#LanServiceON #6 Vulnerability Assessment e Penetration Test

#LanServiceON – Sei sicuro di essere sicuro? – Parte 1

Lo scenario della cybersecurity appare come uno dei più affascinanti nell’ambito del mercato IT, configurandosi come una sfida costante tra chi è impegnato a difendere le aziende dalle minacce provenienti dalla rete e i criminali intenti a lucrare grazie al furto e alla compromissione delle risorse delle organizzazioni pubbliche e private.

Secondo Paolo Perra, nostro esperto di cybersicurezza protagonista della nuova attesa puntata di #LanServiceON, viviamo una fase incredibilmente frenetica, in quanto l’evoluzione tecnologica consente di sviluppare software sempre più efficace in maniera sempre più semplice, agevolando al tempo stesso il gioco dei cybercriminali, coloro che utilizzano le tecnologie informatiche per trarne illegalmente vantaggio.

L’immaginario hacker porta ad una linea di demarcazione sempre più netta tra i cosiddetti blackhat, gli hacker malevoli, e gli ethical hacker, figure che dispongono delle medesime competenze ma decidono di metterle al servizio della sicurezza delle organizzazioni, accettando da queste incarichi su commissione per difenderle dalle attività cybercriminali.

In questo contesto, l’ethical hacking si base su due attività fondamentali: il vulnerability assessment e, soprattutto, il penetration testing. Vediamo in cosa consistono.

#LanServiceON – Sei sicuro di essere sicuro? – Parte 2

Vulnerability Assessment

Il Vulnerability Assessment (VA), altrimenti noto come Test di Vulnerabilità, comprende una serie di azioni utili ad individuare le criticità nell’infrastruttura IT che potrebbero essere sfruttate per condurre attacchi informatici. Il VA ricorda per molti versi una scansione di sistema, in grado di rilevare in maniera più o meno dettagliata i potenziali punti deboli di un sistema di sicurezza. La valutazione viene effettuata ai fini di stimare e acquisire consapevolezza sui possibili danni causati da un incidente di sicurezza informatico, e per orientare le azioni correttive utili a ridurre le probabilità che gli attacchi vadano a segno con successo.

Il Vulnerability Assessment, per dirsi realmente efficace, deve pertanto analizzare a fondo lo stato di tutti i sistemi informatici presenti nell’IT aziendale. Per tale ragione è possibile identificare varie tipologie di vulnerability assessment:

  • Network VA: analizza la sicurezza di tutti i sistemi e dispositivi connessi alla rete. I nodi di una rete costituiscono infatti i punti di transito per la maggior parte dei dati sensibili e delle informazioni che interessano ai cybercriminali, in particolare nell’ambito degli attacchi ransomware, la minaccia informatica attualmente più diffusa nella rete.
  • Host VA: coinvolge gli host di rete e si articola in una serie di test utili per verificare la solidità di server, switch, router, firewall e altri dispositivi. I controlli riguardano le versioni dei firmware e la presenza degli aggiornamenti di sicurezza, oltre ad accertare che tali sistemi non siano già stati interessati da violazioni in grado di attivare botnet e altri malware sulle macchine collegate alla rete aziendale.
  • Web Application VA: le applicazioni web sono spesso oggetto di attacchi zero day, capaci di sfruttare le falle del software nelle sue fasi di rilascio, prima che gli sviluppatori riescano a fixare quei bug che potremmo idealmente identificare quali errori di gioventù dell’applicazione stessa. Il periodo più critico è quello che intercorre tra il rilascio delle applicazioni e la pubblicazione delle patch di sicurezza utili a risolvere il problema.
  • WLAN VA: Si tratta di un caso particolare del network VA che coinvolge lo stato delle reti wireless. L’obiettivo del WLAN vulnerability assessment consiste nel valutare la sicurezza intrinseca dell’infrastruttura e degli access point configurati, e a scongiurare la possibilità di connessione alla rete aziendale da parte di dispositivi non verificati. I cybercriminali sfruttano queste occasioni per penetrare facilmente nei sistemi aziendali e intraprendere una serie di movimenti laterali per guadagnarsi l’accesso alle aree più critiche.
  • Database VA: la crescente disponibilità di dati e di sistemi in grado di gestirli, archiviarli ed analizzarli, ha incrementato in maniera sensibile il rischio di attacchi verso quella che possiamo definitire la risorsa vitale per un’azienda nell’era del digitale. Le falle nei sistemi di gestione dei dati possono rivelarsi dei potenziali bersagli per gli SQL Injection o le altre tipologie di attacchi nei confronti dei database.

Nella descrizione delle attività di vulnerability assessment, Paolo Perra fa notare come ormai tali test vengano al 90% eseguiti eseguiti attraverso l’impiego dei vulnerability scanner. Si tratta di software che, come il nome stesso suggerisce, sono stati sviluppati nello specifico per automatizzare i processi di scansione ad ampio raggio su tutte le componenti IT sensibili ai possibili attacchi provenienti dalla rete, ai fini di rilevare le potenziali debolezze.

Il VA prospetta una serie di risultati molto varia, che spaziano da questioni banali e di facile risoluzione, come la presenza di utenti non attivi nelle directory, che potrebbero tuttavia essere sfruttati per penetrare facilmente nei sistemi aziendali, proprio a fronte di una minor sorveglianza sul loro stato di utilizzo. In altre circostanze, il VA rileva problemi potenzialmente più critici, che richiedono valutazioni più approfondite, come nel caso del Penetration Test (PT).

Paolo Perra identifica tre fasi fondamentali nella sicurezza informatica: consapevolezza, accettazione e azione. Essere consapevoli dei rischi in atto costituisce prendere coscienza di essere in una situazione di debolezza e dovervi porre rimedio in maniera efficace. Per tale motivo, un ruolo chiave del vulnerability assessment è costituito dalla reportistica. È necessario produrre documenti di semplice lettura, agili nella divulgazione e comprensibili almeno nei loro estremi anche dalle figure non specialistiche in fatto di sicurezza informatica.

Un report ben strutturato identifica, seguendo una serie di standard, le vulnerabilità rilevate durante i processi di scansione, associandole ad un livello di criticità, in modo da prospettare un ordine di priorità secondo cui intervenire. La sintesi viene solitamente impostata sulla base di uno schema di punteggi che riprende le convenzioni del CVE, uno specifico programma supportato dal mitre per classificare tutte le vulnerabilità note sulla base della criticità e della magnitudo.

Il vulnerability assessment viene effettuato periodicamente, per garantire un efficace monitoraggio relativo alla sicurezza dei sistemi e dei dati aziendali. La frequenza varia in genere da un mese a periodi più lunghi, a seconda della criticità dei sistemi coinvolti. Il report prodotto dal VA contribuisce alla definizione un piano di azione utile a suggerire test più approfonditi e strategie di rimedio nei confronti delle vulnerabilità palesi.

La scrittura di un report VA richiede competenze specifiche ed una dimostrabile esperienza sul campo, fondamentale per riconoscere i vari falsi positivi e falsi negativi che potrebbero derivare dall’esecuzione dei test automatizzati. Per tali ragioni, è consigliabile affidare le attività di VA esclusivamente a personale esperto, dotato di un dimostrabile know how su casi reali.

Penetration Test

L’affidamento di un servizio di cybersicurezza a soggetti non qualificati o semplicemente dotati di competenze non all’altezza dell’incarico prospettato potrebbe paradossalmente causare più danni rispetto a quelli derivanti dai rischi presenti in origine. In particolar modo quando si entra nel merito del penetration testing. Secondo Paolo Perra, è infatti necessario considerare che, mentre il VA consiste in una serie di scansioni e necessita delle capacità di interpretare correttamente i risultati per realizzare dei report utili a migliorare il livello complessivo di un’azienda, il discorso diventa ben più critico nel caso del penetration test.

Il penetration test simula a tutti gli effetti i possibili attacchi che un agente malevolo potrebbe intraprendere per sfruttare le vulnerabilità rilevate dal vulnerability assessment. Si tratta pertanto di processi che vengono effettuati manualmente dagli ethical hacker per anticipare di fatto l’azione dei loro antagonisti criminali.

Un penetration test è pertanto un’attività ad hoc, onerosa e complessa nella propria natura tecnologica. A scanso di equivoci, un penetration test simula un vero e proprio attacco ed è pertanto in grado di causare danni reali ai sistemi aziendali, nel caso in cui dovesse essere eseguito in maniera impropria o da personale non adeguatamente qualificato.

Secondo Paolo Perra, prima di eseguire un penetration test si rendono necessari vari accorgimenti e una serie di utili precauzioni, come la replica delle macchine e dei componenti IT su cui si intende effettuare i test, ai fini di preservare le parti operative da ulteriori rischi, oltre a quelli vigenti per via delle vulnerabilità in atto.

Il penetration test richiede pertanto l’azione di ethical hacker esperti, figure altamente specializzate in fatto di sicurezza informatica, molto difficili da ritrovare all’interno dell’IT aziendale, anche per via di una scarsa disponibilità di competenze a livello generale, a fronte di un’escalation della domanda che pare non conoscere limiti.

#LanServiceON – Sei sicuro di essere sicuro? – Parte 3

L’approccio LanService per la sicurezza informatica dei sistemi aziendali

Grazie ad un team di specialisti costantemente formato sui metodi e sulle tecnologie necessarie per garantire i più elevati livelli di sicurezza informatica, noi di LanService affianchiamo imprese, manager, clienti per farli diventare in primo luogo più consapevoli dei rischi che oggi un livello di protezione inadeguato comporta, e quali possono essere le rovinose conseguenze in caso di una attacco di sicurezza informatica.

In questa nuovga puntata di #LanServiceON Paolo Perra riflette sugli “errori più comuni” che si riscontrano quando si entra per la prima volta in contatto con le aziende per intraprendere un processo di analisi. In particolar modo, soprattutto quando le imprese non hanno nel proprio core business un’attività legata all’informatica, accade spesso che i budget da destinare all’IT vengano sottodimensionati, identificando in qualche modo l’IT stesso come un “male necessario”, anziché una componente indispensabile per generare valore aggiunto nei processi aziendali.

Questo aspetto assume un rilievo particolarmente significativo quando si entra nel merito della sicurezza informatica. Per questo motivo, noi di LanService cerchiamo di fare leva sulla consapevolezza del rischio, effettuando delle vere e proprie simulazioni sul campo, ad esempio grazie a campagne phishing realizzate ad hoc per far capire agli stakeholder aziendali come sia facile cadere nella trappola dei social engineer e di altre figure malintenzionate con esperienza in fatto di frode informatica.

Le simulazioni, oltre riprodurre nel dettaglio la dinamica di un attacco reale, mirano ad enfatizzare le possibili conseguenze in caso di incidente, per offrire una misura tangibile del possibile danno che l’azienda subirebbe. La crescente consapevolezza del rischio spinge le aziende ad investire in maniera più favorevole nei confronti della sicurezza informatica.

Agendo lungo l’intera filiera della sicurezza informatica, LanService investe costantemente nella ricerca e sviluppo, in particolare nelle aree più complesse, come il penetration testing, per garantire alle aziende un supporto end-to-end sia nelle attività VA e PT, che nel mettere a disposizione un SoC in grado di assistere quotidianamente l’IT interno in tutte le attività utili a garantire la sicurezza dei dati e dei sistemi informatici, a cominciare dalla definizione di efficaci strategie di rimedio da attuare in caso di attacco.

    Vorresti maggiori informazioni?

    Compila il seguente modulo e verrai ricontattato per rispondere a tutte le tue domande.

    Lan Service srl

    Sede Legale e operativa

    Via G. Brodolini, 80 . 15033 Casale M.to (AL)
    Tel. +39 0142 330 500 . Fax +39 0142 330 600
    P.Iva e C.F. 01562820066
    Iscr. Reg. Imp. AL-01562820066 . Cap. Soc. € 80.645,00