La certificazione della sicurezza ICT con OSSTMM - …

1 43 SommarioLe verifiche di sicurezza ricoprono un ruolo fondamentaleall'interno del processo di gestione della sicurezza ICT. Tuttavia, esse sono soggette a numerose problematiche chepossono limitarne la reale utilit . La metodologia scientificaOSSTMM si propone come una soluzione a queste proble-matiche, fornendo un processo concreto per la verifica funzio-nale e la certificazione della security testing is a critical element within theICT security governance , its effectiveness might be affected by many poten-tial problems. The OSSTMM is a scientific methodology thathas been created to address those problems.

2 It provides a con-crete process to thoroughly evaluate and certify sicurezza ICTM arco IvaldiMediaserviceLA certificazione della SICUREZZAICT CONOSSTMM.(ICT SECURITYCERTIFICATION WITHOSSTMM)1. sicurezza proattiva e OSSTMMLa disciplina della sicurezza proattiva comprendetutte le attivit finalizzate a rilevare e valutare il gradodi efficacia, efficienza e robustezza delle contromisu-re di sicurezza tecnologiche o organizzative adottateall interno di un ambito definito. I pi comuni servi-zi di sicurezza proattiva sono: Vulnerability Assessment, che prevede l ese-cuzione di scansioni automatizzate o semi-automatizzate non invasive, condotte avvalen-dosi di strumenti software al fine di rilevare lapresenza di vulnerabilit note.

3 Penetration Test, che si basa su tecniche diattacco inferenziali finalizzate all identificazio-ne delle criticit non note o comunque nonrilevabili tramite i soli strumenti di scansioneed analisi esecuzione di verifiche di sicurezza richiedel intervento di analisti specializzati (ethical hacker) ingrado di comprendere non solo le tematiche di sicu-rezza ICT, ma anche le normative, le leggi, le pre-messe, le operazioni, i processi e le specifiche tecno-logie coinvolte nel contesto oggetto di analisi. Tra letecnologie che possono essere oggetto di verificafigurano: reti IP pubbliche e private, reti Wi-Fi, piat-taforme applicative, servizi VPN, infrastrutture tele-foniche tradizionali e VoIP, dispositivi hardware,sistemi di controllo degli accessi e videosorveglianza, causa dell elevato grado di specializzazionerichiesto agli analisti e al fine di garantire una valuta-zione di sicurezza indipendente e slegata dalle dina-miche aziendali, le verifiche sono di norma condotteda una terza parte.

4 A seconda degli accordi, il teamdi specialisti pu o meno avvalersi di informazioni didettaglio relative al contesto oggetto di analisi, oltreche di credenziali valide per l accesso ai servizi appli-cativi in caso di verifica da posizione termine delle attivit viene redatta la reporti-stica, solitamente organizzata in due livelli distinti: Executive Summary, destinato allo staff diri-genziale del Cliente, che fornisce indicazionistrategiche e di facile lettura sullo stato com-plessivo della sicurezza riscontrato a seguitodelle attivit di analisi. Technical Report, che costituisce la documen-tazione formale dei test eseguiti e riporta in Grazie alla metodologia OSSTMM non pi necessario affidarsi a best practice generiche, riscontri aneddotici o supersti-zioni, poich essa fornisce evidenze scientifiche su cui basare le decisioni che impattano sulla sicurezza .

5 Open Source SecurityTesting Methodology Manual particolareggiato i risultati emersi dalleattivit svolte, i dettagli tecnici e le evidenzepi esecuzione periodica di verifiche di sicurezzaconsente di identificare in modo preventivo eventua-li inadeguatezze o non conformit , al fine di fornirele indicazioni necessarie alla formulazione del pianocorrettivo di rientro. La disciplina della sicurezzaproattiva ricopre pertanto un ruolo estremamenteimportante all interno del processo di gestione dellasicurezza ICT. Tuttavia, il valore di una verifica disicurezza dipende fortemente dal valore degli analistiche la effettuano.

6 Le verifiche di sicurezza sono inol-tre storicamente soggette alle seguenti classi di pro-blematiche, che possono limitarne l utilit : I risultati della verifica non sono esaustivi, poi-ch il perimetro di analisi o l approccio di testnon stato correttamente e formalmente defi-nito. I risultati della verifica includono numerosifalsi positivi e negativi, dovuti a limitazioninegli strumenti o nei metodi di test adottati. I risultati della verifica non sono consistenti,ripetibili, misurabili e quantificabili secondoprecise regole. La priorit degli interventi correttivi da effet-tuare nell ambito del piano di rientro non definita sulla base di un metodo condiviso conil Cliente.

7 La verifica di sicurezza non tiene conto dellepolitiche, delle normative e delle leggi vigentiapplicabili al contesto oggetto di analisi. La reportistica non fruibile e facilmente fine di ovviare alle problematiche descritte,l associazione no-profit ISECOM ha realizzatol Open Source Security Testing Methodology Manual( OSSTMM ), che nel corso degli anni divenuto lostandard internazionale di riferimento per l esecuzio-ne di verifiche di sicurezza . OSSTMM (scaricabilegratuitamente dal sito ufficiale ) una metodologia scientifica sviluppata da numerosivolontari in tutto il mondo tramite il modello peerreview.

8 Essa ha introdotto numerosi concetti innova-tivi nella disciplina della sicurezza proattiva, quali:regole di ingaggio precise, OpSec (Porosity, Controls,Limitations), metrica rav per misurare la superficie diattacco, reportistica certificata versione della metodologia, pubblicata neldicembre 2010, frutto di ben 10 anni di lavoro ed pertanto considerata molto matura. Tanto che persi-no l International Standard Organization ha recente-mente manifestato interesse a creare uno standardISO basato su OSSTMM , dando inizio al processoformale di studio che costituisce il primo passo delpercorso di Regole di ingaggio, tipologie di test e defi-nizione del perimetroLa metodologia OSSTMM definisce esattamentequali elementi devono essere verificati, che cosaoccorre fare prima, durante e dopo i test di sicurezzae come misurare i risultati ottenuti.

9 Essa non indicaesplicitamente gli strumenti da impiegare durante leverifiche, ma dettaglia i metodi da utilizzare per valu-tare sul campo in modo consistente e ripetibile lasuperficie di attacco (attack surface) relativa al contestooggetto di analisi, tramite il calcolo del le fasi di verifica, dalla prevendita alla for-mulazione dell offerta, dalla firma del contratto alladefinizione del perimetro di analisi, dall esecuzionedei test alla stesura della reportistica, sono soggette aspecifiche regole di ingaggio (rules of engagement), chia-44 Speciale sicurezza ICTM arco IvaldiISECOMISECOM (Institute for Security and OpenMethodologies) un organizzazione internazionale diricerca senza scopo di lucro fondata nel 2001 da PeteHerzog, al fine di sviluppare e condividere metodologieaperte nel campo della sicurezza delle ad OSSTMM , ISECOM promuove numerosi altriprogetti, quali: SCARE (Source Code Analysis RiskEvaluation), HHS (Hacker HighSchool), HPP (TheHackers Profiling Project), BPP (The Bad PeopleProject).

10 Ha inoltre curato la terza edizione del libroHacking Linux Exposed, pubblicato da McGraw-HillOsborne inoltre un autorit di certificazione rico-nosciuta e sostenuta da partner istituzionali (Universit La Salle). In quanto tale offre certificazioni per profes-sionisti ed aziende, tra cui le pi note sono: OPST( OSSTMM Professional Security Tester), OPSA( OSSTMM Professional Security Analyst), OWSE( OSSTMM Wireless Security Expert), ILA (ISECOML icensed Auditor).Per ulteriori informazioni possibile consultare ilsito ufficiale dell organizzazione: definite all interno della metodologia e sot-toscritte da tutti gli analisti certificati presso prevede differenti tipologie di test, chesi differenziano tra di loro per il grado di conoscen-za del target da parte degli analisti e per il grado diconoscenza dei dettagli della verifica di sicurezza daparte del target alla definizione della tipologiadi test desiderata, necessario stabilire il perimetrodella verifica.