Cosa si fa quando non ci si sente bene ma non ne è chiaro il motivo? Si va da un medico, che da par suo prescriverà analisi ed esami specifici per rilevare il problema. E dopo - ma solo dopo - indicherà la cura più opportuna.
Qualcosa di analogo si può fare con i dispositivi aziendali: li si sottopone a check specifici e prolungati per individuare i punti in cui c’è un malessere potenzialmente molto dannoso, che non rimosso può diventare il punto di avvio di un attacco.
L’analisi è compito del Compromise Assessment, l’attività che verifica lo stato di compromissione dell’ambiente digitale di un’azienda, scansionandone in profondità la rete per individuare tracce di attività malevole. Per mezzo di un software installato su tutti gli endpoint dell’azienda stessa si analizzano i contenuti delle macchine, il loro stato di configurazione, il comportamento, gli host con i quali si collegano. In sintesi: ne si analizza la vita, anche per un periodo prolungato.
A caccia di potenziali pericoli
«L’attività di compromise assessment ha uno scopo ben definito - racconta Lorenzo Bernini, Managing Director Middle East per HWG -. Pensiamo a un attacco eclatante, capace anche di distruggere le business operations di un’azienda. Non è mai un’operazione che si fa dall’oggi al domani, ma si estende nel tempo. Attraverso una compromissione l’attaccante resta nell'ambiente per settimane o mesi, compie movimenti laterali, fa un'escalation di privilegi per poi ottenere quelli corretti ed effettuare l’attacco. Per lui rimanere nascosto durante tutto questo tempo è fondamentale: una volta acquisita la conoscenza della rete infiltrata, sferra i suoi colpi».
Con il Compromise Assessment è quindi possibile quindi effettuare un controllo sulla salute dell’ambiente per rilevare lo stato di compromissione delle macchine in un dato momento. E a proposito di momento, ci si chiede quando è appunto il momento migliore per eseguirlo. «Più che di tempi, parlerei di opportunità - prosegue Bernini -. Tutte le aziende che non hanno attivato un servizio SOC, di monitoraggio e incident response, sono invitate a effettuare un Compromise Assessment. La tendenza generale è procedere con i vulnerability assessment e i penetration test, ma ciò serve solo a identificare le vulnerabilità e darci l’esposizione al rischio. Sappiamo quindi quanti sono i punti vulnerabili, quali sono critici, quali sono le probabilità di essere sfruttate. Insomma, è statistica. Ma dobbiamo andare oltre, e svolgere un’attività proattiva per individuare una compromissione, essere consapevoli della violazione e attivare una remediation per eliminare l’attaccante dal perimetro aziendale e bonificare ambiente digitale».
In cosa consiste il Compromise Assessment
Anche se è l’azienda cliente a scegliere gli asset da scansionare, il consiglio di HWG è di effettuare una scansione su tutti gli endpoint della rete, attraverso scanner dedicati. Al termine, un analista studierà i risultati per poi avvisare tempestivamente l’azienda, dare il doveroso supporto nel processo di remediation ed escludere falsi positivi. L’analista preparerà anche un report con un executive summary, per illustrare in modo chiaro e completo i risultati dell’assessment, con informazioni dettagliate e tecniche sui risultati.
I vantaggi di questo approccio sono evidenti. «Come ho detto, le aziende sono focalizzate sulla ricerca di vulnerabilità, emerge un trend sulla verifica dell’ambiente per evitare gli effetti di un attacco - conclude Bernini -. Questa verifica è decisiva: dà il tempo di proteggersi, riesce a eliminare gli accessi remoti al sistema. Ed è anche un buon punto di partenza per fare awareness e per consentire ai team IT di essere più forti verso i board nel comunicare l’urgenza di proteggersi. Permette di far capire il valore di un SOC e può portare l’azienda a intraprendere un percorso che non ha ancora iniziato verso una maggiore sicurezza informatica».