Nell’ottica della predisposizione di strumenti di protezione di cyber-security, è pratica comune eseguire una fase di vulnerability assessment, che solitamente culmina con un’attività di penetration test.
Penetration test e vulnerability assessment: cosa trovano e che limiti hanno
Un’attività indispensabile, che permette di individuare eventuali falle di sicurezza e vulnerabilità non solo a livello di infrastruttura, ma anche di procedure e policy interne all’azienda. Il test, condotto da un “Red Team” composto da specialisti di sicurezza informatica, può comprendere un ambito squisitamente tecnologico (attacchi di rete o attraverso malware) o coprire anche un ambito fisico, come gli accessi ai locali della società. Nonostante si tratti di uno strumento estremamente utile per mettere in luce eventuali debolezze nei sistemi informatici, però, un penetration test favorevole non può essere considerato una garanzia di essere al riparo da possibili attacchi informatici.
Penetration test e professionisti del cyber-crimine
La logica di un penetration test è quella di mettere alla prova i sistemi di sicurezza di fronte a una minaccia che si distingue dai cosiddetti “attacchi opportunistici”, quelli cioè che sfruttano occasionali vulnerabilità o che adottano strategie basate su campagne diffuse, che “pescano nel mucchio” attraverso l’invio, per esempio, di malware allegati a messaggi email che vengono distribuiti su larga scala. Il focus di un penetration test è piuttosto quello di valutare la vulnerabilità dell’azienda nei confronti di attacchi mirati, portati da cyber-criminali che utilizzano strumenti evoluti e tecniche personalizzate. In uno scenario simile, è lecito aspettarsi che i pirati informatici agiscano solo dopo un’attenta pianificazione, utilizzando tecniche come lo spear phishing, cioè l’utilizzo di messaggi di posta malevoli confezionati su misura per indurre una specifica vittima ad attivare il malware.
Perché il penetration test non basta
Il vulnerability assessment basato sui penetration test ha una sua funzione specifica: individuare i punti deboli, le vulnerabilità e configurazione errate che possono permettere l’accesso non autorizzato ai sistemi. Un’attività che garantisce un livello di protezione elevato e che ha, come effetto, anche quello di disincentivare l’attacco di un hacker secondo la logica per cui non è necessario correre più veloce dell’orso, ma correre più veloci dei tuoi amici. Fuor di metafora, l’assessment e la predisposizione di una difesa efficace a livello di perimetro può indurre un pirata informatico a considerare l’attacco troppo “dispendioso” e a scegliere altri bersagli. Purtroppo, questa strategia non funziona sempre. Se l’attaccante è sufficientemente motivato e ha sufficienti mezzi a sua disposizione, potrà perseverare nella sua attività e, inevitabilmente, riuscirà prima o poi a fare breccia. Anche la fortezza più impenetrabile, infatti, nasconde qualche passaggio nascosto e un hacker è sempre in grado di individuarlo o, se è il caso, crearlo.
Gli attacchi "invisibili" al penetration test
Da questo punto di vista, una delle maggiori vulnerabilità è rappresentata dalla possibilità che i pirati informatici adottino una tecnica di attacco “indiretta”, prendendo di mira per esempio un fornitore o un cliente con cui l’azienda ha abitualmente rapporti commerciali per poi usarlo come testa di ponte per attaccare il “bersaglio grosso”. Si tratta di una strategia adottata spesso dagli hacker, che quando si trovano ad avere a che fare con un osso particolarmente duro, preferiscono aggirare il problema cercando un “soft spot” all’esterno del classico perimetro. Potranno poi sfruttare la posizione di vantaggio che si sono guadagnati per colpire il vero obiettivo.
Oltre il penetration test
Come tutelarsi allora? Il cambio di prospettiva proposto dagli esperti di sicurezza è quello di considerare sempre e comunque il “worst case”, cioè partire dal presupposto che un’intrusione può sempre avvenire. Da questa premessa nasce l’esigenza di superare la logica di creare una difesa impenetrabile e di affiancare ai classici strumenti di protezione un sistema granulare di rilevamento delle attività all’interno della rete. Insomma: non basta cercare di tenere fuori i pirati, bisogna fare in modo che un eventuale intrusione sia rilevata il prima possibile in modo da poter mettere in campo le contromisure del caso.
