top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Vulnerability Assessment e Penetration Test: strumenti per evolvere

Dall'attenzione al controllo della propria sicurezza.


Molto è già stato scritto in merito a questi due servizi di sicurezza proattiva ed il web è colmo di definizioni, articoli e glossari che ne descrivono dal punto di vista tecnico le rispettive caratteristiche, differenze ed ambiti di applicabilità, anche in relazione a norme e schemi internazionali che richiedono l’esecuzione dell’uno o dell’altro.

Di fatto, però, anche al netto di tanta informazione a portata di click, la scelta tra i due strumenti rimane sempre un punto cruciale per il Cliente che vuole porre maggiore attenzione ed acquisire controllo rispetto al reale livello di sicurezza dei propri processi di business.

Lo schema seguente illustra i vari stadi del processo virtuoso che porta al raggiungimento di tale obiettivo, in funzione del grado di attenzione dedicato al tema della sicurezza ed al reale livello di sicurezza acquisito:

 

Dalla consapovelozza alla sicurezza 1-2

 

Una situazione tipica è rappresentata da un Cliente il cui livello di sicurezza è medio/basso (rappresentato dalla figura blu nello schema precedente) il quale sta prendendo coscienza che tale situazione può esporlo a dei rischi. A tale Cliente necessita una fotografia globale del proprio livello di (in)sicurezza al fine di cominciare a porvi il giusto livello di attenzione e di rimedio.

Una seconda situazione è invece rappresentata da un Cliente che ha già acquisito un livello di maturità superiore (rappresentato dalla figura verde nello schema precedente) e desidera controllare e mantenere il proprio grado di sicurezza raggiunto, attraverso un processo di miglioramento continuo.

L’utilizzo combinato di entrambi gli strumenti di Vulnerability Assessment e Penetration Test, in entrambe le situazioni sopra descritte, sarà fondamentale ai fini del conseguimento dei rispettivi obiettivi.

In particolare:

  • Vulnerability Assessment

    Consente di ottenere una lista delle proprie vulnerabilità più immediatamente identificabili (vulnerabilità del software, password di default, etc.) al fine di porvi poi rimedio assegnando loro delle priorità e strutturando gli interventi correttivi in una unità di tempo relativamente breve.

    E’ basato su un’analisi semi-automatica (su cui un Security Advisor deve comunque intervenire con la propria esperienza per eliminare i falsi positivi e generare un proprio rapporto di verifica) volta a rilevare potenziali vulnerabilità note (software non aggiornato, certificati non validi, porte/servizi non indispensabili aperti, etc.). Il Vulnerability Assessment consente di riprodurre un attacco generico di basso profilo effettuato in modo automatico (malware, virus, script kiddie), tuttavia non prende in considerazione alcuni fattori chiave quali: carenze dovute a complessità nella gestione delle logiche applicative, configurazioni particolari che presentano rischi non immediatamente evidenti, tracciabilità delle operazioni eseguite dagli utenti, problemi architetturali o di processo, tecnologie obsolete o altamente innovative, etc.
  • Penetration Test

    Consente di sapere come è stato eventualmente violato e con quali rischi conseguenti per il suo business, al fine di porvi rimedio alla radice agendo su tutte le componenti sfruttate dall’attaccante (reti, sistemi, applicazioni, persone, processi, luoghi fisici, etc.) mettendo alla prova la propria postura esponendosi ad un attacco mirato da parte di un agente di minaccia simulato.

    Il Penetration Test (eventualmente integrato da un Vulnerability Assessment) permette di verificare sul campo in modo sistematico, consistente e ripetibile (se condotto in funzione di una metodologia), tramite molteplici vettori di attacco, se e come le vulnerabilità riscontrate siano sfruttabili da parte di un attaccante esperto (ethical hacker). Correlando tra di loro tali vulnerabilità è conseguentemente possibile determinare e provare concretamente a quali rischi si è maggiormente esposti (interruzione di servizio, furto o compromissione di dati, defacement del sito istituzionale, etc.), analizzando anche tutte quelle problematiche legate alle logiche applicative o a eventuali falle di processo, non verificabili attraverso un’analisi automatica o semi-automatica.

I due strumenti sono quindi molto diversi tra di loro ma concorrono, ciascuno nella propria misura, a delineare un quadro del reale stato della sicurezz,a nel momento in cui vengono eseguiti.

Il Cliente che sta cominciando a porre attenzione al tema della sicurezza iniziera’ il suo percorso prendendo coscienza dei risultati derivanti da una esecuzione puntale di un Vulnerability Assessment ed un Penetration Test, approcciando poi un conseguente piano di rientro.

Il Cliente che invece ha raggiunto la propria maturità, avendo già superato la fase precedentemente descritta, tenderà a voler conservare nel tempo il livello di sicurezza raggiunto mantenendo alta l’attenzione. Ciò sarà realizzabile attraverso l’introduzione di un processo che preveda l’esecuzione di più di un Vulnerability Assessment a cadenza fissa (per esempio trimestrale) e di un Penetration Test a cadenza annuale. E’ una buona pratica questa che si ritrova anche negli schemi internazionali quali PCI DSS, ISO/IEC 27001.

Lo schema seguente illustra le due diffenti modalità di utilizzo degli strumenti in funzione  del grado di attenzione dedicato al tema della sicurezza ed al reale livello di sicurezza acquisito:
 

Dalla consapovelozza alla sicurezza 1-2


Compito di una Security Advisory Company è quindi saper rilevare il corretto stadio del Cliente in funzione del suo grado di attenzione verso la tematica e del suo reale stato,  quindi condurlo attraverso i vari stadi fino l’adozione di un processo che lo metta in condizione di governare la propria sicurezza nel tempo traendo il massimo beneficio dagli strumenti disponibili.

Compito che una Security Advisory Company si candida a soddisfare attraverso la propria capacità, professionalità, referenziabilità e reputazione.
 

 

11/03/2014 - Security Advisory Team @ Mediaservice.net