PENETRATION TEST (ANALISI SULLA VULNERABILITA’ DELLA RETE INFORMATICA)

TECNICHE E DINAMICHE DEL CAMBIAMENTO
9 ottobre 2015
CANCELLAZIONE SICURA DEI DATI INFORMATICI
12 ottobre 2015

PENETRATION TEST (ANALISI SULLA VULNERABILITA’ DELLA RETE INFORMATICA)

Sicurezza Aziendale: gestione del rischio IT

Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l’Information Technology (IT). Solo negli ultimi anni si è iniziato a fare attenzione a questo aspetto, grazie a una crescente consapevolezza che la sicurezza delle proprie informazioni è essenziale per evitare i rischi correlati nel mondo imprenditoriale.

In termini generali, il rischio può essere definito come il prodotto della probabilità di un evento per l’impatto dello stesso, come definito nella formula

Rischio = Probabilità * Impatto

Secondo l’international Organization for Standardization (ISO), il rischio IT è definito come la possibilità che un malintenzionato o un software malevolo possano sfruttare le vulnerabilità della rete informatica aziendale, causando danni al business. Considerando l’Information Technology, è necessario prendere in considerazione aspetti di rischio quali la rilevanza di una minaccia, umana o informatica, la sicurezza del sistema, e la preparazione del personale addetto alla sicurezza. Inoltre è necessario considerare quale impatto può avere nel concreto il verificarsi di una problematica di sicurezza non solo nei confronti dell’azienda, ma anche nei confronti di clienti, fornitori, finanziatori.

La probabilità del verificarsi di un incidente di sicurezza è quindi una funzione della probabilità che una minaccia sia presente e che possa sfruttare con successo le vulnerabilità del sistema in questione.

Le conseguenze del verificarsi di un incidente di sicurezza sono inoltre una funzione del probabile impatto che l’incidente avrà sull’organizzazione stessa. Infatti lo stesso bene può avere valori diversi a seconda delle diverse organizzazioni.

Il tutto può essere quindi riassunto nella formula:

Rischio = Minaccia x Vulnerabilità × Valore Aziendale

Anche OWASP, comunità online dedicata alla sicurezza delle web application, propone una linea guida di misurazione del rischio concreto, prendendo in esame aspetti quali la stima del rischio, i fattori di vulnerabilità, e l’impatto sul business.

Rischio complessivo
Rilevanza impatto ALTA Medio Alto Critico
MEDIA Basso Medio Alto
BASSA Lieve Basso Medio
BASSA MEDIA ALTA
Probabilità

 

Penetration test

Il “penetration test”, in breve anche “pentest”, è una procedura che consiste in un attacco lecito a un sistema informatico, effettuato con l’obiettivo di trovare eventuali debolezze di sicurezza che possano portare ad ottenere l’accesso ai dati o al sistema stesso da parte di malintenzionati, che possono inoltre minarne la funzionalità al punto di compromettere seriamente il business aziendale.

Il processo prevede inizialmente la messa a fuoco degli obiettivi, prendendo di mira le informazioni disponibili e i mezzi necessari per raggiungerli. Un penetration test può essere svolto nella modalità white box, quando vengono fornite tutte le informazioni di base relative al sistema, o nella modalità black box, ove non viene fornita alcuna informazione tranne il nome della società. Possono anche essere svolti con modalità intermedie, definite gray box. Inoltre per entrambe le modalità è possibile operare sia dall’interno dell’organizzazione, che dall’esterno della stessa, simulando quindi differenti scenari di attacco.

Ad esempio un penetration test esterno di tipo black box può essere utile ad identificare quale danno possa essere causato da un attaccante casuale esterno all’organizzazione, mentre un test interno di tipo gray box simula l’operato un dipendente malintenzionato. In entrambi i casi, sarà possibile restituire informazioni sul sistema, sulla vulnerabilità agli attacchi, se le difese fornite erano sufficienti e, in caso, quali sono state efficaci e quali no.

E’ necessario differenziare le generiche valutazioni di vulnerabilità dai reali penetration test. Nel primo caso, l’analisi di un sistema andrà a scovare quali sono le possibili vie di accesso per un malintenzionato, attraverso quali vie i dati possono uscire dal sistema, e le debolezze dello stesso in generale, compresa la fragilità del sistema in caso di problematiche hardware o software. Nel secondo caso, invece, l’obiettivo è quello di sfruttare effettivamente le debolezze che vengono rilevate al fine di ottenere l’accesso al sistema o ai dati dello stesso.

In breve, valutare la vulnerabilità è osservare una cassaforte e decidere, sulla base delle proprie conoscenze, se è sicura o meno; effettuare un penetration test significa provare ad aprirla senza averne la combinazione.

A obiettivo raggiunto, sarà presentato un report al committente delle problematiche presenti nel sistema informatico. A partire da questo, sarà possibile delineare l’impatto delle stesse per l’organizzazione e una serie di contromisure, tecniche e procedurali, atte a ridurre i rischi al minimo.

Obiettivi del penetration test

  • Determinare la fattibilità di eventuali attacchi informatici
  • Identificare le vulnerabilità ad alto rischio, comprese quelle che derivano da una combinazione di vulnerabilità a basso rischio
  • Identificare le vulnerabilità mediante procedure automatiche e mediante procedure che richiedono conoscenze specifiche, al di là delle possibilità di software di scansione automatizzati
  • Valutare l’entità del danno in caso di reale attacco
  • Verificare l’efficacia delle difese, sia in termini di rilevazione che di risposta agli attacchi
  • Permettere di valutare, a fronte di risultati oggettivi, l’entità dei necessari investimenti in termini di conoscenze del personale e tecnologie di difesa

Procedure di penetration test

I pentest vengono svolti ricercando inizialmente, dall’esterno o dall’interno, eventuali vulnerabilità nei sistemi maggiormente esposti. Quelle esterne vengono poi sfruttate al fine di violare il perimetro della rete, mentre i sistemi interni vengono ispezionati alla ricerca di altre vulnerabilità che permettano di ottenere ulteriore accesso ai dati e alle infrastrutture. In particolare:

  • Internal Pentest

I test vengono effettuati posizionandosi all’interno della rete aziendale.

  • External Pentest

I test vengono effettuati posizionandosi all’esterno della rete aziendale.

Come già specificato, è inoltre possibile differenziare tra test Black Box, Gray Box e White Box, a seconda delle informazioni fornite sui sistemi da attaccare. Ecco alcuni esempi e scenari:

  • External Pentest Black Box

Simula un attacco da parte di un soggetto casuale o esterno (ad esempio un hacker generico, o uno al servizio di una azienda concorrente) ma comunque senza accesso ad informazioni e credenziali di accesso dell’azienda.

  • Internal Pentest Black Box

Simula un attacco da parte di un soggetto che abbia accesso fisico (ad esempio un consulente esterno o un visitatore in una sala riunioni) o remoto alla rete aziendale (ad esempio un computer di una segretaria compromesso).

  • External Pentest White Box

Simula la compromissione di una componente esposta all’esterno per capire che livello di accesso un soggetto malintenzionato possa ottenere alle altre parti dell’infrastruttura aziendale.

  • Internal Pentest White Box

Simula un attacco proveniente dall’interno all’organizzazione da parte di un soggetto in possesso di informazioni ed accesso ad alcune parti dell’infrastruttura per capire che livello di accesso alle componenti critiche sia possibile ottenere.

  • Wireless Penetration Test

Cerca di compromettere l’infrastruttura wireless, simulando un attacco da parte di una persona fisicamente prossima ad uno degli edifici dell’azienda in cui sia installata una rete wireless.

  • Social Engineering

Invece di attaccare la componente informatica viene attaccata quella umana. Mediante tecniche di manipolazione si cerca di indurre le persone a compiere azioni informatiche atte a dare accesso ai sistemi (ad esempio phishing) o a rivelare informazioni.

  • Il report

Il report è un documento che viene scritto al termine dell’attività e che permette di riassumere in modo semplice e dettagliato tecniche utilizzate, vulnerabilità riscontrate, risultati del test e proposte di rimedio. Lo stesso è suddiviso in aree tematiche sulla base del destinatario dei singoli paragrafi.

  • Sommario

Comprende l’introduzione e un riassunto di alto livello, destinato alla direzione aziendale.

  • Tecniche utilizzate

Parte tecnica che descrive nel dettaglio strumenti, attività e modalità di test.

  • Vulnerabilità e risultati del pentest

Parte tecnica che descrive nel dettaglio le vulnerabilità riscontrate e il loro impatto, dedicata al responsabile del sistema informatico.

  • Rimedi

Sezione tecnica con istruzioni e consigli su come risolvere le problematiche identificate, dedicata al responsabile del sistema informatico, al responsabile delle risorse umane, e alla direzione aziendale.