Quanto è sicura un’azienda? Quanto è immune ai più comuni attacchi? Sono alcune delle domande a cui tutti i responsabili della sicurezza IT vorrebbero poter rispondere con certezza: “L’azienda è totalmente sicura”. In realtà, non è possibile garantire una sicurezza del 100%, ma, a seguito di un Continuous Penetration Testing, ci si può andare molto vicini.
Cos’è un Continuous Penetration Testing
Per rinforzare la sicurezza del perimetro digitale aziendale i team specialistici della cyber security dedicano molte ore ad analizzare e studiare le strategie degli hacker per poterne così anticipare gli attacchi. Questa prassi, se pur necessaria, non costituisce comunque una linea di difesa sufficiente nella maggioranza delle aziende.
Bisogna considerare che spesso l’infrastruttura IT è composta da applicativi molto complessi e strutturati, in quanto risultato di modifiche del codice stratificate nel corso degli anni e passate di tecnico in tecnico. Non è dunque raro che il sistema difensivo messo in atto possa presentare delle falle che sfuggano al controllo di chi si occupa della messa in sicurezza (ma che invece potrebbero non sfuggire a chi vuole introdursi nella rete aziendale per scopi illeciti).
Ecco perché la nuova frontiera della sicurezza informatica si basa sul Continuous Penetration Testing, monitorando in modo attivo l’infrastruttura. L’obiettivo di questi strumenti è aiutare le aziende a identificare eventuali falle di cui gli hacker si potrebbero avvalere per ottenere il controllo della rete.
La complessità che le organizzazioni devono affrontare, il numero crescente di dispositivi non gestiti, la struttura eccessivamente articolata delle reti interne e la crescita di minacce avanzate, rendono il Continuous Penetration Testing uno strumento essenziale che dovrebbe essere aggiunto a qualsiasi strategia di sicurezza. Poiché le minacce informatiche non smettono mai di evolvere, i test continuativi assicurano che un’organizzazione sia sempre all’avanguardia riducendo il rischio complessivo.
Fino a qualche anno fa si effettuavano degli attacchi simulati basandosi su vulnerabilità note, ma al giorno d’oggi gli attacchi non sono più “pattern-based”. Quindi la soluzione è effettuare dei penetration testing.
Come si esegue il Continuous Penetration Testing
Il Continuous Penetration Testing si basa sull’inserimento, in posizioni strategiche della rete, di apparati che simulano un attacco hacker al fine di scoprire le potenziali falle, dare visibilità dei possibili danni e segnalarne la gravità.
Il test viene effettuato continuativamente in periodi di tempo prefissati mediante tool automatici. L’impiego dell’automazione riduce il margine di errore e rende questo strumento più sicuro rispetto al classico Penetration Testing, dove l’attacco viene simulato da un team di Ethical Hacker.
Il secondo vantaggio nell’effettuare un attacco schedulato è che, mentre prima molti team tecnici effettuavano dell’hardening infrastrutturale solamente nei periodi degli attacchi, oggi il Continuous Penetration Testing riesce a garantire un controllo continuo e granulare dell’infrastruttura, dando evidenza anche di vulnerabilità “temporanee”.
Da sottolineare che i Penetration Testing sono attacchi basati sia su pattern sia su potenziali falle dei sistemi operativi. Questo li differenzia dal Vulnerability Scanning (o Vulnerability Assessment) che si basa su attacchi pattern-based, mitigabili quindi da un qualsiasi apparato infrastrutturale di sicurezza.
Quali aziende possono beneficiare del Continuous Penetration Testing?
Il Continuous Penetration Testing è utile per evidenziare le falle di sicurezza utilizzabili anche durante una qualsiasi infezione Cryptolocker ecc. Gli attacchi oggi sono ormai “2.0” quindi studiati per massimizzare i danni e diminuire la visibilità. E negli ultimi anni sono di tipo “silenti”. Gli hacker possono restare fermi anche per molti mesi in attesa del momento in cui la potenza di attacco è massima (in cui possono infettare, per esempio, anche il 60% della rete). Per questo motivo, il Continuous Penetration Testing è consigliato a tutte le tipologie di aziende di dimensioni medio-grandi, in quanto la piattaforma può avere costi rilevanti e il suo impiego è pensato per la sicurezza di infrastrutture piuttosto articolate.
Il Continuous Penetration Testing può essere adattato man mano che l’azienda matura la sua posizione nel programma di sicurezza. Le metriche uniche riguardano le seguenti categorie:
- tempo medio di riparazione;
- analisi costi-benefici rispetto al pentesting tradizionale;
- miglioramenti del personale IT;
- maturità delle difese;
- tendenze e dati storici.
Come si struttura un’analisi delle falle di sicurezza
Gli attacchi sono suddivisi in due parti: la parte iniziale, come detto, è pattern-based, quindi costruita su attacchi conosciuti e segnalati nelle CVE; la seconda parte dell’attacco è invece basata principalmente su metodologie poco conosciute e su alcune più note basate sul progetto OWASP. A esclusione del collegamento degli apparati di attacco alla rete interna del cliente, gli attacchi vengono poi effettuati completamente da remoto.
Attualmente i sistemi più supportati per questi attacchi sono Windows-based, che è la piattaforma più usata e più sensibile. Nell’ultimo anno, però, il perimetro si sta allargando anche a piattaforme Linux-based.
