VULNERABILITY ASSESSMENT O VALUTAZIONE DELLE VULNERABILITÀ


Cosa si intende con Risk Assessment


Il Vulnerability Assessment sotto il punto di vista informatico comprenderà dunque l’identificazione delle vulnerabilità informatiche, l’analisi delle stesse ed una valutazione del rischio informatico constatato sotto il punto di vista meramente tecnico, comunque da sottoporre alla valutazione finale vera e propria che rimane, non dimentichiamolo, a carico della proprietà dell’azienda.

Detta in poche parole con Vulnerability Assessment Informatica si intende un insieme di processi messi in atto per individuare, analizzare e valutare le possibili falle e debolezze di un sistema.

Il risultato di questa valutazione sarà quindi una indicazione tecnica relativa al possibile rischio reale, relativa al fatto che un rischio informatico identificato e tecnicamente analizzato abbia più o meno probabilità di concretizzarsi e divenire reale nella struttura sottoposta ad analisi.

Non ci sono sistemi più o meno a rischio di altri essendo questi tutti connessi ad internet direttamente o tramite interconnessione con altri che lo sono. L’esposizione diretta rende certamente i sistemi più esposti a causa delle intrinseche vulnerabilità di hardware e software. L’errore principale che le aziende commettono è quello di sottostimare quando addirittura di ignorare il rischio, conseguentemente esponendo i propri dati, le proprie informazioni relativamente a confidenzialitàintegrità e disponibilità.

Basta leggere i numeri relativi alle vulnerabilità che vengono scoperte ogni anno: sono state più di 16.000 nel 2018, mediamente 40 ogni giorno, in forte crescita negli ultimi anni. Sono falle, debolezze, punti cedevoli dei sistemi che consentono ai malintenzionati di penetrare una rete.

(fonte CVE Common Vulnerabilities and Exposures – https://www.cvedetails.com/browse-by-date.php)

Accedere ad una rete significa avere potenzialmente accesso a milioni di dati: elenco dei clienti, proprietà intellettuali, listini, informazioni sui pazienti, piani economici, business plan, file di ricerca di sviluppo, foto, filmati…. Ma significa anche avere la possibilità di vedersi installare involontariamente codice malevolo (spyware, malware, adware…) il che in definitiva può comportare danni alla reputazione e alla produttività aziendale.

Il rischio è pressoché illimitato nel tempo perché per ogni vulnerabilità che viene risolta ce ne sono di nuove che vengono scoperte e sfruttate. Per questo diventa fondamentale per le aziende impostare dei processi periodici e ricorrenti di analisi e verifica che consentano di avere il quadro della situazione.

Il processo di Vulnerability Assessment non è, non vuole essere un processo che si esegua una sola volta quanto una modalità, una buona pratica, quella di tenere sotto controllo i propri sistemi sotto il punto di vista delle vulnerabilità informatiche, valutarle e là dove ritenuto opportuno porvi rimedio con una periodicità stabilita dall’azienda, in base alla propria propensione al rischio che si basi sulla conoscenza e non sull’ignoranza dello stato di fatto delle vulnerabilità dei propri sistemi.

Va da sé che lo strumento per ottenere ciò è proprio il ripetersi periodico del processo di Vulnerability Assessment, processo che consente una corretta valutazione del rischio informatico stesso.

Al termine del processo viene solitamente consegnata alla committente una relazione che si basa in definitiva quindi su tre degli elementi sopracitati e limitati alla parte informatica:

  • Elenco Rischi informatici identificati
  • Analisi Tecnica Rischi informatici Identificati
  • Valutazione Tecnica dei Rischi Identificati ed Analizzati

Ed il Penetration Test?

È evidente quanto la Vulnerability Assessment informatica si differenzi dal Penetration Test, processo anche questo classificato e di cui andremo più nel dettaglio a parlare in un prossimo approfondimento, che consiste nel tentativo di violare un sistema, evidenziare falle che non sono necessariamente tecniche ma che comunque portino al risultato di violare uno dei tre principi sopra elencati di confidenzialità, integrità e disponibilità delle informazioni.

Qui si capisce quanto i due processi differiscano tra loro.

Il primo, il Vulnerability Assessment ha lo scopo di identificare, analizzare e valutare i rischi avendo come strumenti a disposizione ogni risorsa dell’azienda, credenziali di accesso di alto livello comprese perché solo così si potrà evidenziare quanto nel cuore del sistema stesso vi possa essere a rischio, allo scopo di poter gestire la vulnerabilità, eliminarla dove possibile o quanto meno mitigare il rischio a questa connesso.

Il secondo si vede invece proteso a cercare di simulare la creazione del danno, far emergere rischi e vulnerabilità non preventivamente identificate ed identificabili, di natura non prettamente tecnica, con ogni risorsa possibile ma non messa a disposizione dall’azienda, simulando quindi un attaccante esterno, simulando un vero e proprio attacco hacker.

Lo scopo finale dei due processi rimane lo stesso, migliorare la difesa di confidenzialitàintegrità e disponibilità delle informazioni gestite dalle aziende, dei sistemi stessi di queste, ma l’oggetto che le differenzia, “Penetrare un Sistema” piuttosto che “Valutarne le Vulnerabilità”, conseguentemente le modalità di esecuzione sono differenti.

La Vulnerability Assessment, come già anticipato, andrà periodicamente ripetuta ed in particolare ogni sessione della stessa ne vedrà una successiva a certificare che, quanto constatato e valutato come rimediabile sia effettivamente stato corretto.

Come si svolge un Vulnerability Assessment Informatico, una corretta Valutazione dei Rischi Informatici


Messa a disposizione delle risorse

Un corretto Vulnerability Assessment Informatico non può prescindere dalla messa a disposizione di chi dovrà eseguirlo di tutte le risorse necessarie allo scopo, partendo da tutta la documentazione esistente relativa agli asset da esaminare fino a credenziali di alto livello riguardanti gli host da sottoporre ad analisi.

Una analisi effettuata senza tali informazioni sarebbe solo una analisi incompleta, parziale che quindi difficilmente potrà dare gli esiti sperati, difficilmente aiuterà a portare il livello della struttura posta sotto esame ad un grado di sicurezza maggiore di quello precedente l’analisi stessa.

Non sapere, ignorare non equivale a gestire.

Fase di Remedation

Un corretto Vulnerability Assessment non può prescindere da una fase detta di remediation, di rimessa in sicurezza del sistema, di un miglioramento dello stesso proprio sotto quel punto di vista, miglioramento che prevederà esso stesso a sua volta di essere sottoposto a verifica attraverso un nuovo Vulnerability Assessment che tipicamente segue il primo a distanza di tempo ravvicinata e concordata.

Il Vulnerability Assessment è un processo che si ripete nel tempo, vuoi per confermare, certificare che sono stati risolti i rischi evidenziati nelle scansioni precedenti, vuoi perché come accennato in precedenza emergono rischi di natura tecnica quotidianamente, ad un ritmo certificato di oltre 16’000 vulnerabilità annue.

Definizione del perimetro

Un corretto Vulnerability Assessment Informatico si basa su sulla definizione del perimetro da sottoporre a valutazione e tipicamente si suddivide in:

  • strutture di rete interne dell’azienda
  • risorse esterne
  • dispositivi mobili

Le strutture interne sono a loro volta suddivise in:

  • infrastruttura di rete sia fisica o Wi-Fi e relativi dispositivi
  • host, siano questi postazioni di lavoro piuttosto che server
  • dispositivi presenti in rete ma non rientranti nelle due categorie precedenti quali NAS, Firewall, Multifunzione, DVR etc.

Naturalmente ogni società potrà possedere più strutture dislocate in diverse località e collegate tra loro. In questo caso sarà la modalità di connessione a far optare per analisi dei singoli siti visti come unità a sé stanti piuttosto che una analisi unica, fattibile in determinate situazioni.

Riassumendo:

Gli step che normalmente si seguono sono:

  • Definizione del perimetro
  • Identificazione dei Rischi Informatici tramite uno o più tools Hardware/Software all’interno del perimetro definito
  • Analisi dei Rischi Informatici identificati tramite tools Software
  • Prima Valutazione Tecnica dei Rischi Informatici Analizzati da sottoporre a Valutazione definitiva del Management
  • Remediation come da indicazioni del Management
  • Ripetizione del processo di Vulnerability Assessment Informatico allo scopo di validare attività di Rimediation effettuate
  • Accorpamento dei processi effettuati, dei risultati ottenuti e delle evidenze degli stessi all’interno del più generale Risk Assessment della azienda da parte del Management della stessa.

Più la struttura risulta complessa più sarà utile ripetere il processo di Vulnerability Assessment frequentemente.

Dati trattati di natura particolarmente riservata o di alto valore porteranno parimenti a consigliare un elevata frequenza dei Vulnerability Assessment Informatici ai quali sottoporre le strutture dell’azienda stessa così come controlli ed o attività di prevenzione che da questa dovessero scaturire al medesimo fine.

La certificazione ISO 27001


L’obiettivo dello standard ISO 27001:2017 è quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.

L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT. La norma è applicabile a tutte le imprese private o pubbliche, in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda. Però bisogna tener presente che l’adozione e gestione di un SGSI richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e Qualità.

L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la
Qualità ISO 9001:2015 ed il Risk management, basandosi sull’approccio per processi, strutturato in
politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi,
riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit
interni, non conformità, azioni di miglioramento, sorveglianza, nell’ottica del miglioramento
continuo.

    Iscriviti alla newsletter e ricevi subito lo sconto del 10% per il tuo smart assessment

    richiedi informazioni

    Il nostro team sarà felice di trovare la soluzione perfetta per te!