martedì 30 aprile 2019

CSA IoT Security Controls Framework

Il Cloud Security Alliance (CSA) ha pubblicato una lista di misure di sicurezza da prevedere per l'IoT dal titolo "CSA IoT Security Controls Framework":
- https://cloudsecurityalliance.org/artifacts/iot-security-controls-framework.

Questa lista è accompagnata da una guida "CSA Guide to the IoT Security Controls Framework":
- https://cloudsecurityalliance.org/artifacts/guide-to-the-iot-security-controls-framework/.

Per scaricare i documenti è necessario registrarsi (ma è possibile farlo anche usando dati totalmente inventati).

Il tutto sembra destinato soprattutto a organizzazioni che vogliono usare dispositivi IoT.

La lista non è certo agile, visto che si tratta di 160 controlli. Il suo utilizzo richiede la capacità di adattarla alle proprie esigenze (io, per esempio, trovo eccessivamente numerosi i controlli dedicati alla valutazione del rischio; però sono contento che alla gestione degli incidenti siano dedicati solo 2 controlli). Può comunque essere utile a chiunque voglia produrre o usare dispositivi o sistemi per l'IoT.

La notizia l'ho vista inoltrata da un post di LinkedIn di Laura  Zarrillo (che a sua volta ha fornito un link di continuitycentral.com). Per vederlo è necessario essere iscritti a LinkedIn:
- https://www.linkedin.com/feed/update/urn:li:activity:6528994891962425344

Gli standard EN 50600 e ISO/IEC TS 22237 per i data center

Ho scritto un breve articolo di compilazione sullo standard ISO/IEC TS 22237 sui data center. Si tratta, se posso semplificare e quindi essere criticato, della "risposta europea" al "Tier Standard: Topology" dell'Uptime Instititue e all'ANSI TIA-942.

Infatti la ISO/IEC TS 22237 nasce dalle norme europee EN 50600.

Il mio articolo:
- https://www.ictsecuritymagazine.com/articoli/gli-standard-en-50600-e-iso-iec-ts-22237-per-i-data-center/.

Bollettino MELANI 2/2019

Il rapporto semestrale della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI (della Confederazione Svizzera) è a mio parere uno dei documenti più interessanti. Segnalo quindi il rapporto relativo alla seconda metà del 2018, uscito in questi giorni:
- https://www.melani.admin.ch/melani/it/home/dokumentation/bollettino-d-informazione/melani-halbjahresbericht-2-2018.html.

I temi "caldi" sono l'IoT, la «fake sextortion» e la compromissione delle utenze di Office 365.

domenica 28 aprile 2019

Microsoft e il cambio delle password

Sul SANS NewsBites del 26 aprile trovo la notizia che Microsoft riconosce l'inutilità di forzare il cambio delle password:
- https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/.

Questo in realtà si trova in un'idea per la prossima versione delle Security baselines di Windows: non avere più come default la richiesta di cambio periodico delle password.

Questa posizione è la stessa assunta dal NIST quasi due anni fa e di cui avevo già parlato all'epoca:
- http://blog.cesaregallotti.it/2017/08/del-nist-e-della-lunghezza-e.html.

Ricordo che "si ritiene preferibile lasciare liberi gli utenti di scegliere le proprie password, purché di almeno 8 caratteri e non presenti in una blacklist di password troppo facili". Purtroppo non sembra che i futuri sistemi Windows automatizzeranno queste blacklist. Anzi, il post di Microsoft dichiara che è compito degli utilizzatori realizzare le blacklist o meccanismi di autenticazione a più fattori (multi-factor authentication).

Di primo acchito, non mi pare un miglioramento (sappiamo quanto siano spesso superficiali molti amministratori di sistema; semplicemente non attueranno niente di più di quello previsto dalle baseline). Inoltre mi lascia sempre perplesso l'assenza di riflessioni sull'abitudine di molti utilizzatori aziendali di scambiarsi le password e delle possibili contromisure alternative al cambio periodico delle password. C'è però la riflessione sul fatto che oggi i sisitemi MFA, con la diffusione degli smartphone, siano sempre più economici e facili da usare.

martedì 23 aprile 2019

ENISA Maturity Evaluation Methodology for CSIRTs

L'ENISA ha pubblicato un documento dal titolo "ENISA Maturity Evaluation Methodology for CSIRTs" (è l'aggiornamento di un documento del 2017):
- https://www.enisa.europa.eu/publications/study-on-csirt-maturity-evaluation-process.

Non mi piacciono molto i modelli di maturità, questo dà comunque indicazioni utili per costruire un computer security incident response team (ricordo, a questo proposito, anche la guida dell'ETSI per costruire un SOC, di cui avevo scritto a suo tempo: http://blog.cesaregallotti.it/2019/01/guida-etsi-per-un-soc.html).

mercoledì 17 aprile 2019

ITIL 4 (solo Foundation)

Axelos (la società che mantiene ITIL) da tempo aveva annunciato la pubblicazione prevista per il 2019 di ITIL 4, ossia la nuova edizione di ITIL (ricordo che la precedente edizione era la ITIL 2011, a sua volta un aggiornamento minore di ITILv3 e segnalo che si divertono molto a cambiare il modo di indicare le versioni):
- https://www.axelos.com/best-practice-solutions/itil/what-is-itil.

Interessante il fatto che al momento non risulta pubblicato ITIL 4, per lo meno come lo intenderemmo dopo aver visto i 5 (non agili) volumi di ITILv3 e ITIL 2011. Risulta pubblicato solo il manuale per sostenere l'esame ITILv4 Foundation.

L'esame è disponibile dal 28 febbraio:
- https://www.axelos.com/certifications/itil-certifications/itil-foundation-level.

Da quanto è scritto sul sito di Axelos, ITILv4 ruoterà interno al concetto di "sistema del valore del servizio" (service value system, SVS) e si concentrerà sulla "co-creazione del valore attraverso le relazioni determinate dal servizio". Il SVS rappresenta come i componenti e le attività possono lavorare insieme per facilitare la creazione del valore attraverso i servizi.

Tanti bei paroloni (appare, ma non l'ho riportato, anche "olistico", che è un indicatore del livello di fuffa di un testo). Ho i miei timori.

PS: ho scritto una breve analisi del manuale di ITIL 4 Foundation: http://blog.cesaregallotti.it/2019/05/itil-4-foundation-i-contenuti.html. 

sabato 13 aprile 2019

Mio articolo su sicurezza e selezione del personale

Segnalo questo mio articolo dal titolo "Sicurezza e selezione del personale":
- https://www.ictsecuritymagazine.com/articoli/sicurezza-e-selezione-del-personale/.

Si tratta di alcune mie riflessioni sulla materia. Sicuramente alcuni non concorderanno con alcune mie posizioni; nel caso, sono aperto a ricevere controdeduzioni.

15 aprile 1999-2019: 20 di consulenza in sicurezza delle informazioni

Il 15 aprile 1999 iniziai a lavorare come consulente di sicurezza delle informazioni.

Più che altro, entrai negli uffici di Securteam di Milano e mi diedero da studiare ITSEC e la metodologia aziendale Defender (dopo pranzo ebbi anche un abbiocco!).

Erano altri tempi: la BS 7799 (oggi ISO/IEC 27001) era roba per pochi, il DPR 318 non era ancora stato pubblicato, la prima certificazione italiana in materia di sicurezza delle informazioni non era stata neanche pensata e si pensava che "sicurezza delle informazioni" fosse un'espressione più significativa di "sicurezza informatica" (e non si parlava proprio di "cyber-security"). Per contro c'era già chi parlava di "visione olistica della sicurezza" e "sicurezza a 360 gradi".

Fui assunto da Securteam grazie all'apprezzamento che ebbi da Giulio Carducci dopo il colloquio fissato grazie all'invio del mio CV "a pioggia" (in cui dicevo che non sapevo quasi nulla di sicurezza delle informazioni, ma avevo fatto la tesi su crittorafia e crittanalisi). E poi negli uffici di Securteam trovai Maurizio (il responsabile dell'ufficio di Milano), Andrea, Laura, Donatella e Nino. Li anonimizzo perché è da tanto che non li sento, anche se sento che un filo di amicizia "silenziosa" ci leghi ancora tutti.

A loro va tutto il mio affetto e la mia stima e i miei ringraziamenti. Mi insegnarono a lavorare nel rispetto dei clienti, a studiare come un pazzo per svolgere al meglio il mio lavoro, a confrontarmi con i colleghi e a divertirmi a fare consulenza. Mi insegnarono anche che quella era la mia strada: loro lo avevano capito, mentre io nutrivo ancora dubbi.

venerdì 12 aprile 2019

Approvato il EU Cybersecurity Act

Alessandro Cosenza di BTicino mi ha segnalato che il 9 aprile, il Consiglio UE ha approvato definitivamente il Cyber security Act. La pagina ufficiale del Consiglio con l'atto:
- https://www.consilium.europa.eu/it/press/press-releases/2019/04/09/legislative-acts-adopted-by-the-general-affairs-council/

Dalla pagina è possibile scaricare il testo definitivo e accedere al comunicato stampa (di dicembre, ma evidentemente ancora valido):
- https://www.consilium.europa.eu/it/press/press-releases/2018/12/19/eu-to-become-more-cyber-proof-as-council-backs-deal-on-common-certification-and-beefed-up-agency/.

Nei prossimi giorni sarà pubblicato in Gazzetta Europea. Ricordo che si tratta di un Regolamento e pertanto non deve essere recepito dai singoli Stati membri.

Ora credo che il punto più importante da guardare per il futuro riguarderà gli schemi di certificazione che saranno promossi, senza sottovalutare le attività di miglioramento della sicurezza promosse da ENISA.

mercoledì 10 aprile 2019

Stato delle norme ISO/IEC 27xxx - Aprile 2019

La prima settimana di aprile 2019 a Tel Aviv (Israele) si è concluso l'incontro semestrale del ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa della redazione delle norme della serie ISO/IEC 27000.

Al WG 1 (quello che si occupa della ISO/IEC 27001 e delle norme ad essa collegati) i registrati erano 143; al WG 5 (quello che si occupa di norme relative alla privacy) i registrati erano 139. La delegazione italiana era composta da ben 4 persone distribuite tra i WG 1, 4 e 5 (ringrazio quindi Fabio Guasconi, Alessandro Cosenza e *dato anonimizzato* per avermi aiutato anche con questa mia relazione).

Durante questo meeting, molte norme erano o in stato troppo avanzato o in stato troppo arretrato e quindi le discussioni erano relative o ai dettagli editoriali o all'impostazione del documento. In generale, quindi, poco interessanti.

Come sempre, segnalo le cose a mio parere più interessanti. Infatti i temi sono stati molto numerosi.

Per quanto riguarda le norme legate alla ISO/IEC 27001:
- la ISO/IEC 27001 per il momento non si tocca, ma nel prossimo futuro sarà aggiornata per essere pubblicata intorno al 2021 per includere la nuova lista dei controlli, per recepire le nuove richieste editoriali per tutti gli standard (p.e. la richiesta di avere termini e definizioni all'interno dello stesso documento, mentre oggi sono nella ISO/IEC 27000) e per discutere dell'utilità della Dichiarazione di applicabilità;
- per la ISO/IEC 27002, la discussione ha riguardato soprattutto quali controlli includere, quali eliminare e quali unire; si spera di affrontare discussioni più tecniche dal prossimo meeting;
- la ISO/IEC 27005 è ritornata al via e quindi la discussione ha riguardato l'impostazione; su questa norma, segnalo che il BSI ha pubblicato un suo aggiornamento; per quanto sono riuscito a leggere sembra interessante;
- per la ISO/IEC 27006, si sono affrontate alcune correzioni per la sua futura versione; purtroppo non ho seguito i lavori precedenti e, quindi, non ho contribuito come avrei voluto;
- per la ISO/IEC 27013, si è discusso della necessità di avviare il lavoro, visto che il gruppo che si occupa della ISO/IEC 20000 sta già pubblicando una norma simile (ISO/IEC 20000-7, che include anche riferimenti alla ISO 9001.

Il WG 1 si occupa anche di norme che richiamano più direttamente la cyber-security. In particolare, la ISO/IEC 27102 (sulle cyber-insurance) sarà promossa in "bozza finale" e quindi sarà pubblicata, dopo un ulteriore giro di controllo editoriale, a cavallo del 2019-2020.

Il WG 4 ha discusso di argomenti su cui pubblicare standard (al momento i lavori sono però molto indietro):
- IoT e domotica (in particolare la ISO/IEC 27030, linea guida su rischi, principi e controlli per la sicurezza e la privacy di IoT; attualmente al terzo working draft); per tutti i lavori IoT c'è una forte sinergia con l'SC 41;
- modello per i sistemi industriali.

Per quanto riguarda le norme legate alla privacy, segnalo che si sono conclusi i lavori sulla ISO/IEC 27552 (la norma per certificare i "sistemi di gestione per la privacy") e sarà pubblicata, probabilmente, entro giugno. Però manca una norma di supporto alla certificazione. Un'idea sarebbe quella di estendere la ISO/IEC 27006 (che a sua volta è un'estensione della ISO/IEC 17021 per la ISO/IEC 27001); per discutere compiutamente dell'argomento, si è avviata una richiesta di contributi che si concluderà tra 6 mesi (su questo penso che per il momento si potrebbe usare la ISO/IEC 17021; inoltre segnalo che al momento non è previsto l'uso della ISO/IEC 17065, come richiesto dal GDPR e pertanto bisognerà valutare la questione (in questi mesi cercherò di capire meglio come funziona la certificazione dei prodotti)).

Altri lavori di interesse per quanto riguarda la privacy:
- proseguiti i lavori sulla ISO/IEC 29184 sull'informativa e il consenso online;
- proseguiti i lavori anche su ISO/IEC 27045 dal titolo "Big data security and privacy – Processes" (per definire modelli di riferimento, valutazione e maturità del processo per il dominio della sicurezza e della privacy dei big data); altre norme legate ai big data sono le ISO/IEC 20546 e 20547.

Infine, importantissimo e sempre relativamente alla privacy, è con orgoglio che segnalo che un membro della delegazione italiana (quello anonimo!) è editor della norma ISO/IEC 27555, sulla cancellazione dei dati personali.

Il prossimo meeting sarà a ottobre a Parigi.

venerdì 5 aprile 2019

CIS Controls v 7.1

Franco Vincenzo Ferrari del DNV GL mi ha segnalato la pubblicazione della versione 7.1 dei CIS Controls.

Avevo già parlato della versione 7 e non mi ripeto:
- http://blog.cesaregallotti.it/2018/03/i-controlli-di-sicurezza-del-cis.html.


La pagina da dove scaricare il materiale:
- https://www.cisecurity.org/controls/.

mercoledì 3 aprile 2019

Sulle valutazioni del rischio oggettive (e quantitative)

In questi pochi mesi sto assistendo ad un ritorno dell'idea delle valutazioni del rischio quantitative e su quelle oggettive.

Pierfrancesco Maistrello mi ha ricordato, tra le altre cose, che c'è un Provvedimento del Garante sul data breach:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9076378.

In un paragrafo, c'è scritto: "VISTI i considerando nn. 75 e 76 del Regolamento che suggeriscono che, di norma, nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbe essere determinati in base a una valutazione oggettiva".

Io e Pierfrancesco siamo d'accordo nel dire che si possono anche seguire approcci qualitativi (con valori semplici come "alto", "medio" e "basso"), ma i valori assegnati vanno giustificati, dimostrando così l'oggettività della valutazione. Sempre Pierfrancesco mi ricorda che un'ulteriore attività di supporto all'oggettività è la conduzione di un vulnerability assessment.

Delle valutazioni del rischio quantitative ho già scritto in passato e ripeto in sintesi i punti: i dati a disposizione sono troppo pochi e inaffidabili e valutazioni quantitative (se pure fossero possibili) richiederebbero un eccessivo dispendio di energie senza apprezzabili miglioramenti.

PS: più recentemente ho visto anche valutazioni del rischio sulla salute dei lavoratori e anch'esse sono spesso di tipo qualitativo (anche perché diventa difficile assegnare un valore economico alla vita delle persone).

Sistemi di sorveglianza e sicurezza

Un mio articolo per ICT Security Magazine dal titolo "Sistemi di sorveglianza e sicurezza":
- https://www.ictsecuritymagazine.com/articoli/sistemi-di-sorveglianza-e-sicurezza/.

Atti del Security Summit 2019 di Milano

Segnalo la pubblicazione degli atti (ossia delle presentazioni) del Security Summit 2019 organizzato dal Clusit e che si è tenuto a Milano il 12, 13 e 14 marzo:
- https://securitysummit.it/event/Milano-2019/atti.

Personalmente ho assistito a poche presentazioni. Leggendo le slide, ecco quelle che mi hanno interessato di più:
- "E se fosse un attacco mirato proprio contro la tua organizzazione sapresti gestirlo", a cura di Alessio Pennasilico e Giorgio Di Grazia (presentazione principalmente didattica, e poi promotrice di uno specifico servizio);
- "Da molti giorni a pochi minuti, come fermare rapidamente gli attacchi di phishing in corso con Cofense", a cura di Angelo Salice e Claudia Pollio (simile alla precedente);
- "La tua rete, gli applicativi e i database sono performanti e protetti come vuoi, Il tuo traffico di rete è davvero il tuo, Il monitoraggio di rete ti fornisce una piena visibilità e una sicura analisi comportamentale" (promozione del prodotto Flowmon; mi è piaciuto l'approccio della presentazione, ossia la presentazione di casi reali; questo è un approccio opposto alle presentazioni precedenti, più didattiche);
- "Cloud a volo d'uccello", a cura di Daniele Catteddu (le slide le ho trovate insipide, mentre l'intervento, a cui ho assistito, mi è piaciuto molto; peccato non ne rimanga niente se non nella mia memoria);
- "Siamo sicuri della blockchain", a cura di Andrea Reghelin (in realtà, parla degli smart contract, argomento molto recente; questa presentazione facilita un primo approccio all'argomento).