• Penetration test: il metodo IambOO

    I servizi di IambOO spaziano dalla sicurezza informatica alle soluzioni per mobile. In particolare IambOO è in grado di evidenziare gli eventuali punti deboli della tua infrastruttura IT valutando l’effettivo grado di sicurezza del tuo sistema informatico da attacchi esterni e/o problematiche interne.

     

    Vi avevamo già parlato del Vulnerability Assesment che IambOO offre alle aziende, ovvero un’analisi di tutti gli asset per poter rilevare e definire il livello di rischio delle vulnerabilità note e indirizzare le appropriate strategie di mitigazione del rischio.

    Oggi vogliamo approfondire quello che è il nostro metodo che si basa su quattro standard tecnologici:

     

    OSSTMM– il manuale dell’Institute for Security and Open Methodologies

    OWASP– l’organizzazione indipendente dedicata alla creazione e alla diffusione di una “cultura della sicurezza delle applicazioni WEB”.

    NIST– l’istituto del Ministero del commercio Usa che si occupa di standard e tecnologie.

    PTES– la metodologia Penetration Testing Execution Standard.

     

     

    OSSTMM

    L’Open Source Security Testing Methodology Manual, meglio noto come OSSTMM è il manuale che descrive una metodologia riconosciuta a livello internazionale per la pianificazione e successiva esecuzione dei test di sicurezza. Si tratta, in quanto iniziativa open source, di un progetto in continuo aggiornamento che riceve contributi da molteplici enti e professionisti. Nelle continue migliorie che il manuale riceve si cercano di seguire tutte le diverse normative di sicurezza presenti nei paesi avanzati, rispettando per quanto più possibile i termini relativi alla privacy e alle informazioni personali.

     

    Il manuale fa riferimento a sei macroaree operative, che rappresentano in modo completo l’universo ICT di ogni azienda o amministrazione pubblica.

    Queste aree sono:

    Information security;
    Process security;
    Internet Technology security;
    Communication security;
    Wireless security;
    Physical security.

     

    Le varie aree d’intervento si riferiscono alle diverse professionalità necessarie. che IambOO è in grado di fornire, identificate nei ruoli di Security Analist, Security Expert, Security Tester e Wireless Security Analyst.

     

     

    OWASP 

    La Open Web Application Security Project (OWASP) è una comunità aperta con lo scopo di permettere alle organizzazioni di sviluppare, vendere e mantenere applicazioni che possono essere considerate sicure. Tutti gli strumenti OWASP, documenti, forum e capitoli sono liberi e aperti a chiunque sia interessato a migliore la sicurezza informatica. OWASP fornisce delle linee di approccio alla sicurezza come un problema tecnologico, di processo e delle persone.

    L’organizzazione ha stilato diversi documenti che permettono ai nostri sviluppatori e ai professionisti del settore di avere delle linee guida da seguire nei diversi progetti. Fondamentale la Testing Guide in cui il Project Lead è l’italianissimo Matteo Meucci ma esistono anche semplici check list come la seguente che ci permette di tenere sempre a mente il livello di sicurezza da raggiungere:

    - Validazione dei dati

    - Autenticazione

    - Gestione della sessione

    - Autorizzazione

    - Crittografia

    - Gestione degli errori

    - Logging

    - Configurazioni della sicurezza

    - Architettura dei rete.

     

     

    NIST 

    Il National Institute of Standards and Technology è un istituto del Ministero del commercio Usa che si occupa di standard e tecnologie. Rilevante per il nostro ambito d’interesse è la SP 800-115 del NIST una guida per gli aspetti tecnici di base della conduzione delle valutazioni di sicurezza delle informazioni. Presenta test tecnici, metodi e tecniche di esame che utilizziamo come parte della valutazione complessiva sulla sicurezza e offre approfondimenti per il potenziale impatto che le nostre attività possono avere su sistemi e reti.

     

    I processi e la guida tecnica presentati in questo documento ci consentono di:

    - sviluppare la politica di valutazione della sicurezza delle informazioni, la metodologia, i ruoli e le responsabilità individuali relativi agli aspetti tecnici della valutazione;

    - pianificare accuratamente una valutazione della sicurezza delle informazioni tecniche fornendo una guida per determinare quali sistemi valutare e l'approccio per la valutazione e affrontare considerazioni logistiche,

    - sviluppare un piano di valutazione e garantire che vengano presi in considerazione gli aspetti legali e politici;

    - eseguire in modo sicuro ed efficace una valutazione della sicurezza delle informazioni tecniche utilizzando i metodi e le tecniche presentate e rispondere a eventuali incidenti che possono verificarsi durante la valutazione;

    - gestire appropriatamente i dati tecnici (raccolta, archiviazione, trasmissione e distruzione) durante il processo di valutazione;

    - condurre analisi e reporting per tradurre i risultati tecnici in azioni di mitigazione del rischio che miglioreranno l'atteggiamento di sicurezza dell'organizzazione.

     

     

    PTES

    Si tratta di uno standard creato da un gruppo di consulenti che hanno descritto una metodologia generica estremamente utile. La metodologia PTES comprende sette sezioni principali e coprono tutto ciò che riguarda un penetration test: dalla comunicazione iniziale e il ragionamento che sta dietro un pentest, attraverso la raccolta di informazioni e le fasi di modellazione delle minacce in cui i tester lavorano dietro le quinte per ottenere una migliore comprensione dell'organizzazione in esame attraverso la ricerca delle vulnerabilità, dove le competenze tecniche di sicurezza dei tester entrano in gioco e si combinano con la comprensione del business dell'impegno, e infine con il reporting, che cattura l'intero processo, in una modalità comprensibile per il cliente.

     

    In conclusione di questo approfondimento, è importante esplicitare che tutte le metodologie e gli standard che IambOO segue hanno delle aree di sovrapposizione come degli aspetti peculiari.

    IambOO, ogni volta che si trova ad affrontare un nuovo progetto, decide come combinarle correttamente in quanto il Penetration Test – per sua natura – è un processo iterativo e non ha un andamento lineare.

     

     

Categorie

Potrebbe interessarti

Potrebbe interessarti