Servizi di sicurezza informatica in outsorcing

I cosiddetti MSS, cioè i Managed Security Service sono i servizi di sicurezza esterni alle aziende, perchè affidati in outsorcing.
Tra i più diffusi servizi vanno ricordati:
Security scanning
Il security scanning è il servizio più comune offerto ed anche quello più richiesto dalle aziende. Consiste nella ricerca di vulnerabilità della rete aziendale per mezzo di strumenti automatici o semi automatici che simulano il comporamento degli hacker.
Il securty scanning può essere effettuato sia da remoto sia on site e normalmente viene suddiviso in due fasi:

  1. vulnerability assessment;
  2. penetration test.

 
La fase di valutazione delle vulnarabilità parte solitamwente da un dasta base e consiste nella analisi di cirticità note, parametri di configurazione, privilegi degli account, registry e servizi abilitati.
Il pemetration test, invece, ha lo scpo di simulare tentativi no autorizzati di accesso a servere o a singoli client della rete, sfruttando le più aggiornate tecniche conosciute.
Un aspetto importante sei servizi di security scanning riguarda la documentazione prodotta. Di solito vengono proposti diversi livelli di reporting che comprendono informazioni ricavate in automatico dai tool di sansione e analisi o documenti contenenti tutti i dati sulle attività svolte, le macchine analizzate, le vulnerabilità indivuduate e le soluzioni da completare. Non mancano documenti più sinteci, per il top management, che riportano in maniera essenziale il grado di vulnerabilità riscontrato.
 
Intrusion detecnion

Tali servizi riguardano una serie di attività di monitoraggio che vengono effettuate sui dispositivi di rete. Sono condotti essenzialmente in tempo reale e permettono di individuare eventuali tentativi di intrusione, alterazioni delle configurazioni di riferimento standard secondo le policy prestabilite e, più in generale, problemi di incongruenza sistemistica.
I dispositivi utilizzati integrano procedure per la gestione delle funzioni di alerting e dispatching attraverso sistemi di messaggistica differenziata.
L'implementazione di questi strumenti consente di controllare in maniera costante eventuali tentatvi di attacco
 Hardening dei sistemi

I sistemi operativi più diffusi, Windows e Unix, sono spesso installati in modo incompleto o con l'assegnazione di privilegi a operatori spesso non giustificati. Inoltre, le case madri rilasciano periodicamente nuovi aggiornamenti del software di base a fronte dell'individuazione di vulnerabilità; tutto ciò richiede un costante monitoraggio dei sistemi operativi.
L'obiettivo dei progetti di hardening è quello di sviluppare un set di modifiche la sistema operativo di riferimento che lo rendano più sicuro.
Normalmante le operazioni di hardening vengono realizzatre sui sisteòi ritenuti ad alta criticità, per i quali il livello di availability e reliability deve essere alto.

 Incident handling analysis

Dopo un attacco informatico, è necessario effettuare un'analisi dettagliata dei sistemi dell'intero network.
L'obiettivo dell'indagine consiste nel comprendere ed individuare le cause che hanno reso possibile l'attacco, le vulnerabilità utilizzate come veicolo d'ingresso alle risorse Ict, le modificazioni delle regole di accesso ai sistemi, l'individuazione di virus Internet-enabled, back-door e trojan horse.
Una volta ricostruita la tecnica utilizzata e la dinamca dell'attacco, sarà possibile introdurre le misure protettive più idonee per evitare ulteriori tentativi d'intrusione.
 Remote security management
Le attività di gestione remota della sicurezza dei sistemi, siano essi server oppure workstation, vengono realizzate mediante l'installazione sul client di componenti dedicati che consentono il monitoraggio e la gestione a distanza.
Il flusso dei dati fra la società di MSS e il client avviene sempre in modalità protetta attraverso l'implementazione di un Vpn crittografato.
  Auditing
Questo tipo di attività consiste nell'effettuare un controlo periodico e un'analisi sui file di log dei firewall o degli Ids (Intrusion detection system) installati sulla rete.
L'analisi ha come obiettivo quello di indivuduare elementi significativi e tracce che consentano di risalire a tentativi d'intrusione.
Le attività di auditing prevedono la redazione di un report contenente un elenco dettagliato dei tentativi d'intrusione individuati e informazioni generali di carettere statistico sull'utilizzazione delle risorse.
 Net inventory
Questo tipo di servizio consiste nell'effettuare un accurata valutazione della rete intera e dei dispositivi presenti in essa.
Vengono, quindi, identificate tutte le componenti hardware e software installati, in modo da rafforzare gli standard a livello corporate contro i rischi di furto di dispositivi, l'installazione di software non autorizzato e l'adeguamento alla politica delle licenze aziendali.
Il servizio prevede la generazione di report dettagliati, grazie ai quali i dipartimenti di information technologicy hanno la possibilità di fare correte valutazioni in relazione ai piani di sviluppo strategico e finanziario.