L’analisi delle vulnerabilità della rete aziendale consente di conoscere lo stato di sicurezza informatica della propria infrastruttura aziendale ed è inoltre un processo fondamentale per la riduzione dei rischi informatici.
Adottare soluzioni di sicurezza informatica adeguate è indispensabile per valutare in anticipo le eventuali conseguenze e garantire la continuità del proprio business in caso di attacco informatico e perché permette di essere compliant nei confronti della normativa GDPR, che definisce le regole da applicare per la protezione dei dati privati. Nella gestione dei dati, non bisogna mai commettere l’errore di non considerarsi come una potenziale vittima di attacchi informatici.
Le attività che tutte le aziende dovrebbero adottare per verificare le possibili vulnerabilità delle loro infrastrutture informatiche sono il Vulnerability Assessment e il Penetration Test.
Cos’è e come funziona il Vulnerability Assessment
Possiamo considerare il Vulnerability Assessment come la base di una strategia di sicurezza proattiva, che mette alla prova la sicurezza dell’infrastruttura IT, gli hardware, i software e le applicazioni web di un’azienda.
Si tratta di un’analisi dettagliata automatizzata o manuale che viene eseguita attraverso software specifici che effettuano scansioni dell’intera rete aziendale con l’obiettivo di individuare vulnerabilità che possono mettere a rischio i dati contenuti nelle cartelle e nei file di computer e server e quindi di prevenire le minacce e salvaguardare produttività e attività aziendali. Permette quindi di avere la completa visualizzazione dello stato di sicurezza dei propri sistemi informatici.
Cos’è e come funziona il Penetration Test
Il Penetration Test è un processo operativo che prevede l’analisi attiva e passiva e la valutazione della sicurezza di un sistema informatico o di una rete per problematiche che derivano dalla progettazione, dall’implementazione o dalla gestione del sistema come possibili punti deboli, anomalie tecniche e vulnerabilità, che potrebbero essere sfruttate per compromettere la sicurezza del sistema e di conseguenza quella dell’intera azienda. L’obiettivo è quello di evitare che un possibile attacco informatico o un’instabilità del sistema possano impattare sulle risorse aziendali. Si tratta quindi di una vera e propria simulazione di un attacco mirato, che imita il tentativo di accesso di un hacker al sistema informatico aziendale.
Per effettuare questa analisi vengono testate varie metriche come: il vettore e la complessità dell’attacco, i privilegi richiesti, l’interazione con l’utente e gli impatti sui dati e le risorse gestite dal sistema che presenta la vulnerabilità. Prendendo quindi in considerazione queste metriche viene calcolato un punteggio che rappresenta la gravità della vulnerabilità rilevata che permette di valutare il rischio come basso, medio, alto o critico.
I problemi di sicurezza rilevati tramite Pen Test verranno successivamente elencati e spiegati al cliente proprietario del sistema in un report, dove sarà inoltre presente una valutazione del possibile impatto e una soluzione tecnica per la mitigazione delle criticità. Questa valutazione verrà quindi utilizzata dal cliente per attuare le strategie necessarie per la sicurezza della propria infrastruttura IT.
A seconda delle esigenze dell’utente, per effettuare queste indagini, è possibile procedere scegliendo una delle possibili modalità di analisi, ognuna con caratteristiche e obiettivi diversi:
- Black Box Testing: viene eseguito senza conoscere nessun tipo di informazione in merito a struttura interna, strumenti, sistemi di difesa attivi, programmi e codice sorgente. Tramite questa procedura viene quindi testata la funzionalità del software e viene verificato se gli input e gli output del sistema soddisfano i requisiti specificati identificando eventuali ambiguità.
- White Box Testing: per eseguire questo tipo di test è necessaria una conoscenza approfondita dell’infrastruttura, dagli schemi di rete ai codici sorgente delle applicazioni web perché prevede l’analisi della struttura interna del software e della logica sottostante.
- Grey Box Testing: è una combinazione di black box test e white box test e viene eseguito con una conoscenza parziale dell’infrastruttura. Adatto per testare le applicazioni web perché non hanno codice sorgente o binari, ha lo scopo di ricercare eventuali anomalie dovuti a struttura impropria o uso improprio delle applicazioni web.
