mercoledì 7 aprile 2010

Advanced Persistent Threats: un approccio integrato

Nel post "Advanced Persistent Threats: che cosa sono?" abbiamo analizzato le principali caratteristiche di queste minacce, ora possiamo interrogarci su cosa è possibile fare per cercare di evitare i danni più gravi che ne possono derivare. Un elenco minimale delle operazioni indispensabili lo possiamo trovare qui, ma in questo post vorrei invece soffermarmi su un approccio complessivo, integrato a queste minacce. 
Ovviamente non bisogna reinventare l'acqua calda e quindi la prima cosa da fare è vedere chi sono e cosa dicono i principali attori in questo campo specifico che sono: SANSMandiant M-Trends & BlogEnclave Security BlogsTaoSecurity Blogs.

Ebbene sui loro siti si trovano cose molto interessanti, ad esempio si scopre che già a metà novembre 2009, cioè qualche mese prima dell'Operation Aurora (ossia l'attacco a Google di inizio 2010), sono stati pubblicati da SANS i "Twenty Critical Controls for Effective Cyber Defense". 
Un approccio che riflette le dirette conoscenze su attacchi reali e che tiene conto delle tecniche di difesa più importanti elaborate, tra gli altri,  da personale proveniente da:

  • i Blue Team delle varie Agenzie e Dipartimenti Federali statunitensi
  • lo US-CERT
  • L'FBI e le altre organizzazioni di polizia che indagano sulla cibercriminalità
  • i Red Team del Department of Defense
  • i CIO e i CISO federali che hanno in carico la protezione dei sistemi delle agenzie federali

E' importante notare che, nell'introduzione di ogni singolo controllo, vengono identificati gli scenari di attacco correlati che sono poi descritti in una apposita sezione intitolata "Come viene sfruttata la mancanza di questo controllo dagli attaccanti?".

Veniamo ora alla 'ciccia'... quali sono i controlli? Eccoli...


Critical Controls Subject to Automated Collection, Measurement, and Validation:

  1. Inventory of Authorized and Unauthorized Devices
  2. Inventory of Authorized and Unauthorized Software
  3. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers
  4. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
  5. Boundary Defense
  6. Maintenance, Monitoring, and Analysis of Security Audit Logs
  7. Application Software Security
  8. Controlled Use of Administrative Privileges
  9. Controlled Access Based on Need to Know
  10. Continuous Vulnerability Assessment and Remediation
  11. Account Monitoring and Control
  12. Malware Defenses
  13. Limitation and Control of Network Ports, Protocols, and Services
  14. Wireless Device Control
  15. Data Loss Prevention

Additional Critical Controls (not directly supported by automated measurement and validation):

  1. Secure Network Engineering
  2. Penetration Tests and Red Team Exercises
  3. Incident Response Capability
  4. Data Recovery Capability
  5. Security Skills Assessment and Appropriate Training to Fill Gaps
Sul sito di SANS si trovano tutti i dettagli implementativi di ogni controllo.



Questi 20 Controlli Critici sono stati armonizzati con la restante documentazione che deve essere implementata dalle istituzioni governative e federali in quanto esse sono soggette al Federal Information Security Management Act (FISMA) che prevede che il National Institute of Standards and Technology (NIST) abbia la responsabilità dello sviluppo e del rilascio di norme, direttive e altre pubblicazioni che le agenzie federali devono seguire per attuare il FISMA. 
Il NIST quindi ha rilasciato le seguenti serie di documenti:

  • NIST Special Pubblications (SP) 800-x per sviluppare il framework che consente alle agenzie federali di valutare, selezionare, monitorare e documentare controlli di sicurezza per i loro sistemi informativi. 
  • Federal Information Processing Standard (FIPS) che sono approvati dal Ministro del Commercio e sono obbligatori e vincolanti per le agenzie federali. . 
  • Altre pubblicazioni in materia di sicurezza, tra cui interagenzie e relazioni interne (NISTIRs), e ITL Bullettins, di fornire informazioni tecniche e altre informazioni sulle attività del NIST. Queste pubblicazioni sono obbligatorie solo se esplicitamente indicato dall'Office of Management and Budget (OMB)

Già così, ci sarebbe già materiale in abbondanza, ma si sa, gli americani fanno sempre tutto in grande... e allora ci sono anche due documenti, vincolanti per tutte le istituzioni governative e federali, che regolamentano le contromisure di sicurezza minime e raccomandate. 


A questo punto ci sono due notizie: una buona e l'altra cattiva...

quella buona è che noi abbiamo la Direttiva Stanca (già il nome la dice lunga ;-)) )
quella cattiva è che nonostante tutto gli americani sono stati 'bucati' diverse volte!

A voi le conclusioni....  



Nessun commento:

Posta un commento

http://www.wikio.it