INFORMATION TECHNOLOGY

VULNERABILITY ASSESSMENT, PROTEGGERE I DATI

VULNERABILITY ASSESSMENT, PROTEGGERE I DATI

Vulnerability Assessment: proteggersi riducendo i rischi

 

«Ci sono due tipi di aziende: quelle che sono state hackerate e quelle che non sanno ancora di essere state attaccate.», disse in una celebre intervista John Chambers, former CEO di Cisco.

Tanti più device e servizi si connettono alle reti e ad Internet, tanto più si amplia la superficie di attacco sfruttabile da malintenzionati per accedere, rubare o danneggiare dati ed infrastrutture; in una realtà in cui si è passati dai circa 15,48 miliardi di device connessi del 2015 ai 30,73 miliardi attuali (2020) e alla previsione dei 75,44 miliardi per il 2025 (fonte STATISTA)

Vulnerability Assessment

Accessi fraudolenti

 

Ogni singolo server, PC, apparato di rete, smartphone, applicativo e altra forma di tecnologia, per quanto sia importante per il business, può divenire il mezzo per veicolare accessi indesiderati, sviluppare attacchi informatici, compiere furti, manomettere dati e diffondere malware.

Ci sono molte tecniche per accedere in maniera “fraudolenta” ad un apparato o ad una applicazione e solitamente riguardano la presenza di una o più vulnerabilità, derivino esse da errori di configurazione, bug, metodi di autenticazione o autorizzazione non sufficientemente solidi oppure da politiche di gestione non adeguate.

Buona parte delle vulnerabilità sono però note, pubbliche, descritte e catalogate con un id, in database preposti a raccogliere tutte le informazioni che le riguardano.
Il sistema di classificazione più famoso è noto come CVE (Common Vulneratbilities and Exposures), mantenuto dal MITRE e sponsorizzato da DHS ( U.S. Department of Homeland Security ) e dal CISA ( Cybersecurity and Infrastructure Security Agency ); lo scopo è condividere le informazioni note pubblicamente, al fine di permettere la risoluzione e la gestione ottimale di possibili minacce. Esistono chiaramente molte vulnerabilità che non sono state ancora scoperte, catalogate o rese pubbliche. Ogni anno aumentano il numero di minacce rilevate, con un record 2019 di oltre 22.000 vulnerabilità.

 

Lo scopo del Vulnerability Assessment

 

Il Vulnerability Assessment ha come scopo primario l’identificazione, la quantificazione e l’assegnazione di una priorità nella scala di rischio delle vulnerabilità di un sistema, basandosi su obiettivi preordinati, sulla definizione di un perimetro di azione e permettendo in definitiva di predisporre, ove l’analisi ne evidenzi la necessità, un piano per mitigare i pericoli riscontrati. (VA-cycle). Esistono molti tool, anche open-source, che permettono la gestione dei vulnerability assessment in ambito aziendale e, se correttamente configurati, permettono di gestire ciclicamente la scansione di tutti gli asset, allo scopo di identificare le criticità e producendo della reportistica utile al personale IT per porre rimedio, spesso correggendo delle configurazioni o eseguendo degli aggiornamenti.

Nei casi in cui si abbia a che fare con comportamenti più complessi, multi-fattoriali oppure si tratti di vulnerabilità non ancora note, è necessario utilizzare tecniche di penetration-test (pen-test) e di red-teaming, cercando dunque di stressare il sistema, di violarne gli accessi (gain access exploitation), mantenerli e quindi coprire le proprie tracce; scopo finale è sempre evidenziare rischi per la stabilità della struttura e vulnerabilità.

Gli approcci descritti sono spesso complementari, ove i Vulnerability Assessment vengono solitamente gestiti da personale interno che conosce topologie e password (approccio white-box), mentre i Pen-Test vengono solitamente condotti da entità terze “super- partes” in modalità black-box, come agirebbe un attaccante esterno, in modalità white-box oppure con delle modalità ibride (grey- box).

 

I Vulnerability Assessment vengono fatti in maniera regolare, più volte nell’anno, in base alla criticità del business; i pen-test sono solitamente meno frequenti, più costosi ed impegnativi.


Queste tecniche permettono di ridurre notevolmente il rischio di data-breach e data-leak ed al contempo permettono una migliore conoscenza dei propri asset, favorendo una comprensione di insieme ed una gestione olistica del proprio eco-sistema digitale.

Alcuni standard di sicurezza richiedono obbligatoriamente che questi approcci vengano applicati secondo specifici dettami, pensiamo ad esempio allo standard per i pagamenti online DSS-PCI, in altri casi l’applicazione è invece lasciata alla valutazione di chi gestisce lo specifico business e le relative criticità, come avviene per il GDPR, dove si afferma il concetto di accountability e viene lasciata libertà di definire le forme più idonee per proteggere i dati.

 

Risulta in definitiva fondamentale tutelarsi tramite una politica strutturata per la gestione dei Vulnerability Assessment, e Penetration-Test, facendo quanto possibile per evitare che vengano sfruttate vulnerabilità note ed evitabili, e così scongiurare danni alla produttività e all’immagine aziendale.

Share