Con le attività di Vulnerability Assessment (per brevità V.A.) e Penetration Test (per brevità P.T.) si sottopongono a verifica le misure di sicurezza logiche e organizzative predisposte dal cliente al fine di prevenire i reati informatici e divulgazione di informazioni sensibili.

Con le attività di Vulnerability Assessment (per brevità V.A.) e Penetration Test (per brevità P.T.) si sottopongono a verifica le misure di sicurezza logiche e organizzative predisposte dal cliente al fine di prevenire i reati informatici e la divulgazione di informazioni sensibili.

A tal fine sarà necessario:

  • ♦ identificare le vulnerabilità di sicurezza informatica della rete aziendale e dei sistemi (in particolare dei sistemi ritenuti critici), ivi compreso i server web;
  • ♦ Verificare la correttezza e completezza delle policy comportamentali e delle procedure messe in atto, nonchè della relativa formazione, per prevenire i rischi di sicurezza legati a incuria e mancanza di consapevolezza da parte degli utenti nell’utilizzo del Sistema Informatico.

 

Particolare attenzione sarà riposta nel rendere tali attività il più possibile “trasparenti” agli utenti del sistema informatico e di impatto minimo sulle performance della rete informatica aziendale. Le scansioni dall’esterno verranno effettuate preferibilmente in orario notturno. Per maggiori informazioni contatta il supporto tecnico o apri un ticket se sei già cliente.

 

OBIETTIVI

Il servizio di Vulnerability Assessment (VA)/Penetration Test (PT) consente di verificare la robustezza della rete mediante le seguenti attività:

  • ♦ Network sniffing.
  • ♦ IP e Port scanning.
  • ♦ ARP spoofing.
  • ♦ Accesso alla rete aziendale.
  • ♦ Tentativo di carpire e dedurre password di dominio.
  • ♦ Ricerca di eventuali vulnerabilità su layer 2,3 e 7 dello stack ISO/OSI.
  • ♦ Utilizzo delle vulnerabilità eventualmente trovate per controllare i sistemi/servizi.
  • ♦ Analisi, verifica ed interpretazione dei risultati.

 

ACRONIMI E ABBREVIAZIONI

I.V.A. = Internal Vulnerability Assessment

E.V.A. = External Vulnerability Assessment

I.P.T. = Internal Penetration Test

E.P.T. = External Penetration Test

 

METODOLOGIA DI APPROCCIO

La metodologia utilizzata vuole misurare la sicurezza informatica aziendale mediante quattro macro step:

  1. 1) Internal Vulnerability Assessment (1° Step).

Punto di partenza per valutare la sicurezza informatica della rete “interna”. Con questo punto sarà possibile ottenere un indice sullo stato di sicurezza della LAN (Local Area Network), tale indice sarà poi utilizzato per proporre contro-misure/metodologie al fine di irrobustire il livello di security.

  1. 2) External Vulnerability Assessment (2° Step).

Vulnerability Assessment condotto dall’esterno nei confronti dei sistemi informativi dell’area perimetrale.

Tale fase sebbene possa essere condotta in maniera indipendente ed isolata rispetto al Vulnerability Assessment interno è preferibile eseguirla successivamente alla prima al fine di poter confrontare i risultati globalmente ottenuti ed essere più mirati nelle osservazioni di sicurezza.

  1. 3) Internal Penetration Test (3° Step).

Un Penetration Test tenta di sfruttare le vulnerabilità emerse dalle analisi precedenti per violare i sistemi informatici oggetto del target. L’Internal Penetration Test è un PT eseguito dall’interno della rete aziendale nei confronti dei sistemi interni e di perimetro.

Per tale attività diventano propedeutiche le prime due.

  1. 4) External Penetration Test (4° Step).

Simile al punto precedente con la fonte di attacco localizzata all’esterno del perimetro aziendale.

 

Il diagramma di flusso di Figura 1 illustra con maggior chiarezza l’interconnessione esistente tra gli step operativi presentati. Mediante tale rappresentazione si intende analizzare la sicurezza del sistema ed intervenire con contromisure adatte seguendo dei passi ben precisi. L’esecuzione dei test di analisi è in funzione del livello di sicurezza che si vuole raggiungere. L’analisi dei report e l’applicazione delle best practice agevolano il processo decisionale sui test di sicurezza da selezionare.

Nota: La seguente soluzione intesa come unione dei punti sopra introdotti va intesa come metodologia di sicurezza che ha lo scopo di condurre in maniera sequenziale il processo di valutazione di sicurezza mediante l’ausilio di una serie di test. Il processo non va inteso necessariamente come atomico (esecuzione di tutti i test) ma, come si evince dal flow chart di seguito riportato, come processo modulare di analisi sulla sicurezza aziendale.

 

 

INTERNAL VULNERABILITY ASSESSMENT (I.V.A.)

Attraverso degli strumenti informatici si analizzerà la robustezza delle misure informatiche dall’interno (rete trust), cercando di identificare quali possibili vulnerabilità conosciute potrebbero essere sfruttate da utenti malintenzionati per effettuare degli attacchi informatici.

 

Si tratterà di eseguire delle “scansioni” non distruttive sui sistemi, con degli strumenti che sono stati progettati per rilevare lo stato dei sistemi operativi o delle applicazioni standard.

 

Tali strumenti saranno quelli comunemente utilizzati dagli utenti malintenzionati e reperibili su Internet; oppure, su specifica richiesta, possono essere utilizzati strumenti predisposti da produttori di software di sicurezza ben noti. L’utilizzo di strumenti pubblici “open-source” o di una specifica azienda non porta ad una sostanziale differenza dei risultati.

 

Nell’analisi delle vulnerabilità e delle debolezze dell’infrastruttura nel suo complesso, saranno evidenziate quelle critiche. Per “critica” si intenderà quella vulnerabilità che potrebbe causare un danno grave e immediato, come il blocco delle attività, la perdita di dati sensibili, la perdita di credibilità, immagine o denaro. In modo che possano essere assunte misure immediate per attenuare il problema.

 

Al termine dell’attività si avranno una serie di risultati che saranno sintetizzati in un documento di Vulnerability Assessment Report.

 

TARGET I.V.A.

Per Target si intende l’insieme di elementi oggetto del Vulnerability Assessment. Tale insieme cambia in base a differenti fattori strutturali, caratteristici della realtà aziendale analizzata, e alla tipologia del V.A. condotto.

In base ad alcune considerazioni il Target viene identificato nella LAN (attestazione ad un qualsiasi segmento della LAN) visto come anello debole dell’infrastruttura di rete. Successivamente sarà possibile modificare il Target in base ad ulteriori osservazioni e al risultato del V.A.

Il Target oggetto della proposta comprende i seguenti dispositivi all’interno della LAN:

  1.   ◊ Network device.
  2.   ◊ Security device.
  3.   ◊ Application server.
  4.   ◊ Storage server.

 

FASI I.V.A.

Il progetto è suddiviso nelle seguenti fasi:

  1. 1) Reconnaissance phase.

Acquisizione di tutte le informazioni potenzialmente utili per il V.A.. Le informazioni tecniche da acquisire includono:

  • ◊ Struttura di rete (reverse engineering per evincere topologia di rete).
  • ◊ Individuazione e classificazione server e dispositivi di rete “critici ”da punto di vista architetturale della sicurezza.
  • ◊ Individuazione sistemi operativi utilizzati (S. fingerprint).
  • ◊ Reperimento informazioni pubbliche sugli applicativi utilizzati.

 

  1. 2) Vulnerability Assessment.

Individuazione vulnerabilità degli oggetti target. Il tiger team condurrà attacchi autorizzati utilizzando strumenti pubblici o appositamente sviluppati per ricercare le vulnerabilità nel target analizzato al fine di ottenere i permessi di accesso ai sistemi.

L’individuazione delle vulnerabilità presenti servirà anche per individuare i sistemi compromessi (o compromettibili) da utilizzare nelle fasi successive come mezzo (escalating point ) per effettuare ulteriori scansioni o compromissioni.

  1. 3) Vulnerability classification.

Classificazione delle vulnerabilità degli oggetti target. Tutte le vulnerabilità individuate saranno classificate in ordine di priorità dalle più critiche alle meno critiche. Tale classificazione sarà di aiuto al processo decisionale di messa in sicurezza dell’infrastruttura informatica.

  1. 4) Report e gestione contromisure.

Consegna documentazione su quanto analizzato e suggerimenti sull’adozione di eventuali contromisure.

 

REPORT I.V.A.

Il report relativo all’Internal Vulnerability Assessment comprende l’insieme della documentazione fornita alla fine della relativa attività.

In Figura 2 viene schematizzato il primo step, sopra descritto, evidenziando la fase di reporting intesa come output dell’attività di I.V.A.

 

Il report conterrà le seguenti informazioni:

  • ♦ Elenco delle vulnerabilità associate al singolo server/dispositivo di rete qualora presenti.

Per ogni elemento di rete analizzato, compreso nel target, verrà fornito un elenco di vulnerabilità di sicurezza e relativa descrizione.

  • ♦ Classificazione vulnerabilità.

Le vulnerabilità individuate verranno suddivise in:

  • ◊ Alte (Critiche): Vulnerabilità che costituiscono o possono costituire un grave rischio per l’azienda.
  • ◊ Medie: Vulnerabilità di medio rischio, sfruttabili con pochi vettori di attacco o di poco impatto per l’azienda.
  • ◊ Basse: Vulnerabilità di impatto basso o quasi nullo per la produttività aziendale.

 

Elenco di azioni per eliminare o ridurre le vulnerabilità di cui il sistema è affetto.

  • ♦ Best practice.

Insieme di regole e comportamenti suggeriti per mantenere un livello alto ed accettabile di sicurezza. Tali indicazioni potranno essere fornite come elenco di azioni da compiere abitualmente in relazione ad una attività o come processo metodologico sotto forma di diagramma di flusso.

EXTERNAL VULNERABILITY ASSESSMENT (E.V.A.)

 

TARGET E.V.A.

In base ad alcune considerazioni il Target viene identificato nei dispositivi di rete perimetrali visti come separatori fisici tra la LAN e Internet (rete trusted e rete untrusted). Successivamente sarà possibile modificare il Target in base ad ulteriori osservazioni e al risultato del V.A.

Il Target oggetto della proposta comprende i seguenti dispositivi di rete:

  1. ♦ Security device.
    1. ◊ Firewall
    2. ◊ Terminatori VPN.
    3. ◊ Access Point / Ponti radio.
  2. ♦ Application server

 

FASI E.V.A.

Il progetto è suddiviso nelle seguenti fasi:

  1. 1) Reconnaissance phase.

Acquisizione di tutte le informazioni potenzialmente utili per il V.A.. Le informazioni tecniche da acquisire includono:

  • ♦ Struttura di rete perimetrale (reverse engineering per evincere topologia di rete).
  • ♦ Individuazione e classificazione server e dispositivi di rete “critici ”da punto di vista architetturale della sicurezza.
  • ♦ Individuazione sistemi operativi utilizzati (S. fingerprint).
  • ♦ Individuazione delle metodologia di accesso remoto.
  • ♦ Reperimento informazioni pubbliche della società richiedente il test di sicurezza.
  • ♦ Reperimento informazioni pubbliche sugli applicativi utilizzati.
  1. 2) Vulnerability Assessment.

Individuazione vulnerabilità degli oggetti target. Il tiger team condurrà attacchi autorizzati utilizzando strumenti pubblici o appositamente sviluppati per ricercare le vulnerabilità nel target analizzato al fine di ottenere i permessi di accesso ai sistemi.

L’individuazione delle vulnerabilità presenti servirà anche per individuare i sistemi compromessi (o compromettibili) da utilizzare nelle fasi successive come mezzo (escalating point ) per effettuare ulteriori scansioni o compromissioni.

  1. 3) Vulnerability classification.

Classificazione vulnerabilità degli oggetti target. Tutte le vulnerabilità individuate saranno classificate in ordine di priorità dalle più critiche alle meno critiche. Tale classificazione sarà di aiuto al processo decisionale di messa in sicurezza dell’infrastruttura informatica.

  1. 4) Report e gestione contromisure.

Consegna documentazione su quanto analizzato e suggerimenti sull’adozione di eventuali contromisure.

 

REPORT E.V.A.

Il report relativo all’External Vulnerability Assessment comprende l’insieme della documentazione fornita alla fine della relativa attività.

In Figura 3 viene schematizzato il secondo step, sopra descritto, evidenziando la fase di reporting intesa come output dell’attività di E.V.A.

Il report conterrà le seguenti informazioni:

  • ♦ Elenco delle vulnerabilità associate al singolo server/dispositivo di rete qualora presenti.

Per ogni elemento di rete analizzato, compreso nel target, verrà fornito un elenco di vulnerabilità di sicurezza e relativa descrizione.

  • ♦ Classificazione vulnerabilità.

Le vulnerabilità individuate verranno suddivise in:

  • ♦ Alte (Critiche): Vulnerabilità che costituiscono o possono costituire un grave rischio per l’azienda.
  • ♦ Medie: Vulnerabilità di medio rischio, sfruttabili con pochi vettori di attacco o di poco impatto per l’azienda.
  • ♦ Basse: Vulnerabilità di impatto basso o quasi nullo per la produttività aziendale.

Elenco di azioni per eliminare o ridurre le vulnerabilità di cui il sistema è affetto.

  • ♦ Best practice.

Insieme di regole e comportamenti suggeriti per mantenere un livello alto ed accettabile di sicurezza. Tali indicazioni potranno essere fornite come elenco di azioni da compiere abitualmente in relazione ad una attività o come processo metodologico sotto forma di diagramma di flusso.

 

INTERNAL PENETRATION TEST (I.P.T.)

 

TARGET I.P.T.

In base ad alcune considerazioni il Target viene identificato nella LAN (attestazione ad un qualsiasi segmento della LAN) visto come anello debole dell’infrastruttura di rete. Successivamente sarà possibile modificare il Target in base ad ulteriori osservazioni e al risultato del V.A.

Il Target oggetto della proposta comprende i seguenti dispositivi all’interno della LAN:

  1. Network device.
  2. Security device.
  3. Application server.
  4. Storage server.

 

FASI I.P.T.

  1. Exploiting server application.

Questa fase si sviluppa in base alle informazioni ottenute dall’I.V.A. In base alle analisi precedentemente ottenute il tiger team seleziona/implementa l’insieme di attacchi idoneo al fine di compromettere i server applicativi.

  1. Penetrating Network.

Il tiger team utilizza tecniche di attacco per eludere sistemi di Network Security.

  1. Privilege escalation.

Il tiger team focalizza l’attenzione sui target compromessi utilizzati anche come vettori di attacco.

  1. Report e gestione contromisure.

Consegna documentazione su quanto analizzato e suggerimenti sull’adozione di eventuali contromisure.

 

REPORT I.P.T.

Il report relativo all’Internal Penetration Test comprende l’insieme della documentazione fornita alla fine della relativa attività.

In Figura 4 viene schematizzato il terzo step, sopra descritto, evidenziando la fase di reporting intesa come output dell’attività di I.P.T.

Il report conterrà le seguenti informazioni:

  • Metodi di attacco (exploit) utilizzati.

Verrà fornita una descrizione dei metodi di attacco utilizzati e il loro utilizzo nell’ambiente target al fine di violare i sistemi analizzati.

Elenco di azioni per eliminare o ridurre le vulnerabilità di cui il sistema è affetto.

  • Best practice.

Insieme di regole e comportamenti suggeriti per mantenere un livello alto ed accettabile di sicurezza. Tali indicazioni potranno essere fornite come elenco di azioni da compiere abitualmente in relazione ad una attività o come processo metodologico sotto forma di diagramma di flusso.

EXTERNAL PENETRATION TEST (E.P.T.)

 

TARGET E.P.T.

In base ad alcune considerazioni il Target viene identificato nei dispositivi di rete perimetrali visti come separatori fisici tra la LAN e Internet (rete trusted e rete untrusted). Successivamente sarà possibile modificare il Target in base ad ulteriori osservazioni e al risultato del V.A.

Il Target oggetto della proposta comprende i seguenti dispositivi di rete:

  1. Security device.
    1. Firewall.
    2. Terminatori VPN.
    3. Access Point / Ponti radio.
  2. Application server

FASI E.P.T.

  1. Exploiting server application.

Questa fase si sviluppa in base alle informazioni ottenute dall’E.V.A.. In base alle analisi precedentemente ottenute il tiger team seleziona/implementa l’insieme di attacchi idoneo al fine di compromettere i server applicativi.

  1. Penetrating Network.

Il tiger team utilizza tecniche di attacco per eludere sistemi di Network Security.

  1. Privilege escalation.

Il tiger team focalizza l’attenzione sui target compromessi utilizzati anche come vettori di attacco.

  1. Report e gestione contromisure.

Consegna documentazione su quanto analizzato e suggerimenti sull’adozione di eventuali contromisure.

REPORT E.P.T.

Il report relativo all’External Penetration Test comprende l’insieme della documentazione fornita alla fine della relativa attività.

Il report conterrà le seguenti informazioni:

  • Metodi di attacco (exploit) utilizzati.

Verrà fornita una descrizione dei metodi di attacco utilizzati e il loro utilizzo nell’ambiente target al fine di violare i sistemi analizzati.

Elenco di azioni per eliminare o ridurre le vulnerabilità di cui il sistema è affetto.

  • Best practice.

Insieme di regole e comportamenti suggeriti per mantenere un livello alto ed accettabile di sicurezza. Tali indicazioni potranno essere fornite come elenco di azioni da compiere abitualmente in relazione ad una attività o come processo metodologico sotto forma di diagramma di flusso.

Customers

Newsletter

{subscription_form_2}