Il penetration test è senza dubbio una delle operazioni ineludibili nell’ambito dell’attività di sicurezza informatica. Si stima che quasi il 70% dei manager ritenga che i propri rischi di sicurezza informatica stiano aumentando e quindi è necessario uno sforzo volto alla loro riduzione.
Queste iniziative, tuttavia, sono principalmente note per le loro capacità di rilevamento dei problemi e il semplice accorgersene non equivale alla prevenzione.
Danni e perdite possono essere potenzialmente ridotti implementando test di penetrazione unitamente a misure di mitigazione approfondite che risolvono le vulnerabilità e le configurazioni errate.
La portata di questi “esercizi” varia a seconda dei contesti di applicazione ma in ogni caso si ha la certezza di evidenziare gravi debolezze e fornire l’opportunità di correggerle prima che possano finire nelle mani di un malintenzionato.
Si diffonde spesso l’opinione che i penetration test mantengono sicura un’organizzazione, ma sarebbe più corretto dire che certe sperimentazioni si limitano a segnalare dove un’organizzazione è insicura.
I test di penetrazione rivelano le aree potenzialmente sfruttabili dagli avversari e le debolezze che esistono all’interno dell’ambiente di una azienda o entità. Possono essere un valido innesco per implementare una varietà di contromisure come SIEM, soluzioni di monitoraggio della rete e firewall in grado di rilevare attività “nocive”.
L’escalation dei privilegi e l’esfiltrazione di dati contribuiscono ad alcune delle cause più comuni di fughe di notizie e vengono spesso scoperte durante un’indagine su un incidente. Si stima che il tempo medio per scoprire una violazione sia di duecento giorni, ovvero più di sei mesi.
L’identificazione di una violazione farebbe scattare la necessità di determinare la causa della fuga di dati e le varie aree di debolezza dell’azienda. Più di un terzo delle violazioni segnalate sono causate da attori interni con privilegi eccessivi o in grado di eseguire azioni oltre il loro livello di regolare autorizzazione.
Le verifiche proattive possono “pesare” l’adeguatezza delle configurazioni e l’efficacia delle contromisure, anticipando le brutte esperienze che si potrebbero vivere a seguito di una sfida imprevista da parte di un attaccante.
Diversi settori hanno recentemente subito violazioni e in ogni ambito ci sono specifiche peculiarità meritevoli di attenzione. Il settore sanitario, ad esempio, è stato un obiettivo così importante che oltre il novanta per cento delle organizzazioni sanitarie ha subito almeno una aggressione digitale negli ultimi tre anni. Il settore finanziario è stato afflitto dalla mancanza di privilegi minimi e da un debole controllo degli accessi perché il dipendente medio dei servizi finanziari può accedere a milioni di file dal primo giorno di impiego…
La corretta esecuzione – ripetuta con giusta frequenza – di test di penetrazione può guidare nell’ampliamento delle attuali misure di sicurezza e porre l’accento non solo sul rilevamento, ma anche sulla valutazione dei punti deboli, aumentando così la sicurezza complessiva.
Qualcuno racconta che tutti gli standard e i regolamenti connessi impongono test di penetrazione. Non è vero. Il test è richiesto da alcuni e per altri è una semplice opzione naturalmente ben considerata.
La valutazione della vulnerabilità differisce dai penetration test, perché si basa in gran parte sulle possibilità (più o meno elevata) di sfruttamento dei punti deboli. Se certe vulnerabilità non vengono sfruttate durante una scansione, la valutazione non sarà in grado di mostrare completamente l’impatto di una determinata compromissione sulla continuità aziendale e sulla riservatezza. Il Payment Card Industry Data Security Standard (PCI DSS) – ad esempio – fa una profonda distinzione tra valutazioni di vulnerabilità e test di penetrazione nei suoi standard e requisiti.
Un test di penetrazione include le informazioni sulla vulnerabilità e rileva i metodi di exploit che sono stati utilizzati per compromettere gli obiettivi in ambito. Ad attività conclusa il “pentester” includerà anche raccomandazioni per mitigazioni e effetti sulla continuità aziendale in modo che l’azienda possa fare scelte profonde sulla priorità delle azioni correttive.
Un’organizzazione finanziaria che gestisce carte di credito di marca a ricevere un test di penetrazione ogni sei mesi per la conformità. Ma, attenzione, non si guardi al calendario in maniera troppo rigida. Sebbene PCI DSS richieda un test di penetrazione ogni sei mesi, si consiglia un programma più ampio quando le tecnologie vengono scambiate, sostituite o si è verificata una modifica critica all’infrastruttura all’interno dell’azienda.
Un altro standard che richiede test di penetrazione per la conformità iniziale e la fornitura continua di conformità è “SOC 2”. Questo è stato sviluppato dall’American Institute of CPAs e i suoi criteri includono cinque aree: sicurezza, disponibilità, integrità dell’elaborazione, privacy e riservatezza.
SOC 2 non pone un metodo specifico per definire i controlli per un’organizzazione; tuttavia, l’organizzazione deve essere in grado di superare un audit esterno per ottenere una certificazione SOC 2. Le cinque aree del SOC 2 assomigliano alle tre aree della CIA Triad (Riservatezza, Integrità e Disponibilità).
Va ricordato che SOC 2 richiede un test di penetrazione ogni sei mesi per mantenere la conformità. Sebbene i fornitori di cloud computing e SaaS non debbano essere conformi a SOC 2, alcune organizzazioni scelgono di diventare conformi a SOC 2 per garantire la fiducia dei propri clienti.
Negli Stati Uniti l’Health Insurance Portability and Accountability Act (HIPAA) ha stabilito un regolamento intitolato “HIPAA Security Rule Risk Analysis”. A differenza di SOC 2 e PCI DSS, HIPAA non richiede un penetration test per i suoi requisiti di conformità, ma richiede invece un’analisi dei rischi per la sicurezza.
Le entità coperte sono tenute a valutare i rischi e le vulnerabilità presenti e ad attuare i controlli che affrontano tali vulnerabilità.
Poiché un test di penetrazione non è effettivamente richiesto, l’interpretazione di un’analisi del rischio può rivelarsi molto soggettiva.
Se un operatore sanitario non riesce a testare controlli come l’autenticazione, l’audit e l’integrità, negli USA potrebbe essere inflitta alla sua struttura una multa fino a $ 50.000 per record compromesso.
L’assenza di obblighi non rilassi eccessivamente. Non si rinvii qualcosa che prima o poi diventa inevitabile. Sebbene i test di penetrazione possono ancora essere un’opzione per alcuni standard normativi, in futuro potrebbero diventare un processo obbligatorio per le aziende, enti, banche ed altre organizzazioni.
