Scansione delle vulnerabilità

Una guida di riferimento per identificare le vulnerabilità e assegnarne la priorità

La scansione e l'identificazione dei rischi per la sicurezza sono parte integrante della carta per la sicurezza di qualsiasi azienda. Una volta identificate le vulnerabilità presenti nel vostro ambiente, sarete in grado di rimediare a esse per ridurre il profilo di rischio dell'organizzazione.
Una guida di riferimento per identificare le vulnerabilità e assegnarne la priorità

La scansione e l'identificazione dei rischi per la sicurezza sono parte integrante della carta per la sicurezza di qualsiasi azienda. Ma prima di individuare i rischi per la vostra azienda, dovete identificare la tecnologia e i servizi che essa utilizza. Un inventario degli asset o dei servizi consentirà al team per la sicurezza di identificare cosa sottoporre a una scansione o a un test di penetrazione.

Prima di tutto, prendete in considerazione alcune domande di base:

  • La vostra azienda opera in un ambiente cloud pubblico (ad esempio, AWS, GCP)?
  • Quali prodotti e software open source utilizzate?
  • Quali sistemi operativi state usando?

Una volta risposto a queste domande (e a molte altre) sarete in grado di scegliere gli strumenti più adatti.

Scansione delle vulnerabilità

Gli scanner delle vulnerabilità sono strumenti che, per mezzo di scansioni automatiche, aiutano a identificare le vulnerabilità all'interno di componenti quali applicazioni, infrastrutture e reti. Ogni asset viene analizzato alla ricerca di eventuali vulnerabilità, come l'utilizzo di un componente a cui sia associato un CVE, l'esposizione non voluta su Internet di un file o l'utilizzo di credenziali predefinite. Alcuni scanner consentono all'utente di configurare una serie di regole che aiutano a stabilire il perimetro e il tipo della scansione da eseguire.

Esistono due metodi principali di scansione: le scansioni con credenziali e quelle senza credenziali.

Le scansioni con credenziali effettuano una scansione completa dell'ambiente. In questo approccio, agli strumenti di scansione viene concesso un accesso privilegiato tramite un account di servizio o un agente installato sull'asset per esplorare l'ambiente alla ricerca di vulnerabilità. Eseguendo un esame approfondito degli asset, le scansioni con credenziali possono scoprire configurazioni deboli e vulnerabilità.

D'altra parte, le scansioni senza credenziali non richiedono credenziali per accedere all'asset da sottoporre a scansione. Rispetto alle scansioni con credenziali, forniscono risultati meno dettagliati, poiché lo scanner non ha una visione completa dell'ambiente. Queste scansioni sono tipicamente utilizzate da penetration tester, ricercatori e aggressori per comprendere i rischi esterni a cui è esposto l'asset.

Utilizzando scansioni con e senza credenziali, le organizzazioni possono ottenere informazioni preziose sulle vulnerabilità presenti nei propri ambienti e utilizzarle per prendere decisioni informate per migliorare le misure di sicurezza.

Mentre i risultati di una scansione delle vulnerabilità offrono informazioni utili e forniscono la struttura di sicurezza di livello elevato per il sistema, un penetration test, o pen test, include un'analisi approfondita dei rischi di sicurezza a cui l'ambiente è esposto.

Penetration test

Un altro approccio efficace per identificare le vulnerabilità dell'ambiente è l'esecuzione di un penetration test, o pen test. In questo processo, un security engineer esegue un attacco contro il sistema per scoprirne la vulnerabilità e i potenziali punti deboli sfruttabili. Per creare uno scenario di attacco informatico realistico, il pen tester può anche simulare le tattiche, le tecniche e le procedure (TTP, Tactics, Techniques, Procedures) utilizzate dagli avversari nel mondo reale.

Le aziende spesso assumono una persona esterna per eseguire i pen test, poiché i risultati più validi si ottengono quando la verifica viene condotta da qualcuno che non conosca l'ambiente.

In tali casi si parla di pen test “esterni”. Tuttavia, al giorno d'oggi sono sempre di più le aziende che dispongono di propri team per la sicurezza offensiva per eseguire un pen test interno. Sia i pen test interni che quelli esterni sono estremamente utili, poiché i loro due casi d'uso coprono rispettivamente un aggressore all'interno e all'esterno della rete.

Un pen test è composto da sette fasi principali:

  1. Pre-engagement
  2. Ricognizione o raccolta di informazioni di intelligence open source (OSINT)
  3. Scansione o discovery
  4. Valutazione della vulnerabilità (accesso)
  5. Sfruttamento (mantenimento dell'accesso)
  6. Post-sfruttamento, generazione di report e analisi del rischio
  7. Rimedi

Dopo il completamento del test, viene generato un report che include tutte le vulnerabilità rilevate, con la relativa valutazione del rischio e i dettagli per i rimedi. Ciò aiuta le organizzazioni ad affrontare i problemi e a rafforzare la propria sicurezza nell'ambiente.

Prioritizzazione dei risultati

Una volta identificate le vulnerabilità presenti nell'ambiente attraverso la scansione automatica e i pen test, il passo successivo consiste nel rimediare alle vulnerabilità per ridurre il profilo di rischio dell'azienda. È possibile che pensiate: "Ho un elenco di migliaia di vulnerabilità, come faccio a dare una priorità a tutte?". La buona notizia è che non è necessario. Benché vi possiate concentrare sulla gravità della vulnerabilità indicata dagli strumenti, è più efficace stabilire le priorità in base all'impatto della vulnerabilità sull'azienda. A tal fine è necessario identificare quali sono i servizi, gli ambienti e i prodotti più critici: Il servizio o prodotto è rivolto al cliente? Contiene dati dei clienti? In caso di inattività, si verificherà una perdita significativa di fatturato?

Combinando l'impatto sul business e la gravità della vulnerabilità è possibile creare un elenco prioritario di vulnerabilità da correggere, a partire da quelle più critiche e dai servizi, trasformando l'elenco di migliaia di vulnerabilità in centinaia o meno.

Storie consigliate