Traduttore automatico - Read this site in another language

lunedì 24 giugno 2024

Common Vulnerability Scoring System (CVSS) 4.0: capiamo assieme di che si tratta

Come si valutano le vulnerabilità di sicurezza di un software?

Come si può determinare la loro severità?

Come si pùò stabilire l'ordine da utilizzare per procedere all'aggiornamento del codice in caso di vulnerabilità multiple?

Queste sono solo alcune delle domande che ci si deve porre quando si gestisce la sicurezza di un sistema informatico.

Una delle possibili soluzioni passa per una organizzazione chiamata FIRST (Forum of Incident Response and Security Teams) e per uno strumento conosciuto con l'acronimo di CVSS ovvero Common Vulnerability Scoring System, ormai giunto alla versione 4.0.

La storia del CVSS si deve fare risalire al 2005 quando dopo circa due anni di studi e ricerche il National Infrastructure Advisory Council, organo consultivo del presidente degli Stati Uniti d'America, lanciò la versione 1.0. Seguirono la versione 2.0 del 2007 e la 3.0 del 2015. Il 21 ottobre 2023 è stata rilasciata la versione attuale, la 4.0.

CVSS è uno standard tecnico molto utile ma, come tutte le cose non risolve ogni genere di problema, per esempio non fornisce la misura della probabilità di quanto una vulnerabilità possa essere sfruttata da un attaccante, questo perchè essa non è determinata esclusivamente da fattori tecnici.



Come funziona CVSS 4.0.

CVSS consiste nella assegnazione di un punteggio tra 0 e 10 ad ogni vulnerabilità identificata, il punteggio indica la gravità della vulnerabilità che é tanto maggiore quanto più alto è il punteggio.

L'assegnazione del punteggio si effettua valutando 30 diversi fattori, che per comodità e omogeneità sono raggruppati in quattro categorie: Base, Threat, Environmental, Supplemental, che sono abbreviati in B,T,E ed S. Perciò quando si parla di CVSS-B si intende il valore CVSS calcolato utilizzando solo le metriche Base e ciò accade nella maggior parte dei casi.

La categoria (o metrica) Base contiene a sua volta altre due metriche: Exploitability e Impact.

Exploitability comprende quelle metriche che valutano i requisiti per sfruttare con successo la vulnerabilità.

Impact invece comprende le metriche utili a misurare l'impatto della vulnerabilità in oggetto sulla triade CIA (Confidentiality, Integrity, Availability).

Come detto, oltre alle metriche Base esistono altre tre categorie:

- Threat, che comprende solamente informazioni sulla maturità degli exploit cioè su quanto é facile sfruttare una vulnerabilità;

- Environmental, che comprende le stesse categorie della Base ma valutate secondo l'impatto sulla specifica azienda o organizzazione;

- Supplemental, comprende sei categorie: Safety, Automatable, Recovery, Value Density, Vulnerability Response Effort, Provider Urgency.

Naturalmente il CVSS 4.0 ha tante altre interessanti caratteristiche che i più curiosi potranno trovare in questo studio di Davide Ariu: About the Common Vulnerability Scoring System (a.k.a. CVSS) 4.0..

Provare a calcolare il valore a partire da una vulnerabilità nota è relativamente semplice impiegando l'apposito calcolatore online fornito sempre da FIRST. Fare qualche prova permette di rendersi effettivamente conto del livello di dettaglio dato da CVSS e capire quanto il valore reale dipenda effettivamente dalla specificità dell'organizzazione presa in considerazione.

Con quanto detto finora abbiamo risposto in parte solo alla prima delle domande iniziali: come si valutano le vulnerabilità di sicurezza di un software.

Per provare a rispondere alle altre due domande occorrono delle considerazioni sulla infrastruttura informatica in esame, sull'ambiente e sui rischi connessi. Considerazioni quindi legate al singolo caso e non generalizzabili.



Gestione delle vulnerabilità.

Spesso nel corso dell'analisi delle vulnerabilità di un sistema informatico aziendale emergono decine o centinaia di vulnerabilità, alcune note, la maggior parte non note al team di sicurezza. Valutare il rischio legato ad ogni singola vulnerabilità e dare la giusta priorità per la loro risoluzione è il lavoro difficile. Occorre inoltre considerare che questo processo è spesso frammentario e viene eseguito manualmente in quanto non è sempre possibile avere tutti i dati disponibili e visibili con un solo strumento ne è sempliceriversarli in un unico contenitore per poterli analizzare. Un'ultima problematica, non la meno importante, riguarda la loro visualizzazione, che spesso comporta la creazione di grafici non di immediata lettura.Esistono inoltre diversi problemi di natura pratica legati alla individuazione delle vulnerabilità e alla loro mitigazione. In alcuni ambienti non è possibile lanciare programmi automatici per la scansione dei sistemi, comportando la ricerca manuale nei singoli dispositivi. Non sempre i sistemi aziendali sono aggiornati e non sempre supportano le modifiche necessarie per mitigare le vulnerabilità note. In alcuni casi si potrebbe addirittura compromettere la funzionalità (leggasi operatività) del sistema e ciò non è normalmente gradito. In definitiva occorre trovare il giusto compromesso tra sicurezza e operatività.



Nuovo approccio alla gestione delle vulnerabilità basata sul rischio specifico

A questo punto è importante notare che esistono anche metodi per la gestione della vulnerabilità sulla base del rischio specifico che corre una determinata azienda o organizzazione. Questo approccio tiene conto di informazioni relative alla vulnerabilità della parte in considerazione. L'analisi automatizzata e continua, ove possibile, può fornire un valido aiuto ai team di sicurezza.



Ma quali sono le vulnerabilità e dove è possibile trovarle elencate?

Per rispondere a queste nuove domande occorre prendere in considerazione un nuovo acronimo: CVE, che sta per "Common Vulnerabilities and Exposures". Infatti CVE non è altro che una lista che comprende le vulnerabilità conosciute ed è pubblicata da MITRE. che mantiene anche aggiornato l'elenco delle CVE Numbering Authorities (CNA), ovvero delle organizzazioni autorizzate ad assegnare un numero ad una vulnerabilità e a pubblicarlo secondo una ben definita procedura. Queste CNA sono generalmente produttori di software e ricercatori di sicurezza ma chiunque può richieder di assegnare un numero ad una nuova vulnerabilità. Ogni CVE è composta da un numero identificatore, una breve descrizione e i riferimenti ai report della vulnerabilita.

L'elenco, nella versione attuale, comprende 233.151 diversi elementi.


Alessandro Rugolo

 

Per approfondire:

- https://www.first.org/cvss/v4-0/

-  https://davideariu.substack.com/p/about-the-common-vulnerability-scoring

- https://cve.mitre.org/blog/September112018_A_Look_at_the_CVE_and_CVSS_Relationship.html

- https://cve.mitre.org/cve/search_cve_list.html

- https://www.first.org/cvss/calculator/4.0#

- https://www.agendadigitale.eu/sicurezza/gestione-delle-vulnerabilita-e-delle-patch-in-azienda-come-evitare-rischi/

- https://purplesec.us/learn/vulnerability-prioritization/

sabato 22 giugno 2024

Conoscete già ransomfeed?


Ogni giorno nascono nuovi servizi online, spesso si tratta di servizi già esistenti che vengono riproposti in forma digitale sul web. Talvolta si tratta invece di servizi del tutto nuovi: Ransomfeed.it è uno di questi.

Vediamo di capire di che si tratta e a chi può essere utile.

Per non sbagliare faccio riferimento al sito e a quanto dichiarato, cercando di semplificare affinchè sia più chiaro a che ci si riferisce.

Ransomfeed è un servizio di monitoraggio dei gruppi ransomware. L'attività di monitoraggio avviene  tramite l'estrazione di dati da più siti web per mezzo di programmi software che svolgono tale attività in automatico. 

I dati raccolti sono successivamente organizzati e strutturati ed infine memorizzati in un feed RSS permanente, disponibile per la libera consultazione.

Ricordo per i lettori più distratti che un feed RSS è una tecnologia che utilizza una segnalazione per aggiornare un utente dell’avvenuta pubblicazione di un contenuto online di suo interesse, pubblicato da parte del sito cui il feed fa riferimento. Naturalmente è necessario che l'utente inizialmente si iscriva ad un feed RSS e da quel momento saranno i contenuti di suo interesse a raggiungerlo senza più bisogno di andarli a cercare.

Il servizio di monitoraggio di Ransomfeed è gratuito e si basa sulla raccolta continuativa di dati relativi agli attacchi ransomware a livello internazionale. 

Con quanto detto spero di aver chiarito cosa sia Ransomfeed. 

La domanda successiva è la seguente: a chi possono servire queste informazioni?

Ransomfeed è una piattaforma in grado di rilevare in modo tempestivo gli attacchi ransomware di cui esiste pubblica conoscenza "mettendo i dati a disposizione di chiunque desideri comprendere l'entità e l'evoluzione degli attacchi informatici". 

Comprendere l'entità degli attacchi informatici in una certa regione o nazione può aiutare le aziende di ogni dimensione e settore ad affrontare attacchi sempre più sofisticati. Sapere cosa ci accade intorno ci aiuta ad avere una visione chiara e in tempo reale dei rischi che corriamo e adottare le misure preventive necessarie e più efficaci per mitigare i rischi.

Ora che abbiamo le basi, vi consiglio di dare uno sguardo al sito Ransomfeed.it per capire, in particolare, cosa stà accadendo in Italia.

Piccole e medie imprese vengono colpite da attacchi ransomware, sono 386 dal 12 gennaio 2020 le vittime italiane di cui si sa qualcosa, su 11.663 in totale.

Sul sito è possibile leggere i particolari relativi ad ogni attacco registrato, alle cyber gang, alle richieste di riscatto e farsi così un'idea dei rischi che si corrono.

Ma perchè accade ciò?

Possibile che siamo così vulnerabili?

Effettivamente siamo molto vulnerabili. 

La sicurezza informatica o cyber security è ancora poco conosciuta e ancor meno tenuta in considerazione. Il risultato è sotto gli occhi di  tutti coloro che vogliono guardare. 

Mancanza di cultura e di consapevolezza fanno si che il nostro mondo digitale assomigli sempre più ad una giungla in cui le vittime siamo tutti noi.

Forse è dunque giunto il momento di capire che per cambiare le cose occorre cambiare approccio, migliorando la formazione di tutti indistintamente, dal ragazzino che tiene in mano uno smartphone (senza capire cosa rischia) all'impiegato di banca che impiega dispositivi aziendali per questioni private o viceversa.

Si spera sempre che migliorando la formazione aumenti la consapevolezza.

Cos'altro possiamo fare? Chi ci può aiutare?

Spesso si è in balia delle onde e non si vede la riva, eppure talvolta è possibile essere aiutati e senza troppa spesa. Ciò vale soprattutto per le piccole e medie imprese.

Vi chiederete come, ed ecco la risposta: Cyber 4.0.

Cyber 4.0 è il Centro di Competenza nazionale ad alta specializzazione per la cybersecurity, istituito e cofinanziato dal Ministero delle Imprese e del Made in Italy, avviato nell'ambito del piano Industria 4.0.  Il Centro Cyber 4.0 è soggetto attuatore del PNRR per conto del MIMIT.

Si tratta di un’associazione di diritto privato, costituita con da un partenariato pubblico-privato in cui sono presenti oltre 40 attori di rilevanza nazionale, rappresentanti di università ed enti di ricerca, istituzioni pubbliche, grandi aziende, fondazioni e PMI altamente specializzate.

il Centro offre servizi di advisory, formazione, assessment e test-before-invest in ambito cybersecurity, e finanzia progetti di ricerca e innovazione in ambito Cyber, Healthcare, Automotive e Aerospace.

E' sufficiente rivolgersi ad uno dei soci del Centro di Competenza nazionale Cyber 4.0 per avere tutte le informazioni necessarie per pianificare per esempio un intervento formativo che a seconda del tipo di impresa potrebbe risultare completamente gratuito.

 

Alessandro RUGOLO

 

Per approfondire:

- https://www.cyber40.it/ 

- https://www.assolombarda.it/servizi/credito-finanza-e-incentivi/informazioni/regolamento-de-minimis-2024-2030-nuova-soglia-a-20ac-300.000

sabato 15 giugno 2024

On June 13th, OpenAI announced the addition of retired General Paul M. Nakasone to its Board of Directors.

According to OpenAI’s executives, General Nakasone’s presence on the Board brings valuable cybersecurity expertise. He will join the Board’s Safety and Security Committee.

Nakasone’s appointment reflects OpenAI’s commitment to security and protection, and underscores the growing importance of cybersecurity as AI technology continues to develop and impact society.

Nakasone will also contribute to OpenAI’s efforts to better understand how AI can be used to strengthen cybersecurity.

According to company executives, AI has the potential to provide significant benefits for many institutions that are frequently targeted by cyber attacks, such as hospitals, schools, and financial institutions.

Artificial intelligence has the potential to have huge positive impacts on people’s lives, but it can only reach this potential if these innovations are securely built and deployed, said Bret Taylor, Chair of OpenAI’s Board of Directors.

It is important to remember that retired U.S. Army General Paul M. Nakasone is a leading expert in the field of cybersecurity. Throughout his career as an Army officer, he was instrumental in the creation of U.S. Cyber Command (USCYBERCOM). He has led USCYBERCOM and the National Security Agency (NSA), tasked with protecting the United States' digital infrastructure and enhancing the country’s cyber defense capabilities. He has served in command and staff positions at all levels of the U.S. Army, with assignments in elite cyber units in the United States, South Korea, Iraq, and Afghanistan.

Beyond General Nakasone’s undeniable professionalism, one might immediately think of a possible greater involvement of American institutions in OpenAI’s affairs. A figure of such high caliber is, in my opinion, exactly what is needed to engage with important public administration institutions on equal terms.

We will see what the future holds.

Alessandro Rugolo

For further information:

Il generale in pensione Paul M. Nakasone nominato membro del Consiglio di Amministrazione di OpenAI

Il 13 giugno OpenAI ha annunciato l'ingresso nel CDA del generale in pensione Paul M. Nakasone.

Secondo i vertici di OpenAI la presenza del generale Nakasone nel CDA apporta esperienza in cybersicurezza; il generale entrerà a far parte del Comitato per la Sicurezza e la Protezione del Consiglio.

La nomina di Nakasone rifletterebbe l'impegno di OpenAI verso la sicurezza e la protezione, e sottolinea l'importanza crescente della cybersicurezza dato il crescente sviluppo della tecnologia dell'intelligenza artificiale e il suo impatto nella società.

Il compito di Nakasone sarà anche quello di contribuire anche agli sforzi di OpenAI per comprendere meglio come l'IA possa essere utilizzata per rafforzare la cybersecurity.

Secondo i vertici dell'azienda l'IA ha il potenziale per fornire benefici significativi per molte istituzioni frequentemente bersaglio di attacchi informatici come ospedali, scuole e istituti finanziari.

L'intelligenza artificiale ha il potenziale per avere enormi impatti positivi sulla vita delle persone, ma può raggiungere questo potenziale solo se queste innovazioni vengono costruite e implementate in modo sicuro, ha dichiarato Bret Taylor, presidente del Consiglio di Amministrazione di OpenAI. 

Ricordiamo che il generale dell'Esercito degli Stati Uniti in pensione Paul M. Nakasone è un esperto leader nel campo della cybersecurity. Nel corso della sua carriera come ufficiale dell'Esercito, è stato tra gli artefici della creazione del Comando Cibernetico degli Stati Uniti (U.S. Cyber Command). È stato il capo di USCYBERCOM e ha guidato la National Security Agency (NSA), con l'incarico di proteggere l'infrastruttura digitale degli Stati Uniti e di migliorare le capacità di difesa informatica del paese. Ha servito in posizioni di comando e di staff a tutti i livelli dell'Esercito degli Stati Uniti con assegnazioni a unità cibernetiche d'élite negli Stati Uniti, nella Repubblica di Corea, in Iraq e in Afghanistan.

Al di là dell'indubbia professionalità del generale Nakasone, viene immediatamente da pensare ad possibile maggior coinvolgimento delle istituzioni americane negli affari della società OpenAI. Un personaggio di così alto livello è a mio parere ciò che serve per parlare alla pari con istituzioni importanti della pubblica amministrazione. 

Vedremo cosa ci riserva il futuro

Alessandro Rugolo

Per approfondire:

- https://openai.com/index/openai-appoints-retired-us-army-general/

domenica 9 giugno 2024

Lockbit3: conosciamo meglio la cybergang


Quando è nata Lockbit3?

LockBit3è il nome attribuito al gruppo di cyber criminali considerato più pericoloso nel panorama mondiale in merito agli attacchi ransomware. LockBit3 è anche il nome della attuale versione della piattaforma di ransomware-as-a-service (RaaS).

La sua nascita si può far risalire al 2019, quando comparve sulla scena il ransomware chiamato inizialmete "ABCD" poi Lockbit. Nel giro di soli quattro anni LockBit è diventata la piattaforma di RaaS più utilizzata al mondo.  

Come funziona il ransomware as a service?

Ricordiamo, solo per i lettori più distratti, che un attacco ransomware nella forma più semplice consiste nell'accedere ai dati di un computer o sistema e nella loro cifratura. I dati risultano in questo modo inutilizzabili e il cyber criminale può chiedere un riscatto, generalmente da pagare in bitcoin, per liberare (ovvero decifrare) i dati sequestrati.

Il RaaS è un modello di business basato sul modello Software-as-a-Service (SaaS), consiste nella vendita o affitto di licenze del ransomware a terzi, chiamati affiliati. In questo modo chi vuole compiere attacchi ransomware nei confronti di specifici target non necessita di eccessive competenze tecniche. Ciò ha portato, negli ultimi anni, ad una grande diffusione di attacchi di tipo ransomware.

Esistono varianti di questo tipo di attacco, per esempio la cosiddetta "double extortion" in cui ai dati cifrati si aggiunge la minaccia di renderli pubblici e la "triple extortion" che consiste nell'esercitare diverse forme di pressione per ottenere il pagamento del riscatto. La triple extortion infatti oltre a prevedere la cifratura dei dati e la richiesta del riscatto, prevede la minaccia di pubblicazione dei dati più sensibili in caso di mancato pagamento e altre forme di attività collaterali contro la vittima, come per esempio il DDoS verso i suoi servizi. Ultimamente esistono ulteriori forme di attacco, in cui si estende la richiesta di riscatto a terze parti in qualche modo legate con la vittima.

Per quanto riguarda il riscatto, questo viene generalmente spartito tra gli affiliati e il core team.

LockBit3 è stata debellata?

Nel 2022 a seguito di una richiesta dello stato francese, EUROPOL viene interessata per combattere la cybergang. Seguono una serie interminabile di riunioni di coordinamento tecnico, che portano, ad inizio 2024, all'annuncio del 20 febbraio di aver debellato la cybergang attraverso una operazione di polizia estesa sull'intero pianeta. L'operazione ha condotto al sequestro di 34 servers dislocati sul territorio di varie nazioni (Olanda, Germania, Finlandia, Francia, Svizzera, Australia, Stati Uniti e Regno Unito). Si è potuto procedere all'arresto di due membri della cybergang, uno in Polonia ed uno in Ucraina e al sequestro di 200 account di cryptocurrency. 

Sembrava, per qualche giorno, che la più pericolosa cybergang fosse stata debellata. 

Ma se oggi, a soli due mesi di distanza, si va a vedere cosa sta accadendo nel mondo del ransomware, ci si può facilmente rendere conto che le cose stanno diversamente.

E' sufficiente dare uno sgurado alle richieste di riscatto per rendersi immediatamente conto che LockBit3 è tuttaltro che defunta. 

Ransomfeed: LockBit3 è saldamente in testa alla classifica anche nel 2024

Se utilizziamo un servizio tipo Ransomfeed ci accorgiamo che dall'inizio dell'anno ad oggi (25 maggio), dunque in cinque mesi, sono state registrate 409 richieste di riscatto da parte di LockBit3 a seguito di attacchi andati a buon fine, attestandosi anche quest'anno in testa alla classifica. Inoltre, dopo qualche giorno di calma (dal 20 al 24 febbraio) a seguito dell'operazione di EUROPOL a febbraio, la cybergang ha ripreso le sue operazioni con più  foga che mai. L'efficacia dell'operazione è dunque quanto meno discutibile.

E in Italia?

Anche l'Italia è tra le vittime di LockBit3. Sempre secondo Ransomfeed l'Italia ha registrato 11 attacchi nel 2024 ovvero circa il 3% del totale. Per nostra fortuna, in questo caso, non siamo gli Stati Uniti che registrano 167 attacchi andati a buon fine, ovvero il 41% degli attacchi.

Purtroppo il nostro tessuto sociale è molto vulnerabile ai cyberattacchi e se è vero che LockBit3 conta per il 3%, è anche vero che non si tratta dell'unico gruppo che agisce in questo modo, per cui le vittime di ransomware, quasi sempre PMI, nel 2024 sono state ben 53.

Vittime italiane di Lockbit3 nel 2024 - Ransomfeed.it

Come proteggersi?

Proteggersi dai ransomware è possibile ma richiede un mix di elementi che combinati assieme consentono di aumentare la sicurezza.

La prima regola è quella del Backup sempre efficiente e separato dalla rete. Se si è previdenti in caso di attacco ransomware sarà infatti possibile ripristinare i dati a partire dal backup. Avere il backup sempre disponibile è efficace contro la cifratura ma è solo una parte della soluzione, questo perchè attualmente la maggior parte degli attacchi i dati sensibili vengono anche esfiltrati e la minaccia di pubblicazione fa parte della strategia di attacco.

Mettere in piedi delle chiare policy di accesso e gestione dei dati sensibili. La conoscenza e gestione dei dati dell'organizzazione non può essere lasciata alla cura degli utenti. In particolare per quanto riguarda i dati sensibili.

Proteggere i sistemi utilizzando dispositivi fisici e software di varia natura ma gestiti unitamente per tenere sempre sotto controllo le reti e i sistemi. I firewall, soprattutto quelli di nuova generazione come i Web Application Firewall, sono una misura importante e consentono la raccolta di grandi quantità di dati. 

Il monitoraggio continuo deve essere sempre una priorità.

I ransomware si impossessano dei dati e sistemi solo una volta che sono riusciti ad accedere al perimetro interno. Una delle tecniche più usate è ancora oggi il phishing dunque occorre istruire il proprio personale affinchè sia in grado di riconoscere tentativi di phishing nelle sue varie forme.

Preparare un piano di risposta ad un eventuale attacco ransomware consente di gestire l'emergenza e di evitare di prendere delle decisioni avventate.

Chi c'è dietro Lockbit 3.0?

L'attribuzione, come sappiamo tutti, è molto complessa e stabilire un legame tra un gruppo cyber come Lockbit è più una questione politica che tecnica, fatto sta che gli Stati Uniti nelle loro dichiarazioni ufficiali affermano che la cyber gang è di base in Russia. Un cittadino russo, Dmitry Yuryevich Khoroshev, è ricercato in quanto sviluppatore e distributore del ransomware.


Alessandro Rugolo


Per approfondire: 

- https://www.europol.europa.eu/media-press/newsroom/news/law-enforcement-disrupt-worlds-biggest-ransomware-operation 

- https://www.trendmicro.com/vinfo/us/security/definition/ransomware-as-a-service-raas

- https://www.swascan.com/it/lockbit-3-0-analisi-malware-dinamica/

- https://www.paloaltonetworks.com/cyberpedia/what-is-multi-extortion-ransomware

-https://www.akamai.com/blog/security/learning-from-the-lockbit-takedown

-  Dmitry Yuryevich Khoroshev, a Russian national and a leader of the Russia-based LockBit group, for his role in developing and distributing LockBit ransomware


venerdì 7 giugno 2024

OWASP Cyber Journey 2024

Quando si parla di cyber security si pensa sempre ai cattivi pirati informatici e a coloro che, dall'altra parte della barricata, li combattono. Eppure, tutto ha inizio molto prima.

In particolare per gli aspetti software tutto ha inizio quando si progetta e si realizza un programma.

La cattiva progettazione, la mancanza di conoscenze nel campo della programmazione di software sicuro e l'inefficienza nei test e nei controlli di qualità sono all'origine dei problemi che affrontiamo tutti i giorni nel cyberspace. Eppure esistono standard per la produzione di applicazioni sicure: Open Web Application Security Project, in breve OWASP.

La fondazione OWASP è on-line dal 1 dicembre 2001 ed è riconosciuta come organizzazione non profit americana a partire dal 21 aprile del 2004. La fondazione e i collaboratori si attengono alla regola fondamentale di non affiliarsi ad alcuna industria tecnologica per mantenere intatta la propria imparzialità e credibilità.

Ma perché OWASP è così importante?

Owasp è importante perché è ormai uno standard mondiale per lo sviluppo di software sicuro ma non solo, è importante perché vi sono migliaia di esperti di sicurezza informatica che collaborano quotidianamente sui progetti di OWASP, è importante perché è una raccolta di best practices che sono rese disponibili gratuitamente, è importante perché tra i tanti progetti vi è anche la OWASP Academy che ha lo scopo di diffondere la conoscenza sullo sviluppo di software sicuro.

OWASP è uno standard de facto, adottato da singoli sviluppatori ma anche da grandi produttori di software. In effetti trattandosi di uno standard, va da se che la sua adozione da parte di una organizzazione diventi parte integrante della struttura di cyber security della organizzazione stessa.
Una organizzazione che produce software, come pure una organizzazione i cui processi di business sono fortemente dipendenti dal software impiegato (prodotto o meno da essa) deve porre attenzione anche ad aspetti di policy quale per esempio l'adozione di OWASP al suo interno.

L'adozione di OWASP o di altro standard di sicurezza è dunque parte integrante della cyber security aziendale e in quanto tale merita attenzione da parte della dirigenza. È assolutamente inutile infatti effettuare investimenti nel settore sicurezza senza pensare anche alla policy di settore.

Se quando si produce software non si bada allo standard di sicurezza impiegato in fase di produzione e test, si rischia di dover mettere in atto una serie di controlli molto più costosi del dovuto, se messi a paragone con i costi di uno sviluppo di software sicuro sin dall’inizio.

Naturalmente l'adozione di uno standard di produzione di software sicuro non garantisce che non vi possano essere problemi ma quantomeno garantisce dai problemi già conosciuti.

Uno dei prodotti più importanti di OWASP è la Top Ten, una lista dei primi 10 rischi legati alle web application, nella sua versione del 2021:

A1 Broken-Access Control
A2 Cryptographic Failures
A3 Injection
A4 Insecure Design
A5 Security Misconfiguration
A6 Vulnerable and Outdated Components
A7 Identification and Authentication Failures
A8 Software and Data Integrity Failures
A9 Security Logging and Monitoring Failures
A10 Server-Side Request Forgery

OWASP è presente in Italia ed organizza con i suoi partner eventi in tutto il territorio, il prossimo si terrà il giorno giovedì 20 Giugno 2024 a Cagliari dalle ore 16.00, nella splendida cornice della sua spiaggia più frequentata, il Poetto.

L’evento sarà sponsorizzato da Equixly, IMQ Minded Security e da Pluribus One.

Vedi il programma.

L’evento accoglierà professionisti del settore, software developers, software quality engineers, e studenti di informatica con un forte interesse nell’ambito della sicurezza.

Per prenotazioni: https://clicqui.net/2Lst5

 

Francesco RUGOLO 

mercoledì 5 giugno 2024

Cos'é la Cybersecurity? Una guida introduttiva

Si sente parlare sempre più spesso di cybersecurity, ma in quanti sono in grado di dire di che si tratta realmente?

Proviamo a capirlo assieme.

Sembra una banalità ma dare una definizione è indispensabile quanto complesso.

Se facciamo una veloce ricerca, magari chiedendo aiuto ad un motore di ricerca, troviamo tante definizioni di cybersecurity e non sempre chiarissime.

Per evitare errori grossolani conviene sempre cercare delle fonti ufficiali o comunque autorevoli.

Tra quelle ufficiali possiamo fare sicuramente affidamento su alcune istituzioni, tra queste:

- ENISA (European Union Agency For Network And Information Security);

- NIST (National Institute of Standards and Technology - USA Agency);

- Normativa italiana: Decreto n. 82 del 82 del 14 giugno 2021, di istituzione dell'ACN (Agenzia per la cybersicurezza nazionale).

Tra le istutuzioni più autorevoli in materia di cybersecurity io metto sempre le grandi società che si occupano di cybersecurity: CISCO, CrowdStrike, Kaspersky e così via...

Veniamo dunque alle definizioni.

Secondo il NIST (Special Publication 800-39) con il termine cybersecurity si intende: "The ability to protect or defend the use of cyberspace from cyber attacks".

Per la normativa italiana con il termine cybersicurezza si intende: "insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l'integrità, e garantendone altresì la resilienza”.

Secondo CISCO, con cybersecurity si intende: "la prassi di proteggere i sistemi, le reti e i programmi dagli attacchi digitali. Questi attacchi informatici sono solitamente finalizzati all'accesso, alla trasformazione o alla distruzione di informazioni sensibili, nonché all'estorsione di denaro agli utenti o all'interruzione dei normali processi aziendali.

Secondo Kaspersky con cibersecurity si intende: "l'insieme delle azioni volte a difendere computer, server, dispositivi mobili, sistemi elettronici, reti e dati dagli attacchi dannosi. È anche conosciuta come sicurezza informatica o sicurezza delle informazioni elettroniche".

Come preannunciato, tante definizioni quanti sono gli interlocutori consultati. E se espandiamo la ricerca ai dizionari ci accorgeremo che le cose non si semplificano affatto. Questa è la realtà, conviene prenderne atto e di volta in volta riferirsi all'una o all'altra definizione, a seconda del contesto o dello scopo da raggiungere. 

Spero comunque che ora sia più chiaro cosa si intende per cybersecurity. Se non lo fosse ancora vi invito a dare uno sguardo al paper dell' ENISA in cui si fa l'analisi del termine secondo i principali standard... ma senza poter giungere ad una definizione comune.

Questa semplice ricerca ci introduce in un mondo ricco di termini anch'essi non sempre chiari: "cyberspace, minacce informatiche, confidenzialità, resilienza...". Li vedremo nelle prossime puntate!

Alessandro Rugolo

- https://www.cisco.com/c/it_it/products/security/what-is-cybersecurity.html 

- https://www.kaspersky.it/resource-center/definitions/what-is-cyber-security