Una metodologia open source per la sicurezza

Blue Abstract Technology Background

Ne aveva parlato qualche tempo fa Raoul Chiesa di OSSTMM, una metodologia di riferimento open source diventata standard internazionale per l’esecuzione di verifiche di sicurezza di qualunque livello. Open Source implica che la metodologia suggerita è utilizzabile secondo le regole della licenze Creative Commons 3.0 (Attribution-NonCommercial-NoDerivs) e  OML3 open methodology license ed il manuale è liberamente scaricabile e utilizzabile da chiunque. Dal 1 gennaio del 2001, l’OSSTMM è stato scaricato milioni di volte, in tutte le sue differenti versioni ed è utilizzata da organizzazioni di tutte le dimensioni, operanti in diverse categorie di mercato, dallo U.S. Treasury Department sino alla Marina militare dell’India.

A cosa serve e come funziona?

Chiunque, per qualunque tipologia di attività penetration test, vulnerability assessments, security assessments, ethical hacking, ecc, può applicare la metodologia descritta nel manuale. “Seguendo tale metodologia – spiega Paolo Giardini, esperto di sicurezza e direttore di OPSI, Osservatorio Nazionale Privacy e Sicurezza Informatica – si potranno ottenere risultati che, essendo derivati da attività verificate e testate, potranno essere utilizzati per misurare il livello di sicurezza di un sistema o di un’azienda con  la certezza che tale risultato sia reale ed obiettivo, ovvero non legato alla esperienza e capacità di chi effettua le attività ma legato ad una metrica standardizzata e verificabile. Ovviamente  non parlo di capacità tecniche che chiaramente sono indispensabili, ma di capacità ed esperienza nella valutazione dei risultati ottenuti. Inoltre l’introduzione dalla versione 3 delle metriche RAV permette anche a non tecnici di  comprendere i risultati e di avere un focus sulla situazione della sicurezza del sistema testato”.

La metrica RAV si basa sul calcolo bilanciato di Porosity (il grado di esposizione che è necessario mantenere per offrire servizi interattivi), Controls (contromisure che innalzano il livello di sicurezza fornendo protezione da interazioni non valide o inaspettate) e Limitations (criticità di sicurezza). Secondo la metodologia OSSTMM è possibile raggiungere lo stato di Perfect Security, ovvero l’esatto bilanciamento di separazione e controlli con l’esposizione e le criticità (valore di rav pari a 100).

“Il rav non rappresenta una misurazione di rischio: non è in grado di prevedere se un particolare asset sarà attaccato da un agente di minaccia, tuttavia ne evidenzia i punti deboli e i punti di forza, e consente di misurare in modo efficace l’impatto di un possibile attacco.” – prosegue Giardini. “Grazie a queste informazioni, facilmente confrontabili nel tempo e ricalcolabili in base all’attuazione di differenti interventi correttivi, è possibile valutare i rischi con maggiore accuratezza”. La metrica RAV appare dunque uno strumento molto concreto che permette di prendere decisioni supportate da numeri e non viziate da impressioni fallaci o pressioni commerciali.

Cosa la differenzia dalle altre metodologie?

La principale differenza è intanto che si tratta di una metodologia open source.Altre metodologie – prosegue Giardini – sono closed ovvero sviluppate da un gruppo di lavoro o ente (NIST, PCI) e comunque non prevedono  contributi da parte degli utilizzatori. Tecnicamente l’utilizzo delle metriche RAV è un esempio unico di misurazione della sicurezza di un asset. Ogni aspetto di una valutazione di sicurezza è analizzato e “regolamentato”, dalla fase preliminare con la definizione delle regole di ingaggio a tutti gli aspetti da analizzare definiti nei 5 canali: Human, Physical, Wireless, Telecommunication, Data Network a cui si aggiunge la valutazione della Compliance. Nel manuale non vengono spiegate le tecniche ma elencate le valutazioni da effettuare. Ad esempio, per il canale Wireless viene richiesta la valutazione della “heat map” ma non vi sono istruzioni pratiche su come realizzare una heat map”. 

Questo permette quindi di non essere legati ad una tecnologia specifica. Un aspetto interessante ed utile sta nella modularità dell’OSSTMM: 6 moduli operativi, tantissimi task, ed un flusso logico unico nel suo insieme. Questo fa sì che, attraverso OSSTMM, si possa testare di tutto: da un singolo asset ad una intera infrastruttura, ma anche la sicurezza fisica, le guardiole degli uffici passi piuttosto che, in ambito militare, le torri di guardia.Tutte le fasi di verifica, dalla prevendita alla formulazione dell’offerta, dalla firma del contratto alla definizione del perimetro di analisi, dall’esecuzione dei test alla stesura della reportistica, sono soggette a specifiche regole di ingaggio, chiaramente definite all’interno della metodologia e sottoscritte da tutti gli analisti certificati presso ISECOM.

La metrica di sicurezza

L’esecuzione periodica di verifiche di sicurezza consente di identificare in modo preventivo eventuali inadeguatezze o non conformità ricoprendo un ruolo estremamente importante all’interno del processo di gestione della sicurezza ICT. Ma il valore di una verifica di sicurezza dipende anche dal valore degli analisti che la effettuano. Vulnerability Assessment e Penetration Test sono infatti storicamente soggetti ad alcune problematiche, che possono limitarne l’utilità; ad esempio i risultati della verifica possono non essere esaustivi, poiché il perimetro di analisi o l’approccio dei test non sono stati correttamente e formalmente definiti, oppure possono contenere dei falsi positivi e negativi, dovuti a limitazioni negli strumenti o nei metodi di test adottati oppure i risultati della verifica non sono consistenti, ripetibili, misurabili e quantificabili. Spesso accade addirittura che la reportistica non sia fruibile o facilmente confrontabile. L’obiettivo finale di una verifica conforme allo standard OSSTMM è quella invece di fornire un processo funzionale sicuro che superi queste criticità.

Chi la usa in Italia?

Ad oggi nel nostro Paese sono oltre 300 i professionisti certificati da ISECOM. A livello istituzionale la stessa Agenzia per l’Italia Digitale (AgID) ha pubblicato bandi per l’assunzione di personale per il CERT richiedendo fra le competenze le certificazioni OSSTMM.  Anche su acquistinrete.it sono presenti servizi e corsi su OSSTMM. Il CILEA, ora CINECA, Consorzio Interuniversitario per il supercalcolo, fin dal 2007 offre servizi di analisi di sicurezza basati su OSSTMM. Il CNIPA, ora Agenzia per l’Italia Digitale, ISACA ed altri enti organizzano da tempo eventi e seminari sulla metodologia. OSSTMM e le metriche RAV sono state impiegate con successo per la valutazione delle criticità di infrastrutture critiche, ad esempio  per la distribuzione di energia elettrica e gas. La metodologia OSSTMM viene impiegata per la valutazione dei sistemi degli enti certificatori per la firma digitale e sistemi PEC. Ferrovie Italiane ha appaltato un bando per una serie di servizi di analisi basati sulla metodologia OSSTMM.

I valori aggiunti: Peer Review, Open Source e Community 

Il metodo di realizzazione della metodologia prevede la peer review: esperti da tutto il mondo cooperano per far sì che ogni aspetto della metodologia sia valutato e verificato in ogni più piccolo dettaglio. “Allo stesso modo – racconta Giardini – chiunque può contribuire con segnalazioni o suggerimenti se nel corso dell’utilizzo pratico della metodologia ravvisasse una problematica  un nuovo aspetto non ancora preso in considerazione. Questo permette di poter usufruire delle conoscenze e dell’esperienza di moltissimi ricercatori e specialisti e mettere a disposizione di tutti gli utilizzatori tali conoscenze”. 

Come per tutti i progetti open source, le possibilità offerte da questa “filosofia” sono molte: dalla possibilità di usufruire dell’esperienza di altri a quella di poter contribuire allo sviluppo delle nuove versioni, che può portare a maggiore visibilità e prestigio nel settore. “Si genera un volano – conclude Giardini –  che aumenta la propria capacità all’aumento dei contributori che a loro volta beneficiano a più livelli dalla partecipazione. Allo stesso tempo anche chi non partecipa  alla community ma utilizza “in proprio” la metodologia, magari dopo aver conseguito una certificazione specifica, beneficia del prestigio e della notorietà del progetto potendo offrire ai propri clienti servizi al top, con risultati ripetibili, verificabili ed anche certificabili da parte dello stesso ISECOM”. 

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here