ISBN: 0596518165
Autori: Chris Fry, Martin Nystrom
Editore: O'Reilly
Lingua: Inglese
Anno: 2009
Pagine: 230 + XV
Allegati: Nessuno

Da due membri del Cisco CSIRT ci arriva un testo, che dando per scontata la conoscenza di tool e tecniche di sicurezza, approccia il monitoraggio della sicurezza della propria infrastruttura parlandoci di policy, prioritizzazione delle risorse, audit. Riassumendolo con le parole degli autori, il libro fornisce un framework for policy-based monitoring.

Non è sicuramente un testo da leggere se non si ha una buona conoscenza, meglio se suffragata da un minimo di esperienza, sull'argomento sicurezza; ma questo non vuol dire che nel testo non abbondino dettagli tecnici, esempi da linea di comando e snippet di configurazione, corredati da un numero di figure più che soddisfacente.

Il primo capitolo parte da una disamina dell'incident response a Sapphire per illustrare le sfide del monitoraggio della sicurezza. Il secondo capitolo, ricco di analogie con il mondo reale, ci parla dell'implementazione delle policy, distinguendo fra regulatory compliance (con una finestra sul COBIT) e policy aziendali per gli impiegati. Il capitolo si chiude con un esempio di policy per la compagnia fittizia, che fa da filo conduttore a tutto il testo, la Blanco Wireless.

Nel terzo capitolo viene incrementata la conoscenza della rete da monitorare, distinguendo fra tassonomia e telemetria di rete. La prima è basata, fondamentalmente, sulla classificazione in base alle funzioni (Internet, Intranet, Extranet...) e sull'uso di una strategia di IPAM (IP Address Management) per contestualizzare gli IP assegnati, ovvero associarli a una locazione fisica e a uno dei tipi funzionali di rete precedentemente individuati, laddove la telemetria illustra l'attività di rete nel contesto della tassonomia precedentemente costruita. Il capitolo illustra con sufficiente dettaglio l'uso di Cisco NetFlow alla bisogna, focalizzando anche l'uso degli OSU flow-tools per la raccolta e l'analisi dei dati, magari con qualche aiuto esterno come quello di nfdump per l'aggregazione dei flussi. Suggerisce inoltre alcuni parametri di scelta per un collector, commerciale o open source, di dati NetFlow. Il capitolo termina dettagliando l'uso di SNMP per creare un grafico della propria rete, tracciando l'uso delle interfacce di rete tramite MRTG.

Il quarto capitolo è focalizzato sui vari approcci per selezionare i target da monitorare: vengono presentate in primo luogo varie tassonomie per la scelta dei sistemi da monitorare, basate sul rischio o sul valore percepito; si tratta di una serie di paragrafi di scorrevole lettura. Particolare attenzione viene posta alla prassi della selezione dei target, raccomandando, tuttavia, di archiviare comunque anche gli eventi esclusi dal monitoraggio, in quanto potrebbero essere utili nella successiva fase di incident response. Il capitolo si chiude, opportunamente, con qualche esempio pratico.

Nel quinto capitolo viene affrontata la scelta delle sorgenti di eventi da monitorare. Questa breve trattazione, con continui rimandi al capitolo successivo, è focalizzata essenzialmente su tre argomenti: la scelta dei target, i metodi per la raccolta di eventi, e l'impatto in termini di prestazioni e spazio di storage di tale attività. Il primo argomento viene trattato in sole due pagine, elencando sostanzialmente i parametri di scelta dei target: esigenze di monitoraggio, successive esigenze di incident response, regulatory compliance. Anche il paragrafo sui metodi per la raccolta di eventi è molto breve, giocato tutto sulla differenza fra metodi push e pull, con un prevedibile approfondimento su Security Device Event Exchange (SDEE). E' invece assai più lungo e dettagliato il paragrafo, propedeutico al successivo, sull'impatto della raccolta eventi, che si concede anche una disamina specifica dei vari tipi di log.

Il sesto capitolo, ben più lungo del precedente e di taglio notevolmente più pragmatico, è interamente dedicato al tuning dei sistemi di raccolta degli eventi. Si apre con un'interessante disquisizione sulla differenza fra NIDS e NIPS, e sui criteri di scelta fra i due prodotti, scelta basata essenzialmente su due fattori: disponibilità e possibilità di controllo sui sistemi da auditare. Gli Autori forniscono poi un framework per il deployment di una soluzione di tale tipo, basato su quattro passi: analisi, progettazione, deployment vero e proprio, tuning e gestione. Viene prestata particolare attenzione alla fase di progettazione, basata essenzialmente sul problema di garantire la raccolta di tutti i pacchetti scambiati nell'ambiente da monitorare.

Il secondo macro-argomento del capitolo è il logging di sistema, e qui gli autori, per la prima e unica volta nel libro, trovano conveniente dividere la trattazione fra il mondo *nix e quello Windows. La parte dedicata a quest'ultimo beneficia del contributo (riconosciuto) del sito Ultimate Windows Security, ed è costante il riferimento a Snare per la raccolta in formato standard syslog degli eventi Windows. Si merita uno spazio di tutto rispetto il logging dei database, con una discussione interamente basata sulle funzionalità di auditing di Oracle. Ovviamente, in ambienti tipicamente distribuiti, riveste particolare importanza la raccolta dei vari syslog, operazione per la quale viene illustrato l'uso di syslog-ng. Un paragrafo sulla event collection tramite gli OSU flow-tools di NetFlow e il consueto esempio relativo alla compagnia fittizia Blanco Wireless chiudono il capitolo.

Una volta messa in piedi la propria soluzione di raccolta degli eventi, assume particolare rilevanza la sua maintainance, argomento al quale è dedicato il settimo capitolo, il quale ruota tutto intorno a una categoria di prodotti ben nota al mondo IT, quelli di system monitoring; in particolare, tramite il consueto esempio fittizio della Blanco Wireless, gli autori ci mostreranno qualche esempio d'uso del celebre Nagios. In via preventiva, viene consigliata la stipula di un service level agreement con il team di supporto IT.

L'ottavo capitolo, l'ultimo, illustra il monitoraggio nel mondo reale, lì dove i vincoli di tempi-costi-risorse non sempre permettono di seguire una metodologia da manuale. In primo luogo viene però presentata la piccola bottega degli orrori, ovvero una serie di casi (reali, o quanto meno verosimili) che illustrano cosa succede violando ognuna delle prescrizioni metodologiche stabilite nei capitoli precedenti. Vengono poi presentati due casi di eccellenza, quello dell'olandese KPN-CERT e quello, esemplare, del CSIRT di Northrop Grumman, probabilmente uno dei più grandi fornitori di sistemi di difesa al mondo.

Il capitolo presenta poi alcune esperienze degli autori e, in chiusura, un elenco corredato da checklist del minimo indispensabile per applicare la metodologia proposta. Le tre Appendici illustrano il setup di un collector Netflow, illustrano un esempio di SLA con il team di supporto IT proposto come una best practice nel settimo capitolo, e forniscono qualche dettaglio matematico sul calcolo dell'affidabilità, in particolar modo applicata ai sistemi seriali e paralleli.

Un testo di sicura utilità pratica, scorrevole da leggere, mai banale.

Non è assolutamente un testo per principianti della sicurezza IT.