Cos'è?
Un vulnerability assessment è un’attività che consiste nell’identificare e valutare le possibili vulnerabilità presenti in un sistema o in una rete informatica. Lo scopo principale di questa attività è quello di individuare i punti deboli del sistema o della rete e di proporre le misure necessarie per mitigare i rischi.
Un penetration test, invece, è un’attività più avanzata che consiste nel simulare un attacco da parte di un aggressore esterno alla rete o al sistema, con l’obiettivo di valutare l’efficacia delle misure di sicurezza adottate. In pratica, un penetration tester cerca di penetrare nella rete o nel sistema utilizzando le stesse tecniche che un hacker potrebbe utilizzare per effettuare un attacco, al fine di individuare eventuali vulnerabilità che potrebbero essere sfruttate da un aggressore reale.
In sintesi, il vulnerability assessment è un’attività più generale e mirata ad identificare le vulnerabilità presenti in un sistema o una rete, mentre il penetration test è un’attività più specifica e mirata a valutare l’effettiva resilienza del sistema o della rete ad un attacco mirato da parte di un aggressore esterno. Entrambe le attività sono fondamentali per garantire la sicurezza delle reti e dei sistemi informatici.
Conoscere le proprie vulnerabilità è il primo passo fondamentale per risolverle
Un bug di sistema, una configurazione errata, un documento sensibile divulgato inavvertitamente, o un utente con privilegi troppo elevati sono solo alcuni esempi di situazioni che possono esporre l’azienda a gravi conseguenze.
I servizi di VULNERABILITY ASSESSMENT & PENETRATION TEST proposti da Safecore aggiungono, alla più tradizionale attività di analisi, anche azioni di intelligence quali la ricerca OSINT, l’analisi dei risultati contestualizzata alla realtà del cliente e la determinazione del reale valore di rischio per l’azienda.
Le vulnerabilità possono coinvolgere qualsiasi azienda che faccia uso di sistemi informativi, il Vulnerability Assessment è fondamentale, perché permette di rimediare tempestivamente prima che eventuali problemi diventino oggetto di attacchi informatici. Ma soprattutto l’aspetto più rilevante è la valutazione della severità ovvero del grado di esposizione al rischio di compromissione associata a ciascuna delle vulnerabilità individuate.
Dagli asset IT presenti su rete interna o su Internet, passando per reti wireless, piattaforme VoIP o di teleconferenza, i servizi di Vulnerability Assessment e Penetration Test dedicati al livello network hanno l’obiettivo di individuare, validare e classificare le vulnerabilità dei sistemi informativi.
Network Security
Lo scopo è fornire al cliente gli elementi necessari per comprendere e valutare criticità e contromisure attuabili, attraverso report e analisi dettagliate che costituiscono l’output dei nostri servizi di Offensive Security.
Come funzionano network vulnerability assessment e penetration test
L’attività, denominata di Vulnerability Assessment, prende in considerazione l’intero spettro delle componenti di rete, sia a livello fisico come router, switch, firewall, sia a livello servizi come web e application server, mail server, DB, ERP (es. SAP) o altre tipologie di back-end.
Si tratta di un processo che richiede un approccio procedurale specifico. Per ciascuno dei componenti di rete infatti è necessario definire, identificare e classificare le vulnerabilità potenziali o realmente esistenti.
Lo stesso processo deve poi essere messo in pratica anche per l’intera infrastruttura di rete, o le infrastrutture di rete, dal momento che alcune delle vulnerabilità si possono manifestare attraverso la combinazione di più apparati.
Si tratta di un’analisi approfondita che, oltre alle possibili criticità note e documentate, tenga conto anche della configurazione specifica e del contesto in cui ciascuno dei componenti è inserito.
Una volta identificati e classificati i potenziali punti vulnerabili dell’infrastruttura, il nostro protocollo prevede che questi vengano presentati in ordine prioritario, fornendo al cliente la conoscenza e i criteri necessari per valutare il rischio di ciascuno e per mettere in campo le strategie necessarie a bloccare le vulnerabilità individuate.
In genere un Vulnerability Assessment richiede l’utilizzo di strumenti di scansione della rete principalmente automatizzati. Si tratta di un’attività che prevede interazione con i target dell’analisi per rilevare indirizzi IP attivi, porte aperte, versioni dei sistemi operativi o dei servizi (ad esempio quale versione di Apache o IIS sono in esecuzione) per poi ricercare e censire il maggior numero di vulnerabilità presenti.
Come avviene un NVAPT?
Per questo motivo, se richiesto dal cliente in fase di ingaggio, Safecore effettua un Network Penetration Test, simulando un attacco informatico che sfrutti queste problematiche per violare il sistema, con un punto di vista più rivolto ad andare in profondità:
ad esempio ottenendo l’accesso non autorizzato a uno o più target (exploitation);
eseguendo privilege escalation verticale, per ottenere i privilegi dell’amministratore di sistema;
o effettuando lateral movement in orizzontale, replicando gli attacchi su target confinanti.
Tutte pratiche abitualmente messe in atto da chiunque sia realmente intenzionato a prendere possesso di una rete o di una infrastruttura, sfruttando appunto le debolezze che Safecore è in grado di identificare grazie anche alla fase propedeutica del Vulnerability Assessment, che nell’ordine di esecuzione anticipa il Penetration Test.
Le fasi di un Network Pentest
Raccolta delle informazioni: Chiediamo ai nostri clienti lo scopo del penetration test, se effettuare un pentest interno o esterno e la tipologia di test che intendono effettuare (White, Grey o Black box) e le informazioni necessarie all’esecuzione.
Fase di ricognizione: Viene effettuata una scansione delle porte della rete dei sistemi. Lo scopo di questa fase è avere una visione generale della rete, dei dispositivi sulla rete e delle vulnerabilità esistenti.
Fase di scoperta: Una volta trovate ed elaborate le informazioni che si stavano cercando durante la ricognizione, viene ideato un percorso per violare la rete.
Esecuzione della simulazione d’attacco: Grazie alle informazioni ottenute nei punti 2 e 3, si effettua la vera e propria simulazione di un attacco informatico ai danni della rete.
Report: Redazione del report dettagliato sulla simulazione e sulle vulnerabilità individuate, con raccomandazioni e consigli.
VA e PT due facce della stessa medaglia
Anche se Vulnerability Assessment e Network Penetration Test a volte sono considerati una pratica analoga, ci sono alcune differenze.
La finalità principale del Vulnerability Assessment è quella di scoprire debolezze di una rete, o di un sistema, e soprattutto di fornire indicazioni di remediation, cioè come ridurre o eliminare il rischio associata a una specifica problematica.
Questo avviene con l’utilizzo di una vasta gamma di strumenti, per la maggior parte automatici, i cui risultati vengono poi scrupolosamente esaminati dai nostri esperti e condensati in un report che mette in luce le diverse possibili vulnerabilità, i rischi e le soluzioni possibili.
Questo tipo di attività dovrebbe essere condotta periodicamente per trarne il massimo beneficio, ma anche e soprattutto quando vengono effettuati cambiamenti a livello infrastrutturale, in presenza di aggiornamenti critici, oppure dopo l’inserimento di nuovi dispositivi o servizi all’interno del sistema informativo.
Il Penetration Test invece si caratterizza per approfondire le vulnerabilità presenti utilizzando tecniche di simulazione: i nostri esperti di cybersecurity opereranno esattamente come cybercriminali, provando a forzare la sicurezza del sistema e a capire se e quali debolezze si traducono in una reale possibilità di attacco.
Chi ne può beneficiare?
Tutte le organizzazioni che possiedono servizi critici per il business o sensibili, esposti pubblicamente o internamente e senza tralasciare reti WiFi, sistemi VoIP o di videoconference, che quindi necessitano di puntuali verifiche sull’esposizione al rischio delle proprie infrastrutture tecnologiche. Non solo per buone prassi di gestione, ma anche per rispettare la conformità alle normative nazionali, agli standard internazionali, nonché alle best practice di settore.
