1. 3rd Party Software: how to manage the update of 3rd party software
2. 3rd Party Development: Outsourcing
3. 3rd Party Supplier
4. 3rd Party OF THINGS
4. 3rd party... Software
Gestione del software installato sugli endpoint
Problemi di diverso tipo:
• Impiego di risorse umane (IT, Sysadmin, Infosec)
• Difficoltà nel deployment e nell’aggiornamento
• Difficoltà ancor maggiore per la rimozione di versioni precedenti e la
gestione delle compatibilità (Java Jungle: 6, 7, 8..)
• Numerosità ed eterogeneità dei sistemi
• Relazione con utenti (Esigenze di business, abitudine, comodità personale,
la frase «nella mia precedente azienda, usavamo…»)
• SECURITY (chi conosce l’estensione WJF?)
5. 3rd party... Software
Soluzione: Instaurare un circolo virtuoso di maintenance
• Patch management consolidato (Patch Tuesday VS Exploit Wednesday)
• Testing (nuove feature, nuove versioni)
• Deployment role-based (OU, gruppi AD)
• Manutenzione di diverse golden image per ogni scopo o dipartimento
• Chirurgia riduttiva
• Minimo privilegio (Quante versioni di sw per archiviare ci servono? Quali
sono le reali «esigenze di business»? Quali formati sono ammessi in
azienda? Chi deve usare $VersioneVulnerabile?)
Parossismo ricorsivo
Usare un software di terze parti per gestire i software di terze parti!
6. 3rd party... Devops
Sviluppo di software modulare o
sviluppo in outsourcing
Problemi analoghi:
• Deployment, upgrade, rimozione, versioning
Soluzioni analoghe:
• Circolo virtuoso di maintenance
Esempi:
• CKEditor, jQuery, LifeRay, Joomla… + gli artifact
7. 3rd party... Devops (in house)
Principali elementi di novità
• Gli utenti sono sviluppatori / devops / più in generale IT guys
• I moduli software sono meno numerosi (nel senso di installati in minori
locazioni) ma più annidati
• La maintenance potrebbe causare disservizi su sistemi pubblici (sito web, ERP,
home banking)
MA
• Maggiore letteratura
• Maggiore trasparenza Maggiore revisionabilità
• Maggior knowhow
Le spese in Sviluppo Sicuro hanno un ROI massimo
8. 3rd party... Devops
Inserimento dei moduli e/o del team di sviluppo software esterni nel
proprio ciclo di sviluppo sicuro
• Revisione periodica dei moduli integrati / aggiunti / inclusi / in
outsourcing con valutazione del rischio estensiva
• Aggiunta sistematica dei moduli software esterni in tutte le attività
di security:
– Penetration Test black-box (più fattibile)
– Vulnerability Assessment (meno straightforward)
– Code review (se open)
• Gestione della vita degli artifact (oggetti il cui sviluppo è stato
esternalizzato e forniti chiavi in mano) strutturata:
– Revisione, versioning, distribuzione
10. 3rd party... Supplier
Valutazione del rischio per i servizi Cloud
• Prescindere dal nome altisonante (e dal prezzo?)
• Mantenere istanze multiple presso diversi fornitori
• Avere un quadro preciso delle garanzie offerte (backup,
segregation, Reliability-Availability-Serviceability)
• Effettuare valutazioni del rischio in partnership con il fornitore
di servizi Cloud
• Ma soprattutto:
3rd party like nobody’s watching,
ENCRYPT LIKE EVERYBODY IS
11. 3rd party... Supplier
Nessun uomo è un’isola: i servizi IT
• Ogni azienda è terza parte di un’altra azienda
• I problemi sono gli stessi del software:
– Deployment Uso non regolamentato di risorse aziendali o ibride,
nel perimetro dell’azienda, la VLAN CONSULENTI
– Upgrade / Maintenance Scambio di dati, file ZIP con password
– Rimozione Passaggio di consegne, chiusura del contratto, wiping dei
file del progetto
12. 3rd party... Supplier
Nessun uomo è un’isola: i servizi IT (2)
• Le soluzioni sono la trasposizione di quelle per il software:
– Mantenere i team di aziende esterne separati logicamente
– Definire e regolamentare le modalità di scambio di dati sicure:
concordare un sistema di encryption, ad esempio PGP/GPG su Cloud
privato
– Definire una whitelist di asset (sia interni sia esterni): creare un set di
dispositivi di memoria dedicati, più in generale disporre di un full stack
di risorse dedicate (istanze virtuali, VLAN, utenze)
– Convenire (anche contrattualisticamente) sulle attività doverose a
chiusura di un progetto
13. 3rd party... Supplier
Nessun uomo è un’isola: i servizi non-IT
• Esempi di terze parti non-IT che potrebbero costituire un
rischio:
– Gli studi di professionisti: email non cifrate, infrastrutture IT non certificate o
non verificabili, workstation e ambienti con un livello di hardening
insufficiente: quanti hanno un fornitore che è stato colpito da cryptolocker?
– Le aziende di gestione documentale: invio di documentazione sensibile via
VPN, che viene stampata ed inviata ai clienti. E il disposal sicuro di carta e
memorie delle stampanti?
– La famosa «cleaning lady», tanto paventata come principale veicolo di
intrusioni, è in buona compagnia e forse la meno pericolosa! (se bloccate le
porte USB :-) )
14. 3rd party... Supplier
• Includere le aziende esterne (tutte!) in un percorso di
security «olistico»:
– Hardening e Sicurezza dei dati
– Sviluppo sicuro
– Security awareness
– Analisi dei rischi
• Lo scopo finale di tale integrazione è, oltre ad innalzare il livello di
sicurezza dell’intero processo di fornitura / uso di servizi, quello di
arrivare ad una formalizzazione di un Threat Model, su cui operare
una classificazione ed una Risk Acceptance chiara
16. 3rd party... OF THINGS
Alcuni core business dell’azienda sono fondati
su «COSE» di altri
• Con «COSE» si intende tutti quegli oggetti –fisici o
virtuali- di cui non è possibile effettuare una valutazione
del rischio, poiché del tutto chiusi
• Deployment – Upgrade – Rimozione: tutti abbastanza
straighforward, soprattutto per i device fisici, dato che è
il fornitore a occuparsi di tutto,
• MA:
Il livello di sicurezza è comparabile a quello della nostra azienda?
17. 3rd party... OF THINGS
Valutazione del rischio, possibili strade
• Reverse engineering? Forse..
• Collaborazione «open», con un tavolo tecnico, affinché i
propri team di security possano capirci qualcosa di come
funzionano le THINGS che vengono acquistate e messe in
produzione
– Qualunque collaborazione con un vendor, arricchisce sia l’azienda sia il
vendor stesso
– Se le THINGS hanno subito forti personalizzazioni, lo scenario in analisi
è unico ed inesplorato, anche per il vendor!