Vulnerability assessment, un insieme di test e controlli che rientrano tra quelli di maggiore importanza che un’impresa debba sostenere per garantire la propria operatività, l’integrità e la sicurezza dei propri dati e dei propri asset, la propria reputation e, insieme a tutti questi aspetti, anche la propria competitività e la propria capacità di stare sul mercato. L’imperativo è quello della vigilanza costante.
Quando si tratta di identificare ed eliminare i punti deboli nei sistemi informativi della propria azienda non si può semplicemente “presumere” che tutto sia a posto e i sistemi siano “sufficientemente protetti”.
Il modo migliore per proteggersi dalle vulnerabilità è cercarle costantemente ed eradicarle.
Indice degli argomenti
Cos’è il vulnerability assessment
È dunque importante stabilire un principio di base: per proteggere le risorse IT della propria impresa, avere piena consapevolezza delle vulnerabilità di un determinato ambiente e rispondere rapidamente alle criticità, per mitigare potenziali minacce serve condurre con regolarità test di valutazione delle vulnerabilità (vulnerability assessment).
Il vulnerability assessment deve dunque essere inteso come un processo che consente di identificare e quantificare le vulnerabilità di sicurezza nell’ambiente di un’organizzazione.
Un programma completo di valutazione delle vulnerabilità fornisce alle imprese la conoscenza, la consapevolezza e la valutazione dei livelli di rischio necessari per comprendere le minacce presenti nella loro infrastruttura e reagire di conseguenza.
Con il vulnerability assessment si perseguono di fatto cinque obiettivi chiave, che rappresentano altrettanti vantaggi per un’impresa:
- Identificare i rischi di sicurezza noti prima che gli aggressori li trovino.
- Disporre di un inventario di tutti i dispositivi connessi alla propria rete, completo di tutte le informazioni sullo scopo e sul sistema, incluse quelle relative alle vulnerabilità associate a ciascun dispositivo specifico.
- Disporre di un inventario di tutti i dispositivi presenti in azienda, allo scopo di pianificarne gli aggiornamenti e le successive analisi.
- Definire il livello di rischio esistente.
- Stabilire una curva rischio / beneficio e ottimizzare di conseguenza gli investimenti in sicurezza.
Alla luce di queste considerazioni, è importante considerare il vulnerability assessment come un processo continuo, che ha l’obiettivo di migliorare la sicurezza complessiva dell’intera organizzazione.
Perché serve il vulnerability assessment
Ogni giorno, ricercatori, analisti, produttori scoprono e segnalano nuove vulnerabilità. Spesso si tratta di vulnerabilità causate da errori di codice o da configurazioni di sicurezza sbagliate che consentono agli aggressori di accedere in modo improprio alla memoria di sistema, ai dati o di eseguire comandi, come overflow del buffer o attacchi injection.
Se prendiamo ad esempio uno dei ransomware più famosi degli ultimi anni, WannaCry, che ha colpito le organizzazioni di tutto il mondo, notiamo che si tratta di un attacco che ha preso di mira la vulnerabilità EternalBlue, segnalata per la prima volta il 14 aprile 2017 ed utilizzata effettivamente (e potremmo dire anche efficacemente) il 12 maggio dello stesso anno. EternalBlue ha sfruttato una vulnerabilità nel protocollo SMB di Windows che consentiva attacchi remoti per eseguire codice arbitrario tramite pacchetti dedicati.
Sebbene Microsoft avesse rilasciato fin dal 14 marzo una patch per questa specifica vulnerabilità, molte organizzazioni non l’avevano applicata per tempo, rimanendo vittime dell’attacco.
Ma, ed è questo il punto che ci preme sottolineare in questo contesto, quelle organizzazioni che si erano dotate di soluzioni di vulnerability assessment sono state in grado di rilevare la vulnerabilità coinvolta in WannaCry e applicare la patch necessaria, prevenendo il disastro.
I benefici del vulnerability assessment
Se ben condotta, una valutazione delle vulnerabilità informa le organizzazioni sui punti deboli presenti nel loro ambiente e fornisce indicazioni su come ridurre i rischi. Si tratta di un processo che aiuta a ridurre le possibilità che un utente malintenzionato possa violare i sistemi IT di un’organizzazione, offrendo nel contempo una migliore comprensione delle risorse hardware e software presenti, delle loro vulnerabilità e del rischio complessivo per un’organizzazione. Il vulnerability assessment, in altre parole, aiuta le organizzazioni a gestire il proprio rischio di fronte a uno scenario nel quale le minacce sono in continua crescita ed evoluzione, identificando e valutando le vulnerabilità in modo che gli aggressori non possano cogliere impreparate le organizzazioni.
Come fare vulnerability assessment
Un processo di vulnerability assessment in genere si svolge in cinque passaggi:
- determinare le risorse hardware e software presenti in un ambiente
- determinare il livello di criticità di ciascun asset
- identificare le vulnerabilità di sicurezza che incidono sugli asset
- determinare un punteggio di rischio per ciascuna vulnerabilità
- mitigare le vulnerabilità a rischio più elevato a partire dagli asset più preziosi
Cinque passaggi che possono essere tradotti in due azioni chiave: comprendere le vulnerabilità presenti nell’ambiente e rispondere di conseguenza.
Nel complesso, si tratta di un’attività piuttosto articolata, che richiede di prendere in esame una serie di aspetti, nessuno dei quali trascurabile.
Innanzi tutto, Il primo step attraverso il quale un’impresa dovrebbe condurre con regolarità test di vulnerability assessment è quello di identificare le vulnerabilità nei sistemi perimetrali che proteggono la rete, attraverso scansioni periodiche che mettono in luce possibili debolezze nei sistemi critici che proteggono dalle minacce esterne. I test devono tenere conto non solo delle ultime tecniche e strategie di attacco da parte degli hacker, ma che tutti i sistemi siano correttamente e costantemente aggiornati.
Proprio l’aggiornamento dei sistemi rappresenta il tallone d’Achille in molte realtà: i produttori dei diversi sistemi rilasciano patch e aggiornamenti specifici per correggere le vulnerabilità di sicurezza appena identificate. Una scansione regolare dei sistemi di rete interni ed esterni aiuta a confermare che tutto sia aggiornato e in linea con le modifiche più recenti.
Un secondo aspetto riguarda il change management. È importante mantenere sempre l’allineamento tra change management e sicurezza: spesso ci si concentra sul cambiamento dei processi con l’obiettivo di massimizzare l’efficienza operativa o la facilità d’uso di un sistema e si rischia di perdere di vista il tema della sicurezza.
I test di vulnerability assessment prevedono anche controlli sulle configurazioni dei sistemi. I processi di scansione delle vulnerabilità aiutano infatti a identificare i sistemi configurati in modo errato, che possono rendere vulnerabile una rete.
Va detto, ed è questo un punto da tenere sempre in considerazione, che lo stesso livello di supporto che si garantisce ai team interni nell’implementazione e nella distribuzione di nuovi hardware e software va dedicato anche alle terze parti alle quali ci si rivolge.
Per questo motivo, quando si parla di vulnerability assesment bisogna pensare anche a convalidare le attività dei fornitori di servizi, per essere certi che forniscano il livello di supporto promesso, che mantengano i sistemi come concordato nei contratti, se i livelli di servizio vengono raggiunti, se i sistemi sono protetti come da contratto.
Un approccio metodologico al Vulnerability Assessment
Il primo passaggio indispensabile per condurre un processo di vulnerability assessment è quello della raccolta e della scoperta delle informazioni.
Si tratta di un passaggio che in genere si svolge in tre fasi.
Nella prima si effettua una raccolta di informazioni e una attività di discovery al fine di comprendere meglio l’hardware e il software presenti all’interno del perimetro aziendale.
Bisogna dunque effettuare una scansione della rete per scoprire gli host, una scansione delle porte per scoprire i servizi e i protocolli che potrebbero essere vulnerabili e una revisione dei directory service e dei DNS per capire quali host potrebbero essere presi di mira dagli aggressori.
Una volta completata questa prima fase, si passa alla revisione e analisi approfondita su sistemi operativi, applicazioni, porte, protocolli e servizi, per determinare la piena estensione della superficie di attacco vulnerabile agli aggressori. Particolarmente importante in questa fase è determinare le informazioni sulla versione delle risorse dell’organizzazione: ad esempio, Windows 10 o Windows XP, SMB 3.1.1 o SMB 2.0, poiché le versioni successive spesso correggono vecchie vulnerabilità e ne introducono di nuove.
La fase finale del processo prevede il rilevamento effettivo delle vulnerabilità, utilizzando uno strumento di rilevamento o un repository di vulnerabilità come il National Vulnerability Database per identificare le vulnerabilità sugli asset elencati in precedenza. Questo processo genera report, completi di punteggi e informazioni sui rischi. È a questo punto che diventa indispensabile utilizzare gli strumenti di correzione per applicare patch, configurare o eseguire il debug degli asset, in base alle esigenze per ridurre o eliminare i rischi per la sicurezza presenti a causa delle vulnerabilità rilevate.
Il secure coding nel vulnerability assessment
Per secure coding si intende il controllo del codice sorgente. Serve a individuare e correggere gli errori che possono essere stati compiuti dagli sviluppatori in fase di sviluppo. Lo scopo è quello di migliorare la qualità del software; è possibile analizzare un codice sia qualitativamente che quantitativamente. Disporre dello strumento corretto per l’analisi del codice rende possibile concentrarsi sulle vulnerabilità più urgenti.
Perché fare vulnerability assessment in ambito industriale
È un dato di fatto che i sistemi di automazione industriale, le infrastrutture industriali critiche, l’Industrial Internet of Things negli ultimi anni siano sempre più spesso fatti oggetto di attacchi cyber mirati.
Per i malintenzionati, i sistemi cyber-fisici, e il loro corredo di componenti quali sensori, attuatori, microcontrollori, controllori logici programmabili, sistemi di controllo distribuiti, field-area network, wide-area network ecc., nonché i sistemi di controllo di supervisione e acquisizione dati (SCADA) siano considerati obiettivi redditizi per condurre una serie di attività malevole.
Non si tratta di una novità.
È del 2009 infatti la scoperta di Stuxnet, malware specifico per gli ambienti SCADA, attraverso il quale sono stati condotti attacchi mirati ad ambienti industriali complessi, come acciaierie, impianti chimici, gasdotti…
Appare evidente che, anche in questi ambienti, il vulnerability assessment è indispensabile per proteggere impianti e installazioni e con essi l’intera infrastruttura aziendale.
I sistemi di controllo industriali (ICS) e i sistemi SCADA di automazione industriale, infatti, non possono più essere considerati come elementi avulsi dall’infrastruttura IT aziendale: grazie ai percorsi di digital transformation che sempre di più hanno pervaso il mondo manifatturiero e industriale, macchine e impianti sono interconnessi con le reti di fabbrica e aziendale, per rendere più efficienti i processi e abilitare nuovi servizi.
In questo scenario, appare evidente che l’OT, ovvero le Operational Technology, sia esposto agli stessi problemi di sicurezza che tipicamente affliggono i sistemi IT, anche in ragione di una sempre più diffusa adozione di protocolli basati su TCP/IP, e di sistemi operativi e software comuni con gli ambienti IT. E non basta impedirne l’accesso diretto ad Internet: per essere vittima di attacchi è sufficiente che impianti e macchinari utilizzino servizi di rete locali con un punto di accesso sfruttabile da un attacker.
Serve pensare anche all’OT come a un ambiente che ha bisogno di sicurezza intrinseca, e non considerare sufficienti le protezioni perimetrali della rete.
Come fare vulnerability assessment in ambiente industriale
Anche in questo caso, come abbiamo visto, è necessario un approccio strutturato al vulnerability assessment, partendo da un elemento noto, ovvero le best practice e le normative di riferimento del settore come NIST 800-53 + NIST 800-82, ISA/IEC-62443, il Framework Nazionale per la CyberSecurity, rivolto alle infrastrutture critiche, o ancora ISO 27001.
Il vulnerability assessment prevede tra le altre cose tecniche di penetration testing (si veda al proposito l’articolo pubblicato su Internet4Things), sia interagendo direttamente con i dispositivi o i macchinari target, sia analizzando le eventuali anomalie presenti per verificare che siano suscettibili di attacchi cyber, sia ancora analizzando rete, accessi fisici, DMZ, protocolli e dispositivi di campo.
Vulnerability assessment vs. penetration test
A differenza del vulnerability assessment, il penetration test valuta la sicurezza di un sistema tramite l’efficacia dei controlli di sicurezza, per evitare che un aggressore possa compromettere l’integrità, la disponibilità e la riservatezza delle informazioni o addirittura il funzionamento del dispositivo. Lo scopo finale del penetration test è quello di entrare in profondità in un sistema o in una rete, riuscendo a prendere il controllo di quante più macchine, esportando dati verso l’esterno e stabilizzando la presenza dell’attaccante all’interno dei server obiettivo dell’attacco.
Questi test possono essere esterni, allo scopo di capire se e fino a quale profondità un aggressore può “dall’esterno” penetrare in un sistema. Si effettuano attraverso l’analisi di punti di accesso scoperti, come backdoor o bug di sistema.
I penetration test interni, invece, servono a individuare eventuali falle nel sistema aziendale, allo scopo di comprendere quali sono i rischi cui un’azienda potrebbe essere esposta qualora un attacker si appropriasse delle credenziali di un dipendente.
I penetration test alla cieca hanno come oggetto la sola infrastruttura aziendale e le tecniche di hacking.
La visione di Vodafone Business
In questo scenario, Vodafone Business ha sviluppato una propria offerta con l’obiettivo di fornire servizi di resilienza digitale e aiutare le aziende a rilevare, rispondere e riprendersi dagli attacchi informatici.
Con i propri servizi, Vodafone Business indirizza i quattro pilastri sui quali poggia un’efficace strategia di sicurezza aziendale: identify, ovvero comprendere non solo come è fatto e quali elementi costituiscono un ecosistema IT e OT aziendale, ma anche identificarne le vulnerabilità, per poter agire in modo tempestivo; protect, ovvero proteggere non solo la rete, ma tutti gli asset che vi hanno accesso, in modo tempestivo e costante; detect, ovvero rilevare in tempo costante le minacce che si presentano; respond, ovvero rispondere e pianificare azioni di ripristino al fine di minimizzare l’impatto di un attacco.
Vodafone Business Security è un pacchetto completo di soluzioni di sicurezza innovative, fra le quali figurano per l’appunto servizi di Cyber Assessment (inclusi quelli di Penetration testing) per dare ai clienti maggiore consapevolezza delle loro vulnerabilità e dei rischi, oltre a servizi di sicurezza, monitoraggio, incident response, mitigazione dei rischi, al fine di garantire maggiore sicurezza, senza incidere sulla complessità di gestione.
Il tutto con l’obiettivo di rendere le imprese realmente pronte per il presente e resilienti per il futuro.