Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Security Management

“Sicurezza, open source, codice proprietario, interoperabilità” alla 2a Giornata della sicurezza in Sardegna

Feliciano Intini — Mon, 03 Nov 2008 13:56:14 GMT

Mercoledì prossimo, 5 novembre 2008, sarò ospite della seconda edizione della " Giornata della sicurezza informatica in Sardegna ", organizzata da Sardegna Ricerche e dal Lab. Intelligenza d'ambiente di Sardegna DistrICT . Come riporta...(read more)

Sono ancora valide le 10 Immutable Laws of Security?

Feliciano Intini — Tue, 23 Sep 2008 13:26:46 GMT

Vi propongo la lettura di un interessante articolo (il primo di una serie di tre pezzi) di Jesper Johansson , ex dipendente Microsoft e validissimo esperto di sicurezza, nel quale si prova a rivisitare le famose " 10 Immutable Laws of Security "...(read more)

In futuro prevarrà la Positive Security?

Feliciano Intini — Mon, 22 Sep 2008 13:27:50 GMT

Alzi la mano chi di voi sa dire al volo cosa sia la " Positive Security ". Io confesso di averlo appreso da pochissimo: anche se il suo significato è abbastanza intuibile, questo termine non sembra ancora molto diffuso (wikipedia non ha...(read more)

Microsoft contribuisce alla nascita dell'Industry Consortium for Advancement of Security on the Internet (ICASI)

Feliciano Intini — Mon, 30 Jun 2008 19:51:35 GMT

In occasione dell'evento FIRST 2008 a Vancouver di qualche giorno fa, è stata annunciata la nascita di un consorzio non-profit impegnato a livello internazionale sull'importante tema della risposta alle emergenze di sicurezza informatica: Industry...(read more)

Rilasciata la versione definitiva del Security Compliance Management toolkit

Feliciano Intini — Sun, 08 Jun 2008 19:53:07 GMT

Vi segnalo il rilascio definitivo della soluzione gratuita dei " Solution Accelerators ": Security Compliance Management toolkit di cui vi avevo parlato in questo mio post al lancio della versione beta. Share this post : ...(read more)

Annunciato il Microsoft Security Cooperation Program for CERTs (SCPCert)

Feliciano Intini — Wed, 21 May 2008 13:04:22 GMT

La conferenza AusCERT2008 (Asia Pacific Information Technology Security Conference) organizzata dall'AusCERT (il CERT australiano, uno dei più attivi e rinomati a livello internazionale) è stata l'occasione ideale per annunciare la nascita di un nuovo programma di collaborazione tra Microsoft e il settore pubblico espressamente dedicata ai CERT (ossia ai Computer Emergency Response Team, gli enti dedicati alla gestione delle emergenze di sicurezza informatica): il Microsoft Security Cooperation Program for CERTs (SCPCert)

L'SCPCert si affianca ad altri due programmi analoghi

l'SCPe, il Security Cooperation Program for Education, (nato nel 2006) dedicato agli enti universitari
l'SCPg, il Security Cooperation Program for Governments, il padre del programma SCP (nato nel febbraio del 2005) dedicato agli enti e alle agenzie governative

Lo scopo di queste iniziative è semplice: creare una partnership gratuita per lo scambio di informazioni e di collaborazione sui temi della risposta alle emergenze di sicurezza informatica, della mitigazione di attacchi e della security awareness dei cittadini. L'insieme dei programmi SCP è a sua volta parte del più ampio impegno di Microsoft alla collaborazione trasversale con gli attori più importanti nella gestione della risposta alle emergenze di sicurezza, la Microsoft Security Response Alliance (MSRA), che include, oltre all'SCP:

la Global Infrastructure Alliance for Internet Safety (GIAIS), che riunisce i più importanti Internet Service Provider
la Microsoft Virus Initiative (MVI) e la Virus Information Alliance (VIA), con i produttori e i ricercatori anti-malware
la Microsoft Security Support Alliance (MSSA), con i produttori OEM.

Tutti gli investimenti riposti in queste iniziative confermano un punto importante della strategia di sicurezza di Microsoft: si riconosce, come ribadito dalla recente iniziativa dell'End To End Trust, di non poter indirizzare da soli in modo efficace tutte le diverse problematiche che concorrono alla sicurezza di Internet, e che è necessario un efficiente lavoro di squadra. Queste alleanze sono intanto importanti per la realizzazione di un canale di comunicazione che finora era assente, e tutti sappiamo quanto sia importante l'aspetto di una rapida comunicazione rispetto alle emergenze di sicurezza.

Se qualcuno tra voi è parte di uno di questi enti e desidera saperne di più può contattarmi tramite il blog per ulteriori dettagli.

Share this post :

Disponibile la beta del Security Compliance Management toolkit

Feliciano Intini — Tue, 08 Apr 2008 12:21:39 GMT

Vi segnalo un nuovo programma beta della serie "Solution Accelerators" (risorse gratuite che combinano guide operative e strumenti per aiutare i clienti a progettare, realizzare e gestire con il maggior livello di automatismo possibile, una serie di soluzioni basate su piattaforma Microsoft):

Security Compliance Management toolkit

Lo scenario di utilizzo è quanto di più attuale possa esserci in ambito sicurezza: ogni azienda ha bisogno di verificare la conformità delle configurazioni di sicurezza dei propri sistemi rispetto a

indicazioni normative (es. Sarbanes Oxley Act (SOX), o per noi le più attinenti European Union Data Privacy Directives (EUDPD)),
a framework di verifica/gestione degli aspetti di sicurezza (es. COBIT, ISO 27002 (ex ISO 17799))
o a Security Baseline create ad-hoc internamente per soddisfare le Security Policy aziendali.

Ecco, questo toolkit viene in aiuto ai clienti dotati di Microsoft System Center Configuration Manager 2007, e in particolare della funzionalità di Desired Configuration Monitoring-DCM inclusa in Configuration Manager 2007 (che, per intenderci, è la nuova versione di System Management Server) per la verifica di conformità di sistemi client Windows XP SP2 o Windows Vista e sistemi server Windows Server 2003 SP2, in ambiente Active Directory. Il toolkit include 12 DCM Configuration Packs per gestire altrettante tipologie di sistemi, secondo i formalismi tipici delle Security Guide di Windows ( di baseline: Enterprise Client(EC)/Specialized Security-Limited Functionality(SSLF); di ruolo client: desktop/laptop, e di ruolo server: member server/domain controller).

Come potete vedere, i report che si possono produrre con questa soluzione sono davvero lo strumento migliore per avere sotto controllo a colpo d'occhio la situazione di Security Compliance dei sistemi Windows della vostra azienda.

Il programma beta termina l'8 maggio prossimo, quindi affrettatevi!

Share this post :

Nuova versione del Microsoft Security Assessment Tool (3.5)

Feliciano Intini — Mon, 17 Dec 2007 21:47:22 GMT

Non so quanti di voi siano già a conoscenza di questo tool, e quanti abbiano avuto già modo di utilizzarlo: il Microsoft Security Assessment Tool (MSAT) è un ottimo strumento gratuito (e anche in italiano) per aiutare le aziende a realizzare in casa (è di fatto un tool di self-assessment) l'analisi del proprio approccio alla sicurezza, attraverso un questionario guidato di circa 240 domande strutturate in quattro categorie:

Infrastructure
Applications
Operations
People

Di fatto l'approccio è quello che avete sentito più volte in questo blog, la visione "olistica" che porta a valutare la gestione della sicurezza dal punto di vista organizzativo, operativo e tecnologico. La realizzazione dell'assessment produce un report nel quale sono indicate le raccomandazioni per le attività di rafforzamento, organizzate in ordine di priorità ed elaborate sulla base di comprovati standard, quali ISO 17799 e NIST-800.x, e best practice sia di Microsoft che di terze parti.

Una novità della versione 3.5 appena rilasciata è che viene fornito il livello di "Security Maturity" dell'azienda, elaborato in base alla parte Core Security Infrastructure del modello Microsoft di Infrastructure Optimization (non conoscete neanche questo??? Ahi-ahi-ahi-ahi-ahiii ... urge parlarvene al più presto ... me lo segno nella lista chilometrica di idee per i nuovi post). Chi accettasse di sottomettere il report in formato rigorosamente anonimo sul sito web MSAT, otterrebbe in cambio il download del risultato aggregato delle altre aziende che hanno condiviso le proprie analisi, in modo da poter confrontare il proprio livello di Security Maturity con quello di aziende dello stesso settore e della stessa dimensione.

Nonostante l'MSAT sia pensato per le aziende medio-piccole credo sia un validissimo supporto per aziende di ogni dimensione: è più importante che si abbia poi modo di investire tempo e risorse da dedicare per le attività di rafforzamento che sicuramente emergeranno dall'analisi ...

La convergenza di Security e Privacy: una novità ?

Feliciano Intini — Tue, 23 Oct 2007 19:01:00 GMT

Oggi in contemporanea in due eventi di sicurezza, Ben Fathi (all'RSA Europe Conference a Londra) e Scott Charney (allo IAPP Privacy Academy di San Francisco) di Microsoft hanno parlato nelle loro keynote della convergenza di Security e Privacy sulla base dei risultati di uno studio effettuato dal Ponemon Institute. Questa ricerca commissionata da Microsoft e realizzata nel settembre 2007 ha portato ad intervistare circa 3600 dirigenti di aziende negli Stati Uniti, Inghilterra e Germania, con una responsabilità tra le seguenti: sicurezza, protezione dati o marketing. Cosa emerge da questo studio ? Un serie di importanti considerazioni che vi riassumo:

Dal punto di vista dello scenario di rischio e delle minacce, la sicurezza e la privacy stanno convergendo: alla luce dei risultati dell'ultimo Microsoft Security Intelligence Report (relativo al primo semestre del 2007, e di cui vi parlo nel post successivo) è ormai evidente anche nei numeri l'annunciato aumento di attacchi diretti al furto delle informazioni personali, portati con l'intento di trarne profitto.
Di fronte a questo scenario di convergenza, le aziende non sono attualmente strutturate in modo adeguato dal punto di vista organizzativo per affrontare queste minacce ai dati personali. I dati statistici della ricerca dimostrano che le aziende più colpite da incidenti di sicurezza sono anche quelle caratterizzate da una povera collaborazione tra i tre gruppi oggetto dell'analisi (responsabili di sicurezza, protezione dati e marketing).
Non è carente solo la collaborazione tra questi gruppi in azienda: anche la percezione dei singoli gruppi su come operare relativamente alla protezione dei dati è nettamente diversa ed autonoma, a tutto discapito della possibilità di collaborare.
Sulla necessità di preservare o aumentare la reputazione e l'immagine di sicurezza dell'azienda sono invece tutti d'accordo: e questo dovrebbe aiutare i responsabili di sicurezza e privacy nell'ottenere maggiore attenzione sui temi della protezione dei dati.

Vi confesso che non vedo in queste considerazioni una vera e propria novità. Non fraintendetemi, il valore di questa ricerca è indubbio: mette nero su bianco dei fatti che possano far riflettere le aziende e aiutarle nelle loro decisioni. D'altra parte invece ritengo che chi abbia già avuto modo di affrontare la gestione della sicurezza in modo maturo e strutturato, "come si deve", dovrebbe già aver indirizzato questi aspetti e non dovrebbe scoprirlo adesso. La privacy è solo un aspetto specifico della sicurezza, relativamente alla protezione dei dati e in particolare delle cosiddette PII (Personal Identifiable Information). Se ci troviamo oggi a dire che stanno convergendo lo dobbiamo solo all'anomalo percorso storico che abbiamo vissuto. Prima abbiamo scoperto la necessità di fare sicurezza per difenderci dagli attacchi worm di scala mondiale: corsa organizzativa a formalizzare in azienda la funzione sicurezza (corsa su cui in Italia siamo ancora indietro). Poi (è il periodo attuale) abbiamo cominciato a dover rendere conto alla normativa nazionale sui temi della Privacy (in Europa prima che negli Stati Uniti, per la prima volta in controtendenza): corsa organizzativa a identificare il responsabile Privacy. Perché non capire subito che stavamo parlando di facce diverse della stessa medaglia ? Perché creare responsabilità in divisioni distinte ? Ovvio poi ritrovarsi con approcci distinti, povera collaborazione (se non conflitto e concorrenza...) e diversa percezione. In conclusione, la raccomandazione che mi sento di offrirvi è quella di fare sicurezza in azienda "come si deve" con la giusta attenzione da parte del top management e i dovuti investimenti (in base alle risorse da proteggere): questa attenzione top-down produrrà in modo naturale un approccio più organico sulla sicurezza all'interno dell'azienda e porterà benefici anche (ma non solo) sul tema della protezione dei dati, facilitando le parti coinvolte alla migliore collaborazione e alla condivisione di una strategia comune di difesa che va pensata dall'alto.

Brevi conferme ad alcune perle di security governance

Feliciano Intini — Mon, 30 Jul 2007 19:16:14 GMT

Non lo faccio (solo) per farmi bello ... ;-), ma in questi giorni ho letto qualche articolo che conferma alcune delle considerazioni fatte nelle mie famose "17 perle di security governance", e ho pensato di condividerli per consolidare l'importanza di queste best practice:

Perla N° 15: necessità e urgenza dei processi di secure code development
Study: Largest vendors account for fewer software flaws
In sintesi: The top 10 most vulnerable software vendors, including Microsoft, are contributing a smaller percentage of all vulnerability disclosures per year compared to five years ago, an IBM analysis says.
E tra le diverse considerazioni: "...the most vulnerable vendors typically have also been the biggest software vendors and those with the largest installed bases. Traditionally, security researchers and hackers have gone after vendors with the biggest installed bases because that is where they can have the biggest impact. As larger vendors begin to do a better job of locking down their software, hackers and software researchers have begun focusing their attention on newer vendors and their applications ..."

Perla N° 4: la sicurezza nei rapporti con partner che accedono alla nostra rete
Third Parties Fumble Data Handoffs
In sintesi: Companies are learning -- the hard way -- that the security chain is only as good as its weakest link. In the past few days, two major organizations have suffered breaches of their constituents' personal data -- not because of something they did, but because of something their partners did.

Perla N° 2: necessità ed efficacia delle Security Policy
Firms urged to educate staff on ICT policies
In sintesi: Over three-quarters of employers do not take steps to make sure their staff understand the ICT policies they have in place, according to new research.

Come promesso ho anche aggiornato il mini-portale con i link a questi articoli.

Le "17 perle" della Security Governance

Feliciano Intini — Wed, 27 Jun 2007 02:13:00 GMT

Chi di voi non ha seguito il mio consiglio e caparbiamente ha voluto seguire la mia sessione "Security Governance" agli scorsi due eventi del Microsoft Security Day, si è sorbito la sintesi di tante mie esperienze sul campo da consulente di sicurezza impegnato nel fare security assessment sui grandi clienti italiani. Per poter condividere tali considerazioni in sola mezz'ora di sessione ho dovuto trovare il modo di condensarle e renderle immediate e illuminanti, capaci almeno di far riflettere chi opera nell'ambito del Security Management su quali siano le situazioni che meritano di essere indirizzate nella gestione della sicurezza in azienda...(read more)

Certificazioni di sicurezza e dintorni

Feliciano Intini — Thu, 08 Mar 2007 14:26:00 GMT

Lo so, mi avete dato per disperso... ma il fatto è che anch'io lavoro seriamente, e per ora mi capita di doverlo fare ancora spesso (ma volentieri) ... ;-)) ... Volevo riportarvi le mie considerazioni sul security talk AIPSI di ieri sera sulle certificazioni di sicurezza....(read more)

Spunti di Security Strategy - 1a puntata

Feliciano Intini — Tue, 23 Jan 2007 18:48:00 GMT

Nel prepararmi per l'evento a cui parteciperò dopodomani, l' e-Security Lab , e su cui non mancherò di riferirvi, stavo riflettendo su come l'evoluzione della strategia di sicurezza di Microsoft possa scatenare una serie di ottimi spunti per condivere quello che credo sia la necessità di un approccio moderno alla gestione della sicurezza....(read more)