Red teaming, Vulnerability Assessment e Penetration Test
Le aziende si trovano ad affrontare una gamma ampia e crescente di minacce alla sicurezza informatica. Man mano che gli attacchi informatici diventano sempre più numerosi e sofisticati, la probabilità che un’organizzazione subisca un attacco informatico costoso e dannoso continua ad aumentare. Il crescente utilizzo dell’automazione, dei modelli di affiliazione e della disponibilità di malware avanzati sul mercato, aumenta la probabilità che gli aggressori trovino e sfruttino eventuali vulnerabilità nei sistemi di un’impresa italiana.
Da un anno a questa parte ci siamo specializzati in tre nuovi servizi: Red Teaming, Vulnerability Assessment e il Penetration Test. Per poter approfondire e tematiche o per una demo, contattaci all’indirizzo cybersecurity@enwenta.it.
Red Teaming
Il red teaming è il processo che fornisce una prospettiva avversaria basata sui fatti come input per risolvere o affrontare un problema. Il red teaming nel contesto della sicurezza informatica è una best practice in cui la resilienza informatica di un’organizzazione viene messa alla prova dal punto di vista di un avversario o di un attore della minaccia.
Questo è un potente mezzo per fornire al CISO una valutazione basata sui fatti dell’ecosistema di sicurezza di un’organizzazione. Tale valutazione viene eseguita da un team specializzato e attentamente costituito e copre persone, processi e aree tecnologiche. Di conseguenza, i CISO possono comprendere chiaramente quanta parte del budget per la sicurezza dell’organizzazione viene effettivamente tradotta in una difesa informatica concreta e quali aree necessitano di maggiore attenzione. Qui viene esplorato un approccio pratico su come creare e trarre vantaggio da un red team come servizio da un partner di Cybersecurity.
Perché investire in Red Teaming?
Un’organizzazione investe nella sicurezza informatica per proteggere la propria attività da agenti di minacce dannose. Questi agenti di minaccia trovano modi per superare la difesa della sicurezza dell’azienda e raggiungere i propri obiettivi. Un attacco riuscito di questo tipo viene solitamente classificato come un incidente di sicurezza, mentre il danno o la perdita delle risorse informative di un’organizzazione è classificato come una violazione della sicurezza. Sebbene la maggior parte dei budget per la sicurezza delle aziende moderne sia focalizzata su misure preventive e investigative per gestire gli incidenti ed evitare violazioni, l’efficacia di tali investimenti non è sempre misurata chiaramente. La governance della sicurezza tradotta in policy può o meno avere lo stesso effetto previsto sulla strategia di sicurezza informatica dell’organizzazione se implementata nella pratica utilizzando persone operative, processi e mezzi tecnologici. Nella maggior parte delle grandi organizzazioni, il personale che stabilisce politiche e standard non è quello che li mette in pratica utilizzando processi e tecnologia.
Tutte le imprese si trovano di fronte a due scenari quando ipotizzano di avere un red team. Il primo è creare un team interno, mentre il secondo è esternalizzare il servizio di red team.
Entrambi gli approcci presentano vantaggi e svantaggi. Mentre un team rosso interno può rimanere più concentrato sui miglioramenti basati sulle lacune conosciute, un team indipendente ed esterno può apportare una nuova prospettiva. Un altro aspetto critico da non sottovalutare è che sul mercato è difficile reperire personale. Proprio in questo contesto si offre il servizio di RED TEAM.
Vulnerability Assessment
Il vulnerability assessment è un processo con l’obiettivo di valutare l’efficacia delle politiche di sicurezza e pertanto si contraddistingue per individuare, catalogare ed assegnare priorità riguardo le eventuali vulnerabilità di un sistema. Tutte le attività sono raccolte e documentate assieme all’analisi del rischio e dell’impatto che lo sfruttamento delle vulnerabilità può avere. È importante tenere bene a mente che questo servizio soffre del problema di degradazione, nel senso che un VA svolto oggi richiede settimane se non mesi per gestire quanto emerso. Dato che le vulnerabilità sono pubblicate nuove tutti i giorni, c’è il rischio che al termine del lavoro si debba ricominciare.
Il primo passo che l’analista deve compiere è di verificare la presenza di vulnerabilità note e della corretta configurazione dei sistemi come, ad esempio, la disabilitazione di porte TCP/UDP e di servizi non contemplati dalle politiche di sicurezza del cliente. Il servizio è svolto con l’ausilio di appositi strumenti in grado di eseguire la scansione automatica delle porte di rete degli asset alla ricerca di servizi attivi, perché una buona preparazione dell’attività passa per la verifica di quanto è presente tra gli asset del cliente.
Gli strumenti usati dal team sono il vulnerability scanner che è un programma commerciale atto a ricercare e catalogare le debolezze dei sistemi come ad esempio server, client, applicazioni ed apparati di rete attraverso una scansione della intera superficie aziendale: interna ed esterna. A fine lavori il consulente prepara due report: uno per il board, chiamato anche Executive Report, che ha la responsabilità ed un altro più tecnico destinato al personale IT del cliente. Nei report ci saranno le tipologie di vulnerabilità riscontrate ed il danno che il cliente subire nel caso in cui un attaccante le sfrutti. È bene commentare assieme al cliente i risultati ottenuti ed è fondamentale pianificare un piano di mitigazione andando, dove possibile, ad aggiornare i sistemi e dove non fosse possibile segmentare o introdurre soluzioni volte alla protezione degli asset.
Penetration Test
È il meccanismo mediante cui una definita superficie aziendale, totale o parziale, viene messa alla prova per poter rilevare percorsi di attacco, sfruttando le vulnerabilità riscontrate, che un attaccante potrebbe sfruttare per portare a compimento un attacco. È una dimostrazione empirica del rischio associato a una data vulnerabilità che consiste nel simulare un attacco reale contro il sistema.
Un test di penetrazione inizia con il professionista della sicurezza che effettua un inventario della rete di destinazione per trovare sistemi e/o account vulnerabili. Per fare ciò, in ogni sistema della rete viene controllata la presenza di porte aperte su cui sono in esecuzione i servizi. È estremamente raro che tutti i servizi su una rete siano configurati correttamente, adeguatamente protetti da password e completamente aggiornati. Una volta che il penetration tester ha compreso adeguatamente la rete e le vulnerabilità esistenti, viene utilizzato uno strumento di penetration test per sfruttare una vulnerabilità e ottenere così un accesso non autorizzato. Tuttavia, gli esperti di sicurezza non esaminano solo i sistemi. I pentester attaccano spesso gli utenti di una rete inviando e-mail di phishing o tentando di manipolare gli obiettivi a loro piacimento per telefono o in Internet/Intranet (pre-SMS o ingegneria sociale).
Gli utenti di un’organizzazione rappresentano un ulteriore fattore di rischio. Gli attacchi a una rete tramite errore umano o credenziali compromesse non sono una novità. Se i costanti attacchi informatici e i casi di furto di dati ci hanno insegnato qualcosa, è che il modo più semplice per un hacker di entrare in una rete e rubare dati o denaro è attraverso gli utenti della rete.
Le credenziali compromesse rappresentano il vettore di attacco più comune tra tutte le violazioni dei dati segnalate, come dimostra anno dopo anno il Verizon Data Breach Report. Parte del compito di un penetration tester è affrontare le minacce alla sicurezza causate dagli errori degli utenti. Un pen tester tenterà di utilizzare un attacco di forza bruta (brute force) per indovinare le password degli account scoperti per ottenere l’accesso a sistemi e applicazioni. Sebbene la compromissione di un dispositivo possa comportare una violazione della sicurezza, in uno scenario reale un utente malintenzionato utilizzerà in genere il movimento laterale per raggiungere una risorsa critica.
La simulazione di attacchi di phishing è un altro modo comune per testare la sicurezza degli utenti della rete. Gli attacchi di phishing utilizzano metodi di comunicazione personalizzati per persuadere la vittima a fare qualcosa che non è nel suo interesse. Ad esempio, un attacco di phishing potrebbe convincere un utente che è giunto il momento di “reimpostare la password obbligatoria” e quindi di fare clic su un collegamento e-mail incorporato. Sia che facendo clic sul collegamento dannoso venga rilasciato malware o semplicemente si apra la porta agli aggressori per rubare credenziali per un utilizzo futuro, un attacco di phishing è uno dei modi più semplici per sfruttare gli utenti della rete. È infatti importare usare strumenti di test di penetrazione che dispongano di queste funzionalità.
Red teaming, Vulnerability Assessment e Penetration Test
Le aziende si trovano ad affrontare una gamma ampia e crescente di minacce alla sicurezza informatica. Man mano che gli attacchi informatici diventano sempre più numerosi e sofisticati, la probabilità che un’organizzazione subisca un attacco informatico costoso e dannoso continua ad aumentare. Il crescente utilizzo dell’automazione, dei modelli di affiliazione e della disponibilità di malware avanzati sul mercato, aumenta la probabilità che gli aggressori trovino e sfruttino eventuali vulnerabilità nei sistemi di un’impresa italiana.
Da un anno a questa parte ci siamo specializzati in tre nuovi servizi: Red Teaming, Vulnerability Assessment e il Penetration Test. Per poter approfondire e tematiche o per una demo, contattaci all’indirizzo cybersecurity@enwenta.it.
Red Teaming
Il red teaming è il processo che fornisce una prospettiva avversaria basata sui fatti come input per risolvere o affrontare un problema. Il red teaming nel contesto della sicurezza informatica è una best practice in cui la resilienza informatica di un’organizzazione viene messa alla prova dal punto di vista di un avversario o di un attore della minaccia.
Questo è un potente mezzo per fornire al CISO una valutazione basata sui fatti dell’ecosistema di sicurezza di un’organizzazione. Tale valutazione viene eseguita da un team specializzato e attentamente costituito e copre persone, processi e aree tecnologiche. Di conseguenza, i CISO possono comprendere chiaramente quanta parte del budget per la sicurezza dell’organizzazione viene effettivamente tradotta in una difesa informatica concreta e quali aree necessitano di maggiore attenzione. Qui viene esplorato un approccio pratico su come creare e trarre vantaggio da un red team come servizio da un partner di Cybersecurity.
Perché investire in Red Teaming?
Un’organizzazione investe nella sicurezza informatica per proteggere la propria attività da agenti di minacce dannose. Questi agenti di minaccia trovano modi per superare la difesa della sicurezza dell’azienda e raggiungere i propri obiettivi. Un attacco riuscito di questo tipo viene solitamente classificato come un incidente di sicurezza, mentre il danno o la perdita delle risorse informative di un’organizzazione è classificato come una violazione della sicurezza. Sebbene la maggior parte dei budget per la sicurezza delle aziende moderne sia focalizzata su misure preventive e investigative per gestire gli incidenti ed evitare violazioni, l’efficacia di tali investimenti non è sempre misurata chiaramente. La governance della sicurezza tradotta in policy può o meno avere lo stesso effetto previsto sulla strategia di sicurezza informatica dell’organizzazione se implementata nella pratica utilizzando persone operative, processi e mezzi tecnologici. Nella maggior parte delle grandi organizzazioni, il personale che stabilisce politiche e standard non è quello che li mette in pratica utilizzando processi e tecnologia.
Tutte le imprese si trovano di fronte a due scenari quando ipotizzano di avere un red team. Il primo è creare un team interno, mentre il secondo è esternalizzare il servizio di red team.
Entrambi gli approcci presentano vantaggi e svantaggi. Mentre un team rosso interno può rimanere più concentrato sui miglioramenti basati sulle lacune conosciute, un team indipendente ed esterno può apportare una nuova prospettiva. Un altro aspetto critico da non sottovalutare è che sul mercato è difficile reperire personale. Proprio in questo contesto si offre il servizio di RED TEAM.
Vulnerability Assessment
Il vulnerability assessment è un processo con l’obiettivo di valutare l’efficacia delle politiche di sicurezza e pertanto si contraddistingue per individuare, catalogare ed assegnare priorità riguardo le eventuali vulnerabilità di un sistema. Tutte le attività sono raccolte e documentate assieme all’analisi del rischio e dell’impatto che lo sfruttamento delle vulnerabilità può avere. È importante tenere bene a mente che questo servizio soffre del problema di degradazione, nel senso che un VA svolto oggi richiede settimane se non mesi per gestire quanto emerso. Dato che le vulnerabilità sono pubblicate nuove tutti i giorni, c’è il rischio che al termine del lavoro si debba ricominciare.
Il primo passo che l’analista deve compiere è di verificare la presenza di vulnerabilità note e della corretta configurazione dei sistemi come, ad esempio, la disabilitazione di porte TCP/UDP e di servizi non contemplati dalle politiche di sicurezza del cliente. Il servizio è svolto con l’ausilio di appositi strumenti in grado di eseguire la scansione automatica delle porte di rete degli asset alla ricerca di servizi attivi, perché una buona preparazione dell’attività passa per la verifica di quanto è presente tra gli asset del cliente.
Gli strumenti usati dal team sono il vulnerability scanner che è un programma commerciale atto a ricercare e catalogare le debolezze dei sistemi come ad esempio server, client, applicazioni ed apparati di rete attraverso una scansione della intera superficie aziendale: interna ed esterna. A fine lavori il consulente prepara due report: uno per il board, chiamato anche Executive Report, che ha la responsabilità ed un altro più tecnico destinato al personale IT del cliente. Nei report ci saranno le tipologie di vulnerabilità riscontrate ed il danno che il cliente subire nel caso in cui un attaccante le sfrutti. È bene commentare assieme al cliente i risultati ottenuti ed è fondamentale pianificare un piano di mitigazione andando, dove possibile, ad aggiornare i sistemi e dove non fosse possibile segmentare o introdurre soluzioni volte alla protezione degli asset.
Penetration Test
È il meccanismo mediante cui una definita superficie aziendale, totale o parziale, viene messa alla prova per poter rilevare percorsi di attacco, sfruttando le vulnerabilità riscontrate, che un attaccante potrebbe sfruttare per portare a compimento un attacco. È una dimostrazione empirica del rischio associato a una data vulnerabilità che consiste nel simulare un attacco reale contro il sistema.
Un test di penetrazione inizia con il professionista della sicurezza che effettua un inventario della rete di destinazione per trovare sistemi e/o account vulnerabili. Per fare ciò, in ogni sistema della rete viene controllata la presenza di porte aperte su cui sono in esecuzione i servizi. È estremamente raro che tutti i servizi su una rete siano configurati correttamente, adeguatamente protetti da password e completamente aggiornati. Una volta che il penetration tester ha compreso adeguatamente la rete e le vulnerabilità esistenti, viene utilizzato uno strumento di penetration test per sfruttare una vulnerabilità e ottenere così un accesso non autorizzato. Tuttavia, gli esperti di sicurezza non esaminano solo i sistemi. I pentester attaccano spesso gli utenti di una rete inviando e-mail di phishing o tentando di manipolare gli obiettivi a loro piacimento per telefono o in Internet/Intranet (pre-SMS o ingegneria sociale).
Gli utenti di un’organizzazione rappresentano un ulteriore fattore di rischio. Gli attacchi a una rete tramite errore umano o credenziali compromesse non sono una novità. Se i costanti attacchi informatici e i casi di furto di dati ci hanno insegnato qualcosa, è che il modo più semplice per un hacker di entrare in una rete e rubare dati o denaro è attraverso gli utenti della rete.
Le credenziali compromesse rappresentano il vettore di attacco più comune tra tutte le violazioni dei dati segnalate, come dimostra anno dopo anno il Verizon Data Breach Report. Parte del compito di un penetration tester è affrontare le minacce alla sicurezza causate dagli errori degli utenti. Un pen tester tenterà di utilizzare un attacco di forza bruta (brute force) per indovinare le password degli account scoperti per ottenere l’accesso a sistemi e applicazioni. Sebbene la compromissione di un dispositivo possa comportare una violazione della sicurezza, in uno scenario reale un utente malintenzionato utilizzerà in genere il movimento laterale per raggiungere una risorsa critica.
La simulazione di attacchi di phishing è un altro modo comune per testare la sicurezza degli utenti della rete. Gli attacchi di phishing utilizzano metodi di comunicazione personalizzati per persuadere la vittima a fare qualcosa che non è nel suo interesse. Ad esempio, un attacco di phishing potrebbe convincere un utente che è giunto il momento di “reimpostare la password obbligatoria” e quindi di fare clic su un collegamento e-mail incorporato. Sia che facendo clic sul collegamento dannoso venga rilasciato malware o semplicemente si apra la porta agli aggressori per rubare credenziali per un utilizzo futuro, un attacco di phishing è uno dei modi più semplici per sfruttare gli utenti della rete. È infatti importare usare strumenti di test di penetrazione che dispongano di queste funzionalità.