SlideShare ist ein Scribd-Unternehmen logo

Security by example

J
jekil
Technologie
1 von 26
Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Chi vi parla? Consulente ● Penetration tester ● Forenser ● Sviluppatore di software per il vulnerability ● assessment Ricercatore nel campo IT security ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Esempio Vogliamo creare una società che offra un ➔ servizio web tramite il proprio sito internet LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Realizzazione.. Aspetti burocratici, fiscali e amministrativi ● Sistemi e infrastrutture ● Network e connettività ● Servizi e hardware ● Ciclo di vita del software ● Analisi ● Progetto ● Implementazione ● Collaudo ● Manutenzione ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Sicurezza
Minacce Virus ● Malware ● Furto di informazioni ● Cracker occasionale ● (script kiddie) Cracker ● professionista LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Sicurezza.. La sicurezza è un processo non un prodotto ● Il livello di sicurezza è dato dalla sicurezza ● dell'elemento più debole Ogni livello deve esser messo in sicurezza ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Sicurezza fisica
Sicurezza Fisica Perchè ricorrere a una complicata violazione informatica quando quello che ci serve è appoggiato su una scrivania? Password su post-it ● Documenti cestinati ● Documenti visibili ● Eccessi di fiducia ● Terminali accesi ● senza utenti LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Prevenzione Controllo dell'accesso ai locali, policy ● (regole) di accesso Trattare nel modo dovuto i documenti (ad ● es. in cartelline) Non lasciare informazioni nei rifiuti ● Attenzione a come vengono portati dati ● fuori dall'ufficio Porre attenzione ai piccoli dettagli dei ● computer (segni di scasso) Prevenzione di incendi, allagamenti ecc. ● ..e molto altro.. ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Sicurezza dell'infrastruttura
Sicurezza dell'infrastruttura Sistemi vengono installati e abbandonati ● Utilizzo di configurazioni di default ● Ambienti di test diventano sistemi di ● produzione Adozione di tecnologie obsolete o insicure ● Parti dell'infrastruttura raggiungibile e ● esposta Mancanza di filtraggio dei flussi di rete ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Prevenzione Hardening dei sistemi operativi e dispositivi ● di rete Definizione di policy per l'uso e gli accessi ● Applicazione di access lists e AAA ● Aggiornamenti costanti ● Utilizzo di sistemi di intrusion detection ● Vulnerability assessment periodici ● Defense in depth ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Sicurezza dei sistemi
Sicurezza dei sistemi Vulnerabilità server side ● Vulnerabilità client side ● Configurazioni errate ● ....ecc... ecc... ● Ma quanti sono in grado di accorgersi che il ● proprio sistema è stato compromesso? LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Prevenzione Patch plan ● Limitare l'esposizione dei servizi ● Sistemi di sicurezza proattiva ● HIDS ● Sensibilizzazione degli utenti e adozione di ● policy Spesso non è un problema tecnologico ma ● umano LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Sicurezza applicativa
Sicurezza applicativa Analisi e progettazione fatta male e in fretta ● Non utilizzo di best practices nello sviluppo ● Errori di programmazione(bug) ● Diffusione di virus e worm ● Accesso non autorizzato a sistemi ● Furto di dati ● Abuso di sistemi e risorse ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Applicazioni sicure Utilizzo di tecnologie adeguate e loro corretto ● impiego Utilizzo di crittografia e autenticazione forte ● se necessario Introduzione di un processo di testing e ● auditing nello sviluppo Introduzione di metriche di collaudo per ● l'acquisizione di nuove applicazioni LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Monitoraggio e manutenzione
Monitoraggio e manutenzione Senza monitoraggio non si ha conoscenza di ● ciò che accade Monitoraggio a tutti i livelli (rete, sistemi e ● applicazioni) Monitoraggio di: ● Traffico ● Accessi ● Sorgenti dati ● Uso delle applicazioni ● Manutenzione e aggiornamenti periodici ● dell'infrastuttura e delle applicazioni LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Lo stato dell'arte della security Richiede che la sicurezza sia introdotta fin ● dalla progettazione, pena un totale ridisegno E' una proprietà di vari livelli architetturali ● E' dispendiosa in termini di risorse, ● procedure, gestione e mentalità Rimane un problema da affrontare per ogni ● tipo di azienda Quindi la sicurezza non è un predicato ● booleano LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Conclusione La sicurezza va afforntata a tutti i livelli ● Infrastrutturali ● Nel ciclo di vita di un software ● Il suo stato deve essere monitorato e ● mantenuto all'interno di un processo aziendale La sicurezza è composta da: ● Prodotti e tecnologie ● Procedure e processi ● Fattore umano (esperienza!) ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
Domande

Empfohlen

Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Presentazione sicurezza
Presentazione sicurezzaPresentazione sicurezza
Presentazione sicurezzariminese77
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
Guida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di FortinetGuida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di FortinetMaticmind
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 

Empfohlen

Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Presentazione sicurezza
Presentazione sicurezzaPresentazione sicurezza
Presentazione sicurezzariminese77
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training CourseSylvio Verrecchia - IT Security Engineer
 
Guida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di FortinetGuida alle soluzioni per le minacce informatiche di Fortinet
Guida alle soluzioni per le minacce informatiche di FortinetMaticmind
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Massimo Chirivì
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiSymantec Italia
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSylvio Verrecchia - IT Security Engineer
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel webgmorelli78
 
Guida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La SicurezzaGuida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La Sicurezzacaioturtle
 
La protezione dell’impresa distribuita, secondo Fortinet
La protezione dell’impresa distribuita, secondo FortinetLa protezione dell’impresa distribuita, secondo Fortinet
La protezione dell’impresa distribuita, secondo FortinetMaticmind
 
Pericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusPericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusGiovanni Mennea
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umanoCSI Piemonte
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Modulo 1 - Lezione 4
Modulo 1 - Lezione 4Modulo 1 - Lezione 4
Modulo 1 - Lezione 4Giacomo Migliorini
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informaticaFedericaPaolini3
 
Cybercrime
CybercrimeCybercrime
Cybercrimeciii_inginf
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Kick off meeting copenhagen
Kick off meeting copenhagenKick off meeting copenhagen
Kick off meeting copenhagenCEPA SAN ILDEFONSO - LA GRANJA
 

Weitere ähnliche Inhalte

Was ist angesagt?

Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Massimo Chirivì
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePiero Sbressa
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolasticoGiampaolo Franco
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiSymantec Italia
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaDaniele Landro
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel webgmorelli78
 
Guida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La SicurezzaGuida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La Sicurezzacaioturtle
 
La protezione dell’impresa distribuita, secondo Fortinet
La protezione dell’impresa distribuita, secondo FortinetLa protezione dell’impresa distribuita, secondo Fortinet
La protezione dell’impresa distribuita, secondo FortinetMaticmind
 
Pericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusPericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusGiovanni Mennea
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 

Was ist angesagt? (20)

Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010Sicurezza Informatica 24 Settembre 2010
Sicurezza Informatica 24 Settembre 2010
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolastico
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
 
Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciuti
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
Fondamenti di Sicurezza Informatica
Fondamenti di Sicurezza InformaticaFondamenti di Sicurezza Informatica
Fondamenti di Sicurezza Informatica
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel web
 
Guida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La SicurezzaGuida al computer - Lezione 81 - La Sicurezza
Guida al computer - Lezione 81 - La Sicurezza
 
La protezione dell’impresa distribuita, secondo Fortinet
La protezione dell’impresa distribuita, secondo FortinetLa protezione dell’impresa distribuita, secondo Fortinet
La protezione dell’impresa distribuita, secondo Fortinet
 
Pericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusPericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virus
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Caso 3
Caso 3Caso 3
Caso 3
 
Modulo 1 - Lezione 4
Modulo 1 - Lezione 4Modulo 1 - Lezione 4
Modulo 1 - Lezione 4
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
 
Sicurezza informatica
Sicurezza informaticaSicurezza informatica
Sicurezza informatica
 
Cybercrime
CybercrimeCybercrime
Cybercrime
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
 

Andere mochten auch

Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Android: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezzaAndroid: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezzajekil
 
Linux Nelle Aziende Summer Of Linux 2007
Linux Nelle Aziende Summer Of Linux 2007Linux Nelle Aziende Summer Of Linux 2007
Linux Nelle Aziende Summer Of Linux 2007jekil
 
Onderwijsdaghub 130109 Presentatiesdp
Onderwijsdaghub 130109 PresentatiesdpOnderwijsdaghub 130109 Presentatiesdp
Onderwijsdaghub 130109 PresentatiesdpSteven De Pauw
 
Perfect method for Frames
Perfect method for FramesPerfect method for Frames
Perfect method for Framesandreslahe
 

Andere mochten auch (8)

Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensored
 
Kick off meeting copenhagen
Kick off meeting copenhagenKick off meeting copenhagen
Kick off meeting copenhagen
 
Culkas cea san_ildefonso
Culkas cea san_ildefonsoCulkas cea san_ildefonso
Culkas cea san_ildefonso
 
Android: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezzaAndroid: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezza
 
Presentatie Toll-net
Presentatie Toll-netPresentatie Toll-net
Presentatie Toll-net
 
Linux Nelle Aziende Summer Of Linux 2007
Linux Nelle Aziende Summer Of Linux 2007Linux Nelle Aziende Summer Of Linux 2007
Linux Nelle Aziende Summer Of Linux 2007
 
Onderwijsdaghub 130109 Presentatiesdp
Onderwijsdaghub 130109 PresentatiesdpOnderwijsdaghub 130109 Presentatiesdp
Onderwijsdaghub 130109 Presentatiesdp
 
Perfect method for Frames
Perfect method for FramesPerfect method for Frames
Perfect method for Frames
 

Ähnlich wie Security by example

Introduzione all'analisi forense
Introduzione all'analisi forenseIntroduzione all'analisi forense
Introduzione all'analisi forensejekil
 
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017Simone Aliprandi
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retivittoriomz
 
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017 Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017 Simone Aliprandi
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Simone Aliprandi
 
technologos it security
technologos it securitytechnologos it security
technologos it securitytechnologos
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiProject Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiEnzo M. Tieghi
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013ConsulPartner iSrl
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...CSI Piemonte
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSMAU
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...qlsrl
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017SMAU
 
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Antonio Capobianco
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 

Ähnlich wie Security by example (20)

Introduzione all'analisi forense
Introduzione all'analisi forenseIntroduzione all'analisi forense
Introduzione all'analisi forense
 
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017
 
pfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle retipfSense: Firewall e sicurezza delle reti
pfSense: Firewall e sicurezza delle reti
 
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017 Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
Sicurezza dati e privacy (le norme) - Lecce, 24 gen 2017
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
 
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
Sicurezza dati e privacy (definizioni e norme) - Lecce, marzo 2017
 
technologos it security
technologos it securitytechnologos it security
technologos it security
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiProject Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
Workshop su "Private Cloud e Virtualizzazione" - Udine - 23-10-2013
 
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
Privacy e sicurezza: dagli scenari alle strategie per la protezione dei dati ...
 
Smau milano 2013 marco bozzetti
Smau milano 2013 marco bozzettiSmau milano 2013 marco bozzetti
Smau milano 2013 marco bozzetti
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
APT DEMYSTIFIED - STORIA QUOTIDIANA DELL’INSICUREZZA INFORMATICA NELLE AZIEND...
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
 
Sicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica AmministrazioneSicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica Amministrazione
 
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 

Mehr von jekil

Names and virtual host discovery
Names and virtual host discoveryNames and virtual host discovery
Names and virtual host discoveryjekil
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisjekil
 
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...jekil
 
Client Side Security Settordici Lugts
Client Side Security Settordici LugtsClient Side Security Settordici Lugts
Client Side Security Settordici Lugtsjekil
 
Sviluppo web con Ruby on Rails
Sviluppo web con Ruby on RailsSviluppo web con Ruby on Rails
Sviluppo web con Ruby on Railsjekil
 
XPath Injection
XPath InjectionXPath Injection
XPath Injectionjekil
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
Anonimato In Rete Summer Of Linux2007
Anonimato In Rete Summer Of Linux2007Anonimato In Rete Summer Of Linux2007
Anonimato In Rete Summer Of Linux2007jekil
 
Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007jekil
 
MySQL
MySQLMySQL
MySQLjekil
 
MySQL 5
MySQL 5MySQL 5
MySQL 5jekil
 

Mehr von jekil (11)

Names and virtual host discovery
Names and virtual host discoveryNames and virtual host discovery
Names and virtual host discovery
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysis
 
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
 
Client Side Security Settordici Lugts
Client Side Security Settordici LugtsClient Side Security Settordici Lugts
Client Side Security Settordici Lugts
 
Sviluppo web con Ruby on Rails
Sviluppo web con Ruby on RailsSviluppo web con Ruby on Rails
Sviluppo web con Ruby on Rails
 
XPath Injection
XPath InjectionXPath Injection
XPath Injection
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007
 
Anonimato In Rete Summer Of Linux2007
Anonimato In Rete Summer Of Linux2007Anonimato In Rete Summer Of Linux2007
Anonimato In Rete Summer Of Linux2007
 
Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007
 
MySQL
MySQLMySQL
MySQL
 
MySQL 5
MySQL 5MySQL 5
MySQL 5
 

Security by example

  • 1. Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 2. Chi vi parla? Consulente ● Penetration tester ● Forenser ● Sviluppatore di software per il vulnerability ● assessment Ricercatore nel campo IT security ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 3. Esempio Vogliamo creare una società che offra un ➔ servizio web tramite il proprio sito internet LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 4. Realizzazione.. Aspetti burocratici, fiscali e amministrativi ● Sistemi e infrastrutture ● Network e connettività ● Servizi e hardware ● Ciclo di vita del software ● Analisi ● Progetto ● Implementazione ● Collaudo ● Manutenzione ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 6. Minacce Virus ● Malware ● Furto di informazioni ● Cracker occasionale ● (script kiddie) Cracker ● professionista LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 7. Sicurezza.. La sicurezza è un processo non un prodotto ● Il livello di sicurezza è dato dalla sicurezza ● dell'elemento più debole Ogni livello deve esser messo in sicurezza ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 9. Sicurezza Fisica Perchè ricorrere a una complicata violazione informatica quando quello che ci serve è appoggiato su una scrivania? Password su post-it ● Documenti cestinati ● Documenti visibili ● Eccessi di fiducia ● Terminali accesi ● senza utenti LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 10. Prevenzione Controllo dell'accesso ai locali, policy ● (regole) di accesso Trattare nel modo dovuto i documenti (ad ● es. in cartelline) Non lasciare informazioni nei rifiuti ● Attenzione a come vengono portati dati ● fuori dall'ufficio Porre attenzione ai piccoli dettagli dei ● computer (segni di scasso) Prevenzione di incendi, allagamenti ecc. ● ..e molto altro.. ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 12. Sicurezza dell'infrastruttura Sistemi vengono installati e abbandonati ● Utilizzo di configurazioni di default ● Ambienti di test diventano sistemi di ● produzione Adozione di tecnologie obsolete o insicure ● Parti dell'infrastruttura raggiungibile e ● esposta Mancanza di filtraggio dei flussi di rete ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 13. Prevenzione Hardening dei sistemi operativi e dispositivi ● di rete Definizione di policy per l'uso e gli accessi ● Applicazione di access lists e AAA ● Aggiornamenti costanti ● Utilizzo di sistemi di intrusion detection ● Vulnerability assessment periodici ● Defense in depth ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 14.
  • 16. Sicurezza dei sistemi Vulnerabilità server side ● Vulnerabilità client side ● Configurazioni errate ● ....ecc... ecc... ● Ma quanti sono in grado di accorgersi che il ● proprio sistema è stato compromesso? LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 17. Prevenzione Patch plan ● Limitare l'esposizione dei servizi ● Sistemi di sicurezza proattiva ● HIDS ● Sensibilizzazione degli utenti e adozione di ● policy Spesso non è un problema tecnologico ma ● umano LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 19. Sicurezza applicativa Analisi e progettazione fatta male e in fretta ● Non utilizzo di best practices nello sviluppo ● Errori di programmazione(bug) ● Diffusione di virus e worm ● Accesso non autorizzato a sistemi ● Furto di dati ● Abuso di sistemi e risorse ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 20. Applicazioni sicure Utilizzo di tecnologie adeguate e loro corretto ● impiego Utilizzo di crittografia e autenticazione forte ● se necessario Introduzione di un processo di testing e ● auditing nello sviluppo Introduzione di metriche di collaudo per ● l'acquisizione di nuove applicazioni LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 22. Monitoraggio e manutenzione Senza monitoraggio non si ha conoscenza di ● ciò che accade Monitoraggio a tutti i livelli (rete, sistemi e ● applicazioni) Monitoraggio di: ● Traffico ● Accessi ● Sorgenti dati ● Uso delle applicazioni ● Manutenzione e aggiornamenti periodici ● dell'infrastuttura e delle applicazioni LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 23.
  • 24. Lo stato dell'arte della security Richiede che la sicurezza sia introdotta fin ● dalla progettazione, pena un totale ridisegno E' una proprietà di vari livelli architetturali ● E' dispendiosa in termini di risorse, ● procedure, gestione e mentalità Rimane un problema da affrontare per ogni ● tipo di azienda Quindi la sicurezza non è un predicato ● booleano LUG Trieste Alessandro Tanasi - alessandro@tanasi.it
  • 25. Conclusione La sicurezza va afforntata a tutti i livelli ● Infrastrutturali ● Nel ciclo di vita di un software ● Il suo stato deve essere monitorato e ● mantenuto all'interno di un processo aziendale La sicurezza è composta da: ● Prodotti e tecnologie ● Procedure e processi ● Fattore umano (esperienza!) ● LUG Trieste Alessandro Tanasi - alessandro@tanasi.it