Prevenire le minacce Cyber: Vulnerability Assessment e Penetration test

I vulnerability assessment e i penetration test sono strumenti per effettuare verifiche dello sttao della sicurezza che è importante utilizzare sinergicamente così da avere il massimo beneficio dal loro utilizzo e quindi ottenere un consistente ed efficace programma di sicurezza. Vediamoli nel dettaglio e per comodità li chiameremo VA e Pen Tes.

VA e Pen Test sono strumenti di verifica dell’approccio alla cyber security delle aziende che sono conosciute da molti anni da chi opera nel campo della sicurezza cibernetica, ma che hanno acquisito negli ultimi tempi un’importanza crescente e una notorietà sempre più diffusa, in questo momento storico, tra l’altro stanno sempre di più sulla bocca di tutti: politiic, giornalisti, media.

Le aziende oramai dipendono obbligatoriamente dalle teconologie informatiche e dalla comunicazione, pensiamo solo a quante email spediamo e riceviamo ogni giorno per fini lavorativi, usando soluzioni anche molto complesse attraverso le quali vengono gestiti e archiviati dati sensibili. La minaccia maggiore è proprio costituita dal possibile sfruttamento da dei criminali delle vulnerabilità e dei punti deboli dell’infrastruttura aziendale, delle applicazioni che vengono utilizzate quotidianamente per poter, ad esempio, bloccare servizi, creando un fermo delle attività, o esfiltrare e catturare informazioni per richiedere denaro, il cosiddetto Ramsonware.

Le vulnerabilità possono dipendere da molteplici fattori: software con imperfezioni generalmente legate a mancati aggiornamenti scarsa conoscenza da parte del personale delle minime tecniche di difesa, non rispetto delle policy di sicurezza, sistemi obsoleti e potremmo continuare.

Per identificare le possibili minacce ed attenuare i rischi, è fondamentale effettuare una valutazione periodica della sicurezza aziendale (infrastruttura e applicazioni usate) attraverso Va e Pen Test, che servono a valutare la debolezza dei sistemi e migliorare le misure di sicurezza, ed entrambe sono parti integranti di un security program completo. Tuttavia hanno delle differenze che andremo ad analizzare e illustrare.

Vulnerability Assessement

Il Vulnerability Assessment consente l'individuazione delle vulnerabilità informatiche presenti nel perimetro informatico aziendale e la determinazione delle misure correttive.

Il vulnerability assessment è un approccio sistematico per l’identificazione rapida di vulnerabilità note nei sistemi informatici. È basato sostanzialmente su una scansione automatizzata periodica di reti, dispositivi e applicazioni che consente di attuare un processo di individuazione, revisione, classificazione e assegnazione di priorità alle vulnerabilità, rilevate prima che possano essere sfruttate da reali malintenzionati.

La maggior parte degli attacchi informatici sfrutta infatti vulnerabilità note che molto spesso sono già potenzialmente risolvibili applicando degli aggiornamenti software (security patch). Questo tipo di verifica consente di mapparle secondo un piano di priorità definibile attraverso la combinazione del punteggio di gravità della vulnerabilità (CVSS, Common Vulnerability Scoring System, norma tecnica aperta) e la criticità del sistema informatico interessato (legata per esempio all’importanza per il business aziendale, al tipo di dati trattati, all’esposizione o meno su internet, ecc.).  

Descrizione del servizio

Il Vulnerability Assessment, è un processo che mira a identificare e valutare la gravità delle vulnerabilità presenti in un sistema.

Il processo non solo individua le falle di sicurezza, ma ne misura anche l’impatto potenziale, dando un elenco dettagliato di vulnerabilità ordinate e classificate in base alla loro gravità e al livello di rischio associato all’asset analizzato.

Il processo si conclude in un report completo che include:

• Le diverse tipologie di vulnerabilità rilevate durante la scansione;
• I potenziali danni che il cliente potrebbe subire in caso di un attacco mirato o casuale;

• Le soluzioni, le misure correttive consigliate e le best practices per prevenire futuri attacchi e risolvere i problemi individuati.

Per chi è pensato il servizio?

Il VA è studiato per tutte le organizzazioni che voglionoproteggere i propri sistemi informatici da potenziali minacce e ridurre i rischi associati a vulnerabilità non mitigate. È utile per aziende di ogni dimensione, enti governativi, istituti finanziari, società che gestiscono dati sensibili, e-commerce, e tutte le realtà che operano in settori regolamentati o ad alto rischio.

Il servizio sarà valutato da quel personale preposto alla sicurezza IT aziendale, e quindi per i CISO, gli amministratori di sistema, il team IT, e comunque da chi è designato ad occuparsi, a gestire e garantire la sicurezza IT di un’azienda.

Inoltre, è consigliato a tutte le organizzazioni che devono conformarsi a normative e standard di sicurezza, come GDPR, PCI-DSS, ISO 27001, e altri regolamenti settoriali, per garantire la sicurezza e la protezione dei dati.

Quello che segue il flusso di VA applicato in una situazione standard

Modalità di esecuzione disponibili

Il servizio di Vulnerability Assessment può essere svolto:

• Da remoto,
  Eseguito da un tecnico in collegamento da remoto.
  

• Sede cliente,
  Eseguito con un tecnico presente fisicamente nella sede del cliente.

Output del servizio

Il servizio di Vulnerability Assessment produce in output:

• Report completo,
  Report con il dettaglio di tutte le vulnerabilità individuate.

• Report di riepilogo,
  Report riportante le sole considerazioni finali dell’attività.

Come funziona il servizio?

Il processo è suddiviso in diverse fasi chiave per garantire che il servizio venga svolto in modo fluido ed efficace. Ecco come funziona nel dettaglio:

1. Raccolta delle Informazioni e Pianificazione,
   in questa fase, il team di sicurezza collabora con il cliente per comprendere l’infrastruttura IT da analizzare, definire gli asset critici, e stabilire gli obiettivi del test. Vengono identificati i sistemi, le applicazioni e le reti da sottoporre a scansione, e si stabilisce il perimetro di valutazione.

2. Scansione delle Vulnerabilità,
   vengono utilizzati strumenti automatici e manuali per effettuare una scansione approfondita dei sistemi identificati. Questa fase prevede l’analisi dei sistemi alla ricerca di vulnerabilità conosciute, come software obsoleto, configurazioni errate, porte aperte, e altre falle di sicurezza. Gli strumenti utilizzati confrontano le vulnerabilità con database aggiornati per garantire la massima precisione.

3. Analisi dei Risultati e Valutazione del Rischio,
   una volta completata la scansione, i risultati vengono analizzati per determinare il livello di rischio associato a ciascuna vulnerabilità. Le vulnerabilità rilevate vengono classificate in base alla gravità e al potenziale impatto sull’infrastruttura del cliente, tenendo conto di fattori come l’accessibilità e la criticità dell’asset.

4. Report e Raccomandazioni,
   al termine dell’analisi, viene generato un report dettagliato che elenca le vulnerabilità rilevate, il loro livello di gravità, e l’impatto potenziale. Il report include anche raccomandazioni pratiche per mitigare i rischi, come l’aggiornamento di software, modifiche alla configurazione, o l’implementazione di misure di sicurezza aggiuntive, per aiutare l’organizzazione a rafforzare la propria postura di sicurezza.

Tempistica media d’ingaggio

La tempistica media d’ingaggio è di 10-20 giorni lavorativi.

Penetration Test

Il Penetration Test è la simulazione di un attacco hacker ad un sistema informatico, ad una rete o ad un’organizzazione in condizioni controllate, e rappresenta uno strumento ormai indispensabile per valutarne la vulnerabilità.

Il Pen Test è un’azione strategica che consente di valutare le minacce e prevede la simulazione di attacchi reali per verificare i possibili rischi associati al tipo di attacco che si effettua e le potenziali violazioni della sicurezza. 

Viene anche chiamato “hacking etico”, il pen test cerca le vulnerabilità sfruttabili all’interno dell’infrastruttura di sicurezza di un’organizzazione, combinando delle scansioni automatiche e degli attacchi manuali, simulando in toto i comportamenti di cyber criminali e sfruttando le vulnerabilità per violare e quindi penetrare, appunto nel sistema. Gli ethical hacker, che sono i primi difensori delle infrastrutture per effettuare questi test, oltre che basarsi sull’esperienza e sull’estro (normalmente sono personaggi borderline molto vicini come filosofia di vita agli attacanti) , generalmente seguono anche metodi open source strutturati ed internazionalmente condivisi quali OWASP (Open Source Foundation for Application Security) Security Testing Guides e OSSTMM (Open Source Security Testing Methodology).  

I penetration test, quindi,  consentono ai team di sicurezza di capire in modo approfondito le modalità con cui i possibili attacanti potrebbero accedere ed esfiltrare dati (ad esempio bypassando l’autenticazione o scalando privilegi) o interrompere il servizio, e correggere o potenziare i controlli di sicurezza per evitare che questo accada nella realtà.

Per chi è pensato il servizio?

Il servizio di Penetration Test è pensato per tutte le organizzazioni che vogliono garantire la massima sicurezza dei loro sistemi informatici e proteggere i propri dati sensibili da potenziali attacchi informatici. È particolarmente adatto per:

• Aziende di ogni dimensione,
  Dalle piccole e medie imprese alle grandi multinazionali, che desiderano valutare la sicurezza delle proprie reti, applicazioni e infrastrutture IT per proteggere le informazioni critiche e la continuità operativa.

• Enti governativi e pubblici,
  Le istituzioni che gestiscono informazioni sensibili e dati personali dei cittadini possono beneficiare del Penetration Test per garantire che i loro sistemi siano protetti da minacce esterne e interne.

• Istituti finanziari e assicurativi,
  Le banche, le società di investimento e le compagnie assicurative che gestiscono un’ampia quantità di dati finanziari e informazioni personali necessitano di Penetration Test regolari per prevenire frodi, violazioni dei dati e attacchi informatici.

• Settori regolamentati,
  Aziende che operano in settori con rigidi requisiti di conformità, come sanità, telecomunicazioni, energia e utility, e-commerce, devono eseguire Penetration Test per conformarsi a normative come GDPR, PCI-DSS, HIPAA, ISO 27001, e altre, e dimostrare che hanno adottato misure proattive per proteggere i dati dei clienti.

• Team di sicurezza informatica e CISO (Chief Information Security Officer),
  Professionisti della sicurezza che desiderano avere una visione chiara della postura di sicurezza della propria organizzazione e delle vulnerabilità pratiche che potrebbero essere sfruttate da un attaccante.

• Startup tecnologiche e aziende SaaS,
  Le aziende che sviluppano software o offrono servizi basati su cloud possono utilizzare il Penetration Test per identificare falle di sicurezza nelle loro applicazioni, API, o infrastruttura cloud, garantendo un elevato standard di sicurezza per i loro utenti.

In generale, il Penetration Test è ideale per tutte le organizzazioni che desiderano migliorare la loro resilienza contro le minacce informatiche e proteggere la loro reputazione, la fiducia dei clienti, e la continuità del business.

Modalità di esecuzione disponibili

Il servizio di Penetration Test può essere svolto con le seguenti modalità:

• White Hat,
  Tutti in azienda sono a conoscenza del test in corso e che ci saranno “interferenze» nella rete.

• Gray Hat,
  Solo uno o più responsabili sono a conoscenza del test che viene eseguito in segreto dal tecnico Enterprise.

Output del servizio

Il servizio di Penetration Test produce in output:

• Report completo,
  Report con il dettaglio di tutte le vulnerabilità individuate e gli output degli attacchi.

• Report di riepilogo,
  Report riportante le sole considerazioni finali dell’attività.

Come funziona il servizio?

Il processo è suddiviso in diverse fasi chiave per garantire che il servizio venga svolto in modo fluido ed efficace. Ecco come funziona nel dettaglio:

1. Pianificazione e ricognizione,
   in questa fase iniziale, il team di sicurezza definisce l’ambito del test in collaborazione con il cliente, identificando i sistemi, le reti, e le applicazioni da testare. Successivamente, viene condotta un’attività di ricognizione per raccogliere informazioni preliminari sugli obiettivi, come indirizzi IP, nomi di dominio, porte aperte, e altre informazioni utili. Questa fase permette di comprendere meglio la superficie di attacco e preparare un piano dettagliato per la simulazione dell’attacco.

2. Scansione delle vulnerabilità,
   vengono utilizzati strumenti avanzati per effettuare la scansione delle vulnerabilità e identificare potenziali punti deboli nei sistemi target. Questa fase prevede l’uso di tecniche automatizzate e manuali per rilevare vulnerabilità come software obsoleti, configurazioni errate, accessi non protetti, e altri problemi di sicurezza. Le vulnerabilità individuate vengono poi analizzate per determinare la loro gravità e il rischio potenziale.

3. Sfruttamento e tentativi d’intrusione,
   in questa fase, gli esperti di sicurezza cercano di sfruttare le vulnerabilità identificate per ottenere un accesso non autorizzato ai sistemi target. Vengono utilizzate tecniche e metodologie simili a quelle degli hacker, come attacchi di forza bruta, escalation di privilegi, iniezioni SQL, attacchi XSS (cross-site scripting), e altro. L’obiettivo è valutare fino a che punto un attaccante potrebbe compromettere il sistema e quali dati sensibili potrebbero essere esposti.

4. Report finali e raccomandazioni di mitigazione,
   una volta completati i test, viene prodotto un report dettagliato che documenta tutte le vulnerabilità scoperte, i metodi di attacco utilizzati, e l’impatto potenziale di ogni vulnerabilità sfruttata. Il report include anche raccomandazioni pratiche per mitigare i rischi identificati, come patch di sicurezza, aggiornamenti di configurazione, miglioramenti nelle policy di accesso, e altre misure di sicurezza. Infine, il team di sicurezza può condurre un debriefing con il cliente per discutere i risultati e pianificare le azioni correttive necessarie.

Tempistica media d’ingaggio

La tempistica media d’ingaggio è di 15-20 giorni lavorativi.

Differenze tra Penetration Test e Vulnerability Assessment

Sebbene entrambe le tipologie di test rientrino nella categoria della valutazione delle minacce; ci sono alcune differenze tra i due, declinabili in termini di strategia, di perimetro, di approccio, e con vantaggi e svantaggi che rendono entrambi, di fatto, complementari.

A livello di strategia, il vulnerability assessment controlla i punti deboli noti in un sistema e genera un rapporto sull’esposizione al rischio, mentre il penetration test ha lo scopo di sfruttare i punti deboli su un sistema o un’intera infrastruttura IT per scoprire eventuali minacce al sistema.

In termini di perimetro, l’ambito del penetration test è mirato e coinvolge anche un fattore umano. Il test non comporta solo la scoperta di vulnerabilità che potrebbero essere utilizzate dagli aggressori, ma anche lo sfruttamento delle stesse per valutare fin dove potrebbero arrivare i cyber criminali dopo una violazione. Quindi, la valutazione della vulnerabilità diventa uno dei prerequisiti essenziali per eseguire un pen test.  

Se invece guardiamo all’approccio, un vulnerability assessment, come suggerisce il nome, è un processo che esegue la scansione automatizzata di sistemi e dispositivi alla ricerca di punti deboli con l’aiuto di strumenti automatici. Il penetration test, d’altra parte, richiede un approccio metodologico ben pianificato e viene eseguito da persone esperte che comprendono tutti gli aspetti della postura di sicurezza.

Il vulnerability assessment, essendo un test automatico e passivo, ha il vantaggio di non creare alcun problema ai sistemi informatici e di poter essere ripetuto anche frequentemente (ad esempio mensilmente o settimanalmente) in modo da avere una situazione estremamente aggiornata sulle vulnerabilità presenti nella propria organizzazione. Può anche essere condotto, senza costi aggiuntivi, “a tappeto” su tutte le reti, dispositivi e applicazioni. Inoltre consente di individuare tutta una serie di vulnerabilità note e più “semplici” che, se corrette (spesso hanno già patch disponibili), permettono a un penetration test eseguito successivamente di porre la concentrazione su vulnerabilità non note e più complesse senza dover perdere tempo a evidenziare difetti che si potrebbe osar definire come “ovvii”.

Il penetration test, d’altro canto, è più completo e permette di avere una scansione e una valutazione più rigorosa dei sistemi. Tuttavia essendo molto più articolato e complesso da eseguire, e contemplando anche diverse azioni e tentativi di violazione manuali, richiede tempi più lunghi e costi sicuramente maggiori rispetto a un vulnerability assessment. Per queste ragioni non può essere eseguito a tappeto e frequentemente su tutte le reti, i dispositivi e le applicazioni, ma necessita di essere concentrato su specifici target e di essere effettuato solo in alcuni particolari momenti (ad esempio in occasione del rilascio in produzione di un nuovo applicativo critico ed esposto su internet o su pochi applicativi una volta l’anno). Non è escluso, infine, che il pen test, quando eseguito su sistemi in produzione, possa causare qualche rischio soprattutto di disponibilità (stabilità e funzionamento) del servizio.

Conclusioni

I vulnerability assessment e i penetration test sono metodologie complementari di verifica della sicurezza. La valutazione della vulnerabilità è un servizio conveniente che serve a identificare punti deboli noti del sistema e generare un rapporto sull’esposizione al rischio. Il pen test, invece, è un approccio metodologico che prevede una valutazione rigorosa per sfruttare i punti deboli di un sistema o di un’intera infrastruttura IT come forma controllata di hacking che simula attacchi reali per valutare i rischi associati a potenziali violazioni della sicurezza.

L’esecuzione dei penetration test è raccomandata dagli esperti di sicurezza informatica e anche da governi e istituzioni. Inoltre i pen test supportano la conformità normativa, come ad esempio il Regolamento generale sulla protezione dei dati (GDPR), o vengono addirittura espressamente richiesti da alcune norme (ad esempio PCI DSS, DORA e altre).

È bene utilizzare in modo sinergico e consequenziale entrambe le metodologie di test, in modo da ottenerne il massimo beneficio e realizzare un consistente ed efficace security program.

Link utili

1. Agenda Digitale
2. Amministratori di Sistema
3. Agenda Digitale Penetration Test