Che significa Ethical Hacking? Si tratta di autorizzare il test dei sistemi informatici per individuare e correggere vulnerabilità, simulando attacchi hacker per prevenire lo sfruttamento da parte di malintenzionati.
Tutti noi cerchiamo di difendere le nostre reti ed i nostri dati. Ogni anno lavoriamo per migliorare la nostra sicurezza informatica, anzi operiamo sempre su due fronti, come spesso raccomandato: alzare l’asticella della sicurezza e implementare un piano B.
Però manca spesso un tassello fondamentale: non proviamo nel pratico a misurare se tutto questo funziona davvero.
Come il disaster recovery va testato, anche le misure di difesa della rete devono essere verificate, semplicemente per capire se funzionano.
Non solo: possiamo scoprire che ci siamo dimenticati di tappare alcuni buchi, che non abbiamo chiuso tutte le falle o che vulnerabilità considerate minori sono in realtà sfruttabili dai pirati informatici per violare la rete e rubare dati.
Ethical Hacker: chi è e come diventarlo
Ecco allora entrare in campo la figura dell’hacker etico, ovvero il “pirata buono”, il cui compito è attaccare i sistemi per capire fin dove si può arrivare.
Un ethical hacker di qualità a mio avviso deve essere ben preparato su più fronti, tra cui non possono mancare:
- Formazione informatica
- Reti e procolli (Linux e Python sono indispensabili in questo campo)
- Tecniche specifiche per il penetration testing come password cracking, sniffing, DoS, social engineering, e phishing.
Le aziende più strutturate non si limitano ad un solo ethical hacker, ma arrivano a organizzare veri e propri gruppi:
- Blue Team, che difende
- Red Team, che attacca
Ricordo inoltre che anche la normativa NIS2 raccomanda alle organizzazioni di verificare la tenuta dei propri sistemi di difesa.
Tecniche di Hacking Etico: le fasi del test
Le attività comprese nel test del livello di protezione dei sistemi informatici sono spesso viste come un unico grande insieme di controlli, ma in realtà sono task ben distinti, in cui troviamo:
- Vulnerability Assessment e Vulnerability Management
- BAS (Breach Attack & Simulation) e trappole di rete
- Penetration Test:
- sulla rete
- sull’Active Directory
- sulle applicazioni
Vulnerability Assessment: identificare lo stato di rischio
Il Vulnerability Assessment (VA) è l’approccio più leggero, sia dal punto di vista tecnico che economico.
Si esegue facilmente, in modo non invasivo, e fornisce un output tecnico.
I limiti però sono diversi:
- vengono rilevate molte vulnerabilità, spesso troppe da gestire
- la scala di pericolosità è statistica, non contestualizzata
- manca un report executive comprensibile per il management
Per questo motivo si affianca il Vulnerability Management, che permette di:
- contestualizzare le vulnerabilità
- capire quali sono realmente sfruttabili
- definire priorità di intervento
Spesso questo servizio è gestito dai fornitori SOC.
Il Vulnerability Assessment offerto da Meet It è un check up completo dei sistemi IT, un’analisi ampia, effettuata con strumenti software ad hoc, al fine di trovare e classificare vulnerabilità del sistema.
Penetration Test: simulare un attacco reale
Il salto di qualità si ha con il Penetration Test (PenTest).
Se il Vulnerability Assessment (VA) individua le falle, il PenTest le sfrutta per capire:
- da dove entrare (attacco esterno)
- quali vulnerabilità usare (attacco interno)
- come esfiltrare o compromettere i dati
PenTest sull’Active Directory
Un approccio sempre più diffuso riguarda l’Active Directory (AD), vero cuore delle reti aziendali.
L’obiettivo degli attaccanti è:
- rubare credenziali amministrative
- oppure partire da credenziali utente e scalarle
Esistono servizi specifici per:
- misurare la postura di sicurezza dell’AD
- individuare percorsi di attacco reali
Penetration Test applicativo
Per chi utilizza applicazioni critiche o sviluppate ad hoc, è possibile eseguire test mirati per “bucare” i software.
Questi test servono a capire:
- fino a che punto i dati sono esfiltrabili
- se possono essere manomessi
Tra le molte verticalità che abbiamo a disposizione, Meet It offre un servizio di Penetration Testing Continuativo (P3NTATION), che include:
- Controlli Pre-Exploitation: Email Gateway, Web Gateway, Web Application Firewall
- Controlli Exploitation: Endpoint Security, Phising Awarness
- Controlli Pos-Exploitation: Lateral Movement, Data Exfiltration
I limiti dei Penetration Test tradizionali
Per loro natura, i PenTest portano con sé alcune limitazioni:
- gli attacchi evolvono continuamente, ragion per cui i test andrebbero aggiornati periodicamente ed eseguiti in modo continuativo
- i test generano traffico e disturbo sulla rete, il che può causare a sua volta rallentamenti operativi
BAS: Breach Attack & Simulation
Per superare questi limiti sta prendendo piede il modello BAS (Breach Attack & Simulation).
Non si tratta di un attacco reale, ma di una simulazione continua in un ambiente parallelo.
È come avere un “gemello” dell’infrastruttura su cui testare gli attacchi, ad esempio sull’Active Directory.
Il 3BAS di Meet It automatizza i test che una volta venivano fatti solo manualmente dai PenTester. È una piattaforma AI-Driven e Agentless, che simula il comportamento di un Red Team Umano con attacchi costanti (es. esecuzione di malware, esfiltrazione dati) per verificare se i sistemi di difesa (Firewall, EDR, SIEM) sono configurati correttamente e pronti a rispondere.
Cyber Deception: le trappole di rete
Un altro approccio consiste nell’installare trappole nella rete:
- PC finti
- server esca
Se qualcuno prova ad attaccarli, è sicuramente un intruso.
In quel momento il pirata è già dentro la rete: ed è fondamentale accorgersene subito.
Conclusione
Tutto questo porta a un principio semplice: i sistemi di difesa vanno testati.
Non basta implementarli, bisogna verificare che funzionino davvero.
D’altronde, chi di noi non ha provato l’allarme appena installato in casa?
Giuseppe Mazzoli – CEO 3CiME
