Vulnerability Assessment: cos’ÃĻ la valutazione del rischio informatico?
Gli attacchi informatici sono diventati negli ultimi anni una delle preoccupazioni principali per la sicurezza delle aziende di tutto il mondo. Il report di ottobre del 2022 redatto dal Clusit, associazione italiana per la sicurezza informatica, mostra un aumento consistente di attacchi informatici negli ultimi mesi, in particolare nel primo semestre del 2022 lâincremento ÃĻ stato dellâ8,4% rispetto allo stesso periodo dellâanno scorso, già in forte incremento rispetto allâanno precedente.
Nello stesso tempo il Clusit evidenza lâaumento della gravità degli attacchi portati alle organizzazioni, sia private sia pubbliche, con danni che possono essere anche di grande portata a livello economico, legale e di prestigio del marchio. Le organizzazioni si devono dunque concentrare sempre piÃđ sulla prevenzione degli attacchi attraverso lâidentificazione e la riduzione delle proprie vulnerabilità , prima che lâattacco sia sferrato e quindi troppo tardi per evitare danni che possono essere anche irreparabili.
Solo attraverso unâattenta valutazione dei rischi e delle vulnerabilità del sistema informatico, si puÃē prevenire e quindi evitare il verificarsi degli eventi piÃđ dannosi. Quando i test di vulnerabilità sono effettuati con regolarità , possono infatti permettere lâidentificazione e la correzione di criticità , riducendo il rischio su vasta scala e liberando il personale che puÃē dedicarsi ad altre urgenze.
Come valutare in modo oggettivo il rischio informatico
Il primo passo importante per valutare i rischi della propria organizzazione viene definito Vulnerability Assessment. La valutazione delle vulnerabilità consiste in un processo di mappatura del rischio e dei probabili punti di impatto all’interno della rete internet, dei sistemi informatici e dei servizi aziendali. Le valutazioni di vulnerabilità sono complesse e dettagliate, richiedono un valutatore di fiducia con una buona esperienza nelle procedure e negli strumenti di valutazione della sicurezza, che sia in grado di analizzare la rete aziendale e le minacce specifiche per ogni settore e organizzazione. Queste valutazioni possono essere utilizzate per comprendere lo stato di sicurezza della rete, identificare le minacce e dare priorità alle aree da migliorare, creando un piano per ridurre il rischio di danni provocato da attacchi informatici.
Gli attacchi informatici sono spesso strutturati in maniera molto complessa ed articolata, soprattutto nei casi di cyber kill chain, ossia modelli di attacco strutturati a fasi, il piÃđ delle volte cosÃŽ composte:
âĒ Perlustrazione. In questa fase si effettuano delle ricerche e si seleziona lâobiettivo.
âĒ Armamento. Consiste nella creazione di un malware utilizzabile per lâattacco.
âĒ Consegna. Il malware precedentemente creato viene trasmesso allâobiettivo.
âĒ Sfruttamento e installazione. Si fa uso delle vulnerabilità presenti nel sistema per installare il malware.
âĒ Command and Control. Il malware crea un canale di comunicazione tra il sistema infetto e lâautore dellâattacco
âĒ Azioni sugli obiettivi. Comprende tutte le attività che si possono svolgere dopo che i precedenti step sono completati. Possono includere la ricezione di informazioni nascoste oppure la compromissione del sistema informatico aziendale e la conseguente richiesta del riscatto.
Come difendersi dagli attacchi informatici piÃđ complessi
La Vulnerability Assessment serve dunque per comprendere quali sono i punti deboli di un sistema informatico. Per eseguire questa analisi ci si affida solitamente a due metodologie standard, lâOWASP (Open Web Application Security Project) e lâOSSTMM (Open Source Security Testing Methodology Manual). In questo modo si segue un metodo consolidato e condiviso dallâintero mondo della cybersecurity.
Grazie a una particolare procedura chiamata Penetration Test ÃĻ possibile comprendere fino a che punto un hacker o unâorganizzazione criminale puÃē spingersi in caso di attacco informatico allâinfrastruttura IT. CiÃē permette di approfondire eventuali problematiche rilevate dal processo di vulnerability assessment. Il penetration test puÃē essere svolto secondo tre diverse modalità , con caratteristiche e finalità differenti:
- Black Box Testing. Il test viene eseguito senza aver ricevuto informazioni in precedenza sul sistema di difesa attivo presente nellâinfrastruttura IT da testare.
- Grey Box Testing. Il test viene svolto a seguito di una parziale conoscenza della struttura di difesa dellâinfrastruttura IT da testare.
- White Box Testing. Il test viene eseguito dopo aver ricevuto informazioni complete sul sistema di difesa attivo nellâinfrastruttura IT, a partire dagli schemi di rete fino ai codici sorgente.
à importante dunque scegliere in che modo si ha intenzione di svolgere il test, per valutare correttamente il livello di sicurezza della rete aziendale. Il risultato finale di un assessment test viene poi illustrato tramite un report composto da:
- Executive summary. Consiste in un breve report che riporta le indicazioni da un punto di vista non tecnico.
- Technical Report. Consiste nel report complete ed esteso, che comprende tutti i dettagli tecnici delle criticità individuate e fornisce le soluzioni tecniche per risolvere tali problematiche.
Le minacce informatiche sono in continua evoluzione e le organizzazioni devono essere pronte a rispondere rapidamente. Per questo ÃĻ necessario disporre di un sistema di difesa informatica efficace. Il primo passo per costruire una barriera di difesa solida e difficilmente penetrabile ÃĻ la conoscenza dellâazienda e della sua rete. Questo ÃĻ importante per identificare ciÃē che deve essere protetto e quali risorse devono avere la priorità nella difesa. Successivamente, sarà necessario mappare i diversi componenti della rete e capire dove esistono vulnerabilità creando cosÃŽ una strategia di difesa efficace.
A chi affidarsi per difendere la propria rete aziendale e i propri assets?
Le cyber minacce sono una preoccupazione crescente per tutte le organizzazioni, grandi o piccole che siano. Gli attacchi stanno diventando sempre piÃđ sofisticati e complessi, il che comporta una maggiore sfida per le organizzazioni nell’identificare e rispondere in modo efficace alle minacce. Purtroppo perÃē molte aziende non possiedono le risorse interne per poter fronteggiare in autonomia il rischio informatico. Solo affidandosi a professionisti seri, aggiornati e costantemente impegnati in questo settore ÃĻ possibile costruire un buon metodo di difesa informatica per la propria organizzazione.