Come si suol dire, a volte la miglior difesa è l’attacco. Anche in ambito informatico.
Cresce sempre più il numero delle aziende che affidano a un team esterno il compito di attaccare il proprio sistema informatico, partendo da quanto pubblicato esternamente in Internet, allo scopo di identificarne i “punti deboli”.
Una volta scoperte le vulnerabilità e le bad configuration, vengono rese disponibili tutte le informazioni utili ad aderire, con misure idonee, alla riparazione delle falle scoperte, con notevoli vantaggi per la sicurezza aziendale.
UN ETHICAL HACKER PER LA SICUREZZA AZIENDALE
La pratica del penetration test costituisce una simulazione di un attacco informatico, in questo caso controllato, nei confronti di un sistema aziendale. Le attività di Penetration Testing possono essere condotte sia attraverso processi automatici che manuali, ma nella maggioranza dei casi ci si avvale della professionalità di un Gruppo Ethical Hacker, ovvero Hacker votati al “lato buono della forza”. Il modus operandi del team Ethical Hacker, normalmente identificato come “RED TEAM”, nelle aziende strutturate per fare seriamente Cyber Security, si muove con gli stessi metodi di un hacker, ma con la finalità di proteggere le aziende.
UNA SIMULAZIONE REALISTICA GRAZIE AL RED-TEAM
Affinchè il Penetration Test produca dei risultati veramente utili, dovrà essere condotto da parte del RED TEAM, in avallo con l’applicazione di una clausola contrattuale per cui, nessuno all’interno dell’azienda, fatta eccezione ovviamente del richiedente, sia messo a conoscenza dell’imminente attacco hacker, che verrà eseguito da un gruppo indipendente, nello specifico il RED-TEAM dell’azienda attaccante.
PENETRATION TEST E VULNERABILITY ASSESSMENT
Attenzione a non confondere il servizio di Vulnerability Assessment con il Penetration Test: sono entrambe attività di “verifica della sicurezza aziendale”, condotte normalmente da un RED TEAM esterno, ma hanno modalità di intervento completamente diverse.
Il Vulnerability Assessment normalmente opera attraverso una sonda dall’interno del network del cliente, non è un intervento anonimo, anzi normalmente è coadiuvato insieme al reparto IT del cliente che comunica al RED TEAM esterno un’utenza amministrativa ad hoc.
Il Vulnerability Assessment effettua una sorta di scansione di tutti i nodi IP Privati all’interno della LAN dell’azienda, verificandone le varie vulnerabilità e bad configuration gravi e note (ad esempio, mancanza di patch, errori di configurazione più diffusi, vulnerabilità macroscopiche ecc.). Tutto ciò avviene utilizzando determinate piattaforme software che, opportunamente configurate grazie a particolari script, scansionano autonomamente tutto il network da verificare. Molto spesso parliamo anche di migliaia di nodi scansionati nell’arco di qualche giorno.
Il Penetration Test, invece, è un’attività che prevede molta più “presenza fisica ed attività manuali” da parte del RED TEAM, vedi anche tutti gli attacchi di social engineering, quali ad esempio la penetrazione fisica all’interno dell’azienda, il rovistare sulla spazzatura dell’azienda (bidone del cartaceo), il tentativo di accesso alla Wireless Lan del cliente e così via. Soluzioni tutte utili a carpire informazioni nel tentativo di creare un data breach all’azienda cliente testata.
Per questo motivo il Vulnerability Assessment è quasi sempre propedeutico al Penetration Test, infatti i due test messi insieme offrono una fotografia molto utile a una visione abbastanza completa sulle falle della sicurezza aziendale.
Per arrivare a una analisi veramente approfondita sarebbe opportuno aggiungere un terzo test, un Cyber Threat Assessment che, con opportuna sonda posizionata tra la rete interna e l’accesso/accessi Internet e/o geografici dell’azienda, verifichi per un periodo congruo tutto il traffico uscente ed entrante dal network del cliente.
