LA GUIDA PRATICA

Security assessment: ecco come valutare il livello di protezione degli asset aziendali

La realizzazione di un security assessment consente alle aziende di valutare esattamente il livello di protezione dei propri asset. Ecco i passaggi da seguire per completare correttamente questa attività

06 Apr 2020
R
Walter Rocchi

Trainer, GDPR, ISO27001 LI/LA


Un security assessment correttamente eseguito consente alle aziende di acquisire tutte quelle informazioni necessarie a prendere decisioni informate sulla sicurezza informatica e quindi a valutare il livello di protezione dei propri asset.

Prima di procedere, però, è utile chiarire subito eventuali dubbi e perplessità che mi sono giunti sull’argomento:

  1. se sei una grande azienda e ti fanno pagare mille euro per un security assessment, non è un security assessment, ma al massimo un network scan;
  2. avere gli endpoint dell’antivirus aggiornati all’ultima firma, non significa che il perimetro aziendale sia scevro da vulnerabilità, anzi: vuol dire semplicemente che l’antivirus è aggiornato.

La mia, ovviamente, non vuole essere in alcun modo una critica o una polemica. Però, purtroppo, in questo (e in altri ambiti), le informazioni non sono molto chiare e la tendenza a truffare, o comunque, approfittarsi dell’ingenuità altrui, sono sempre all’ordine del giorno.

Security assessment e mitigazione del rischio informatico

Una valutazione del rischio per la sicurezza informatica riguarda la comprensione, la gestione, il controllo e la mitigazione del rischio informatico all’interno dell’organizzazione. È una parte cruciale della strategia di gestione dei rischi di qualsiasi organizzazione e degli sforzi di protezione dei dati.

Le valutazioni dei rischi non sono una novità e, che piaccia o no, se lavori nella sicurezza delle informazioni, sei nel business della gestione dei rischi. Poiché le organizzazioni si affidano maggiormente alla tecnologia e ai sistemi di informazione per fare affari, aumentano i rischi inerenti, rischi che prima non esistevano.

Purtroppo, affrontare il semplice volume e l’evoluzione degli attacchi informatici è scoraggiante anche per i team IT più attenti alla sicurezza. Richiede una comprensione approfondita dei rischi e delle vulnerabilità dell’organizzazione, nonché delle minacce attuali e delle politiche e tecnologie più efficaci per affrontarle. Solo comprendendo i loro rischi le organizzazioni possono indirizzare dollari di sicurezza limitata alle tecnologie e alle strategie che contano di più.

È quindi importante comprendere come possono le aziende armarsi delle informazioni di cui hanno bisogno per prendere decisioni informate sulla sicurezza informatica.

Security assessment: un’utile autovalutazione

Molti attacchi informatici sfruttano le vulnerabilità di base della sicurezza, spesso inosservate, come procedure di gestione delle patch scadenti, password deboli, servizi di posta elettronica personali basati sul Web e la mancanza di istruzione per l’utente finale e solide politiche di sicurezza.

Ciò rende un’efficace valutazione della vulnerabilità un primo passo fondamentale nello sforzo di proteggere i dati.

L’81% delle violazioni che sfruttano le tecniche di hacking (errori di configurazione, vulnerabilità o exploit) ha utilizzato password rubate o deboli nel 2017, rispetto al 63% nel 2016 (Verizon 2017 Data Breach Investigations Report).

Anche la rete più sicura potrebbe avere alcune vulnerabilità sconosciute. Gli scanner di vulnerabilità sono strumenti utili per identificare le vulnerabilità di rete e host nascoste. Tuttavia, per molte organizzazioni, le valutazioni delle vulnerabilità sono altamente tecniche e vengono eseguite principalmente a fini di conformità, con una scarsa connessione ai rischi aziendali dell’organizzazione e alle decisioni sul budget della sicurezza dei dirigenti.

Le valutazioni delle vulnerabilità in genere identificano migliaia di vulnerabilità granulari e le classificano in base alla gravità tecnica, anziché tenere conto del business interessato e dei suoi processi critici. Possono inoltre identificare più volte una singola vulnerabilità, raccomandando più patch e aggiornamenti, quando in realtà un’unica soluzione di sicurezza potrebbe risolverli tutti.

Idealmente, una solida strategia di sicurezza dovrebbe legare l’impatto aziendale e la strategia di sicurezza complessiva di un’organizzazione ai risultati di una valutazione della vulnerabilità, consentendo di comprendere non solo dove si trovano i rischi reali per l’azienda, ma anche quali vulnerabilità dovrebbero essere affrontate per prime e come affrontarle effettivamente.

Legare le valutazioni di vulnerabilità all’impatto sulle imprese

Ottenere il massimo beneficio da una valutazione della vulnerabilità richiede una comprensione dei processi critici e dell’infrastruttura sottostante della propria organizzazione e l’applicazione di tale comprensione ai risultati.

Per essere veramente efficace, dovrebbe includere i seguenti passaggi.

Assumere un ruolo attivo

Quando si ha l’OK dal business, si dovrebbe adottare un approccio attivo per scoprire quale sia lo stato attuale della sicurezza.

È importante selezionare attivamente potenziali fornitori, impegnarsi nel processo di scoping, fornire ai consulenti di sicurezza ciò di cui hanno bisogno per svolgere il lavoro e impegnarsi nel processo per facilitare il successo.

Quando le principali parti interessate decidono di essere coinvolte nel processo come partecipanti e studenti, le conoscenze acquisite da tale collaborazione consentiranno all’azienda di consumare i risultati in modo più efficace e di metterli su una base migliore per affrontare le questioni di domani, guidati attraverso il processo di un professionista con esperienza oggi.

Identificare e comprendere i processi aziendali

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Identificare e comprendere i processi aziendali della propria organizzazione, concentrandosi su quelli critici e sensibili in termini di conformità, privacy dei clienti e posizione competitiva. In molte organizzazioni, richiede la collaborazione tra IT e rappresentanti delle unità aziendali, del dipartimento finanziario e del consulente legale.

Molte organizzazioni mettono insieme task force sulla strategia di sicurezza con rappresentanti di ciascun dipartimento, che lavorano insieme per diverse settimane per analizzare i processi aziendali e le informazioni e l’infrastruttura da cui dipendono.

Quelli con una significativa conoscenza del dominio sono le risorse più preziose in questo processo di scoperta. L’obiettivo principale è documentare “il modo in cui è stato fatto” e capire qual è il vero processo.

Individuare le applicazioni e i dati su cui si basano i processi aziendali

Una volta identificati e classificati i processi aziendali in termini di criticità e sensibilità della missione, il passo successivo è identificare le applicazioni e i dati da cui dipendono quei processi critici.

Ancora una volta, ciò può essere realizzato solo attraverso la collaborazione tra IT e altri attori aziendali.

Da ampie discussioni collaborative potresti scoprire applicazioni più cruciali del previsto. Ad esempio, l’e-mail può essere un’applicazione critica per un reparto, ma oscurata dalla messaggistica istantanea interna in un altro.

Trova fonti di dati nascoste, ovvero il perimetro aggiornato

Quando gli esperti di sicurezza aziendale si mettono a cercare applicazioni e fonti di dati, è importante che il perimetro aziendale sia il più vasto possibile.

Se vent’anni fa, infatti, il perimetro aziendale era esclusivamente quello fisico, e se dieci anni fa dovevamo calcolare tablet e BYOD (ovvero telefoni e tablet del dipendente con account aziendale) ora a tutto questo dobbiamo aggiungere le estensioni “socia”.

Mentre alcuni dati potrebbero risiedere in una posizione statica, la stragrande maggioranza esisterà e interagirà in un ecosistema di dispositivi e percorsi di informazione. Collettivamente, questi dispositivi contengono spesso i dati più recenti e sensibili dell’organizzazione.

Collaborare con le business unit per capire chi sta utilizzando i dispositivi mobili per accedere e condividere applicazioni e dati aziendali. Comprendere i flussi di dati tra questi dispositivi e le applicazioni e l’archiviazione del data center.

Considerando il funzionamento interno e il movimento dei dati, si dovrebbe riflettere sulle informazioni migrate al di fuori delle quattro mura figurative dell’organizzazione. Office 365 consente a qualsiasi dipendente di accedere a informazioni critiche su qualsiasi dispositivo, in qualsiasi luogo e in qualsiasi momento.

Per comprendere questa impronta esterna, determinare se gli utenti aziendali inviano e-mail aziendali su canali pubblici come Gmail o Yahoo.

Un’altra categoria spesso nascosta da esaminare è l’ambiente di sviluppo del software, poiché sono intrinsecamente meno sicuri degli ambienti di produzione. Gli sviluppatori e i tester di software utilizzano spesso dati attuali, talvolta critici, per testare applicazioni nuove e aggiornate.

Determinare quale hardware è alla base di applicazioni e dati.

Continuare a lavorare sui livelli dell’infrastruttura per identificare i server, sia virtuali che fisici, che eseguono le applicazioni critici.

Per le applicazioni Web / database, potresti parlare di tre o più set di server – server Web, middleware dell’applicazione e database – per applicazione. Identificare i dispositivi di archiviazione dei dati che contengono i dati critici e sensibili utilizzati da tali applicazioni.

Mappare l’infrastruttura di rete che collega l’hardware

Sviluppare una comprensione dei router e degli altri dispositivi di rete da cui dipendono le applicazioni e l’hardware per prestazioni veloci e sicure.

È importante determinare se specifiche subnet sono progettate per contenere risorse sensibili come i controller di dominio Windows o una particolare unità aziendale, come sviluppo o risorse umane.

Comprendere come i dati arrivano dal punto A al punto B è essenziale e sapere dove vive un particolare tipo di dati è fondamentale.

Identificare quali controlli sono già in atto

Documentare le misure di sicurezza già in atto – tra cui politiche, controlli tecnici come firewall, firewall applicativi, sistemi di rilevamento e prevenzione delle intrusioni (IPS / IDS), reti private virtuali (VPN), Data Loss Prevention (DLP) e crittografia – per proteggere ogni set di server e dispositivi di archiviazione che ospitano dati e applicazioni critici.

Comprendere le funzionalità chiave di queste protezioni e quali vulnerabilità affrontano in modo più efficace. Questo è il cuore della strategia di “difesa in profondità” e potrebbe richiedere alcune ricerche piuttosto approfondite, tra cui la scansione di siti Web e delle eventuali applicazioni correlate.

Eseguire scansioni di vulnerabilità

Solo quando hai compreso e mappato i flussi di applicazioni e dati e l’hardware, l’infrastruttura di rete e le protezioni sottostanti ha senso eseguire le scansioni di vulnerabilità.

L’esercizio intellettuale che è stato eseguito fino a questo punto è ciò che consente agli analisti della sicurezza di interpretare i risultati della scansione in modo chiaro e focalizzato sugli aspetti critici del business.

Uno dei più grandi errori che le aziende commettono è usare una scansione per determinare cosa patchare, invece di scansionare per verificare la corretta patch. Questo prepara l’organizzazione a una maggiore vulnerabilità piuttosto che a una minore.

Applicare il contesto aziendale e tecnologico ai risultati dello scanner

Lo scanner può produrre decine di host e altre vulnerabilità con livelli di gravità, ma poiché i risultati e i punteggi si basano su misure oggettive, è importante determinare il contesto aziendale e infrastrutturale della propria organizzazione.

Derivare informazioni significative e attuabili sul rischio aziendale dai dati di vulnerabilità è un compito complesso e difficile.

Dopo aver valutato il livello di conoscenza e il carico di lavoro del personale, è possibile determinare che sarebbe utile collaborare con un’azienda esperta in tutti gli aspetti della sicurezza e della valutazione delle minacce.

Che si tratti di svolgere questo compito internamente o di ottenere assistenza esterna, i risultati devono essere analizzati per determinare quali vulnerabilità dell’infrastruttura devono essere individuate per prime e in modo più aggressivo. Considera quanto segue:

  1. Il numero e l’importanza delle risorse toccate dalle vulnerabilità. Se una vulnerabilità interessa molte risorse diverse, in particolare quelle coinvolte in processi critici, ciò può indicare che è necessario affrontarla immediatamente e in modo completo. D’altra parte, se lo scanner rileva più vulnerabilità nelle infrastrutture che eseguono applicazioni meno critiche a cui accedono solo pochi utenti, potrebbe non essere necessario affrontarle in modo aggressivo. Il triage deve essere eseguito in base alle nuove conoscenze acquisite attraverso il processo di valutazione;
  2. Controlli esistenti. Se le vulnerabilità identificate dalla scansione incidono sull’infrastruttura che dispone già di più livelli di protezione, alcune di queste vulnerabilità potrebbero essere già risolte da tecnologie esistenti. Ad esempio, una vulnerabilità rilevata su un server protetto da firewall, crittografia e altre contromisure dell’applicazione potrebbe non essere tanto importante da affrontare quanto la stessa vulnerabilità rilevata in un’infrastruttura meno protetta utilizzata in test e sviluppo, in particolare se si avvale di dati con severi requisiti di conformità. È importante valutare la criticità rispetto alle protezioni esistenti per determinare quale vulnerabilità potrebbe esporre la tua azienda a gravi rischi.
  3. Tecnologie di sicurezza disponibili. Il rapporto di valutazione della vulnerabilità può consigliare decine di patch e aggiornamenti software per risolvere i problemi di sicurezza, ma l’applicazione costante di patch e aggiornamenti può far risparmiare tempo e risorse IT. Potrebbero esserci altre tecnologie di sicurezza più efficienti ed efficaci. Ad esempio, le vulnerabilità di scripting tra siti possono essere affrontate più facilmente e in modo completo attraverso un firewall per applicazioni Web (WAF) posizionato strategicamente rispetto all’applicazione costante di patch e aggiornamenti a più componenti. La chiave è capire come il profilo di rischio cambierebbe quando vengono applicate determinate tecnologie e politiche di sicurezza.
  4. Adottare una postura proattiva. Gli attacchi informatici spesso sfruttano i collegamenti più deboli della propria infrastruttura e spesso tali collegamenti deboli si trovano nelle filiali o tra i dispositivi mobili e IoT. Se la tua scansione rivelasse una serie di vulnerabilità in una filiale o in un’altra infrastruttura remota, ciò potrebbe indicare che sono necessarie ulteriori indagini e misure di protezione. Le valutazioni di sicurezza dell’IoT professionale, inclusi i servizi standard di individuazione e valutazione e valutazioni mirate di dispositivi e piattaforme specifici, possono aiutarti a valutare la vulnerabilità dei dispositivi dell’organizzazione e a comprendere i vettori di attacco associati.

Effettuare test di penetrazione

Una volta completata la valutazione della vulnerabilità e l’azienda ritiene di aver risolto abbastanza risultati per migliorare la propria posizione di sicurezza, è fondamentale effettuare un altro tipo di controllo a una terza parte, non coinvolta, per esaminare l’ambiente e contestare le ipotesi.

Il test di penetrazione è progettato per verificare se quello che, a livello di sicurezza è stato implementato, reggerà l’onda d’urto di un possibile attacco tramite vulnerabilità per ottenere l’accesso a informazioni preziose.

Durante l’attacco tecnico, i penetration tester metteranno alla prova le contromisure adottate come parte della valutazione di vulnerabilità. Il gruppo di server dietro i firewall è monitorato da un antivirus sufficientemente protetto? L’elenco dei punti di accesso scoperti nelle applicazioni critiche è completo oppure i penetration tester possono trovare un nuovo metodo di accesso di cui non si era a conoscenza?

In genere non andrebbe effettuato dalla società stessa, anche se ha le competenze interne, perché si tende ad essere “parte in causa” Una valutazione completa con obiettivi specifici dovrebbe essere condotta da tester esperti per aiutare il business a ottenere una prospettiva su quali aree potrebbero non essere state prese in considerazione in precedenza e quale area di crescita successiva dovrebbe essere parte del ciclo di vita della valutazione della sicurezza.

L’importanza di aggiungere un contesto

Gli aggressori non smetteranno mai di provare a sfruttare le vulnerabilità. Finché esistono exploit, è necessario un processo per trovare e rimediare continuamente alle vulnerabilità.

Le valutazioni continue della vulnerabilità sono una parte importante di un’efficace sicurezza informatica. Possono essere inestimabili, ma solo se i loro risultati sono ponderati nel contesto del business e dell’infrastruttura di sicurezza esistente.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Analizzando i risultati della valutazione tenendo presente il rischio aziendale e applicando tali conoscenze allo sviluppo di una solida strategia di sicurezza, i CISO e altri dirigenti IT possono aiutare le loro organizzazioni a trarre il massimo profitto dal loro budget di sicurezza e rafforzare la loro posizione generale in materia di sicurezza e conformità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5