Il tema della sicurezza informatica sta diventando sempre più centrale nell’economia IT. Gli attacchi malevoli nei confronti delle aziende aumentano quotidianamente sia in termini di numero che di danni provocati al sistema produttivo, finanziario e alla reputazione dei brand coinvolti che, oltre alle difficoltà del particolare momento che stiamo vivendo e alle sfide della trasformazione digitale, si ritrovano costrette ad affrontare anche una minaccia che colpisce quando letteralmente meno te lo aspetti, un male che sa sfruttare anche il minimo errore di un singolo dipendente.

Per offrire un ordine di grandezza, nel solo 2020, complice anche la digitalizzazione forzata dalla pandemia, nel cui contesto molte aziende non erano certamente pronte a livello di sicurezza, gli attacchi informatici sono cresciuti quasi del 250%.

Le aziende che vogliono assicurarsi un futuro devono pertanto investire senza mezzi termini di materia di cybersicurezza, implementando solide strategie per difendere innanzitutto il loro perimetro dagli attacchi provenienti dalla rete. Per diagnosticare e risolvere le debolezze della propria infrastruttura IT in fatto di sicurezza è ormai fondamentale un’efficace azione di Vulnerability Assessment. In questo servizio vedremo in cosa consiste, perché sta riscuotendo un crescente successo, quali sono le differenze rispetto al Penetration Test e quali sono oggi gli approcci più innovativi che provengono dall’effervescente mondo dell’Ethical Hacking.

Vulnerability Assessment: cos’è e come funziona

Il Vulnerability Assessment (VA), altrimenti noto come Test di Vulnerabilità, comprende una serie di azioni utili ad individuare le criticità nell’infrastruttura IT che potrebbero essere sfruttate per condurre attacchi informatici. Il VA può essere equiparato ad una scansione di sistema, in grado di rilevare i punti deboli di un sistema di sicurezza ai fini di valutare preventivamente i possibili danni e orientare delle azioni correttive per ridurre le probabilità che gli attacchi vadano a segno con successo.

Il Vulnerability Assessment, per dirsi realmente efficace, non deve tralasciare alcun elemento utile a garantire la totale sicurezza aziendale. Sono pertanto identificabili varie tipologie di VA, che possiamo sintetizzare come segue:

  • Network VA: prende in esame la sicurezza di tutti i sistemi e dispositivi connessi alla rete. I nodi di una rete, oltre ad essere di per sè accessibili se non adeguatamente protetti, sono i punti dove transita la maggior parte dei dati sensibili e delle informazioni che potrebbero fare particolarmente gola agli hacker.
  • Web Application VA: le applicazioni web possono nascondere moltissime vulnerabilità, a partire da quelle che possono essere oggetto di attacchi zero day, capaci di sfruttare le falle di un software in corrispondenza del suo rilascio, prima che gli sviluppatori possano applicare con successo le patch di sicurezza utili a risolvere il problema.
  • WLAN VA: Network VA che si occupa nello specifico delle reti wireless, per rilevare sia la sicurezza intrinseca dell’infrastruttura e degli access point configurati, che per scongiurare la possibilità di connessione alla rete aziendale da parte di dispositivi non verificati, che potrebbero facilmente propagare le minacce nel momento in cui riescono ad accedere con particolari permessi ai sistemi aziendali.
  • Database VA: la digitalizzazione ha aumentato a dismisura la quantità di dati in azienda, e di conseguenza i sistemi in grado di gestirli, archiviarli ed analizzarli, ivi possono annidarsi dei potenziali bersagli per gli SQL Injection o le altre tipologie di attacchi in grado di colpire duramente i principali database.
  • Host VA: Riguarda nello specifico gli host di rete e comprende i test per verificare la solidità di server, switch, router, firewall e altri dispositivi, con particolare attenzione alla versione dei loro firmware e al regolare update degli aggiornamenti di sicurezza, in modo da accertarsi che non siano stati vittima di violazioni in grado di attivare ad esempio una botnet sulle macchine collegate alla rete.

Tali test vengono eseguiti attraverso l’impiego dei vulnerability scanner, software che, come il nome stesso suggerisce, consentono di automatizzare una scansione ad ampio raggio per rilevare le potenziali debolezze. Talvolta si tratta di questioni banali e di facile risoluzione, come il fare ordine nelle directory ed eliminare gli utenti non più attivi, i cui account potrebbero però essere ancora pericolosamente utilizzati per effettuare intrusioni malevole. In altre circostanze si rendono invece necessarie delle valutazioni molto approfondite, come nel caso del Penetration Test (PT).

Un aspetto fondamentale del Vulnerability Assessment è costituito dal report, un documento divulgativo, comprensibile almeno nei suoi estremi anche a chi non è uno specialista della cybersecurity, che deve riassumere la diagnosi e riassumere, secondo degli standard predefiniti, il livello di criticità rilevato nelle varie circostanze in cui si sospetta la presenza di una vulnerabilità.

Tale sintesi avviene solitamente mediante l’adozione di un sistema basato sui punteggi ottenuti nei test. Il report deve infine impostare un piano di azione per orientare verso le azioni risolutive, ad esempio suggerendo quali test approfonditi effettuare o come intervenire direttamente nei confronti delle minacce che paiono del tutto palesi.
La scrittura di un report VA non è un’operazione semplice, richiede un notevole livello di competenze ed esperienza, ad esempio nel saper riconoscere i vari falsi positivi e falsi negativi che potrebbero derivare dall’esecuzione dei test automatizzati.

Dal Vulnerability Assessment al Penetration Test: mettere a nudo la minaccia

Abbiamo visto come il Vulnerability Assessment costituisca una sorta di checkup generale di tutti i sistemi informatici e di rete presenti in azienda. Il Penetration Test entra più a fondo. Una volta nota una possibile vulnerabilità, identificata ad esempio durante la scansione del Vulnerability Assessment, si prova ad attaccare in modo mirato il sistema per dimostrare l’esistenza di tale debolezza. Il Penetration Test si configura quindi come una simulazione di attacco verso un determinato obiettivo, per provare una vulnerabilità e valutarne in modo dettagliato le possibili conseguenze.

VA e PT costituiscono dunque due procedure che a livello strategico avrebbe tutto il senso accoppiare, per garantire una continuità end-to-end della valutazione e soprattutto della soluzione delle vulnerabilità presenti in materia di sicurezza in un’azienda.

Spesso VA e PT vengono confuse, anche in maniera piuttosto truffaldina, o quanto meno ingannevole. Il sensibile aumento di attacchi informatici ha costretto le aziende a cercare sul mercato dei servizi in grado di aumentare l’affidabilità dei loro sistemi di sicurezza. Le risorse qualificate sul mercato sono oggettivamente limitate, per cui abbiamo stiamo assistendo al proliferare di realtà che, per ottenere un vantaggio economico, provano letteralmente a vendere una cosa per un’altra. È il caso di chi spaccia per Penetration Test quello che di fatto è un semplice test di vulnerabilità eseguito con uno dei tanti scanner disponibili sul mercato.

Al di là di affidare le sorti della propria azienda in mano a soggetti di fatto poco competenti o affidabili, vi è il notevole rischio di passare dalla padella alla brace. Vediamo il perché.

Vulnerability Assessment e Penetration Test dal punto di vista aziendale: quando i rischi possono superare le opportunità

Affidare un servizio di cybersicurezza a soggetti non qualificati o semplicemente dotati di competenze non all’altezza dell’incarico prospettato potrebbe causare più danni rispetto a quelli che potrebbero derivare dai rischi presenti in origine. Sia nel caso di un VA che di un PT.

Abbiamo rilevato come il punto cruciale del Vulnerability Assessment risieda nel report, ossia nella sintesi delle valutazioni e nel relativo piano d’azione per risolvere le vulnerabilità presenti nei sistemi aziendali. Se il redattore non è dotato di competenze adeguate, ben difficilmente riuscirà ad interpretare dati e punteggi derivanti dai software di vulnerability scanner e di conseguenza sarà ancora più improbabile che sappia riconoscere i falsi positivi, i falsi negativi o le evidenti mancanze cui una procedura quasi del tutto automatizzata può talvolta andare incontro, se non supportata dall’occhio vigile di un esperto di cybersecurity. Se condotto male un VA può infatti produrre più danni che benefici.

Lo stesso discorso vale nel caso dei Penetration Test, la cui validità tecnica e metodologica non può certamente essere messa in discussione, ma che rappresenta un’azione di base molto onerosa e complessa da attivare, oltre ad essere per natura circostanziata ad un episodio, senza garantire quel monitoraggio a lungo termine di cui oggi le aziende necessitano.
Mentre il VA è effettuabile con scanner automatizzati ma è in grado di rilevare solo la superficie della vulnerabilità, il PT è molto specifico in un’azione che viene condotta con attacchi manuali, condotti dai cosidetti ethical hacker, che hanno di fatto le stesse competenze degli hacker malevoli. Competenze tutt’altro che trascurabili, tutt’altro che semplici da reperire e decisamente onerose da sostenere.

Investire in sicurezza per un’azienda non soltanto costituisce un onere elevato, per quanto indispensabile, ma pone di fronte ad un gap di competenze decisamente cronico, nell’attesa. Il rischio, diciamocelo chiaramente, è quello di dover strapagare per risorse di fatto limitate, in virtù della legge più antica del mercato: il punto di incontro tra la domanda e l’offerta.

Fortunatamente, esistono delle alternative pratiche, che consentono di ottenere rapidamente dei risultati affidando totalmente in outsourcing i test necessari per garantire i più elevati standard di sicurezza della propria infrastruttura IT. Laddove è un problema ingaggiarne uno, si rivela molto più semplice ingaggiare l’intera community degli hacker buoni presenti nella rete.

L’approccio innovativo della community degli ethical hacker: il crowdtesting di WhiteJar

Tra le realtà più interessanti nel business esponenziale della cybersecurity spicca il caso di WhiteJar, che basa i propri servizi sul crowdtesting, ossia un Penetration Test di moderna concezione, svolto da un team diffuso di hacker etici, che collaborano da remoto grazie all’impiego di una piattaforma proprietaria. In altri termini, WhiteJar seleziona i migliori hacker attivi nella community globale e li mette al servizio delle aziende che intendono avvalersi dei suoi servizi.

WhiteJar ha messo a punto un modello di collaborazione che consente ai tester di utilizzare metodologie agili, per adattarsi alla complessità del progetto che viene di volta in volta attivato con un’azienda cliente. Il modello organizzativo messo a punto da WhiteJar prevede le Gilde, esperti che agiscono in contesti molto verticali, e le Squad, dei veri e propri reparti speciali, formati dai migliori esperti in assoluto, che agiscono supportando le varie gilde nei compiti più impegnativi.

WhiteJar è partita dai tradizionali limiti del Penetration Test classico per mettere a punto un metodo molto più flessibile e funzionale a soddisfare le differenti esigenze di ciascuna azienda. I servizi di Pen-Test basati sul crowd di Whitejar superano la soggettività, i vincoli sulle tempistiche e i costi elevati dei Pen-Test classico grazie all’azione di un gruppo ampio ed estremamente qualificato di specialisti, in grado di sfruttare le economie di scala che derivano da una collaborazione su più attività.

Il servizio di WhiteJar risulta accessibile in cloud attraverso una dashboard che consente sia agli hacker che alle aziende clienti di disporre degli strumenti necessari per interagire continuamente, nel contesto delle rispettive attività designate. Le figure professionali cui WhiteJar si affida per garantire le proprie prestazioni sono le seguenti:

  • Project Coordinator: si occupa dello sviluppo e dell’implementazione di prodotti digitali e gestisce le attività dei team di crowdtesting che gli vengono affidate sui progetti.
  • Esperto Verticale: è tendenzialmente specializzato in un settore specifico, come automotive, banking, insurance, health, ecc. e viene selezionato quando il cliente richiede competenze di natura specialistica, al di là delle competenze informatiche comuni;
  • Ethical Hackers Coordinator: si relaziona con la community globale degli hacker etici certificati per formare i crowd team cui vengono affidati i progetti delle aziende clienti.

Tutti i vantaggi del Penetration Test crowdbase di Whitejar

Rispetto al modello tradizionale, il Pen-Test crowdbase di Whitejar è in grado garantire l’efficacia tecnica di un Penetration Test assicurando però quel carattere di continuità che risulta del tutto assente nel modello tradizionale, basato esclusivamente sui progetti a durata limitata. Il crowdtesting di Whitejar sfrutta una piattaforma di collaborazione proprietaria per garantire i seguenti vantaggi:

  • Avvisi di vulnerabilità in tempo reale, mentre con il metodo classico potevano occorrere almeno due settimane di lavoro prima di ottenere i primi feedback.
  • Competenze illimitate e diversificate all’interno di una community enorme, in cui sono attivi i migliori specialisti al mondo.
  • Collaborazione continua con la comunità globale degli hacker etici, con una contaminazione a livello di knoweledge costantemente aggiornata in merito a tutte le minacce presenti nella rete.
  • Risultati misurabili in tempo reale grazie ad una dashboard user friendly attiva 24/7, senza dover attendere un report “conclusivo”, statico e difficilmente aggiornabile, come accade nel Pen-Test tradizionale.
  • Integrazione dei dati con sistemi di ticketing avanzati come Jira, in modo da garantire un supporto costante e qualificato alle aziende clienti.
  • Modello consulenziale flessibile, cui si accede mediante un modello a servizio, con il pagamento di una subscription a ciclo continuo, per assicurarsi la totale tranquillità di un sistema di monitoraggio e analisi sempre attivo per rilevare qualsiasi lacuna di sicurezza possa intervenire sui sistemi aziendali.

Ma possiamo davvero fidarci di un hacker, per quanto etico possa essere?

La differenza tra un hacker etico e un hacker criminale è molto semplice. Quest’ultimo cerca di trarre vantaggio dalle vulnerabilità dei sistemi informatici, attraverso azioni non consentite dalla legge e ovviamente non autorizzate dalla vittima designata. L’hacker buono, quello con il white hat, il cappello bianco, vede il proprio business nel trovare prima degli altri le falle dei sistemi informatici, in modo da poterle chiudere prima dell’arrivo di un malintenzionato. La sua azione è legale e ovviamente autorizzata da un cliente che lo ingaggia per difendersi dagli attacchi informatici.

Hacker buoni e cattivi sono entrambi tecnici dotati di un livello di competenze in fatto di informatica molto elevato. Si tratta soltanto di capire da che parte intendono stare, se usare la propria forza per difendere i business legali o se cedere al fascino e ai rischi del lato oscuro per cercare di comprometterli.

Prima ancora di possedere i requisiti necessari per poter svolgere il suo lavoro, l’ethical hacker è tale innanzitutto perché crede in certi valori e sa di poter essere ampiamente remunerato mettendo a servizio della comunità le proprie competenze. Spinto da una sfida continua, che ne motiva la crescita professionale, un ethical hacker basa sulla propria credibilità la principale risorsa per assicurarsi la fiducia dei clienti che gli affidano letteralmente le chiavi della propria cassaforte.

Bisogna innanzitutto precisare come WhiteJar goda di riflesso della credibilità di AppQuality, holding di cui rappresenta la business unit dedicata alla cybersecurity. AppQuality è una realtà che esiste per creare soluzioni digitali efficaci e user-centriche facendo leva sulla potenza del Crowd. È un riconosciuto leader di mercato per quanto concerne il crowdtesting su prodotti e servizi digitali, forte di una community altamente ingaggiata di tester ed utenti reali nei vari verticali dell’industria, che operano grazie al coordinamento di una piattaforma proprietaria.

Gli hacker che collaborano con Whitejar dispongono delle principali certificazioni di settore, tra cui la CEH (Certified Ethical Hacker). Tali informazioni vengono attentamente esaminate in modo da accertare sia l’autenticità che la validità rispetto ai termini di rilascio.

Grazie all’innovativo modello di business basato sul crowdtesting, AppQuality è già riuscita a guadagnarsi sul campo minato della cybersicurezza la totale fiducia di clienti del calibro di Carrefour, Intesa Sanpaolo, Enel, Lottomatica, Fastweb, Sky, Bending Spoons e molti altri.

 

 

 

 

 

Vulnerability Assessment cos’è e perché è diverso dal Penetration Test: il crowdtesting di WhiteJar ultima modifica: 2020-09-23T15:15:59+00:00 da Francesco La Trofa

LEAVE A REPLY

Please enter your comment!
Please enter your name here