Nell’era informatica in cui viviamo, dove gli attacchi informatici alle aziende sono all’ordine del giorno, un Vulnerability Assessment è indispensabile per proteggere, l’azienda. Basti pensare che gli esperti del Clusit (Associazione Italiana per la Sicurezza Informatica) hanno registrato 10.087 attacchi noti di particolare gravità al 31 dicembre 2019, che hanno avuto gravi ripercussioni per le vittime in termini di perdite economiche, danni alla reputazione e diffusione di dati sensibili.
Cos’è la Vulnerability Assessment
Letteralmente “valutazione di vulnerabilità“, per Vulnerability Assessment si intende quel processo finalizzato a identificare e classificare i rischi e le vulnerabilità, in termini di sicurezza, dei sistemi informativi aziendali. Quest’idea si muove dall’assunto per cui la maggior parte degli attacchi sfrutti proprio “gli elementi di vulnerabilità” insiti in un sistema aziendale. Lo scopo della valutazione è quindi l’identificazione di tutte le vulnerabilità dei sistemi e delle applicazioni valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva. Ci si renderà conto di quanto possa essere importante proteggere da questo punto di vista un’azienda se solo si fa riferimento ad alcuni dati statistici. Un rapporto sulla sicurezza informatica di Kenna Security di Cisco ha rilevato una media di 55 nuove vulnerabilità software ogni giorno. I risultati chiave del rapporto potrebbero essere così riassumibili:
- il 95% delle risorse IT presenta almeno una vulnerabilità altamente sfruttabile;
- l’87% delle organizzazioni presenta vulnerabilità, e il 41% di esse mostra vulnerabilità in 3 asset su 4.
Ma cosa rende vulnerabile un’azienda?
- errate configurazioni;
- errori commessi durante un’installazione o un upgrade dei sistemi informativi.
- scoperta di un bug (errore di programmazione) non noto fino a quel giorno
- mancanza di patch utili a chiudere una falla di un software.
In cosa consiste il processo di Vulnerability Assessment
Per eseguire la valutazione di vulnerabilità è necessario ricorrere a specifici strumenti (i cosiddetti vulnerability scanner) che si occupino delle scansioni sulle Web app o sulle reti aziendali. Gli strumenti si rivolgono sostanzialmente ad alcuni target:
- dispositivi di rete;
- host/server;
- reti wireless;
- web application;
- database.
- software
Sul mercato esistono diversi vulnerability scanner, strumenti sia opensource che commerciali che possono essere utilizzati.
In genere, il processo di valutazione segue fasi ben precise:
- in primis, la catalogazione di risorse e capacità (risorse) in un sistema;
- l’assegnazione di un valore quantificabile e di importanza a tali risorse;
- l’identificazione di vulnerabilità o potenziali minacce per ciascuna risorsa;
- la mitigazione o eliminazione delle vulnerabilità più gravi per le risorse più preziose.
Individuazione dei livelli di gravità (classificazione dei rischi)
Come in altri ambiti, è necessario far riferimento ad una classificazione standardizzata che permetta di distinguere differenti livelli di vulnerabilità (e quindi, di minaccia alla sicurezza aziendale). Possono essere così definiti:
- critical;
- high;
- moderate;
- low;
- informational N/A;
Al termine della valutazione di vulnerabilità, quindi, otterrete un report composto essenzialmente di due parti:
- Executive Summary: un resoconto non tecnico, breve;
- Techincal Report: un report esteso e completo di tutti i dettagli, destinato al personale tecnico dell’azienda. Il suo obiettivo è l’esposizione completa e chiara delle criticità individuate, ma anche dei dettagli tecnici relativi alla vulnerabilità dei sistemi informatici aziendali. Il Technical Report fornisce anche informazioni su come porre rimedio alle criticità individuate.
Conclusioni e domande comuni
Tenendo conto dei parametri considerati, appare evidente che un Vulnerability Assessment sia indispensabile per la sicurezza dell’azienda. Certo è che bisogna affidarsi ad esperti nel settore, ottenere consulenze, aggiornarsi adeguatamente. Quello che dovete sapere è che una valutazione efficace non si limita ai servizi potenzialmente esposti ad attacchi provenienti dalla rete Internet, perché è fondamentale tutelarsi anche all’interno della propria rete privata. A questo scopo vengono testati sistemi server, postazioni di lavoro, apparati di rete e dispositivi firewall esposti sul perimetro esterno o raggiungibili dalla rete privata.
Alcune domande che ci vengono frequentemente rivolte riguardano i tempi, i modi e le differenze con il Penetration test.
In quanto ai tempi di esecuzione del test, non c’è una regola fissa che determini quando e ogni quando sia necessaria una valutazione di vulnerabilità. È auspicabile almeno una volta l’anno, anche se una scansione trimestrale, data la continua evoluzione dei sistemi, darebbe una maggiore garanzia sulla sicurezza. E se per un attimo si guarda ai numeri sopra citati (ben 55 nuove vulnerabilità scoperte al giorno in media), è evidente quanto sia importante dare priorità alle vulnerabilità da correggere, specie quelle ad alto rischio. Il rapporto Cisco si è espresso anche sul tema, rimarcando che dare priorità alle vulnerabilità da correggere è più efficace che aumentare la capacità di un’organizzazione del correggerle.
Per quel che concerne le modalità, in genere un test di valutazione può procedere in tre modi principali:
- Black Box Testing: eseguito senza avere raccolto preventivamente alcuna informazione sui sistemi di difesa attivi sull’infrastruttura;
- Grey Box Testing: eseguito con una parziale conoscenza dell’infrastruttura;
- White Box Testing: eseguito a fronte di una conoscenza approfondita dell’infrastruttura nella sua totalità.
Infine, in riferimento alle differenze con il Penetration Test, ci teniamo a precisare che la Vulnerability Assessment non è una procedura invasiva. Il Penetration, infatti, consiste in una vera e propria simulazione di attacco informatico, eseguito da un ethical hacker, al fine di individuare le falle che consentirebbero l’accesso indesiderato al sistema e misurare l’impatto sull’infrastruttura dello sfruttamento (exploit) delle stesse. Le differenze tra i due hanno un notevole impatto anche sull’attività aziendale; di fatto, eseguire un test di vulnerabilità non richiede un fermo dell’azienda.
Altre domande? Desiderate una consulenza gratuita? Rivolgetevi a noi per avere tutte le informazioni di cui avete bisogno.
