valore delle risorse presenti nel sistema 3 Analisi dei rischi valutazione del livello di rischio che un impresa, un’associazione o un privato dovrebbe fare per garantirsi il corretto e costante funzionamento di un sistema in tutta sicurezza 4 Un esempio: metodologia CRAMM (Iso27001 compliant compliant)) 5 Minacce e contromisure Minacce •Indisponibilità servizi fondamentali •Guasti/malfunzionamenti hw •Degrado •Errori nell’esercizio delle applicazioni •Accesso non autorizzato per visione o divulgazione dati •Accesso non autorizzato per modifica dati •Manomissione distruzione sw •Virus •Sabotaggio •Disastri •… •… Contromisure di sicurezza Business •In fase di progettazione •In fase di esercizio Il management vuole minimizzare l’impatto sul business •In fase correttiva 6 Minacce, asset ed impatto Processi di business Applicazioni Dati Infrastruttura Evento Asset Vulnerabilità asset Criteri di valutazione dell’Impatto Impatto Sul business Rischio 7 Rischio e rischio residuo: concetti base Impatto Rischio Rischio residuo ( attraverso l’implementazione delle contromisure si riduce uno o più dei tre fattori) Rischio residuo vulnerabilità 8 Minacce e Asset Applicazioni in manutenzione Reti Infrastruttura esistente Nuova Infrastruttura Sistemi in esercizio Nuove applicazioni Requisiti di sicurezza/contromisure in funzione del livello di rischio Applicazioni in esercizio Sistemi Applicazioni Minacce Nuovi Sistemi 9 Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Applicazioni in esercizio: Attività di Vulnerability Assessment e Penetration testing: Consentono di valutare il reale rischio delle applicazioni in esercizio al fine di determinare le contromisure da implementare per ridurlo fino al livello ritenuto accettabile dal business 10 Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Applicazioni in manutenzione: 1) Linee guida sviluppo sicuro: l’attività di sviluppo per la manutenzione evolutiva segue le linee guida che consentono di implementare i corretti meccanismi di sicurezza nel rispetto delle policy e del rischio residuo accettato. 2)Attività di Vulnerability Assessment e Penetration testing Consentono di valutare il reale rischio delle applicazioni prima che passino in esercizio ( unit test, system test, collaudo, etc….) 11 Riduzione del rischio Applicazioni in esercizio Applicazioni in manutenzione Nuove applicazioni Nuove applicazioni: 1) Linee guida sviluppo sicuro: l’attività di sviluppo di qualsiasi applicazione deve seguire le linee guida che consentono di implementare i corretti meccanismi di sicurezza nel rispetto delle policy e del rischio residuo accettato. 2)Attività di Code Review: consentono di valutare il rischio delle applicazioni prima che passino in esercizio ( unit test, system test, collaudo, etc….) 12 Ethical Hacking - processo Information Gathering Test Planning Risk Analysis (classificazione in funzione della criticità) Si classificano le vulnerabilità rilevate, la probabilità di sfruttamento, ecc. in funzione del rischio correlato e dell’impatto sul business Svolgimento Test (PT, VA, ecc.) Reporting Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Vengono individuate le possibili contromisure che possono essere messe in campo, se ne valuta la fattibilità, la messa in esercizio, ecc. 13 Ethical Hacking - processo Information Gathering Test Planning Risk Analysis (classificazione in funzione della criticità) Verifica della bontà delle contromisure messe in campo Svolgimento Test (PT, VA, ecc.) Reporting Risk Treatment (individuazione possibili contromisure, valutazione fattibilità, messa in esercizio ) Information Gathering Test Planning Si verifica se le contromisure messe in campo sono realmente “efficaci” 14 Come si misura il rischio? Esistono numerosi modi, più o meno articolati e utili, per valutare il rischio e ciascuno dipende dall’approccio e dalla logica di fondo. Ciò è dovuto al fatto che calcolare il rischio significa tenere conto di molte variabili che mutano al variare del contesto 15 Metodologie Di seguito alcune metodologie e strumenti tra i più noti. Per ciascuna è definito l’approccio qualitativo quantitativo o ibrido. Va sottolineato che spesso gli approcci quantitativi partono da quelli qualitativi facendo poi delle assunzioni di base per passare da aggettivi a valori. AS/NZS 4360:2004 Metodologia Qualitativa Quantitativa Semi-quantitativa AS/NZS 4360:2004 Risk Management X X X La metodologia prevede l’applicazione dell’analisi dei rischi su: •processi; •risorse di business; •risorse tecnologiche •Poiché AS/NZS ha l’obiettivo di definire il processo di risk management in modo generale identifica e definisce tutte le diverse tipologie di approccio alla misurazione dei rischi: qualitativo, quantitativo e semiquantitativo. 17 Ce.TRA - Continuous e.Business Threat and Risk Analysis Metodologia Ce.TRA - Continuous e.Business Threat and Risk Analysis Qualitativa Quantitativa Semi-quantitativa X La metodologia prevede l’applicazione dell’analisi dei rischi su: •processi; •risorse di business; •risorse tecnologiche L’approccio è di tipo semi-quantitativo. Viene effettuata una misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere). . 18 CRAMM Metodologia CRAMM Qualitativa Quantitativa Semi-quantitativa X La metodologia prevede l’applicazione dell’analisi dei rischi su: •processi; •risorse di business; •risorse tecnologiche. L’approccio alla misurazione dei rischi è di tipo semi-quantitativo. Il set di minacce e vulnerabilità è fisso e guidato dal tipo di asset. Il rischio viene espresso, attraverso un’opportuna matrice, i cui elementi sono definiti in funzione di impatto/minaccia/vulnerabilità. 19 ISA – Information Security Assessment Metodologia ISA – Information Security Assessment Qualitativa Quantitativa Semi-quantitativa X La metodologia prevede l’applicazione dell’analisi dei rischi su: •processi; •risorse di business; •risorse tecnologiche L’approccio alla misurazione dei rischi è di tipo semi-quantitativo è consente la misurazione del rischio effettivo o residuo (cioè il rischio relativo alla situazione in essere, comprese le contromisure implementate). L’obiettivo principale che si intende perseguire attraverso l’applicazione della metodologia ISA è la protezione del patrimonio informativo aziendale: la metodologia può essere applicata in tutte le fasi di vita di un’attività, una funzione, un progetto, un processo, un prodotto o un bene; è indipendente rispetto a specifici settori industriali ed economici. 20 NORA - Network Oriented Risk Analysis methodology Metodologia Qualitativa NORA - Network Oriented Risk Analysis methodology X Quantitativa Semi-quantitativa La metodologia prevede l’applicazione dell’analisi dei rischi su: •risorse tecnologiche. La metodologia NORA punta l’attenzione sui contesti di rete di comunicazione come ambito di applicazione dell’analisi del rischio. In particolare la “risorsa base” che viene definita nella prima fase della metodologia e intorno alla quale ruoterà tutto il processo di analisi del rischio, è costituita dal NAP (Network Access Path), ossia la descrizione dei percorsi di accesso alla rete in termini di client, server e funzione di rete (O&M, Billing, etc.). L’approccio alla misurazione dei rischi è di tipo qualitativo. Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere). 21 OCTAVE ® - Operationally Critical Threat, Asset, and Vulnerability Evaluation® Metodologia Qualitativa OCTAVE ® - Operationally Critical Threat, Asset, and Vulnerability Evaluation X Quantitativa Semi-quantitativa La metodologia prevede l’applicazione dell’analisi dei rischi su: •processi; •risorse di business; •risorse tecnologiche. L’approccio alla misurazione dei rischi è di tipo qualitativo. Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure poste in essere). Consente di fornire indicazioni in merito a: •riduzione probabilità; •riduzione conseguenze; •accettare il rischio; •contromisure preventive; •disegno della contromisura; •applicazione della contromisura. 22 OSSTMM Metodologia Qualitativa Quantitativa Semi-quantitativa OSSTMM Open Source Security Testing Methodology Manual X La metodologia prevede l’applicazione dell’analisi dei rischi su: •risorse di business; •risorse tecnologiche. Open Source Security Testing Methodology Manual (OSSTMM) è una metodologia per l’esecuzione di test sulla sicurezza e una metrica per la misurazione dei risultati. Quest’ultima è denominata RAVs (Risk Assessment Values). Consente di fornire indicazioni in merito a: riduzione conseguenze; •evitare il rischio; •accettare il rischio; •contromisure preventive; •contromisure reattive; •disegno della contromisura; •applicazione della contromisura. 23 RISKWATCH Metodologia Qualitativa Quantitativa Semi-quantitativa RISKWATCH X X X La metodologia prevede l’applicazione dell’analisi dei rischi su: •processi; •risorse di business; •risorse tecnologiche. L’approccio alla misurazione dei rischi è sia di tipo qualitativo che di tipo quantitativo e semi-quantitativo. Le metodologie di misurazione dei rischi utilizzate sono: •SQRM è la metodologia standard quantitativa di RiskWatch presente anche nella versione internazionale in inglese; •TLQE è la metodologia qualitativa/semiquantitativa. Consente dati di input qualitativi, ma anche quantitativi, fornendo in uscita risultati Qualitativi. Utilizza funzionalità di normalizzazione dei dati di input. Permette l’analisi costi/benefici; •La TLQ QUAL è la versione qualitativa pura e consente notevoli riduzioni di tempi e di costi, permettendo comunque, una valutazione completa del livello di sicurezza e un'identificazione dei rischi, considerati possibili nell'ambito dell’analisi. 24 Grafi d’attacco I grafi d’attacco rappresentano i modi attarverso i quali un utente malevolo può sfruttare delle vulnerabilità che gli permettano di avere accesso a risorse di un sistema. Analizzando tali grafi è possibile comprendere quanto rischiose siano le vulnerabilità in modo tale che questa informazione sia d’aiuto nel decidere quali siano le migliori contromisure da inserire e quale sia la prioritizzazione di tali interventi 25 A cosa servono servono? ? Misurano l’effetto combinato delle vulnerabilità Permettono quindi di comprendere le correlazioni tra le stesse Visualizzano come un attaccante può combinarle per introdursi illecitamente Un grafo è un modello di sequenze potenziali di condizioni che permettono la compromissione di risorse 26 Esempio Fonte: Anoop Singhal – NIST, Lingyu Wang – Concordia University, Sushil Jajodia – George Madison University 27 Ipotetico grafo tra la macchina 0 ed il DB Server Fonte: Anoop Singhal – NIST, Lingyu Wang – Concordia University, Sushil Jajodia – George Madison University 28 Probabilità I numeri rappresentano le probabilità stimate di sfruttamento, sulla base della loro difficoltà. Gli exploit ftp_rhosts e rsh non richiedono molta competenza da parte dell’attaccante Uno skill maggiore viene richiesto per ftp_rhosts al fine di creare un file .rhost. sshd_bof e local_bof sono attacchi buffer-overflow, che richiedono maggiori competenze. 0.8 0.1 0.9 0.8 0.8 0.9 0.9 0.1 Fonte: Anoop Singhal – NIST, Lingyu Wang – Concordia University, Sushil Jajodia – George Madison University 29 Propagazione delle vulnerabilità 0. 8 0.9(0.72) 0.1 0.8(≈ 0.60) 0.9(≈ 0.54 ) 0 .8 0.9(0.72) 0.1(≈ 0.087 ) Quando un exploit deve seguirne un altro nel grafo, significa che entrambi sono necessari a raggiungere l’obiettivo, quindi le loro probabilità devono essere moltiplicate: p(A and B) = p(A)p(B) Quando è possibile scegliere più percorsi, ciascuno di essi è sufficiente a raggiungere l’obiettivo: p(A or B) = p(A) + p(B) – p(A)p(B). Fonte: Anoop Singhal – NIST, Lingyu Wang – Concordia University, Sushil Jajodia – George Madison University 30 Variazioni a seguito di interventi L’inserimento di una contromisura cambia ovviamente il grafo d’attacco ed al contempo il modo attraverso il quale le probabilità si propagano. 31 Metrica per la misurazione di un risultato di pentest Abbiamo visto la complessità degli approcci possibili per il calcolo del rischio, a questo va aggiunto che nello specifico di un’attività di pentest, la valutazione di minacce, vulnerabilità ed impatti può essere peculiare. Infatti altri elementi potrebbero essere importanti da considerare tra cui: Esposizione della vulnerabilità Vettori d’attacco Componente vulnerabile Processo di business collegato Profondità dell’attacco 32 Conclusioni Ognuna delle precedenti diventa quindi un nuovo importante “elemento di valutazione” che opportunamente combinato con gli altri ci potrebbe permettere di esprimere delle analisi di rischio che possono, al meglio, supportare le esigenze di business a partire da analisi “operative”; questo, oltre a migliorare il calcolo e la gestione del rischio stesso, crea anche l’importante collegamento dialettico tra chi dirige e chi gestisce, cosa che spesso nelle aziende non è efficace. 33 Grazie Massimo Biagiotti [email protected] +393395728442 www.business-e.it 34