|
Wiki
UniCrema
Materie per semestre
Materie per anno
Materie per laurea
Help
|
|
Uni.IncidentiInformaticiELoroGestione History
Hide minor edits - Show changes to output
Changed line 65 from:
* la politica è un insieme di linee guida ad alto livello, espressione delle volontà aziendali. Ad esempio potrebbero essere il divieto di navigare su siti web non inerenti l'attività lavorativa. Quando si lavora è sempre opportuno chiedersi se esistono politiche di sicurezza sufficienti o se ce ne sono altre che è opportuno proporre to:
* la politica è un insieme di linee guida ad alto livello, espressione delle volontà aziendali. Ad esempio potrebbero essere il divieto di navigare su siti web non inerenti l'attività lavorativa. Quando si lavora è sempre bene chiedersi se esistono politiche di sicurezza sufficienti o se ce ne sono altre che è opportuno proporre Changed lines 72-74 from:
* ''Legal Assessment'': la serie di processi per verificare il distacco (''gap'') tra il reale stato aziendale e quello che dovrebbe essere secondo la legge. E' generalmente compiuto da avvocati esperti;
* ''Damage and Risk Assessment'': quantifica il danno economico generato dall'incidente informatico. to:
* ''Legal Assesment'': la serie di processi per verificare il distacco (''gap'') tra il reale stato aziendale e quello che dovrebbe essere secondo la legge. E' generalmente compiuto da avvocati esperti;
* ''Damage and Risk Assesment'': quantifica il danno economico generato dall'incidente informatico. Changed line 117 from:
* ''raccolta e gestione delle evidence'': si raccolgono tutte le possibili fonti di prova seguendo un modello investigativo che sarà illustrato nelle prossime lezioni to:
* ''raccolta e gestione delle evidence'': si raccolgono tutte le possibili fonti di prova seguendo un modello investigativo che sarà illustrato nei prossimi appunti Changed line 138 from:
Il '''reporting''' è la documentazione e presentazione delle informazioni raccolte nei vari momenti dell'indagine, dunque va fatto sempre e non solo a questo punto del framework. Nella stesura dei report bisogna tener conto del tempo a disposizione per la sua redazione, del metodo di diffusione che verrà usato e delle conseguenze di eventuali violazioni delle policy.\\ to:
Il '''reporting''' è la documentazione e presentazione delle informazioni raccolte nei vari momenti dell'indagine, dunque va fatta sempre e non solo a questo punto del framework. Nella stesura dei report bisogna tener conto del tempo a disposizione per la sua redazione, del metodo di diffusione che verrà usato e delle conseguenze di eventuali violazioni delle policy.\\ Changed line 142 from:
La fase di '''risoluzione dell'incidente''' è quella che comprende tutte le operazioni atte a risolvere l'incidente informatico, ripristinare il sistema (ad esempio con backup o reinstallazioni) e capire cosa sia effettivamente successo per evitare che il problema si ripresenti in futuro. Limitarsi a ripristinare il sistema allo stato precedente l'incidente non è altro che un palliativo, dal momento che la vulnerabilità che era stata sfruttata in passato rimarrebbe inalterata. Bisogna quindi fare tesoro delle lezioni apprese affinché non si verifichi lo stesso incidente, attività questa che prende il nome di ''lesson learned'' e che purtroppo è spesso sottovalutata. to:
La fase di '''risoluzione dell'incidente''' è quella che comprende tutte le operazioni atte a risolvere l'incidente informatico, ripristinare il sistema (ad esempio con backup o reinstallazioni) e capire cosa sia effettivamente successo per evitare che il problema si ripresenti in futuro. Limitarsi a ripristinare il sistema allo stato precedente l'incidente non è altro che un palliativo, dal momento che la vulnerabilità che era stata sfruttata in passato potrebbe essere riusata in futuro. Bisogna quindi fare tesoro delle lezioni apprese affinché non si verifichi lo stesso incidente, attività questa che prende il nome di ''lesson learned'' e che purtroppo è spesso sottovalutata.
Changed line 74 from:
to:
Added line 92:
* deinifire i ruoli e le responsabilità all'interno del team di risposta Changed lines 103-106 from:
Per l'incident detection ci possiamo avvalere di strumenti tecnologici come ad esempio l' ''Intrusion Detection System'' ('''IDS'''), i ''log correlator'', i ''firewall'' e gli ''antivirus''; inoltre si può fare affidamento alle segnalazioni degli utenti e di terze parti coinvolte nell'incidente (Autorità Giudiziaria compresa).
L'incident detection ha una difficoltà molto variabile a seconda del caso, ma molto dipende anche dalle conoscenze tecniche di chi opera e dalle prestazioni dei sistemi che gestiscono le informazioni (che possono arrivare tranquillamente a terabyte di dati, di log, ...). to:
Per l'incident detection ci possiamo avvalere di strumenti tecnologici come ad esempio l' ''Intrusion Detection System'' ('''IDS'''), i ''log correlator'', i ''firewall'' e gli ''antivirus''; inoltre si può fare affidamento sulle segnalazioni degli utenti e di terze parti coinvolte nell'incidente (Autorità Giudiziaria compresa).
Le difficoltà di questa fase non dipendono solo dalla complessità del caso in esame, ma anche dalle conoscenze tecniche di chi conduce l'indagine e dalle prestazioni dei sistemi che gestiscono le informazioni (che possono dover arrivare a lavorare su terabyte di dati). Changed lines 108-110 from:
La '''risposta iniziale all'incidente''' avviene con la formazione dello '''CSIRT''' (''Computer Security Incident Response Team'') e delle fonti di prova iniziali. Per quanto riguarda gli CSIRT vale la pena consultare la [[RFC 2350]] o i capitoli successivi, mentre per le fonti di prova la [[RFC 3227]].
La raccolta delle evidence avviene con l'acquisizione delle immagini disco e dei log e con l'elaborazione di tali informazioni. In particolare, l'acquisizione delle immagini disco deve essere fatta con programmi appositi come [@DD@] che effettuano una copia approfondita bit-by-bit (dal cluster 0 all'ultimo) dei dati contenuti sul disco, indipendentemente dal fatto che siano integri, cancellati o modificati. to:
La '''risposta iniziale all'incidente''' avviene con la formazione dello '''CSIRT''' (''Computer Security Incident Response Team'') e con la raccolta delle fonti di prova iniziali, anche dette ''digital evidence''. Per quanto riguarda gli CSIRT vale la pena consultare la [[RFC 2350]] o i capitoli successivi, mentre per le fonti di prova la [[RFC 3227]].
La raccolta delle evidence avviene con l'acquisizione delle immagini disco e dei log, e con l'elaborazione di tali informazioni. In particolare, l'acquisizione delle immagini disco deve essere fatta con programmi appositi come [@DD@] che effettuano una copia approfondita bit-by-bit (dal cluster 0 all'ultimo) dei dati contenuti sul disco, indipendentemente dal fatto che siano integri, cancellati o modificati. Changed lines 119-120 from:
* "[@ripresa del servizio@]"
* "[@utilizzo di strumenti di Incident Response (Helix, IRItaly, Live CD)@]" to:
* "ripresa del servizio"
* "utilizzo di strumenti di Incident Response (Helix, IRItaly, Live CD)"
Changed lines 19-22 from:
E' fondamentale tenere in alta considerazione gli asset perché hanno a che fare coi soldi, e i soldi sono il primo interesse di una qualsiasi azienda o attività. Vedi esempio del prof: in un convegno importantissimo che riguardava grossi investimenti su asset aziendali, un relatore che non ha saputo rispondere alla domanda di quanto costa un pc ha perso immediatamente l'interesse di buona parte degli investitori.
Di qualsiasi tipo siano, la regola numero uno da seguire nella gestione di un incidente informatico è [@trattarlo come un potenziale sbocco giudiziario@], anche se non fosse previsto di arrivare in tribunale. Tutto ciò che si fa deve essere quindi documentabile e documentato, perché potrebbe essere usato contro di noi. Va inoltre tenuto conto del decreto legge n.231 dell'8 giugno 2001, che introduce l'obbligo di dover rispondere come persona giuridica per i reati commessi all'interno della propria struttura. to:
E' fondamentale tenere in alta considerazione gli asset perché hanno a che fare coi soldi, e i soldi sono il primo interesse di una qualsiasi azienda o attività. Vedi esempio del prof: in un convegno importantissimo che riguardava grossi investimenti su asset aziendali, un relatore che non ha saputo rispondere alla domanda su quanto costa un pc ha perso immediatamente l'interesse di buona parte degli investitori.
Di qualsiasi tipo siano, la regola numero uno da seguire nella gestione di un incidente informatico è [@trattarlo come un potenziale sbocco giudiziario@], anche se nel momento in cui si agisce non è ancora previsto di arrivare in tribunale. Tutto ciò che si fa deve essere quindi documentabile e documentato perché potrebbe essere usato contro di noi. Va inoltre tenuto conto del decreto legge n.231 dell'8 giugno 2001, che introduce l'obbligo di dover rispondere come persona giuridica per i reati commessi all'interno della propria struttura. Changed lines 27-30 from:
La ''confidentiality'' (segretezza) è strettamente correlata alle operazioni di lettura, e prevede che un'informazione possa essere rilasciata - direttamente o indirettamente - solo agli utenti autorizzati a conoscerla. Vediamo due esempi:
* ''furto di informazioni dai computer portatili''. Sembrerà assurdo ma la maggior parte delle volte questo tipo di incidente è dovuto alla sbadataggine di alcuni manager che lasciano il proprio laptop in giro (un classico è dimenticarlo nei pub), così che altri possano accedere a eventuali dati aziendali sensibili. Un'altra occasione di danno si ha quando gli stessi manager usano il portatile a casa e navigano su siti pericolosi che compromettono la macchina, così che quando l'indomani si riconnettono alla rete aziendale producono conseguenze disastrose;
* ''installazione di programmi'' (un esempio su tutti, Skype) potenzialmente dannosi che compromettono la segretezza dei dati sulla macchina e sulla rete aziendale. to:
La ''confidentiality'' (segretezza) è strettamente correlata alle operazioni di lettura, e prevede che un'informazione possa essere rilasciata - direttamente o indirettamente - solo agli utenti autorizzati a conoscerla. Vediamo due esempi di violazione:
* ''furto di informazioni dai computer portatili''. Sembrerà assurdo ma la maggior parte degli incidenti di questo tipo è dovuto alla sbadataggine di alcuni manager che lasciano il proprio laptop in giro (un classico è dimenticarlo nei pub), così che altri possano accedere a eventuali dati aziendali sensibili. Un'altra occasione di danno si ha quando gli stessi manager usano il portatile a casa e navigano su siti pericolosi che compromettono la macchina, così che quando l'indomani si riconnettono alla rete aziendale producono conseguenze disastrose;
* ''installazione di programmi'' (un esempio su tutti, Skype) potenzialmente dannosi e che compromettono la segretezza dei dati sulla macchina e sulla rete aziendale. Changed line 32 from:
L' ''integrity'' riguarda le operazioni di scrittura e stabilisce che le informazioni e le risorse non possano essere modificate, cancellate o distrutte in modo non autorizzato o improprio. Un incidente informatico può compromettere l'integrità su diverse entità: to:
L' ''integrity'' riguarda le operazioni di scrittura e stabilisce che le informazioni e le risorse non possano essere modificate, cancellate o distrutte in modo non autorizzato o improprio. Un incidente informatico può compromettere l'integrità di diverse entità: Changed lines 38-39 from:
L' ''availability'' (disponibilità) si riferisce al fatto le risorse devono essere sempre disponibili agli utenti autorizzati, dove per risorse si intende informazioni, applicazioni, servizi, sistemi e reti. Un esempio tipico di incidente informatico che inficia l'availability sono gli attacchi ''Denial of Service'' (DoS) e ''Distributed DoS'' (DDoS). to:
L' ''availability'' (disponibilità) si riferisce al fatto che le risorse devono essere sempre disponibili agli utenti autorizzati; per risorse si intende informazioni, applicazioni, servizi, sistemi e reti. Un esempio tipico di incidente informatico che inficia l'availability sono gli attacchi ''Denial of Service'' (DoS) e ''Distributed DoS'' (DDoS). Changed lines 41-42 from:
la ''Reconnaissance'' (ricognizione) consiste nell'attività di ricerca di informazioni utili da parte degli attaccanti per portare a termine l'attacco stesso. Tali informazioni possono essere recuperate ad esempio con il ''port scanning'' (molto semplice e frequente), ovvero la ricerca di servizi in esecuzione sul computer remoto, oppure con il ''vulnerability scanning'' (più invasivo) che prevede una ricerca specifica delle vulnerabilità dei servizi stessi . Difficilmente un'azienda considera il port scanning un evento da riportare sotto l'ambito della gestione degli incidenti informatici, tuttavia viene trattato come segnale precursore di un potenziale attacco.
to:
La ''Reconnaissance'' (ricognizione) consiste nell'attività di ricerca di informazioni utili da parte degli attaccanti per portare a termine l'attacco stesso. Tali informazioni possono essere recuperate ad esempio con il ''port scanning'', ovvero la ricerca di servizi in esecuzione sul computer remoto (molto semplice e frequente), oppure con il ''vulnerability scanning'' che prevede una ricerca specifica delle vulnerabilità dei servizi stessi (più invasivo). Difficilmente un'azienda considera il port scanning un evento da riportare sotto l'ambito della gestione degli incidenti informatici, tuttavia viene trattato come segnale precursore di un potenziale attacco. Changed lines 48-54 from:
* compromissione da remoto
* defacing di siti web
* copiare dati sensibili presenti all’interno di DB
* accesso remoto tramite modem non autorizzati alla rete
Concludiamo permessi a lui concessi per effettuare accessi non autorizzati, il fatto di essere amministratore rappresenta per lui un aggravante in sede legale. to:
* "compromissione da remoto"
* "defacing di siti web"
* "copiare dati sensibili presenti all’interno di DB"
* "accesso remoto tramite modem non autorizzati alla rete"
Concludiamo osservando che se un amministratore di sistema abusa dei suoi privilegi per effettuare accessi non autorizzati, la sua stessa posizione rappresenterà un aggravante in sede legale. Changed line 56 from:
''Utilizzo inappropriato'' è il termine generale per indicare le violazioni alle politiche interne dell'azienda, dunque possono essere di molti tipi diversi. Vediamo alcuni esempi: to:
''Utilizzo inappropriato'' è il termine generale per indicare le violazioni alle politiche interne dell'azienda. Possono essere di molti tipi diversi, vediamone alcuni esempi: Changed line 58 from:
* accesso a siti pornografici o non inerenti l'attività aziendale, non tanto perché rappresentano attività legalmente perseguibili, ma perché potrebbero compromettere uno degli aspetti C.I.A. to:
* accesso a siti pornografici o non inerenti l'attività aziendale, non tanto perché rappresentano in sé attività legalmente perseguibili, ma perché potrebbero compromettere uno degli aspetti [@C.I.A. @] Changed line 65 from:
* la politica è un insieme di linee guida ad alto livello, espressione delle volontà aziendali. Ad esempio potrebbero essere il divieto di navigare su siti web non inerenti l'attività lavorativa. Quando si lavora è sempre opportuno chiedersi se esistono politiche di sicurezza sufficienti o se non ce ne sono alcune che è opportuno proporre to:
* la politica è un insieme di linee guida ad alto livello, espressione delle volontà aziendali. Ad esempio potrebbero essere il divieto di navigare su siti web non inerenti l'attività lavorativa. Quando si lavora è sempre opportuno chiedersi se esistono politiche di sicurezza sufficienti o se ce ne sono altre che è opportuno proporre Changed lines 72-73 from:
* ''Legal Assessment'': la serie di processi per verificare il distacco (''gap'' per i più fighi) tra il reale stato aziendale e quello che dovrebbe essere secondo la legge. E' generalmente compiuto da avvocati esperti;
* ''Damage and Risk Assessment'': quantifica il sicuro danno economico generato dall'incidente informatico. to:
* ''Legal Assessment'': la serie di processi per verificare il distacco (''gap'') tra il reale stato aziendale e quello che dovrebbe essere secondo la legge. E' generalmente compiuto da avvocati esperti;
* ''Damage and Risk Assessment'': quantifica il danno economico generato dall'incidente informatico. Changed lines 89-91 from:
Entrando più nello specifico, andrebbe pianificato:
* le procedure da seguire in caso di incidente per continuare a garantire il servizio (pensate a quanto ciò sia importante per i servizi bancari)
* stabilire chi sono i ''Point Of Contact'' (''P.O.C.'''), ovvero i contatti da interpellare in caso di incidente; possono essere interni (personale interno all'azienda, ad esempio l'amministratore del servizio informatico) o esterni (libere categorie esterne come Polizia Giudiziaria, Legali, CERT, etc...) to:
Entrando più nello specifico, andrebbero pianificate:
* le procedure da seguire in caso di incidente per continuare a garantire il servizio (pensate a quanto ciò sia importante per i servizi bancari, i router o i web server)
* stabilire chi sono i ''Point Of Contact'' ('''P.O.C.'''), ovvero i contatti da interpellare in caso di incidente. Possono essere sia interni (personale interno all'azienda, ad esempio l'amministratore del servizio informatico) che esterni (libere categorie come Polizia Giudiziaria, Legali, CERT, eccetera) Changed lines 96-97 from:
Questa fase non è assolutamente da sottovalutare: Dario Forte insegna che "[@più siamo preparati e meno impiegheremo nell'analisi@]". to:
Questa fase non è assolutamente da sottovalutare: Dario Forte insegna che\\
"[@più siamo preparati e meno impiegheremo nell'analisi@]". Changed lines 107-109 from:
La '''risposta iniziale all'incidente''' avviene con la formazione dello '''CSIRT''' (''Computer Security Incident Response Team'') e delle fonti di prova iniziali. Per quanto riguarda gli CSIRT vale la pena consultare la [[RFC 2350]] o i capitoli successivi, mentre per le seconde la [[RFC 3227]].
La raccolta delle evidence avviene con l'acquisizione delle immagini disco e dei log e con l'elaborazione di tali informazioni. In particolare, l'acquisizione delle immagini disco deve essere fatta con programmi appositi come [@DD@] che effettuano una copia approfondita bit-by-bit dei dati contenuti sul disco (dal cluster 0 all'ultimo), integri cancellati o modificati che siano. to:
La '''risposta iniziale all'incidente''' avviene con la formazione dello '''CSIRT''' (''Computer Security Incident Response Team'') e delle fonti di prova iniziali. Per quanto riguarda gli CSIRT vale la pena consultare la [[RFC 2350]] o i capitoli successivi, mentre per le fonti di prova la [[RFC 3227]].
La raccolta delle evidence avviene con l'acquisizione delle immagini disco e dei log e con l'elaborazione di tali informazioni. In particolare, l'acquisizione delle immagini disco deve essere fatta con programmi appositi come [@DD@] che effettuano una copia approfondita bit-by-bit (dal cluster 0 all'ultimo) dei dati contenuti sul disco, indipendentemente dal fatto che siano integri, cancellati o modificati. Changed line 117 from:
* ''identificazione dell'attaccante'': si correlano le varie informazioni raccolte così da capire come ha agito, da dove e possibilmente chi è to:
* ''identificazione dell'attaccante'': si correlano le varie informazioni raccolte così da capire come ha agito, da dove, e possibilmente chi è Changed lines 121-122 from:
In questa fase vanno prese inoltre ''decisioni informative'' e ''di interazione con l'opinione pubblica'' (public relation). Le decisioni informative pianificano le modalità con cui si informano ed eventualmente si richiedono autorizzazioni all'Autorità Giudiziaria per utilizzare in tribunale fonti di prova raccolte in modo non lecito, ad esempio violando la legge sulla privacy. to:
In questa fase vanno prese inoltre ''decisioni informative'' e ''di interazione con l'opinione pubblica'' (public relation). Le decisioni informative pianificano le modalità con cui si informano ed eventualmente si richiedono autorizzazioni all'Autorità Giudiziaria per utilizzare in tribunale fonti di prova raccolte in modo non lecito, ad esempio quelle che hanno violato la legge sulla privacy. Changed lines 129-131 from:
* dal momento che è molto probabile che a un incidente ne segua un altro a catena, è molto utile fare ''snapshot'' incrementali del sistema così da capire cosa è successo o cosa sta succedendopuò essere utile a capire cosa sia successo o stia succedendo
* effettuare quando possibile una ''Live Analysis''
* se possibile fare sempre esami post-mortem sulle macchine su cui è stato accertata una compromissione to:
* dal momento che è molto probabile che a un incidente ne segua un altro a catena, è molto utile fare ''snapshot'' (backup) incrementali del sistema così da capire cosa è successo o cosa sta succedendo
* mettere la preservazione dei dati originali in primo piano, indipendentemente che si stia compiendo una ''Live System Analysis'' o un esame ''Post Mortem'' Changed lines 138-139 from:
Tra le figure a cui vanno presentati i report vi sono sicuramente il management aziendale, il reparto legale, altri CSIRT e in alcuni casi anche alle forze dell'ordine o alle autorità giudiziarie. to:
Tra le figure a cui vanno presentati i report vi sono sicuramente il management aziendale, il reparto legale, altri CSIRT e in alcuni casi anche le forze dell'ordine o le autorità giudiziarie. Changed line 141 from:
La fase di '''risoluzione dell'incidente''' è quella che comprende tutte le operazioni atte a risolvere l'incidente informatico, ripristinare il sistema (ad esempio con backup o reinstallazioni) e capire cosa sia effettivamente successo per evitare che il problema si ripresenti in futuro. Abbiamo già detto infatti che limitarsi a ripristinare il sistema allo stato precedente l'incidente non è altro che un palliativo, dal momento che la vulnerabilità che era stata sfruttata in passato si ripresenta inalterata. Bisogna quindi fare tesoro delle lezioni apprese affinché non si verifichi lo stesso incidente, attività questa che prende il nome di ''lesson learned'' e che purtroppo è spesso sottovalutata. to:
La fase di '''risoluzione dell'incidente''' è quella che comprende tutte le operazioni atte a risolvere l'incidente informatico, ripristinare il sistema (ad esempio con backup o reinstallazioni) e capire cosa sia effettivamente successo per evitare che il problema si ripresenti in futuro. Limitarsi a ripristinare il sistema allo stato precedente l'incidente non è altro che un palliativo, dal momento che la vulnerabilità che era stata sfruttata in passato rimarrebbe inalterata. Bisogna quindi fare tesoro delle lezioni apprese affinché non si verifichi lo stesso incidente, attività questa che prende il nome di ''lesson learned'' e che purtroppo è spesso sottovalutata.
Changed lines 17-18 from:
* singoli, che coinvolgono un unico asset. Sono ormai molto rari, trattati esclusivamente a livello accademico
* strutturati, che compromettono più asset e su più perimetri (ovvero gli ambiti che coinvolgono) to:
* ''singoli'', che coinvolgono un unico asset. Sono ormai molto rari, trattati esclusivamente a livello accademico
* ''strutturati'', che compromettono più asset e su più perimetri (ovvero gli ambiti che coinvolgono) Added line 69:
Changed lines 96-97 from:
Questa fase non è assolutamente da sottovalutare: Dario Forte insegna che "più siamo preparati e meno impiegheremo nell'analisi". to:
Questa fase non è assolutamente da sottovalutare: Dario Forte insegna che "[@più siamo preparati e meno impiegheremo nell'analisi@]". Changed lines 117-118 from:
* "''ripresa del servizio''"
* "''utilizzo di strumenti di Incident Response'' (Helix, IRItaly, Live CD) " to:
* "[@ripresa del servizio@]"
* "[@utilizzo di strumenti di Incident Response (Helix, IRItaly, Live CD)@]" Added line 124:
Changed line 128 from:
* dal momento che è molto probabile che a un incidente ne segua un altro a catena, è molto utile fare "snapshot" incrementali del sistema così da capire cosa è successo o cosa sta succedendopuò essere utile a capire cosa sia successo o stia succedendo to:
* dal momento che è molto probabile che a un incidente ne segua un altro a catena, è molto utile fare ''snapshot'' incrementali del sistema così da capire cosa è successo o cosa sta succedendopuò essere utile a capire cosa sia successo o stia succedendo Changed lines 131-133 from:
* "log analysis"
* "correlazione degli eventi"
* "artifacy analysis" to:
* "[@log analysis@]"
* "[@correlazione degli eventi@]"
* artifact analysis
Changed line 9 from:
Il testo tra virgolette va inteso come citazione letterale dalle slide del prof [[Dario Forte]], 2008.
to:
Ove non meglio specificato, tutti i testi tra virgolette vanno intesi come citazioni letterali dalle slide del prof [[Dario Forte]], 2008.
Added lines 1-142:
(:title Incidenti informatici e loro gestione:)
[[#su]]
[[Torna alla pagina di Gestione degli incidenti informatici->Gestione degli incidenti informatici]]
----
%titolo%''':: Incidenti informatici e loro gestione ::'''
>>frame<<
Il testo tra virgolette va inteso come citazione letterale dalle slide del prof [[Dario Forte]], 2008.
>><<
!! Definizione di incidenti informatici di sicurezza
Per '''incidente informatico''' si intende una classe generale di imprevisti e malfunzionamenti (anche accidentali) hardware o software. Nel corso di questa materia tratteremo in particolare gli '''incidenti informatici di sicurezza''', definiti nel glossario della [[RFC 2350]] come eventi negativi che compromettono alcuni aspetti del computer, della rete o della sicurezza. Potrebbero essere ad esempio violazioni delle politiche di sicurezza aziendali, l'infrangimento di alcune leggi, o più in generale un qualsiasi evento che mini la stabilità del sistema.
Gli incidenti informatici di sicurezza possono essere classificati in base a diversi parametri: gli ''asset'', i ''livelli di pericolosità'' (ad esempio assegnandogli un valore da 0 a 5) e il ''tipo di supporto richiesto'' (se legale e/o organizzativo). \\
Gli '''asset''' sono i beni nell'ambito aziendale, e possono essere materiali (come sedie, tavoli, computer, ...) o immateriali (software, politiche, procedure, brevetti, progetti, ...); i secondi sono chiamati ''asset informativi'' e sono tra i principali obiettivi di violazione. In base agli asset gli incidenti informatici si possono suddividere in:
* singoli, che coinvolgono un unico asset. Sono ormai molto rari, trattati esclusivamente a livello accademico
* strutturati, che compromettono più asset e su più perimetri (ovvero gli ambiti che coinvolgono)
E' fondamentale tenere in alta considerazione gli asset perché hanno a che fare coi soldi, e i soldi sono il primo interesse di una qualsiasi azienda o attività. Vedi esempio del prof: in un convegno importantissimo che riguardava grossi investimenti su asset aziendali, un relatore che non ha saputo rispondere alla domanda di quanto costa un pc ha perso immediatamente l'interesse di buona parte degli investitori.
Di qualsiasi tipo siano, la regola numero uno da seguire nella gestione di un incidente informatico è [@trattarlo come un potenziale sbocco giudiziario@], anche se non fosse previsto di arrivare in tribunale. Tutto ciò che si fa deve essere quindi documentabile e documentato, perché potrebbe essere usato contro di noi. Va inoltre tenuto conto del decreto legge n.231 dell'8 giugno 2001, che introduce l'obbligo di dover rispondere come persona giuridica per i reati commessi all'interno della propria struttura.
!!!Esempi di incidenti informatici
Vedremo ora una serie di esempi di incidenti informatici di sicurezza, i primi dei quali riguardano violazioni del paradigma C.I.A. (Confidentiality, Integrity, Availibility).
!!!!Confidentiality
La ''confidentiality'' (segretezza) è strettamente correlata alle operazioni di lettura, e prevede che un'informazione possa essere rilasciata - direttamente o indirettamente - solo agli utenti autorizzati a conoscerla. Vediamo due esempi:
* ''furto di informazioni dai computer portatili''. Sembrerà assurdo ma la maggior parte delle volte questo tipo di incidente è dovuto alla sbadataggine di alcuni manager che lasciano il proprio laptop in giro (un classico è dimenticarlo nei pub), così che altri possano accedere a eventuali dati aziendali sensibili. Un'altra occasione di danno si ha quando gli stessi manager usano il portatile a casa e navigano su siti pericolosi che compromettono la macchina, così che quando l'indomani si riconnettono alla rete aziendale producono conseguenze disastrose;
* ''installazione di programmi'' (un esempio su tutti, Skype) potenzialmente dannosi che compromettono la segretezza dei dati sulla macchina e sulla rete aziendale.
!!!!Integrity
L' ''integrity'' riguarda le operazioni di scrittura e stabilisce che le informazioni e le risorse non possano essere modificate, cancellate o distrutte in modo non autorizzato o improprio. Un incidente informatico può compromettere l'integrità su diverse entità:
* ''dati'', che dopo essere stati modificati smettono di essere attendibili
* ''sistema'', di cui non è più possibile garantire il funzionamento una volta alterato
* ''servizi'', che smettono di funzionare correttamente
!!!!Availability
L' ''availability'' (disponibilità) si riferisce al fatto le risorse devono essere sempre disponibili agli utenti autorizzati, dove per risorse si intende informazioni, applicazioni, servizi, sistemi e reti. Un esempio tipico di incidente informatico che inficia l'availability sono gli attacchi ''Denial of Service'' (DoS) e ''Distributed DoS'' (DDoS).
!!!!Reconnaissance
la ''Reconnaissance'' (ricognizione) consiste nell'attività di ricerca di informazioni utili da parte degli attaccanti per portare a termine l'attacco stesso. Tali informazioni possono essere recuperate ad esempio con il ''port scanning'' (molto semplice e frequente), ovvero la ricerca di servizi in esecuzione sul computer remoto, oppure con il ''vulnerability scanning'' (più invasivo) che prevede una ricerca specifica delle vulnerabilità dei servizi stessi . Difficilmente un'azienda considera il port scanning un evento da riportare sotto l'ambito della gestione degli incidenti informatici, tuttavia viene trattato come segnale precursore di un potenziale attacco.
!!!!Virus e worm
I '''virus''' e i '''worm''' sono codici malevoli che compromettono l’integrità dei dati presenti sul PC della vittima.
!!!!Accessi non autorizzati
Gli ''accessi non autorizzati'' possono essere sia logici che fisici, e sono ovviamente portati a termine da utenti che non hanno il permesso di accedere a una risorsa. Possono essere di diversi tipi (elenchiamo dalle slide di Dario Forte, 2008):
* compromissione da remoto
* defacing di siti web
* copiare dati sensibili presenti all’interno di DB
* accesso remoto tramite modem non autorizzati alla rete
Concludiamo osservando che se un amministratore di sistema abusa dei permessi a lui concessi per effettuare accessi non autorizzati, il fatto di essere amministratore rappresenta per lui un aggravante in sede legale.
!!!!Utilizzo inappropriato
''Utilizzo inappropriato'' è il termine generale per indicare le violazioni alle politiche interne dell'azienda, dunque possono essere di molti tipi diversi. Vediamo alcuni esempi:
* download di software non consentito
* accesso a siti pornografici o non inerenti l'attività aziendale, non tanto perché rappresentano attività legalmente perseguibili, ma perché potrebbero compromettere uno degli aspetti C.I.A.
* utilizzo di programmi di file sharing, tra cui si inserisce concettualmente anche Skype
* diffusione volontaria di informazioni sensibili
* utilizzo dei sistemi aziendali per attaccarne altri
!!Incident management
L' '''Incident Management''' è l'insieme di ''politiche'' e ''procedure'' di risposta all'incidente informatico di sicurezza. Definiamo i concetti di politica e procedura:
* la politica è un insieme di linee guida ad alto livello, espressione delle volontà aziendali. Ad esempio potrebbero essere il divieto di navigare su siti web non inerenti l'attività lavorativa. Quando si lavora è sempre opportuno chiedersi se esistono politiche di sicurezza sufficienti o se non ce ne sono alcune che è opportuno proporre
* la procedura è invece il documento attuativo della politica, la parte pratica di più basso livello
La gestione dell'incidente informatico prevede diverse attività, tra cui:
* ''Incident Response'': l'insieme di operazioni da svolgere subito dopo il rilevamento dell'incidente (risposta e ripristino);
* ''Digital Investigation'': le attività di recupero delle informazioni da portare come prove;
* ''Legal Assessment'': la serie di processi per verificare il distacco (''gap'' per i più fighi) tra il reale stato aziendale e quello che dovrebbe essere secondo la legge. E' generalmente compiuto da avvocati esperti;
* ''Damage and Risk Assessment'': quantifica il sicuro danno economico generato dall'incidente informatico.
!!!Framework di incident management
Il '''framework di incident management''' è così strutturato:
* ''pre-incident preparation''
* ''incident detection''
* ''risposta iniziale all'incidente''
* ''formulazione di una strategia di response''
* ''investigazione dell'incidente''
* ''reporting''
* ''risoluzione dell'incidente''
Studiamoli ora nei particolari.
!!!!Pre-incident preparation
La '''pre-incident preparation''' comprende tutta quella serie di operazioni di tipo preparativo finalizzate alla prevenzione e alla reazione dell'incidente informatico in ambito aziendale. Dato che la durata della fase di preparazione è inversamente proporzionale al tempo di risoluzione del problema, è molto utile consultare l'amministratore per velocizzarla. \\
Entrando più nello specifico, andrebbe pianificato:
* le procedure da seguire in caso di incidente per continuare a garantire il servizio (pensate a quanto ciò sia importante per i servizi bancari)
* stabilire chi sono i ''Point Of Contact'' ('''P.O.C.'''), ovvero i contatti da interpellare in caso di incidente; possono essere interni (personale interno all'azienda, ad esempio l'amministratore del servizio informatico) o esterni (libere categorie esterne come Polizia Giudiziaria, Legali, CERT, etc...)
* fare un ''Hands On'' sulla log analysis e sull'esame forense così da cercare il maggior numero di punti di correlazione possibile sulle varie fonti. Per ''log analysis'' non si intende banalmente solo l'analisi dei log, ma anche la ricostruzione dell'incidente basandosi sul contenuto delle prove. L' ''esame forense'' è invece l'esame delle ''evidence'' (le prove), ed è eseguita con strumenti di computer forensics che possono essere standalone o distribuiti
* decidere le linee guida da seguire per garantire la sicurezza del sistema
* scegliere le risorse da utilizzare per l'analisi
Questa fase non è assolutamente da sottovalutare: Dario Forte insegna che "più siamo preparati e meno impiegheremo nell'analisi".
!!!!Incident Detection
Con '''incident detection''' si intende la rilevazione e il riconoscimento dell'incidente informatico. Pur essendo particolarmente complessa, questa fase è assolutamente necessaria: solo scoprendo cosa e come è successo si potrà evitare che quell'incidente si verifichi di nuovo.
Per l'incident detection ci possiamo avvalere di strumenti tecnologici come ad esempio l' ''Intrusion Detection System'' ('''IDS'''), i ''log correlator'', i ''firewall'' e gli ''antivirus''; inoltre si può fare affidamento alle segnalazioni degli utenti e di terze parti coinvolte nell'incidente (Autorità Giudiziaria compresa).
L'incident detection ha una difficoltà molto variabile a seconda del caso, ma molto dipende anche dalle conoscenze tecniche di chi opera e dalle prestazioni dei sistemi che gestiscono le informazioni (che possono arrivare tranquillamente a terabyte di dati, di log, ...).
!!!!Risposta iniziale all'incidente
La '''risposta iniziale all'incidente''' avviene con la formazione dello '''CSIRT''' (''Computer Security Incident Response Team'') e delle fonti di prova iniziali. Per quanto riguarda gli CSIRT vale la pena consultare la [[RFC 2350]] o i capitoli successivi, mentre per le seconde la [[RFC 3227]].
La raccolta delle evidence avviene con l'acquisizione delle immagini disco e dei log e con l'elaborazione di tali informazioni. In particolare, l'acquisizione delle immagini disco deve essere fatta con programmi appositi come [@DD@] che effettuano una copia approfondita bit-by-bit dei dati contenuti sul disco (dal cluster 0 all'ultimo), integri cancellati o modificati che siano.
Anticipiamo qui che l'analisi andrebbe fatta sempre sulle copie (dette per questo motivo ''copie forensi''), così da non compromettere mai gli originali ed esserne sempre sicuri dell'autenticità.
!!!!Strategia di risposta all'incidente
In base alle politiche aziendali e ad eventuali necessità va a questo punto formulata una '''strategia di incident response'''. Vediamone alcuni tipi:
* ''strategia di contenimento'': in caso di attacco si cerca di limitare il danno sia in termini economici che di sicurezza; ad esempio in caso di corruzione di una macchina questa viene messa in quarantena e tenuta sotto controllo
* ''raccolta e gestione delle evidence'': si raccolgono tutte le possibili fonti di prova seguendo un modello investigativo che sarà illustrato nelle prossime lezioni
* ''identificazione dell'attaccante'': si correlano le varie informazioni raccolte così da capire come ha agito, da dove e possibilmente chi è
* "''ripresa del servizio''"
* "''utilizzo di strumenti di Incident Response'' (Helix, IRItaly, Live CD) "
In questa fase vanno prese inoltre ''decisioni informative'' e ''di interazione con l'opinione pubblica'' (public relation). Le decisioni informative pianificano le modalità con cui si informano ed eventualmente si richiedono autorizzazioni all'Autorità Giudiziaria per utilizzare in tribunale fonti di prova raccolte in modo non lecito, ad esempio violando la legge sulla privacy.
!!!!Investigazione dell'incidente
Per quanto riguarda l' '''investigazione dell'incidente''' andrebbero sempre seguite alcune semplici regole:
* rispettare l'ordine di volatilità dei dati: la RAM è più volatile dei Log che sono a loro volta più volatili del Disco, quindi alcune componenti andrebbero acquisite ed investigate prima di altre
* dato che in ambienti molto estesi l'attività di acquisizione è estremamente lunga, essendo il tempo un fattore critico si fa in modo che il recupero delle informazioni avvenga in parallelo in modo distribuito (in questo modo la copia di 1000/2000 macchine può avvenire in poche ore)
* validare le prove utilizzando più fonti, cercando sempre più punti di correlazione possibile
* dal momento che è molto probabile che a un incidente ne segua un altro a catena, è molto utile fare "snapshot" incrementali del sistema così da capire cosa è successo o cosa sta succedendopuò essere utile a capire cosa sia successo o stia succedendo
* effettuare quando possibile una ''Live Analysis''
* se possibile fare sempre esami post-mortem sulle macchine su cui è stato accertata una compromissione
* "log analysis"
* "correlazione degli eventi"
* "artifacy analysis"
* tenere conto del fatto che i risultati ottenuti dall'investigazione devono essere riproducibili (metodo scientifico)
!!!!Reporting
Il '''reporting''' è la documentazione e presentazione delle informazioni raccolte nei vari momenti dell'indagine, dunque va fatto sempre e non solo a questo punto del framework. Nella stesura dei report bisogna tener conto del tempo a disposizione per la sua redazione, del metodo di diffusione che verrà usato e delle conseguenze di eventuali violazioni delle policy.\\
Tra le figure a cui vanno presentati i report vi sono sicuramente il management aziendale, il reparto legale, altri CSIRT e in alcuni casi anche alle forze dell'ordine o alle autorità giudiziarie.
!!!!Risoluzione dell'incidente
La fase di '''risoluzione dell'incidente''' è quella che comprende tutte le operazioni atte a risolvere l'incidente informatico, ripristinare il sistema (ad esempio con backup o reinstallazioni) e capire cosa sia effettivamente successo per evitare che il problema si ripresenti in futuro. Abbiamo già detto infatti che limitarsi a ripristinare il sistema allo stato precedente l'incidente non è altro che un palliativo, dal momento che la vulnerabilità che era stata sfruttata in passato si ripresenta inalterata. Bisogna quindi fare tesoro delle lezioni apprese affinché non si verifichi lo stesso incidente, attività questa che prende il nome di ''lesson learned'' e che purtroppo è spesso sottovalutata.
----
[[Torna alla pagina di Gestione degli incidenti informatici->Gestione degli incidenti informatici]]
|
|
