La parola cyber security è un “termine valigia”, al suo interno contiene diverse accezioni e sfaccettature. I tasselli che compongono la cyber security sono diversi, ognuno appannaggio di profili professionali specifici e, tra questi, c’è anche il Vulnerability assessor, ossia colui che si fa carico di compiti peculiari, alcuni dei quali in collaborazione con altre figure deputate alla sicurezza nel suo insieme.
Utilizza tecniche di assessment per comprendere e misurare la sicurezza di un’organizzazione. È una professione che richiede una preparazione di livello e chi la svolge deve avere spalle larghe perché la resilienza di un’impresa agli attacchi dipende dalla qualità del suo lavoro.
Indice degli argomenti
Introduzione alla professione del Vulnerability assessor
Il Vulnerability assessor, come suggerisce il nome stesso, è deputato alla misurazione e alla valutazione delle vulnerabilità, come abbiamo spiegato qui. Le vulnerabilità possono essere di diverso ordine, è bene quindi cercare di circoscriverle per dare una dimensione alla sua figura professionale. Partendo dal presupposto che sono i dati a dovere essere protetti, il Vulnerability assessor deve garantirne:
- La disponibilità
- L’integrità
- La confidenzialità
Va da sé che lavora in collaborazione con altri professionisti del Security Operation Center aziendale i quali, anche sulla scorta delle indicazioni ricevute dal Vulnerability assessor, correggeranno l’architettura di difesa per renderla più funzionale e resiliente.
Chi è il Vulnerability assessor: definizione e ruolo
Quando si parla di professioni legate alla cyber security si fa sempre un po’ fatica a trovare una definizione universalmente calzante perché, per quanto una job description possa essere accurata, non potrà mai tenere realmente fede ai compiti che il singolo professionista è chiamato a svolgere.
Innanzitutto, deve avere una conoscenza capillare degli asset che è chiamato a tutelare e già questo è sufficiente a capire che occorre un bagaglio di conoscenze ampio che può essere formato sia dall’esperienza diretta sia dalla capacità di studiare le principali tendenze dei mercati software e hardware.
Non di meno deve avere la sensibilità necessaria a riconoscere in modo immediato i falsi positivi che possono essere dannosi nella misura in cui distolgono l’attenzione degli addetti alla cyber security da ciò che realmente rappresenta una minaccia per le organizzazioni.
In sintesi, quindi, si può circoscrivere il ruolo del Vulnerability assessor alla necessità di:
- Individuare le vulnerabilità prima che vengano sfruttate dal cyber crimine
- Indicare le strategie da adottare per rimediare alle vulnerabilità individuate
- Riconoscere in tempo pressoché reale i falsi positivi
- Effettuare test e iterarli nel tempo.
Il confine tra le attività di test svolte dal Vulnerability assessor e le attività di penetration test è netto, le due cose non vanno confuse, come abbiamo spiegato nel dettaglio qui. La differenza principale risiede nel fatto che un conto è trovare le vulnerabilità e altro paio di maniche è sfruttarle per avere misura di quanto espongano il fianco a offensive.
Campo d’azione: dove lavora un Vulnerability assessor
È una figura molto richiesta nel comparto della cyber security e lo è ancora di più nelle fila delle società di consulenza. Le organizzazioni che hanno al proprio interno un Vulnerability assessor lo inquadrano – di norma almeno – in una posizione dirigenziale anche perché, per funzione gerarchica, impartisce indicazioni a chi dovrà bonificare le vulnerabilità scovate.
L’importanza del Vulnerability assessor
Il suo è certamente un ruolo capitale perché fornisce indicazioni utili a migliorare le difese di un’organizzazione. Ha una responsabilità precisa, ovvero anticipare gli attaccanti individuando le debolezze delle infrastrutture. La figura del Vulnerability assessor deve essere parte integrante di una strategia di sicurezza.
Competenze richieste per diventare Vulnerability assessor
Le competenze sono quelle relative al mondo della cyber security e, nel dettaglio:
- conoscenza dei sistemi, intesi come architetture di rete, dei protocolli, dei sistemi operativi e delle applicazioni software
- uso degli strumenti di assessment
- valutazione delle vulnerabilità
- valutazione (e implementazione) delle misure correttive
- competenze avanzate per affrontare il problem-solving anche in ottica futura. Patch e aggiornamenti possono risolvere solo parte dei problemi dei sistemi, mentre altre vulnerabilità possono manifestarsi nel tempo. Ciò che sembra essere solido e resiliente oggi può non essere tale domani
- aggiornamenti costanti. Il Vulnerability assessor non smette mai di studiare e di dovere rimanere aggiornato.
In sintesi, il Vulnerability assessor deve avere competenze tecniche e analitiche.
Capacità di individuare le vulnerabilità
È un argomento che, a nostro avviso, merita un approfondimento. Infatti, il compito di individuare vulnerabilità è reso più facile da appositi strumenti di assessment ma riuscire a valutarne l’impatto è disciplina molto più fumosa. Esistono delle metriche standard, rappresentate dal Common Vulnerability Scoring System (CVSS) che sono in continua evoluzione per adeguarsi alle nuove tecnologie e alle vulnerabilità (anche inedite) che queste comportano.
Più in generale, il Vulnerability assessor deve conoscere i diversi tipi di assessment come, per esempio, quelli infrastrutturali esterni e interni.
Familiarità con le tecnologie informatiche e i linguaggi di programmazione
Deve essere di tipo approfondito. Il Vulnerability assessor deve conoscere infrastrutture hardware, sistemi software, protocolli di rete e il networking propriamente detto perché le vulnerabilità possono annidarsi ovunque. Allo stesso modo, deve padroneggiare lo scripting nei linguaggi necessari per approfondire l’entità delle vulnerabilità, porvi rimedio ed effettuare i conseguenti test periodici.
È vero che, di norma almeno, il Vulnerability assessor dà indicazioni a chi dovrà risolvere le falle e colmare le lacune che ha trovato, ciò non esclude che possa partecipare in prima persona a queste attività e, non di meno, la responsabilità dei test di resilienza ricade – se non altro in parte – tra le sue competenze.
Capacità di risolvere problemi e di pensare in modo analitico
È essenziale come, del resto, lo è in qualsiasi comparto della cyber security. La capacità di esaminare sistemi e reti in modo ordinato va di pari passo con la capacità di affrontare le sfide del problem solving. A fare da collante interviene il pensiero critico. Occorre mettere in discussione la sicurezza e la resilienza dei sistemi che si stanno indagando alla ricerca delle vulnerabilità.
Quella tra attaccanti e difensori è una battaglia che si gioca su una scacchiera e non è un paragone azzardato perché, così come nel gioco degli scacchi, chi si occupa di cyber security deve fare leva su previsione, pianificazione, strategia, pensiero analitico e pensiero critico. La pazienza – sempre fondamentale negli scacchi – è un lusso che il Vulnerability assessor non può permettersi, perché battere sul tempo il cyber crimine è parte focale della sua professione.
Strumenti e tecniche che un Vulnerability assessor dovrebbe conoscere
Per comprendere il livello di sicurezza di un’organizzazione e la sua capacità di difendere i dati, il Vulnerability assessor ha a disposizione diverse tecniche e strumenti. Gli strumenti di assessment più ricorrenti sono:
- scanner di vulnerabilità che scansionano i sistemi individuando debolezze legate all’assenza di aggiornamenti o agli errori di configurazione di dispositivi e sistemi
- penetration test
- software per la gestione delle vulnerabilità.
Questi ultimi, oltre a tracciare le vulnerabilità censite, aiutano il gruppo di lavoro che si occupa di correggerle.
Conoscere i sistemi operativi e le reti
Il Vulnerability assessor deve conoscere in modo quasi maniacale i sistemi e le reti per potere proteggere i dati. Occorre quindi che abbia conoscenze approfondite dei sistemi operativi lato server e client (Windows e Unix su tutti) ma deve sapersi muovere con disinvoltura anche attraverso tutte le tecnologie in uso all’organizzazione, parti di rete attive e dispositivi inclusi. Qualsiasi dispositivo in rete è un potenziale pericolo, basti pensare alle stampanti che – per quanto apparentemente innocue – sono vettori graditi agli hacker.
Il ruolo della programmazione
È un tema che non va sottovalutato. Nelle imprese ci sono macchine a controllo numerico che hanno a bordo sistemi operativi diversi e che dialogano con database differenti. Mettere in sicurezza questo tipo di dati richiede capacità di programmazione in diversi linguaggi. Java, PHP e SQL sono fondamentali ma non sono gli unici, soprattutto quando il Vulnerability assessor è confrontato con sistemi particolari come quelli SCADA.
Percorso formativo per diventare Vulnerability assessor
Va da sé che una laurea in informatica (o titolo comparabile) è un atout di spessore. Tuttavia, l’assenza di un percorso formativo e di un titolo di studio specifici la dicono lunga sulle sfaccettature del bagaglio professionale del Vulnerability assessor, come abbiamo spiegato qui. Il percorso è quindi fatto di certificazioni ed esperienza sul campo. Le certificazioni CISSP, CEH e CVA figurano tra quelle essenziali.
Il corso IAVA (Intentional Adulteration Vulnerability Assessments) è un altro ciclo di formazione che vale la pena seguire. La formazione è quindi una miscela di percorsi accademici e di corsi specialistici. Inoltre, le capacità di approfondire la conoscenza degli asset da proteggere e delle minacce devono essere rinnovate in modo costante mediante formazione iterata e ad hoc.
Studi universitari: quali corsi e specializzazioni scegliere
Una laurea in informatica, come detto, si adegua al tipo di formazione del Vulnerability assessor ma, a fare la differenza, sono le specializzazioni. I corsi che coprono tecniche e metodologie di assessment e testing sono coerenti con il tipo di formazione necessaria ma, non di meno, le specializzazioni in cyber security – accademiche o meno che siano – sono parimenti fondamentali anche per acquisire competenze pratiche e capacità di analisi delle vulnerabilità.
Il percorso formativo migliore è quello che consente di affrontare le sfide che la professione del Vulnerability assessor comporta.
Le sfide da affrontare
Sulle spalle del Vulnerability assessor grava una grande responsabilità, giacché dalla sua capacità di intercettare le debolezze di un’infrastruttura dipende il grado di resilienza e di prontezza della stessa.
Esaminando le sfide che deve affrontare, emergono preponderanti alcuni aspetti:
- l’identificazione delle vulnerabilità e la conseguente rapidità nel risolverle, prima che gli hacker ne approfittino
- il suggerimento e la validazione delle strategie di remediation per ogni singola vulnerabilità identificata. Ciò è possibile soltanto se il Vulnerability assessor conosce in modo approfondito sia le minacce (anche le più recenti) sia le tecnologie per la difesa
- la collaborazione con gli esperti di cyber security, siano questi interni all’azienda oppure esterni
- il riconoscimento certo e immediato dei falsi positivi.
Emerge la necessità che conosca molto bene sia il (larghissimo) campo delle tecnologie sia quello degli strumenti offensivi e difensivi.
Esperienza sul campo e opportunità di stage
Gli stage sono importanti per fare esperienza e, come spesso accade, l’esperienza diventa cruciale per entrare alle dipendenze di aziende pubbliche o private che siano.
La richiesta in Italia, come vedremo, sono tante e abbracciano diversi comparti dell’economia e dell’industria.
La soluzione migliore, tuttavia, rimane quella di fare esperienza in seno ad aziende che forniscono consulenza e servizi di cyber security. Questa consente di cimentarsi con problemi di diversa natura e caratura, al fine di ampliare il più possibile il bagaglio di conoscenze utile ad acquisire capacità e a prendere le misure con le tante sfide che la professione del Vulnerability assessor porta con sé.
Carriera e prospettive future per un Vulnerability assessor
Le professioni legate alla cyber security sono dinamiche perché le conoscenze utili sono in continua evoluzione. Gli attaccanti alzano continuamente l’asticella della complessità e chi si prefigge l’obiettivo di contrastarli deve fare altrettanto.
Non è fuorviante ritenere che un buon Data Protection Officer (DPO) abbia nel proprio bagaglio professionale un’esperienza nei panni di Vulnerability assessor. Quella del DPO è una figura apicale nel contesto della cyber security, un ruolo di alto profilo che può essere ricoperto solo da chi è preparato e, tra le soft skill, vanta anche spalle larghe per reggere il peso dello stress e della responsabilità.
Diverse opportunità nel settore pubblico e privato
Basta una rapida ricerca online per rendersi conto di quante opportunità di impiego ha un Vulnerability assessor.
In Italia, anche se con inquadramenti non sempre ben definiti, si contano centinaia di offerte di lavoro e, all’estero, il loro numero cresce in modo esponenziale.
La cosa più interessante è la trasversalità dell’offerta: sono alla ricerca di una figura professionale simile aziende di diversi settori e questo consente ai candidati di indirizzarsi laddove si sentono a loro agio. Un lusso che non riguarda qualsiasi figura professionale e, anche questo, lascia trasparire quanto il mercato del lavoro sia alla ricerca di Vulnerability assessor capaci.
Compensi attesi e crescita professionale
Alle nostre latitudini è difficile misurare i compensi dei Vulnerability assessor. Allargando il raggio di ricerca anche all’estero, si legge in modo chiaro che – a seconda del comparto e dell’esperienza – le retribuzioni vanno dai 60mila dollari ai 120mila dollari l’anno (poco meno di 55mila-110mila euro).
I ruoli della cyber security sono tra quelli con maggiore possibilità di crescita, anche perché prevedono formazione e studio continui nel tempo. La facilità con cui un Vulnerability assessor può fare carriera, tuttavia, dipendono sia dall’azienda per la quale lavora sia dalle sue capacità.
