SlideShare a Scribd company logo

Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...

Minded Security
Minded Security

1. 3rd Party Software: how to manage the update of 3rd party software 2. 3rd Party Development: Outsourcing 3. 3rd Party Supplier 4. 3rd Party OF THINGS

Technology
1 of 18
Download to read offline
(3rd) Party like nobody’s watching... Fabrizio Bugli Senior Security Consultant @ Minded Security
# whoami • Fabrizio Bugli Senior Security Consultant ( ≌ 13 years ) • email: fabrizio.bugli@mindedsecurity.com • twitter: @fabfree_ • Area of Interest «Holistic» (as in security holes) Security
Let’s (3rd) Party! Terze Parti: • Software • Sviluppo di software • Risorse e Servizi • «Cose»
3rd party... Software Gestione del software installato sugli endpoint Problemi di diverso tipo: • Impiego di risorse umane (IT, Sysadmin, Infosec) • Difficoltà nel deployment e nell’aggiornamento • Difficoltà ancor maggiore per la rimozione di versioni precedenti e la gestione delle compatibilità (Java Jungle: 6, 7, 8..) • Numerosità ed eterogeneità dei sistemi • Relazione con utenti (Esigenze di business, abitudine, comodità personale, la frase «nella mia precedente azienda, usavamo…») • SECURITY (chi conosce l’estensione WJF?)
3rd party... Software Soluzione: Instaurare un circolo virtuoso di maintenance • Patch management consolidato (Patch Tuesday VS Exploit Wednesday) • Testing (nuove feature, nuove versioni) • Deployment role-based (OU, gruppi AD) • Manutenzione di diverse golden image per ogni scopo o dipartimento • Chirurgia riduttiva • Minimo privilegio (Quante versioni di sw per archiviare ci servono? Quali sono le reali «esigenze di business»? Quali formati sono ammessi in azienda? Chi deve usare $VersioneVulnerabile?) Parossismo ricorsivo Usare un software di terze parti per gestire i software di terze parti!
3rd party... Devops Sviluppo di software modulare o sviluppo in outsourcing Problemi analoghi: • Deployment, upgrade, rimozione, versioning Soluzioni analoghe: • Circolo virtuoso di maintenance Esempi: • CKEditor, jQuery, LifeRay, Joomla… + gli artifact
3rd party... Devops (in house) Principali elementi di novità • Gli utenti sono sviluppatori / devops / più in generale IT guys • I moduli software sono meno numerosi (nel senso di installati in minori locazioni) ma più annidati • La maintenance potrebbe causare disservizi su sistemi pubblici (sito web, ERP, home banking) MA • Maggiore letteratura • Maggiore trasparenza  Maggiore revisionabilità • Maggior knowhow Le spese in Sviluppo Sicuro hanno un ROI massimo
3rd party... Devops Inserimento dei moduli e/o del team di sviluppo software esterni nel proprio ciclo di sviluppo sicuro • Revisione periodica dei moduli integrati / aggiunti / inclusi / in outsourcing con valutazione del rischio estensiva • Aggiunta sistematica dei moduli software esterni in tutte le attività di security: – Penetration Test black-box (più fattibile) – Vulnerability Assessment (meno straightforward) – Code review (se open) • Gestione della vita degli artifact (oggetti il cui sviluppo è stato esternalizzato e forniti chiavi in mano) strutturata: – Revisione, versioning, distribuzione
3rd party... Supplier Intervallo (2017)
3rd party... Supplier Valutazione del rischio per i servizi Cloud • Prescindere dal nome altisonante (e dal prezzo?) • Mantenere istanze multiple presso diversi fornitori • Avere un quadro preciso delle garanzie offerte (backup, segregation, Reliability-Availability-Serviceability) • Effettuare valutazioni del rischio in partnership con il fornitore di servizi Cloud • Ma soprattutto: 3rd party like nobody’s watching, ENCRYPT LIKE EVERYBODY IS
3rd party... Supplier Nessun uomo è un’isola: i servizi IT • Ogni azienda è terza parte di un’altra azienda • I problemi sono gli stessi del software: – Deployment  Uso non regolamentato di risorse aziendali o ibride, nel perimetro dell’azienda, la VLAN CONSULENTI – Upgrade / Maintenance  Scambio di dati, file ZIP con password – Rimozione  Passaggio di consegne, chiusura del contratto, wiping dei file del progetto
3rd party... Supplier Nessun uomo è un’isola: i servizi IT (2) • Le soluzioni sono la trasposizione di quelle per il software: – Mantenere i team di aziende esterne separati logicamente – Definire e regolamentare le modalità di scambio di dati sicure: concordare un sistema di encryption, ad esempio PGP/GPG su Cloud privato – Definire una whitelist di asset (sia interni sia esterni): creare un set di dispositivi di memoria dedicati, più in generale disporre di un full stack di risorse dedicate (istanze virtuali, VLAN, utenze) – Convenire (anche contrattualisticamente) sulle attività doverose a chiusura di un progetto
3rd party... Supplier Nessun uomo è un’isola: i servizi non-IT • Esempi di terze parti non-IT che potrebbero costituire un rischio: – Gli studi di professionisti: email non cifrate, infrastrutture IT non certificate o non verificabili, workstation e ambienti con un livello di hardening insufficiente: quanti hanno un fornitore che è stato colpito da cryptolocker? – Le aziende di gestione documentale: invio di documentazione sensibile via VPN, che viene stampata ed inviata ai clienti. E il disposal sicuro di carta e memorie delle stampanti? – La famosa «cleaning lady», tanto paventata come principale veicolo di intrusioni, è in buona compagnia e forse la meno pericolosa! (se bloccate le porte USB :-) )
3rd party... Supplier • Includere le aziende esterne (tutte!) in un percorso di security «olistico»: – Hardening e Sicurezza dei dati – Sviluppo sicuro – Security awareness – Analisi dei rischi • Lo scopo finale di tale integrazione è, oltre ad innalzare il livello di sicurezza dell’intero processo di fornitura / uso di servizi, quello di arrivare ad una formalizzazione di un Threat Model, su cui operare una classificazione ed una Risk Acceptance chiara
3rd party... OF THINGS Intervallo (2017)
3rd party... OF THINGS Alcuni core business dell’azienda sono fondati su «COSE» di altri • Con «COSE» si intende tutti quegli oggetti –fisici o virtuali- di cui non è possibile effettuare una valutazione del rischio, poiché del tutto chiusi • Deployment – Upgrade – Rimozione: tutti abbastanza straighforward, soprattutto per i device fisici, dato che è il fornitore a occuparsi di tutto, • MA: Il livello di sicurezza è comparabile a quello della nostra azienda?
3rd party... OF THINGS Valutazione del rischio, possibili strade • Reverse engineering? Forse.. • Collaborazione «open», con un tavolo tecnico, affinché i propri team di security possano capirci qualcosa di come funzionano le THINGS che vengono acquistate e messe in produzione – Qualunque collaborazione con un vendor, arricchisce sia l’azienda sia il vendor stesso – Se le THINGS hanno subito forti personalizzazioni, lo scenario in analisi è unico ed inesplorato, anche per il vendor!
Questions? GRAZIE!

Recommended

Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'
Marco Morana
 
Summary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - SlidesSummary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - Slides
CristianFalvo
 
Smau Milano 2014 - Andrea Zwirner
Smau Milano 2014 - Andrea ZwirnerSmau Milano 2014 - Andrea Zwirner
Smau Milano 2014 - Andrea Zwirner
SMAU
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
Owasp parte2
Owasp parte2Owasp parte2
Owasp parte2
claudiodigiovanni
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
claudiodigiovanni
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Luca Moroni ✔✔
 

Recommended

Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'Software Open Source, Proprierio, Interoperabilita'
Software Open Source, Proprierio, Interoperabilita'
Marco Morana
 
Summary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - SlidesSummary of “Measuring Security Practices and How They Impact Security” - Slides
Summary of “Measuring Security Practices and How They Impact Security” - Slides
CristianFalvo
 
Smau Milano 2014 - Andrea Zwirner
Smau Milano 2014 - Andrea ZwirnerSmau Milano 2014 - Andrea Zwirner
Smau Milano 2014 - Andrea Zwirner
SMAU
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
SMAU
 
Owasp parte2
Owasp parte2Owasp parte2
Owasp parte2
claudiodigiovanni
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
claudiodigiovanni
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Luca Moroni ✔✔
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
raffaele_forte
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevante
Redazione InnovaPuglia
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
Luca Moroni ✔✔
 
Webinar: "DevSecOps: early, everywhere, at scale"
Webinar: "DevSecOps: early, everywhere, at scale"Webinar: "DevSecOps: early, everywhere, at scale"
Webinar: "DevSecOps: early, everywhere, at scale"
Emerasoft, solutions to collaborate
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Massimiliano Cristarella
 
Menlo Security Isolation Platform
Menlo Security Isolation PlatformMenlo Security Isolation Platform
Menlo Security Isolation Platform
Marco Scala
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Luca Moroni ✔✔
 
Owasp parte3
Owasp parte3Owasp parte3
Owasp parte3
claudiodigiovanni
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
jekil
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
Simone Onofri
 
IT Governance
IT GovernanceIT Governance
IT Governance
Luca Moroni ✔✔
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
AmmLibera AL
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
SMAU
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Luca Moroni ✔✔
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
Luca Moroni ✔✔
 
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
festival ICT 2016
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
Luca Moroni ✔✔
 
Owasp Day 3
Owasp Day 3Owasp Day 3
Owasp Day 3
Antonio Parata
 
Open Security
Open SecurityOpen Security
Open Security
Francesco Taurino
 
Introduzione al BYOD
Introduzione al BYODIntroduzione al BYOD
Introduzione al BYOD
Switchup srl
 

More Related Content

What's hot

Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Luca Moroni ✔✔
 

What's hot (20)

SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevante
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
Webinar: "DevSecOps: early, everywhere, at scale"
Webinar: "DevSecOps: early, everywhere, at scale"Webinar: "DevSecOps: early, everywhere, at scale"
Webinar: "DevSecOps: early, everywhere, at scale"
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
 
Menlo Security Isolation Platform
Menlo Security Isolation PlatformMenlo Security Isolation Platform
Menlo Security Isolation Platform
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
 
Owasp parte3
Owasp parte3Owasp parte3
Owasp parte3
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practicesISACA - Gestire progetti di Ethical Hacking secondo le best practices
ISACA - Gestire progetti di Ethical Hacking secondo le best practices
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
 
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
Crowd-privacy per app e web 2.0: il progetto europeo Privacy Flag - festival ...
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
 
Owasp Day 3
Owasp Day 3Owasp Day 3
Owasp Day 3
 

Similar to Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...

Open Source in Azienda: sicurezza e risparmio
Open Source in Azienda: sicurezza e risparmioOpen Source in Azienda: sicurezza e risparmio
Open Source in Azienda: sicurezza e risparmio
akabit
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensics
wfurlan
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Giuseppe Paterno'
 

Similar to Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching... (20)

Open Security
Open SecurityOpen Security
Open Security
 
Introduzione al BYOD
Introduzione al BYODIntroduzione al BYOD
Introduzione al BYOD
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Sophos - Sicurezza dei Dati
Sophos - Sicurezza dei DatiSophos - Sicurezza dei Dati
Sophos - Sicurezza dei Dati
 
Sicurezza dei sistemi informativi
Sicurezza dei sistemi informativiSicurezza dei sistemi informativi
Sicurezza dei sistemi informativi
 
Open Source in Azienda: sicurezza e risparmio
Open Source in Azienda: sicurezza e risparmioOpen Source in Azienda: sicurezza e risparmio
Open Source in Azienda: sicurezza e risparmio
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensics
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezza
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processiSicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
 
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processiSicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
 
Privacy e sicurezza nel cloud
Privacy e sicurezza nel cloudPrivacy e sicurezza nel cloud
Privacy e sicurezza nel cloud
 
Aspetti di sicurezza in azienda: gestione dei log aziendali
Aspetti di sicurezza in azienda: gestione dei log aziendaliAspetti di sicurezza in azienda: gestione dei log aziendali
Aspetti di sicurezza in azienda: gestione dei log aziendali
 
Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09Il Software Libero nella PPAA - LD09
Il Software Libero nella PPAA - LD09
 
Soluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie MicrosoftSoluzioni IoT con le tecnologie Microsoft
Soluzioni IoT con le tecnologie Microsoft
 
Security Awareness in ambito scolastico
Security Awareness in ambito scolasticoSecurity Awareness in ambito scolastico
Security Awareness in ambito scolastico
 

More from Minded Security

Sandboxing JS and HTML. A lession Learned
Sandboxing JS and HTML. A lession LearnedSandboxing JS and HTML. A lession Learned
Sandboxing JS and HTML. A lession Learned
Minded Security
 

More from Minded Security (15)

Ieee S&P 2020 - Software Security: from Research to Industry.
Ieee S&P 2020 - Software Security: from Research to Industry.Ieee S&P 2020 - Software Security: from Research to Industry.
Ieee S&P 2020 - Software Security: from Research to Industry.
 
Matteo Meucci - Security Summit 12th March 2019
Matteo Meucci - Security Summit 12th March 2019Matteo Meucci - Security Summit 12th March 2019
Matteo Meucci - Security Summit 12th March 2019
 
Microservices Security: dos and don'ts
Microservices Security: dos and don'tsMicroservices Security: dos and don'ts
Microservices Security: dos and don'ts
 
Live hacking Demo
Live hacking DemoLive hacking Demo
Live hacking Demo
 
Js deobfuscation with JStillery - bsides-roma 2018
Js deobfuscation with JStillery - bsides-roma 2018Js deobfuscation with JStillery - bsides-roma 2018
Js deobfuscation with JStillery - bsides-roma 2018
 
Matteo Meucci Isaca Venice - 2017
Matteo Meucci Isaca Venice - 2017Matteo Meucci Isaca Venice - 2017
Matteo Meucci Isaca Venice - 2017
 
BlueClosure Pitch - Cybertech Europe 2017
BlueClosure Pitch - Cybertech Europe 2017BlueClosure Pitch - Cybertech Europe 2017
BlueClosure Pitch - Cybertech Europe 2017
 
Matteo meucci Software Security - Napoli 10112016
Matteo meucci Software Security - Napoli 10112016Matteo meucci Software Security - Napoli 10112016
Matteo meucci Software Security - Napoli 10112016
 
Matteo Meucci Software Security in practice - Aiea torino - 30-10-2015
Matteo Meucci Software Security in practice - Aiea torino - 30-10-2015Matteo Meucci Software Security in practice - Aiea torino - 30-10-2015
Matteo Meucci Software Security in practice - Aiea torino - 30-10-2015
 
Advanced JS Deobfuscation
Advanced JS DeobfuscationAdvanced JS Deobfuscation
Advanced JS Deobfuscation
 
Sandboxing JS and HTML. A lession Learned
Sandboxing JS and HTML. A lession LearnedSandboxing JS and HTML. A lession Learned
Sandboxing JS and HTML. A lession Learned
 
Concrete5 Sendmail RCE Advisory
Concrete5 Sendmail RCE AdvisoryConcrete5 Sendmail RCE Advisory
Concrete5 Sendmail RCE Advisory
 
Concrete5 Multiple Reflected XSS Advisory
Concrete5 Multiple Reflected XSS AdvisoryConcrete5 Multiple Reflected XSS Advisory
Concrete5 Multiple Reflected XSS Advisory
 
PHP Object Injection
PHP Object InjectionPHP Object Injection
PHP Object Injection
 
iOS Masque Attack
iOS Masque AttackiOS Masque Attack
iOS Masque Attack
 

Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...

  • 1. (3rd) Party like nobody’s watching... Fabrizio Bugli Senior Security Consultant @ Minded Security
  • 2. # whoami • Fabrizio Bugli Senior Security Consultant ( ≌ 13 years ) • email: fabrizio.bugli@mindedsecurity.com • twitter: @fabfree_ • Area of Interest «Holistic» (as in security holes) Security
  • 3. Let’s (3rd) Party! Terze Parti: • Software • Sviluppo di software • Risorse e Servizi • «Cose»
  • 4. 3rd party... Software Gestione del software installato sugli endpoint Problemi di diverso tipo: • Impiego di risorse umane (IT, Sysadmin, Infosec) • Difficoltà nel deployment e nell’aggiornamento • Difficoltà ancor maggiore per la rimozione di versioni precedenti e la gestione delle compatibilità (Java Jungle: 6, 7, 8..) • Numerosità ed eterogeneità dei sistemi • Relazione con utenti (Esigenze di business, abitudine, comodità personale, la frase «nella mia precedente azienda, usavamo…») • SECURITY (chi conosce l’estensione WJF?)
  • 5. 3rd party... Software Soluzione: Instaurare un circolo virtuoso di maintenance • Patch management consolidato (Patch Tuesday VS Exploit Wednesday) • Testing (nuove feature, nuove versioni) • Deployment role-based (OU, gruppi AD) • Manutenzione di diverse golden image per ogni scopo o dipartimento • Chirurgia riduttiva • Minimo privilegio (Quante versioni di sw per archiviare ci servono? Quali sono le reali «esigenze di business»? Quali formati sono ammessi in azienda? Chi deve usare $VersioneVulnerabile?) Parossismo ricorsivo Usare un software di terze parti per gestire i software di terze parti!
  • 6. 3rd party... Devops Sviluppo di software modulare o sviluppo in outsourcing Problemi analoghi: • Deployment, upgrade, rimozione, versioning Soluzioni analoghe: • Circolo virtuoso di maintenance Esempi: • CKEditor, jQuery, LifeRay, Joomla… + gli artifact
  • 7. 3rd party... Devops (in house) Principali elementi di novità • Gli utenti sono sviluppatori / devops / più in generale IT guys • I moduli software sono meno numerosi (nel senso di installati in minori locazioni) ma più annidati • La maintenance potrebbe causare disservizi su sistemi pubblici (sito web, ERP, home banking) MA • Maggiore letteratura • Maggiore trasparenza  Maggiore revisionabilità • Maggior knowhow Le spese in Sviluppo Sicuro hanno un ROI massimo
  • 8. 3rd party... Devops Inserimento dei moduli e/o del team di sviluppo software esterni nel proprio ciclo di sviluppo sicuro • Revisione periodica dei moduli integrati / aggiunti / inclusi / in outsourcing con valutazione del rischio estensiva • Aggiunta sistematica dei moduli software esterni in tutte le attività di security: – Penetration Test black-box (più fattibile) – Vulnerability Assessment (meno straightforward) – Code review (se open) • Gestione della vita degli artifact (oggetti il cui sviluppo è stato esternalizzato e forniti chiavi in mano) strutturata: – Revisione, versioning, distribuzione
  • 10. 3rd party... Supplier Valutazione del rischio per i servizi Cloud • Prescindere dal nome altisonante (e dal prezzo?) • Mantenere istanze multiple presso diversi fornitori • Avere un quadro preciso delle garanzie offerte (backup, segregation, Reliability-Availability-Serviceability) • Effettuare valutazioni del rischio in partnership con il fornitore di servizi Cloud • Ma soprattutto: 3rd party like nobody’s watching, ENCRYPT LIKE EVERYBODY IS
  • 11. 3rd party... Supplier Nessun uomo è un’isola: i servizi IT • Ogni azienda è terza parte di un’altra azienda • I problemi sono gli stessi del software: – Deployment  Uso non regolamentato di risorse aziendali o ibride, nel perimetro dell’azienda, la VLAN CONSULENTI – Upgrade / Maintenance  Scambio di dati, file ZIP con password – Rimozione  Passaggio di consegne, chiusura del contratto, wiping dei file del progetto
  • 12. 3rd party... Supplier Nessun uomo è un’isola: i servizi IT (2) • Le soluzioni sono la trasposizione di quelle per il software: – Mantenere i team di aziende esterne separati logicamente – Definire e regolamentare le modalità di scambio di dati sicure: concordare un sistema di encryption, ad esempio PGP/GPG su Cloud privato – Definire una whitelist di asset (sia interni sia esterni): creare un set di dispositivi di memoria dedicati, più in generale disporre di un full stack di risorse dedicate (istanze virtuali, VLAN, utenze) – Convenire (anche contrattualisticamente) sulle attività doverose a chiusura di un progetto
  • 13. 3rd party... Supplier Nessun uomo è un’isola: i servizi non-IT • Esempi di terze parti non-IT che potrebbero costituire un rischio: – Gli studi di professionisti: email non cifrate, infrastrutture IT non certificate o non verificabili, workstation e ambienti con un livello di hardening insufficiente: quanti hanno un fornitore che è stato colpito da cryptolocker? – Le aziende di gestione documentale: invio di documentazione sensibile via VPN, che viene stampata ed inviata ai clienti. E il disposal sicuro di carta e memorie delle stampanti? – La famosa «cleaning lady», tanto paventata come principale veicolo di intrusioni, è in buona compagnia e forse la meno pericolosa! (se bloccate le porte USB :-) )
  • 14. 3rd party... Supplier • Includere le aziende esterne (tutte!) in un percorso di security «olistico»: – Hardening e Sicurezza dei dati – Sviluppo sicuro – Security awareness – Analisi dei rischi • Lo scopo finale di tale integrazione è, oltre ad innalzare il livello di sicurezza dell’intero processo di fornitura / uso di servizi, quello di arrivare ad una formalizzazione di un Threat Model, su cui operare una classificazione ed una Risk Acceptance chiara
  • 15. 3rd party... OF THINGS Intervallo (2017)
  • 16. 3rd party... OF THINGS Alcuni core business dell’azienda sono fondati su «COSE» di altri • Con «COSE» si intende tutti quegli oggetti –fisici o virtuali- di cui non è possibile effettuare una valutazione del rischio, poiché del tutto chiusi • Deployment – Upgrade – Rimozione: tutti abbastanza straighforward, soprattutto per i device fisici, dato che è il fornitore a occuparsi di tutto, • MA: Il livello di sicurezza è comparabile a quello della nostra azienda?
  • 17. 3rd party... OF THINGS Valutazione del rischio, possibili strade • Reverse engineering? Forse.. • Collaborazione «open», con un tavolo tecnico, affinché i propri team di security possano capirci qualcosa di come funzionano le THINGS che vengono acquistate e messe in produzione – Qualunque collaborazione con un vendor, arricchisce sia l’azienda sia il vendor stesso – Se le THINGS hanno subito forti personalizzazioni, lo scenario in analisi è unico ed inesplorato, anche per il vendor!