Metriche per la misurazione dei risultati di un Penetration Testing

Metriche per la misurazione dei
risultati di un Penetration Testing
Come utilizzare i risultati
all'interno di una analisi dei rischi?
Relatore
Massimo Biagiotti
Project Manager - Senior Security Consultant
• Iso27001 Lead Auditor, ITIL v3
• + 5 anni in attività di Ethical Hacking
• Responsabile del Progetto Internship e Progetti di Ricerca
• Trainer
Rischio
misura del pericolo alla sicurezza insito in
un’applicazione,
un sistema operativo o in una rete di
computer,
valutando il grado di vulnerabilità,
il livello di minaccia e il valore delle risorse
presenti nel sistema
3
Analisi dei rischi
valutazione del livello di rischio che un
impresa, un’associazione o un privato
dovrebbe fare per garantirsi il corretto e
costante funzionamento di un sistema in
tutta sicurezza
4
Un esempio: metodologia CRAMM (Iso27001 compliant
compliant))
5
Minacce e contromisure
Minacce
•Indisponibilità servizi
fondamentali
•Guasti/malfunzionamenti hw
•Degrado
•Errori nell’esercizio delle
applicazioni
•Accesso non autorizzato per
visione o divulgazione dati
•Accesso non autorizzato per
modifica dati
•Manomissione distruzione sw
•Virus
•Sabotaggio
•Disastri
•…
•…
Contromisure
di sicurezza
Business
•In fase di
progettazione
•In fase di
esercizio
Il management vuole
minimizzare l’impatto
sul business
•In fase
correttiva
6
Minacce, asset ed impatto
Processi di business
Applicazioni
Dati
Infrastruttura
Evento
Asset
Vulnerabilità
asset
Criteri
di valutazione
dell’Impatto
Impatto
Sul
business
Rischio
7
Rischio e rischio residuo:
concetti base
Impatto
Rischio
Rischio residuo
( attraverso l’implementazione
delle contromisure
si riduce uno o più dei tre
fattori)
Rischio
residuo
vulnerabilità
8
Minacce e Asset
Applicazioni
in
manutenzione
Reti
Infrastruttura
esistente
Nuova
Infrastruttura
Sistemi
in esercizio
Nuove
applicazioni
Requisiti di
sicurezza/contromisure
in funzione
del livello di rischio
Applicazioni
in esercizio
Sistemi
Applicazioni
Minacce
Nuovi
Sistemi
9
Riduzione del rischio
Applicazioni in
esercizio
Applicazioni in
manutenzione
Nuove
applicazioni
Applicazioni in esercizio:
Attività di Vulnerability Assessment e Penetration testing:
Consentono di valutare il reale rischio delle applicazioni in esercizio
al fine di determinare le contromisure da implementare per ridurlo
fino al livello ritenuto accettabile dal business
10
Riduzione del rischio
Applicazioni in
esercizio
Applicazioni in
manutenzione
Nuove
applicazioni
Applicazioni in manutenzione:
1) Linee guida sviluppo sicuro: l’attività di sviluppo per la
manutenzione evolutiva segue le linee guida che consentono di
implementare i corretti meccanismi di sicurezza nel rispetto delle
policy e del rischio residuo accettato.
2)Attività di Vulnerability Assessment e Penetration testing
Consentono di valutare il reale rischio delle applicazioni prima che
passino in esercizio ( unit test, system test, collaudo, etc….)
11
Riduzione del rischio
Applicazioni in
esercizio
Applicazioni in
manutenzione
Nuove
applicazioni
Nuove applicazioni:
1) Linee guida sviluppo sicuro: l’attività di sviluppo di qualsiasi
applicazione deve seguire le linee guida che consentono di
implementare i corretti meccanismi di sicurezza nel rispetto delle
policy e del rischio residuo accettato.
2)Attività di Code Review: consentono di valutare il rischio delle
applicazioni prima che passino in esercizio ( unit test, system test,
collaudo, etc….)
12
Ethical Hacking - processo
Information
Gathering
Test
Planning
Risk Analysis
(classificazione in
funzione della
criticità)
Si classificano le vulnerabilità
rilevate, la probabilità di
sfruttamento, ecc. in funzione
del rischio correlato e
dell’impatto sul business
Svolgimento
Test
(PT, VA, ecc.)
Reporting
Risk Treatment
(individuazione possibili
contromisure, valutazione fattibilità,
messa in esercizio )
Vengono individuate le possibili
contromisure che possono essere
messe in campo, se ne valuta la
fattibilità, la messa in esercizio, ecc.
13
Ethical Hacking - processo
Information
Gathering
Test
Planning
Risk Analysis
(classificazione in
funzione della
criticità)
Verifica della bontà delle
contromisure messe in
campo
Svolgimento
Test
(PT, VA, ecc.)
Reporting
Risk Treatment
(individuazione possibili
contromisure, valutazione fattibilità,
messa in esercizio )
Information
Gathering
Test
Planning
Si verifica se le
contromisure messe in
campo sono realmente
“efficaci”
14
Come si misura il rischio?
Esistono numerosi modi, più o meno articolati e utili, per
valutare il rischio e ciascuno dipende dall’approccio e dalla
logica di fondo.
Ciò è dovuto al fatto che calcolare il rischio significa tenere
conto di molte variabili che mutano al variare del contesto
15
Metodologie
Di seguito alcune metodologie e strumenti tra i più
noti.
Per ciascuna è definito l’approccio qualitativo
quantitativo o ibrido.
Va sottolineato che spesso gli approcci quantitativi
partono da quelli qualitativi facendo poi delle
assunzioni di base per passare da aggettivi a
valori.
AS/NZS 4360:2004
Metodologia
Qualitativa
Quantitativa
Semi-quantitativa
AS/NZS 4360:2004 Risk
Management
X
X
X
La metodologia prevede l’applicazione dell’analisi dei rischi su:
•processi;
•risorse di business;
•risorse tecnologiche
•Poiché AS/NZS ha l’obiettivo di definire il processo di risk management
in modo generale identifica e definisce tutte le diverse tipologie di
approccio alla misurazione dei rischi: qualitativo, quantitativo e semiquantitativo.
17
Ce.TRA - Continuous e.Business Threat and Risk Analysis
Metodologia
Ce.TRA - Continuous e.Business
Threat and Risk Analysis
Qualitativa
Quantitativa
Semi-quantitativa
X
La metodologia prevede l’applicazione dell’analisi dei rischi su:
•processi;
•risorse di business;
•risorse tecnologiche
L’approccio è di tipo semi-quantitativo.
Viene effettuata una misurazione sia del rischio potenziale o intrinseco (cioè
a prescindere dalle contromisure) sia del rischio effettivo o residuo (cioè
tenendo conto delle contromisure poste in essere).
.
18
CRAMM
Metodologia
CRAMM
Qualitativa
Quantitativa
Semi-quantitativa
X
La metodologia prevede l’applicazione dell’analisi dei rischi su:
•processi;
•risorse di business;
•risorse tecnologiche.
L’approccio alla misurazione dei rischi è di tipo semi-quantitativo.
Il set di minacce e vulnerabilità è fisso e guidato dal tipo di asset.
Il rischio viene espresso, attraverso un’opportuna matrice, i cui
elementi sono definiti in funzione di impatto/minaccia/vulnerabilità.
19
ISA – Information Security Assessment
Metodologia
ISA – Information Security
Assessment
Qualitativa
Quantitativa
Semi-quantitativa
X
La metodologia prevede l’applicazione dell’analisi dei rischi su:
•processi;
•risorse di business;
•risorse tecnologiche
L’approccio alla misurazione dei rischi è di tipo semi-quantitativo è consente la
misurazione del rischio effettivo o residuo (cioè il rischio relativo alla situazione in
essere, comprese le contromisure implementate).
L’obiettivo principale che si intende perseguire attraverso l’applicazione della
metodologia ISA è la protezione del patrimonio informativo aziendale: la
metodologia può essere applicata in tutte le fasi di vita di un’attività, una funzione,
un progetto, un processo, un prodotto o un bene; è indipendente rispetto a specifici
settori industriali ed economici.
20
NORA - Network Oriented Risk Analysis methodology
Metodologia
Qualitativa
NORA - Network Oriented Risk
Analysis methodology
X
Quantitativa
Semi-quantitativa
La metodologia prevede l’applicazione dell’analisi dei rischi su:
•risorse tecnologiche.
La metodologia NORA punta l’attenzione sui contesti di rete di comunicazione come
ambito di applicazione dell’analisi del rischio.
In particolare la “risorsa base” che viene definita nella prima fase della metodologia e
intorno alla quale ruoterà tutto il processo di analisi del rischio, è costituita dal NAP
(Network Access Path), ossia la descrizione dei percorsi di accesso alla rete in termini
di client, server e funzione di rete (O&M, Billing, etc.).
L’approccio alla misurazione dei rischi è di tipo qualitativo.
Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere
dalle contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle
contromisure poste in essere).
21
OCTAVE ® - Operationally Critical Threat,
Asset, and Vulnerability Evaluation®
Metodologia
Qualitativa
OCTAVE ® - Operationally
Critical Threat, Asset, and
Vulnerability
Evaluation
X
Quantitativa
Semi-quantitativa
La metodologia prevede l’applicazione dell’analisi dei rischi su:
•processi;
•risorse di business;
•risorse tecnologiche.
L’approccio alla misurazione dei rischi è di tipo qualitativo.
Consente la misurazione sia del rischio potenziale o intrinseco (cioè a prescindere dalle
contromisure) sia del rischio effettivo o residuo (cioè tenendo conto delle contromisure
poste in essere).
Consente di fornire indicazioni in merito a:
•riduzione probabilità;
•riduzione conseguenze;
•accettare il rischio;
•contromisure preventive;
•disegno della contromisura;
•applicazione della contromisura.
22
OSSTMM
Metodologia
Qualitativa
Quantitativa
Semi-quantitativa
OSSTMM Open Source Security
Testing Methodology Manual
X
La metodologia prevede l’applicazione dell’analisi dei rischi su:
•risorse di business;
•risorse tecnologiche.
Open Source Security Testing Methodology Manual (OSSTMM) è una metodologia
per l’esecuzione di test sulla sicurezza e una metrica per la misurazione dei risultati.
Quest’ultima è denominata RAVs (Risk Assessment Values).
Consente di fornire indicazioni in merito a:
riduzione conseguenze;
•evitare il rischio;
•accettare il rischio;
•contromisure preventive;
•contromisure reattive;
•disegno della contromisura;
•applicazione della contromisura.
23
RISKWATCH
Metodologia
Qualitativa
Quantitativa
Semi-quantitativa
RISKWATCH
X
X
X
La metodologia prevede l’applicazione dell’analisi dei rischi su:
•processi;
•risorse di business;
•risorse tecnologiche.
L’approccio alla misurazione dei rischi è sia di tipo qualitativo che di tipo quantitativo e semi-quantitativo.
Le metodologie di misurazione dei rischi utilizzate sono:
•SQRM è la metodologia standard quantitativa di RiskWatch presente anche nella versione internazionale
in inglese;
•TLQE è la metodologia qualitativa/semiquantitativa. Consente dati di input qualitativi, ma anche
quantitativi, fornendo in uscita risultati Qualitativi. Utilizza funzionalità di normalizzazione dei dati di input.
Permette l’analisi costi/benefici;
•La TLQ QUAL è la versione qualitativa pura e consente notevoli riduzioni di tempi e di costi, permettendo
comunque, una valutazione completa del livello di sicurezza e un'identificazione dei rischi, considerati
possibili nell'ambito dell’analisi.
24
Grafi d’attacco
I grafi d’attacco rappresentano i modi attarverso i quali un
utente malevolo può sfruttare delle vulnerabilità che gli
permettano di avere accesso a risorse di un sistema.
Analizzando tali grafi è possibile comprendere quanto
rischiose siano le vulnerabilità in modo tale che questa
informazione sia d’aiuto nel decidere quali siano le migliori
contromisure da inserire e quale sia la prioritizzazione di
tali interventi
25
A cosa servono
servono?
?
Misurano l’effetto combinato delle vulnerabilità
Permettono quindi di comprendere le correlazioni
tra le stesse
Visualizzano come un attaccante può combinarle
per introdursi illecitamente
Un grafo è un modello di sequenze potenziali di
condizioni che permettono la compromissione di
risorse
26
Esempio
Fonte: Anoop Singhal – NIST, Lingyu Wang – Concordia University, Sushil Jajodia – George Madison University
27
Ipotetico grafo
tra la macchina 0 ed il DB Server
Fonte: Anoop Singhal – NIST, Lingyu Wang – Concordia University, Sushil Jajodia – George Madison University
28
Probabilità
I numeri rappresentano le
probabilità stimate di
sfruttamento, sulla base della
loro difficoltà.
Gli exploit ftp_rhosts e rsh
non richiedono molta
competenza da parte
dell’attaccante
Uno skill maggiore viene
richiesto per ftp_rhosts al fine
di creare un file .rhost.
sshd_bof e local_bof sono
attacchi buffer-overflow, che
richiedono maggiori
competenze.
0.8
0.1
0.9
0.8
0.8
0.9
0.9
0.1
Fonte: Anoop Singhal – NIST, Lingyu Wang – Concordia University, Sushil Jajodia – George Madison University
29
Propagazione delle vulnerabilità
0. 8
0.9(0.72)
0.1
0.8(≈ 0.60)
0.9(≈ 0.54 )
0 .8
0.9(0.72)
0.1(≈ 0.087 )
Quando un exploit deve
seguirne un altro nel grafo,
significa che entrambi sono
necessari a raggiungere
l’obiettivo, quindi le loro
probabilità devono essere
moltiplicate: p(A and B) =
p(A)p(B)
Quando è possibile scegliere
più percorsi, ciascuno di essi è
sufficiente a raggiungere
l’obiettivo: p(A or B) = p(A) +
p(B) – p(A)p(B).
Fonte: Anoop Singhal – NIST, Lingyu Wang – Concordia University, Sushil Jajodia – George Madison University
30
Variazioni a seguito di interventi
L’inserimento di una contromisura cambia
ovviamente il grafo d’attacco ed al contempo il
modo attraverso il quale le probabilità si
propagano.
31
Metrica per la misurazione
di un risultato di pentest
Abbiamo visto la complessità degli approcci possibili per il
calcolo del rischio, a questo va aggiunto che nello specifico di
un’attività di pentest, la valutazione di minacce, vulnerabilità ed
impatti può essere peculiare.
Infatti altri elementi potrebbero essere importanti da
considerare tra cui:
Esposizione della vulnerabilità
Vettori d’attacco
Componente vulnerabile
Processo di business collegato
Profondità dell’attacco
32
Conclusioni
Ognuna delle precedenti diventa quindi un nuovo
importante “elemento di valutazione” che
opportunamente combinato con gli altri ci
potrebbe permettere di esprimere delle analisi di
rischio che possono, al meglio, supportare le
esigenze di business a partire da analisi
“operative”; questo, oltre a migliorare il calcolo e la
gestione del rischio stesso, crea
anche
l’importante collegamento dialettico tra chi dirige e
chi gestisce, cosa che spesso nelle aziende non è
efficace.
33
Grazie
Massimo Biagiotti
[email protected]
+393395728442
www.business-e.it
34