Vulnerability Assessment & Penetration Test
CONTESTO DI RIFERIMENTO
Una vulnerabilità è definita nello standard ISO 27000 come "una debolezza di una risorsa o di un gruppo di risorse che può essere sfruttata da una o più minacce" (ISO/IEC 27000:2018). Ogni sistema informatico presenta delle vulnerabilità che sono insite nella propria architettura o che possono essere causate da un’errata configurazione dei sistemi. Queste falle di sicurezza, se sfruttate opportunamente da un attaccante, permettono accessi non autorizzati ai sistemi IT e potenzialmente a dati riservati dell’azienda, compromettendone la riservatezza, l’integrità o la disponibilità.
Al fine di individuare sistemi vulnerabili ed applicare le opportune contromisure riducendo il rischio di attacchi informatici, sono necessari strumenti e competenze specifiche. L’attività più efficace per l’identificazione e la valutazione delle vulnerabilità di sistemi e applicativi è il Vulnerability Assessment e Penetration Testing (VA/PT).
OGGETTO DEL SERVIZIO
Il Vulnerability Assessment valuta il livello di sicurezza dell’infrastruttura IT e l’esposizione delle proprie componenti verso possibili attacchi informatici, esterni o interni, volti ad eludere le contromisure di sicurezza in essere al fine di ottenere l’accesso, non autorizzato, agli asset e alle informazioni aziendali. La modalità di svolgimento di questa tipologia di assessment non prevede l’esecuzione di un attacco informatico, bensì replica la fase di ricognizione focalizzata nell’analisi approfondita dello stato dei sistemi in rete per riscontrarne eventuali problemi, quali ad esempio sistemi operativi ed applicativi non aggiornati, password di default, errate politiche di accesso alle informazioni, configurazioni applicative non sicure, etc.
L’attività di Vulnerability Assessment può essere svolta secondo le seguenti modalità:
- Non autenticata: le scansioni sono effettuate senza l’utilizzo di credenziali di accesso ai sistemi; il test è mirato a valutare la robustezza dell’infrastruttura IT simulando un attaccante che non ha accesso ai sistemi;
- Autenticata: le scansioni sono eseguite con le credenziali di accesso ai sistemi al fine di individuare anche le vulnerabilità accessibili come utente di sistema e per analizzare l’hardening, le policy di sicurezza, lo stato di aggiornamento dei sistemi, etc.
L’attività di Penetration Testing invece è la fase successiva di un’attività di Vulnerability Assessment, in un’ottica di sicurezza proattiva in cui l’obiettivo dell’Ente è quello di identificare prima e verificare poi le possibili vulnerabilità del proprio sistema informativo e delle relative applicazioni. L’attività di Penetration Test fornisce infatti indicazioni in merito al reale grado di compromissibilità dei sistemi dell’Ente, rispetto a quali vulnerabilità possano rappresentare un problema ad impatto certo per il suo patrimonio informativo, perché realmente sfruttabili da un attaccante. In base agli standard internazionali di riferimento (es. OSSTMM), possono essere indirizzate le seguenti diverse tipologie di Penetration Test:
- Blind (o Black Box): in questo tipo di test l’attaccante non conosce minimamente il sistema da analizzare. L’unica informazione che possiede è il target (indirizzi IP o URL);
- Double Blind: è simile all’attacco Blind, con la differenza che solo una parte del personale del committente è al corrente del test. Si utilizza per verificare se il personale interno dedicato alla sicurezza svolge correttamente il proprio lavoro;
- Gray Box: sia l’attaccante che l’attaccato sono pienamente a conoscenza sia del sistema informatico da analizzare che delle modalità di attacco. Viene utilizzato per testare i sistemi interni dell’azienda;
- Double Gray Box: è un test Grey box a cui si aggiunge la conoscenza delle credenziali di accesso. Viene utilizzato per testare la possibile escalation degli utenti;
- Tandem: in questo caso viene effettuata un’analisi del codice. Tester e committente operano in collaborazione.;
- Reversal: si tratta di un test a uso interno per verificare la capacità del Team specialistico.
Vi è inoltre il Penetration test per applicazioni web che fornisce un’analisi approfondita dei problemi di sicurezza, errori di configurazione o vulnerabilità presenti all’interno delle applicazioni web. Solitamente queste attività sono effettuate in modalità black-box e la metodologia utilizzata segue le linee guida definite dallo standard OWASP (Open Web Application Security Project).
Relativamente al servizio VA-PT, l’Ente potrà scegliere in maniera modulare o cumulativa (bundle) di testare uno o più dei seguenti sistemi:
WAPT (Web Application Penetration Testing) su rete interna e dominio applicativo dell'intranet |
WAPT (Web Application Penetration Testing) sul sito web con hosting su server in cloud |
Server di File Sharing: sistema su datacenter, con NAS con VPN e firewall in load balancing attivo/passivo |
Referente del servizio
Dott. Marco Albertini
Per informazioni sul servizio erogato, rimane reperibile il Responsabile Operativo e Sviluppo Nuovi Servizi Dott. Marco Albertini ai seguenti recapiti:
Email: coordinatore-cst@provincia.lecco.it
Telefono: 388 833 5326
Personale addetto
Claudio Giannetta
Email: centrosistema@provincia.lecco.it
Telefono: 0341.295295
Disponibile dal lunedì al venerdì, dalle ore 8.30 -13.00 e dalle 13.30 -16:30