Vulnerability Assessment & Penetration Test: testare la sicurezza IT

Quali sono le differenze tra i due servizi e in che modo entrambi possono supportare l’azienda nella difesa dagli attacchi informatici.

La maggior parte degli specialisti IT ha familiarità con i termini Vulnerability Assessment e Penetration Test. Eppure, in diversi contesti, esiste ancora confusione tra le due attività e i due termini vengono utilizzati erroneamente in modo intercambiabile.

In questo articolo chiariremo le principali differenze tra Vulnerability Assessment e Penetration Test, elencandone i vantaggi e spiegando perché rappresentano entrambi due strumenti strategici per garantire la sicurezza dei sistemi informativi aziendali.

COS'É UN VULNERABILITY ASSESSMENT?

Con il termine Vulnerability Assessment si identifica lo strumento di analisi dei sistemi informatici aziendali volto a far emergere possibili vulnerabilità di un dato ambiente (infrastruttura, sistemi e applicazioni) e valutare la security posture aziendale. Consiste in un test grazie al quale è possibile:

• • identificare e classificare eventuali falle di sicurezza presenti nell’ambiente aziendale;
  • comprendere le minacce informatiche a cui l’azienda è esposta;
  • raccomandare misure correttive per eliminare le falle/debolezze di security o ridurre il rischio a un livello accettabile.

Il Vulnerability Assessment offre all’azienda una migliore comprensione delle proprie risorse e dei propri limiti in termini di sicurezza, aiutandola ad adottare misure volte a ridurre le probabilità che un criminale informatico violi i suoi sistemi.

Poiché le vulnerabilità possono consentire agli hacker di accedere ai dati, alle applicazioni e ai sistemi, è essenziale che le aziende identifichino e rimedino alle debolezze prima che queste possano essere sfruttate: scoprire in anticipo i propri punti deboli permette di adottare le opportune contromisure.

Vale la pena ricordare che il Vulnerability Assessment è di aiuto non solo alle aziende più grandi – che per natura sono più soggette ad attacchi informatici – ma anche alle realtà di piccole e medie dimensioni, che negli ultimi anni sono entrate sempre di più nel mirino dei criminali informatici.

COME SI ESEGUE UN VULNERABILITY ASSESSMENT

Il Vulnerability Assessment inizia con l’utilizzo di tool automatici che permettono di scandagliare l’infrastruttura alla ricerca di potenziali vulnerabilità.

In seguito all’utilizzo del tool, intervengono gli specialisti di Cyber Security (Ethical Hacker), la cui attività rappresenta il vero valore aggiunto dell’analisi, poiché integrano e rafforzano i risultati forniti dal tool con una meticolosa verifica manuale delle vulnerabilità rilevate, permettendo in questo modo di ridurre eventuali falsi positivi.

Il Vulnerability Assessment si divide in due fasi:

• • Una prima analisi “non invasiva”, durante la quale viene raccolto il maggior numero di informazioni sull’obiettivo (domini, indirizzi IP, etc.) per determinare i possibili entry point;
  • Una successiva analisi, questa volta “invasiva”, durante la quale, grazie alle informazioni raccolte in precedenza, si vanno ad identificare le vulnerabilità effettivamente presenti sui sistemi e sulle applicazioni target.

È importante sottolineare che il Vulnerability Assessment non prevede una fase di verifica di ciò che si può raggiungere “sfruttando” le vulnerabilità riscontrate (la cosiddetta Exploitation, attività prevista invece dal Penetration Test).

Dal momento che il panorama delle minacce è in continua evoluzione, una scansione può riportare nel momento dell’esecuzione un buono stato di salute di un sistema, ma ciò non significa che lo stesso sistema il mese successivo non possa presentare nuove vulnerabilità critiche.

È quindi di fondamentale importanza che le aziende svolgano attività di Vulnerability Assessment su base periodica, per avere chiaro come appaia nel tempo la loro superficie di attacco.

L’analisi dei risultati dell’attività va a comporre il report finale, che comprende:

• • l’elenco delle vulnerabilità rilevate;
  • un indice di gravità delle stesse;
  • una descrizione minuziosa delle minacce;
  • le specifiche inerenti ai sistemi e alle applicazioni interessate;
  • le contromisure da mettere in campo per eseguire la mitigazione del rischio.

Seppur di fondamentale importanza, è bene ricordare che da solo il Vulnerability Assessment non è sufficiente a garantire la sicurezza informatica aziendale. Esso deve sempre e comunque rientrare in una più ampia strategia di Cyber Security.

Un altro strumento, che si affianca al Vulnerability Assessment nel processo di messa in sicurezza dell’azienda, è il Penetration Test.

COS'É UN PENETRATION TEST?

Come abbiamo visto, lo scopo del Vulnerability Assessment è quello di ottenere una lista di vulnerabilità, e della loro gravità, al fine di correggerle. Il Penetration Test, invece, è volto a verificare come le vulnerabilità di un sistema possano essere sfruttate da un criminale informatico per accedervi e muoversi al suo interno.

Il Penetration Test è quindi un vero e proprio esercizio manuale in cui i Pen Tester (Ethical Hacker) provano l’esistenza oggettiva delle falle, dimostrandone la loro natura critica attraverso la simulazione di un attacco informatico.

Ciò che viene effettuato è quindi un vero e proprio cyber-attack, in cui gli “attaccanti” agiscono interpretando il ruolo di hacker malintenzionati focalizzati sul raggiungimento di uno specifico obiettivo (ad esempio: avere accesso a dati sensibili).

L’unica, fondamentale, differenza rispetto a un reale attacco informatico è la totale assenza di rischi di compromissione per il sistema.

COME SI ESEGUE UN PENETRATION TEST

Fase #1 – Studio dell’obiettivo

Gli attaccanti analizzano attentamente l’organizzazione, studiandone punti di forza e debolezza, e raccolgono tutte le informazioni di cui hanno bisogno (nomi di rete e di dominio, mail server, etc.) per progettare l’attacco. Definiscono, in aggiunta, l’obiettivo del test, il perimetro d’azione e la metodologia di analisi.

Il Penetration Test può essere infatti di due tipologie, sulla base del dettaglio di conoscenze che l’attaccante ha a disposizione circa il sistema dell’azienda:

• • Black Box Test: questa modalità prevede che non venga data alcuna informazione al Penetration Tester in merito al sistema da attaccare. Si tratta di un vero e proprio attacco hacker, seppure senza conseguenze negative per l’azienda, ed è chiaro che l’abilità di chi effettua il test conta molto.

• • Grey Box Test: l’attaccante può contare su dati e indicazioni dettagliate sull’infrastruttura informatica fornite dal cliente.

Il Black Box Test è preferibile se si vuole simulare la reale condizione in cui avvengono gli attacchi informatici dall’esterno. Il Grey Box Test è invece consigliato per testare target specifici (ad esempio le applicazioni).

Fase #2 – Scansione

I Pen Tester scansionano l’infrastruttura IT aziendale alla ricerca dei punti deboli che possono sfruttare per l’attacco mirato.

Fase #3 – Pianificazione della strategia di attacco

Grazie alle informazioni raccolte, i Pen Tester decidono quali strumenti e tecniche mettere in campo per colpire il sistema: social engineering, malware, SQL injection, etc.

Fase #4 – Attacco

Dopo aver effettuato un’analisi invasiva, attraverso scansioni che permettono di capire se e come il target risponda ai vari tentativi di intrusione, i Pen Tester passano all’attacco vero e proprio. In questa fase, essi cercano di sfruttare le vulnerabilità individuate, in genere ipotizzando le password corrispondenti agli utenti trovati (password guessing) o usando errori progettuali delle applicazioni e dei servizi attivi sul server (buffer overflow, attacchi data driven, etc.), o del sistema operativo stesso, per capire il danno che possono causare.

Lo scopo ultimo è arrivare a ottenere il pieno controllo del sistema attaccato e a persistere al suo interno.

Fase #5 – Report

Anche al termine del Penetration Test viene redatto un report che riporta:

• • la descrizione dell’attacco effettuato;
  • l’elenco delle eventuali vulnerabilità rilevate;
  • la valutazione dell’impatto che avrebbe un reale attacco sull’azienda;
  • rimedi per risolvere le criticità e rendere l’organizzazione più sicura.

Se il Penetration Test non va a buon fine, è la dimostrazione che quel sistema informatico messo alla prova è in sicurezza. Questo però non significa che l’azienda sarà protetta per sempre da ogni attacco: proprio perché le strategie degli hacker evolvono costantemente, è importante eseguire i Penetration Test regolarmente.

ABBINARE IL VULNERABILITY ASSESSMENT AL PENETRATION TEST

Come abbiamo visto, Vulnerability Assessment e Penetration Test sono due strumenti con caratteristiche e finalità diverse, ma tra loro complementari. È quindi possibile sfruttarli entrambi: nell’esempio che segue vediamo come integrarli.

Supponiamo che l’azienda Acme abbia svolto un Vulnerability Assessment grazie al quale sono emersi diversi punti deboli del sistema che potrebbero essere presi facilmente di mira dai criminali informatici.

L’azienda Acme corre quindi ai ripari, applicando le misure correttive per aumentare il livello di sicurezza aziendale. Come può l’azienda Acme testare l’efficacia delle nuove strategie messe in atto e determinare la sua capacità di resistere ad un potenziale tentativo di intrusione da parte di un attaccante? Ecco che le viene in aiuto il Penetration Test: attraverso la simulazione di un attacco informatico l’azienda potrà verificare il corretto funzionamento delle nuove procedure e adottare altre eventuali misure per aumentare ulteriormente il proprio grado di sicurezza.

È infine importante sottolineare che anche nel caso in cui un’azienda utilizzi un tool automatico per effettuare con periodicità i Vulnerability Assessment, è comunque buona norma prevedere al contempo che una terza parte, specializzata in Cyber Security, effettui attività manuali di Vulnerability Assessment e Penetration Test, al fine di riscontrare e sanare quante più vulnerabilità possibili e migliorare continuamente la security posture aziendale.