venerdì 20 maggio 2022

Analisi delle vulnerabilità 2021 del CISA

Il CISA è la Cybersecurity & Infrastructure Security Agency degli USA e ha
pubblicato il documento "CISA Analysis: FY2021 Risk and Vulnerability
Assessments":
- https://www.cisa.gov/cyber-assessments (bisogna poi andare nella sezione
"Attachment media").

Qui si trovano le vulnerabilità più significative evidenziate nel 2021
durante le attività di vulnerability assessment presso alcune strutture USA.
La cosa interessante è che, per ogni vulnerabilità, sono raccomandate alcune
azioni di mitigazione.

Ricorda un po' le OWASP Top 10, ma qui le vulnerabilità sono 11 e non solo
di tipo applicativo.

PS: raccomando di iscriversi alle newsletter del CISA. Spesso sono troppo
tecniche, ma ogni tanto segnalano perle come questa.

NIST SP 800-53 sui controlli di sicurezza e privacy

Franco Vincenzo Ferrari di DNV mi ha segnalato un articolo in merito al
recente aggiornamento della NIST SP 800-53A "Assessing Security and Privacy
Controls in Information Systems and Organizations". Questa linea guida si
trova qui:
- https://csrc.nist.gov/publications/detail/sp/800-53a/rev-5/final.

Essa riporta le modalità per verificare le misure di sicurezza riportate
dalla NIST SP 800-53.

A me sembrano documenti eccessivamente lunghi (la 53 è di quasi 500 pagine,
la 53A è di più di 700 pagine) e si rischia di spostare l'attenzione della
sicurezza alla decifrazione e compilazione di lunghe liste.

Esiste anche una 53B, che fornisce le "baseline", ossia i controlli da
selezionare a seconda del livello di sicurezza che si vuole raggiungere
(solo privacy, basso, medio, alto, indefinito).

L'articolo di cui sopra è reperibile a questo indirizzo:
-
https://www.cybersecurity360.it/soluzioni-aziendali/controlli-di-sicurezza-e

martedì 10 maggio 2022

Valutazione con il Framework nazionale per la cybersecurity e la data protection

Chiara Ponti degli Idraulici della privacy ha segnalato la pubblicazione della "Metodologia per il cybersecurity assessment con il Framework Nazionale per la Cybersecurity e la Data Protection" del settembre 2021:
- https://www.cybersecurityframework.it/.

Glauco Rampogna ha sintetizzato così: il framework viene ripreso e indicato come riferimento nel regolamento AgID/ACN. Potrebbe essere usato per la classificazione dei dati e servizi delle PA, che dovrà essere mandato entro il 18 luglio ad ACN. Il framework stesso è un insieme di richiami a ISO, Cobit, GDPR, 196, NIST, MMS AgID, NIS, insomma un mega cherry picking.

Davide Foresti suggerisce di usare le contestualizzazioni:
- https://www.cybersecurityframework.it/contestualizzazioni.

E' noto che non sono un fan di questa iniziativa, anche se ha i suoi estimatori (in sintesi, penso che sia stato un errore utilizzare lo schema NIST e non le ISO/IEC 27001 e ISO/IEC 27002, frutto di un lavoro internazionale e condiviso).

Per quanto riguarda le contestualizzazioni, ne sono proposte 4. Il primo sulle PMI è su web e non si può scaricare (non sembrerebbe male), il secondo del Comune di Marsciano è in sostanza l'elenco delle misure minime, il terzo di Civita Castellana non è raggiungibile, il quarto di ASSECURE mette su qualche linea qualche dettaglio in più, oltre a dare il livello di priorità.

Di base la contestualizzazione aggiunge le colonne priorità e maturità agli elementi del core in modo da indicare quali sono quelle auspicate per un certo ambito (o profilo). In questo modo, alcune sottocategorie non vengono più considerate per alcuni ambiti. Penso che questa idea delle contestualizzazioni sia molto positiva (contesto quindi l'insieme di partenza dei controlli, non questa idea).

Per quanto riguarda il "il cybersecurity assessment", non ho studiato bene il metodo di calcolo. In sostanza dice:
- fai la contestualizzazione (ossia quello che ritieni debba essere fatto), dove ogni controllo può essere suddiviso in elementi e a ogni controllo è data una priorità;
- verifica cos'hai fatto e per ogni controllo indica quanto hai coperto i suoi elementi (da 0 a 5) e con che livello di maturità (da 1 a 5);
- fai un calcolo e ottieni a che punto sei.

L'introduzione degli elementi mi sembra un'inutile elemento di complessità e la complessità non fa bene alla sicurezza. E poi mette insieme la copertura con la maturità, creando ulteriori sovrapposizioni probabilmente evitabili.

sabato 7 maggio 2022

Le password più comuni del 2021

Stefano Ramacciotti mi ha segnalato questo sito con le password più comuni
del 2021:
- https://nordpass.com/it/most-common-passwords-list/.

Il bello è che è possibile analizzarle anche per ogni Paese e non solo per
gli USA come spesso accade.

venerdì 6 maggio 2022

Newsletter di NCSC di metà 2022

Segnalo, come sempre, la newsletter del Centro nazionale per la
cibersicurezza NCSC della Confederazione svizzera:
-
https://www.ncsc.admin.ch/ncsc/it/home/dokumentation/berichte/lageberichte/h
albjahresbericht-2021-2.html
.

Come sempre, si tratta di un ottimo prodotto: sintetico, corretto, ben
strutturato.

Però la parte sugli attacchi alla filiera di fornitura, questa volta, mi
sembra affrontata al solito livello a cui mi avevano abituato.

Aggiornamento su NIST SP 800-161 sulla supply chain

Il NIST ha pubblicato la SP 800-161r1 (aggiornamento della SP 800-161) con
titolo " Cybersecurity Supply Chain Risk Management Practices for Systems
and Organizations":
- https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final.

Ne avevo già parlato criticamente in occasione dell'uscita della prima
versione (https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final).
Mi sembra che siano migliorate alcune descrizioni di minacce, ma penso che
sia comunque troppo prolisso.