VULNERABILITY-ASSESSMENT
VULNERABILITY-ASSESSMENT

Vulnerability Assessment

Il vulnerability assessment è un processo con l’obiettivo di valutare l’efficacia delle politiche di sicurezza e pertanto si contraddistingue per individuare, catalogare ed assegnare priorità riguardo le eventuali vulnerabilità di un sistema. Tutte le attività sono raccolte e documentate assieme all’analisi del rischio e dell’impatto che lo sfruttamento delle vulnerabilità può avere. È importante tenere bene a mente che questo servizio soffre del problema di degradazione, nel senso che un VA svolto oggi richiede settimane se non mesi per gestire quanto emerso. Dato che le vulnerabilità sono pubblicate nuove tutti i giorni, c’è il rischio che al termine del lavoro si debba ricominciare.

Il primo passo che l’analista deve compiere è di verificare la presenza di vulnerabilità note e della corretta configurazione dei sistemi come, ad esempio, la disabilitazione di porte TCP/UDP e di servizi non contemplati dalle politiche di sicurezza del cliente. Il servizio è svolto con l’ausilio di appositi strumenti in grado di eseguire la scansione automatica delle porte di rete degli asset alla ricerca di servizi attivi, perché una buona preparazione dell’attività passa per la verifica di quanto è presente tra gli asset del cliente.

Gli strumenti usati dal team sono il vulnerability scanner che è un programma commerciale atto a ricercare e catalogare le debolezze dei sistemi come ad esempio server, client, applicazioni ed apparati di rete attraverso una scansione della intera superficie aziendale: interna ed esterna. A fine lavori il consulente prepara due report: uno per il board, chiamato anche Executive Report, che ha la responsabilità ed un altro più tecnico destinato al personale IT del cliente. Nei report ci saranno le tipologie di vulnerabilità riscontrate ed il danno che il cliente subire nel caso in cui un attaccante le sfrutti. È bene commentare assieme al cliente i risultati ottenuti ed è fondamentale pianificare un piano di mitigazione andando, dove possibile, ad aggiornare i sistemi e dove non fosse possibile segmentare o introdurre soluzioni volte alla protezione degli asset.