La caccia alle minacce informatiche è un processo in continuo divenire, non alla portata di tutti. Sempre più aziende si rivolgono a professionisti che sappiano mettere in atto una ricerca proattiva e iterativa, per scoprire in anticipo quelle attività che tentano di eludere le soluzioni di sicurezza esistenti.
Vulnerability Assessment e Penetration Test sono i due termini che indicano le funzionalità messe in campo dagli specialisti per prevenire i reati informatici e la diffusione di dati sensibili. Si tratta di controlli e verifiche periodiche che, grazie alle tecnologie odierne, lavorano in “background”, ovvero senza rallentare le normali operazioni di business. Vista la crescente ampiezza della superficie di attacco, sia Vulnerability Assessment che Penetration Test sono servizi che oramai ogni tipologia di impresa dovrebbe adottare, per ridurre al minimo problematiche future, fino ad azzerarle, così da non dover affrontare breach rilevanti sia sul piano economico che di reputazione.
Vulnerability Assessment e Penetration Test: due facce dell’ethical hacking
Vale la pena sottolineare come le procedure di Vulnerability Assessment e Penetration Test siano strettamente legate alla figura dell’etichal hacker. Questo perché se gli hacker etici hanno lo scopo di indagare il sistema o la rete alla ricerca di punti deboli che i criminali potrebbero sfruttare o distruggere, allo stesso modo Vulnerability Assessment e Penetration Test raccolgono e analizzano le informazioni per capire come rafforzare la sicurezza del sistema, della rete, delle applicazioni. Così facendo, possono migliorare la sicurezza in modo che possa resistere meglio ai tentativi di aggressione.
L’hacking etico cerca di rafforzare la sicurezza dei sistemi informativi valutando la protezione di un’azienda e cercando di anticipare attacchi imprevisti con conseguenze potenzialmente devastanti. Professionisti che sono sempre sul campo e che lavorano direttamente per grandi imprese o come consulenti di agenzie specializzate, spesso reclutati dai servizi di Intelligence.
I passi per diventare proattivi
La società SOD dedica gran parte del proprio lavoro ai test di vulnerabilità e di penetrazione. Per far ciò, utilizza una metodologia volta a misurare la sicurezza informatica del cliente mediante quattro passaggi cardine. Il primo è l’Internal Vulnerability Assessment, ossia il punto di partenza per valutare la sicurezza informatica della rete “interna”. Questo permette di ottenere un indice sullo stato di sicurezza della LAN (Local Area Network), poi utilizzato per proporre contromisure e metodologie di intervento. Poi l’External Vulnerability Assessment, condotto dall’esterno nei confronti dei sistemi informativi dell’area perimetrale. Tale fase, sebbene possa essere condotta in maniera indipendente ed isolata rispetto al Vulnerability Assessment interno, viene eseguita successivamente per poter confrontare i risultati e agire in maniera mirata.
Il terzo step è l’Internal Penetration Test, che tenta di sfruttare le vulnerabilità emerse dalle analisi precedenti per violare i sistemi informatici oggetto del target. L’Internal Penetration Test è eseguito dall’interno della rete aziendale nei confronti dei sistemi interni e di perimetro. Infine, l’External Penetration Test, simile al punto precedente ma con la fonte di attacco localizzata all’esterno del perimetro.
Prevenire è la soluzione
Le diverse fasi di verifica e test sono eseguite da cosiddetti “PenTester”, tecnici esperti che attaccano in modo controllato le infrastrutture informatiche aziendali. Questo garantisce la continuità del business e un lavoro rapido, riducendo a zero il rischio di errori. Nello specifico, il metodo utilizzato è quello OWASP, per la standardizzazione e replicabilità dei test. Gli esperti simulano attacchi in modo dinamico, adattandosi a varie situazioni, proprio come farebbe un hacker malintenzionato, evitando allo stesso tempo i falsi positivi, frequenti con l’uso di software automatizzati. Una volta consegnati i rapporti, l’azienda potrà avere sotto gli occhi le eventuali evidenze di debolezze. Bisognerà partire da queste per mettere i sistemi in sicurezza; un’operazione che può essere svolta dalla stessa SOD. La massima trasparenza trova applicazione diretta con i risultati presentati in un rapporto finale, che mette in condizione il cliente di verificare il lavoro svolto e comprendere chiaramente le aree coinvolte e gli obiettivi che ci si è prefissati.
Il mondo del Vulnerability Assessment e Penetration Test non è un sistema chiuso ma aperto alle personalizzazioni, così da rispondere ad esigenze differenti. SOD mette a disposizione un Mobile App Penetration Test, per verificare che un’applicazione sviluppata sia a prova di hacker. Del resto, sono tanti i rischi di un’app non testata, tra cui una gestione imperfetta delle autorizzazioni, delle sessioni ma anche una cifratura eventualmente corrotta e un incerto data storage. Le applicazioni sono talmente popolari che testarne l’affidabilità non è più solo un’opzione. Altri add-on sono il test della sicurezza fisica in azienda, volto a individuare gli attacchi che sfruttano tecniche di ingegneria sociale e manomissione fisica dei sistemi, e le analisi di sicurezza procedurale, che verificano che siano rispettate le principali normative di sicurezza, GDPR, ISO 27001, AGID.