Zero-Day Attack
Tempo di lettura: 5 min

Uno Zero-Day attack (noto anche come 0-day) sfrutta una vulnerabilità software sconosciuta agli addetti alla sicurezza e al fornitore del software. Gli hacker possono sfruttare la debolezza, fintanto che non viene mitigata, tramite Zero-Day exploit o, appunto attack.

Il termine “zero-day” si riferiva originariamente al numero di giorni dal rilascio del software. Un software “zero-day”, quindi, indicava un programma ottenuto attraverso la forzatura del computer di uno sviluppatore prima del rilascio. Il termine è stato poi applicato alle vulnerabilità che questa pratica permette di sfruttare. Una volta che il venditore viene a conoscenza della vulnerabilità, solitamente crea delle patch o consiglia delle soluzioni per mitigarla.

Zero Day Attack Inizio Articolo

Vulnerabilita’ del software

I software hanno spesso delle vulnerabilità. Queste sono difetti involontari, o problemi nei codici che potrebbero ipoteticamente essere sfruttati. Per esempio, ci può essere un difetto che permette a un cyber-criminale di accedere a dati altrimenti sicuri. I programmatori sono spesso alla ricerca di queste vulnerabilità e quando le scoprono, le analizzano, producono una patch per risolverle, poi distribuiscono quella patch in una nuova versione del software.

Tuttavia, questo è un processo che richiede tempo. Quando il difetto diventa noto, gli hacker di tutto il mondo possono iniziare a cercare di sfruttarlo.

Zero-Day Attack

Se un hacker riesce a sfruttare la vulnerabilità prima che gli sviluppatori riescano a trovare una soluzione, questo exploit diventa quindi noto come attacco Zero-Day attack.

Le vulnerabilità zero-day possono assumere quasi ogni forma, perché possono manifestarsi come qualsiasi tipo di vulnerabilità nel software. Per esempio, possono assumere la forma di crittografia dei dati mancanti, SQL injection, buffer overflow, autorizzazioni mancanti, bug o problemi con la sicurezza delle password.

Questo rende queste vulnerabilità difficili da trovare prima che siano sfruttate in zero-day attack. Questo, per certi versi, è una buona notizia: significa anche che gli hacker avranno difficoltà a trovarle. Ma anche che è difficile difendersi da queste vulnerabilità in modo efficace.

Come proteggersi

Abbiamo visto come sia difficile proteggersi dalla possibilità di un zero-day attack, perché può assumere molte forme. Quasi ogni tipo di vulnerabilità di sicurezza potrebbe essere sfruttata come uno zero-day se una patch non viene prodotta in tempo. Inoltre, molti sviluppatori di software cercano intenzionalmente di non rivelare pubblicamente la vulnerabilità nella speranza di poter distribuire una patch prima che qualsiasi hacker scopra la vulnerabilità presente.

Ci sono alcune strategie che possono aiutarti a difendere il tuo business contro gli attacchi del giorno zero:

Resta informato sugli Zero-Day attack

Gli exploit zero-day non sono sempre pubblicizzati, ma occasionalmente si sente parlare di una vulnerabilità che potrebbe essere potenzialmente sfruttata. Se rimani sintonizzato sulle notizie e presti attenzione ai rilasci dei tuoi fornitori di software, potresti avere il tempo di mettere in atto misure di sicurezza o di rispondere a una minaccia prima che venga sfruttata. Un buon metodo per farlo è seguire le newsletter dei tuoi fornitori. In fondo a questa pagina trovi il form per iscriverti a quella di SOD.

Tieni aggiornati i tuoi sistemi

Gli sviluppatori lavorano costantemente per mantenere il loro software aggiornato e sicuro per prevenire la possibilità di exploit. Quando una vulnerabilità viene scoperta, è solo una questione di tempo prima che producano una patch. Tuttavia, spetta a te e al tuo team assicurarsi che le tue piattaforme software siano sempre aggiornate. L’approccio migliore in questo caso è quello di abilitare gli aggiornamenti automatici, in modo che il software venga aggiornato di routine, e senza la necessità di un intervento manuale.

Zero day attack update software

Impiegare misure di sicurezza aggiuntive

Assicurati di utilizzare soluzioni di sicurezza che ti proteggano da un zero-day attack. SOD, offre una soluzione che comprende un set di strumenti che permettono di alzare le difese in modo significativo. Il SOCaaS è un vero e proprio centro operativo di sicurezza per la tua azienda. Tramite strumenti all’avanguardia come SIEM e UEBA e grazie a un controllo granulare sulla rete monitorata, ogni tentativo di attacco viene individuato nel minor tempo possibile.

Ogni tipo di dati prodotto dai sistemi interconnessi nell’infrastruttura vengono raccolti, normalizzati e analizzati alla ricerca di anomalie. Ciò significa che non solo si verifica l’eventuale presenza di indicatori di compromissione noti (IOC), ma si monitorano anche operazioni e comportamenti sospetti degli utenti della struttura. In questo modo è possibile individuare anche tentativi di attacco normalmente molto difficili da individuare, come quelli che riguardano gli Zero-Day Attack, ma non solo. Infatti, tramite il servizio SOCaaS, è possibile individuare account compromessi, la violazione di dati protetti, attacchi lateral movement, phishing, etc.

La sicurezza del sistema IT di un’azienda è un argomento molto importante a cui noi teniamo molto. La compromissione o perdita di dati sensibili può costare parecchio sia da un punto di vista economico che di reputazione. Non trascurare questo aspetto importante per la sicurezza della tua impresa, contattaci per parlarci della tua situazione, saremo lieti di mostrarti come possiamo aiutarti.

Link utili:

Data Exfiltration cover
Tempo di lettura: 5 min

Una definizione comune di data exfiltration (esfiltrazione dei dati) è il furto, la rimozione o lo spostamento non autorizzato di qualsiasi dato da un dispositivo.  L’esfiltrazione dei dati implica tipicamente un cybercriminale che ruba dati da dispositivi personali o aziendali, come computer e telefoni cellulari, attraverso vari metodi di cyberattack.

L’incapacità di controllare la sicurezza delle informazioni può portare alla perdita di dati che può causare danni finanziari e di reputazione a un’organizzazione.

Come avviene un data exfiltration?

L’esfiltrazione dei dati avviene in due modi, attraverso attacchi da parte di estranei e attraverso minacce dall’interno. Entrambi sono rischi importanti, e le organizzazioni devono garantire che i loro dati siano protetti individuando e prevenendo l’esfiltrazione dei dati in ogni momento.

Un attacco dall’esterno dell’organizzazione si verifica quando un individuo si infiltra in una rete per rubare dati aziendali o credenziali degli utenti. Questo tipicamente è il risultato di un cyber-criminale che inserisce malware in un dispositivo connesso ad una rete aziendale.

Alcuni filoni di malware sono progettati per diffondersi nella rete di un’organizzazione e infiltrarsi in altri, cercando dati sensibili nel tentativo di estrazione. Altri tipi di malware rimangono dormienti su una rete per evitare di essere rilevati dai sistemi di sicurezza delle organizzazioni fino a quando i dati non vengono estratti in modo sovversivo o le informazioni non vengono gradualmente raccolte nel corso di un periodo di tempo.

Gli attacchi possono derivare da insider malintenzionati che rubano i dati della propria organizzazione e inviano documenti al proprio indirizzo email personale. Tipicamente i dati sono poi venduti a cyber criminali. Possono anche essere causati da un comportamento disattento dei dipendenti che vede i dati aziendali cadere nelle mani di cattivi attori.

Data Exfiltration Hacker with Phone

Tipi di Esfiltrazione Dati

La data exfiltration avviene in vari modi e attraverso molteplici metodi di attacco, per lo più su Internet o su una rete aziendale.

Le tecniche che i cyber criminali usano per estrarre i dati dalle reti e dai sistemi delle organizzazioni stanno diventando sempre più sofisticate. Queste includono: connessioni anonime ai server, attacchi ai Domain Name System (DNS), Hypertext Transfer Protocol (HTTP) tunneling, indirizzi IP (Direct Internet Protocol), attacchi fileless ed esecuzione remota del codice.

Vediamo nel dettaglio alcune tecniche di attacco per sapere di cosa stiamo parlando nello specifico.

1. Ingegneria sociale e attacchi di phishing

Gli attacchi di ingegneria sociale e gli attacchi di phishing sono dei popolari vettori di attacco alla rete. Vengono usati per ingannare le vittime a scaricare malware e a inserire le credenziali del loro account.

Gli attacchi di phishing consistono in email progettate per sembrare legittime e spesso sembrano provenire da mittenti fidati. Solitamente contengono un allegato che inietta malware nel dispositivo. Altre tipologie contengono un link a un sito web che sembra legittimo ma che viene falsificato per rubare le credenziali di accesso inserite. Alcuni aggressori lanciano anche attacchi mirati di phishing per rubare dati da un utente specifico. Spesso i target sono i dirigenti di una società o individui noti.

Per difendersi da questo tipo di attacchi, la cosa migliore è riconoscerli immediatamente e cestinare le email. In un’azienda è possibile aiutare il processo tramite un percorso di formazione ad hoc, basato su dati raccolti internamente all’azienda tramite un test controllato. SOD offre anche questo servizio, se fossi interessato, maggiori informazioni le troverai nella pagina del servizio stesso.

2. Email in uscita

I cyber criminali controllano la posta elettronica per recuperare qualsiasi dato in uscita dai sistemi di posta elettronica delle organizzazioni. I dati recuperati possono essere calendari, database, immagini e documenti di pianificazione. Questi forniscono informazioni sensibili di valore o informazioni utili per il recupero di dati di valore.

3. Download su dispositivi non sicuri

Questo metodo di esfiltrazione dei dati è una forma comune di minaccia accidentale da parte di insider. L’attore dell’attacco accede alle informazioni aziendali sensibili sul suo dispositivo di fiducia, quindi trasferisce i dati su un dispositivo insicuro. Il dispositivo insicuro potrebbe essere un drive esterno o uno smartphone non protetto da soluzioni o politiche di sicurezza aziendali, il che lo mette a rischio di esfiltrazione dei dati.

Anche gli smartphone sono suscettibili all’esfiltrazione dei dati. I dispositivi Android sono vulnerabili all’installazione di malware che prendono controllo del telefono per scaricare applicazioni senza il consenso dell’utente.

4. Upload su dispositivi esterni

Questo tipo di esfiltrazione di dati proviene tipicamente da malintenzionati. L’aggressore interno può estrarre i dati scaricando le informazioni da un dispositivo sicuro, per poi caricarle su un dispositivo esterno (non sicuro). Questo dispositivo esterno potrebbe essere un laptop, uno smartphone, un tablet o una chiavetta USB.

5. Errore umano e comportamenti non sicuri nella rete

Il cloud fornisce agli utenti e alle aziende una moltitudine di vantaggi, ma insieme ci sono significativi rischi di esfiltrazione dei dati. Per esempio, quando un utente autorizzato accede ai servizi cloud in modo insicuro, consente a un malintenzionato una via di accesso da cui può recuperare dati e portarli fuori dalla rete sicura. Anche l’errore umano gioca un ruolo nell’estrazione di dati, perché la protezione appropriata potrebbe non essere più in atto.

Come individuare un attacco data exfiltration

A seconda del tipo di metodo di attacco utilizzato, il rilevamento dell’esfiltrazione dei dati può essere un compito difficile. I cyber criminali che utilizzano tecniche più difficili da rilevare possono essere scambiati per il normale traffico di rete. Questo significa che possono rimanere in agguato nelle reti inosservati per mesi e persino anni. L‘esfiltrazione dei dati spesso viene scoperta solo quando il danno è stato già causato.

Per rilevare la presenza di utenti a rischio, le organizzazioni devono usare strumenti che scoprano automaticamente e in tempo reale il traffico dannoso o insolito.

Uno strumento con questa capacità è il SOC (offerto anche come servizio: SOCaaS) che implementa un sistema di monitoraggio delle intrusioni, così come un sistema automatico che verifica del comportamento degli utenti. Quando il SOC rileva una possibile minaccia, invia un avviso ai team IT e di sicurezza dell’organizzazione che possono intervenire e verificare la situazione.

Il SOC funziona cercando e rilevando le anomalie che si discostano dalla regolare attività di rete. Quindi emettono un avviso o un rapporto in modo che gli amministratori e i team di sicurezza possano esaminare il caso.

Oltre a rilevare le minacce automatiche, le organizzazioni possono anche costruire l’intera sequenza di un evento così come si è verificato, inclusa la mappatura su una kill chain conosciuta o su un framework di attacco.

Utilizzare un SOCaaS, per un’azienda che gestisce dati sensibili, è un vantaggio sotto molti punti di vista. Essendo offerto come servizio, l’azienda non dovrà investire nel mettere in piedi un reparto specializzato IT per il proprio SOC, non dovrà assumere personale aggiuntivo e potrà contare su sistemi di sicurezza sempre aggiornati con operatori qualificati e sempre disponibili.

Per maggiori informazioni, non esitare a contattarci.

Link utili:

SOAR
Tempo di lettura: 5 min

La tecnologia SOAR (Security Orchestration, Automation and Response) aiuta a coordinare, eseguire e automatizzare le attivita’ tra persone e strumenti, consentendo alle aziende di rispondere rapidamente agli attacchi alla sicurezza informatica. Lo scopo e’ quello di migliorare la loro posizione complessiva in materia di sicurezza. Gli strumenti SOAR utilizzano playbook (strategie e procedure) per automatizzare e coordinare i flussi di lavoro che possono includere strumenti di sicurezza e mansioni manuali.

In che modo SOAR aiuta nel campo della sicurezza?

1. Combinando in un’unica soluzione l’orchestrazione della sicurezza, l’automazione intelligente, la gestione degli incidenti e le indagini interattive.
2. Facilitando la collaborazione dei team e consentendo agli analisti della sicurezza di intraprendere azioni automatiche sugli strumenti in tutto il loro stack di sicurezza.
3. Fornendo ai team un’unica console centralizzata per gestire e coordinare tutti gli aspetti della sicurezza della loro azienda.
4. Ottimizzando la gestione dei casi, incrementando l’efficienza con l’apertura e la chiusura dei ticket per investigare e risolvere gli incidenti.

Perche’ le aziende necessitano di un SOAR?

Le compagnie moderne devono affrontare regolarmente molte sfide e ostacoli, quando di tratta di lotta contro i cyber threat.

Una prima sfida e’ rappresentata da un volume sempre crescente di minacce complesse per la sicurezza. Inoltre, gli strumenti di sicurezza coinvolti molto spesso faticano a parlare tra loro, il che e’ di per se’ un ostacolo fastidioso.

Un cosi’ grande numero di dati e software, non puo’ che significare un numero elevato di allarmi di sicurezza. Infatti, sono troppi i dati di intelligence sulle minacce per consentire ai team di classificare manualmente, assegnare priorita’, indagare e indirizzare le minacce. Inoltre, il lavoro degli addetti alla sicurezza comporta competenze molto specifiche e con l’aumentare della richiesta e’ sempre piu’ complicato trovare un numero sufficiente di addetti alla sicurezza per svolgere il lavoro.

Implementazione del sistema

SOAR aiuta le aziende ad affrontare e superare queste sfide consentendo loro di:

Unificare i sistemi di sicurezza esistenti e centralizzare la raccolta dei dati per ottenere piena visibilita’.
Automatizzare le attivita’ manuali ripetitive e gestire tutti gli aspetti del ciclo di vita degli incidenti.
Definire l’analisi degli incidenti e le procedure di risposta, oltre a sfruttare i playbook di sicurezza per dare priorita’, standardizzare e scalare i processi di risposta in modo coerente, trasparente e documentato.
Identificare e assegnare in modo rapido e preciso i livelli di gravita’ degli incidenti agli allarmi di sicurezza e supportare la riduzione degli allarmi.
Identificare e gestire meglio le potenziali vulnerabilita’ in modo proattivo e reattivo.
Indirizzare ogni incidente di sicurezza all’analista piu’ adatto a rispondere, fornendo al contempo funzioni che supportino una facile collaborazione e il monitoraggio tra i team e i loro membri.

Applicazioni pratiche

Qui di seguito ho voluto elencare qualche esempio pratico di come un SOAR entra in azione in determinate situazioni.

Gestione degli allarmi

Arricchimento e risposta del phishing: attivazione di un playbook. Automazione ed esecuzione di attivita’ ripetibili come il triage e il coinvolgimento degli utenti interessati. Applicare un’estrazione e il controllo degli indicatori per l’identificazione di falsi positivi, in seguito richiedere l’attivazione del SOC per una risposta standardizzata su scala.

Infezione da malware degli endpoint: estrazione dei dati di alimentazione delle minacce dagli strumenti degli endpoint e arricchimento di tali dati. Riferimenti incrociati tra i file recuperati e gli hash con una soluzione SIEM, notifica agli analisti, pulizia degli endpoint e aggiornamento del database degli strumenti.

Login utente non riuscito: dopo un numero predefinito di tentativi di login utente non riusciti, valutando se un login non riuscito e’ autentico o dannoso, un SOAR puo’ attivarsi in vari modi. Innanzi tutto mettendo in pratica un playbook, coinvolgendo gli utenti e in seguito analizzando le loro risposte, poi anche le password in scadenza e infine chiudendo il processo.

Caccia alle minacce

Indicatori di compromesso (IOC): prendere ed estrarre gli indicatori dai file, rintracciare gli indicatori attraverso gli strumenti di intelligence e aggiornare i database.

Analisi del malware: verifica di dati da fonti multiple, estrazione ed eliminazione dei file dannosi. Successivamente viene generato un rapporto e controllata la presenza di malizia.

Risposta agli incidenti cloud: questo avviene attraverso l’utilizzo di dati provenienti da strumenti di rilevamento delle minacce e di registrazione degli eventi focalizzati sul cloud. I dati vengono poi unificati tra le infrastrutture di sicurezza cloud e on-premises, messi in correlazione grazie a un SIEM. Gli indicatori sono poi estratti e arricchiti, per poi controllare la presenza di malizia. Un ultimo passaggio di controllo umano agli analisti che fanno una loro revisione delle informazioni aggiornano il database e chiudono il caso.

I benefici di un SOAR

In sostanza un SOAR implementa metodi di lavoro e protocolli di azione nel sistema di lotta alle minacce informatiche di un azienda. In questo modo migliora notevolmente l’efficienza operativa e accelera il rilevamento degli incidenti cosi’ come i tempi di risposta, che vengono, di fatto, standardizzati.

Un SOAR aumenta la produttivita’ degli analisti e consente loro di concentrarsi sul miglioramento della sicurezza invece che sull’esecuzione di attivita’ manuali.

Sfruttando e coordinando gli investimenti tecnologici di sicurezza esistenti in un’azienda e’ possibile davvero fare la differenza.

Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

SOAR: cos’e’ e come puo’ essere utile per le aziende

Sicurezza: pentest e verifica delle vulnerabilita’

 

Standard ISO 27001
Tempo di lettura: 4 min

Una domanda legittima che spesso ci si pone e’ se il Penetration Test sia necessario per la conformita’ allo standard ISO 27001. Per comprendere appieno la risposta, bisogna chiarire cosa si intende con questi termini e capire la relazione tra tutte le componenti del meccanismo di certificazione.

Standard ISO 27001

Una norma tecnica, impropriamente chiamata anche standard, e’ un documento che descrive le specifiche che un certo oggetto / ente / entita’ deve rispettare per poter essere certificato. In generale, una norma descrive i requisiti di materiali, prodotti, servizi, attivita’, processi, terminologia, metodologie e altri aspetti che riguardano l’oggetto della norma stessa. In parole molto semplici, le norme sono regole che regolamentano quasi ogni cosa offrendo degli standard costruttivi e metodologici.

Lo standard ISO 27001 (ISO/IEC 27001:2013) e’ la norma internazionale che descrive le best practice per un ISMS, Information Security Management System (Sistema di Gestione della Sicurezza delle Informazioni, SGSI, in italiano). Seppur seguire la norma non sia obbligatorio, e’ necessario per ottenere una certificazione a garanzia della sicurezza logica, fisica e organizzativa.

Ottenere una certificazione ISO 27001 permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato. La sicurezza e’ garantita essere in linea con lo standard internazionale e gli obiettivi aziendali.

Di grande importanza per lo standard ISO 27001 e’ l’allegato A “Control objective and controls”, che contiene i 133 controlli a cui  l’azienda interessata deve attenersi. 

Vulnerability Assessment e Penetration Test

Quando si esegue un’analisi delle vulnerabilita’ (o Vulnerability Assessment) sulla rete e sui sistemi informatici, si mira a identificare tutte le vulnerabilita’ tecniche presenti nei sistemi operativi e nei software. Alcuni esempi di vulnerabilita’ possono essere SQL Injection, XSS, CSRF, password deboli, ecc. L’individuazione delle vulnerabilita’ indica che esiste un rischio riconosciuto per la sicurezza a causa di un problema di un qualche tipo. Non dice se e’ possibile o meno sfruttare la vulnerabilita’. Per scoprirlo, e’ necessario effettuare un Penetration Test (o pentest).

Per spiegare quanto detto sopra, immaginate di avere un’applicazione web vulnerabile all’SQL Injection che potrebbe consentire ad un malintenzionato di eseguire operazioni nel database. Una VA identifica tale vulnerabilita’, vale a dire che potrebbe essere possibile accedere al database. In seguito alla valutazione della vulnerabilita’, se viene effettuato un pentest e la vulnerabilita’ puo’ essere sfruttata, si dimostrerebbe l’esistenza del rischio

Per rispettare il controllo A.12.6.1 dell’allegato A della norma ISO 27001, e’ necessario impedire lo sfruttamento delle vulnerabilita’ tecniche. Tuttavia, la decisione su come procedere spetta a voi. E’, quindi, necessario eseguire un Pentest? Non necessariamente.

Dopo l’analisi delle vulnerabilita’, potremmo riparare e sistemare le debolezze ed eliminare il rischio prima di eseguire un pentest. Quindi, ai fini della conformita’ allo standard ISO 27001 si puo’ ottenere il risultato richiesto semplicemente eseguendo la valutazione della vulnerabilita’ e risolvendo i potenziali problemi che si sono riscontrati.

Detto questo, raccomandiamo vivamente di effettuare un Penetration Test completo per esser davvero sicuri del rispetto della norma. Puo’ aiutarvi a dare priorita’ ai problemi e vi dira’ quanto sono vulnerabili i vostri sistemi.

Rivolgersi a professionisti

Esistono sul mercato diverse soluzioni per svolgere pentest. Sono software che possono agevolare il lavoro e facilitare il test, ma se azionati da personale inesperto, possono anche creare dei problemi. e’ possibile che la rete ne risulti rallentata e i computer sensibilmente meno reattivi, fino anche a possibili crash di uno o piu’ dei sistemi coinvolti.

Puntando alla certificazione per lo standard ISO 27001, e’ meglio non fare gli eroi e assicurarsi davvero che i controlli siano rispettati. Richiedere l’intervento di professionisti del settore, serve proprio a minimizzare i rischi e assicurarsi che il processo sia svolto in modo impeccabile

SOD offre un servizio di verifica delle vulnerabilita’ e pentest affidandosi ad hacker etici professionisti. Dopo un primo colloquio, le varie fasi del processo sono eseguite per verificare e testare le potenziali minacce. E’ possibile anche richiedere che la verifica delle vulnerabilita’ sia svolta con regolarita’ per verificare la sicurezza dei sistemi. 

Richiedi informazioni specifiche, oppure visita la pagina dedicata. Per ulteriori informazioni sulle nostre certificazioni, e’ possibile visitare l’apposita pagina.

[btnsx id=”2929″]

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

 

Network Lateral Movement
Tempo di lettura: 5 min

Durante un attacco informatico, gli hacker hanno un unico obiettivo in mente. Questo obiettivo potrebbe essere l’accesso alla macchina di uno sviluppatore e il furto del codice sorgente di un progetto, l’analisi delle e-mail di un particolare dirigente o l’estrazione di dati dei clienti da un server. Tutto cio’ che devono fare e’ entrare nella macchina o sistema che contiene i dati desiderati, giusto? Non proprio. In realta’, e’ un po’ piu’ complicato di cosi’. Per raggiungere il loro obiettivo, e’ probabile che gli hacker si introducano in un server web di basso livello, in un account di posta elettronica o un dispositivo per dipendenti, per fare qualche esempio. Da quel nodo, si muoveranno lateralmente (da cui il nome network lateral movement) per raggiungere il loro obiettivo.

In effetti, quando gli aggressori compromettono una risorsa in una rete, quel dispositivo non e’ quasi mai la loro destinazione finale. La compromissione iniziale, inoltre, raramente causa gravi danni e potrebbe passare inosservata. Solo se le squadre di sicurezza sono in grado di rilevare un lateral movement prima che gli aggressori raggiungano l’obiettivo previsto, e’ possibile prevenire la violazione dei dati.

In questo articolo esamineremo alcuni dei tipi piu’ comuni di network lateral movement e identificheremo i modi in cui possiamo rilevare l’attacco e difenderci.

Capire il network lateral movement

Il lateral movement avviene quando un aggressore si impossessa di una risorsa all’interno di una rete e poi estende la sua portata da quel dispositivo ad altri all’interno della stessa rete. Vediamolo con uno schema per aiutarci a capire meglio.

Il perimetro dell’infrastruttura da penetrare e’ rappresentato con una linea orizzontale. La meta’ superiore rappresenta cio’ che e’ al di fuori della rete, mentre cio’ che si trova al di sotto della linea rappresenta cio’ che e’ all’interno. Affinche’ un aggressore possa entrare nella rete, deve muoversi verticalmente, cioe’ dall’esterno verso l’interno (chiamato anche traffico Nord-Sud). Ma una volta che si e’ stabilito un punto d’appoggio, e’ possibile muoversi lateralmente o orizzontalmente, cioe’ all’interno della stessa rete (chiamato traffico Est-Ovest) per raggiungere l’obiettivo finale dell’attacco.

Lateral Movement - Schema

Possibile percorso di un lateral movement. La freccia indica i nodi della rete che vengono coinvolti nell’attacco.

Gli approcci al Lateral Movement

Nel complesso, ci sono due comuni metodi con cui un hacker applica il lateral movement.

Primo approccio: l’aggressore effettua una scansione interna per scoprire quali altre macchine si trovano all’interno della rete. In particolare, scansiona le porte aperte che sono in ascolto e le macchine che soffrono di vulnerabilita’. A quel punto, l’aggressore puo’ abusare di queste debolezze per spostarsi lateralmente verso un’altra risorsa.

Il secondo approccio al lateral movement sfrutta credenziali rubate, ed e’ il piu’ comune dei due. In questo tipo di attacco, l’hacker potrebbe utilizzare una tecnica di phishing via e-mail per infettare una macchina che si interfaccia con un particolare server. Dopo potra’ utilizzare il suo accesso per recuperare le password tramite un keylogger o altri strumenti simili. A questo punto, puo’ utilizzare qualsiasi credenziale sia stato in grado di ottenere per impersonare l’utente vittima del phishing e accedere a un’altra macchina. Una volta stabilito l’accesso su quel computer, si puo’ ripetere la tattica cercando ulteriori credenziali e/o privilegi da sfruttare. In questo modo, il malintenzionato puo’ farsi strada e creare connessioni remote al dispositivo target.

In entrambi i casi e’ complicato individuare l’attacco, perche’ non si presenta tramite malfunzionamenti di software o applicazioni.

Come difendersi

Un lateral movement si manifesta spesso tramite un’attivita’ di rete anomala. E’ sospettoso, ad esempio, che una macchina, che dialoga normalmente con poche altre, inizi a scansionare l’intera rete. Lo stesso vale se quella macchina tenta di connettersi a porte aperte, di interagire con servizi e credenziali con cui normalmente non ha contatti, o di utilizzare un nome utente che non e’ mai stato utilizzato prima.

La lista dei campanelli d’allarme va avanti all’infinito. La cosa fondamentale da capire e’ che un lateral movement implica macchine che fanno qualcosa fuori dalla loro routine, senza un’adeguata autorizzazione da parte dell’IT.

Questo e’ cio’ che da’ alle organizzazioni la possibilita’ di rilevare questo tipo di attacchi. Implementare una monitorizzazione dei log file e’ un primo passo per la difesa. Idealmente, i dati dovrebbero essere costantemente analizzati per individuare anomalie e possibili brecce.

Problematiche nella difesa

Queste difese non sono infallibili. I team di sicurezza che si affidano semplicemente ai log file limitano la portata della loro posizione difensiva, ad esempio, a causa di log file raccolti solo da particolari applicazioni. Si potrebbe decidere di monitorare un certo servizio per i furti di credenziali, ma gli aggressori potrebbero non sfruttare quel particolare servizio per effettuare un lateral movement. Cio’ significa che tutte le azioni dannose che non utilizzano i servizi monitorati non verranno rilevate tempestivamente.

Oltre a questo, gli hacker conoscono i tipi di protocolli che il personale di sicurezza tende a monitorare, rendendo il loro compito ulteriormente complesso. Gli attaccanti possono usare questa conoscenza per modellare le loro campagne di attacco in modo da avere maggiori possibilita’ di passare inosservati. E’ uno dei motivi per cui e’ stato creato il database MITRE ATT&CK, per raccogliere tecniche conosciute e alzare le difese.

Il vantaggio di un SOCaaS

Non e’ sufficiente che le organizzazioni cerchino il lateral movement utilizzando i log file o uno strumento EDR. E’ necessario rivolgere l’attenzione alla rete nel suo complesso. In questo modo e’ possibile vedere tutto il traffico di rete, stabilire una baseline della normale attivita’ di rete per ogni utente e dispositivo e in seguito monitorare le azioni insolite che potrebbero essere indicative di attacchi. E’ conosciuto come anomaly detection, ed e’ piu’ completo e spesso piu’ facile rispetto all’esame di ogni log file alla ricerca di eventi fuori dalla norma.

Il problema del anomaly detection e’ che molte di queste irregolarita’ sono benigne, e si perde quindi molto tempo ad analizzarle. Cio’ che serve per separare il lateral movement dannoso dalle anomalie di rete benigne e’ la comprensione dell’aspetto del comportamento dannoso

E’ qui che entra in gioco un sistema completo che utilizza sia strumenti di analisi comportamentale che tecnici professionisti della sicurezza.

Il SOCaaS offerto da SOD comprende un Security Data Lake (SDL) per la raccolta dei dati e vari strumenti per l’analisi degli stessi. Uno di questi e’ lo UEBA, particolarmente indicato per la rilevazione di minacce sociali, in quanto analizza tramite IA i comportamenti degli utenti usando le loro azioni come fonte dei dati.

Con questi e altri strumenti che compongono il SOC, e’ possibile attivamente ridurre il rischio di attacchi ai propri dati aziendali. Se sei interessato a saperne di piu’ del SOCaaS di SOD, ti invito a visitare la pagina dedicata o a contattarci direttamente.

Link utili:

Il SOCaaS e’ utile per la tua azienda?

SOCaaS

 

Mitre Att&ck cover
Tempo di lettura: 6 min

Mitre Att&ck e’ una knowledge base globale di tattiche e tecniche avversarie basate su osservazioni reali degli attacchi cibernetici. Queste sono visualizzate in matrici organizzate per tattiche di attacco, dall’accesso iniziale al sistema al furto di dati, fino al controllo della macchina. Esistono matrici per le comuni piattaforme desktop (Linux, macOS e Windows) e per quelle mobili.

Cos’e’ e cosa significa MITRE ATT&CK ™?

ATT&CK sta per “adversarial tactics, techniques, and common knowledge” e cioe’: tattiche, tecniche avversarie e conoscenze comuni. Cerchiamo di andare piu’ a fondo.

Tattiche e tecniche sono un modo moderno di pensare gli attacchi cibernetici. Piuttosto che guardare ai risultati di un attacco, cioe’ a un indicatore di compromissione (IoC), gli analisti della sicurezza dovrebbero guardare alle tattiche e alle tecniche che indicano che un attacco e’ in corso. Le tattiche rappresentano l’obiettivo che si vuole raggiungere, mentre le tecniche rappresentano il modo in cui un avversario conta di raggiungerlo.

La common knowledge o conoscenza comune e’ l’uso documentato di tattiche e tecniche utilizzate dagli avversari. Essenzialmente, la common knowledge e’ la documentazione delle procedure usate da chi sferra gli attacchi. Chi ha familiarita’ con la sicurezza informatica, potrebbe avere familiarita’ con il termine “tattiche, tecniche e procedure” o TTP. Questo stesso concetto e’ stato usato da ATT&CK ™, con la sostituzione del termine procedure con common knowledge.

Chi e’ MITRE e qual e’ l’obiettivo di ATT&CK ™?

MITRE e’ un’organizzazione di ricerca finanziata dal governo USA con sede a Bedford, MA, e McLean, VA. La societa’ e’ stata scorporata dal MIT nel 1958 ed e’ stata coinvolta in una serie di progetti commerciali e top secret per diverse agenzie. Questi includevano lo sviluppo del sistema di controllo del traffico aereo della FAA e del sistema radar AWACS. Il MITRE ha una sostanziale pratica di sicurezza informatica finanziata dal National Institute of Standards and Technology (NIST).

Una curiosita’: la parola Mitre non significa nulla. A quanto pare uno dei primi membri, James McCormack, voleva un nome che non significasse nulla ma che fosse evocativo. Alcuni pensano erroneamente che significhi Massachusetts Institute of Technology Research and Engineering.

L’obiettivo di ATT&CK e’ quello di creare un elenco completo delle tattiche e delle tecniche avversarie conosciute utilizzate durante un attacco cibernetico. Aperto alle organizzazioni governative, educative e commerciali, dovrebbe essere in grado di raccogliere un’ampia, e si spera esaustiva, gamma di fasi e sequenze di attacco. MITRE ATT&CK ha lo scopo di creare una tassonomia standard per rendere piu’ specifiche le comunicazioni tra le organizzazioni.

Come si usa la matrice ATT&CK ™?

La matrice organizza visivamente tutte le tattiche e le tecniche conosciute in un formato di facile comprensione. Le tattiche di attacco sono mostrate in alto e le singole tecniche sono elencate in basso in ogni colonna. Una sequenza di attacco comporterebbe almeno una tecnica per tattica, e una sequenza di attacco completa sarebbe costruita spostandosi da sinistra (Accesso iniziale) a destra (Comando e controllo). E’ possibile utilizzare piu’ tecniche per una sola tattica. Per esempio, un attaccante potrebbe provare sia uno Spearphishing Attachment che uno Spearphishing Link come tattiche di accesso iniziale.

Ecco un esempio di matrice:

Mitre Atta&ck matrice

In questa matrice sono presenti tutte le fasi di una sequenza di attacco. E’ organizzata in modo che le tattiche siano ordinate da destra a sinistra secondo la sequenza di attacco. Sotto ogni tattica le tecniche corrispondenti, alcune delle quali contengono delle sotto-tecniche. Le due tecniche citate prima, sono in effetti sotto-tecniche del phishing che fa parte del primo passaggio nella sequenza (prima colonna a sinistra).

Esempio

Non e’ necessario che un attaccante usi tutte e undici le tattiche nella parte superiore della matrice. Piuttosto, l’attaccante utilizzera’ il numero minimo di tattiche per raggiungere il suo obiettivo, in quanto e’ piu’ efficiente e fornisce meno possibilita’ di scoperta. In questo attacco (illustrato nello schema qui sotto), l’avversario esegue l’accesso iniziale alle credenziali dell’assistente amministrativo del CEO utilizzando uno Spearphishing link consegnato in una e-mail. Una volta in possesso delle credenziali dell’amministratore, l’aggressore cerca un Remote System Discovery della fase Discovery.

Fasi di un attacco

Esempio: le tattiche e le tecniche usate nella fasi di un attacco

Supponiamo che stiano cercando dati sensibili in una cartella Dropbox alla quale anche l’amministratore ha accesso, quindi non c’e’ bisogno di aumentare i privilegi. La raccolta, che e’ l’ultima fase, viene eseguita scaricando i file da Dropbox alla macchina dell’aggressore.

Si noti che se si utilizza l’analisi del comportamento, un analista della sicurezza potrebbe rilevare l’attacco in corso identificando il comportamento anomalo dell’utente.

Ed e’ proprio quello che un SOC dovrebbe fare, ecco, grossomodo, come potrebbe essere mitigato l’attacco: supponiamo che l’amministratore abbia cliccato un link che nessuno dell’azienda ha mai cliccato prima, poi l’amministratore e’ entrato in una particolare cartella di Dropbox in un momento insolito. Durante la fase finale dell’attacco, il computer dell’aggressore e’ entrato per la prima volta nella cartella Dropbox. Con l’analisi comportamentale, queste attivita’ verrebbero segnalate come comportamento sospetto dell’utente.

Consultare ATT&CK

Per consultare questa risorsa e’ sufficiente visitare il suo sito e ci si trovera’ davanti alla matrice di cui ho pubblicato uno screenshot poco fa. Supponiamo di voler consultare la tecnica Spearphishing Link. Cliccando su di essa, verra’ aperta la pagina corrispondente che contiene informazioni approfondite a riguardo, come una descrizione della tecnica, quali sotto-tecniche esistono, degli esempi di procedura che la includono e i suggerimenti per la mitigazione del rischio. 

In sostanza sono disponibili tutte le informazioni necessarie per conoscere e difendersi in modo appropriato da ogni tecnica.

Tecnica Spearphishing Link Scheda Mitre Att&ck

La parte iniziale della scheda della tecnica Spearphishing Link.

Conclusioni

I vantaggi di una risorsa come MITRE ATT&CK sono davvero notevoli. I team di sicurezza informatica hanno a disposizione un alleato prezioso, a cui possono aggiungere degli strumenti dedicati alla sua consultazione.

Se e’ quasi certo che gli aggressori si stanno adattando man mano che i difensori mettono in opera nuove competenze, e’ anche vero che ATT&CK fornisce un modo per descrivere le nuove tecniche che essi sviluppano. 

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

Il SOCaaS e’ utile per la tua azienda?

SOCaaS – Security Operation Center as a Service

SOCaaS - Post Cover
Tempo di lettura: 6 min

Nell’articolo di oggi, spiegheremo cos’e’ un Security Operations Center (SOC) e aiuteremo a determinare se una soluzione SOC-as-a-Service (SOCaaS) sia adatta alla vostra azienda. Solo perché dovete gestire la sicurezza informatica, non significa che la vostra azienda si debba occupare di sicurezza informatica. Di fatto il vostro core business potrebbe essere praticamente qualsiasi altra cosa.

Una gestione corretta della sicurezza informatica, pero’, e’ indispensabile per consentire alla vostra azienda di crescere e di ottenere le certificazioni al trattamento dei dati richieste per legge. Avere le giuste competenze in materia di sicurezza informatica disponibili al momento giusto e’ fondamentale per il vostro successo, ma non avete idea di quando sara’ quel momento.

Scegliere la tecnologia, le persone e i processi giusti per costruire una moderna sezione operativa di sicurezza e’ una delle sfide piu’ grandi per i responsabili della sicurezza informatica.

Cos’e’ un SOCaaS e cosa puo’ fare per te

Prima di capire quali siano le sfide per la gestione, e’ bene capire cosa sia un SOC. Esso svolge le seguenti funzioni:

Pianifica, configura e mantiene l’infrastruttura di sicurezza.

Con un SOC e’ possibile configurare lo stack tecnologico (endpoint, applicazioni SaaS, infrastruttura cloud, rete, etc.) per identificare l’attivita’ rilevante ed eliminare i dati non necessari. Monitorare le fonti di dati per garantire che l’ecosistema sia sempre connesso.

Rilevare e rispondere

Inoltre, e’ possibile monitorare l’attivita’ di allarme in arrivo. Indagare sugli allarmi per determinare se si tratta di un vero problema di sicurezza o di un falso allarme. Se qualcosa e’ una reale minaccia alla sicurezza, si puo’ valutare l’ampiezza della situazione ed eseguire azioni di risposta.

Caccia alle minacce

SOCaaS - Hacker

Si puo’ esaminare l’attivita’ di un certo evento per determinare se ci fossero dei segni di compromissione che possono aver eluso i controlli automatici. Lo scenario piu’ comune e’ quello di rivedere la cronologia di un indirizzo IP o di un file che e’ stato determinato essere dannoso.

Stoccaggio dei log file

Altra possibilita’ e’ raccogliere e archiviare in modo sicuro i log file, per un periodo fino a sette anni, per la conformita’ alle norme. Il team dovra’ fornire questi dati critici per un’analisi forense nel caso si verifichi una situazione di sicurezza.

Misurare gli indicatori di performance

Ovviamente e’ possibile monitorare le KPI (indicatori di performance). Nel dettaglio e’ possibile misurare e riportare le KPI per dimostrare al team esecutivo come stia funzionando il SOC.

Le sfide per implementare un proprio SOC

Trovare, formare e conservare i professionisti della sicurezza informatica e’ costoso

Le abilita’ necessarie per gestire le mansioni di sicurezza informatica sono molto richieste. Sfortunatamente, la carenza e’ destinata a peggiorare prima di migliorare. Secondo l’International Certification Organization (ISC), il numero di posizioni non occupate in tutto il mondo era di oltre 4 milioni di professionisti nel 2019, rispetto ai quasi tre milioni dell’anno precedente.

La formazione di personale con un ampio background IT nelle competenze di sicurezza informatica e’ un’opzione, ma mantenere queste persone e’ costoso. La loro sostituzione, quando eventualmente vengono assunte altrove, da’ inizio a un ciclo che di solito finisce per essere piu’ costoso del previsto, soprattutto rispetto al SOCaaS.

Inoltre, le persone che lavorano bene in questo settore di solito vogliono esplorare nuovi argomenti e affrontare nuove sfide. Dovrete trovare altri progetti o ruoli correlati per far ruotare il personale del SOC per tenerli impegnati. Questo aiuta anche a costruire le loro competenze, in modo che siano pronti a rispondere e ad agire prontamente quando necessario.

La sicurezza informatica e’ uno sport di squadra

E’ importante avere un insieme di competenze diverse e un team che lavori bene come squadra. Le minacce alla sicurezza si evolvono rapidamente, indagini e risposte adeguate richiedono persone che comprendano gli endpoint, le reti, le applicazioni cloud e altro ancora. Spesso si finisce per essere un manager SOC, un amministratore di sistema e un cacciatore di minacce, a seconda della giornata e da cio’ che accade nel proprio ambiente.

Questo significa che avrete bisogno di un team che impari in continuazione, in modo da avere le giuste competenze quando ne avrete bisogno. Le persone che vanno bene in questo settore prosperano in un ambiente di squadra in cui possono imparare e sfidarsi a vicenda. Per questo, avete bisogno di un workflow che riunisca regolarmente diversi analisti SOC.

Pensatela in questo modo: non mettereste sul campo una squadra di calcio che non si e’ allenata insieme. La vostra squadra SOC si scontra con un avversario che gioca di squadra ogni giorno. Per avere successo, avete bisogno di professionisti che abbiano molta esperienza di gioco per costruire le loro capacita’ sia nella posizione singola che come squadra.

Una squadra di analisti SOC che non faccia un allenamento regolare non sara’ pronta quando verra’ colpita da un avversario ben allenato. E’ difficile ottenere questa esperienza in una piccola organizzazione.

Un SOCaaS e’ la risposta immediata a questa esigenza. La squadra che si occupera’ della vostra sicurezza IT e’ allenata e stimolata ogni giorno da sfide sempre nuove, dovendo avere a che fare con infrastrutture diverse quotidianamente.

La copertura 24/7 e’ una necessita’

Lasciare che un avversario sia libero di lanciare esche per ore, giorni o settimane rende infinitamente piu’ difficile contenere e rimuovere le minacce. L’avversario sa di avere un tempo limitato per fare piu’ danni possibili, come nel caso del ransomware, o per mettere in secondo piano le porte, come nel caso dell’estrusione dei dati.

Avrete le migliori possibilita’ di recupero se potrete indagare e rispondere in pochi minuti. Una soluzione che fornisca una copertura 24×7 e’ quindi fondamentale.

Nella sicurezza informatica non esistono “orari di lavoro” per un motivo in particolare: un attacco potrebbe arrivare da un punto qualunque del globo, di conseguenza non si puo’ fare affidamento a orari convenzionali. Questo e’ frutto della diffusione della rete come strumento di connessione mondiale, possiamo solo farci i conti in modo adeguato. Un SOCaaS solleva l’azienda che lo utilizza dal mantenere una divisione aperta 24/7.

Gestire i fornitori e integrare gli strumenti e’ piuttosto costoso

La sicurezza informatica e’ complessa e la tecnologia si evolve rapidamente. Ci saranno sempre piu’ tecnologie che devono lavorare insieme, il che richiede il mantenimento delle competenze per implementare, aggiornare e configurare ogni componente e formare il vostro personale sulle nuove versioni e caratteristiche. Se avete il vostro SOC, dovete gestire anche queste relazioni tra i fornitori, le licenze e l’attivita’ di formazione.

La linea di fondo e’ che la creazione delle capacita’ di cui avete bisogno richiede un sacco di compiti di basso livello e un esteso lavoro quotidiano. Per le organizzazioni in grado di sostenerlo, lo sforzo ha senso. Per la maggior parte delle organizzazioni, il compito e’ meglio lasciarlo a un partner in grado di fornire questo servizio, consentendo di ottenere tutti i vantaggi di un SOC di alto livello senza la spesa e la distrazione di costruirlo voi stessi.

Conclusioni

Se il budget non e’ un problema e si dispone di abbastanza personale che si concentri sulla costruzione e manutenzione di un SOC 24×7, allora puo’ avere senso seguire questa strada. Se siete vincolati su uno di questi due fronti, allora il SOCaaS sara’ l’approccio migliore.

In sintesi, il SOCaaS vi permette di:

1. Passare il tempo a gestire la sicurezza, non la tecnologia e i fornitori
2. Avere una spesa prevedibile. Nessuna richiesta di budget a sorpresa
3. Ottenere informazioni sulla sicurezza da altre organizzazioni
4. Gestire gli allarmi in modo piu’ efficiente e con risultati piu’ prevedibili
5. Essere agili e stare al passo con le esigenze IT della vostra organizzazione in continua evoluzione
6. Rimanere al passo con le innovazioni degli strumenti di sicurezza di oggi.

Se la tua azienda vuole saperne di piu’ sulle soluzioni SOCaaS di Secure Online Desktop, contattateci per una consulenza non vincolante. Vi illustreremo tutti i vantaggi e chiariremo ogni dubbio riguardo a questa soluzione.

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

SOC as a Service

 

Sicurezza delle reti informatiche con il Pentest e il Vulnerability assessment
Tempo di lettura: 6 min

La sicurezza delle reti informatiche e’ di vitale importanza per un’azienda. Con le tecnologie che fanno sempre piu’ affidamento a servizi in remoto, e’ bene assicurarsi che la sicurezza sia garantita. Per farlo si ricorre a due strumenti: Vulnerability Assessment e Penetration Test. Ma qual e’ la differenza tra di loro? La risposta a questa domanda non e’ cosi’ scontata come si potrebbe pensare.

La risposta breve e’: un Pentest (PT) puo’ essere una forma di valutazione della vulnerabilita’ (VA), ma una valutazione della vulnerabilita’ non e’ sicuramente un Pentest. Cerchiamo di capire meglio come funzionano e i loro scopi.

Verifica della sicurezza delle reti informatiche: Vulnerability Assessment

Una valutazione delle vulnerabilita’ e’ il processo di esecuzione di strumenti automatizzati contro indirizzi IP definiti per identificare le vulnerabilita’ nell’ambiente in cui si opera. Tipicamente le vulnerabilita’ includono sistemi non protetti o configurati in modo errato. Gli strumenti utilizzati per eseguire le scansioni delle vulnerabilita’ sono software specifici che automatizzano il processo. Ovviamente questi software sono praticamente inutili senza un operatore che sappia usarli correttamente.

Questi strumenti forniscono un metodo semplice per eseguire la scansione delle vulnerabilita’ e ne esistono sia open source che proprietari. Il vantaggio principale di quelli open-source e’ che, con grande probabilita’, sono gli stessi usati dagli hacker, e’ improbabile che questi paghino un costoso abbonamento, quando possono scaricare degli applicativi open source gratuitamente.

Nella pratica, una VA permette di:

identificare e classificare falle di sicurezza nella rete informatica
comprendere le minacce informatiche a cui l’azienda e’ esposta
raccomandare misure correttive per eliminare le debolezze riscontrate

Lo scopo di una Vulnerability Assessment e’ quello di identificare le vulnerabilita’ note in modo che possano essere corrette. Le scansioni sono tipicamente eseguite almeno trimestralmente, anche se molti esperti consigliano scansioni mensili.

Come si esegue una VA

Il processo di esecuzione si divide in due fasi e non prevede lo sfruttamento delle debolezze riscontrate. Questo ulteriore passaggio e’ invece previsto nel Penetration Test.

Fase 1: prima analisi
durante questa fase vengono raccolte tutte le informazioni disponibili sull’obiettivo per determinare quali potrebbero essere i punti deboli e le falle nel sistema di sicurezza delle reti informatiche
Fase 2: seconda analisi
in questa fase, tramite l’uso delle informazioni ricavate, vengono messe alla prova i possibili problemi. In questa fase le vulnerabilita’ sono testate per capire se siano effettivi problemi come supposto precedentemente.

Data l’incredibile velocita’ in cui le tecnologie e le tecniche informatiche si evolvono, e’ possibile che un sistema si mostri sicuro questo mese, ma abbia invece delle criticita’ da risolvere il mese successivo. Per questo e’ consigliato ripetere regolarmente e con frequenza i controlli di sicurezza sulle reti informatiche aziendali.

Risultati

Alla fine del processo di verifica delle vulnerabilita’ di un sistema, i report finali contengono tutti i risultati raccolti. Tipicamente questi racchiudo tutte le informazioni rilevanti, tra cui:

l’elenco delle vulnerabilita’ riscontrate
una descrizione approfondita delle vulnerabilita’
contromisure da adottare per ridurre i rischi

La verifica delle vulnerabilita’ e’ una procedura fondamentale per l’azienda, ma non ne garantisce la sicurezza delle reti informatiche. Per la corretta manutenzione della sicurezza dei propri sistemi, e’ indispensabile ricorrere anche a un altro strumento: il Penetration Test.

Penetration test

Il Pentest, o test di penetrazione, ha lo scopo di verificare come si possano sfruttare le vulnerabilita’ di un sistema per ottenere accesso e muoversi al suo interno. Una delle fasi iniziali eseguite da un pentester e’ la scansione della rete per trovare gli indirizzi IP, il tipo di dispositivo, i sistemi operativi e le possibili vulnerabilita’ del sistema. Ma, a differenza della Vulnerability Assessment, il Pentest non si ferma qui.

Di cruciale importanza per un tester e’ lo sfruttamento (exploit) delle vulnerabilita’ individuate al fine di ottenere il controllo della rete o per impossessarsi di dati sensibili. Il tester utilizza strumenti automatizzati configurabili per eseguire exploit contro i sistemi delle reti informatiche. La parte peculiare, pero’, avviene quando il tester esegue dei tentativi manuali di exploit, proprio come farebbe un hacker.

Classificazione

I test di penetrazione sono classificati in due modi: grey box oppure black box.

I test grey box sono eseguiti con la piena conoscenza del reparto IT dell’azienda target. Le informazioni sono condivise con il tester, per esempio diagrammi di rete, indirizzi IP e configurazioni di sistema. L’approccio di questo metodo e’ la verifica sulla sicurezza della tecnologia presente.

Un test black box, invece, rappresenta piu’ propriamente l’azione di un hacker che tenta di ottenere accesso non autorizzato ad un sistema. Il dipartimento IT non sa nulla del test eseguito e al tester non vengono fornite informazioni sull’ambiente di destinazione. Il metodo black box valuta sia la tecnologia sottostante sia le persone e i processi coinvolti per identificare e bloccare un attacco cosi’ come avverrebbe nel mondo reale.

Fasi del Pentest

Fase 1: Analisi
Viene analizzato il sistema, studiandone punti di forza e debolezza. Vengono raccolte tutte le informazioni preliminari. Questo, ovviamente, non avviene se si tratta di un pentest di tipo grey box.
Fase 2: Scansione
Viene scansionata tutta l’infrastruttura per trovare i punti deboli su cui concentrarsi.
Fase 3: Pianificazione
Grazie alle informazioni raccolte, si pianifica con quali strumenti e tecniche usare per colpire il sistema. Le possibilita’ sono moltissime e si tratta sia di tecniche prettamente tecnologiche che di ingegneria sociale.
Fase 4: Attacco vero e proprio
In questa fase i tester cercano di sfruttare le vulnerabilita’ individuate per ottenere il pieno controllo del sistema preso di mira.

Report

Anche al termine del Penetration Test viene compilato un rapporto che riporta nel dettaglio tutto il processo eseguito e comprende:

valutazione dell’impatto di un reale attacco sull’azienda
soluzioni per risolvere i problemi e mettere in sicurezza i sistemi delle reti informatiche

Un Penetration Test che non va a buon fine e’ segno che il sistema preso in esame e’ sicuro* e i dati al suo interno non rischiano nulla. Questo pero’ non significa che l’azienda sara’ protetta per sempre da ogni attacco: proprio perche’ le strategie degli hacker evolvono costantemente, e’ importante eseguire i Penetration Test regolarmente.

(*) Va precisato però che sebbene un buon Penetration Test segua delle linee guida o delle metodologie strutturare (es. OWASP) rimane un test a forte impatto soggettivo del Penetration Tester e del team che lo ha eseguito pertanto non si può escludere che ripetendo il test a carico di un gruppo di Penetration Tester differente non si abbiamo nuovi risultati. Inoltre, come è ben noto ai nostri lettori, nel campo della Cyber Security il concetto di “sicuro” in termini assoluti è inadeguato.

Come fare

Sebbene le Vulnerability Assessment e i Penetration Test abbiano obiettivi diversi, entrambi dovrebbero essere eseguiti regolarmente per verificare la sicurezza complessiva del sistema informatico.

La valutazione delle vulnerabilita’ dovrebbe essere effettuata spesso per identificare e correggere le vulnerabilita’ note. Il Pentest dovrebbe essere effettuato almeno una volta all’anno e sicuramente dopo significativi cambiamenti nell’ambiente IT, per identificare le possibili vulnerabilita’ sfruttabili che possono consentire l’accesso non autorizzato al sistema. Entrambi i servizi descritti in questo articolo sono disponibili tramite SOD, anche su base ricorsiva per garantire l’efficacia dei test. contattaci per saperne di piu’.

Link utili:

Vulnerability Assessment & Penetration Test

Dettagli tecnici di un VA/PT

Sicurezza: pentest e verifica delle vulnerabilità

 

Customers

Newsletter