Nel mondo sempre più interconnesso della tecnologia, la sicurezza informatica rappresenta una priorità cruciale per le organizzazioni di ogni settore. Gli attacchi informatici, sempre più sofisticati e diffusi, mettono a rischio la confidenzialità, l'integrità e la disponibilità dei dati aziendali sensibili, oltre a causare danni reputazionali e finanziari considerevoli.
In questo contesto, i test di vulnerabilità emergono come uno strumento fondamentale per identificare e mitigare i rischi di sicurezza informatica.
Un test di vulnerabilità è una procedura sistematica e metodica che mira ad individuare le debolezze e le falle di sicurezza presenti nei sistemi, nelle reti e nelle applicazioni, al fine di consentire alle organizzazioni di adottare le adeguate contromisure preventive.
Il primo passo è identificare le possibili vulnerabilità presenti nei sistemi informatici dell'azienda, sia attraverso tecniche di scansione automatica che manualmente, ad esempio attraverso un penetration test. All’individuazione delle vulnerabilità segue necessariamente la loro analisi per determinare il loro impatto sulla sicurezza informatica dell'azienda e la probabilità che possano essere sfruttate da un attaccante.
La valutazione delle vulnerabilità deve essere sempre orientata all'identificazione delle aree di maggiore rischio, come ad esempio i sistemi critici o le applicazioni web esposte a Internet. Dopo aver identificato i rischi maggiori, è necessario stabilire le priorità per risolverli, in base alla gravità della minaccia e alla loro criticità per l'azienda.
Infine, è importante sviluppare un piano per mitigare i rischi. Questo piano dovrebbe comprendere azioni specifiche e scadenze, responsabilità chiare per garantire che le vulnerabilità siano risolte in modo tempestivo e completo.
I test di vulnerabilità consentono di misurare la robustezza del sistema, la sua capacità di resistere agli attacchi informatici. In particolare permettono di:
- PREVENIRE: l’identificazione tempestiva delle vulnerabilità consente all'organizzazione di prendere misure preventive per mitigare i rischi e ridurre la probabilità di successo di un attacco;
- PROTEGGERE: un test di vulnerabilità aiuta a identificare le vulnerabilità che potrebbero mettere a rischio informazioni importanti all’interno dell’azienda. La sicurezza dei propri dati aziendali e dei dati di terzi detenuti dall'azienda è, infatti, un elemento cruciale per la reputazione dell'azienda.
Per identificare le vulnerabilità si usano prima di tutto dei tool automatizzati sofisticati, progettati per eseguire scansioni sistematiche di un'applicazione o di un sito web, individuando potenziali falle di sicurezza, con una serie di vantaggi significativi:
- consentono di eseguire scansioni sistematiche e dettagliate, analizzando l'intera superficie dell'applicazione per individuare possibili punti deboli;
- sono in grado di rilevare una vasta gamma di vulnerabilità più rapidamente ed efficientemente rispetto all'analisi manuale. Ciò consente di risparmiare tempo e risorse, focalizzando l’attenzione dell’esperto su compiti più complessi e critici.
I tool automatizzati possono essere limitati nella loro capacità di rilevare vulnerabilità più complesse o specifiche dell'applicazione.
L'intervento umano entra in gioco per colmare queste lacune. Un esperto di sicurezza, come un penetration tester o un analista di sicurezza, utilizza i tool automatizzati per eseguire una valutazione più approfondita delle vulnerabilità individuate. Questo esperto ha una conoscenza approfondita delle tecniche di attacco, delle best practice di sicurezza e delle vulnerabilità specifiche dell'applicazione. L'esperto può eseguire analisi manuali, test di penetrazione mirati e verifiche incrociate per identificare e valutare ulteriori vulnerabilità che potrebbero essere state ignorate o mal interpretate dai tool automatizzati.
Abbiamo utilizzato un tool open source progettato per analizzare le superfici di attacco. Sfruttando diverse tecniche di rilevamento e analisi automatizzate, può esplorare diverse fonti di dati come il web, le reti sociali, i servizi di hosting, gli elenchi di DNS e i certificati SSL al fine di raccogliere informazioni su entità di interesse come organizzazioni, persone, indirizzi IP e nomi di dominio.
L'obiettivo principale del tool è automatizzare il processo di raccolta di informazioni e fornire una panoramica completa delle attività di un'entità o di un obiettivo specifico.
L'analisi automatizzata del nostro sito ha portato risultati inaspettati, non essendo mai molto chiaro quanto si dirramano le informazioni quando le pubblichiamo sul web.
Come evidenziato nell'immagine, partendo da webinteam.com (il pallino rosso), lo strumento è stato in grado di raccogliere una vasta gamma di informazioni, grazie ai collegamenti (rappresentati dalle linee) provenienti dal nostro attuale sito o da collegamenti precedenti.
Ogni pallino nero nella visualizzazione rappresenta un'informazione reperita dal tool e potrebbe potenzialmente costitutire una vulnerabilità che richiede attenzione ed eventuali azioni correttive per garantire la sicurezza e l'integrità del nostro sito.
Il tool, attraverso le sue funzionalità, mette in evidenza informazioni di natura diversa:
- dettagli sul dominio di un sito web, come WHOIS (informazioni sul proprietario del dominio), indirizzi IP associati, server di posta elettronica, record DNS, ….
- dati sull'host, come l'indirizzo IP, i servizi in esecuzione, le porte aperte, i certificati SSL e altre informazioni pertinenti
- le email inviate, ricevute o associate a un determinato dominio o host
- le presenze sociali, come account sui social media, pagine pubbliche o profili associati
- i certificati associati al dominio o all'host, verificandone la validità, il nome del proprietario e altre informazioni correlate.
L'analisi raggruppa le informazioni in categorie, riportando il numero esatto di elementi identificati e se sono unici o ripetuti:
Il tool fornisce un importante dato relativo alla correlazione tra possibili vulnerabilità e il rischio che queste potrebbero comportare. Per valutare il livello di rischio associato ad ogni vulnerabilità, il tool ha suddiviso il rischio in quattro categorie, dalla meno impattante a quella potenzialmente più pericolosa : "info", "low", "medium" e "high".
La categoria "info" indica che la vulnerabilità può fornire semplicemente informazioni aggiuntive senza rappresentare un rischio significativo per la sicurezza. La categoria "low" indica un rischio basso: la vulnerabilità potrebbe consentire accesso limitato o informazioni di basso valore per un attaccante. La categoria "medium" indica un rischio moderato: la vulnerabilità potrebbe consentire accesso a informazioni sensibili o compromettere la sicurezza in modo significativo. Infine, la categoria "high" indica un rischio elevato, tale da comportare un accesso completo al sistema o mettere a rischio dati critici o risorse.
Abbiamo capito che i test di vulnerabilità sono una combinazione di tool automatici e di analisi “umana” dei dati rilevati.
La parte più delicata riguarda proprio la valutazione delle informazioni. Se il tool ci aiuta a raccogliere velocemente le informazioni, non è detto che riesca a identificarle tutte o che quelle segnalate siano effettivamente “rischiose” per la nostra realtà aziendale.
Tutto sommato, se partendo dal sito in cui pubblichiamo volontariamente contenuti che riguardano la nostra azienda fatta di persone e altri asset, si possono facilmente identificare i profili social dei nostri collaboratori, non è necessariamente una cosa negativa, anzi! Alzi la mano chi non cerca subito un nome su Facebook o linkedin per raccogliere ulteriori informazioni di contatto o personali.
Ma se oltre queste info di natura “pubblica” possiamo rilevare account nominativi in siti di vario genere (marketplace, banche, assicurazioni, ecc…), la cosa potrebbe cominciare ad essere meno tollerabile.
Il punto è che non abbiamo sotto controllo la ramificazione in cui si estendono i nostri dati più o meno personali e i test di vulnerabilità riescono a darci una panoramica che ci fa riflettere sull’importanza di essere pronti ad affrontare possibili attacchi informatici, mitigando i rischi di violazioni, furti e conseguenti danni patrimoniali o reputazionali.
19 Aprile, 2024
07 Dicembre, 2023
Sviluppiamo software su misura per te
