Vulnerability Scanning per chi parte da zero (o quasi)
Nel mondo iperconnesso di oggi, attacchi informatici e data breach sono all’ordine del giorno. Almeno una volta a settimana, puoi star certo che le principali notizie saranno dedicate all’ultimo incidente informatico. Con il costo totale medio di un data breach arrivato a 3,92 milioni di dollari, puoi ben capire come mai la sicurezza informatica è una preoccupazione crescente per le aziende di tutto il mondo.
In questo scenario, occorre mettere in pratica tutta una serie di best practice legate alla cybersecurity in grado di tenere l’azienda al passo con le più moderne trovate degli hacker. Il Vulnerability Scanning è una di queste: è infatti una componente fondamentale di ogni strategia di sicurezza informatica, ma può essere complicata e difficile da compiere.
Sia che la tua azienda stia appena iniziando il suo percorso per diventare più sicura, sia che stia cercando di migliorare i controlli di sicurezza esistenti e vorrebbe saperne di più su come funziona il vulnerability scanning, questo articolo ha qualcosa per te ed è adatto anche (Vulnerability Scanning) per chi parte da zero
Cos’è il vulnerability scanning?
Il vulnerability scanning è, in poche parole, l’uso di tool e software professionali e specializzati per identificare e segnalare problemi di sicurezza (noti come vulnerabilità) presenti nei sistemi.
I vulnerability scanner hanno spesso a disposizione migliaia di test automatizzati e, sondando e raccogliendo informazioni sui sistemi dei tuoi clienti, possono identificare falle di sicurezza che potrebbero essere utilizzate dagli hacker per rubare informazioni sensibili, ottenere accessi non autorizzati ai sistemi o bloccare le attività lavorative.
Forte di questa conoscenza, un Menaged Service Provider come Studio Griffanti, che cerca di proteggere un cliente, può quindi intervenire per rimediare ai punti deboli della sicurezza scoperti. Questo processo continuo di identificazione e correzione dei punti deboli di un sistema è noto come Vulnerability Management.
Tool di vulnerability scanning: a chi sono rivolti?
Le notizie tendono a concentrarsi sulle violazioni della sicurezza più importanti, cioè quelle che di solito colpiscono le grandi aziende.
Quindi è comprensibile tu creda di non poter essere vittima di un attacco, perché visto come un problema da “grande azienda”. Tuttavia, gli hacker non perdonano, perché quando si tratta di sicurezza informatica, piccolo non significa sicuro.
Nel Regno Unito, un recente sondaggio ha evidenziato come quasi due terzi (61%) delle aziende di medie e grandi dimensioni hanno subito almeno un attacco o una violazione della sicurezza informatica negli ultimi 12 mesi, ma anche che le piccole imprese non fanno eccezione: il 32% ha subito un attacco o una violazione dei sistemi.
Cosa se ne deduce?
Questi risultati mostrano che ogni tipo di azienda dovrebbe prendere sul serio le minacce che sono là fuori e sviluppare una strategia di sicurezza efficace che le resista.
Potresti pensare di non avere nulla che valga la pena hackerare. Ma siamo nel 2022 e praticamente ogni azienda, per operare, fa affidamento sulla tecnologia.
Che si tratti di contenuti marketing o di un blog su un sito Web, di gestire applicazioni o servizi legati a Internet o semplicemente dei laptop utilizzati dai dipendenti per lavorare, c’è sempre qualcosa che potrebbe essere attaccato.
Tutti questi sistemi formano una superficie di attacco che gli hacker possono prendere di mira. Una violazione che va a segno porta ad attacchi ransomware o persino a un data breach, che a sua volta possono comportare un esodo di clienti verso un concorrente o una pesante multa GDPR.
Lo sviluppo di una strategia di sicurezza completa per mitigare queste minacce è un processo che richiede anni per essere corretto e dovrebbe cambiare e adattarsi costantemente man mano che un’azienda cresce e il panorama delle minacce si evolve.
I vulnerability scanner offrono un ottimo punto di partenza, consentendoti di identificare i punti deboli più gravi dei tuoi sistemi, in modo da reagire prima che un malintenzionato ne tragga vantaggio.
In breve, ogni azienda dovrebbe capire dove sono le proprie vulnerabilità informatiche e risolverle.
Vulnerability Scanning vs Penetration Testing
Il vulnerability scanning non è l’unico modo per scoprire quali vulnerabilità influiscono sui sistemi dell’azienda del tuo cliente: anche il penetration testing è comunemente usato per verificarne la presenza.
Tuttavia, i due metodi differiscono in modo abbastanza significativo in ciò che hanno da offrire e nel costo, quindi è ragionevole chiedersi quale dei due è più appropriato per te e con quale frequenza dovrebbe essere eseguito.
Sia il vulnerability scanning che il penetration testing hanno pro e contro.
Il primo ha il vantaggio di poter essere eseguito periodicamente a un costo inferiore, in modo che le nuove falle nella sicurezza possano essere identificate subito dopo la loro comparsa.
I secondi, invece, vengono generalmente eseguiti dopo una consulenza e comportano varie spese di tempo e denaro che possono rallentare i progetti o essere proibitivi in termini di frequenza di esecuzione dei test.
Tuttavia, se eseguiti da professionisti qualificati e capaci, questi test possono rilevare problemi di sicurezza più complessi o specifici, problemi che richiedono l’intervento umano per essere scoperti.
Ognuno è valido a modo suo e, se il budget lo consente, è sicuramente una buona pratica impiegare una combinazione di entrambi. Tuttavia, se stai cercando di proteggere la tua attività per la prima volta, consigliamo di iniziare con il vulnerability scanner e di testare regolarmente la superficie di attacco esposta.
C’è un elemento importante in tutto ciò: il GDPR. Può essere visto come una noiosa complicazione burocratica con cui essere conformi per “evitare la multa”, ma anche come uno stimolo a pensare a come rivedere i processi aziendali, divenendo una grande opportunità per migliorare il proprio business.
Diversi tipi di Vulnerability Scanning
Esistono molti tipi di vulnerability scanner che eseguono diverse attività di sicurezza e coprono diversi scenari di attacco.
Ad esempio, un hacker potrebbe entrare in una rete interna attraverso una vulnerabilità su un server Web esposto o tramite un software senza patch sulla workstation di un dipendente.
Per identificare questi vettori di attacco occorrono diversi casi d’uso dei vulnerability scanner, per questo è necessario che sia un’azienda specializzata ad occuparsi dell’attività.
I casi d’uso principali sono:
- vulnerability scanner basati sulla rete
- vulnerability scanner basati sugli agent
- vulnerability scanner delle applicazioni Web
Di seguito li vedremo più nel dettaglio.
Vulnerability Scanner di rete
I vulnerability scanner di rete sono così chiamati perché scansionano i sistemi attraverso la rete, inviando sonde alla ricerca di porte e servizi aperti per poi sondare ulteriormente ogni servizio per trovare informazioni, punti deboli o vulnerabilità.
Il modo in cui funziona può variare, si può installare un’appliance hardware all’interno della rete o distribuire un’appliance virtuale su una macchina virtuale, quindi eseguire scansioni da quella macchina verso tutte le altre presenti sulla rete.
Un vantaggio di questo tipo di scanner è che sono veloci da configurare permettendo di iniziare la scansione in tempi brevi.
Tuttavia, possono diventare più complicati quando si tratta di mantenere le appliance aggiornate e tenerle al passo con i cambiamenti sulla rete.
Ciò è particolarmente vero quanto più complicate diventano le reti e il numero di scanner necessari aumenta per coprirne ogni segmento.
Interno vs Esterno
Gli scanner di rete sono spesso configurati per scansionare reti “interne” o reti “esterne”.
In generale, più grandi e complesse diventano le reti private, più sarà necessario anche l’utilizzo di uno scanner di rete interno in grado di controllare i sistemi per individuare eventuali punti deboli che potrebbero comprometterne l’integrità.
Le aziende più piccole con un’impronta moderna potrebbero decidere di non effettuare in anticipo la scansione interna.
Tuttavia, anche queste aziende trarrebbero vantaggio dalla scansione interna basata sugli agent, in quanto le vulnerabilità sui dispositivi dei dipendenti potranno essere identificate ed esser patchate.
Scansione di rete esterna
Un vulnerability scan esterno è semplicemente quello che scansiona i sistemi dall’esterno. Ciò significa che le sonde dello scanner provengono da un indirizzo Internet non attendibile che si trova al di fuori di qualsiasi rete privata dell’azienda. Simulano le attività di un aggressore remoto esaminando quali sistemi e servizi sono esposti su Internet e cercandone le vulnerabilità.
Sebbene la quantità di informazioni che possono essere scoperte da queste scansioni sia limitata rispetto ad altri tipi, possono rivelarsi molto utili per capire cosa possono vedere gli aggressori. Questo perché se un hacker riesce a vedere un punto debole, è molto probabile che lo sfrutterà.
Alcuni vulnerability scanner sono ben configurati per far fronte a questa situazione e hanno scanner pronti nel cloud, quindi non è necessaria alcuna distribuzione o gestione dei sistemi. Basta puntare e cliccare.
Altri potrebbero richiedere di configurare il dispositivo di scansione e gestirlo su base continuativa. Sebbene tali servizi possano essere più economici, le spese generali a volte possono non valere la differenza di costo.
Scansione di rete interna
I vulnerability scan interni sono progettati per individuare i punti deboli dei sistemi che non espongono porte o servizi a Internet. Questo tipo di vulnerability scanning aiuta a coprire una serie di scenari di attacco che non potrebbero essere scansionati dagli scanner esterni.
Ad esempio, se una versione obsoleta del browser Firefox è in uso su un laptop aziendale, la macchina potrebbe essere vulnerabile agli attacchi se un utente visita un sito Web dannoso.
Allo stesso modo, potrebbero esserci vulnerabilità nelle porte o nei servizi esposti da un dispositivo all’interno di una rete privata (come le falle nel servizio SMB), che non possono essere rilevati da uno scanner esterno.
Gli scanner interni funzionano sostanzialmente allo stesso modo di quelli esterni, ad eccezione del fatto che il dispositivo di scansione si trova dentro una rete interna, quindi è possibile valutare i servizi e i dispositivi esposti solo all’interno di una rete privata.
Le scansioni interne possono essere utili per identificare i dispositivi potenzialmente vulnerabili di cui non si era a conoscenza, poiché possono scansionare grandi segmenti di rete.
Tuttavia, possono essere inefficaci nel fornire informazioni dettagliate a meno che non vengano fornite le credenziali per l’accesso ai sistemi e per eseguire query su patch e dati di configurazione specifici. Questo è noto come “scansione autenticata”.
La scansione autenticata può fornire informazioni molto più dettagliate sulla vulnerabilità, ma può essere difficile da configurare e mantenere. Per questo motivo, un’alternativa diffusa è l’esecuzione di scanner basati sugli agent.
Scanner basati sugli agent
La scansione basata sugli agent viene eseguita installando software leggeri su ciascun dispositivo da coprire, che possono eseguire vulnerability scan locali e inviare report a un server centrale con i risultati.
Allo stesso modo delle scansioni di rete autenticate, questo tipo di scanner può rilevare un’ampia gamma di vulnerabilità, comprese le debolezze del software che non espone porte o servizi per l’accesso. Anche se può richiedere un po’ più di tempo, l’agent ha il vantaggio che una volta installato può continuare a inviare report anche se il dispositivo su cui è installato si trova al di fuori della rete aziendale.
Entrambi i tipi di scanner interni hanno pregi e difetti. Per le aziende moderne con reti interne semplici e la maggior parte dell’infrastruttura nel cloud, uno scanner basato sugli agent sarebbe la scelta logica.
Per le aziende con reti interne complesse la scelta è un po’ più difficile e per le aziende più mature – e dove il budget lo consente – dovrebbe essere presa in considerazione l’implementazione di una combinazione di entrambi i tipi di scanner.
Scanner sensibili al contesto
Alcuni scanner possono essere utilizzati per verificare la presenza di punti deboli sia da una prospettiva esterna che interna, ma non tutti sono in grado di segnalare problemi nel contesto in cui è stata rilevata la vulnerabilità. Molti scanner attrezzati per eseguire scansioni interne ed esterne non segnalano i problemi di sicurezza che derivano da tecnologie che normalmente non dovrebbero essere esposte all’esterno.
Ad esempio, il noto ransomware “WannaCry” si è diffuso sfruttando i servizi di internet-facing delle PMI (servizi progetti per le reti locali). Questo è un esempio di un servizio che non dovrebbe mai essere esposto a Internet, ma molti dei principali vulnerability scanner non lo evidenzieranno come un problema di sicurezza, poiché non considerano il contesto di ciò che rilevano né il fatto che la scansione provenga da una prospettiva interna o esterna.
Questa situazione, evidenzia come sia fondamentale rivolgersi ad aziende specializzate in sicurezza e Vulnerability Assessment per analizzare i risultati delle scansioni.
Scanner delle applicazioni Web
I vulnerability scanner delle applicazioni Web sono un tipo di scanner specializzato nella ricerca di vulnerabilità nelle applicazioni e nei siti Web.
Funzionano “scansionando” un sito o un’applicazione in modo simile a come farebbe un motore di ricerca, inviando una serie di sonde a ciascuna pagina o modulo che trova per cercare i punti deboli.
Molti vulnerability scanner includono la scansione delle applicazioni Web come parte della loro offerta, sebbene possa essere concessa separatamente in licenza. Altri sono dedicati esclusivamente alla scansione delle applicazioni Web, mentre alcuni la includono insieme a una serie di altri controlli.
E importante che lo scanner possa eseguire o meno la scansione autenticata delle applicazioni Web.
La scansione autenticata è quando l’applicazione viene scansionata oltre la pagina di accesso, dal punto di vista di un hacker o di un utente malintenzionato che possiede le credenziali per accedere all’app.
In questa carrellata abbiamo cercato di sensibilizzare i Manager e i titolari di azienda su un argomento, quello della sicurezza, sempre più attuale.
Prevedere un Vulnerabilty Assessment alla rete aziendale permette di anticipare problemi che possono causare danni anche molto gravi. Lo si deve considerare come un check, una radiografia alla salute dell’infrastruttura per scoprire vulnerabilità e criticità e consentire l’intervento puntuale per rimettere tutto in sicurezza.
Vulnerability Scanning per chi parte da zero