Vulnerability assessment e penetration test

I termini di vulnerability assessment e Penetration test sono tra i più utilizzati quando si parla di cybersecurity. Spesso però il loro significato viene confuso e non è chiara la differenza tra le due attività che sono complementari ma molto differenti tra loro.

Che cosa si intende per vulnerabilità?

La vulnerabilità è una falla nella sicurezza che si può ravvisare in un software o in un hardware. La maggior parte sono di tipo software, questo perché il software è uno strumento di notevole complessità che per sua natura può comprendere degli errori che possono essere fatali. Il sistema operativo Windows ha oltre 50 milioni di codici, Google oltre un miliardo di righe di codice: se tra questi ci fosse un bug, potrebbe generare milioni di attacchi.

Ovviamente non tutte le vulnerabilità sono utilizzabili, ma alcune lo sono e tramite l’attività di exploit vengono sfruttate. Esistono addirittura dei tool software (creati da qualche malintenzionato) che possono utilizzare tutti per sfruttare le vulnerabilità conosciute.

Esiste poi anche un mercato in cui rintracciare le vulnerabilità note: viene definito Black Market e una nota azienda creata nel 2015, Zerodium, ha impostato il proprio business sull’acquisto di nuove vulnerabilità, con remunerazioni che crescono col crescere della potenza e dell’importanza del bug segnalato. Sul loro portale dichiarano di essere alla ricerca di “vulnerabilità zero day avanzati”

Con vulnerability zero day si intende il momento in cui una vulnerabilità non nota viene scoperta, che corrisponde al momento di massimo rischio in caso di attacco perché lo sviluppatore ha avuto zero giorni per ripararla. Sono pericolosissime perché operano su sistemi che non sono stati ancora explotati e che quindi non hanno ancora nessun tipo di patch.

Le vulnerabilità note sono inserite all’interno del national vulnerability database, un progetto made in USA a cura del NIST (National Institute of Standards and Technology), un istituto che fornisce servizi legati alla sicurezza informatica e che ha strutturato questa banca dati internazionale dei bug che riporta informazioni sui servizi coinvolti, sulle versioni, sui fornitori e ovviamente presenta anche soluzioni e patch.

Come è possibile scoprire le vulnerabilità?

Abbiamo diversi sistemi:

VULNERABILITY ASSESSMENT

Il Vulnerability assessment è un approccio non intrusivo utilizzato per produrre un elenco prioritario delle maggiori vulnerabilità. È un’analisi di sicurezza che ci permette di scansionare i nostri sistemi utilizzando dei tool automatizzati e che all’interno di una rete individua, per esempio, gli applicativi senza patch aggiornate o le LAN non protette.

È un processo di controllo che si può eseguire con una frequenza elevata ed evidenzia i mancati aggiornamenti, patch non installate, misconfiguration, password deboli, errori su IAM, sistemi dimenticati, etc… L’esito è un report con la lista delle vulnerabilità organizzate in base alla loro gravità. In questo modo la struttura IT potrà intervenire in maniera mirata per ottimizzare tempi e risorse nella risoluzione delle problematiche riscontrate.

Il VA può essere eseguito da figure interne tramite l’acquisto e l’installazione dei principali software esistenti sul mercato, oppure rivolgendosi a degli esperti di cybersecurity che possano mettere a disposizione i loro strumenti e le loro competenze per fornire il report voluto. In questo secondo caso è bene tenere presente che la realtà esterna accederà ai nostri sistemi, è bene quindi che venga incaricata in qualità di Responsabile secondo quanto previsto dal GDPR e che tra le parti venga redatto un contratto specifico.

PENETRATION TEST

Il Penetration Test è un approccio intrusivo e verticale che simula un attacco esterno ad una rete. Colpisce un sistema informatico o un applicativo entro un perimetro delimitato. Richiede un forte intervento umano (non sono sufficienti i software) ed è possibile svolgerlo con periodicità limitata perché è oneroso.

Tendenzialmente è un’attività conseguente al vulnerability assessment e può essere considerato un approfondimento di quanto rilevato in fase di VA. È un’attività svolta da figure denominate ethical hacker, ovvero hacker informatici che sfruttano le loro capacità per attività preventive e di protezione e non con fini dolosi.

Dato che i penetration test sono attività invasive, è fondamentale (non solo consigliato) che alla base ci sia una contrattualistica blindata rispetto all’incarico conferito, indicando le regole dell’ingaggio e definendo in maniera puntale gli aspetti di riservatezza, gli NDA, le attività previste, la suddivisione delle responsabilità, le tempistiche di svolgimento delle attività, etc…

REVISIONE DEL CODICE

Una terza attività che è possibile svolgere su un software è la revisione manuale o automatizzata di un codice sorgente di un’applicazione, nel tentativo di identificare i punti deboli. Ovviamente richiede del tempo ma può essere un ottimo strumento per rivedere codice datato che potrebbe contenere bug divenuti noti dopo il rilascio del sistema.

Ovviamente l’obiettivo del Vulnerability Assessment e del Penetration Test non è quello di avere dei report da tenere nel cassetto, ma risolvere i problemi. Da ciò si desume che non è logico effettuare VA+PT senza poi intervenire in maniera concreta per rimediare alle lacune evidenziate, tantomeno ha senso svolgerne di ulteriori se a monte non si sono risolti i problemi rilevati con le precedenti analisi.