I vulnerability assessment e i penetration test (o pen test) sono modalità di verifica della postura di cyber security conosciute da decenni agli addetti ai lavori, ma che hanno acquisito negli ultimi anni un’importanza crescente e una notorietà sempre più diffusa.
Le aziende oggi infatti dipendono fortemente dalla tecnologia dell’informazione e della comunicazione, con soluzioni anche molto complesse in cui vengono trattati e archiviati dati sensibili, e una delle maggiori minacce è costituita dal potenziale sfruttamento da parte di criminali o insider di vulnerabilità e punti deboli dell’infrastruttura e/o delle applicazioni per poter, ad esempio, interrompere servizi o esfiltrare informazioni per estorcere denaro. Le vulnerabilità dipendono da imperfezioni del software (a vari livelli, dal firmware al sistema operativo al middleware all’applicativo utente), generalmente legate a mancati aggiornamenti, o a carenze nel disegno e nell’implementazione della soluzione e dei controlli.
Per identificare tali minacce e mitigare i rischi, è essenziale condurre una valutazione periodica della sicurezza dell’infrastruttura e delle applicazioni attraverso le due tipologie di verifica. Entrambe servono a valutare la debolezza dei sistemi e migliorare le misure di sicurezza, ed entrambe vengono abitualmente usate come parti integranti di un security program completo. Tuttavia, presentano alcune differenze sostanziali che vediamo di illustrare bene nel seguito.
Che cos’è il vulnerability assessment
Il vulnerability assessment è un approccio sistematico per l’identificazione rapida di vulnerabilità note nei sistemi informatici. È basato sostanzialmente su una scansione automatizzata periodica di reti, dispositivi e applicazioni che consente di attuare un processo di individuazione, revisione, classificazione e assegnazione di priorità alle vulnerabilità, rilevate prima che possano essere sfruttate da reali malintenzionati.
La maggior parte degli attacchi informatici sfrutta infatti vulnerabilità note che molto spesso sono già potenzialmente risolvibili applicando degli aggiornamenti software (security patch). Questo tipo di verifica consente di mapparle secondo un piano di priorità definibile attraverso la combinazione del punteggio di gravità della vulnerabilità (CVSS, Common Vulnerability Scoring System, norma tecnica aperta) e la criticità del sistema informatico interessato (legata per esempio all’importanza per il business aziendale, al tipo di dati trattati, all’esposizione o meno su internet, ecc.).
Che cos’è il penetration test
Il penetration test è una strategia di valutazione delle minacce che prevede la simulazione di attacchi reali per valutare i rischi associati a potenziali violazioni della sicurezza. A volte chiamato anche “hacking etico”, il pen test ha lo scopo di cercare vulnerabilità sfruttabili contro l’infrastruttura di sicurezza di un’organizzazione utilizzando una combinazione di scansioni automatiche e di attacchi di tipo manuale, imitando i comportamenti di cyber criminali e utilizzando le vulnerabilità per violare ed entrare (penetrare, appunto) nel sistema. Gli ethical hacker per l’esecuzione di questi test, oltre che basarsi sull’esperienza e sull’estro, generalmente seguono anche metodologie open source strutturate ed internazionalmente condivise quali OWASP (Open Source Foundation for Application Security) Security Testing Guides e OSSTMM (Open Source Security Testing Methodology).
In questo modo, i penetration test consentono ai team di sicurezza di capire in modo approfondito le modalità con cui i cyber criminali potrebbero accedere ed esfiltrare dati (ad esempio bypassando l’autenticazione o scalando privilegi) o interrompere il servizio, e correggere o potenziare i controlli di sicurezza per evitare che questo accada nella realtà. Poiché i test sono eseguiti da esperti che seguono costantemente le evoluzioni del mondo degli hacker, i falsi positivi risultano ridotti e spesso vengono portati alla luce difetti che i team interni potrebbero altrimenti non scoprire.
Le diverse titpologie di pen test
I pen test possono essere suddivisi in varie tipologie, ad esempio: interno/esterno se condotto rispettivamente da rete interna o da internet; black box, white box o grey box a seconda che non venga fornita alcuna informazione sul target da attaccare, vengano fornite informazioni sulla sua architettura e/o credenziali di accesso oppure venga seguito un approccio intermedio. I peneration test possono poi essere denominati in funzione dell’ambito dove viene eseguito il test: si parla quindi di pen test applicativo, della rete, dell’hardware (ad esempio su dispositivi mobile, IOT o OT), wireless, voip, ecc.
Al termine di un penetration test viene fornito un report dettagliato sulle vulnerabilità riscontrate, le violazioni effettuabili con le relative modalità e livello di rischio, e le indicazioni per correggerle.
Differenze tra Penetration Test e Vulnerability Assessment
Sebbene entrambe le tipologie di test rientrino nella categoria della valutazione delle minacce; ci sono alcune differenze tra i due, declinabili in termini di strategia, di perimetro, di approccio, e con vantaggi e svantaggi che rendono entrambi, di fatto, complementari.
A livello di strategia, il vulnerability assessment controlla i punti deboli noti in un sistema e genera un rapporto sull’esposizione al rischio, mentre il penetration test ha lo scopo di sfruttare i punti deboli su un sistema o un’intera infrastruttura IT per scoprire eventuali minacce al sistema.
In termini di perimetro, l’ambito del penetration test è mirato e coinvolge anche un fattore umano. Il test non comporta solo la scoperta di vulnerabilità che potrebbero essere utilizzate dagli aggressori, ma anche lo sfruttamento delle stesse per valutare fin dove potrebbero arrivare i cyber criminali dopo una violazione. Quindi, la valutazione della vulnerabilità diventa uno dei prerequisiti essenziali per eseguire un pen test.
Se invece guardiamo all’approccio, un vulnerability assessment, come suggerisce il nome, è un processo che esegue la scansione automatizzata di sistemi e dispositivi alla ricerca di punti deboli con l’aiuto di strumenti automatici. Il penetration test, d’altra parte, richiede un approccio metodologico ben pianificato e viene eseguito da persone esperte che comprendono tutti gli aspetti della postura di sicurezza.
Il vulnerability assessment, essendo un test automatico e passivo, ha il vantaggio di non creare alcun problema ai sistemi informatici e di poter essere ripetuto anche frequentemente (ad esempio mensilmente o settimanalmente) in modo da avere una situazione estremamente aggiornata sulle vulnerabilità presenti nella propria organizzazione. Può anche essere condotto, senza costi aggiuntivi, “a tappeto” su tutte le reti, dispositivi e applicazioni. Inoltre consente di individuare tutta una serie di vulnerabilità note e più “semplici” che, se corrette (spesso hanno già patch disponibili), permettono a un penetration test eseguito successivamente di porre la concentrazione su vulnerabilità non note e più complesse senza dover perdere tempo a evidenziare difetti che si potrebbe osar definire come “ovvii”.
Il penetration test, d’altro canto, è più completo e permette di avere una scansione e una valutazione più rigorosa dei sistemi. Tuttavia essendo molto più articolato e complesso da eseguire, e contemplando anche diverse azioni e tentativi di violazione manuali, richiede tempi più lunghi e costi sicuramente maggiori rispetto a un vulnerability assessment. Per queste ragioni non può essere eseguito a tappeto e frequentemente su tutte le reti, i dispositivi e le applicazioni, ma necessita di essere concentrato su specifici target e di essere effettuato solo in alcuni particolari momenti (ad esempio in occasione del rilascio in produzione di un nuovo applicativo critico ed esposto su internet o su pochi applicativi una volta l’anno). Non è escluso, infine, che il pen test, quando eseguito su sistemi in produzione, possa causare qualche rischio soprattutto di disponibilità (stabilità e funzionamento) del servizio.
Conclusioni
I vulnerability assessment e i penetration test sono metodologie complementari di verifica della sicurezza. La valutazione della vulnerabilità è un servizio conveniente che serve a identificare punti deboli noti del sistema e generare un rapporto sull’esposizione al rischio. Il pen test, invece, è un approccio metodologico che prevede una valutazione rigorosa per sfruttare i punti deboli di un sistema o di un’intera infrastruttura IT come forma controllata di hacking che simula attacchi reali per valutare i rischi associati a potenziali violazioni della sicurezza.
L’esecuzione dei penetration test è raccomandata dagli esperti di sicurezza informatica e anche da governi e istituzioni. Inoltre i pen test supportano la conformità normativa, come ad esempio il Regolamento generale sulla protezione dei dati (GDPR), o vengono addirittura espressamente richiesti da alcune norme (ad esempio PCI DSS, DORA e altre).
È bene utilizzare in modo sinergico e consequenziale entrambe le metodologie di test, in modo da ottenerne il massimo beneficio e realizzare un consistente ed efficace security program.
