SlideShare a Scribd company logo

ISACA - Gestire progetti di Ethical Hacking secondo le best practices

Simone Onofri, profile picture
Simone Onofri

Il documento discute l'importanza della gestione dei progetti di ethical hacking e security testing seguendo le best practices di project management. Vengono illustrate le fasi di un progetto di security testing, dalla pianificazione alla conclusione, e diversi standard e metodologie utili, come PRINCE2 e OWASP. Inoltre, si evidenziano variabili chiave per il successo del progetto e la necessità di giustificare commercialmente ogni iniziativa di testing.

Internet
1 of 81
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
Ges$re  proge*  di  Ethical  Hacking  secondo   le  best  prac$ce  di  Project  Management  e   Security  Tes$ng   Simone  Onofri   Claudia  Spagnuolo   Roma  25/02/2014  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Relatori! ;-­‐)       Simone  Onofri   simone.onofri@techub.it     Claudia  Spagnuolo   claudia.spagnuolo@yahoo.it  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     A. Introduzione  al  Project  Management  e  ai  ProgeG  di   Security  TesIng   B. Esempio  di  un  ProgeLo  di  Security  TesIng  (fasi  di   pre-­‐progeLo,  inizio,  consegna,  post-­‐progeLo)   C. Conclusioni   Agenda! C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Parte  A  -­‐  Introduzione  al  Project   Management  e  ai  Proge9  di  Security  Tes>ng   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Cos’è  un  ProgeBo?! Il  ProgeLo  è  un  organizzazione  temporanea,   che  viene  creata  con  lo  scopo     di  consegnare  uno  o  più     prodo9  specialis>ci.       Esempi  di  prodo*  di  proge?o:  una  applicazione  so?ware,     un  report  di  valutazione  delle  vulnerabilità   La  definizione  è  liberamente  ispirata  a   PRINCE2®   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Cos’è  il  Project  Management?! E’  un  insieme  di  aGvità  stru?urato  volto  a   pianificare,  delegare,  monitorare  e  controllare  i   vari  aspeG  del  progeLo  per  raggiungere     gli  obie9vi  stabili>.     E’  compito  del  responsabile  di  progeLo  tenere   soLo  controllo  le  sei  variabili  di  progeLo:     tempi,  cosI,  ambito,  qualità,  rischio  e  benefici.   La  definizione  è  liberamente  ispirata  a   PRINCE2®   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Variabili  di  progeBo  e  performance! Qualità   Tempi   Ambito   Cos>   Benefici   Rischi   Mantenere  le  variabili  di  progeLo  all’interno  delle  tolleranze   stabilite  (p.e.  qualità  concordata)  garanIsce  di  conservare   eleva>  livelli  di  performance  per  progeBo     C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Qual’è  lo  scopo  di  un  progeBo  di  Security  Tes>ng?! Valutazione  della  sicurezza  delle   informazioni     “Determinare  quanto  efficacemente  un   sistema,  applicazione  o  più  in  generale  un   servizio  soddisfa  gli  obie9vi  di  sicurezza”   La  definizione  è  liberamente  ispirata  a  al  NIST  SP800-­‐115   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  best  prac>ces  ! Esistono  molte  Best  PracIces,  buone   prassi  consolidate  dall’esperienza,   sia  per  il  Security  TesIng     sia  per  il  Project  Management.   Ne  vediamo  alcune.     C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     PRINCE2®  (Projects  in  a  Controlled  Environment*),  UK     PRINCE2®  è  un  metodo  di  ges>one   proge9  del  governo  inglese,  standard   de-­‐facto  basato  sull’esperienza  di   migliaia  di  progeG.  E’  adaLabile  ad   ogni  ambito  e  si  concentra  sugli   aspeG  gesIonali.   *  Oggi  PRINCE2®  è  un  marchio  registrato  della  AXELOS  Limited.   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     OSSTMM  (Open  Source  Security  Tes>ng  Methodology  Manual),  EU! OSSTMM  è  un  manuale  dell’ISECOM   che  descrive  una  metodologia  per   l’esecuzione  di  test  di  sicurezza  in   differenI  ambiI.  Prevede  anche   elemenI  relaIvi  alla  pianificazione  e   alle  regole  di  ingaggio.  Si  uIlizza  di   solito  per  i  Network  Penetra>on  Test   e  i  Wireless  Penetra>on  Test.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     OWASP  (Open  Web  Applica>on  Security  Project),  USA! OWASP  è  un’organizzazione   indipendente  dedicata  alla  creazione  e   alla  diffusione  di  una  “cultura  della   sicurezza  delle  applicazioni  web”.  Ha   redaLo  la  Tes>ng  Guide,  una  guida   per  la  valutazione  della  sicurezza  delle   Applicazioni  Web.  Si  uIlizza  di  solito   per  i  Web  Applica>on  Penetra>on   Test.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     NIST  (Na>onal  Ins>tute  for  Standard  and  Technologies),  USA! Il  NIST  è  un  isItuto  del  Ministero  del   commercio  americano  che  si  occupa  di   standard  e  tecnologie.     La  SP  800-­‐115  del  NIST  descrive  le   raccomandazioni  per  il  TesIng  e   l’Assessment  per  la  Sicurezza  delle   Informazioni.  Si  uIlizza  di  solito  per  i   Vulnerability  Assessment  e  per   stabilire  un  Programma  dei  Test.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     PTES  (Penetra>on  Test  Execu>on  Standard)! Il  PTES  è  uno  standard  de-­‐facto  per   l’esecuzione  di  PenetraIon  Test  scriLo   da  un  gruppo  di  professionisI.  Si   occupa  sia  della  pianificazione  che   degli  aspeG  tecnici.  Si  uIlizza  di  solito   per  i  Network  Penetra>on  Test  e   Wireless  Penetra>on  Test.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Possiamo  integrare     le  Best  PracIce  di  Security  TesIng     con  quelle  uIlizzate  per     gesIre  il  progeLo?  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Combinare  differen>  Best  Prac>ce   Comitato   Project   Manager   Team  Leader  e     Security    Team   OSSTMM   NIST   SP800-­‐115   OWASP   PRINCE2   PTES  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Come  uIlizziamo  PRINCE2     in  un  progeLo  di  Security  TesIng?  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Applichiamo  PRINCE2  a  un  progeBo  di  Security  Tes>ng! 18   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   • Stesura  del  Business   Case  preliminare  :   definizione  della   necessità  e  dei   benefici  che  il   commiLente  desidera   conseguire   • Raccolta  dei  requisiI   di  alto  livello,  cioè  non   eccessivamente   deLagliaI   • Pianificazione   • Documentazione:     scelta  dei  template,   idenIficazione  della   documentazione   necessaria  e  relaIva   redazione  (se  non   abbiamo  tuLe  le   informazioni  solo  in   versione  preliminare)   • Verifica  delle   condizioni  di  ingresso   • Svolgimento  aGvità   tecnica  secondo   l’ambito  e  l’approccio   definito   • Produzione   ReporIsIca   • Presentazione  e   acceLazione  del   prodoLo  di  progeLo   • Azioni  post-­‐progeLo   consigliate  e  verifica   dei  Benefici  (p.e.   aGvità  di  re-­‐test,   azioni  di  rientro  per   ridurre  le  vulnerabilità)  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Come  struBurare  un  progeBo  di  Security  Tes>ng  con  le  BP! 19   Comitato  PM  Team  Leader  e     Security    Team   Pre-­‐progeLo   (starIng  up)   Fase  di  Inizio   (pianificazione)   Fase/i  di  consegna   Delivery:  Report  parziali  o   anIcipazioni   Avvio  di   un   ProgeBo   Inizio  di  un  ProgeBo   Ges>one  dei   limi>  di  Fase   Ges>one  della   Consegna  dei  Prodo9   Controllo  di  Fase   Ges>one  dei   limi>  di  Fase   Controllo  di  Fase   Chiusura  di  un   ProgeBo   Ges>one  della   Consegna  dei  Prodo9   NIST  /  OSSTMM  /   OWASP  /  PTES   NIST  /  OSSTMM  /   OWASP  /  PTES   UlIma  fase  di  consegna   Delivery:  report  finale   NIST  /  OSSTMM  /   OWASP  /  PTES   Direzione  di  un  ProgeBo  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Parte  B  -­‐  Esempio  di  un  progeBo  di   Security  Tes>ng  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     In  questo  modulo  vediamo  come  si  può   sviluppare  in  fasi  un  progeLo  di  Security   TesIng.       Andiamo  a  vedere  in  deLaglio  cosa     accade  nelle  4  fasi  che  abbiamo  visto  in  precedenza:   • Pre-­‐progeLo   • Fase  di  Inizio   • Fase/i  di  consegna  successive   • Post-­‐progeLo  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Pre-­‐progeBo    (fase  di  ‘Star>ng  up’)        -­‐  Il  Business  Case  e  il  Project  Brief      -­‐  Il  ProdoLo  di  ProgeLo    -­‐  Le  informazioni  da  raccogliere  (requisiI   di  alto  livello)    -­‐  Top  Tips   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Fase  di  pre-­‐progeBo  (star>ng  up  del  progeBo)! L’input  è  il  mandato  di  progeBo,  può  essere  una    telefonata,   una  e-­‐mail,  un  incontro  o  un  accordo  commerciale.     Il  pre-­‐progeBo  è  la  fase  di  ‘starIng  up’  in  cui  il  progeLo  viene   solo  avviato  ed  ha  lo  scopo  di  verificare  ad  alto  livello  la  sua   validità  e  fa9bilità.     Uno  degli  output  principali  è  il  Business  Case  che  verrà  inserito,   insieme  ad  altra  documentazione  ritenuta  rilevante,  in  un   ‘faldone’  chiamato  Project  Brief.  QuesI  documenI  di  gesIone   sono  la  base  per  la  fase  successiva  in  cui  si  ‘costruirà’  la   struLura  di  controllo  del  progeLo.   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Mandato  di  progeBo:  quali  sono  le  necessità?! Perché  si  da  il  mandato  per  avviare  un  progeLo  di  Security   TesIng?  Le  necessità  possono  essere  molteplici.   Di  solito  i  driver/necessità  di  progeBo  caraLerisIci  sono:     • Compliance  a  Leggi,  Norme  e  Regolamentazioni  (es.  ISO  27001,   PCI-­‐DSS)       • Ges>one  del  Rischio  per  difendere  il  business  (es.  garanIre   che  daI,  infrastruLure  e  applicazioni  siano  sufficientemente   sicure)   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Cosa  con>ene  il  Project  Brief?! Il  Project  Brief  è  un  faldone  che  conIene   definizione  e  scopo  del  progeLo,  obieGvi,   Business  Case  (preliminare),  Descrizione  del   ProdoBo  del  ProgeBo,  Approccio,  StruLura  del   Team  e  Ruoli.  Può  venir  aggiunta  altra   documentazione  se  ritenuta  rilevante,  p.e.  il   manleva  firmata  da  cliente  e  fornitore.     Vedremo  ora  i  documen%  di  ges%one  peculiari:  Business  Case,   Descrizione  del  Prodo?o  del  Proge?o  e  Stru?ura  del  Team   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  -­‐  Obie9vo! Uno  dei  princìpi  di  PRINCE2®  indica  che  ogni   progeLo  deve  avere  “gius>ficazione   commerciale  con>nua”,  questo  vale  anche  per   il  Security  TesIng.       La  giusIficazione  è  contenuta  nel  documento  di   gesIone  che  si  chiama  Business  Case  che  deve   rispondere  alla  domanda:   vale  la  pena  di  iniziare  il  progeCo?     C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  -­‐  Contenuto! Un  riepilogo  esecuIvo,  i  mo>vi,  le  opzioni   commerciali,  i  benefici  e  i  controbenefici,   tempi,  cos>,  valutazione     dell’inves>mento  e  rischi  principali.     La  sicurezza  è  un  inves$mento!!!       Le  ricerche  dimostrano  che  ha     un  ROI  che  va  dal  5%  al  21%   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  –  Esempio  (estraBo)! • Identificativo documento: CodCliente_CodProg_CodDoc_Ver • Riepilogo Esecutivo: Raccomandiamo di eseguire le valutazioni di sicurezza per le 10 applicazioni già identificate come critiche ed esposte su internet per clienti terzi. Così da aumentare il livello di sicurezza generale ed essere compliant. • Motivi: Essere ragionevolmente certi che le applicazioni siano sicure e protetti dai danni di immagine. • Opzioni Commerciali: • Non fare nulla: rimanere consapevoli dell’esposizione a potenziali danni economici e d'immagine e alla potenziale perdita di clienti. • Fare il minimo: controllare solamente le applicazioni più critiche. • Fare qualcosa: mettere in sicurezza le applicazioni esistenti e stabilire un ciclo di sviluppo e implementazione sicuro di applicazioni e sistemi. • Benefici: • Riduzione dell’80% delle vulnerabilità attuali già dopo il primo mese dalla messa in produzione. • Riduzione del 50% dei costi di risoluzione degli incidenti informatici rispetto all'anno passato. • Controbenefici: Non sarà possibile modificare le applicazioni durante i test. Tempi più lunghi per il rilascio in produzione • Rischi Principali: •  Un rischio è che siano divulgate le informazioni riservate come risultato di disattenzione del personale o compromissione/furto dei sistemi, con l’effetto di perdita d'immagine ed economica. Pertanto sarà richiesta la firma di un “Patto di Riservatezza” e le attività si svolgeranno solo su sistemi interni. •  Un rischio è che il personale esterno non sia abbastanza abile nell’identificare le problematiche come risultato di scarsa preparazione, con l’effetto di non identificare tutte le vulnerabilità. Pertanto saranno richieste nella gara certificazioni riconosciute a livello internazionale relative ai test di sicurezza e il curriculum dettagliato che garantisca sufficiente esperienza nel campo della sicurezza.
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  –  Esercizio  (15  minu>)! Scenario:  Una  grande  azienda  vuole  essere  ragionevolmente   certa  che  le  sue  applicazioni  siano  sicure  per  evitare  danni   d’immagine  o  perdite  economiche.   Scrivere  il  Business  Case.   Riepilogo  esecu>vo:  in  breve,  quali  sono  i  benefici  e  il  ritorno  sull’invesImento?   Mo>vi:  perché  intraprendere  il  progeLo?     Opzioni  commerciali:  quali  sono  le  opzioni  analizzate  (non  fare  nulla,  fare  il  minimo  o   fare  qualcosa)?   Benefici:  quali  sono  i  risultaI  posiIvi  e  misurabili  che  mi  aspeLo  del  progeLo?   Contro-­‐benefici:  quali  sono  i  risultaI  percepiI  come  negaIvi,  generaI  dal  progeLo?     Tempis>ca:  quali  sono  le  tempisIche  del  progeLo?   Cos>:  Quali  sono  i  cosI  del  progeLo?   Valutazione  dell’inves>mento:  qual’è  il  rapporto  tra  cosI,  benefici  e  contro-­‐benefici?   Rischi  principali:  Quali  sono  i  rischi  principali  correlaI  al  progeLo?  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  –  Top  Tips! •  Il  Cliente  e  il  Fornitore  hanno  due  Business  Case   differen>.   •  Il  Business  Case  del  fornitore  prevede  solitamente   il  ritorno  economico;  oppure  lavora  in  perdita  per   poter  acquisire  nuovi  Clien>  e/o  segmen>  di   mercato.   •  I  due  Business  Case  dovrebbero  essere  compa>bili.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Descrizione  del  ProdoBo  di  ProgeBo  -­‐  Obie9vo! Quando  si  decide  di  fare  un  progeLo   (anche  di  Assessment)  va  definito   anzituLo  cosa  ci  aspeBa  dal  progeBo  e   cosa  dovrà  rilasciare.  PRINCE2®  fornisce   un  prodoLo  di  gesIone  con  questo   scopo:  la  Descrizione  del  ProdoBo  di   ProgeBo  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Descrizione  del  ProdoBo  di  ProgeBo  -­‐  Contenuto! Se  il  ProdoLo  di  ProgeLo  è  un    report  che   documenta  i  risultaI  dell’Assessment,  la   Descrizione  conIene  le  informazioni  che  lo   descrivono,  come  l’obie9vo,  la  composizione,  la   derivazione  (da  dove  provengono  le   informazioni),  le  competenze  richieste  per   portare  a  compimento  il  progeLo,  le  aspe?a%ve   di  qualità  e  le  relaIve  tolleranze.  UlImo  ma  non   meno  importante  il  metodo  e  le  responsabilità   per  l’acceBazione.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Descrizione  del  ProdoBo  di  ProgeBo  -­‐  Qualità! La  qualità  (le  caraLerisIche/requisiI)  che  deve   avere  il  risultato  e  gli  standard  da  seguire  sono   elemenI  influenzano  molto  la  quan>tà  di  lavoro   rela>vo  costo.   (p.e.  u%lizzo  di  standard  quali  OSSTMM  e  OWASP  o   il  calcolo  del  punteggio  tramite  CVSS  v2)  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Esempio  di  Composizione  del  Report  di  Security  Tes>ng! PTES  consiglia  di  struLurare  il  report  su  più  livelli,  uno  di  alto   livello  che  si  focalizza  sugli  impaG  e  sinteIzza  i  risultaI  e  uno  di   approfondimento  tecnico  che  specifica  i  risultaI  e  propone   soluzioni.  L’OSSTMM  consiglia  di  includere  sempre  le   informazioni  di  Contesto.     • ObieGvo  ed  organizzazione  del  documento   • Approccio  e  Metodologia   • Contesto  (p.e.  bersaglio  e  periodo  della  valutazione)   • Sintesi  esecuIva   • DeLagli  tecnici     • Legenda     Nota:  il  Cliente  potrebbe  chiedere  un  report  personalizzato    
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Top  Tips  –  Promemoria  giornaliero! La  prima  a9vità  di  gesIone  da  fare   quando  si  viene  nominaI  Project   Manager  è  creare  il  proprio  Promemoria   Giornaliero,  il  “diario  di  bordo”  che   conIene  tuLe  le  informazioni  rilevanI.   Data di Inserimento! Problema, azione, evento o commento! Persona Responsabile! Data obiettivo! Risultato! 2012-12-XX! Richiesta di informazioni da <Referente Cliente>! Simone! 2012-12-XX! Pianificare Riunione! 2012-12-XX! Richiesta per attività relativa a <Attività>! Simone! 2012-12-XX! Stima spannometrica!
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Fase  di  Inizio   -­‐  Requisi>   -­‐  S>ma   -­‐  Piano  di  ProgeBo   -­‐  Manleva  e  Regole  di  Ingaggio   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     L’inizio:  Inizio  di  un  ProgeBo  e  Limite  di  Fase! L’input  è  il  Project  Brief.     La  fase  si  struLura  in  due  processi:  l’Inizio  di  un  Proge?o   che  ha  lo  scopo  di  impostare  la  solide  basi  per  l’intero   progeLo;  la  Ges%one  del  Limite  di  Fase  si  occupa  di   verificare  lo  stato  della  fase  precedente,  pianificare   quella  successiva  e  fornisce  un  momento  decisionale  per   capire  se  procedere  o  meno.     Gli  output  principali  sono  la  Documentazione  di  Inizio   del  ProgeBo  e  il    Piano  di  ProgeBo.  E’  inoltre  pianificata   in  deLaglio  la  fase  successiva  con  il  relaIvo  piano.   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Requisi>   Quali  sono  i  requisi%  che  nella  vostra   esperienza  sono  più  importan%  in  un   proge?o  di  Security  Tes%ng  secondo  voi?     Scriveteli!  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Requisi>  da  definire  secondo  l’OSSTMM! L’OSSTMM  consiglia  di  definire,  per  ogni  Security  Test  una  serie  di   informazioni.  Sono  i  requisiI  necessari  per  il  Test:   • Target  e  ambiente:  Cosa  vogliamo  proteggere,  qual’è  la  zona  di  ingaggio  e   lo  scope  (es.  una  determinata  applicazione  web,  una  rete,  un  IP)   • VeBore:  Come  gli  analisI  interagiranno  con  il  target,  p.e.  tramite  Internet,   in  loco  oppure  in  VPN.   • Tipo  di  Test:  p.e.  Black  Box,  White  Box  o  Crystal  Box.  A  seconda  del  Ipo  di   test  cambia  l’obieGvo  e  le  informazioni  da  reperire  per  l’esecuzione  del   test.   • Regole  di  Ingaggio:  per  regolare  i  rapporI  tra  cliente  e  fornitore  e    il   comportamento  del  fornitore  e  dei  suoi  analisI  (es.  nessuna  modifica  ai   sistemi  o  applicazioni  durante  i  test).  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Tipi  di  Test  secondo  l’OSSTMM!
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Definire  un  Security  Test  con  PTES  per  Re>  e  Sistemi! • Scopo  e  Mo>vazione   • Perché  si  vuole  fare  il  Security  Test?   • E’  per  moIvi  di  Compliance?  In  caso  quali?   • Tempis>che   • Quando  deve  essere  eseguita  l’aGvità?   • Orario  lavoraIvo?   • Orario  serale/noLurno?   • Giorni  lavoraIvi  o  nei  week  end?   • Ambito/VeBore   • Larghezza:  QuanI  IP  devono  essere  analizzaI  in  totale?  Esterni?  Interni?  Come   raggiungere  la  rete  interna?   • Profondità:  In  caso  di  accesso  a  un  sistema  cosa  fare?   • Ambiente   • Ci  sono  dei  disposiIvi  che  possono  influire  con  l’aGvità?  (es.  WAF,  IPS,  IDS…)  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Definire  un  Security  Test  con  PTES  per  Applicazioni  Web! • Scopo  e  Mo>vazione   • Qual’è  la  moIvazione  del  test?   • E’  per  moIvi  di  Compliance?  In  caso  quali?   • Ambito/Tipo  di  Test   • Larghezza:  Quante  applicazioni?  Quante  pagine  staIche?  Quante  pagine   dinamiche?  QuanI  profili  utente  saranno  uIlizzaI?   • Profondità:  E’  possibile  analizzare  il  codice  sorgente?  E’  previsto  l’invio  di   documentazione?  Sarà  possibile  fare  analisi  staIca  sull’applicazione?  Sarà   possibile  fare  del  fuzzing?  Test  sulla  logica  applicaIva?  Test  sui  ruoli?  Sono   previste  delle  scansioni  tramite  l’uIlizzo  delle  credenziali?  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Requisi>  –  Esercizio  (10  minu>)! Scenario:  Il  Cliente  vuole  valutare  un’Applicazione  Web  criIca   per  il  suo  Business.  Siamo  alla  riunione  di  kick-­‐off  per   raccogliere  i  requisiI  insieme  al  Cliente  in  modo  da  avere  le   informazioni  per  eseguire  la  sIma.   Definire  la  lista  delle  domande  a  cui  deve  rispondere  il  Cliente.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Requisi>  –  Esempio  per  Applicazione  Web! • Identificativo documento: CodCliente_CodProg_CodDoc_Ver • Scopo e Motivazione • Perché si vuole fare il Security Test? Compliance? Quali? • Tipologia di Test • Tempistiche • Giorni: lavorativi o week end • Orari: lavorativo, serale o notturno? • Ambito • Larghezza: Quante applicazioni (ip/url*)? Quante pagine statiche, dinamiche o funzionalità? Quante pagine dinamiche? Quanti profili utente?* Esclusioni? • Profondità: E’ necessario sfruttare tutte le vulnerabilità in maniera estesa? Test da escludere? • Vettore • I test saranno svolti sull’ambiente di produzione o collaudo? • E’ possibile svolgere i test da remoto? Da VPN*? On-site*? • Ambiente • Ci sono dei sistemi che possono influire con l’attività? (es. WAF, IPS, IDS…) • Chi è il proprietario o il gestore dei sistemi? • Riferimenti e regole • Persona in caso di emergenza e responsabile per la firma della manleva. Definire regole di ingaggio specifiche?
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! S>ma   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     S>ma  ! Quando  si  prepara  un  piano  o  un’offerta   commerciale  è  importante  avere  delle   sIme  aLendibili.   Purtroppo  in  buona  parte  dei  progeG  è   possibile  avere  una     buona  s>ma  solo  dopo  l’inizio.   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Come  fare  la  s>ma  secondo  PTES! Buona  parte  delle  sIme  si  basano   sull’esperienza.       Quanto  ci  è  voluto  per  testare  in  profondità  l’ulIma   volta  un’applicazione  simile?  Quanto  ci  è  voluto  per   quella  quanItà  di  IP?    Rivedi  le  tue  e-­‐mail  e  i  log  delle  scansioni  e  aggiungi  un   20%  per  avere  un  margine  ragionevole.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Il  cono  d’incertezza! 4x   2x   1x   .5x   .25x   impegno   tempo  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Fare  le  s>me  secondo  PRINCE2®! Chi  deve  fare  la  s>ma?     Far  eseguire  la  sIma  a  chi  realizzerà  il  prodoBo,   quindi  i  tecnici.   Per  la  pianificazione  assumere  che  le  risorse   saranno  produGve  solo  per  l’80%  del  tempo.     C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Come  s>mare  la  repor>s>ca  secondo  l’OSSTMM! ABenzione!!!     Redigere  il  Report  può  occupare   metà  del  tempo  necessario  per   l’intera  aGvità  tecnica.   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Piano  di  ProgeBo   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Piano  di  ProgeBo  -­‐  Scopo! Il  piano  di  progeBo  descrive  come  e   quando  si  devono  raggiungere  gli   obieGvi  idenIficando  le  risorse,  le   aGvità  e  i  principali  prodoG  specialisI   da  rilasciare.   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Piano  di  ProgeBo  -­‐  Composizione! PRINCE2®  consiglia  di  inserire  nel  piano   la  descrizione,  i  prerequisi>,   dipendenze,  assunzioni,  lezioni  apprese,   come  monitorare  e  controllare  il  piano,   budget  e  tolleranze,  i  prodo9  da   rilasciare,  Tempi  (orari,  giorni,  durata)  e   risorse  coinvolte.   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Piano  di  ProgeBo  -­‐  Esempio! •  Identificativo documento: CodCliente_CodProg_CodDoc_Ver •  Descrizione: Cliente XX - Penetration Test della Rete Esterna •  Prerequisiti: Lista delle reti, Manleva firmata, Regole di ingaggio definite •  Lezioni incorporate: Escludere dai test Web l’host 127.0.0.1 in quanto fragile •  Monitoraggio e controllo: Inviare mail di inizio e fine attività come da template concordato rif. 123 •  Descrizione dei Prodotti: Template concordato rif. 456 •  Cronogramma: •  Inizio: 11-01-2014 •  Durata del test: 2 settimane •  Consegna del report: 2 settimane dopo la chiusura dei test •  Tempistiche: Giorni lavorativi (Lun-Ven) in orari di ufficio (09:00-18:00 ora italiana) •  Risorse: Tester #1 e Tester #2 C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Manleva  e  Regole  di  Ingaggio  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Manleva! La  Manleva  è  una  dichiarazione  scriLa  con  la  quale  il  Cliente,  o  più   in  generale  il  firmatario  solleva  il  Fornitore  dagli  eventuali  effeG   negaIvi  causaI  dall’aGvità  del  progeLo.  E’  un  prerequisito   all’avvio  dell’a9vità  tecnica.     Le  Regole  di  Ingaggio  dell’OSSTMM  prevedono  che:   • B6  -­‐  Performing  security  tests  against  any  scope  without  explicit  wriLen   permission  from  the  target  owner  or  appropriate  authority  is  strictly  forbidden.     • C9  -­‐  Contracts  should  limit  liability  to  the  cost  of  the  job,  unless  malicious   acIvity  has  been  proven.     • C12  -­‐  The  client  must  provide  a  signed  statement  which  provides  tesIng   permission  exempIng  the  Analysts  from  trespass  within  the  scope,  and   damages  liability  to  the  cost  of  the  audit  service  with  the  excepIon  where   malicious  acIvity  has  been  proven.    
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  Regole  di  Ingaggio  dell’OSSTMM  (1/3)! Le  regole  di  ingaggio  di  OSSTMM  per  un  Security  Test   definiscono  le  linee  guida  opera>ve  e  le  opportune  pra>che  di   markeIng  e  vendita,    esecuzione  e  nella  gesIone  dei  risultaI  dei   test.  Le  regole  influenzano  pesantemente  il  lavoro  del  Project   Manager,  i  rapporI  tra  Cliente  e  Fornitore  e  i  documen>  formali   richies>.  Per  esempio:   •  C8  -­‐  With  or  without  a  Non-­‐Disclosure  Agreement  contract,   the  security  Analyst  is  required  to  provide  confiden%ality  and   non-­‐disclosure  of  customer  informa%on  and  test  results.     •  C13  -­‐  Contracts  must  contain  emergency  contact  names  and   phone  numbers.     •  C14  -­‐  Contracts  must  contain  the  process  for  future  contract   and  statement  of  work  (SOW)  changes.     •  D17  -­‐  The  scope  must  be  clearly  defined  contractually  before   verifying  vulnerable  services.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  Regole  di  Ingaggio  dell’OSSTMM    (2/3)! Altre  uIli  regole  di  ingaggio  per  il  Project  Manager  sono:   • E19  -­‐  The  test  plan  may  not  contain  plans,  processes,  techniques,  or   procedures  which  are  outside  the  area  of  exper%se  or  competence  level  of  the   Analyst.     • F21  -­‐  The  Analyst  must  always  operate  within  the  law  of  the  physical   loca%on(s)  of  the  targets  in  addi%on  to  rules  or  laws  governing  the  Analyst’s   test  loca%on.     • F22  -­‐  To  prevent  temporary  raises  in  security  for  the  dura%on  of  the  test,  only   no%fy  key  people  about  the  tes%ng.  It  is  the  client’s  judgment  which  discerns   who  the  key  people  are;  however,  it  is  assumed  that  they  will  be  informa%on   and  policy  gatekeepers,  managers  of  security  processes,  incident  response   personnel,  and  security  opera%ons  staff.     • F23  -­‐  If  necessary  for  privileged  tes%ng,  the  client  must  provide  two,   separate,  access  tokens  whether  they  be  passwords,  cer%ficates,  secure  ID   numbers,  badges,  etc.  and  they  should  be  typical  to  the  users  of  the  privileges   being  tested  rather  than  especially  empty  or  secure  accesses.   (con%nua)    
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  Regole  di  Ingaggio  dell’OSSTMM  (3/3)! (segue)   •  G35  -­‐  Client  no%fica%ons  are  required  whenever  the  Analyst  changes  the   tes%ng  plan,  changes  the  source  test  venue,  has  low  trust  findings,  or  any   tes%ng  problems  have  occurred.     •  G40  -­‐  The  client  must  be  no%fied  when  the  report  is  being  sent  as  to  expect   its  arrival  and  to  confirm  receipt  of  delivery.     •  G41  -­‐  All  communica%on  channels  for  delivery  of  the  report  must  be  end  to   end  confiden%al.    
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Fasi  di  Consegna  e  Fase  di  Consegna  Finale   -­‐  OSSTMM   -­‐  NIST   -­‐  OWASP   -­‐  PTES   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Fasi  di  Consegna  e  Fase  di  Consegna  Finale! L’input  principale  è  il  Piano  di  Fase  con  i  relaIvi  documenI   correlaI.   La  fase  si  struLura  in  due  processi:  l’Controllo  di  Fase  che  ha  lo   scopo  di  assegnare,  monitorare  e  controllare  il  lavoro;  la   Ges%one  della  Consegna  dei  Prodo*  che  si  occupa  di  gesIre  i   rapporI  tra  il  Project  Manager  e  il  Team  Manager  (che  gesIsce  i   Team  di  SpecialisI).   E’  in  questa  fase  che  si  svolgono  le  fasi  tecniche.  Solitamente   sono  almeno  due:  l’a9vità  di  tes>ng  &  repor>s>ca.   Gli  output  principali  sono  i  Prodo9  di  ProgeBo  e  ulteriore   documentazione  che  conIene  p.e.  le  azioni  post-­‐progeBo  e  il   piano  di  verifica  dei  benefici.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Cosa  succede  durante  le  fasi  di  consegna! Durante  le  fasi  di  consegna  saranno  svolte  le   aGvità  tecniche  e  saranno  consegnaI  i  relaIvi   deliverable,  nel  nostro  caso  i  report.   Andiamo  a  vedere  gli  schemi  di  lavoro  del  Team  di   SpecialisI  così  come  previsto  da:   • OSSTMM   • NIST   • OWASP   • PTES  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Il  Ciclo  di  Vita  di  OSSTMM!
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Il  Ciclo  di  Vita  del  NIST!
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     A9vità  tecniche  di  OWASP! InformaIon   Gathering   ConfiguraIon   Management   TesIng   AuthenIcaIon   TesIng   Session   Management   AuthorizaIon   TesIng   Business  logic   tesIng   Data   ValidaIon   TesIng   Denial  of   Service  TesIng   Web  Services   TesIng   Ajax  TesIng  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Il  Ciclo  di  Vita  di  PTES! Pre- engagement Interactions   Intelligence Gathering! Threat Modeling! Vulnerability Analysis! Exploitation! Post Exploitation! Reporting!
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Post-­‐ProgeBo    -­‐  I  Benefici    -­‐  Le  azioni  post-­‐progeBo   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Benefici  secondo  PRINCE2®! Un  progeLo  viene  avviato  affinché  il  CommiBente/Cliente   raccolga  dei  benefici,  cambiamenI  misurabili  percepiI  come   posiIvi  dal  CommiLente  e  derivaI  dal  completamento  del   progeLo.  I  benefici  vengono  formalizza>  nel  Business  Case.       Devono  essere  monitoraI  e  misuraI.  Alcuni  vengono  raccolI   durante  il  progeLo,  altri  dopo  ed  è  necessario  redigere  il  Piano   di  verifica  dei  benefici.   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Benefici  in  un  progeBo  di  Security  Tes>ng! Solitamente  in  un  progeLo  di  Security  TesIng  i  benefici  si   raccolgono  dopo  la  fine  del  progeLo,  p.e.  la  riduzione  del   numero  delle  vulnerabilità  presenI.     In  questo  caso  specifico  per  la  verifica  è  necessario     eseguire  un  re-­‐test     dopo  che  è  stato  implementato  il  RemediaIon  Plan.     C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  azioni  post-­‐progeBo  secondo  PRINCE2®! Le  azioni  post-­‐progeLo  sono  quelle  azioni  consigliate   che  deve  eseguire  il  commiLente   relaIve  a  ques>oni,  rischi  o  a9vità  da  intraprendere   dopo  la  chiusura  del  progeLo.       Tali  azioni  devono  essere  documentate  formalmente.       Per  esempio  PRINCE2®  le  riporta  nel  Rapporto  di  Fine   Proge?o  e  in  alcuni  Rappor%  di  Fine  Fase.   C  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  azioni  post-­‐progeBo  in  un  progeBo  di  Security  Tes>ng! Le  Ipiche  azioni  post-­‐progeLo  sono:     • Seguire  i  consigli  nel  piano  di  rientro  specifico  per  ogni  vulnerabilità   trovata,  secondo  le  priorità  definite,  quindi  eseguire  aGvità  di  re-­‐test.   • Definire  e  implementare  un  processo  di  Ciclo  di  Sviluppo  Sicuro  per  la   messa  in  sicurezza  delle  applicazioni  e  dei  sistemi  che  le  ospitano.   • Eseguire  a9vità  di  Code-­‐Review  sull’applicazione  per  una  maggiore   copertura  integrando  i  risultaI  con  quelli  del  PenetraIon  Test.   • Eseguire  il  monitoraggio  delle  richieste  sui  sistemi  in  produzione  per   idenIficare  eventuali  aLacchi,  implementare  soluzioni  di  Web  ApplicaIon   Firewall  (WAF)  che  permeLano  di  idenIficare  eventuali  aLacchi  e  rispondere   tempesIvamente.  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Parte  C  -­‐  Conclusioni      
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Conclusioni! Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   NIST  /  OSSTMM  /   OWASP  /  PTES   NIST  /  OSSTMM  /   OWASP  /  PTES   “Get  the  best  from  the  best”   Arie  Van  Bennekum,  firmatario  del  Manifesto  Agile  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Bibliografia  &  Sitografia! •  Office  of  Government  Commerce  (OGC),  Successo  nella  GesIone  dei   ProgeG  con  PRINCE2®,The  StaIonery  Office  (TSO),  2011   •  Office  of  Government  Commerce  (OGC),  ITIL®  Service  Design,  2011   •  ISECOM,  OSSTMM  v4  Alpha,  2013   •  U.S.  Department  of  Commerce,  NIST  SP800-­‐115,  2008   •  OWASP,  TesIng  Guide  v3,  2008   •  PTES,  www.pentest-­‐standard.org   •  Ponemon  InsItute,  2013  Cost  of  Cyber  Crime  Study,  2013    
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Note  e  Copyright! A  prescindere  dal  lavoro  presso  aziende  o  clien>  o  la  partecipazione  ad  organizzazioni  i  relatori   parlano  secondo  il  loro  personale  punto  di  vista.   Durante  questo  seminario  divulgaIvo  e  gratuito  si  farà  riferimento  a  marchi  registra>,  che  sono  di   proprietà  dei  rispeGvi  proprietari:   • PRINCE2®,  ITIL®,  M_o_R®  sono  marchi  registraI  della  AXELOS  Limited.   • ISACA®  è  un  marchio  registrato  dell’InformaIon  Systems  Audit  and  Control  AssociaIon   • COBIT®  è  un  marchio  registrato  dell’InformaIon  Systems  Audit  and  Control  AssociaIon  e  dell’IT.   Governance  InsItute.   Ogni  riferimento  a  cose,  persone  o  fa9  è  puramente  casuale,  alcuni  fa9  potrebbero  essere   inventa>  (o  modifica>  per  renderli  anonimi)  
Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Grazie! J   Simone  Onofri   simone.onofri@techub.it     Claudia  Spagnuolo   claudia.spagnuolo@yahoo.it   Grazie  

More Related Content

PDF
Security Project Management - Agile nei servizi di Cyber Security
Simone Onofri
 
PDF
Agile nei servizi di cyber security (Security Summit Edition)
Simone Onofri
 
PDF
Agile Project Framework
Simone Onofri
 
PPTX
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
PDF
Cyber Defense - How to find and manage zero-days
Simone Onofri
 
PPT
Software Open Source, Proprierio, Interoperabilita'
Marco Morana
 
PPTX
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Simone Onofri
 
PDF
Polino fiera dellevante
Redazione InnovaPuglia
 
Security Project Management - Agile nei servizi di Cyber Security
Simone Onofri
 
Agile nei servizi di cyber security (Security Summit Edition)
Simone Onofri
 
Agile Project Framework
Simone Onofri
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
Cyber Defense - How to find and manage zero-days
Simone Onofri
 
Software Open Source, Proprierio, Interoperabilita'
Marco Morana
 
Mamma, da grande voglio essere un Penetration Tester HackInBo 2016 Winter
Simone Onofri
 
Polino fiera dellevante
Redazione InnovaPuglia
 

What's hot (9)

PDF
Sicurezza e rete
Luca Moroni ✔✔
 
PDF
Caso 3
Luca Moroni ✔✔
 
PPT
Owasp parte2
claudiodigiovanni
 
PDF
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security
 
PDF
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
 
PPT
Owasp parte1-rel1.1
claudiodigiovanni
 
PDF
Infosecurity 2008
Antonio Parata
 
PPTX
IT GRC, Soluzioni Risk Management
DFLABS SRL
 
PPTX
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
MarcoViscardi6
 
Sicurezza e rete
Luca Moroni ✔✔
 
Caso 3
Luca Moroni ✔✔
 
Owasp parte2
claudiodigiovanni
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security
 
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
 
Owasp parte1-rel1.1
claudiodigiovanni
 
Infosecurity 2008
Antonio Parata
 
IT GRC, Soluzioni Risk Management
DFLABS SRL
 
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
MarcoViscardi6
 

Viewers also liked (20)

PDF
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
Simone Onofri
 
PDF
Penetration Testing con Python - Network Sniffer
Simone Onofri
 
PDF
ORM Injection
Simone Onofri
 
PDF
Agile lean conference - Agile, Lean & Business
Simone Onofri
 
PDF
HackInBo2k16 - Threat Intelligence and Malware Analysis
Antonio Parata
 
PDF
perchè non facciamo più quello che ci piace
extrategy
 
PDF
Nuove minacce nella Cyber Security, come proteggersi
Simone Onofri
 
PDF
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Simone Onofri
 
PDF
Hackers vs Developers - SQL Injection - Attacco e Difesa
Simone Onofri
 
PDF
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Simone Onofri
 
PDF
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...
Simone Onofri
 
PDF
Agile Lean Management - MoSCoW, Timeboxing e Kanban
Simone Onofri
 
PDF
TEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
Simone Onofri
 
PDF
Agile e Lean Management
Simone Onofri
 
PDF
Meetmagento 2014 hackers_onofri
Simone Onofri
 
PDF
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Simone Onofri
 
PDF
Introduzione ai network penetration test secondo osstmm
Simone Onofri
 
PDF
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
Simone Onofri
 
PDF
Produttivita nel mondo digitale e-mail gtd bit literacy inbox zero
Simone Onofri
 
PPTX
Gamification: How Effective Is It?
Socialphysicist
 
OWASP AppSec EU 2016 - Security Project Management - How to be Agile in Secu...
Simone Onofri
 
Penetration Testing con Python - Network Sniffer
Simone Onofri
 
ORM Injection
Simone Onofri
 
Agile lean conference - Agile, Lean & Business
Simone Onofri
 
HackInBo2k16 - Threat Intelligence and Malware Analysis
Antonio Parata
 
perchè non facciamo più quello che ci piace
extrategy
 
Nuove minacce nella Cyber Security, come proteggersi
Simone Onofri
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Simone Onofri
 
Hackers vs Developers - SQL Injection - Attacco e Difesa
Simone Onofri
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Simone Onofri
 
Project management: Gestire progetto web con Agilità (con DSDM, Agile Project...
Simone Onofri
 
Agile Lean Management - MoSCoW, Timeboxing e Kanban
Simone Onofri
 
TEDX TorVergataU - Intuition, Hacking e Nuove Tecnologie
Simone Onofri
 
Agile e Lean Management
Simone Onofri
 
Meetmagento 2014 hackers_onofri
Simone Onofri
 
Hackers vs Developers - Cross Site Scripting (XSS) Attacco e difesa
Simone Onofri
 
Introduzione ai network penetration test secondo osstmm
Simone Onofri
 
IPMA 2014 World Congress - Stakeholder Engagement between Traditional and Ag...
Simone Onofri
 
Produttivita nel mondo digitale e-mail gtd bit literacy inbox zero
Simone Onofri
 
Gamification: How Effective Is It?
Socialphysicist
 

Similar to ISACA - Gestire progetti di Ethical Hacking secondo le best practices (20)

PPT
Progetti Open Source Per La Sicurezza Delle Web Applications
Marco Morana
 
PPTX
EVENTO PARADIGMA
SWASCAN
 
PPS
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
IBM Italia Web Team
 
PPTX
Quality Software Development LifeCycle
Consulthinkspa
 
PPTX
03 azure well architected framework
Rauno De Pasquale
 
PDF
Seven_RAMS_Presentazione_IT_04
Marco Addino
 
PPTX
Webinar: "DevSecOps: early, everywhere, at scale"
Emerasoft, solutions to collaborate
 
PDF
La sicurezza applicativa ai tempi dell’ASAP
festival ICT 2016
 
PDF
Come Implementare Strategie Zero Trust
Vincenzo Calabrò
 
PDF
Come realizzare e gestire un Security Operations Center.
Davide Del Vecchio
 
PDF
Italia cybersecury framework
mariodalco
 
PDF
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Antonio Parata
 
PDF
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
PPTX
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Enzo M. Tieghi
 
PDF
Roadmap Offerta Corsi Cybersecurity by www.nexsys.it
Nexsys
 
PDF
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Emerasoft, solutions to collaborate
 
PPTX
Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...
Accenture Italia
 
PPT
Dtq4_ita
DTQ4
 
PPTX
Risk management: Un'analisi della gestione dei rischi di un progetto software
Donato Bellino
 
PDF
Security summit2015 evoluzione della sicurezza inail- v06
Pietro Monti
 
Progetti Open Source Per La Sicurezza Delle Web Applications
Marco Morana
 
EVENTO PARADIGMA
SWASCAN
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
IBM Italia Web Team
 
Quality Software Development LifeCycle
Consulthinkspa
 
03 azure well architected framework
Rauno De Pasquale
 
Seven_RAMS_Presentazione_IT_04
Marco Addino
 
Webinar: "DevSecOps: early, everywhere, at scale"
Emerasoft, solutions to collaborate
 
La sicurezza applicativa ai tempi dell’ASAP
festival ICT 2016
 
Come Implementare Strategie Zero Trust
Vincenzo Calabrò
 
Come realizzare e gestire un Security Operations Center.
Davide Del Vecchio
 
Italia cybersecury framework
mariodalco
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Antonio Parata
 
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Enzo M. Tieghi
 
Roadmap Offerta Corsi Cybersecurity by www.nexsys.it
Nexsys
 
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Emerasoft, solutions to collaborate
 
Continui attacchi informatici: raggiungere l'eccellenza operativa per la nuov...
Accenture Italia
 
Dtq4_ita
DTQ4
 
Risk management: Un'analisi della gestione dei rischi di un progetto software
Donato Bellino
 
Security summit2015 evoluzione della sicurezza inail- v06
Pietro Monti
 

More from Simone Onofri (11)

PDF
Threat Modeling Connect (TMC) Barcelona Meetup - Threat Modeling @ W3C - Age...
Simone Onofri
 
PDF
Serverless Meetup Barcelona - Attacking and Exploiting Modern Web Applications
Simone Onofri
 
PDF
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Simone Onofri
 
PDF
Attacking IoT Devices from a Web Perspective - Linux Day
Simone Onofri
 
PDF
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Simone Onofri
 
PDF
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Simone Onofri
 
PDF
Agile Lean Conference 2017 - Leadership e facilitazione
Simone Onofri
 
PDF
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Simone Onofri
 
PDF
Cyber Defense - How to be prepared to APT
Simone Onofri
 
PDF
Lean Startup Machine - Rome - Agile e Lean Project Management
Simone Onofri
 
PDF
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
Simone Onofri
 
Threat Modeling Connect (TMC) Barcelona Meetup - Threat Modeling @ W3C - Age...
Simone Onofri
 
Serverless Meetup Barcelona - Attacking and Exploiting Modern Web Applications
Simone Onofri
 
Attacking and Exploiting Ethereum Smart Contracts: Auditing 101
Simone Onofri
 
Attacking IoT Devices from a Web Perspective - Linux Day
Simone Onofri
 
Attacking Ethereum Smart Contracts a deep dive after ~9 years of deployment
Simone Onofri
 
Linux Day 2018 Roma - Web Application Penetration Test (WAPT) con Linux
Simone Onofri
 
Agile Lean Conference 2017 - Leadership e facilitazione
Simone Onofri
 
Agile Business Consortium - LEGO SERIOUS PLAY e i Principi di Agile Project M...
Simone Onofri
 
Cyber Defense - How to be prepared to APT
Simone Onofri
 
Lean Startup Machine - Rome - Agile e Lean Project Management
Simone Onofri
 
ITSMF Conferenza 2014 - L'officina Agile per innovare l'IT Service Management
Simone Onofri
 

ISACA - Gestire progetti di Ethical Hacking secondo le best practices

  • 1. Ges$re  proge*  di  Ethical  Hacking  secondo   le  best  prac$ce  di  Project  Management  e   Security  Tes$ng   Simone  Onofri   Claudia  Spagnuolo   Roma  25/02/2014  
  • 2. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Relatori! ;-­‐)       Simone  Onofri   simone.onofri@techub.it     Claudia  Spagnuolo   claudia.spagnuolo@yahoo.it  
  • 3. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     A. Introduzione  al  Project  Management  e  ai  ProgeG  di   Security  TesIng   B. Esempio  di  un  ProgeLo  di  Security  TesIng  (fasi  di   pre-­‐progeLo,  inizio,  consegna,  post-­‐progeLo)   C. Conclusioni   Agenda! C  
  • 4. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Parte  A  -­‐  Introduzione  al  Project   Management  e  ai  Proge9  di  Security  Tes>ng   C  
  • 5. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Cos’è  un  ProgeBo?! Il  ProgeLo  è  un  organizzazione  temporanea,   che  viene  creata  con  lo  scopo     di  consegnare  uno  o  più     prodo9  specialis>ci.       Esempi  di  prodo*  di  proge?o:  una  applicazione  so?ware,     un  report  di  valutazione  delle  vulnerabilità   La  definizione  è  liberamente  ispirata  a   PRINCE2®   C  
  • 6. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Cos’è  il  Project  Management?! E’  un  insieme  di  aGvità  stru?urato  volto  a   pianificare,  delegare,  monitorare  e  controllare  i   vari  aspeG  del  progeLo  per  raggiungere     gli  obie9vi  stabili>.     E’  compito  del  responsabile  di  progeLo  tenere   soLo  controllo  le  sei  variabili  di  progeLo:     tempi,  cosI,  ambito,  qualità,  rischio  e  benefici.   La  definizione  è  liberamente  ispirata  a   PRINCE2®   C  
  • 7. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Variabili  di  progeBo  e  performance! Qualità   Tempi   Ambito   Cos>   Benefici   Rischi   Mantenere  le  variabili  di  progeLo  all’interno  delle  tolleranze   stabilite  (p.e.  qualità  concordata)  garanIsce  di  conservare   eleva>  livelli  di  performance  per  progeBo     C  
  • 8. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Qual’è  lo  scopo  di  un  progeBo  di  Security  Tes>ng?! Valutazione  della  sicurezza  delle   informazioni     “Determinare  quanto  efficacemente  un   sistema,  applicazione  o  più  in  generale  un   servizio  soddisfa  gli  obie9vi  di  sicurezza”   La  definizione  è  liberamente  ispirata  a  al  NIST  SP800-­‐115   C  
  • 9. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  best  prac>ces  ! Esistono  molte  Best  PracIces,  buone   prassi  consolidate  dall’esperienza,   sia  per  il  Security  TesIng     sia  per  il  Project  Management.   Ne  vediamo  alcune.     C  
  • 10. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     PRINCE2®  (Projects  in  a  Controlled  Environment*),  UK     PRINCE2®  è  un  metodo  di  ges>one   proge9  del  governo  inglese,  standard   de-­‐facto  basato  sull’esperienza  di   migliaia  di  progeG.  E’  adaLabile  ad   ogni  ambito  e  si  concentra  sugli   aspeG  gesIonali.   *  Oggi  PRINCE2®  è  un  marchio  registrato  della  AXELOS  Limited.   C  
  • 11. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     OSSTMM  (Open  Source  Security  Tes>ng  Methodology  Manual),  EU! OSSTMM  è  un  manuale  dell’ISECOM   che  descrive  una  metodologia  per   l’esecuzione  di  test  di  sicurezza  in   differenI  ambiI.  Prevede  anche   elemenI  relaIvi  alla  pianificazione  e   alle  regole  di  ingaggio.  Si  uIlizza  di   solito  per  i  Network  Penetra>on  Test   e  i  Wireless  Penetra>on  Test.  
  • 12. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     OWASP  (Open  Web  Applica>on  Security  Project),  USA! OWASP  è  un’organizzazione   indipendente  dedicata  alla  creazione  e   alla  diffusione  di  una  “cultura  della   sicurezza  delle  applicazioni  web”.  Ha   redaLo  la  Tes>ng  Guide,  una  guida   per  la  valutazione  della  sicurezza  delle   Applicazioni  Web.  Si  uIlizza  di  solito   per  i  Web  Applica>on  Penetra>on   Test.  
  • 13. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     NIST  (Na>onal  Ins>tute  for  Standard  and  Technologies),  USA! Il  NIST  è  un  isItuto  del  Ministero  del   commercio  americano  che  si  occupa  di   standard  e  tecnologie.     La  SP  800-­‐115  del  NIST  descrive  le   raccomandazioni  per  il  TesIng  e   l’Assessment  per  la  Sicurezza  delle   Informazioni.  Si  uIlizza  di  solito  per  i   Vulnerability  Assessment  e  per   stabilire  un  Programma  dei  Test.  
  • 14. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     PTES  (Penetra>on  Test  Execu>on  Standard)! Il  PTES  è  uno  standard  de-­‐facto  per   l’esecuzione  di  PenetraIon  Test  scriLo   da  un  gruppo  di  professionisI.  Si   occupa  sia  della  pianificazione  che   degli  aspeG  tecnici.  Si  uIlizza  di  solito   per  i  Network  Penetra>on  Test  e   Wireless  Penetra>on  Test.  
  • 15. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Possiamo  integrare     le  Best  PracIce  di  Security  TesIng     con  quelle  uIlizzate  per     gesIre  il  progeLo?  
  • 16. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Combinare  differen>  Best  Prac>ce   Comitato   Project   Manager   Team  Leader  e     Security    Team   OSSTMM   NIST   SP800-­‐115   OWASP   PRINCE2   PTES  
  • 17. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Come  uIlizziamo  PRINCE2     in  un  progeLo  di  Security  TesIng?  
  • 18. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Applichiamo  PRINCE2  a  un  progeBo  di  Security  Tes>ng! 18   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   • Stesura  del  Business   Case  preliminare  :   definizione  della   necessità  e  dei   benefici  che  il   commiLente  desidera   conseguire   • Raccolta  dei  requisiI   di  alto  livello,  cioè  non   eccessivamente   deLagliaI   • Pianificazione   • Documentazione:     scelta  dei  template,   idenIficazione  della   documentazione   necessaria  e  relaIva   redazione  (se  non   abbiamo  tuLe  le   informazioni  solo  in   versione  preliminare)   • Verifica  delle   condizioni  di  ingresso   • Svolgimento  aGvità   tecnica  secondo   l’ambito  e  l’approccio   definito   • Produzione   ReporIsIca   • Presentazione  e   acceLazione  del   prodoLo  di  progeLo   • Azioni  post-­‐progeLo   consigliate  e  verifica   dei  Benefici  (p.e.   aGvità  di  re-­‐test,   azioni  di  rientro  per   ridurre  le  vulnerabilità)  
  • 19. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Come  struBurare  un  progeBo  di  Security  Tes>ng  con  le  BP! 19   Comitato  PM  Team  Leader  e     Security    Team   Pre-­‐progeLo   (starIng  up)   Fase  di  Inizio   (pianificazione)   Fase/i  di  consegna   Delivery:  Report  parziali  o   anIcipazioni   Avvio  di   un   ProgeBo   Inizio  di  un  ProgeBo   Ges>one  dei   limi>  di  Fase   Ges>one  della   Consegna  dei  Prodo9   Controllo  di  Fase   Ges>one  dei   limi>  di  Fase   Controllo  di  Fase   Chiusura  di  un   ProgeBo   Ges>one  della   Consegna  dei  Prodo9   NIST  /  OSSTMM  /   OWASP  /  PTES   NIST  /  OSSTMM  /   OWASP  /  PTES   UlIma  fase  di  consegna   Delivery:  report  finale   NIST  /  OSSTMM  /   OWASP  /  PTES   Direzione  di  un  ProgeBo  
  • 20. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
  • 21. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Parte  B  -­‐  Esempio  di  un  progeBo  di   Security  Tes>ng  
  • 22. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     In  questo  modulo  vediamo  come  si  può   sviluppare  in  fasi  un  progeLo  di  Security   TesIng.       Andiamo  a  vedere  in  deLaglio  cosa     accade  nelle  4  fasi  che  abbiamo  visto  in  precedenza:   • Pre-­‐progeLo   • Fase  di  Inizio   • Fase/i  di  consegna  successive   • Post-­‐progeLo  
  • 23. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Pre-­‐progeBo    (fase  di  ‘Star>ng  up’)        -­‐  Il  Business  Case  e  il  Project  Brief      -­‐  Il  ProdoLo  di  ProgeLo    -­‐  Le  informazioni  da  raccogliere  (requisiI   di  alto  livello)    -­‐  Top  Tips   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   C  
  • 24. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Fase  di  pre-­‐progeBo  (star>ng  up  del  progeBo)! L’input  è  il  mandato  di  progeBo,  può  essere  una    telefonata,   una  e-­‐mail,  un  incontro  o  un  accordo  commerciale.     Il  pre-­‐progeBo  è  la  fase  di  ‘starIng  up’  in  cui  il  progeLo  viene   solo  avviato  ed  ha  lo  scopo  di  verificare  ad  alto  livello  la  sua   validità  e  fa9bilità.     Uno  degli  output  principali  è  il  Business  Case  che  verrà  inserito,   insieme  ad  altra  documentazione  ritenuta  rilevante,  in  un   ‘faldone’  chiamato  Project  Brief.  QuesI  documenI  di  gesIone   sono  la  base  per  la  fase  successiva  in  cui  si  ‘costruirà’  la   struLura  di  controllo  del  progeLo.   C  
  • 25. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Mandato  di  progeBo:  quali  sono  le  necessità?! Perché  si  da  il  mandato  per  avviare  un  progeLo  di  Security   TesIng?  Le  necessità  possono  essere  molteplici.   Di  solito  i  driver/necessità  di  progeBo  caraLerisIci  sono:     • Compliance  a  Leggi,  Norme  e  Regolamentazioni  (es.  ISO  27001,   PCI-­‐DSS)       • Ges>one  del  Rischio  per  difendere  il  business  (es.  garanIre   che  daI,  infrastruLure  e  applicazioni  siano  sufficientemente   sicure)   C  
  • 26. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Cosa  con>ene  il  Project  Brief?! Il  Project  Brief  è  un  faldone  che  conIene   definizione  e  scopo  del  progeLo,  obieGvi,   Business  Case  (preliminare),  Descrizione  del   ProdoBo  del  ProgeBo,  Approccio,  StruLura  del   Team  e  Ruoli.  Può  venir  aggiunta  altra   documentazione  se  ritenuta  rilevante,  p.e.  il   manleva  firmata  da  cliente  e  fornitore.     Vedremo  ora  i  documen%  di  ges%one  peculiari:  Business  Case,   Descrizione  del  Prodo?o  del  Proge?o  e  Stru?ura  del  Team   C  
  • 27. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  -­‐  Obie9vo! Uno  dei  princìpi  di  PRINCE2®  indica  che  ogni   progeLo  deve  avere  “gius>ficazione   commerciale  con>nua”,  questo  vale  anche  per   il  Security  TesIng.       La  giusIficazione  è  contenuta  nel  documento  di   gesIone  che  si  chiama  Business  Case  che  deve   rispondere  alla  domanda:   vale  la  pena  di  iniziare  il  progeCo?     C  
  • 28. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  -­‐  Contenuto! Un  riepilogo  esecuIvo,  i  mo>vi,  le  opzioni   commerciali,  i  benefici  e  i  controbenefici,   tempi,  cos>,  valutazione     dell’inves>mento  e  rischi  principali.     La  sicurezza  è  un  inves$mento!!!       Le  ricerche  dimostrano  che  ha     un  ROI  che  va  dal  5%  al  21%   C  
  • 29. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  –  Esempio  (estraBo)! • Identificativo documento: CodCliente_CodProg_CodDoc_Ver • Riepilogo Esecutivo: Raccomandiamo di eseguire le valutazioni di sicurezza per le 10 applicazioni già identificate come critiche ed esposte su internet per clienti terzi. Così da aumentare il livello di sicurezza generale ed essere compliant. • Motivi: Essere ragionevolmente certi che le applicazioni siano sicure e protetti dai danni di immagine. • Opzioni Commerciali: • Non fare nulla: rimanere consapevoli dell’esposizione a potenziali danni economici e d'immagine e alla potenziale perdita di clienti. • Fare il minimo: controllare solamente le applicazioni più critiche. • Fare qualcosa: mettere in sicurezza le applicazioni esistenti e stabilire un ciclo di sviluppo e implementazione sicuro di applicazioni e sistemi. • Benefici: • Riduzione dell’80% delle vulnerabilità attuali già dopo il primo mese dalla messa in produzione. • Riduzione del 50% dei costi di risoluzione degli incidenti informatici rispetto all'anno passato. • Controbenefici: Non sarà possibile modificare le applicazioni durante i test. Tempi più lunghi per il rilascio in produzione • Rischi Principali: •  Un rischio è che siano divulgate le informazioni riservate come risultato di disattenzione del personale o compromissione/furto dei sistemi, con l’effetto di perdita d'immagine ed economica. Pertanto sarà richiesta la firma di un “Patto di Riservatezza” e le attività si svolgeranno solo su sistemi interni. •  Un rischio è che il personale esterno non sia abbastanza abile nell’identificare le problematiche come risultato di scarsa preparazione, con l’effetto di non identificare tutte le vulnerabilità. Pertanto saranno richieste nella gara certificazioni riconosciute a livello internazionale relative ai test di sicurezza e il curriculum dettagliato che garantisca sufficiente esperienza nel campo della sicurezza.
  • 30. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  –  Esercizio  (15  minu>)! Scenario:  Una  grande  azienda  vuole  essere  ragionevolmente   certa  che  le  sue  applicazioni  siano  sicure  per  evitare  danni   d’immagine  o  perdite  economiche.   Scrivere  il  Business  Case.   Riepilogo  esecu>vo:  in  breve,  quali  sono  i  benefici  e  il  ritorno  sull’invesImento?   Mo>vi:  perché  intraprendere  il  progeLo?     Opzioni  commerciali:  quali  sono  le  opzioni  analizzate  (non  fare  nulla,  fare  il  minimo  o   fare  qualcosa)?   Benefici:  quali  sono  i  risultaI  posiIvi  e  misurabili  che  mi  aspeLo  del  progeLo?   Contro-­‐benefici:  quali  sono  i  risultaI  percepiI  come  negaIvi,  generaI  dal  progeLo?     Tempis>ca:  quali  sono  le  tempisIche  del  progeLo?   Cos>:  Quali  sono  i  cosI  del  progeLo?   Valutazione  dell’inves>mento:  qual’è  il  rapporto  tra  cosI,  benefici  e  contro-­‐benefici?   Rischi  principali:  Quali  sono  i  rischi  principali  correlaI  al  progeLo?  
  • 31. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Business  Case  –  Top  Tips! •  Il  Cliente  e  il  Fornitore  hanno  due  Business  Case   differen>.   •  Il  Business  Case  del  fornitore  prevede  solitamente   il  ritorno  economico;  oppure  lavora  in  perdita  per   poter  acquisire  nuovi  Clien>  e/o  segmen>  di   mercato.   •  I  due  Business  Case  dovrebbero  essere  compa>bili.  
  • 32. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Descrizione  del  ProdoBo  di  ProgeBo  -­‐  Obie9vo! Quando  si  decide  di  fare  un  progeLo   (anche  di  Assessment)  va  definito   anzituLo  cosa  ci  aspeBa  dal  progeBo  e   cosa  dovrà  rilasciare.  PRINCE2®  fornisce   un  prodoLo  di  gesIone  con  questo   scopo:  la  Descrizione  del  ProdoBo  di   ProgeBo  
  • 33. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Descrizione  del  ProdoBo  di  ProgeBo  -­‐  Contenuto! Se  il  ProdoLo  di  ProgeLo  è  un    report  che   documenta  i  risultaI  dell’Assessment,  la   Descrizione  conIene  le  informazioni  che  lo   descrivono,  come  l’obie9vo,  la  composizione,  la   derivazione  (da  dove  provengono  le   informazioni),  le  competenze  richieste  per   portare  a  compimento  il  progeLo,  le  aspe?a%ve   di  qualità  e  le  relaIve  tolleranze.  UlImo  ma  non   meno  importante  il  metodo  e  le  responsabilità   per  l’acceBazione.  
  • 34. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Descrizione  del  ProdoBo  di  ProgeBo  -­‐  Qualità! La  qualità  (le  caraLerisIche/requisiI)  che  deve   avere  il  risultato  e  gli  standard  da  seguire  sono   elemenI  influenzano  molto  la  quan>tà  di  lavoro   rela>vo  costo.   (p.e.  u%lizzo  di  standard  quali  OSSTMM  e  OWASP  o   il  calcolo  del  punteggio  tramite  CVSS  v2)  
  • 35. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Esempio  di  Composizione  del  Report  di  Security  Tes>ng! PTES  consiglia  di  struLurare  il  report  su  più  livelli,  uno  di  alto   livello  che  si  focalizza  sugli  impaG  e  sinteIzza  i  risultaI  e  uno  di   approfondimento  tecnico  che  specifica  i  risultaI  e  propone   soluzioni.  L’OSSTMM  consiglia  di  includere  sempre  le   informazioni  di  Contesto.     • ObieGvo  ed  organizzazione  del  documento   • Approccio  e  Metodologia   • Contesto  (p.e.  bersaglio  e  periodo  della  valutazione)   • Sintesi  esecuIva   • DeLagli  tecnici     • Legenda     Nota:  il  Cliente  potrebbe  chiedere  un  report  personalizzato    
  • 36. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Top  Tips  –  Promemoria  giornaliero! La  prima  a9vità  di  gesIone  da  fare   quando  si  viene  nominaI  Project   Manager  è  creare  il  proprio  Promemoria   Giornaliero,  il  “diario  di  bordo”  che   conIene  tuLe  le  informazioni  rilevanI.   Data di Inserimento! Problema, azione, evento o commento! Persona Responsabile! Data obiettivo! Risultato! 2012-12-XX! Richiesta di informazioni da <Referente Cliente>! Simone! 2012-12-XX! Pianificare Riunione! 2012-12-XX! Richiesta per attività relativa a <Attività>! Simone! 2012-12-XX! Stima spannometrica!
  • 37. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
  • 38. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Fase  di  Inizio   -­‐  Requisi>   -­‐  S>ma   -­‐  Piano  di  ProgeBo   -­‐  Manleva  e  Regole  di  Ingaggio   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   C  
  • 39. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     L’inizio:  Inizio  di  un  ProgeBo  e  Limite  di  Fase! L’input  è  il  Project  Brief.     La  fase  si  struLura  in  due  processi:  l’Inizio  di  un  Proge?o   che  ha  lo  scopo  di  impostare  la  solide  basi  per  l’intero   progeLo;  la  Ges%one  del  Limite  di  Fase  si  occupa  di   verificare  lo  stato  della  fase  precedente,  pianificare   quella  successiva  e  fornisce  un  momento  decisionale  per   capire  se  procedere  o  meno.     Gli  output  principali  sono  la  Documentazione  di  Inizio   del  ProgeBo  e  il    Piano  di  ProgeBo.  E’  inoltre  pianificata   in  deLaglio  la  fase  successiva  con  il  relaIvo  piano.   C  
  • 40. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Requisi>   Quali  sono  i  requisi%  che  nella  vostra   esperienza  sono  più  importan%  in  un   proge?o  di  Security  Tes%ng  secondo  voi?     Scriveteli!  
  • 41. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Requisi>  da  definire  secondo  l’OSSTMM! L’OSSTMM  consiglia  di  definire,  per  ogni  Security  Test  una  serie  di   informazioni.  Sono  i  requisiI  necessari  per  il  Test:   • Target  e  ambiente:  Cosa  vogliamo  proteggere,  qual’è  la  zona  di  ingaggio  e   lo  scope  (es.  una  determinata  applicazione  web,  una  rete,  un  IP)   • VeBore:  Come  gli  analisI  interagiranno  con  il  target,  p.e.  tramite  Internet,   in  loco  oppure  in  VPN.   • Tipo  di  Test:  p.e.  Black  Box,  White  Box  o  Crystal  Box.  A  seconda  del  Ipo  di   test  cambia  l’obieGvo  e  le  informazioni  da  reperire  per  l’esecuzione  del   test.   • Regole  di  Ingaggio:  per  regolare  i  rapporI  tra  cliente  e  fornitore  e    il   comportamento  del  fornitore  e  dei  suoi  analisI  (es.  nessuna  modifica  ai   sistemi  o  applicazioni  durante  i  test).  
  • 42. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Tipi  di  Test  secondo  l’OSSTMM!
  • 43. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Definire  un  Security  Test  con  PTES  per  Re>  e  Sistemi! • Scopo  e  Mo>vazione   • Perché  si  vuole  fare  il  Security  Test?   • E’  per  moIvi  di  Compliance?  In  caso  quali?   • Tempis>che   • Quando  deve  essere  eseguita  l’aGvità?   • Orario  lavoraIvo?   • Orario  serale/noLurno?   • Giorni  lavoraIvi  o  nei  week  end?   • Ambito/VeBore   • Larghezza:  QuanI  IP  devono  essere  analizzaI  in  totale?  Esterni?  Interni?  Come   raggiungere  la  rete  interna?   • Profondità:  In  caso  di  accesso  a  un  sistema  cosa  fare?   • Ambiente   • Ci  sono  dei  disposiIvi  che  possono  influire  con  l’aGvità?  (es.  WAF,  IPS,  IDS…)  
  • 44. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Definire  un  Security  Test  con  PTES  per  Applicazioni  Web! • Scopo  e  Mo>vazione   • Qual’è  la  moIvazione  del  test?   • E’  per  moIvi  di  Compliance?  In  caso  quali?   • Ambito/Tipo  di  Test   • Larghezza:  Quante  applicazioni?  Quante  pagine  staIche?  Quante  pagine   dinamiche?  QuanI  profili  utente  saranno  uIlizzaI?   • Profondità:  E’  possibile  analizzare  il  codice  sorgente?  E’  previsto  l’invio  di   documentazione?  Sarà  possibile  fare  analisi  staIca  sull’applicazione?  Sarà   possibile  fare  del  fuzzing?  Test  sulla  logica  applicaIva?  Test  sui  ruoli?  Sono   previste  delle  scansioni  tramite  l’uIlizzo  delle  credenziali?  
  • 45. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Requisi>  –  Esercizio  (10  minu>)! Scenario:  Il  Cliente  vuole  valutare  un’Applicazione  Web  criIca   per  il  suo  Business.  Siamo  alla  riunione  di  kick-­‐off  per   raccogliere  i  requisiI  insieme  al  Cliente  in  modo  da  avere  le   informazioni  per  eseguire  la  sIma.   Definire  la  lista  delle  domande  a  cui  deve  rispondere  il  Cliente.  
  • 46. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Requisi>  –  Esempio  per  Applicazione  Web! • Identificativo documento: CodCliente_CodProg_CodDoc_Ver • Scopo e Motivazione • Perché si vuole fare il Security Test? Compliance? Quali? • Tipologia di Test • Tempistiche • Giorni: lavorativi o week end • Orari: lavorativo, serale o notturno? • Ambito • Larghezza: Quante applicazioni (ip/url*)? Quante pagine statiche, dinamiche o funzionalità? Quante pagine dinamiche? Quanti profili utente?* Esclusioni? • Profondità: E’ necessario sfruttare tutte le vulnerabilità in maniera estesa? Test da escludere? • Vettore • I test saranno svolti sull’ambiente di produzione o collaudo? • E’ possibile svolgere i test da remoto? Da VPN*? On-site*? • Ambiente • Ci sono dei sistemi che possono influire con l’attività? (es. WAF, IPS, IDS…) • Chi è il proprietario o il gestore dei sistemi? • Riferimenti e regole • Persona in caso di emergenza e responsabile per la firma della manleva. Definire regole di ingaggio specifiche?
  • 47. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! S>ma   C  
  • 48. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     S>ma  ! Quando  si  prepara  un  piano  o  un’offerta   commerciale  è  importante  avere  delle   sIme  aLendibili.   Purtroppo  in  buona  parte  dei  progeG  è   possibile  avere  una     buona  s>ma  solo  dopo  l’inizio.   C  
  • 49. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Come  fare  la  s>ma  secondo  PTES! Buona  parte  delle  sIme  si  basano   sull’esperienza.       Quanto  ci  è  voluto  per  testare  in  profondità  l’ulIma   volta  un’applicazione  simile?  Quanto  ci  è  voluto  per   quella  quanItà  di  IP?    Rivedi  le  tue  e-­‐mail  e  i  log  delle  scansioni  e  aggiungi  un   20%  per  avere  un  margine  ragionevole.  
  • 50. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Il  cono  d’incertezza! 4x   2x   1x   .5x   .25x   impegno   tempo  
  • 51. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Fare  le  s>me  secondo  PRINCE2®! Chi  deve  fare  la  s>ma?     Far  eseguire  la  sIma  a  chi  realizzerà  il  prodoBo,   quindi  i  tecnici.   Per  la  pianificazione  assumere  che  le  risorse   saranno  produGve  solo  per  l’80%  del  tempo.     C  
  • 52. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Come  s>mare  la  repor>s>ca  secondo  l’OSSTMM! ABenzione!!!     Redigere  il  Report  può  occupare   metà  del  tempo  necessario  per   l’intera  aGvità  tecnica.   C  
  • 53. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Piano  di  ProgeBo   C  
  • 54. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Piano  di  ProgeBo  -­‐  Scopo! Il  piano  di  progeBo  descrive  come  e   quando  si  devono  raggiungere  gli   obieGvi  idenIficando  le  risorse,  le   aGvità  e  i  principali  prodoG  specialisI   da  rilasciare.   C  
  • 55. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Piano  di  ProgeBo  -­‐  Composizione! PRINCE2®  consiglia  di  inserire  nel  piano   la  descrizione,  i  prerequisi>,   dipendenze,  assunzioni,  lezioni  apprese,   come  monitorare  e  controllare  il  piano,   budget  e  tolleranze,  i  prodo9  da   rilasciare,  Tempi  (orari,  giorni,  durata)  e   risorse  coinvolte.   C  
  • 56. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Piano  di  ProgeBo  -­‐  Esempio! •  Identificativo documento: CodCliente_CodProg_CodDoc_Ver •  Descrizione: Cliente XX - Penetration Test della Rete Esterna •  Prerequisiti: Lista delle reti, Manleva firmata, Regole di ingaggio definite •  Lezioni incorporate: Escludere dai test Web l’host 127.0.0.1 in quanto fragile •  Monitoraggio e controllo: Inviare mail di inizio e fine attività come da template concordato rif. 123 •  Descrizione dei Prodotti: Template concordato rif. 456 •  Cronogramma: •  Inizio: 11-01-2014 •  Durata del test: 2 settimane •  Consegna del report: 2 settimane dopo la chiusura dei test •  Tempistiche: Giorni lavorativi (Lun-Ven) in orari di ufficio (09:00-18:00 ora italiana) •  Risorse: Tester #1 e Tester #2 C  
  • 57. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Manleva  e  Regole  di  Ingaggio  
  • 58. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Manleva! La  Manleva  è  una  dichiarazione  scriLa  con  la  quale  il  Cliente,  o  più   in  generale  il  firmatario  solleva  il  Fornitore  dagli  eventuali  effeG   negaIvi  causaI  dall’aGvità  del  progeLo.  E’  un  prerequisito   all’avvio  dell’a9vità  tecnica.     Le  Regole  di  Ingaggio  dell’OSSTMM  prevedono  che:   • B6  -­‐  Performing  security  tests  against  any  scope  without  explicit  wriLen   permission  from  the  target  owner  or  appropriate  authority  is  strictly  forbidden.     • C9  -­‐  Contracts  should  limit  liability  to  the  cost  of  the  job,  unless  malicious   acIvity  has  been  proven.     • C12  -­‐  The  client  must  provide  a  signed  statement  which  provides  tesIng   permission  exempIng  the  Analysts  from  trespass  within  the  scope,  and   damages  liability  to  the  cost  of  the  audit  service  with  the  excepIon  where   malicious  acIvity  has  been  proven.    
  • 59. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  Regole  di  Ingaggio  dell’OSSTMM  (1/3)! Le  regole  di  ingaggio  di  OSSTMM  per  un  Security  Test   definiscono  le  linee  guida  opera>ve  e  le  opportune  pra>che  di   markeIng  e  vendita,    esecuzione  e  nella  gesIone  dei  risultaI  dei   test.  Le  regole  influenzano  pesantemente  il  lavoro  del  Project   Manager,  i  rapporI  tra  Cliente  e  Fornitore  e  i  documen>  formali   richies>.  Per  esempio:   •  C8  -­‐  With  or  without  a  Non-­‐Disclosure  Agreement  contract,   the  security  Analyst  is  required  to  provide  confiden%ality  and   non-­‐disclosure  of  customer  informa%on  and  test  results.     •  C13  -­‐  Contracts  must  contain  emergency  contact  names  and   phone  numbers.     •  C14  -­‐  Contracts  must  contain  the  process  for  future  contract   and  statement  of  work  (SOW)  changes.     •  D17  -­‐  The  scope  must  be  clearly  defined  contractually  before   verifying  vulnerable  services.  
  • 60. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  Regole  di  Ingaggio  dell’OSSTMM    (2/3)! Altre  uIli  regole  di  ingaggio  per  il  Project  Manager  sono:   • E19  -­‐  The  test  plan  may  not  contain  plans,  processes,  techniques,  or   procedures  which  are  outside  the  area  of  exper%se  or  competence  level  of  the   Analyst.     • F21  -­‐  The  Analyst  must  always  operate  within  the  law  of  the  physical   loca%on(s)  of  the  targets  in  addi%on  to  rules  or  laws  governing  the  Analyst’s   test  loca%on.     • F22  -­‐  To  prevent  temporary  raises  in  security  for  the  dura%on  of  the  test,  only   no%fy  key  people  about  the  tes%ng.  It  is  the  client’s  judgment  which  discerns   who  the  key  people  are;  however,  it  is  assumed  that  they  will  be  informa%on   and  policy  gatekeepers,  managers  of  security  processes,  incident  response   personnel,  and  security  opera%ons  staff.     • F23  -­‐  If  necessary  for  privileged  tes%ng,  the  client  must  provide  two,   separate,  access  tokens  whether  they  be  passwords,  cer%ficates,  secure  ID   numbers,  badges,  etc.  and  they  should  be  typical  to  the  users  of  the  privileges   being  tested  rather  than  especially  empty  or  secure  accesses.   (con%nua)    
  • 61. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  Regole  di  Ingaggio  dell’OSSTMM  (3/3)! (segue)   •  G35  -­‐  Client  no%fica%ons  are  required  whenever  the  Analyst  changes  the   tes%ng  plan,  changes  the  source  test  venue,  has  low  trust  findings,  or  any   tes%ng  problems  have  occurred.     •  G40  -­‐  The  client  must  be  no%fied  when  the  report  is  being  sent  as  to  expect   its  arrival  and  to  confirm  receipt  of  delivery.     •  G41  -­‐  All  communica%on  channels  for  delivery  of  the  report  must  be  end  to   end  confiden%al.    
  • 62. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
  • 63. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Fasi  di  Consegna  e  Fase  di  Consegna  Finale   -­‐  OSSTMM   -­‐  NIST   -­‐  OWASP   -­‐  PTES   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo  
  • 64. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Fasi  di  Consegna  e  Fase  di  Consegna  Finale! L’input  principale  è  il  Piano  di  Fase  con  i  relaIvi  documenI   correlaI.   La  fase  si  struLura  in  due  processi:  l’Controllo  di  Fase  che  ha  lo   scopo  di  assegnare,  monitorare  e  controllare  il  lavoro;  la   Ges%one  della  Consegna  dei  Prodo*  che  si  occupa  di  gesIre  i   rapporI  tra  il  Project  Manager  e  il  Team  Manager  (che  gesIsce  i   Team  di  SpecialisI).   E’  in  questa  fase  che  si  svolgono  le  fasi  tecniche.  Solitamente   sono  almeno  due:  l’a9vità  di  tes>ng  &  repor>s>ca.   Gli  output  principali  sono  i  Prodo9  di  ProgeBo  e  ulteriore   documentazione  che  conIene  p.e.  le  azioni  post-­‐progeBo  e  il   piano  di  verifica  dei  benefici.  
  • 65. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Cosa  succede  durante  le  fasi  di  consegna! Durante  le  fasi  di  consegna  saranno  svolte  le   aGvità  tecniche  e  saranno  consegnaI  i  relaIvi   deliverable,  nel  nostro  caso  i  report.   Andiamo  a  vedere  gli  schemi  di  lavoro  del  Team  di   SpecialisI  così  come  previsto  da:   • OSSTMM   • NIST   • OWASP   • PTES  
  • 66. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Il  Ciclo  di  Vita  di  OSSTMM!
  • 67. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Il  Ciclo  di  Vita  del  NIST!
  • 68. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     A9vità  tecniche  di  OWASP! InformaIon   Gathering   ConfiguraIon   Management   TesIng   AuthenIcaIon   TesIng   Session   Management   AuthorizaIon   TesIng   Business  logic   tesIng   Data   ValidaIon   TesIng   Denial  of   Service  TesIng   Web  Services   TesIng   Ajax  TesIng  
  • 69. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Il  Ciclo  di  Vita  di  PTES! Pre- engagement Interactions   Intelligence Gathering! Threat Modeling! Vulnerability Analysis! Exploitation! Post Exploitation! Reporting!
  • 70. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
  • 71. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Post-­‐ProgeBo    -­‐  I  Benefici    -­‐  Le  azioni  post-­‐progeBo   Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   C  
  • 72. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Benefici  secondo  PRINCE2®! Un  progeLo  viene  avviato  affinché  il  CommiBente/Cliente   raccolga  dei  benefici,  cambiamenI  misurabili  percepiI  come   posiIvi  dal  CommiLente  e  derivaI  dal  completamento  del   progeLo.  I  benefici  vengono  formalizza>  nel  Business  Case.       Devono  essere  monitoraI  e  misuraI.  Alcuni  vengono  raccolI   durante  il  progeLo,  altri  dopo  ed  è  necessario  redigere  il  Piano   di  verifica  dei  benefici.   C  
  • 73. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Benefici  in  un  progeBo  di  Security  Tes>ng! Solitamente  in  un  progeLo  di  Security  TesIng  i  benefici  si   raccolgono  dopo  la  fine  del  progeLo,  p.e.  la  riduzione  del   numero  delle  vulnerabilità  presenI.     In  questo  caso  specifico  per  la  verifica  è  necessario     eseguire  un  re-­‐test     dopo  che  è  stato  implementato  il  RemediaIon  Plan.     C  
  • 74. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  azioni  post-­‐progeBo  secondo  PRINCE2®! Le  azioni  post-­‐progeLo  sono  quelle  azioni  consigliate   che  deve  eseguire  il  commiLente   relaIve  a  ques>oni,  rischi  o  a9vità  da  intraprendere   dopo  la  chiusura  del  progeLo.       Tali  azioni  devono  essere  documentate  formalmente.       Per  esempio  PRINCE2®  le  riporta  nel  Rapporto  di  Fine   Proge?o  e  in  alcuni  Rappor%  di  Fine  Fase.   C  
  • 75. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Le  azioni  post-­‐progeBo  in  un  progeBo  di  Security  Tes>ng! Le  Ipiche  azioni  post-­‐progeLo  sono:     • Seguire  i  consigli  nel  piano  di  rientro  specifico  per  ogni  vulnerabilità   trovata,  secondo  le  priorità  definite,  quindi  eseguire  aGvità  di  re-­‐test.   • Definire  e  implementare  un  processo  di  Ciclo  di  Sviluppo  Sicuro  per  la   messa  in  sicurezza  delle  applicazioni  e  dei  sistemi  che  le  ospitano.   • Eseguire  a9vità  di  Code-­‐Review  sull’applicazione  per  una  maggiore   copertura  integrando  i  risultaI  con  quelli  del  PenetraIon  Test.   • Eseguire  il  monitoraggio  delle  richieste  sui  sistemi  in  produzione  per   idenIficare  eventuali  aLacchi,  implementare  soluzioni  di  Web  ApplicaIon   Firewall  (WAF)  che  permeLano  di  idenIficare  eventuali  aLacchi  e  rispondere   tempesIvamente.  
  • 76. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Agenda! Parte  C  -­‐  Conclusioni      
  • 77. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Conclusioni! Pre-­‐progeBo      (Star>ng  up)   Fase  di  inizio   Fase/i  di  consegna   Post-­‐ProgeBo   NIST  /  OSSTMM  /   OWASP  /  PTES   NIST  /  OSSTMM  /   OWASP  /  PTES   “Get  the  best  from  the  best”   Arie  Van  Bennekum,  firmatario  del  Manifesto  Agile  
  • 78. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     !?   DOMANDE?  
  • 79. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Bibliografia  &  Sitografia! •  Office  of  Government  Commerce  (OGC),  Successo  nella  GesIone  dei   ProgeG  con  PRINCE2®,The  StaIonery  Office  (TSO),  2011   •  Office  of  Government  Commerce  (OGC),  ITIL®  Service  Design,  2011   •  ISECOM,  OSSTMM  v4  Alpha,  2013   •  U.S.  Department  of  Commerce,  NIST  SP800-­‐115,  2008   •  OWASP,  TesIng  Guide  v3,  2008   •  PTES,  www.pentest-­‐standard.org   •  Ponemon  InsItute,  2013  Cost  of  Cyber  Crime  Study,  2013    
  • 80. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Note  e  Copyright! A  prescindere  dal  lavoro  presso  aziende  o  clien>  o  la  partecipazione  ad  organizzazioni  i  relatori   parlano  secondo  il  loro  personale  punto  di  vista.   Durante  questo  seminario  divulgaIvo  e  gratuito  si  farà  riferimento  a  marchi  registra>,  che  sono  di   proprietà  dei  rispeGvi  proprietari:   • PRINCE2®,  ITIL®,  M_o_R®  sono  marchi  registraI  della  AXELOS  Limited.   • ISACA®  è  un  marchio  registrato  dell’InformaIon  Systems  Audit  and  Control  AssociaIon   • COBIT®  è  un  marchio  registrato  dell’InformaIon  Systems  Audit  and  Control  AssociaIon  e  dell’IT.   Governance  InsItute.   Ogni  riferimento  a  cose,  persone  o  fa9  è  puramente  casuale,  alcuni  fa9  potrebbero  essere   inventa>  (o  modifica>  per  renderli  anonimi)  
  • 81. Ges%re  proge*  di  Ethical  Hacking  secondo  le  best  prac%ce  di  Project  Management  e  Security  Tes%ng     Grazie! J   Simone  Onofri   simone.onofri@techub.it     Claudia  Spagnuolo   claudia.spagnuolo@yahoo.it   Grazie