Destinatari
Mercoledì 20 marzo 2024 09:00 – 13:00
I maggiori rischi per le aziende e i principali tipi di attacco
Lezione a cura del prof. Stefano Zanero, full professor di Computer Security e Digital Forensics and Cybercrime al Politecnico di Milano, Dipartimento di Elettronica, Informazione e Bioingegneria.
Mercoledì 27 marzo 2024 09:00 – 13:00
Introduzione, terminologia di base, autenticazione e autorizzazione
- Terminologia di base ed esempi di minacce nell’ambito di piccole e medie imprese, con particolare riferimento al contesto manifatturiero.
- Spiegazione del concetto di autenticazione, modi, requisiti e multi-fattorialità.
- Single Sign-On e autenticazione federata
- Cenni ai concetti di autorizzazione: controllo accessi role-based, controllo accessi attributebased, controllo accessi MAC e DAC, identità e gestione accessi, con particolare riferimento alla gestione del ciclo di vita delle identità in ambito aziendale.
Mercoledì 10 aprile 2024 09:00 – 13:00
Cyber Security Frameworks
- Introduzione su cos’è un cyber security framework e panoramica dei principali
- Framework NIST (National Institute of Standards and Technology) e ISO 27001
- Framework di Sicurezza Nazionale
- Analisi di come adottare un cyber security framework in azienda
Mercoledì 17 aprile 2024 09:00 – 13:00
Security by design, sicurezza applicativa e threat modeling
- Richiami al concetto di vulnerabilità applicativa. Principali rischi ed esempi di alcune vulnerabilità. Gestione della sicurezza durante il ciclo di vita del software.
- Analisi e valutazione del rischio di una vulnerabilità: CVSS e OWASP Risk Rating Methodology. Esempi di vulnerabilità e del relativo calcolo del rischio.
- Gestione delle vulnerabilità in applicazioni “off the shelf” e patching. Concetto di CVE (common vulnerability and exposures).
- Threat Modeling e definizione della superficie di attacco
- Come realizzare un Threat Model: la metodologia STRIDE
- Dal Threat Model ai Security Requirements
- Esempio pratico di Threat Model
Mercoledì 8 maggio 2024 09:00 – 13:00
Sicurezza delle applicazioni web
- Architettura delle applicazioni web: single tier e multiple tier
- Richieste, risposte e gestione dell’input utente
- Il concetto di “same origin policy” (SOP) e “cross-origin request sharing” (CORS)
- Principali vulnerabilità e rischi in ambito web: corretta gestione dell’autenticazione e autorizzazione, cross-site scripting (XSS), cross-site request forgery (CSRF), server-side request forgery (SSRF)
- Conclusioni e riferimenti alla OWASP Top 10 Web Application Security Risks
- Esempio pratico: sfruttamento di una semplice vulnerabilità in un’applicazione web
Mercoledì 22 maggio 2024 09:00 – 13:00
Introduzione alla crittografia e Sicurezza dei Dati
- Terminologia di base e concetti comuni
- Crittografia simmetrica, asimmetrica, firme digitali e Public Key Infrastructure (PKI)
- Memorizzazione sicura di Password e Credenziali
- Information disclosure e side channel
- OAuth, OpenID, SAML
- Bitlocker e cifratura del disco
Mercoledì 29 maggio 2024 09:00 – 13:00
Sicurezza di reti e infrastrutture
- Cos’è un’infrastruttura di rete
- Attacchi a livello di rete: intercettazione del traffico e attacchi “man in the middle”
- Attacchi a livello Internet Protocol (IP): spoofing e denial of service
- Sicurezza a livello di trasporto: il protocollo TLS (Transport Layer Security)
- Segmentazione di rete, firewalling e Virtual Private Networks. Esempi di segmentazione
- Esempio pratico: attacchi “man in the middle” di tipo ARP spoofing.
Mercoledì 12 giugno 2024 09:00 – 13:00
Gestione delle credenziali e sicurezza di domini Active Directory
- Struttura di un dominio basato su Active Directory, concetto di Domain Controller e panoramica sui principali protocolli di autenticazione.
- Rischi legati alla gestione delle credenziali (ad esempio, attacchi “pass the hash”, riutilizzo di password locali) e ad attacchi di tipo man-in-the-middle (ad esempio, attacchi NTLM Relay)
- Best-practice di sicurezza, asset management, gestione degli endpoint e gestione dei privilegi delle utenze di dominio
- Esempio pratico: simulazione di compromissione di un’infrastruttura basata su Active Directory sfruttando le problematiche introdotte nel corso. Analisi di possibili modi per evitare o mitigare l’impatto.
Mercoledì 19 giugno 2024 09:00 – 13:00
Sicurezza cloud e security assessment
- Introduzione al cloud computing, shared responsibiity model; segmentazione di rete in ambito cloud, gestione e protezione delle identità, gestione di credenziali, logging e monitoraggio
- Tipologie di security assessment: vulnerability scan, vulnerability assessment e penetration test.
Esempi di utilizzo di strumenti open-source e commerciali per vulnerability scan
- Esempio Pratico: svolgimento di un vulnerability scan e di un port scan utilizzando strumenti open source e\o commerciali. Analisi interattiva dei risultati.
Mercoledì 3 luglio 2024 09:00 – 13:00
Cenni a business continuity, disaster recovery, incident response
- Creazione di un piano di contingenza e gestione dei backup, con riferimenti ad attacchi ransomware.
- Il processo di Incident Response, gestione ed analisi di sistemi di log monitoring e notifiche di sicurezza.