Vulnerability Assessment e Penetration Test

24.4.2024

Di Alessandro Mirani

La cybersecurity è una priorità per le aziende e le organizzazioni di ogni settore. Tra gli strumenti fondamentali a disposizione per proteggere le infrastrutture informatiche, il Vulnerability Assessment (VA) riveste un ruolo cruciale.

Analizzare e identificare le vulnerabilità presenti nei sistemi e nelle reti è un passo imprescindibile per garantire  sicurezza e integrità proattive dei dati. In questo articolo esploreremo i concetti chiave del VA e come può essere applicato efficacemente per migliorare la sicurezza.

Conosci te stesso

È importante conoscere il proprio potenziale tanto quanto è importante conoscere i propri limiti. Questa considerazione è valida anche in ambito aziendale e professionale. 

In sicurezza informatica, si chiama “superficie di attacco” l’insieme di individui, processi e tecnologie che consentono ai malintenzionati di perpetrare attacchi contro un ente. Una superficie di attacco è dunque tanto estesa quanti più mezzi, persone e processi un’impresa impiega. Bisogna quindi rinunciare a far crescere la propria impresa per mantenere una buona sicurezza nelle infrastrutture?

No, è sufficiente essere coscienti del potenziale e dei limiti dei mezzi che impieghiamo. In sicurezza informatica esiste una metodologia precisa volta proprio a massimizzare l’efficacia di questo tipo di sforzi: il Vulnerability Assessment.

Il Vulnerability Assessment (VA) è la scansione di un sistema, volta all’individuazione di vulnerabilità.

Da non confondersi con il Risk Assessment, per quanto rischio e vulnerabilità possano sembrare sinonimi, nel gergo tecnico non lo sono affatto. Una definizione per rischio potrebbe essere: “impatto dell’incertezza sui nostri obiettivi” (definizione molto simile a quella data da ISO); le vulnerabilità possono invece essere definite come “debolezze di un asset utilizzabili da un avversario per compromettere un sistema”. 

La differenza tra le due è evidente, poiché mentre il rischio è la misura dell’impatto di un evento avverso, la vulnerabilità è una debolezza identificata. Potremmo quindi aggiungere che, senza avere identificato le vulnerabilità, è più difficile stimare con certezza i rischi che abbiamo nella nostra azienda o nel nostro sistema.

Vulnerability Assessment e Penetration Test

A chi può servire dunque un vulnerability assessment? Non solo a chi si accinge a controllare il rischio ma a chiunque desideri sapere con buona approssimazione quali sono le parti più scoperte della nostra infrastruttura. Il VA potrebbe essere necessario per coloro che si sottopongono a auditing o devono ottemperare con leggi e normative, spesso attraverso attività di rimediazione o mitigazione delle vulnerabilità e del rischio. 

È dunque buona prassi per le aziende eseguire un VA con cadenza periodica (due volte all’anno è più che sufficiente) o in conseguenza di importanti cambi nella struttura informatica (e.g. acquisto di nuove strumentazioni, cambio di software provider). 

Il Vulnerability Assessment è di solito condotto in maniera automatica ed è volto ad individuare le vulnerabilità più diffuse nei sistemi.

Se volessi avere una visione più approfondita delle vulnerabilità della tua impresa, dovresti optare per un Penetration Test.

Un Penetration Test (PT) consiste infatti nella simulazione vera e propria di un attacco da parte di esterni. Durante il PT gli “Hacker Etici” tentano di simulare fasi di perlustrazione, attacco e sfruttamento delle vulnerabilità, volto ad identificare tutti i danni che un potenziale malintenzionato potrebbe causare alla tua infrastruttura.

L’obiettivo è conoscere in modo più approfondito possibile le debolezze del tuo sistema per correggerle prima che vengano usate contro di te.

Elementi del Vulnerability Assessment e Penetration Test

Vulnerability Assessment e Penetration Test (VAPT) possono essere approcciati in vari modi ma condividono tutti degli elementi fondamentali, che devono essere stabiliti prima dell’inizio dei lavori:

  • Scopo: tutto inizia, solitamente, dalla definizione dello scopo e delle minacce prese in esame. Lo scopo definisce anche che tipo di report è funzionale agli obiettivi economici e strategici dell’impresa. 
  • Budget: Un VAPT efficace deve essere definito nel tempo e nelle risorse impiegati; in altre parole, budget e durata devono essere ben definiti. La base per stabilire budget e durata, di solito, è quella di partire dalla definizione degli obiettivi strategici. Un primo VAPT esplorativo, ad esempio per un’azienda particolarmente grande e matura che non l'abbia mai fatto, avrà uno scopo più conoscitivo per avere una visione ampia e di alto livello della maturità della sicurezza. Al contrario, per comprendere i rischi legati al lancio di un nuovo prodotto o all’acquisto di una nuova infrastruttura, servirebbe un VAPT molto più verticale su una tecnologia e, possibilmente, con simulazioni di difesa e non solo di attacco.
  • Team: Una volta definito l’obiettivo e il budget del VAPT, è essenziale stabilire chi lo condurrà. Può sembrare un dettaglio ma non bisogna assolutamente prendere alla leggera la decisione di condurlo tramite un team esterno o interno. Bisogna tenere presente che un team di esperti esterni potrebbe aiutare ad affrontare i problemi di sicurezza con un approccio “fuori dalla scatola”; non fa mai male avere due occhi extra che guardano alla nostra infrastruttura da una prospettiva diversa. Tuttavia, l’obiettivo comune di tutti i VAPT è sempre e comunque migliorare la consapevolezza dello stato di sicurezza a livello aziendale. Delegare questo compito a enti esterni potrebbe essere una spesa inefficiente nel caso in cui sia un team interno a dover poi rispondere degli incidenti di sicurezza reali.
  • Modalità: il quarto elemento da pianificare è la visibilità del team sull’infrastruttura, ovvero la modalità in cui il test si svolge. Possiamo avere: test a scatola nera, bianca o grigia.
    In un test a scatola nera, il team che performa il VAPT non ha alcuna visibilità sulle falle di sicurezza che dovrà testare; a scatola grigia e bianca la visibilità aumenta progressivamente da parziale a totale. Anche in questo caso, non esiste una soluzione in assoluto migliore rispetto all’altra. In un test a scatola nera la simulazione dell’attacco riflette più realisticamente i comportamenti di un potenziale malintenzionato, riportando con più fedeltà le vulnerabilità più ovvie e gravi. Nel test a scatola bianca il team coinvolto avrà la “pappa pronta” su quelle che saranno le falle potenziali. Pur non simulando un attacco realistico, la sicurezza può essere testata più a fondo, a più livelli e più in fretta poiché i test saranno condotti in piena consapevolezza delle interazioni nell’infrastruttura. Un test a scatola grigia connubia il meglio dei due, creando una simulazione in cui gli attaccanti hanno delle informazioni critiche inerenti all’infrastruttura. Questa è una casistica frequente se si considerano quanti tentativi di esfiltrazione di informazioni sono condotti tramite social engineering e phishing.
  • Strumenti: Una volta stabiliti questi elementi, l’ultima fase è scegliere le tecnologie da impiegare sulla base del livello di automatizzazione o personalizzazione desiderata e, ancora una volta, del budget. Prima di affidarti a una tecnologia open-source per risparmiare, ricorda che i VAPT rischiano di rivelare informazioni critiche per la sopravvivenza di un’azienda. Metti sempre al primo posto le garanzie di privacy e confidenzialità che danno gli strumenti impiegati.

Conclusione

Il Vulnerability Assessment o valutazione della vulnerabilità (VA) è un pilastro fondamentale nella valutazione realistica della maturità di sicurezza in un’azienda.  Esaminando le vulnerabilità di sistemi e reti, un VAPT consente di rafforzare in modo proattivo la sicurezza e l'integrità dei dati: possiamo conoscere la superficie di attacco e le maggiori fonti di rischio all’interno dell’impresa. 

Per preparare un VAPT che aiuti l’azienda a identificare le azioni correttive efficientemente, è necessario definire obiettivi strategici, budget, durata e la modalità di conduzione, tenendo conto della visibilità del team sull'infrastruttura e sulla tecnologia utilizzata. 

Indipendentemente dall'approccio scelto, ricorda che l’obiettivo di un VAPT è produrre report chiari e funzionali che supportino gli obiettivi aziendali. 

Investi sempre in soluzioni affidabili e rispettose della privacy e non aver paura ad affidarti a terze parti esperte nel settore. Il miglior modo per conoscere sé stessi, storicamente, è vedersi da fuori. 

Articoli recenti

Logistica Farmaceutica e Tracciabilità: Le Migliori Soluzioni

NSO (Nodo Smistamento Ordini) per le Aziende Farmaceutiche: Una Guida Completa

Tor: Guida a The Onion Router

Bot e Intelligenza Artificiale: Come Funzionano

Criminalità Informatica: Proteggi i Tuoi Dati Online

Proteggiti dagli Attacchi Informatici: Soluzioni Efficaci

Firma Grafometrica: a cosa serve e come funziona

Gestione Documentale: Cos’è e a Cosa Serve