top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

La Metrica di Sicurezza di OSSTMM


"Security doesn't have to last forever; just longer than everything else that might notice it's gone." - OSSTMM 3.0

 

La disciplina della Sicurezza Proattiva comprende le attività finalizzate a valutare l’efficacia, l’efficienza e la robustezza delle contromisure di sicurezza tecnologiche o organizzative adottate all’interno di un ambito definito.

Poiché l’esecuzione periodica di verifiche di sicurezza consente di identificare in modo preventivo eventuali inadeguatezze o non conformità, essa ricopre un ruolo estremamente importante all’interno del processo di gestione della sicurezza ICT. Tuttavia, il valore di una verifica di sicurezza dipende fortemente dal valore degli analisti che la effettuano. Vulnerability Assessment e Penetration Test sono inoltre storicamente soggetti alle seguenti classi di problematiche, che possono limitarne l’utilità:
 

  • I risultati della verifica non sono esaustivi, poiché il perimetro di analisi o l’approccio di test non sono stati correttamente e formalmente definiti.
  • I risultati della verifica includono numerosi falsi positivi e negativi, dovuti a limitazioni negli strumenti o nei metodi di test adottati.
  • I risultati della verifica non sono consistenti, ripetibili, misurabili e quantificabili.
  • La priorità degli interventi correttivi da effettuare nell’ambito del piano di rientro non è definita sulla base di un metodo condiviso con il Cliente.
  • La verifica di sicurezza non tiene conto delle politiche, delle normative e delle leggi vigenti applicabili al contesto oggetto di analisi.
  • La reportistica non è fruibile e facilmente confrontabile.

 

Al fine di ovviare a queste problematiche, l’associazione no-profit ISECOM ha realizzato l’Open Source Security Testing Methodology Manual (OSSTMM), che nel corso degli anni è divenuto lo standard internazionale di riferimento per l’esecuzione di verifiche di sicurezza. OSSTMM (scaricabile gratuitamente dal sito ufficiale www.osstmm.org ) è una metodologia scientifica sviluppata da volontari in tutto il mondo tramite il modello peer review. Essa definisce quali elementi devono essere verificati, che cosa occorre fare prima, durante e dopo i test di sicurezza e come misurare i risultati ottenuti. Tutte le fasi di verifica, dalla prevendita alla formulazione dell’offerta, dalla firma del contratto alla definizione del perimetro di analisi, dall’esecuzione dei test alla stesura della reportistica, sono soggette a specifiche regole di ingaggio, chiaramente definite all’interno della metodologia e sottoscritte da tutti gli analisti certificati presso ISECOM.

 

targets vectors OPSEC RAV OSSTMM non specifica esplicitamente gli strumenti da impiegare durante le verifiche, ma dettaglia i metodi da utilizzare per valutare in modo consistente e ripetibile la superficie di attacco (definita come la “quantità di interazioni non controllate”) relativa al contesto oggetto di analisi, tramite la metrica rav. Tale metrica si basa sul calcolo bilanciato di Porosity (il grado di esposizione che è necessario mantenere per offrire servizi interattivi), Controls (contromisure che innalzano il livello di sicurezza fornendo protezione da interazioni non valide o inaspettate) e Limitations (criticità di sicurezza).

Secondo la metodologia OSSTMM è possibile raggiungere lo stato di Perfect Security, ovvero l’esatto bilanciamento di separazione e controlli con l’esposizione e le criticità (valore di rav pari a 100).

 

Il rav non rappresenta una misurazione di rischio: non è in grado di prevedere se un particolare asset sarà attaccato da un agente di minaccia, tuttavia ne evidenzia i punti deboli e i punti di forza, e consente di misurare in modo efficace l’impatto di un possibile attacco. Grazie a queste informazioni, facilmente confrontabili nel tempo e ricalcolabili in base all’attuazione di differenti interventi correttivi, è possibile valutare i rischi con maggiore accuratezza.

Analogamente, il rav non è un indicatore di conformità. Il concetto stesso di conformità è molto diverso ed indipendente da quello di sicurezza: in altre parole, è possibile essere conformi e non sicuri o essere relativamente sicuri ma non conformi. L’utilizzo del rav e più in generale di OSSTMM, tuttavia, riveste un ruolo importante nell’ambito di qualsiasi iniziativa di conformità, perché consente di ottenere l’evidenza della governance della sicurezza ICT.

 

rav security metrics

Il rav è quindi uno strumento molto concreto che permette di prendere decisioni supportate da numeri e non viziate da impressioni fallaci o pressioni commerciali. In particolare, esso consente di ottenere le risposte alle seguenti domande:
 

  • Quanto dobbiamo investire nella sicurezza?
  • Su quali aspetti dobbiamo concentrarci in modo prioritario?
  • Di quali soluzioni di sicurezza abbiamo bisogno?
  • Quanto migliora il livello di sicurezza a seguito dell’adozione di specifiche contromisure?
  • Come possiamo misurare i risultati dei piani correttivi?
  • Come possiamo sapere se stiamo riducendo l’esposizione alle minacce?
  • Quanto è resistente un determinato componente?
  • Come possiamo ottenere conformità e sicurezza?

 

Insieme agli spreadsheet preimpostati per il calcolo del rav, ISECOM fornisce il modello di report STAR (Security Test Audit Report). Lo STAR compilato da un ISECOM Licensed Auditor (ILA) accreditato può essere opzionalmente sottoposto al processo di certificazione presso ISECOM. Un rav superiore a 90 dà diritto ad un certificato di eccellenza della durata di un anno solare dalla data di chiusura dei test.

 

rav audit report

In conclusione, l’obiettivo finale di una verifica conforme allo standard OSSTMM è fornire un processo per essere funzionalmente sicuri, garantendo:
 

  • Esaustività e profondità dei test, con riduzione sostanziale dei falsi positivi e negativi.
  • Conclusioni oggettivamente derivate dai risultati dei test stessi, tramite applicazione del metodo scientifico.
  • Rispetto di politiche, normative e leggi vigenti applicabili al contesto oggetto di analisi.
  • Risultati consistenti e ripetibili.
  • Risultati misurabili e quantificabili secondo precise regole.
  • Valutazione immediata dei possibili interventi correttivi.

 

Infine, la reportistica STAR certificata, oltre ad essere fruibile e facilmente confrontabile, costituisce la prova di un test basato sui fatti e rende gli analisti responsabili della verifica.

 

 

19/04/2013 - Marco Ivaldi, Security Advisory Team @ Mediaservice.net