Oggi che la cybersecurity è un tema che interessa sempre più anche i non addetti ai lavori, ci si trova spesso a fronteggiare definizioni ed espressioni quasi idiomatiche, molte delle quali però hanno, per i tecnici del settore, connotazioni diverse. Senza dubbio è il caso di vulnerability assessment e penetration testing, due pratiche comuni nella sicurezza offensiva e difensiva che però spesso non vengono trattate con le giuste distinzioni.
Per fare chiarezza abbiamo sentito Giulio Patisso, co-founder e Director di THUX SYSTEMS, e Armando Cavallo, responsabile del Security Operation Center di THUX. L’azienda si caratterizza prima di tutto per i suoi 27 anni di esperienza nel settore della cyber security, poi per una profonda conoscenza delle tecnologie e degli strumenti, ottenuta grazie alla scelta di acquisire al proprio interno tutte le competenze, senza deleghe all’esterno. Nell’ambito della sicurezza, tutte le attività vengono svolte dal SOC. Ecco come Cavallo ci racconta queste due attività.
Indice degli argomenti
Vulnerability assessment e penetration testing, definizione doverosa
Come abbiamo accennato, i due termini viaggiano così spesso di pari passo che, soprattutto nel mondo anglofono, esiste un acronimo, VAPT, che li raccoglie come se fossero una sola pratica. La realtà tuttavia è piuttosto distante.
“Ci sono differenze sostanziali, anche se nel linguaggio comune spesso c’è confusione fra le due cose. Sono due attività diverse, anche dal punto di vista dell’impegno economico – sottolinea Cavallo -. Il mercato della cyber security è attivo, e sta conoscendo anche un certo livello di bolla. Questo, inevitabilmente, porta a un abbassamento del livello delle professionalità, il che favorisce la confusione nei termini”.
Ma quali sono, in sintesi, le differenze più immediatamente identificabili fra le due attività?
“Ai minimi termini, possiamo definire il vulnerability assessment come una ricognizione per capire le vulnerabilità, mentre nel penetration testing queste vulnerabilità vengono effettivamente sfruttate per capire quanto e come possono essere utilizzate per intenti criminali”.
Una differenza che si palesa molto nell’operatività. Durante un penetration test, spesso vengono utilizzati anche strumenti di vulnerability assessment (e questa è forse la principale ragione di confusione per i non esperti), ma non ci si ferma a questo.
Ci spiega Cavallo che “durante un test di penetrazione si fanno altri tipi di ricognizioni, che permettono di analizzare anche vulnerabilità che non emergono dai vulnerability assessment, in particolare da quelli automatici. Per esempio, nei Web Application Penetration Test (WAPT) una parte considerevole del lavoro deve essere fatta manualmente e si basa sull’esperienza dell’operatore, a causa dell’elevata complessità delle interazioni fra i diversi componenti”.
L’importanza della metodologia
Ora che abbiamo più chiaro il confine, e i margini di sovrapposizione, di queste due attività, è il momento di capire come un’azienda può operare con successo, per quasi trent’anni nel caso di THUX, in un contesto in cui il cambiamento avviene praticamente di ora in ora.
Giulio Patisso apre con una premessa: “Per fare cyber security è indispensabile un background IT solido, sempre più difficile da riscontrare presso i nuovi professionisti. Avere competenze di networking, per esempio – continua – permette di capire molto più a fondo sia perché sia necessaria la segmentazione di una rete, sia in che modo sia possibile identificare e sfruttare una segmentazione mal eseguita”.
Come in ogni contesto a elevatissima discrezionalità, insomma, le esperienze e la competenza dell’operatore, attaccante in questo caso, sono differenzianti e distintive.
“Soprattutto nel vulnerability assessment oggi si fa larghissimo uso di tool automatizzati come Nessus o OpenVAS, per citarne due. Ma questi possono identificare solo un numero limitato di vulnerabilità per così dire standard, per esempio la mancanza di patch o aggiornamenti o l’apertura di alcune porte critiche e spesso, non rilevano vulnerabilità anche solo leggermente più complesse che generano falsi positivi”, spiega Cavallo.
“I sistemi automatici non contestualizzano le informazioni che raccolgono – conclude Patisso – possono aiutare nelle fasi più meccanizzate del lavoro, ma non permettono di capire davvero cosa c’è sotto e, soprattutto, non aiutano la crescita professionale”.
Insomma, non è possibile affidarsi esclusivamente agli strumenti, nemmeno per il vulnerability assessment che, in qualche modo, è il punto di partenza per una analisi sulla sicurezza.
Tecniche e strategie di penetration testing
E se l’uso di strumento automatici ha già un’efficacia molto limitata nel caso del vulnerability assessment, il penetration testing è un’attività ancora più specifica e artigianale. Scopriamo ora quali sono, sempre a livello metodologico, le principali strategie utilizzate.
“Prima di tutto vale la pena di ricordare che in alcuni casi è possibile applicare alcune remediation già dopo il vulnerability assessment, senza bisogno di proseguire con il Penetration testing – ricorda Cavallo – tuttavia questo vale solo per le remediation sicure e, in qualche modo, standard”.
A livello più ampio, il vulnerability assessment può essere considerato anche come parte iniziale dell’attività di penetration testing. Tuttavia, le modalità possono cambiare moltissimo a seconda del contesto richiesto dal cliente: Black Box, in cui l’attaccante dispone di informazioni limitate oppure White Box, in cui sono a disposizione le credenziali, richiedono modalità diverse, anche perché di fatto si concentrano su problematiche diverse.
Ricorda Cavallo che “il primo passaggio, in ogni caso, è sempre una ricognizione in cui si cerca qualsiasi cosa, qualsiasi indizio, anche i semplici documenti. In molti casi, per esempio, è sufficiente una ricerca mirata attraverso Google per scoprire documenti aziendali condivisi in modo errato. Anche questa, per quanto apparentemente elementare, è una vulnerabilità”.
Successivamente si procede con il penetration test propriamente detto: si tenta di sfruttare le vulnerabilità scoperte, di scoprirne di nuove e di sfruttarle. “Questo è il punto in cui un operatore esperto può trovare punti di attacco non rilevati dalle scansioni. Per ogni spiraglio, simuliamo le azioni di un criminale che voglia sfruttarle completamente, infine compiliamo un report che contiene anche i documenti e le informazioni raccolte” racconta Cavallo.
Dettagliare l’analisi
Un’attività che, potenzialmente, può svilupparsi in modo frattale lungo tutte le risorse aziendali. Per stabilire i confini delle operazioni, THUX utilizza le più importanti reference di settore, prima fra tutte il Framework MITRE.
“La stragrande maggioranza delle vulnerabilità sono note, con procedure di attacco conosciute – ricorda Patisso – si usano quelle. La difficoltà è adattare il tipo di attacco al contesto. Per esempio, la gravità di una debolezza può cambiare in funzione di infrastruttura e scopo del cliente”.
All’interno del metodo THUX trova spazio anche una pratica meno nota: l’attacco alle vulnerabilità fisiche, per esempio porte di rete esposte in aree pubbliche, reti Wi-Fi non opportunamente protette e così via.
“Con i giusti strumenti e le giuste competenze, attaccare una rete in questo modo è questione di minuti” ricorda Cavallo, mentre Patisso torna sul tema delle competenze: “Spesso non c’è la comprensione delle ragioni di numerose best practices, il che ci riporta al problema delle competenze IT basilari”.
Competenza e sensibilità personale. Che aiutano anche nell’identificare i falsi positivi, ragione per cui ogni risultato da scansioni automatiche deve essere valutato da un operatore. Per esempio, qualsiasi workaround per risolvere una vulnerabilità nota non è riconosciuto dagli strumenti se non è un vero e proprio fix riconoscibile.
Prevenzione e attenzione
Dopo avere imparato differenze e metodi, ci siamo chiesti con gli esperti di THUX quali fossero le particolari attenzioni che le aziende devono avere e cosa fare per migliorare la protezione.
Patisso ci spiega che “l’introduzione dell’Intelligenza Artificiale aiuta gli operatori sulle attività real-time, per esempio SOC, monitoraggio, SIEM, fermo restando il bisogno della discrezionalità umana. Tuttavia, questo rende più rapide anche le tecniche di attacco. Oggi la rapidità di esecuzione è fondamentale”.
Sotto il profilo della sicurezza vera e propria, THUX ci lascia con alcuni consigli. Il primo è di non rinunciare agli investimenti nella sicurezza soprattutto quando parte dell’infrastruttura usa modelli distribuiti come il Cloud, dove bisogna prestare sempre più attenzione.
Dal punto di vista più pratico, ridurre i servizi esposti a quelli davvero indispensabili è un altro aspetto fondamentale, considerando che tutti i principali attacchi oggi sono automatizzati.
Infine, segmentazione e segregazione, autenticazione a due fattori e l’applicazione il più possibile estesa della politica zero trust da sole possono fare moltissimo per migliorare la sicurezza aziendale, secondo Cavallo.
Contributo editoriale sviluppato in collaborazione con THUX
