Corso di “Sicurezza dei sistemi
informatici in Internet”
Corso tenuto nell’A.A. 2021/2022 dal prof. Massimo Carnevali
presso l’Università degli Studi di Ferrara
Licenza Creative Commons 4.0 International: BY-SA
Documento derivato dall’elaborazione del materiale didattico fornito dal
prof. Massimo Carnevali per il corso “Sicurezza dei sistemi informatici in
Internet” presso l’Università degli Studi di Ferrara.
1. Attacco informatico
Created @December 19, 2021 10:39 AM
Last edit @December 19, 2021 10:49 AM
Slide 1
INDICE
Attacco informatico
Misdirection
Attacco informatico
È una qualsiasi azione che compromette la confidezialità,
l’integrità o la disponibilità di un computer o delle informazioni
che contiene.
Confidenzialità: dati accreditati con criteri diversi da quelli previsti. È la garanzia
che i sistemi forniscano l’informazione solamente a chi è autorizzato a ottenerla.
Integrità: dati corrotti o compromessi. È la garanzia che l’informazione sia
mantenuta e trasmessa in forma inalterata.
1. Attacco informatico 1
Disponibilità: i dati devono essere disponibili quando necessario. È la garanzia
che l’informazione risulti accessibile quando previsto a chi può e deve fruirne.
Misdirection
Quando noi vediamo qualcosa agiamo secondo 4 passaggi:
1. Percepiamo gli input (es. Vediamo un serpente)
2. Applichiamo uno schema (es. Riconosciamo che è un serpente)
3. Correliamo con un modello noto (es. Siamo in università)
4. Reagiamo di conseguenza (es. Non ci spaventiamo perchè siamo in università)
Il compito di un hacker è quello di capire come ragiona il malcapitato e fregarlo
attraverso una Misdirection, ovvero cercare di fargli applicare un modello in modo
che la sua reazione sia quella di farci entrare.
1. Attacco informatico 2
2. Rischio, certificazione e
governance
Created @October 29, 2021 12:16 PM
Last edit @December 19, 2021 11:08 AM
Slide 2
INDICE
Analisi costi-benefici
Modellare il rischio
Percezione della sicurezza
Sicurezza nell’organizzazione IT
Analisi preventive
Backup
Finalità dei backup
Tipologie di Backup
Gestione del repository
Policy
Metriche per la gestione di un piano di Disaster Recovery
RPO (Recovery Point Object)
RTO (Recovery Time Object)
Disastri
Classificazione dei sistemi
2. Rischio, certificazione e governance 1
Disaster Recovery
Tecniche di Disaster Recovery
Replica sincrona
Replica asincrona
Tecnica mista
Pianificazione e strategie di Disaster Recovery
Resilienza informatica
Analisi costi-benefici
Cr = costi legati al rischio, ossia quanto perdo se vengo attaccato.
Cs = costi legati alle spese di sicurezza.
Il miglior compromesso è quello nell’intorno del minimo dei costi totali, ossia dove la
somma dei costi è minima.
Secondo il modello Gordon-Loeb, il valore giusto è intorno al 37% del valore dei
danni in caso di perdita dei dati.
Rimane sempre un rischio residuo: è un rischio che il difensore non riesce mai a
coprire e viene coperto dalle assicurazioni. Se il rischio residuo è basso allora
l’assicurazione costa poco, mentre più il rischio residuo è alto e più l’assicurazione
cresce di costo.
Modello del formaggio svizzero (con i buchi): ogni strumento di protezione riduce,
ma non azzera, il rischio. Ognuno ha i suoi buchi, ma usando insieme più misure di
sicurezza si può sperare che i buchi non coincidano.
2. Rischio, certificazione e governance 2
Modellare il rischio
Identificare:
Dove si è più vulnerabili
Quali sono i rischi principali sui punti esposti
Cosa si deve fare per proteggersi dagli attacchi
Percezione della sicurezza
La sicurezza è un compromesso tra la spesa e il risultato che si ottiene.
Ci sono diversi fattori che influenzano la percezione del rischio:
Spettacolare vs comune
Ignoto vs famigliare
Identificato vs anonimo
Controllo della situazione
Media
L’attaccante e il difensore operano in due domini diversi:
L’attaccante opera nel dominio dei guadagni: investe poco in sicurezza, ben
che vada guadagna altrimenti perde poco. L’attaccante è quindi motivato a
provare l’attacco.
Il difensore opera nel dominio delle perdite: spende senza guadagnarci e ben
che vada non ci guadagna niente. Spesso si implementano misure di sicurezza
solo per rispettare le leggi: ne caso di perdita di dati degli utenti senza aver
implementato la sicurezza può costare fino al 4% dei guadagni.
Sicurezza nell’organizzazione IT
La complessità è nemica della sicurezza.
Ci sono due dimensioni da definire nell’ambiente IT relativo alla sicurezza:
Cardinalità dei fenomeni: è il numero di dispositivi da gestire. È più facile
proteggere 800 pc tutti configurati uguali che 40 pc tutti diversi.
Organizzazione del servizio
2. Rischio, certificazione e governance 3
La certificazione ISO/27001 qualifica una serie di test di sicurezza che l’azienda
deve superare per ottenerla.
Analisi preventive
Un’analisi preventiva (audit) comprende le seguenti fasi:
Scansione: raccolta di informazioni, è un processo automatico.
Assessment: consolido i dati e verifico se ci sono falsi positivi, è un processo
semi-automatico.
Penetration test: provo a fare l’exploit delle vulnerabilità e ad entrare nei
sistemi.
Backup
Il backup indica un processo di disaster recovery, ovvero la messa in sicurezza
delle informazioni di un sistema informatico attraverso la creazione di ridondanza
delle informazioni stesse (una o più copie di riserva dei dati), da utilizzare come
recupero (ripristino) dei dati stessi in caso di eventi malevoli accidentali o intenzionali
o semplice manutenzione del sistema. Il concetto di backup assicura che esista una
copia di sicurezza delle informazioni, assicurando quindi una ridondanza
fisica/logica.
Disponendo di un software dedicato può essere manuale oppure automatico. Esiste,
inoltre, un’altra possibilità di programmazione che è quella su “evento”, ad esempio
quando si installa un nuovo software o quando un certo parametro va oltre alla
soglia di allarme. E’ buona norma eseguire periodiche operazioni di backup anche
nei personal computer di uso privato su supporti ottici o magnetici o su dischi rigidi
portatili.
È possibile anche eseguire il backup in modo continuo usando servizi come il
backup online o i backup appliance che sono degli strumenti che permettono questo
tipo di operatività attraverso gli agent, che sono dei software che si occupano di
individuare, attraverso criteri, i file nuovi da archiviare e immediatamente ne
eseguono la copia di sicurezza.
Solitamente, in ambito specialistico, backup non è sinonimo di salvataggio in quanto
rigorosamente sono due procedimenti diversi con risultati distinti, ovvero: il primo
termine indica un processo articolato, praticamente supportato da un'applicazione
software dedicata (potrebbe essere anche quella predefinita del sistema operativo)
mentre il secondo termine allude all'operazione di copiare file (duplicare) dalla
2. Rischio, certificazione e governance 4
posizione originale ad un archivio di sicurezza, senza però implementare il processo
descritto nella presente voce. Inoltre, mentre con il salvataggio i file o il database
sono immediatamente accessibili senza fatica, con il backup occorre selezionare lo
specifico job e ripristinarne, massivamente o selettivamente, i contenuti, che è
dunque un'operazione più complessa.
Finalità dei backup
Le finalità del backup sono principalmente due:
Recupare dei dati a fronte di situazioni critiche di perdita dati
Recuperare dati da un momento precedente, cioè utilizzarne una versione
precedente a quella attuale
Tipologie di Backup
La clonazione è la realizzazione di un'immagine di un disco perché sia
riutilizzabile (una volta ripristinata) e avviabile esattamente come l'originale;
tramite la clonazione non si ripristinano solo i dati, ma si riottiene il dispositivo
funzionante esattamente com'era nell'istante di creazione dell'immagine. In
pratica, non occorre installare sistema operativo, programmi, connessioni e
impostazioni di rete, driver, periferiche o configurare le personalizzazioni utente.
Il mirroring è un backup finalizzato a ottenere la replica esatta di un archivio
dati. Il mirroring non è una clonazione immagine perché si copiano unicamente i
dati, cioè le cartelle dei contenuti, non l'installato o le unità logiche e di
sistema/avvio. La medesima osservazione è associabile ad un backup completo.
La sincronizzazione non è un backup. La sincronizzazione è l'operazione
mediante la quale i dati prescelti sono archiviati su dispositivi diversi, mantenuti
(su comando manuale o automaticamente) allineati ovvero identici, come
contenuti e versione. Si tratta di una duplicazione con aggiornamento simultaneo
e controllato di dati specificati su posizioni (cartelle, archivi, dispositivi) diverse.
Esistono varie forme e modalità di sincronizzazione, e quella "in cloud" non è
l'unica.
Per archiviazione dati s'intende non la duplicazione, ma lo spostamento di file
dalla posizione originaria ad un'altra di conservazione. L'archiviazione ha più
uno scopo di efficienza (ordine, pulizia) che sicurezza.
Gestione del repository
2. Rischio, certificazione e governance 5
Qualsiasi strategia di backup inizia con un concetto di un repository di dati. I dati di
backup devono essere memorizzati e probabilmente dovrebbero essere organizzati
per gradi.
Non strutturato: un repository non strutturato può essere semplicemente una
pila di CD-R o DVD-R con informazioni minime su cosa è stato eseguito il
backup e quando è stato eseguito. Questo è il più semplice da attuare, ma ha
poche probabilità di ottenere un elevato livello di recupero dei dati in quanto
manca automazione.
Completo: un repository di questo tipo contiene immagini di sistema complete
prese in uno o più specifici momenti nel tempo. Questa tecnologia è spesso
utilizzata dai tecnici informatici per salvare un sistema configurato e
perfettamente funzionante, quindi è generalmente più utile per la distribuzione di
una configurazione standard per molti sistemi, piuttosto che come uno strumento
per fare copie di backup in corso di sistemi diversi.
Incrementale: un giorno della settimana si salvano tutti i dati, mentre negli altri
giorni salvo solo quello che cambia rispetto al giorno precedente; l'operazione
viene svolta solitamente durante la notte.
Vantaggi: occupa meno spazio, è più veloce.
Svantaggi: non è possibile ripristinare i dati in caso di guasto, in quanto i dati
persi salvati in un determinato giorno non sono più stati salvati (Es. se ho un
guasto nel backup del giovedi ho perso i dati anche di tutti i giorni
successivi).
Differenziale: un giorno della settimana si salvano tutti i dati, mentre gli altri
giorni si salva solo la differenza rispetto al giorno di riferimento.
Vantaggio: se si rompe un backup non ho problemi per i salvataggi
successivi, in quanto i dati persi saranno presenti anche in tutti i backup
parziali successivi.
Svantaggi: maggiore occupazione di spazio, in quanto alcuni dati saranno
salvati in più backup intermedi.
Backup 3-2-1: bisogna avere sempre almeno 3 copie dei propri dati (3): l’originale +
due copie di riserva. Le copie debbono essere su almeno due media diversi (2) e
almeno una copia deve essere in un posto fisicamente distinto da quello dei dati
originali oppure nel cloud (1).
2. Rischio, certificazione e governance 6
Indipendentemente dal modello di repository di dati o supporti di memorizzazione di
dati utilizzati per i backup, è necessario raggiungere un equilibrio tra l'accessibilità, la
sicurezza e costi della copia dei dati. Questi metodi di gestione dei media non si
escludono a vicenda e sono spesso combinati per soddisfare le esigenze dell'utente,
per esempio utilizzando dischi locali per l'allocazione dei dati prima che vengano
inviati ad un sistema di archiviazione con nastro magnetico.
Policy
Esempi di policy sono:
Si effettua il backup notturno di tutti i sistemi server (non i client) e si tengono 2
copie di ciascun file
Un file cancellato viene tenuto dal sistema per 60gg
Settimanalmente si effettua una duplicazione dei nastri che viene trasportata e
conservata in un altro sito
I database sono esportati su file ogni notte, il dump viene archiviato su nastro e
l’archivio mantenuto per 15gg, cancellando a rotazione il più vecchio
Di ogni sistema virtuale viene effettuato l’image backup differenziale ogni notte
e consolidato ogni week-end: dall’insieme delle immagini differenziali
accumulate durante la settimana si possono effettuare le procedure di restore.
Metriche per la gestione di un piano di
Disaster Recovery
RPO (Recovery Point Object)
È uno dei parametri usati nell'ambito delle politiche di disaster recovery per
descrivere la tolleranza ai guasti di un sistema informatico. Esso rappresenta il
massimo tempo che deve intercorrere tra la produzione di un dato e la sua messa in
sicurezza (ad esempio attraverso backup) e, conseguentemente, fornisce la
misura della massima quantità di dati che il sistema può perdere a causa di
guasto improvviso. In informatica, la quantità di informazioni archiviate da
sottoporre a copia di sicurezza o da recuperare è tipicamente espressa in unità di
tempo: secondi, minuti, ore o giorni di produzione di dati (indipendentemente dal
volume di dati espresso in byte). Al diminuire dell'RPO desiderato/specificato si
rendono necessarie politiche di sicurezza sempre più stringenti e dispendiose, che
2. Rischio, certificazione e governance 7
possono andare dal salvataggio dei dati su supporti ridondanti tolleranti ai guasti fino
alla loro pressoché immediata replicazione su un sistema informatico secondario
d'emergenza (soluzione in grado di garantire, in linea teorica, valori di RPO prossimi
allo zero).
Essenzialmente, il RPO è il momento in cui si effettua l'ultimo backup prima di un
disastro. Il RPO desiderabile sarebbe il punto appena prima dell'evento di perdita dei
dati poiché tutte le modifiche effettuate ai dati in istanti di tempo successivi a questo
evento vengono perse. Si cerca quindi di realizzare operazioni di backup il più
frequente possibile in modo da perdere il minor numero di dati possibile.
RTO (Recovery Time Object)
È il tempo necessario per il pieno recupero dell'operatività di un sistema o di un
processo organizzativo in un sistema di analisi Business Critical System (ad
esempio implementazioni di politiche di Disaster recovery nei sistemi informativi): in
pratica, è la massima durata, prevista o tollerata, del downtime occorso. Aspetto di
primaria importanza riveste il fatto che il valore di RTO sia definito, conosciuto e
verificato, tenendo presente che se un downtime lungo danneggia la possibilità di
fruire del servizio più di uno breve, il danno maggiore deriva dall'inconsapevolezza di
quanto possa essere il tempo previsto per il ripristino dei servizi danneggiati.
La quantità di tempo trascorso tra il disastro e il ripristino delle funzioni aziendali
dipende:
dal tipo di disastro
dalla bontà del piano di Disaster Recovery.
Disastri
I disastri possono essere classificati in due grandi categorie:
Disastri naturali
Disastri provocati dall’uomo
Affinché una organizzazione possa rispondere in maniera efficiente ad una
situazione di emergenza, devono essere analizzati:
I possibili livelli di disastro
La criticità dei sistemi/applicazioni
Classificazione dei sistemi
2. Rischio, certificazione e governance 8
Per una corretta applicazione del piano, le procedure applicative, software, di
sistema, e i dati vengono classificati rispetto a parametri di possibilità, facilità,
tolleranza, tempo di ripristino e costo dell’interruzione operativa. I sistemi possono
essere:
Critici: le applicazioni critiche non possono essere sostituite con metodi
manuali. La tolleranza in caso di interruzione è molto bassa, di conseguenza il
costo di una interruzione è molto alto.
Vitali: le relative funzioni possono essere svolte manualmente, ma solo per un
breve periodo di tempo. Vi è una maggiore tolleranza all'interruzione rispetto a
quella prevista per i sistemi critici, conseguentemente il costo di una interruzione
è inferiore, anche perché queste funzioni possono essere riattivate entro un
breve intervallo di tempo.
Delicati: queste funzioni possono essere svolte manualmente, a costi tollerabili,
per un lungo periodo di tempo. Benché queste funzioni possano essere eseguite
manualmente, il loro svolgimento risulta comunque difficoltoso e richiede
l'impiego di un numero di persone superiore a quello normalmente previsto in
condizioni normali.
Non-critici: le relative funzioni possono rimanere interrotte per un lungo periodo
di tempo, con un modesto, o nullo, costo per l'azienda, e si richiede un limitato
(o nullo) sforzo di ripartenza quando il sistema viene ripristinato.
Disaster Recovery
Con Disaster Recovery si intende l'insieme delle misure tecnologiche e
organizzative atte a ripristinare sistemi, dati e infrastrutture necessarie
all'erogazione di servizi a fronte di gravi emergenze che ne intacchino la regolare
attività. Il Disaster Recovery Plan (DRP) è il documento che esplicita tali misure,
compreso all'interno del più ampio pia
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.