SlideShare a Scribd company logo

Vulnerability Management oltre il "vuappittì"

BL4CKSWAN Srl
BL4CKSWAN Srl

...In attesa di farlo con j4rvis, Bl4ck Swan vi ricorda di portare il proprio Vulnerability Management oltre il consueto "vuappittì"

Technology
1 of 13
Download to read offline
Vulnerability Management oltre il «vuappìttì» S E C U R I T Y S U M M I T , 1 4 M a r z o 2 0 1 7 , M I L A N O @franarchic Francesco MORINI
BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (1) Vulnerability Management oltre il « vuappitti » A chi mi dice, quando s i parla di Vulnerability Management , che lui lo fa... Io vorrei r i spondere... « Sei proprio un somaro WAPITI» © BL 4 CKSWAN SRL … 2
BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (2) Vulnerability Management oltre il « vuappitti » I l Vulnerability Management è un processo per la gestione di vulnerabilità infrastrutturali, di sistema e applicative , r i levabili mediante vari t ipi di security audit, quali Appunto – un processo. Il «vuappitti» può esserne considerato eventualmente solo una fase. Non sempre si ha chiaro quando il target di un vuappitti è una rete di server, un’applicazione, o entrambi Anche altre attività quali configuration review e firewall audit dovrebbero trovare posto in qualsiasi audit program. vulnerability assessment, penetration testing e code review . Anche questa tematica ci vede indietro, ma dobbiamo dare precedenza ai prerequisiti. La virgola è li per separare il «vua» dal «ppitti». Sono due attività distinte che producono output diversi. © BL 4 CKSWAN SRL … 3
BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (3) Vulnerability Management oltre il « vuappitti » Possibili interpretazioni del termine vuappìttì (vuh-ah -pp -ìttì): Ef fe tti collaterali derivanti dall’uso improprio del termine: Qualsiasi azienda munita di licenza per un security scanner è ora leggittimata a presentarsi al mercato in qualità di CVP: Certified «Vuappitti» Provider I tempi di consegna medi per un report di vuappitti diventano di 3 settimane. Ovviamente per rispettare la deadline... Fanno solo un VA (male) L’allegato economico della vecchia offerta di VA viene ritoccato per riflettere le best practice di settore; quello tecnico... aspe... c’è un allegato tecnico? ignoravo cercato Una razza di cervo nobile di cui l’esistenza fino a quando ho vuappitti su Google Immagini... opensource che non per l’omonimo, più Un security scanner vuole essere usato disonorevole scopo. Fenomeno dove il cliente paga due attività distinte, e il fornitore ne eroga una sola (anche trimestralmente). © BL 4 CKSWAN SRL … 4
5© BL 4 CKSWAN SRL BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (4) Vulnerability Management oltre il « vuappitti » ...i conti della serva... Se un’ infrastruttura opera 2 virtual center, con 20 sistemi MS e 20 Centos...! VC = (1*2)+(195 *20)+(31*20) = 4.522 vulnerabilità CRITICHE ...ma è solo la punta dell’ iceberg! Con i conti fatti copriamo, salvo eccezioni, quasi esclusivamente sistemi operativi... e gli altri strati? Vulnerabilità in aumento... Lo si dice dalla notte dei tempi – i trend sono in forte crescita – cosa implica in soldoni? 1 .061 vulnerabilità totali 489 critiche 745 vulnerabilità totali 79 critiche 51 vulnerabilità totali 4 critiche * Fonte: http:// www. cv ed…etails. com / ag g.16.03.2017 Vulnerabilità by Vendor 2015 -2016 * Ovviamente non possiamo considerare tutte queste vulnerabilità applicabili (?), prendiamo in considerazione solo un 40% delle critiche. Occhio - si parla solo di un 40 % di vulnerabilità ( critiche) su di un numero ristretto di sistemi... ...e solo per il biennio 2015 - 16. Servizi DatabaseMiddleware App. OTFApp. Custom Siti Web Rete MobileWorkstation
BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (5) Vulnerability Management oltre il « vuappitti » Qu indi , al «fine st ratega » ch e sost iene di gesti re il prop rio pro cesso di vulnera bility man age ment co n il « vuappìttì » gli chiedo: Ma oltre al report di «vua», dove sta il report di «ppitti»? Come gestisci il rischio che 4500 + vulnerabilità comportano nelle tue finestre di compliance auditing? Quante segnalazioni richiedono effettivamente un intervento rapido e risolutivo? ... © BL 4 CKSWAN SRL … 6
BL4 CKSWAN SRL info@ bl4ckswan. com Enrollment dei nodi e asset desiderati nell’ audit program. Raccolta e archiviazione di audit evidence. Integrare info aperte per comprendere il vero impatto. Applicare remediation. Incorporare cambi nel contesto nelle logiche di gestione. Integrazione con policy aziendali per delineare modalità di analisi. Confermare coerenza tra risultati dell’ attività e gli obiettivi prefissati. Confermare l’ effettiva presenza di una vulnerabilità. Confermare con risoluzione di una vulnerabilità con analisi di followup. Monitorare il rischio in modo continuo. Uniformazione di metodologie e reporting per interni e terzi. Integrare info interne per identificare su cosa può impattare la segnalazione. Selezionare l’ opzione di remediation più opportuna. Monitorare la risoluzione delle problematiche. Vulnerability Management: Processo Vulnerability Management oltre il « vuappitti » Processo mirato al rileva mento e alla gestione del rischio derivante dalla presenza di vulnera bilità. Pianificazione Assessment Analytics Remediation Controllo Formalizzazione e raccolta manleve e accordi operativi. © BL 4 CKSWAN SRL … 7
BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: Processo che non va? Vulnerability Management oltre il « vuappitti » Pianificazione Assessment Analytics Remediation Controllo Sembra facile, eppure si sollevano tanti problemi in ciascuna fase... Pe rchè? Non so quali applicazioni esposte su rete pubblica sono state testate l’ anno passato. Uno in html, l’ altro in pdf, poi l’ Excel... Nessuno sa dirmi se èquesta vulnerabilità presente su qualche sistema business- critical? Le vulnerabilità sono tante e diverse – ok – ma ci sarà un punto da cui converrà partire? Mai che il management mi chieda un particolare in più e che sia capace di rispondere all’ istante. © BL 4 CKSWAN SRL … 8
BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: L’asset inventory alla base di tutto Vulnerability Management oltre il « vuappitti » Se non sai che esiste... Un cliente di dimensioni medio- piccole può avere una vaga idea di ciò che c’è anche senza un processo di asset management. Un cliente enterprise non si può permettere lo stesso lusso. Se non sai cosa fa... La maggior parte degli inventory esaminati durante asset audit interni o di seconda parte risultano mancare di un adeguato livello di descrizione, e uno strato di relazionamento tra le dimensioni IT. Se non lo vuoi fare... Si ha l’ impressione che gran parte degli IT Manager percepisca l’ asset come chiuso l’influenza.. nelle giuste management evitabile se stanze. ...non farai il salto di qualità Avere un asset inventory aggiornato e correttamente popolato introduce il mondo dell’ informatica al mondo del relazionamento IT- organizzativo. Manca un inv entario degli asset , realmente utile #foglioexceldi20 meganonaggiornato #elencodiipsenzahostname #elencodihostnamesenzaip#nonsoqualisianoleapplicazionimasonocritiche #file.csvchenessunoriesceadaprire #assetinventoryenterprisechenessunohamaiconfigurato © BL 4 CKSWAN SRL … 9
BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: L’asset inventory alla base di tutto (2) Vulnerability Management oltre il « vuappitti » Una rete ospita nodi infrastrutturali... Che possono presentare vulnerabilità... Che comportano un rischio per varie dimensioni aziendali o organizzative. Subnets Networks Entities Una base dati che mette in relazione perimetri fisici, reti, infrastrutture fisiche e virtuali, applicazioni e processi consente di esercitare un controllo totale su qualsiasi ambito – non solo il Vulnerability Management. Nonostante la generazione di un asset inventory maturo richieda tempo e risorse, possiamo ottenere già oggi qualcosa di valido e utilizzabili sfruttando qualche procedura automatizzata e ( sigh)... un vuappitti: I raw degli scanner consentono di censire gli host, servizi o applicativi e quanti più informazioni su una base dati condivisibile. Funzioni di f i l tro, r icerca avanzata e multiselezione aiutano a identificare le informazioni mancanti, indirizzando i l loro reperimento con efficacia. Analisi semantica ed espressioni regolari, suggeriscono al proprio utente opzioni per i l popolare automaticamente più l ivelli di descrizione per diversi insiemi di asset. © BL 4 CKSWAN SRL … 10
BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: L’asset inventory alla base di tutto (3) Vulnerability Management oltre il « vuappitti » U n a s s e t i nv e n to r y m a t u ro , p e r m e tt e d i e s p r i m e rs i c o n l a fa c i l i tà c h e o g g i c i v i e n e r i c h i e s ta d a l M a n a ge m e nt . chiunque però con Sia chiaro! La cara vecchia vista in stile excel rimane, e autorizzato avrà modo di vedere le solite informazioni... qualche chicca e funzionalità in più. ☺ Rispondere alle domande del Management in un lampo, o con due tocchi di polpastrello, non ha prezzo ( se non quello di aver costruito e popolato l’ asset inventory). © BL 4 CKSWAN SRL … 11 ...e Dashboard fu! ...e per chi la minestra la preferisce riscaldata...
BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: fallo con il vuappitti J.A.R.V.I.S. Vulnerability Management oltre il « vuappitti » A s s e t I nve n t o r y a p a r t e , J A R V I S s u p p o r t a i l V M c o n w o r k f l o w « i n t e l l i ge nt i » p e r c i a s c u n a fa s e d e l p ro c e s s o Assessment Compatibile con i principali network e vulnerability scanner. Introduce meccanismi di coordinamento uniformando output Semplifica la lettura di dati provenienti da più fonti eterogenee. Analytics Segnala quali problematiche hanno un impatto sulla compliance. Segnala nuovi exploit sul mercato, modificando eventuali severity rating. Facilita la valutazione del rischio collegandosi a fonti dati aperte e chiuse. Remediation Traccia i flussi collaborativi e autorizzativi finalizzati ad una change request. Suggerisce contromisure in linea con best practice CERT.CC e CWE. Integra analisi what- if a supporto della corretta pianificazione delle azioni Controllo Monitora ( tra tante cose): Porte e servizi insicuri e lo stato di bonifica SSL. Una widget- based dashboard per essere sempre sotto controllo. Monitora il rating di system hardening secondo metriche CISSecurity. Pianificazione Segnala asset non auditati in un dato timeframe. Suggerisce audit program basati su indicazioni di norme di settore. Media e traccia lo scambio documentale con terzi. © BL 4 CKSWAN SRL … 12
Vulnerability Management oltre il "vuappittì"

Recommended

...Fallo con jarvis
...Fallo con jarvis...Fallo con jarvis
...Fallo con jarvis
BL4CKSWAN Srl
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
BL4CKSWAN Srl
 
UNINFO - BIG DATA & Information Security Standards - Guasconi
UNINFO - BIG DATA & Information Security Standards - GuasconiUNINFO - BIG DATA & Information Security Standards - Guasconi
UNINFO - BIG DATA & Information Security Standards - Guasconi
BL4CKSWAN Srl
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
BL4CKSWAN Srl
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 

Recommended

...Fallo con jarvis
...Fallo con jarvis...Fallo con jarvis
...Fallo con jarvis
BL4CKSWAN Srl
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
BL4CKSWAN Srl
 
UNINFO - BIG DATA & Information Security Standards - Guasconi
UNINFO - BIG DATA & Information Security Standards - GuasconiUNINFO - BIG DATA & Information Security Standards - Guasconi
UNINFO - BIG DATA & Information Security Standards - Guasconi
BL4CKSWAN Srl
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
BL4CKSWAN Srl
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
Christy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
MindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
Alireza Esmikhani
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Project for Public Spaces & National Center for Biking and Walking
 

More Related Content

Featured

Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
 

Featured (20)

AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
 
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
 
ChatGPT webinar slides
ChatGPT webinar slidesChatGPT webinar slides
ChatGPT webinar slides
 
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike RoutesMore than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
 

Vulnerability Management oltre il "vuappittì"

  • 1. Vulnerability Management oltre il «vuappìttì» S E C U R I T Y S U M M I T , 1 4 M a r z o 2 0 1 7 , M I L A N O @franarchic Francesco MORINI
  • 2. BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (1) Vulnerability Management oltre il « vuappitti » A chi mi dice, quando s i parla di Vulnerability Management , che lui lo fa... Io vorrei r i spondere... « Sei proprio un somaro WAPITI» © BL 4 CKSWAN SRL … 2
  • 3. BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (2) Vulnerability Management oltre il « vuappitti » I l Vulnerability Management è un processo per la gestione di vulnerabilità infrastrutturali, di sistema e applicative , r i levabili mediante vari t ipi di security audit, quali Appunto – un processo. Il «vuappitti» può esserne considerato eventualmente solo una fase. Non sempre si ha chiaro quando il target di un vuappitti è una rete di server, un’applicazione, o entrambi Anche altre attività quali configuration review e firewall audit dovrebbero trovare posto in qualsiasi audit program. vulnerability assessment, penetration testing e code review . Anche questa tematica ci vede indietro, ma dobbiamo dare precedenza ai prerequisiti. La virgola è li per separare il «vua» dal «ppitti». Sono due attività distinte che producono output diversi. © BL 4 CKSWAN SRL … 3
  • 4. BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (3) Vulnerability Management oltre il « vuappitti » Possibili interpretazioni del termine vuappìttì (vuh-ah -pp -ìttì): Ef fe tti collaterali derivanti dall’uso improprio del termine: Qualsiasi azienda munita di licenza per un security scanner è ora leggittimata a presentarsi al mercato in qualità di CVP: Certified «Vuappitti» Provider I tempi di consegna medi per un report di vuappitti diventano di 3 settimane. Ovviamente per rispettare la deadline... Fanno solo un VA (male) L’allegato economico della vecchia offerta di VA viene ritoccato per riflettere le best practice di settore; quello tecnico... aspe... c’è un allegato tecnico? ignoravo cercato Una razza di cervo nobile di cui l’esistenza fino a quando ho vuappitti su Google Immagini... opensource che non per l’omonimo, più Un security scanner vuole essere usato disonorevole scopo. Fenomeno dove il cliente paga due attività distinte, e il fornitore ne eroga una sola (anche trimestralmente). © BL 4 CKSWAN SRL … 4
  • 5. 5© BL 4 CKSWAN SRL BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (4) Vulnerability Management oltre il « vuappitti » ...i conti della serva... Se un’ infrastruttura opera 2 virtual center, con 20 sistemi MS e 20 Centos...! VC = (1*2)+(195 *20)+(31*20) = 4.522 vulnerabilità CRITICHE ...ma è solo la punta dell’ iceberg! Con i conti fatti copriamo, salvo eccezioni, quasi esclusivamente sistemi operativi... e gli altri strati? Vulnerabilità in aumento... Lo si dice dalla notte dei tempi – i trend sono in forte crescita – cosa implica in soldoni? 1 .061 vulnerabilità totali 489 critiche 745 vulnerabilità totali 79 critiche 51 vulnerabilità totali 4 critiche * Fonte: http:// www. cv ed…etails. com / ag g.16.03.2017 Vulnerabilità by Vendor 2015 -2016 * Ovviamente non possiamo considerare tutte queste vulnerabilità applicabili (?), prendiamo in considerazione solo un 40% delle critiche. Occhio - si parla solo di un 40 % di vulnerabilità ( critiche) su di un numero ristretto di sistemi... ...e solo per il biennio 2015 - 16. Servizi DatabaseMiddleware App. OTFApp. Custom Siti Web Rete MobileWorkstation
  • 6. BL4 CKSWAN SRL info@ bl4ckswan. com Perchè il Vulnerability Management non è... il «vuappitti» (5) Vulnerability Management oltre il « vuappitti » Qu indi , al «fine st ratega » ch e sost iene di gesti re il prop rio pro cesso di vulnera bility man age ment co n il « vuappìttì » gli chiedo: Ma oltre al report di «vua», dove sta il report di «ppitti»? Come gestisci il rischio che 4500 + vulnerabilità comportano nelle tue finestre di compliance auditing? Quante segnalazioni richiedono effettivamente un intervento rapido e risolutivo? ... © BL 4 CKSWAN SRL … 6
  • 7. BL4 CKSWAN SRL info@ bl4ckswan. com Enrollment dei nodi e asset desiderati nell’ audit program. Raccolta e archiviazione di audit evidence. Integrare info aperte per comprendere il vero impatto. Applicare remediation. Incorporare cambi nel contesto nelle logiche di gestione. Integrazione con policy aziendali per delineare modalità di analisi. Confermare coerenza tra risultati dell’ attività e gli obiettivi prefissati. Confermare l’ effettiva presenza di una vulnerabilità. Confermare con risoluzione di una vulnerabilità con analisi di followup. Monitorare il rischio in modo continuo. Uniformazione di metodologie e reporting per interni e terzi. Integrare info interne per identificare su cosa può impattare la segnalazione. Selezionare l’ opzione di remediation più opportuna. Monitorare la risoluzione delle problematiche. Vulnerability Management: Processo Vulnerability Management oltre il « vuappitti » Processo mirato al rileva mento e alla gestione del rischio derivante dalla presenza di vulnera bilità. Pianificazione Assessment Analytics Remediation Controllo Formalizzazione e raccolta manleve e accordi operativi. © BL 4 CKSWAN SRL … 7
  • 8. BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: Processo che non va? Vulnerability Management oltre il « vuappitti » Pianificazione Assessment Analytics Remediation Controllo Sembra facile, eppure si sollevano tanti problemi in ciascuna fase... Pe rchè? Non so quali applicazioni esposte su rete pubblica sono state testate l’ anno passato. Uno in html, l’ altro in pdf, poi l’ Excel... Nessuno sa dirmi se èquesta vulnerabilità presente su qualche sistema business- critical? Le vulnerabilità sono tante e diverse – ok – ma ci sarà un punto da cui converrà partire? Mai che il management mi chieda un particolare in più e che sia capace di rispondere all’ istante. © BL 4 CKSWAN SRL … 8
  • 9. BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: L’asset inventory alla base di tutto Vulnerability Management oltre il « vuappitti » Se non sai che esiste... Un cliente di dimensioni medio- piccole può avere una vaga idea di ciò che c’è anche senza un processo di asset management. Un cliente enterprise non si può permettere lo stesso lusso. Se non sai cosa fa... La maggior parte degli inventory esaminati durante asset audit interni o di seconda parte risultano mancare di un adeguato livello di descrizione, e uno strato di relazionamento tra le dimensioni IT. Se non lo vuoi fare... Si ha l’ impressione che gran parte degli IT Manager percepisca l’ asset come chiuso l’influenza.. nelle giuste management evitabile se stanze. ...non farai il salto di qualità Avere un asset inventory aggiornato e correttamente popolato introduce il mondo dell’ informatica al mondo del relazionamento IT- organizzativo. Manca un inv entario degli asset , realmente utile #foglioexceldi20 meganonaggiornato #elencodiipsenzahostname #elencodihostnamesenzaip#nonsoqualisianoleapplicazionimasonocritiche #file.csvchenessunoriesceadaprire #assetinventoryenterprisechenessunohamaiconfigurato © BL 4 CKSWAN SRL … 9
  • 10. BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: L’asset inventory alla base di tutto (2) Vulnerability Management oltre il « vuappitti » Una rete ospita nodi infrastrutturali... Che possono presentare vulnerabilità... Che comportano un rischio per varie dimensioni aziendali o organizzative. Subnets Networks Entities Una base dati che mette in relazione perimetri fisici, reti, infrastrutture fisiche e virtuali, applicazioni e processi consente di esercitare un controllo totale su qualsiasi ambito – non solo il Vulnerability Management. Nonostante la generazione di un asset inventory maturo richieda tempo e risorse, possiamo ottenere già oggi qualcosa di valido e utilizzabili sfruttando qualche procedura automatizzata e ( sigh)... un vuappitti: I raw degli scanner consentono di censire gli host, servizi o applicativi e quanti più informazioni su una base dati condivisibile. Funzioni di f i l tro, r icerca avanzata e multiselezione aiutano a identificare le informazioni mancanti, indirizzando i l loro reperimento con efficacia. Analisi semantica ed espressioni regolari, suggeriscono al proprio utente opzioni per i l popolare automaticamente più l ivelli di descrizione per diversi insiemi di asset. © BL 4 CKSWAN SRL … 10
  • 11. BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: L’asset inventory alla base di tutto (3) Vulnerability Management oltre il « vuappitti » U n a s s e t i nv e n to r y m a t u ro , p e r m e tt e d i e s p r i m e rs i c o n l a fa c i l i tà c h e o g g i c i v i e n e r i c h i e s ta d a l M a n a ge m e nt . chiunque però con Sia chiaro! La cara vecchia vista in stile excel rimane, e autorizzato avrà modo di vedere le solite informazioni... qualche chicca e funzionalità in più. ☺ Rispondere alle domande del Management in un lampo, o con due tocchi di polpastrello, non ha prezzo ( se non quello di aver costruito e popolato l’ asset inventory). © BL 4 CKSWAN SRL … 11 ...e Dashboard fu! ...e per chi la minestra la preferisce riscaldata...
  • 12. BL4 CKSWAN SRL info@ bl4ckswan. com Vulnerability Management: fallo con il vuappitti J.A.R.V.I.S. Vulnerability Management oltre il « vuappitti » A s s e t I nve n t o r y a p a r t e , J A R V I S s u p p o r t a i l V M c o n w o r k f l o w « i n t e l l i ge nt i » p e r c i a s c u n a fa s e d e l p ro c e s s o Assessment Compatibile con i principali network e vulnerability scanner. Introduce meccanismi di coordinamento uniformando output Semplifica la lettura di dati provenienti da più fonti eterogenee. Analytics Segnala quali problematiche hanno un impatto sulla compliance. Segnala nuovi exploit sul mercato, modificando eventuali severity rating. Facilita la valutazione del rischio collegandosi a fonti dati aperte e chiuse. Remediation Traccia i flussi collaborativi e autorizzativi finalizzati ad una change request. Suggerisce contromisure in linea con best practice CERT.CC e CWE. Integra analisi what- if a supporto della corretta pianificazione delle azioni Controllo Monitora ( tra tante cose): Porte e servizi insicuri e lo stato di bonifica SSL. Una widget- based dashboard per essere sempre sotto controllo. Monitora il rating di system hardening secondo metriche CISSecurity. Pianificazione Segnala asset non auditati in un dato timeframe. Suggerisce audit program basati su indicazioni di norme di settore. Media e traccia lo scambio documentale con terzi. © BL 4 CKSWAN SRL … 12