Giacomo Lanzi
Sicurezza delle reti informatiche: PT vs. VA
Tempo di lettura: 6 min
La sicurezza delle reti informatiche e’ di vitale importanza per un’azienda. Con le tecnologie che fanno sempre piu’ affidamento a servizi in remoto, e’ bene assicurarsi che la sicurezza sia garantita. Per farlo si ricorre a due strumenti: Vulnerability Assessment e Penetration Test. Ma qual e’ la differenza tra di loro? La risposta a questa domanda non e’ cosi’ scontata come si potrebbe pensare.
La risposta breve e’: un Pentest (PT) puo’ essere una forma di valutazione della vulnerabilita’ (VA), ma una valutazione della vulnerabilita’ non e’ sicuramente un Pentest. Cerchiamo di capire meglio come funzionano e i loro scopi.
Verifica della sicurezza delle reti informatiche: Vulnerability Assessment
Una valutazione delle vulnerabilita’ e’ il processo di esecuzione di strumenti automatizzati contro indirizzi IP definiti per identificare le vulnerabilita’ nell’ambiente in cui si opera. Tipicamente le vulnerabilita’ includono sistemi non protetti o configurati in modo errato. Gli strumenti utilizzati per eseguire le scansioni delle vulnerabilita’ sono software specifici che automatizzano il processo. Ovviamente questi software sono praticamente inutili senza un operatore che sappia usarli correttamente.
Questi strumenti forniscono un metodo semplice per eseguire la scansione delle vulnerabilita’ e ne esistono sia open source che proprietari. Il vantaggio principale di quelli open-source e’ che, con grande probabilita’, sono gli stessi usati dagli hacker, e’ improbabile che questi paghino un costoso abbonamento, quando possono scaricare degli applicativi open source gratuitamente.
Nella pratica, una VA permette di:
- identificare e classificare falle di sicurezza nella rete informatica
- comprendere le minacce informatiche a cui l’azienda e’ esposta
- raccomandare misure correttive per eliminare le debolezze riscontrate
Lo scopo di una Vulnerability Assessment e’ quello di identificare le vulnerabilita’ note in modo che possano essere corrette. Le scansioni sono tipicamente eseguite almeno trimestralmente, anche se molti esperti consigliano scansioni mensili.
Come si esegue una VA
Il processo di esecuzione si divide in due fasi e non prevede lo sfruttamento delle debolezze riscontrate. Questo ulteriore passaggio e’ invece previsto nel Penetration Test.
- Fase 1: prima analisi
- durante questa fase vengono raccolte tutte le informazioni disponibili sull’obiettivo per determinare quali potrebbero essere i punti deboli e le falle nel sistema di sicurezza delle reti informatiche
- Fase 2: seconda analisi
- in questa fase, tramite l’uso delle informazioni ricavate, vengono messe alla prova i possibili problemi. In questa fase le vulnerabilita’ sono testate per capire se siano effettivi problemi come supposto precedentemente.
Data l’incredibile velocita’ in cui le tecnologie e le tecniche informatiche si evolvono, e’ possibile che un sistema si mostri sicuro questo mese, ma abbia invece delle criticita’ da risolvere il mese successivo. Per questo e’ consigliato ripetere regolarmente e con frequenza i controlli di sicurezza sulle reti informatiche aziendali.
Risultati
Alla fine del processo di verifica delle vulnerabilita’ di un sistema, i report finali contengono tutti i risultati raccolti. Tipicamente questi racchiudo tutte le informazioni rilevanti, tra cui:
- l’elenco delle vulnerabilita’ riscontrate
- una descrizione approfondita delle vulnerabilita’
- contromisure da adottare per ridurre i rischi
La verifica delle vulnerabilita’ e’ una procedura fondamentale per l’azienda, ma non ne garantisce la sicurezza delle reti informatiche. Per la corretta manutenzione della sicurezza dei propri sistemi, e’ indispensabile ricorrere anche a un altro strumento: il Penetration Test.
Penetration test
Il Pentest, o test di penetrazione, ha lo scopo di verificare come si possano sfruttare le vulnerabilita’ di un sistema per ottenere accesso e muoversi al suo interno. Una delle fasi iniziali eseguite da un pentester e’ la scansione della rete per trovare gli indirizzi IP, il tipo di dispositivo, i sistemi operativi e le possibili vulnerabilita’ del sistema. Ma, a differenza della Vulnerability Assessment, il Pentest non si ferma qui.
Di cruciale importanza per un tester e’ lo sfruttamento (exploit) delle vulnerabilita’ individuate al fine di ottenere il controllo della rete o per impossessarsi di dati sensibili. Il tester utilizza strumenti automatizzati configurabili per eseguire exploit contro i sistemi delle reti informatiche. La parte peculiare, pero’, avviene quando il tester esegue dei tentativi manuali di exploit, proprio come farebbe un hacker.
Classificazione
I test di penetrazione sono classificati in due modi: grey box oppure black box.
I test grey box sono eseguiti con la piena conoscenza del reparto IT dell’azienda target. Le informazioni sono condivise con il tester, per esempio diagrammi di rete, indirizzi IP e configurazioni di sistema. L’approccio di questo metodo e’ la verifica sulla sicurezza della tecnologia presente.
Un test black box, invece, rappresenta piu’ propriamente l’azione di un hacker che tenta di ottenere accesso non autorizzato ad un sistema. Il dipartimento IT non sa nulla del test eseguito e al tester non vengono fornite informazioni sull’ambiente di destinazione. Il metodo black box valuta sia la tecnologia sottostante sia le persone e i processi coinvolti per identificare e bloccare un attacco cosi’ come avverrebbe nel mondo reale.
Fasi del Pentest
- Fase 1: Analisi
- Viene analizzato il sistema, studiandone punti di forza e debolezza. Vengono raccolte tutte le informazioni preliminari. Questo, ovviamente, non avviene se si tratta di un pentest di tipo grey box.
- Fase 2: Scansione
- Viene scansionata tutta l’infrastruttura per trovare i punti deboli su cui concentrarsi.
- Fase 3: Pianificazione
- Grazie alle informazioni raccolte, si pianifica con quali strumenti e tecniche usare per colpire il sistema. Le possibilita’ sono moltissime e si tratta sia di tecniche prettamente tecnologiche che di ingegneria sociale.
- Fase 4: Attacco vero e proprio
- In questa fase i tester cercano di sfruttare le vulnerabilita’ individuate per ottenere il pieno controllo del sistema preso di mira.
Report
Anche al termine del Penetration Test viene compilato un rapporto che riporta nel dettaglio tutto il processo eseguito e comprende:
- valutazione dell’impatto di un reale attacco sull’azienda
- soluzioni per risolvere i problemi e mettere in sicurezza i sistemi delle reti informatiche
Un Penetration Test che non va a buon fine e’ segno che il sistema preso in esame e’ sicuro* e i dati al suo interno non rischiano nulla. Questo pero’ non significa che l’azienda sara’ protetta per sempre da ogni attacco: proprio perche’ le strategie degli hacker evolvono costantemente, e’ importante eseguire i Penetration Test regolarmente.
(*) Va precisato però che sebbene un buon Penetration Test segua delle linee guida o delle metodologie strutturare (es. OWASP) rimane un test a forte impatto soggettivo del Penetration Tester e del team che lo ha eseguito pertanto non si può escludere che ripetendo il test a carico di un gruppo di Penetration Tester differente non si abbiamo nuovi risultati. Inoltre, come è ben noto ai nostri lettori, nel campo della Cyber Security il concetto di “sicuro” in termini assoluti è inadeguato.
Come fare
Sebbene le Vulnerability Assessment e i Penetration Test abbiano obiettivi diversi, entrambi dovrebbero essere eseguiti regolarmente per verificare la sicurezza complessiva del sistema informatico.
La valutazione delle vulnerabilita’ dovrebbe essere effettuata spesso per identificare e correggere le vulnerabilita’ note. Il Pentest dovrebbe essere effettuato almeno una volta all’anno e sicuramente dopo significativi cambiamenti nell’ambiente IT, per identificare le possibili vulnerabilita’ sfruttabili che possono consentire l’accesso non autorizzato al sistema. Entrambi i servizi descritti in questo articolo sono disponibili tramite SOD, anche su base ricorsiva per garantire l’efficacia dei test. contattaci per saperne di piu’.
Link utili:
Vulnerability Assessment & Penetration Test
Sicurezza: pentest e verifica delle vulnerabilità
Condividi
RSS
Piu’ articoli…
- Cos’è veramente un cyber threat
- SNYPR: Big Data al servizio della ricerca delle minacce
- Hadoop Open Data Model: raccolta dati “open”
- Pass the Ticket: come mitigarlo con un SOCaaS
- Cos’è il Vishing e come funziona
- UBA e UEBA: le differenze
- Database Activity Monitoring: cos’è e come metterlo in pratica
- SOAR e l’automazione della sicurezza informatica
Categorie …
- Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (13)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (9)
- Cyber Threat Intelligence (CTI) (3)
- Ethical Phishing (8)
- SOCaaS (23)
- Vulnerabilita' (84)
- Web Hosting (15)
Tags
CSIRT
- La Settimana Cibernetica del 24 ottobre 2021 Ottobre 25, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 18 al 24 ottobre 2021.
- Rilevata vulnerabilità in NGINX Ingress Controller per Kubernetes
(AL01/211022/CSIRT-ITA) Ottobre 22, 2021Rilevata una vulnerabilità del prodotto Kubernetes ingress-nginx che potrebbe permettere la modifica arbitraria degli ”Ingress objects” da parte di utenti non autorizzati, mettendo a rischio la confidenzialità e l’integrità delle comunicazioni.
- Disponibili aggiornamenti per prodotti CISCO
(AL01/211021/CSIRT-ITA) Ottobre 21, 2021Aggiornamenti di sicurezza Cisco del 20 ottobre 2021 sanano molteplici vulnerabilità su diversi prodotti.
- Nuova versione di Google Chrome
(AL02/211020/CSIRT-ITA) Ottobre 20, 2021Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 19 vulnerabilità di sicurezza.
- Critical Patch Update di Oracle
(AL01/211020/CSIRT-ITA) Ottobre 20, 2021Oracle ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono 419 nuove vulnerabilità su più prodotti.
- La Settimana Cibernetica del 17 ottobre 2021 Ottobre 18, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 11 al 17 ottobre 2021.
- Campagna a tema “Aggiornamento software DIKE” volta alla diffusione di software malevolo
(AL01/211018/CSIRT-ITA) - Aggiornamento Ottobre 18, 2021Individuata una campagna a tema “Aggiornamento del software DIKE” con impatto verso utenze italiane e volta all’installazione di software legittimo utilizzato per scopi malevoli.
- Aggiornamenti di sicurezza per prodotti Juniper Networks
(AL01/211015/CSIRT-ITA) Ottobre 15, 2021Juniper Networks rilascia aggiornamenti di sicurezza per sanare molteplici vulnerabilità su più prodotti, di cui una con gravità “critica”.
- Security Patch Day per i prodotti SAP
(AL02/211014/CSIRT-ITA) Ottobre 14, 2021SAP rilascia il Security Patch Day di ottobre per i propri prodotti che risolve 14 vulnerabilità, di cui 3 con gravità “critica”.
- Palo Alto Networks rilascia aggiornamenti per GlobalProtect
(AL01/211014/CSIRT-ITA) Ottobre 14, 2021Aggiornamenti di sicurezza per il prodotto GlobalProtect sanano una vulnerabilità con gravità “alta”.
Dark Reading
- How We Can Narrow the Talent Shortage in Cybersecurity Ottobre 25, 2021Filling crucial roles in cybersecurity and addressing the talent shortage requires rethinking who qualifies as a "cybersecurity professional" and rewriting traditional job descriptions.
- Ransomware Rise Pushes Organizations to Prepare for Attack Ottobre 23, 2021Ransomware attacks continue to grow in number and severity, data shows, but organizations are stepping up to prepare for the threat.
- aDolus Raises $2.5M to Secure Critical Infrastructure and Grow Sales and Marketing Team Ottobre 22, 2021Software supply chain security experts to drive aggressive go-to-market strategy
- 'TodayZoo' Phishing Kit Cobbled Together From Other Malware Ottobre 22, 2021Microsoft's analysis of a recent phishing attack shows how cybercriminals are mixing and matching to efficiently develop their attack frameworks.
- 7 Ways to Lock Down Enterprise Printers Ottobre 22, 2021Following the PrintNightmare case, printer security has become a hot issue for security teams. Here are seven ways to keep printers secure on enterprise networks.
- What Does Better Insider Risk Management Look Like? Ottobre 22, 2021Conventional data security tools do not address insider risk — a growing problem in today's remote-hybrid world. We need a better way to manage insider risk.
- What Squid Game Teaches Us About Cybersecurity Ottobre 22, 2021When life inside the security operations center feels treacherous, here are some suggestions for getting out alive.
- Google Buckles Down on Android Enterprise Security Ottobre 21, 2021The launch of Android 12 brings several new default security features, along with new security efforts for Android Enterprise.
- Malware Abuses Core Features of Discord Ottobre 21, 2021Researchers warn that Discord's bot framework can be easily weaponized.
- Cybrary Launches New Partnership with Check Point Software to Make Cybersecurity Training Accessible to All Ottobre 21, 2021Online cybersecurity professional development platform bolsters the Check Point Education Initiative.
Full Disclosure
- [CSA-2021-003] Remote Code Execution in GridPro Request Management for Windows Azure Pack Ottobre 22, 2021Posted by Certitude - Advisories on Oct 22~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~ Certitude Securtiy Advisory - CSA-2021-003 ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ PRODUCT […]
- Onapsis Security Advisory 2021-0020: SAP Enterprise Portal - Exposed sensitive data in html body Ottobre 22, 2021Posted by Onapsis Research via Fulldisclosure on Oct 22# Onapsis Security Advisory 2021-0020: SAP Enterprise Portal - Exposed sensitive data in html body ## Impact on Business One HTTP endpoint of the portal exposes sensitive information that could be used by an attacker with administrator privileges, in conjunction with other attacks (e.g. XSS). ## Advisory […]
- Onapsis Security Advisory 2021-0019: [Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP IGS service Ottobre 22, 2021Posted by Onapsis Research via Fulldisclosure on Oct 22# Onapsis Security Advisory 2021-0019: [Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP IGS service ## Impact on Business An unauthenticated attacker without specific knowledge of the system can send a specially crafted packet over a network which will trigger an internal error in the system […]
- Onapsis Security Advisory 2021-0018: [Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP Gateway service Ottobre 22, 2021Posted by Onapsis Research via Fulldisclosure on Oct 22# Onapsis Security Advisory 2021-0018: [Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP Gateway service ## Impact on Business An unauthenticated attacker without specific knowledge of the system can send a specially crafted packet over a network which will trigger an internal error in the system […]
- Onapsis Security Advisory 2021-0017: [Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP Enqueue service Ottobre 22, 2021Posted by Onapsis Research via Fulldisclosure on Oct 22# Onapsis Security Advisory 2021-0017: [Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP Enqueue service ## Impact on Business An unauthenticated attacker without specific knowledge of the system can send a specially crafted packet over a network which will trigger an internal error in the system […]
- Onapsis Security Advisory 2021-0016: XXE in SAP JAVA NetWeaver System Connections Ottobre 22, 2021Posted by Onapsis Research via Fulldisclosure on Oct 22# Onapsis Security Advisory 2021-0016: XXE in SAP JAVA NetWeaver System Connections ## Impact on Business A high-privileged SAP JAVA NetWeaver user is able to abuse an XXE vulnerability with the goal of reading files from the OS (compromising confidentiality) and/or making system processes crash (compromising availability). […]
- Onapsis Security Advisory 2021-0015: [Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP Dispatcher service Ottobre 22, 2021Posted by Onapsis Research via Fulldisclosure on Oct 22# Onapsis Security Advisory 2021-0015: [Multiple CVEs] Memory Corruption vulnerability in SAP NetWeaver ABAP Dispatcher service ## Impact on Business An unauthenticated attacker without specific knowledge of the system can send a specially crafted packet over a network which will trigger an internal error in the system […]
- Backdoor.Win32.LanaFTP.k / Heap Corruption Ottobre 19, 2021Posted by malvuln on Oct 19Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/e2660742a80433e027ee9bdedc40e190.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.LanaFTP.k Vulnerability: Heap Corruption Description: The malware listens on TCP port 1075. Third-party attackers who can reach the server can send a specially crafted sequential payload causing a heap corruption. Type: […]
- Backdoor.Win32.LanFiltrator.11.b / Unauthenticated Remote Command Execution Ottobre 19, 2021Posted by malvuln on Oct 19Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/9f87546e667e5af59a8580ddf7fd43c7.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.LanFiltrator.11.b Vulnerability: Unauthenticated Remote Command Execution Description: The malware listens on TCP ports 999, 888. Third-party attackers who can reach the system can execute commands made available by the malware....
- Virus.Win32.Ipamor.c / Unauthenticated Remote System Reboot Ottobre 19, 2021Posted by malvuln on Oct 19Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/bbf032a3aa288f02403295f0472d1f05.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Virus.Win32.Ipamor.c Vulnerability: Unauthenticated Remote System Reboot Description: The malware listens on UDP port 139. Third-party attackers can send a single uppercase char "D" datagram packet to the infected machine causing it […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Tempo di lettura: 5 minUtilizzo del Machine Learning per proteggere i dati Introdotto nel gennaio 2017, Acronis Act… https://t.co/mhqalBxm8D
-
SecureOnlineDesktop
Gli attacchi informatici sono numerosi e non fanno distinzione tra aziende e singoli individui quando prendono di m… https://t.co/uOucUWZf7W
-
SecureOnlineDesktop
Estimated reading time: 5 minutes SNYPR è uno strumento di analisi della sicurezza in grado di trasformare i Big… https://t.co/oies7e0nYY
-
SecureOnlineDesktop
Estimated reading time: 5 minutes Con l’avvento delle piattaforme di big data, le aziende che si occupano di sicu… https://t.co/MSvA0dPgiE
-
SecureOnlineDesktop
Estimated reading time: 5 minutes With the advent of big data platforms, IT security companies can now make guid… https://t.co/aTv41eq2Ir
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Cos’è veramente un cyber threat Settembre 15, 2021
- SNYPR: Big Data al servizio della ricerca delle minacce Settembre 13, 2021
- Hadoop Open Data Model: raccolta dati “open” Settembre 8, 2021
- Pass the Ticket: come mitigarlo con un SOCaaS Settembre 6, 2021
- Cos’è il Vishing e come funziona Settembre 1, 2021
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications