Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : 8.0 Security Foundations (Processes)

Amministratori di Sistema: proroga al 15 dicembre

Microsoft Italy PCfSV2 Team — Mon, 29 Jun 2009 19:03:00 GMT

In tema di privacy, il 2009 è iniziato con un provvedimento del Garante per la Protezione dei Dati Personali relativo agli amministratori di sistema; passato lo sconcerto iniziale per un’iniziativa che aveva colto quasi tutti di sorpresa, gli ultimi mesi...(read more)

Black Hat 2008: Microsoft Active Protections Program (MAPP)

Feliciano Intini — Wed, 06 Aug 2008 19:06:53 GMT

Come per l'annuncio del Microsoft Exploitability Index nel post precedente , anche per quest'annuncio può essere utile darvi un po' di indicazioni storiche e di contesto. Forse, infatti, non tutti sanno che fino ad ora l'approccio di Microsoft nel...(read more)

Black Hat 2008: Microsoft Exploitability Index

Feliciano Intini — Wed, 06 Aug 2008 17:04:42 GMT

La parola che molti clienti diranno alla vista di questo annuncio è: finalmente! L'attività di security advisoring che io e il mio team Premier Center for Security (PCfS) abbiamo da sempre realizzato in corrispondenza del rilascio dei bollettini...(read more)

Nuova versione del mio super Microsoft Security Portal!

Feliciano Intini — Thu, 19 Jun 2008 12:29:50 GMT

Alla fine ce l'ho fatta! Era da tempo che contavo di rielaborare e aggiornare la mia personale super lista di blog e risorse Microsoft sulla security , lanciata nella versione 1.0 lo scorso ottobre, e battezzata, con molta modestia...;-)... Feliciano...(read more)

Rilasciata la versione definitiva del Security Compliance Management toolkit

Feliciano Intini — Sun, 08 Jun 2008 19:53:07 GMT

Vi segnalo il rilascio definitivo della soluzione gratuita dei " Solution Accelerators ": Security Compliance Management toolkit di cui vi avevo parlato in questo mio post al lancio della versione beta. Share this post : ...(read more)

Annunciato il Microsoft Security Cooperation Program for CERTs (SCPCert)

Feliciano Intini — Wed, 21 May 2008 13:04:22 GMT

La conferenza AusCERT2008 (Asia Pacific Information Technology Security Conference) organizzata dall'AusCERT (il CERT australiano, uno dei più attivi e rinomati a livello internazionale) è stata l'occasione ideale per annunciare la nascita di un nuovo programma di collaborazione tra Microsoft e il settore pubblico espressamente dedicata ai CERT (ossia ai Computer Emergency Response Team, gli enti dedicati alla gestione delle emergenze di sicurezza informatica): il Microsoft Security Cooperation Program for CERTs (SCPCert)

L'SCPCert si affianca ad altri due programmi analoghi

l'SCPe, il Security Cooperation Program for Education, (nato nel 2006) dedicato agli enti universitari
l'SCPg, il Security Cooperation Program for Governments, il padre del programma SCP (nato nel febbraio del 2005) dedicato agli enti e alle agenzie governative

Lo scopo di queste iniziative è semplice: creare una partnership gratuita per lo scambio di informazioni e di collaborazione sui temi della risposta alle emergenze di sicurezza informatica, della mitigazione di attacchi e della security awareness dei cittadini. L'insieme dei programmi SCP è a sua volta parte del più ampio impegno di Microsoft alla collaborazione trasversale con gli attori più importanti nella gestione della risposta alle emergenze di sicurezza, la Microsoft Security Response Alliance (MSRA), che include, oltre all'SCP:

la Global Infrastructure Alliance for Internet Safety (GIAIS), che riunisce i più importanti Internet Service Provider
la Microsoft Virus Initiative (MVI) e la Virus Information Alliance (VIA), con i produttori e i ricercatori anti-malware
la Microsoft Security Support Alliance (MSSA), con i produttori OEM.

Tutti gli investimenti riposti in queste iniziative confermano un punto importante della strategia di sicurezza di Microsoft: si riconosce, come ribadito dalla recente iniziativa dell'End To End Trust, di non poter indirizzare da soli in modo efficace tutte le diverse problematiche che concorrono alla sicurezza di Internet, e che è necessario un efficiente lavoro di squadra. Queste alleanze sono intanto importanti per la realizzazione di un canale di comunicazione che finora era assente, e tutti sappiamo quanto sia importante l'aspetto di una rapida comunicazione rispetto alle emergenze di sicurezza.

Se qualcuno tra voi è parte di uno di questi enti e desidera saperne di più può contattarmi tramite il blog per ulteriori dettagli.

Share this post :

Disponibile la beta del Security Compliance Management toolkit

Feliciano Intini — Tue, 08 Apr 2008 12:21:39 GMT

Vi segnalo un nuovo programma beta della serie "Solution Accelerators" (risorse gratuite che combinano guide operative e strumenti per aiutare i clienti a progettare, realizzare e gestire con il maggior livello di automatismo possibile, una serie di soluzioni basate su piattaforma Microsoft):

Security Compliance Management toolkit

Lo scenario di utilizzo è quanto di più attuale possa esserci in ambito sicurezza: ogni azienda ha bisogno di verificare la conformità delle configurazioni di sicurezza dei propri sistemi rispetto a

indicazioni normative (es. Sarbanes Oxley Act (SOX), o per noi le più attinenti European Union Data Privacy Directives (EUDPD)),
a framework di verifica/gestione degli aspetti di sicurezza (es. COBIT, ISO 27002 (ex ISO 17799))
o a Security Baseline create ad-hoc internamente per soddisfare le Security Policy aziendali.

Ecco, questo toolkit viene in aiuto ai clienti dotati di Microsoft System Center Configuration Manager 2007, e in particolare della funzionalità di Desired Configuration Monitoring-DCM inclusa in Configuration Manager 2007 (che, per intenderci, è la nuova versione di System Management Server) per la verifica di conformità di sistemi client Windows XP SP2 o Windows Vista e sistemi server Windows Server 2003 SP2, in ambiente Active Directory. Il toolkit include 12 DCM Configuration Packs per gestire altrettante tipologie di sistemi, secondo i formalismi tipici delle Security Guide di Windows ( di baseline: Enterprise Client(EC)/Specialized Security-Limited Functionality(SSLF); di ruolo client: desktop/laptop, e di ruolo server: member server/domain controller).

Come potete vedere, i report che si possono produrre con questa soluzione sono davvero lo strumento migliore per avere sotto controllo a colpo d'occhio la situazione di Security Compliance dei sistemi Windows della vostra azienda.

Il programma beta termina l'8 maggio prossimo, quindi affrettatevi!

Share this post :

Aggiornamento #3 al mio Microsoft Security Portal e nuovi security blog italiani

Feliciano Intini — Mon, 04 Feb 2008 03:59:59 GMT

Notte di aggiornamento alle pagine dei miei mini-portali tematici (che spero vi stiano tornando utili!).

Ho appena terminato di aggiungere nuove voci al mio personale Microsoft Security Portal (in questo post altri dettagli su come è organizzato): come al solito potete ritrovare le novità cercando la stringa "[UPD-08-03]" all'interno della pagina (trattandosi del 3° aggiornamento).

Ho poi aggiunto altri quattro blog alla mia lista di recensione dei security blog italiani, alla quale vi chiedo ancora di contribuire personalmente: come avevo proposto quando ho lanciato questa iniziativa, i vostri commenti possono servire sia a segnalare security blog italiani degni di nota non ancora elencati, sia a ribadire la vostra preferenza tra quelli già recensiti.

My super Microsoft Security Portal

Feliciano Intini — Fri, 28 Dec 2007 21:19:56 GMT

Ho approfittato di queste ferie per aggiornare la pagina web in cui sto raccogliendo TUTTE le risorse Microsoft sul tema Security. Ero partito con la raccolta dei soli Security Blog, ma come si sa l'appetito vien mangiando e ho aggiunto strada facendo altre risorse. A questo punto la pagina stava diventando di difficile lettura e ho quindi pensato di aggiungere un codice all'inizio di ogni voce che identifica il tipo di risorsa:

(B)=Blog: è un blog del team di prodotto non focalizzato solo sul tema sicurezza.
(SB)=Security Blog: è un blog di un prodotto/tecnologia/soluzione di sicurezza.
(W3)=Web Page: pagina web del dominio microsoft.com dove trovare i contenuti di sicurezza sul particolare argomento.
(WP)=White Paper: documenti di approfondimento di particolare rilievo.
(BK)=Security Book: libri di sicurezza sulla piattaforma Microsoft.

Approfittando dell'opera di maquillage, ho pensato fosse utile aggiungere anche la lista dei guru di Microsoft esperti di sicurezza (è in cima alla pagina web).

Per poi agevolarvi la ricerca delle risorse che aggiungerò man mano ho previsto di segnalare le voci nuove appendendo in fondo una notazione del tipo [UPD-08-##]: in questo modo ogni volta che tornate a leggere questa pagina vi basterà cercare le voci etichettate con l'ultimo update per trovare le ultime aggiunte.

Perdonatemi se etichetto con "super" questo personalissimo Microsoft Security Portal: nonostante sia un semplice lavoro di catalogazione, sembra essere così utile che sta ricevendo un plauso da tutta la Microsoft (worldwide!!) interessata agli aspetti di security, evidentemente c'era bisogno di fare un po' d'ordine ;-)))).

Nuova versione del Microsoft Security Assessment Tool (3.5)

Feliciano Intini — Mon, 17 Dec 2007 21:47:22 GMT

Non so quanti di voi siano già a conoscenza di questo tool, e quanti abbiano avuto già modo di utilizzarlo: il Microsoft Security Assessment Tool (MSAT) è un ottimo strumento gratuito (e anche in italiano) per aiutare le aziende a realizzare in casa (è di fatto un tool di self-assessment) l'analisi del proprio approccio alla sicurezza, attraverso un questionario guidato di circa 240 domande strutturate in quattro categorie:

Infrastructure
Applications
Operations
People

Di fatto l'approccio è quello che avete sentito più volte in questo blog, la visione "olistica" che porta a valutare la gestione della sicurezza dal punto di vista organizzativo, operativo e tecnologico. La realizzazione dell'assessment produce un report nel quale sono indicate le raccomandazioni per le attività di rafforzamento, organizzate in ordine di priorità ed elaborate sulla base di comprovati standard, quali ISO 17799 e NIST-800.x, e best practice sia di Microsoft che di terze parti.

Una novità della versione 3.5 appena rilasciata è che viene fornito il livello di "Security Maturity" dell'azienda, elaborato in base alla parte Core Security Infrastructure del modello Microsoft di Infrastructure Optimization (non conoscete neanche questo??? Ahi-ahi-ahi-ahi-ahiii ... urge parlarvene al più presto ... me lo segno nella lista chilometrica di idee per i nuovi post). Chi accettasse di sottomettere il report in formato rigorosamente anonimo sul sito web MSAT, otterrebbe in cambio il download del risultato aggregato delle altre aziende che hanno condiviso le proprie analisi, in modo da poter confrontare il proprio livello di Security Maturity con quello di aziende dello stesso settore e della stessa dimensione.

Nonostante l'MSAT sia pensato per le aziende medio-piccole credo sia un validissimo supporto per aziende di ogni dimensione: è più importante che si abbia poi modo di investire tempo e risorse da dedicare per le attività di rafforzamento che sicuramente emergeranno dall'analisi ...

Ricordate che Microsoft offre supporto gratuito per virus e problemi di sicurezza

Feliciano Intini — Tue, 20 Nov 2007 18:45:02 GMT

Leggo dal blog di Vincenzo di una nuova diffusione di Trojan attraverso MSN Messenger. In parallelo, l'aumento di visibilità del mio blog nei motori di ricerca e i post realizzati sul tema Windows Live Messenger hanno generato in questi mesi diverse richieste di supporto da parte di utenti (giustamente) preoccupati di recuperare il controllo della propria utenza MSN/Hotmail/Windows Live di fronte a fenomeni di infezione da malware, furto di identità, incauto rilascio della password a servizi online di dubbia reputazione. Nell'ultimo post al riguardo (Come riappropiarsi del proprio Windows Live ID rubato) avevo indicato il modulo di richiesta di supporto, ma diverse vostre email e commenti sul post chiedevano riscontri sui tempi di risposta: ho segnalato queste situazioni al gruppo di Microsoft che cura questi servizi online. Loro mi hanno riportato che una situazione purtroppo frequente è che la risposta via email del centro di supporto Microsoft rischia di essere filtrata dai filtri anti-spam dei programmi di posta, outlook compreso (simpatico ... ;-): quindi, intanto, accertatevi di questa eventuale possibilità.

A coloro che giustamente chiedevano un modo rapido di supporto, ho più volte indicato di chiamare il nostro Servizio Clienti. Dal momento che queste richieste di aiuto non sono diminuite devo dedurre che probabilmente non tutti leggono i commenti in fondo ai post, e quindi ho pensato utile ribadire a lettere cubitali l'informazione riportata nel titolo:

MICROSOFT OFFRE SUPPORTO GRATUITO PER VIRUS E PROBLEMI DI SICUREZZA

Non vorrei sbagliarmi ma credo che Microsoft sia l'unico vendor che operi in questo modo per aiutare i clienti sui problemi di sicurezza, quindi, pur augurandovi di non averne mai bisogno, se vi dovesse servire, approfittatene!!

Magari aggiungo un link veloce a sinistra con una pagina di numeri e link utili nell'emergenza che terrò costantemente aggiornata ...

La super lista dei blog e delle risorse Microsoft sulla Security

Feliciano Intini — Wed, 31 Oct 2007 17:40:01 GMT

Carissimi, di fronte all'imminente ponte di Ognissanti, che mi auguro possiate tutti godere in salute e serenità, ho pensato di regalarvi un post che, se non avrete voglia o modo di stare all'aria aperta, potrà occuparvi interamente le prossime giornate di relax di fronte al computer ... (con grande gioia di fidanzate, mogli e amanti...:-))))).

Partendo dalla lista dei blog dei vari gruppi di prodotto di Microsoft, ho selezionato solo quelli correlati alla sicurezza e li ho incasellati all'interno della mia personale Microsoft Security Taxonomy 1.0 (di cui avete avuto un assaggio all'inizio del mio blog), producendo la prima versione della seguente pagina web:

Microsoft Blogs and Web Resources about Security

Il link a questa pagina è inserito nel gruppo dei mini-portali tematici alla vostra sinistra, dopo i tag (che seguono all'incirca la stessa tassonomia), in modo che possiate accedervi con regolarità e vedere i vari aggiornamenti (titolo e testo sono in inglese perché sto tentando di convincere i grandi capi in MS Corp a riorganizzare gli argomenti di sicurezza in questo modo ...). Per ora ho inserito solo i blog, ma conto di aggiungere le pagine web.

A proposito di lista di blog e recensioni, volevo dirvi che mi aspettavo un vostro contributo alla lista dei security blog italiani di cui vi ho detto in questo post, ... ma solo pochi valorosi mi hanno segnalato le loro preferenze. Perché ? Possibile che non abbiate voglia di spendere 2 minuti per commentare e condividere i 5 blog italiani di sicurezza di cui non fareste a meno ? Su dai ... non fate i pigri ... bastano anche solo i link!

Happy reading!

La convergenza di Security e Privacy: una novità ?

Feliciano Intini — Tue, 23 Oct 2007 19:01:00 GMT

Oggi in contemporanea in due eventi di sicurezza, Ben Fathi (all'RSA Europe Conference a Londra) e Scott Charney (allo IAPP Privacy Academy di San Francisco) di Microsoft hanno parlato nelle loro keynote della convergenza di Security e Privacy sulla base dei risultati di uno studio effettuato dal Ponemon Institute. Questa ricerca commissionata da Microsoft e realizzata nel settembre 2007 ha portato ad intervistare circa 3600 dirigenti di aziende negli Stati Uniti, Inghilterra e Germania, con una responsabilità tra le seguenti: sicurezza, protezione dati o marketing. Cosa emerge da questo studio ? Un serie di importanti considerazioni che vi riassumo:

Dal punto di vista dello scenario di rischio e delle minacce, la sicurezza e la privacy stanno convergendo: alla luce dei risultati dell'ultimo Microsoft Security Intelligence Report (relativo al primo semestre del 2007, e di cui vi parlo nel post successivo) è ormai evidente anche nei numeri l'annunciato aumento di attacchi diretti al furto delle informazioni personali, portati con l'intento di trarne profitto.
Di fronte a questo scenario di convergenza, le aziende non sono attualmente strutturate in modo adeguato dal punto di vista organizzativo per affrontare queste minacce ai dati personali. I dati statistici della ricerca dimostrano che le aziende più colpite da incidenti di sicurezza sono anche quelle caratterizzate da una povera collaborazione tra i tre gruppi oggetto dell'analisi (responsabili di sicurezza, protezione dati e marketing).
Non è carente solo la collaborazione tra questi gruppi in azienda: anche la percezione dei singoli gruppi su come operare relativamente alla protezione dei dati è nettamente diversa ed autonoma, a tutto discapito della possibilità di collaborare.
Sulla necessità di preservare o aumentare la reputazione e l'immagine di sicurezza dell'azienda sono invece tutti d'accordo: e questo dovrebbe aiutare i responsabili di sicurezza e privacy nell'ottenere maggiore attenzione sui temi della protezione dei dati.

Vi confesso che non vedo in queste considerazioni una vera e propria novità. Non fraintendetemi, il valore di questa ricerca è indubbio: mette nero su bianco dei fatti che possano far riflettere le aziende e aiutarle nelle loro decisioni. D'altra parte invece ritengo che chi abbia già avuto modo di affrontare la gestione della sicurezza in modo maturo e strutturato, "come si deve", dovrebbe già aver indirizzato questi aspetti e non dovrebbe scoprirlo adesso. La privacy è solo un aspetto specifico della sicurezza, relativamente alla protezione dei dati e in particolare delle cosiddette PII (Personal Identifiable Information). Se ci troviamo oggi a dire che stanno convergendo lo dobbiamo solo all'anomalo percorso storico che abbiamo vissuto. Prima abbiamo scoperto la necessità di fare sicurezza per difenderci dagli attacchi worm di scala mondiale: corsa organizzativa a formalizzare in azienda la funzione sicurezza (corsa su cui in Italia siamo ancora indietro). Poi (è il periodo attuale) abbiamo cominciato a dover rendere conto alla normativa nazionale sui temi della Privacy (in Europa prima che negli Stati Uniti, per la prima volta in controtendenza): corsa organizzativa a identificare il responsabile Privacy. Perché non capire subito che stavamo parlando di facce diverse della stessa medaglia ? Perché creare responsabilità in divisioni distinte ? Ovvio poi ritrovarsi con approcci distinti, povera collaborazione (se non conflitto e concorrenza...) e diversa percezione. In conclusione, la raccomandazione che mi sento di offrirvi è quella di fare sicurezza in azienda "come si deve" con la giusta attenzione da parte del top management e i dovuti investimenti (in base alle risorse da proteggere): questa attenzione top-down produrrà in modo naturale un approccio più organico sulla sicurezza all'interno dell'azienda e porterà benefici anche (ma non solo) sul tema della protezione dei dati, facilitando le parti coinvolte alla migliore collaborazione e alla condivisione di una strategia comune di difesa che va pensata dall'alto.

Rilasciata la CSI Computer Crime and Security Survey 2007

Feliciano Intini — Fri, 28 Sep 2007 09:33:23 GMT

E' stata rilasciata di recente la rinomata analisi statistica sugli incidenti di sicurezza condotta dal Computer Security Institute: la potete scaricare gratuitamente a questo link previa registrazione. Il fatto che l'analisi sia condotta su un campione esclusivamente statunitense potrebbe far pensare che sia poco rilevante per la nostra realtà europea e italiana. Personalmente credo che, al contrario, essa rappresenti un importante strumento di previsione dei trend che potranno interessare nel medio/breve termine il nostro scenario nazionale in virtù del comprovato "ritardo" tecnologico che abbiamo rispetto alla realtà statunitense: quello che a loro succede oggi (nel bene e nel male), a noi arriva tra almeno 2-3 anni (se va bene). Queste le principali osservazioni conclusive:

le perdite economiche legate agli incidenti di sicurezza segnalati nell'analisi sono raddoppiate rispetto all'anno scorso
quasi un quinto di coloro che hanno subito un incidente di sicurezza dichiarano di essere stati vittima di un attacco mirato alla propria organizzazione
la frode a scopo di lucro è balzata al comando della classifica delle cause che hanno prodotto la maggiore perdita economica, spodestando gli attacchi virus che hanno dominato la classifica negli ultimi 7 anni.

Sono indicazioni che fanno sicuramente riflettere e confermano le previsioni sull'evoluzione dello scenario di rischio: non più attacchi di massa, globali, di effetto mediatico, ma sempre più attacchi silenti, mirati, con l'esplicito scopo di lucro. Questa situazione rende sicuramente più difficile il contrasto delle azioni cybercriminali e dovrebbe indurre le aziende ad adottare in modo ancor più rigoroso i principi di Risk Management: se chi ci attacca cerca il lucro, andrà adeguatamente individuato e protetto l'asset più sensibile e più di valore, con un approccio di protezione multi-livello (Defense In-Depth).

Piccola curiosità: fino allo scorso anno questa analisi era chiamata CSI/FBI Survey: a detta dell'editore l'elisione della sigla FBI non vuole tanto segnalare una interruzione nella collaborazione con l'FBI, quanto l'intenzione di rappresentare uno studio autonomo del settore privato e non una ricerca governativa. Buona lettura!

Brevi conferme ad alcune perle di security governance

Feliciano Intini — Mon, 30 Jul 2007 19:16:14 GMT

Non lo faccio (solo) per farmi bello ... ;-), ma in questi giorni ho letto qualche articolo che conferma alcune delle considerazioni fatte nelle mie famose "17 perle di security governance", e ho pensato di condividerli per consolidare l'importanza di queste best practice:

Perla N° 15: necessità e urgenza dei processi di secure code development
Study: Largest vendors account for fewer software flaws
In sintesi: The top 10 most vulnerable software vendors, including Microsoft, are contributing a smaller percentage of all vulnerability disclosures per year compared to five years ago, an IBM analysis says.
E tra le diverse considerazioni: "...the most vulnerable vendors typically have also been the biggest software vendors and those with the largest installed bases. Traditionally, security researchers and hackers have gone after vendors with the biggest installed bases because that is where they can have the biggest impact. As larger vendors begin to do a better job of locking down their software, hackers and software researchers have begun focusing their attention on newer vendors and their applications ..."

Perla N° 4: la sicurezza nei rapporti con partner che accedono alla nostra rete
Third Parties Fumble Data Handoffs
In sintesi: Companies are learning -- the hard way -- that the security chain is only as good as its weakest link. In the past few days, two major organizations have suffered breaches of their constituents' personal data -- not because of something they did, but because of something their partners did.

Perla N° 2: necessità ed efficacia delle Security Policy
Firms urged to educate staff on ICT policies
In sintesi: Over three-quarters of employers do not take steps to make sure their staff understand the ICT policies they have in place, according to new research.

Come promesso ho anche aggiornato il mini-portale con i link a questi articoli.