Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

Il rapporto

Offensive Security per difendersi. Che cosa possiamo aspettarci

Dal Ponemon Institute un report che mostra come le organizzazioni adottino strumenti e tecniche di offensive security per meglio fronteggiare le minacce informatiche che preoccupano di più

Pubblicato il 07 Ago 2023

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Direttivo, ENIA Comitato Scientifico

Offensive security per difendersi

Il Ponemon Institute ha pubblicato, nelle prime settimane di giugno 2023, uno studio condotto con Bishop Fox – società americana leader nel settore dell’offensive security – scaturito dalle interviste a quasi 700 professionisti della sicurezza e del settore IT in piccole, medie e grandi organizzazioni che eseguono attivamente test di offensive security.

Ponemon Institute Report – The State of Offensive Security

Il report di Ponemon Institute fornisce un’analisi degli sforzi di offensive security delle organizzazioni contro le minacce informatiche che preoccupano di più, oltre a delineare lo scenario dei diversi tipi di sicurezza offensiva- i.e. il Red Teaming, il attack surface management, i test di sicurezza cloud e la sicurezza delle applicazioni – per migliorare la propria posizione di cyber security.

È doveroso ricordare che una strategia di offensive security si concentra sull’identificazione proattiva dei processi e dei controlli di sicurezza che impediscono che un attacco vada a buon fine. Al contrario, l’obiettivo delle misure reattive – come il rilevamento e la risposta gestiti – è ridurre al minimo il tempo di permanenza degli aggressori una volta che la prevenzione fallisce. Pertanto, una robusta cyber resilience scaturisce da una calibrata sintesi di approcci offensivi e reattivi.

Offensive security nelle organizzazioni: lo scenario

Il report di Ponemon Institute, rivela che:

  • Il 68% degli intervistati afferma che la propria organizzazione utilizza fornitori di servizi di offensive security di terze parti.
  • Il 27% si affida solo a test esterni.
  • Il 41% utilizza una combinazione di test interni e di terze parti.

Inoltre, i fornitori di servizi di offensive security sono selezionati in base a:

  • L’efficacia dei servizi (48% degli intervistati)
  • La capacità di personalizzare i servizi secondo le esigenze dell’organizzazione (43%)
  • La qualità dei risultati, inclusi i report (34%)

Immagine che contiene testo, schermata, software, Icona del computerDescrizione generata automaticamente

Investimenti in soluzioni di offensive security – Le organizzazioni effettuano gli investimenti in test di offensive security in base a tre fattori principali e, precisamente:

  • L’adozione di nuove tecnologie (44% degli intervistati)
  • La migrazione al cloud (41%)
  • Il rilascio di nuove applicazioni (40%).

Immagine che contiene testo, schermata, software, Icona del computerDescrizione generata automaticamente

I vulnerability scanner e le soluzioni di attack surface management sono le tecnologie più frequentemente acquistate per supportare le iniziative di offensive security. In particolare: il 50 % degli intervistati afferma di utilizzare i vulnerability scanner sia per scoprire esposizioni e/o facilitare test di offensive security sia per identificare potenziali difetti nel sistema e classificarli in ordine di gravità; il 48% utilizza tecnologie di attack surface management; il 46% usufruisce di servizi di protezione dai rischi digitali.

Inoltre, più della metà degli intervistati (52%) afferma che i test di offensive security aiutano le proprie organizzazioni a rafforzare le difese contro le minacce informatiche, evidenziando come il ransomware sia la principale minaccia informatica (41% degli intervistati) che guida gli investimenti, seguito dal social engineering (40%) e dalle vulnerabilità del cloud (39%).

Immagine che contiene testo, schermata, software, Software multimedialeDescrizione generata automaticamente

Test di offensive security – Red Teaming, sicurezza delle applicazioni, cloud, rete interna ed esterna e dispositivi IoT

Strategia di Test di Red Teaming & offensive security

Il Red Teaming consiste nello sfidare la capacità di un’organizzazione nell’identificare e mitigare tattiche, tecniche e procedure progettate per eludere i controlli di sicurezza avanzati.

Il 64% degli intervistati afferma che le proprie strategie di sicurezza offensiva includono il Red Teaming. Altre strategie di test di offensive security prese in considerazione dalle organizzazioni: test di sicurezza delle applicazioni (54% degli intervistati), test di dispositivi IoT (49%), test di reti interne ed esterne (47%) e test di sicurezza cloud (43%).

Immagine che contiene testo, schermata, software, Software multimedialeDescrizione generata automaticamente

Agli intervistati è stato chiesto, inoltre, di valutare l’efficacia del red teaming, della sicurezza delle applicazioni, dei test di sicurezza cloud e dei dispositivi IoT in base ad una scala da 1 = non efficace a 10 = altamente efficace.

I test di sicurezza cloud sono i più efficaci nel migliorare la resilienza delle organizzazioni (57%), seguiti dal Red Teaming (47%). Inoltre, i testi di offensive security risultano particolarmente validi ed efficaci per migliorare la postura di sicurezza dei dispositivi IoT (43% degli intervistati) e delle applicazioni (42%).

Immagine che contiene testo, schermata, software, Icona del computerDescrizione generata automaticamente

Il valore dei test di offensive security e previsioni degli investimenti

È stato chiesto agli intervistati come cambieranno i loro investimenti nei prossimi uno o due anni su una scala che va da un aumento significativo a una diminuzione significativa. Le risposte rivelano che i maggiori aumenti di investimenti si registreranno ne:

  • Sicurezza dei dispositivi IoT (62%)
  • Sicurezza del cloud (60%)
  • Red Teaming (56%)
  • Sicurezza delle applicazioni (56%)
  • Test di rete interna (55%)
  • Test di rete esterna/gestione della superficie di attacco (50%)

Immagine che contiene testo, schermata, software, Icona del computerDescrizione generata automaticamente

L’importanza dei test di offensive security

Le soluzioni di offensive security combinano il giusto mix di tecnologia, automazione e test per prevenire gli attacchi prima che possano verificarsi. Il report rivela che molte organizzazioni effettuano test continui con una cadenza di una volta alla settimana o più e, precisamente per quanto riguarda le reti interne (31% degli intervistati), seguite da reti esterne/superficie di attacco (29%), applicazioni (28%) e Red Teaming (26%).

Immagine che contiene testo, schermata, software, Icona del computerDescrizione generata automaticamente

Tabletop exercise & la preparazione al ransomware

I tabletop exercise o e la preparazione al ransomware sono le prime due attività di Red Teaming. Vediamo di che si tratta.

I tabletop exercise sono utilizzati per preparare l’organizzazione agli incidenti di sicurezza informatica. Essi risultano particolarmente efficaci per valutare la preparazione al ransomware e stabilire un piano per mitigare i punti deboli nella capacità di un’organizzazione di prevenire e di testare le strategie di recupero. Il 63% degli intervistati afferma che la propria organizzazione utilizza questi esercizi per testare la postura di offensive security, mentre il 55% afferma li impiega per testare la prontezza al ransomware.

Immagine che contiene testo, software, Software multimediale, Icona del computerDescrizione generata automaticamente

È doveroso ricordare che il Red Team è un gruppo di professionisti della sicurezza interna che utilizzano competenze specializzate per eseguire attacchi “segreti” che eludono i controlli e i processi avanzati di rilevamento e risposta.

Il 38% degli intervistati afferma che la propria organizzazione ha un Red Team o pianifica di costruire un team interno (32%); mentre un 30% dei rispondenti afferma – a fronte della mancanza di capacità interne di red teaming – di prevedere l’utilizzo di un Red Team esterno in base alle necessità .

Penetration test

Le organizzazioni utilizzano il penetration test per fornire una panoramica completa della qualità e dell’efficacia dei controlli di sicurezza. Dal report si evince che:

  • Il 67% degli intervistati effettua penetration testing su software di terze parti.
  • Il 64% effettua penetration testing su software propri.
  • Il 58% utilizza il code review.
  • Il 50% utilizza il threat modeling.

Immagine che contiene testo, schermata, software, Icona del computerDescrizione generata automaticamente

Pen testing & Cloud 

Il pen testing è la strategia più diffusa per rilevare le vulnerabilità di sicurezza nel cloud. Il 59% degli intervistati afferma che la propria organizzazione utilizza il pen test per rilevare le vulnerabilità del cloud. Il 41% afferma che le proprie organizzazioni utilizzano la threat analysis (i.e. una strategia di sicurezza informatica che mira a valutare i protocolli, i processi e le procedure di sicurezza di un’organizzazione per identificare minacce, vulnerabilità e persino raccogliere informazioni su un potenziale attacco prima che si verifichino).

Immagine che contiene testo, schermata, software, Icona del computerDescrizione generata automaticamente

Offensive Security: come viene utilizzato nei diversi settori

Il report offre uno scenario degli investimenti in offensive security nei diversi settori, quali: servizi finanziari (FS), sanitario & farmaceutico (HC), tecnologia & software (TC) e industriale & manifatturiero (IM).

Il report evidenzia come le organizzazioni del settore HC, così come quelle TC, sono più propense a investire in test di offensive security quando vengono adottate nuove tecnologie (rispettivamente 46% e 49%). Le organizzazioni del settore FS (46%) e TC (45%) effettuano test di offensive security quando migrano nel cloud.

Immagine che contiene testo, software, Icona del computer, Software multimedialeDescrizione generata automaticamente

Gli obiettivi dei test di offensive security per il settore FS sono principalmente quelli di soddisfare i requisiti normativi e di conformità (45% degli intervistati) e di migliorare la preparazione alla risposta agli incidenti (44%). L’obiettivo principale per il settore HC è soddisfare i requisiti normativi e di conformità (48%). Le organizzazioni TC affermano che migliorare la risposta zero-day è il loro obiettivo primario (47%)

Immagine che contiene testo, schermata, software, Icona del computerDescrizione generata automaticamente

Gli intervistati del settore dei FS (67%) e HC (63%) riportano il più alto tasso di efficacia nel rafforzamento delle difese grazie ai test di offensive security.

Immagine che contiene testo, software, Software multimediale, Icona del computerDescrizione generata automaticamente

Le organizzazioni del settore HC risultano utilizzare maggiormente i vulnerability scanner (55% degli intervistati), tecnologie di surface attack management (53%) e i threat intelligence feed (48%). Il settore FS utilizza sia i vulnerability scanner (49%) sia i servizi di digital risk protection (45%), mentre le organizzazioni del settore TC utilizzano principalmente tecnologie di breach & attack simulation (43%).

Immagine che contiene testo, schermata, software, Software multimedialeDescrizione generata automaticamente

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Sanzione Apple Consiglio di Stato tutela privacy

  • ANTITRUST e data protection

    Multa ad Apple: anche il Consiglio di Stato si pronuncia a tutela della privacy

    17 Dic 2024

    di Chiara Ponti

    Condividi
  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Vulnerabilità OpenSSL attacchi MitM

  • l'exploit

    Grave vulnerabilità in OpenSSL: rischio di attacchi Man-in-the-Middle

    12 Feb 2025

    di Dario Fadda

    Condividi
  • Scegliere il provider di cyber security è un processo che può essere lungo perché dovrebbe essere orientato a una collaborazione duratura nel tempo

  • sicurezza aziendale

    Che cosa chiedere a un provider di cyber security

    05 Feb 2025

    di Giuditta Mosca

    Condividi