Wikipedia

Hardening: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Editing.
Nessun oggetto della modifica
Riga 1:
{{F|informatica|ottobre 2016}}
In [[informatica]], con il termine '''Hardening''' (la cui traduzione letterale significa (indurire, temprareirrobustire), si indica ill’insieme processodi cheoperazioni mira attraverso operazionispecifiche di [[configurazione (informatica)|configurazione]] specifica di un dato [[sistema informatico|sistema]] (e dei suoi relativi componenti,) che mirano a minimizzare l'impatto di possibili attacchi informatici che sfruttano [[0-day|vulnerabilità]] dello stesso, migliorandone quindipertanto la [[sicurezza informatica|sicurezza]] complessiva.
 
==Descrizione==
 
NeiIn paesi anglosassoni viene spesso indicata come SHID ([[Security Hardening Investigation & Defence]]), in [[Italiaitalia]] rientra nelle pratiche tecniche introdotte dal DPS[[documento programmatico sulla sicurezza]] 196/03 sulla sicurezza dei dati ed in generale enuncia i criteri da adottare per garantire l'adozione delle misure minime di sicurezza sui sistemi e sulle infrastrutture tecnologiche. Dal 25 Maggio 2018 avrà efficacia il [[Regolamento generale sulla protezione dei dati]] , il quale sostituirà il d. lgs. 196/03 riguardante il codice in materia di protezione dei dati personali
 
Uno degli errori più comuni nella realizzazione di un sistema informatico riguarda la fase di installazione di un sistema operativo, di un network device o di un'applicazione. Quando si procede ad un lavoro di questo genere, spesso questi componenti non sono ben configurati per impedire i relativi rischi di [[sicurezza informatica]] che possono derivarne, ma sono soggetti ad una configurazione quanto più aderente ai principi basilari dell'amministrazione e più in generale al fine economico che l’azienda persegue. Le aziende pongono più importanza sul corretto funzionamento del sistema e sulla rapidità di realizzazione dello stesso al fine di prevalere sulla concorrenza, tralasciando l’aspetto importante della sicurezza. Inoltre, soprattutto la componente software può contenere vulnerabilità che mettono a rischio il sistema.<ref>{{it}}https://www.01net.it/i-principi-di-base-dellhardening-dei-sistemi-parte-1/</ref>
L'attività si divide in tre parti fondamentali:
 
È questo uno dei motivi per cui si parla di esigenze di hardening, cioè di rafforzamento delle piattaforme installate dal punto di vista della security.
1) pre-analisi sullo stato attuale
 
==Tipologie==
2) remedy
 
Fondamentalmente l'hardening può essere delle seguenti tipologie:
3) monitoring per un dato tempo
 
1)One Time Hardening: viene effettuato solo una volta dopo la prima realizzazione del sistema
Per la parte di Remedy (==rimedio) vengono elencate delle attività tecniche mirate che poi devono essere opportunamente documentate (report) al fine di garantire la history sul singolo componente dell'infrastruttura e poter permettere un eventuale rollback in caso di blocco della funzionalità. La parte di report è poi soggetta ad un Audit successivo di verifica (da parte di un organo interno all' IT oppure spesso si ricorre a società specializzate di ethical hacker/security evangelist) atto a convalidare lo stato di sicurezza raggiunto (compliance) e la documentazione finale viene integrata nel Dps aziendale.
 
2) Multiple Time hardening. Viene effettuato più volte durante la vita del sistema, e la sua ripetizione nel tempo dipende da due fattori fondamentali che sono il rilascio di [[Patch (informatica)|patch]] di aggiornamento (patch management) per far fronte alle zero day vulnerability e l'aggiunta di moduli complementari a quello installato di base.
 
==Fasi==
L'attività hardening si divide in tre parti fondamentali:
 
1) '''pre-analisi sullo stato attuale'''
 
Di solito si identificano per primi i dispositivi di rete. Si tratta di componenti [[hardware]] (e di software che li gestiscono) esposti e visibili da tutti gli altri nodi della rete.
 
Si procede poi con il [[software di base]]. Ad esempio, un [[sistema operativo]], uno dei componenti principali del software di base, funziona ed interagisce con il resto del sistema informatico mediante vari servizi e utility. Ognuna di queste componenti è pertanto in grado di fornire uno spunto di attacco ad un soggetto malintenzionato che ne abbia scoperto delle vulnerabilità.
 
Altro rischio è la gestione dei privilegi (di solito adottata dal file system), come ad esempio configurazioni di sistema, permessi e password. Una protezione non adeguata costituisce un ulteriore spunto di debolezza.
 
Vi sono anche programmi applicativi(appartenenti quindi alla categoria dei [[software applicativi]]) che dall’analisi possono risultare non necessari al funzionamento del sistema stesso. Analizzare correttamente cosa è strettamente necessario ed eliminare cosa non lo è (o non lo è più in seguito ad un aggiornamento) permette di eliminare potenziali vulnerabilità che tali programmi potevano contenere.
 
Ultimo fattore da analizzare è dato dalla robustezza fisica dei componenti. L'hardening qui riguarda la capacità del sistema di far fronte principalmente a disastri naturali e a problemi derivanti dalle alterazioni cui possono essere soggetti i componenti fisici del sistema informatico.
 
2) '''remedy'''
 
Per la parte di Remedyremedy (==letteralmente rimedio) vengono elencate delle attività tecniche mirate che poi devono essere opportunamente documentate ([[Report informativo|report]]) al fine di garantire la history sul singolo componente dell'infrastruttura e poter permettere un eventuale ripristino([[rollback]]) in caso di blocco della funzionalità. La parte di report è poi soggetta ad un test([[Audit (informatica)|audit]]) successivo di verifica (da parte di un organo interno all' IT oppure spesso si ricorre a società specializzate di ethical hacker/security evangelist) atto a convalidare lo stato di sicurezza raggiunto (compliance). e laLa documentazione finaledovrà vieneessere attinente alla nuova legge europea integrata nel Dps aziendale.
 
Questa attività di remedy viene normalmente effettuata attraverso operazioni distinte:
Line 29 ⟶ 50:
:* installazione delle [[patch (informatica)|patch]] di sicurezza;
:* rimozione degli utenti non necessari;
:* etc.
 
3) '''monitoring per un dato tempo'''
 
Si tratta di tenere sotto controllo il funzionamento del sistema dopo le modifiche apportate nella fase di remedy.
 
Questo punto è assente nel caso di "One Time Hardening" sopra descritto.
 
==Considerazioni==
 
Ogni componente erogante il servizio dovrà essere oggetto di hardening, (es. [[sistema operativo]], [[webserver]], [[applicazione web]]), etc. Una configurazione molto stringente, spesso richiede un discreto tempo di applicazione, a causa a volte della complessità o della scarsità di documentazione del servizio ospitato. Nelle aziende tipicamente viene definito un livello base di hardening da applicare a tutte le piattaforme, viene successivamente deciso in funzione di un'attività di [[analisi del rischio]] se incrementare e di quanto la profondità dello stesso.
Estratto da "https://it.wikipedia.org/wiki/Hardening"