.
Le vulnerabilità possono coinvolgere qualsiasi azienda che faccia uso di sistemi informativi, il Vulnerability Assessment è fondamentale, perché permette di rimediare tempestivamente prima che eventuali problemi diventino oggetto di attacchi informatici. Ma soprattutto l’aspetto più rilevante è la valutazione della severità ovvero del grado di esposizione al rischio di compromissione associata a ciascuna delle vulnerabilità individuate.
Dagli asset IT presenti su rete interna o su Internet, passando per reti wireless, piattaforme VoIP o di teleconferenza, i servizi di Vulnerability Assessment e Penetration Test dedicati al livello network hanno l’obiettivo di individuare, validare e classificare le vulnerabilità dei sistemi informativi.
Lo scopo è fornire al cliente gli elementi necessari per comprendere e valutare criticità e contromisure attuabili, attraverso report e analisi dettagliate che costituiscono l’output dei nostri servizi di Offensive Security.
Come funzionano Vulnerability Assessment e Penetration Test
L’attività, denominata di Vulnerability Assessment, prende in considerazione l’intero spettro delle componenti di rete, sia a livello fisico come router, switch, firewall, sia a livello servizi come web e application server, mail server, DB, ERP (es. SAP) o altre tipologie di back-end.
Si tratta di un processo che richiede un approccio procedurale specifico. Per ciascuno dei componenti di rete infatti è necessario definire, identificare e classificare le vulnerabilità potenziali o realmente esistenti. Lo stesso processo deve poi essere messo in pratica anche per l’intera infrastruttura di rete, o le infrastrutture di rete, dal momento che alcune delle vulnerabilità si possono manifestare attraverso la combinazione di più apparati.
Insomma, un’analisi approfondita che, oltre alle possibili criticità note e documentate, tenga conto anche della configurazione specifica e del contesto in cui ciascuno dei componenti è inserito.
Una volta identificati e classificati i potenziali punti vulnerabili dell’infrastruttura, il nostro protocollo prevede che questi vengano presentati in ordine prioritario, fornendo al cliente la conoscenza e i criteri necessari per valutare il rischio di ciascuno e per mettere in campo le strategie necessarie a bloccare le vulnerabilità individuate.
In genere un Vulnerability Assessment richiede l’utilizzo di strumenti di scansione della rete principalmente automatizzati. Si tratta di un’attività che prevede interazione con i target dell’analisi per rilevare indirizzi IP attivi, porte aperte, versioni dei sistemi operativi o dei servizi (ad esempio quale versione di Apache o IIS sono in esecuzione) per poi ricercare e censire il maggior numero di vulnerabilità presenti.
Come avviene un Penetration Test sul Network
Per questo motivo, se richiesto dal cliente in fase di ingaggio, CryptoNet Labs effettua un Network Penetration Test, simulando un attacco informatico che sfrutti queste problematiche per violare il sistema, con un punto di vista più rivolto ad andare in profondità: ad esempio ottenendo l’accesso non autorizzato a uno o più target (exploitation); eseguendo privilege escalation verticale, per ottenere i privilegi dell’amministratore di sistema; o effettuando lateral movement in orizzontale, replicando gli attacchi su target confinanti.
Tutte pratiche abitualmente messe in atto da chiunque sia realmente intenzionato a prendere possesso di una rete o di una infrastruttura, sfruttando appunto le debolezze che CryptoNet Labs è in grado di identificare grazie anche alla fase propedeutica del Vulnerability Assessment, che nell’ordine di esecuzione anticipa il Penetration Test.
Il Penetration Test e Vulnerability Assessment, due facce della stessa medaglia
Anche se Vulnerability Assessment e Network Penetration Test a volte sono considerati una pratica analoga, ci sono alcune differenze.
La finalità principale del Vulnerability Assessment è quella di scoprire debolezze di una rete, o di un sistema, e soprattutto di fornire indicazioni di remediation, cioè come ridurre o eliminare il rischio associata a una specifica problematica.
Questo avviene con l’utilizzo di una vasta gamma di strumenti, per la maggior parte automatici, i cui risultati vengono poi scrupolosamente esaminati dai nostri esperti e condensati in un report che mette in luce le diverse possibili vulnerabilità, i rischi e le soluzioni possibili.
Questo tipo di attività dovrebbe essere condotta periodicamente per trarne il massimo beneficio, ma anche e soprattutto quando vengono effettuati cambiamenti a livello infrastrutturale, in presenza di aggiornamenti critici, oppure dopo l’inserimento di nuovi dispositivi o servizi all’interno del sistema informativo.
CryptoNet Labs basa la propria attività sull’esperienza maturata dai propri specialisti nel corso degli anni, che si affianca a un costante aggiornamento sulle tecniche di attacco più recenti.
Ma soprattutto il punto di forza del nostro metodo di indagine è l’accuratezza e la completezza dei risultati.
Per raggiungere questo scopo i nostri professionisti utilizzano un sapiente mix di scansioni automatizzate, attività manuali di test e di revisione, nonché una adeguata combinazione di tutti i più avanzati strumenti commerciali o open source, costantemente selezionati, valutati e scelti come parte del nostro arsenale.
Particolare importanza assumono, nella preparazione dei deliverable finali, la discriminazione di falsi positivi e l’utilizzo di standard o tassonomie internazionali per classificare e valutare il grado di severità effettiva (ad es. CVE, CWE, OWASP Top 10 e CVSS).
Il Penetration Test invece si caratterizza per approfondire le vulnerabilità presenti utilizzando tecniche di simulazione: i nostri esperti di cybersecurity opereranno esattamente come cybercriminali, provando a forzare la sicurezza del sistema e a capire se e quali debolezze si traducono in una reale possibilità di attacco.
Chi ne può beneficiare
Tutte le organizzazioni che possiedono servizi critici per il business o sensibili, esposti pubblicamente o internamente e senza tralasciare reti WiFi, sistemi VoIP o di videoconference, che quindi necessitano di puntuali verifiche sull’esposizione al rischio delle proprie infrastrutture tecnologiche. Non solo per buone prassi di gestione, ma anche per rispettare la conformità alle normative nazionali, agli standard internazionali, nonché alle best practice di settore.