Ecco la terza ed ultima puntata della piccola guida introduttiva per (cominciare a) di diventare esperti in materia di cybersecurity, qualora la frequentazione di un apposito corso di laurea non fosse (stata) possibile. Riportiamo di seguito, per comodità, l’elenco degli argomenti principali (nella prima puntate avevamo esaminato i primi otto).
Applicazione Web e sicurezza dei browser
- Sicurezza delle reti e dei protocolli informatici
- Sicurezza interna dei sistemi operativi
- Valutazioni di sicurezza, test di penetrazione
- Tools e frameworks per gestire la sicurezza
- Crittografia e protocolli di sicurezza
- Sicurezza in ambienti virtualizzati e soluzioni cloud
- Hardware, firmware e soluzioni embedded
- Norme e policies
- Intrusion detection
- Monitoraggio e gestione degli incidenti
- Repertorio di attacchi informatici
Alessandro Fontana, ingegnere elettronico specializzato in cyber security ed intelligenza artificiale
- NORME E POLICIES
Oggi le organizzazioni sono sottoposte ad una forte pressione per sviluppare e mantenere adeguate capacità di difesa e intelligence nel cyberspazio, far rispettare il diritto penale e ridurre il rischio nelle infrastrutture critiche. Lo sviluppo di un dialogo globale sulla sicurezza informatica è essenziale per la stabilità e la sicurezza a lungo termine del cyberspazio e richiede una collaborazione a livello internazionale. Microsoft ha messo in evidenza cinque importanti principi che dovrebbero essere alla base delle discussioni internazionali sulle norme di sicurezza informatica: 1) armonizzazione; 2) riduzione del rischio; 3) trasparenza; 4) proporzionalità; 5) collaborazione.
Ecco alcune delle principali norme e policies in ambito cybersecurity:
– IEC 62443
– ISO 2700x
– ISO/SAE 21434
– TISAX
– UNECE WP.29 R.155-56-57
Risorse formative:
* IT security standards (Wikipedia): https://en.wikipedia.org/wiki/IT_security_standards
* Automotive Cybersecurity with ISO 21434, CSMS & SUMS (Vector): https://www.youtube.com/watch?v=NlRw9d_NAr4
- INTRUSION DETECTION
Nonostante tutte le misure preventive, messe in atto per evitare gli incidenti di sicurezza, la possibilità di accadimento degli stessi non puo’ mai esclusa. Un intrusion detection system (IDS) è un dispositivo software o hardware utilizzato per identificare accessi non autorizzati a computer o reti. Se il sistema è anche in grado di bloccare i tentativi di intrusione, si parla di “intrusion and prevention”.
Un’importante distinzione tra gli IDS si basa sulle tecniche utilizzate. I sistemi “signature-based” controllano una serie di tracce o “firme” tipiche di vari tipi di scenari di intrusione noti. I sistemi “anomaly-based” costruiscono un modello del funzionamento del sistema in condizioni normali, ottenuto da misure statistiche ed euristiche; le potenziali anomalie vengono poi identificate come deviazioni da tali condizioni. I sistemi “signature-based” sono piu’ affidabili ma, per definizione, sono solo in grado di identificare minacce già note. I sistemi “anomaly-based” sono teoricamente in grado di identificare nuove minacce, ma possono presentare un elevato numero di falsi positivi.
_ Risorse formative:
* Intrusion detection with SNORT https://youtu.be/Gh0sweT-G30
* IDPS – A global legal and technological perspective https://youtu.be/Bn9a_Yy-Xw0
- MONITORAGGIO E GESTIONE DEGLI INCIDENTI
Una parte importante di ogni processo di cybersecurity è costituita dalla gestione degli incidenti di sicurezza. Questa attività ha l’obiettivo di identificare ed analizzare gli incidenti, e di apportare modifiche per evitare il ripetersi di altri incidenti in futuro. Nell’ambito di un’organizzazione strutturata, esiste normalmente un team di risposta agli incidenti, un team di gestione degli incidenti, e un sistema di controllo degli incidenti. Una parte integrante del processo è inoltre costituita dall’attività di “threat intelligence”, che ha l’obiettivo di identificare potenziali minacce utilizzando tutte le informazioni disponibili.
_ Risorse formative
* How to build an automotive cybersecurity incident response team (Bosch) https://www.youtube.com/watch?v=KCmgkkVseOk
* Penetration Testing, Incident Response and Forensics (Coursera) https://www.coursera.org/learn/ibm-penetration-testing-incident-response-forensics/home/week/3
- REPERTORIO DI ATTACCHI INFORMATICI
Se le norme e i processi costituiscono l’architettura del sistema di gestione della cybersecurity, è altrettanto importante conoscere i principali attacchi informatici: una conoscenza che deve essere costantemente aggiornata. Di seguito un elenco di alcuni attacchi e/o vulnerabilità, unitamente a risorse per consentire il continuo tracciamento degli stessi.
Attacchi e vulnerabilità:
– Black hole attack
– Broken Access
– Broken Authentication
– Brute Force Attack
– Buffer Overflow
– Code injection
– Command injection
– Cross-Site Request Forgery
– Cross-Site Scripting
– Denial of Service
– Downgrade attack
– Glitching attack
– LDAP injection
– Man in the middle attack
– NoSQL injection
– Path traversal
– Rootkit
– Ransomware attack
– Replay attack
– Reverse engineering
– Session Hijacking
– Server-Side Request Forgerty
– Side channel attack
– Spoofing
– SQL injection
_ Attacchi e vulnerabilità: malware
– Trojan horse
– Rootkits
– Backdoors
– Worm
– Virus
– Ransomware /screen-locking ransomware
– Encryption-based ransomware
– Grayware
_ Attacchi e vulnerabilità: Social engineering
– Phishing
– Email phishing
– Spear phishing
– Whaling and CEO fraud
– Voice phishing
– SMS phishing
– Social Engineer Toolkit (SET)
_ Attacchi e vulnerabilità: databases
– CVE
– MITRE ATT&CK
– CVSS
– OWASP
_ Risorse formative
* List of cyberattacks (Wikipedia) https://en.wikipedia.org/wiki/List_of_cyberattacks
* Man in the Middle Attacks & Superfish (Computerphile) https://youtu.be/-enHfpHMBo4
* Running an SQL Injection Attack (Computerphile) https://youtu.be/ciNHn38EyRc
* Phishing, vishing and smishing https://www.youtube.com/watch?v=Jtvgt3JhJBs