Penetration Test e Vulnerability Assessment
Il nostro studio di Consulenza Privacy in particolari situazioni di rischio elevato può consigliare le aziende cliente di eseguire a cadenze regolari un Penetration Test oppure una Vulnerability Assessment, attività molto sofisticate che verificano la sicurezza della rete dall’esterno, simulando attacchi informatici da parte di un utente malintenzionato.
Queste tecniche si effettuano in ambiti specifici ove l’azienda tratta dati particolari di elevato impatto sulle persone, o dati aziendali coperti da copyright o segreto industriale.
Queste attività possono essere richieste sia da parte dell’Autorità in caso di ispezione o di data breach, sia da parte degli stessi clienti che in particolar modo dal DPO.
Penetration Test e Vulnerability Assessment: le differenze
Il Vulnerability Assessment è un vero e proprio check-up dei sistemi informatici, una sorta di scanning che mira a far emergere possibili vulnerabilità dell’infrastruttura e della rete IT.
Con il Penetration Test, invece, si conosce già l’obiettivo potenzialmente vulnerabile da andare a colpire: si tratta perciò di una simulazione di attacco verso quel determinato obiettivo.
L’applicazione della Vulnerability Assessment si rivela utile quando è necessario avere un elenco completo delle vulnerabilità da risolvere in tempi brevi e non considera ipotetici scenari d’attacco. È un’attività prevista per migliorare la sicurezza dei sistemi e delle reti informatiche attraverso scansioni continue e l’aggiornamento costante del Vulnerability Assessment report.
Il Penetration Test, invece, è una vera e propria simulazione di attacco informatico. Si stabilisce un obiettivo e si cerca di eludere il sistema di sicurezza per raggiungerlo. Questo metodo di analisi viene applicato a quei sistemi informatici in cui sono state già messe in atto tutte le misure di sicurezza per risolvere le vulnerabilità. Il “Pentest” potrebbe essere utilizzato, ad esempio, in una fase successiva alla Vulnerability Assessment, per testarne il grado di efficienza.
La differenza principale, dunque, tra Vulnerability Assessment e Penetration Test sta negli obiettivi. Il primo è mirato a fornire una lista dettagliata per ridurre o eliminare i rischi che potrebbero sopraggiungere da un eventuale sfruttamento delle vulnerabilità. Il secondo ha l’obiettivo di mostrare concretamente come un cyber attack potrebbe eludere la sicurezza attraverso le falle del sistema.
Ora che abbiamo sintetizzato in cosa differisce un Penetration Test da una scansione delle vulnerabilità, andiamo ad approfondire l’argomento per delineare ulteriori elementi distintivi e i punti di incontro.
Un’attività di Vulnerability Assessment si conclude normalmente con un report il cosiddetto Remediation Plan che elenca i possibili punti deboli di un sistema difensivo. Il report dovrebbe quindi riportare:
- le vulnerabilità rilevate;
- la gravità delle vulnerabilità sulla base delle esigenze e delle criticità specifiche dell’azienda.
Da un lato è importante comprendere che un solo Vulnerability Assassment non basta a un’azienda per garantire la sicurezza dei suoi sistemi informatici. Il Vulnerability Assassment può essere paragonato a un esame del sangue: se si rilevano anomalie, è importante procedere con una cura il Remediation Plan, appunto, e ripetere gli esami per verificare l’efficacia della cura stessa.
Dall’altro dev’essere chiaro che i risultati che un Vulnerability Assessment fa emergere non sono di per sé verificati. Alcuni di questi, perciò, potrebbero equivalere a dei falsi positivi.
Quando eseguire un Penetration Test oppure un Vulnerability Assessment
Il Penetration Test, ha già valutato specifici obiettivi o scenari di attacco. Pertanto lo scopo è quello di testare l’efficacia delle difese che un hacker potrebbe voler bypassare. Un Penetration Tester è quindi un “hacker buono” (o ethical hacker) che esegue un attacco a scopo dimostrativo, per verificare che una vulnerabilità sia effettivamente autentica e quali conseguenze comporta.
Proprio per la natura dei rispettivi obiettivi, la frequenza con la quale eseguire le attività di Vulnerability Assessment e di Penetration Test non sono le medesime.
La scansione delle vulnerabilità è un’attività che va ripetuta nel tempo con cadenza regolare, idealmente una volta al mese, per verificare lo stato di salute dei nostri sistemi di sicurezza.
Il Penetration Test, al contrario, è qualcosa che si svolge ad hoc, sulla base di particolari esigenze.
Il Remediation Plan per risolvere le vulnerabilità
Dopo avere analizzato e identificato le aree di rischio è possibile redigere un piano di azioni da mettere in atto per rimediare alle falle del sistema informatico. Questo documento è il “Remediation Plan” e permette di organizzare il lavoro di miglioramento della sicurezza informatica, stabilendo delle priorità sulla base degli obiettivi da proteggere e della gravità delle falle da sistemare.
Redigere il Remediation Plan è un lavoro molto complesso, che può essere gestito in maniera ottimale solo da un team di informatici qualificati con un’esperienza consolidata in questa attività.
Vulnerability Assessment e Penetration test: le Best Practice
Di seguito i principali standard e best practice per attività eseguite fornendo una valutazione appropriata dell’impatto sul business e opportuni suggerimenti relativi al piano di rientro:
- OWASP v4 per le analisi su applicativi web;
- OWASP Mobile Security Testing Guide;
- ISECOM OSSTMM 3.0 per alcune verifiche di sicurezza;
- NIST CSRC indicante best practice relative alla sicurezza IT;