Tutti noi cerchiamo di difendere le nostre reti ed i nostri dati. Ogni anno lavoriamo per migliorare la nostra sicurezza informatica, anzi operiamo sempre su due fronti, come spesso raccomandato: alzare l’asticella della sicurezza e implementare un piano B.
Però manca spesso un tassello fondamentale: non proviamo nel pratico a misurare se tutto questo funziona davvero.
Come il Disaster Recovery va testato, anche le misure di difesa della rete devono essere verificate, semplicemente per capire se funzionano. Non solo: possiamo scoprire che ci siamo dimenticati di tappare alcuni buchi, che non abbiamo chiuso tutte le falle o che vulnerabilità considerate minori sono in realtà sfruttabili dai pirati informatici per violare la rete e rubare dati.
Il ruolo dell’Ethical Hacker
Ecco allora entrare in campo la figura dell’ethical hacker, ovvero il “pirata buono”, il cui compito è attaccare i sistemi per capire fin dove si può arrivare.
Le aziende più strutturate arrivano a organizzare veri e propri gruppi:
- Blue Team, che difende
- Red Team, che attacca
Ricordo inoltre che anche la normativa NIS2 raccomanda alle organizzazioni di verificare la tenuta dei propri sistemi di difesa.
Tipologie di attività di Ethical Hacking
Queste attività possono essere declinate in vari modi, che riassumo schematicamente:
- Vulnerability Assessment e Vulnerability Management
- Penetration Test:
- sulla rete
- sull’Active Directory
- sulle applicazioni
- BAS (Breach Attack & Simulation) e trappole di rete
Vulnerability Assessment: il primo livello di analisi
Il Vulnerability Assessment (VA) è l’approccio più leggero, sia dal punto di vista tecnico che economico.
Si esegue facilmente, in modo non invasivo, e fornisce un output tecnico.
I limiti però sono diversi:
- vengono rilevate molte vulnerabilità, spesso troppe da gestire
- la scala di pericolosità è statistica, non contestualizzata
- manca un report executive comprensibile per il management
Per questo motivo si affianca il Vulnerability Management, che permette di:
- contestualizzare le vulnerabilità
- capire quali sono realmente sfruttabili
- definire priorità di intervento
Spesso questo servizio è gestito dai fornitori SOC.
Penetration Test: simulare un attacco reale
Il salto di qualità si ha con il Penetration Test (PenTest).
Se il VA individua le falle, il PenTest le sfrutta per capire:
- da dove entrare (attacco esterno)
- quali vulnerabilità usare (attacco interno)
- come esfiltrare o compromettere i dati
Focus sull’Active Directory
Un approccio sempre più diffuso riguarda l’Active Directory (AD), vero cuore delle reti aziendali.
L’obiettivo degli attaccanti è:
- rubare credenziali amministrative
- oppure partire da credenziali utente e scalarle
Esistono servizi specifici per:
- misurare la postura di sicurezza dell’AD
- individuare percorsi di attacco reali
Penetration Test applicativo
Per chi utilizza applicazioni critiche o sviluppate ad hoc, è possibile eseguire test mirati per “bucare” i software.
Questi test servono a capire:
- fino a che punto i dati sono esfiltrabili
- se possono essere manomessi
Il limite dei Penetration Test tradizionali
I penetration test, per essere efficaci, dovrebbero essere eseguiti in modo continuativo.
Il problema è che:
- gli attacchi evolvono continuamente
- i test generano traffico e disturbo sulla rete
- possono causare rallentamenti operativi
BAS: Breach Attack & Simulation
Per superare questi limiti sta prendendo piede il modello BAS (Breach Attack & Simulation). Non si tratta di un attacco reale, ma di una simulazione continua in un ambiente parallelo. È come avere un “gemello” dell’infrastruttura su cui testare gli attacchi, ad esempio sull’Active Directory.
Cyber Deception: le trappole di rete
Un altro approccio consiste nell’installare trappole nella rete:
- PC finti
- server esca
Se qualcuno prova ad attaccarli, è sicuramente un intruso.
In quel momento il pirata è già dentro la rete: ed è fondamentale accorgersene subito.
Conclusione
Tutto questo porta a un principio semplice: i sistemi di difesa vanno testati. Non basta implementarli, bisogna verificare che funzionino davvero.
D’altronde, chi di noi non ha provato l’allarme appena installato in casa?
Giuseppe Mazzoli – CEO 3CiME