Cosa significa Vulnerability Assessment? Ecco come si articola e perché un’azienda dovrebbe eseguire un controllo delle vulnerabilità

Cos’è il Vulnerability Assessment

In ambito informatico, per Vulnerability Assessment si intende quel processo finalizzato a identificare e classificare i rischi e le vulnerabilità, in termini di sicurezza, dei sistemi informativi aziendali.

In pratica si tratta di un vero e proprio scanning degli asset IT, una fotografia dei sistemi informatici mirata a verificare quanto un’azienda è esposta e quali rischi corre nel caso in cui le protezioni di cui si è dotata dovessero venire bypassate.
Eseguire un test sulle vulnerabilità di un sistema è estremamente importante per un’azienda e può persino risultare fondamentale per la sopravvivenza del business: scoprire in anticipo i propri punti deboli permette di adottare le opportune contromisure.

Si tratta di vera e propria prevenzione.

 

Perché fare una scansione delle vulnerabilità?

Uno degli errori in cui più frequentemente incorrono le aziende è la convinzione di sentirsi invulnerabili.

Esistono infatti due miti molto diffusi tra gli imprenditori:

  1. La convinzione che basti un antivirus per proteggere la rete
  2. La convinzione che la propria azienda non sia un bersaglio

 

Perché l’antivirus non basta?

Tutti gli apparati possono presentare vulnerabilità.

Molti imprenditori (ma anche molti addetti ai lavori) sono convinti che antimalware, firewall e altri sistemi di controllo delle intrusioni bastino per proteggere la propria azienda dagli attacchi informatici. Il 90% delle aziende si fermano perciò a UTM, antivirus e aggiornamento patch.

In realtà, nonostante l’attenzione per i firewall, le applicazioni anti-virus e il sistema di intrusion prevention, le vulnerabilità di sicurezza continuano a essere un problema. Tutti questi strumenti, infatti, non sono sufficienti poiché talvolta la loro stessa configurazione potrebbe presentare punti deboli.

Mettere una serratura a una porta, magari delle più sofisticate, ma farlo in modo errato risulta più controproducente che posizionare un vecchio lucchetto. In quest’ultimo caso, infatti, un’eventuale violazione verrebbe subito alla luce, mentre, al contrario, un sistema complesso che già in sé presenta una falla, potrebbe venir bypassato senza tracce visibili.

Lo sviluppo e l’applicazione di una politica di sicurezza rigorosa, che include quindi la valutazione della vulnerabilità, è fondamentale per mantenere la continuità operativa di un’azienda.

Ricordatevi, infatti, che in ambito di sicurezza IT vige un principio inequivocabile: il rischio zero non esiste.

 

Perché siamo tutti potenziali bersagli?

Soprattutto tra le piccole imprese il mito dell’inattaccabilità è ampiamente diffuso. Perché mai, si pensa, dovrebbero colpire la mia azienda, quando ne esistono altre di ben più appetibili?

La storia invece dimostra che in realtà gli attacchi non sono sempre mirati bensì, spesso, sono rivolti alla massa. Quindi anche alle piccole imprese, che riescono con più difficoltà a far fronte a perdite di business.

Ne sono un esempio Criptlocker, Code Red, Blaster, Sasser, Bagel, che hanno colpito a caso imprese e sistemi, in base a vulnerabilità specifiche. Quindi, è importante andare oltre la sensazione di sicurezza del “non può succedere a me” e guardare i fatti concreti.

 

Come fare, quindi per proteggersi? Prima di tutto, tenendo bene a mente i principi appena descritti. Solo avendo coscienza che la minaccia è sempre in agguato è possibile prevenirla.
In secondo luogo, eseguendo test periodici sullo stato di salute dell’infrastruttura di sicurezza. Ecco a cosa serve l’attività di Vulnerability Assessment.

 

Cos’è vulnerabile e cosa è necessario controllare?

Sfortunatamente, quando si parla di sicurezza della rete aziendale, la maggior parte delle organizzazioni si ferma alla sicurezza perimetrale, al software antivirus o al massimo alla gestione delle patch.

Ecco invece una lista di elementi potenzialmente vulnerabili ai quali non si presta mai sufficiente attenzione:

  • Cartelle condivise non protette
  • Sistemi lasciati con impostazioni di fabbrica
  • Dispositivi Rogue (dispositivi esterni non autorizzati) collegati alla rete aziendale
  • Dispositivi o applicazioni dati in gestione a terzi
  • Account utente di default non necessari attivi
  • Porte TCP aperte non necessarie
  • Esecuzione di servizi Web che contengono vulnerabilità note

E gli esempi potrebbero continuare…

 

 

Come sviluppare una politica di sicurezza aziendale

Scarica gratuitamente l’infografica!

 

 

Come si articola un Vulnerability Assessment

Come già descritto, il Vulnerability Assessment è un vero e proprio check up dei sistemi informatici di un’azienda che verifica il loro “stato di salute”.

La modalità più adatta in cui eseguire un Vulnerability Assessment è certamente quella cosiddetta in Grey Box: in questa configurazione, infatti viene fornita solo una parte delle informazioni sull’infrastruttura aziendale, quindi sufficiente per poter entrare nei sistemi ma non abbastanza dettagliata da riconoscerne subito i punti deboli.

Un Vulnerability Assessment efficace dovrebbe quindi prevedere i seguenti step:

  1. Individuazione del perimetro d’azione
  2. Simulazioni di attacco dall’esterno (per verificare l’efficacia dei sistemi di protezione del perimetro)
  3. Simulazioni di attacco dall’interno (per verificare l’assegnazione dei diritti per l’accesso alle risorse da parte dei dipendenti)
  4. Report finale (per valutare il successivo piano di intervento)

 

Abbiamo detto, però, che il Vulnerability Assessment è uno scanning dei sistemi informativi di sicurezza. Il Vulnerability Assessment, quindi, mira a far emergere i punti deboli di un’azienda a livello informatico.

La sicurezza, però, dev’essere un processo continuo.

Una politica di information security adeguata deve essere integrata in un piano aziendale, all’interno del quale va inserito un progetto di Vulnerability Assessment.
Eseguire un test delle vulnerabilità senza prevedere anche un Remediation Plan o prevedere un test delle vulnerabilità one-shot è certamente utile ma non completo: dopo ogni esame è infatti fondamentale predisporre la cura.

E non solo: terminata la cura è necessario ripetere l’esame, solo in questo modo sarà possibile risolvere le vulnerabilità abbassando sempre di più il livello di rischio, per renderlo quanto più possibile vicino allo zero.

Parafrasando una massima di OSSTMM, la sicurezza è quell’attività che deve durare quell’attimo in più rispetto a quando il pericolo è finito.
Quindi, essendo il pericolo sempre presente, anche la sicurezza deve esser tale. Si tratta di un processo ciclico.

 

Quali sono i vantaggi del Vulnerability Assessment

Lo scopo del VA è quello di fornire una valutazione complessiva del livello di sicurezza del sistema informativo aziendale per poter poi intraprendere le opportune contromisure.

Il primo vantaggio è certamente la consapevolezza del livello di sicurezza dei propri sistemi e la conseguente opportunità di abbassare il livello di rischio verso lo zero.
Con una protezione alta, quindi con una politica di prevenzione degli attacchi, la continuità operativa dell’azienda è garantita e il pericolo di perdite economiche ridotto.

C’è però un altro fattore essenziale connesso alla sicurezza: quello della reputation. La notizia che una banca, un ospedale o una qualsiasi azienda è stata attaccata non è mai un buon biglietto da visita.
Non c’è perdita peggiore, per un’azienda, di quella della reputazione. Perché un danno economico può essere recuperato. Un danno all’immagine, invece, è molto difficile da colmare, in quanto si lega alla percezione di fiducia che i Clienti hanno nei confronti di un’azienda.ù

Ecco perché il tema della sicurezza è molto più ampio di quello che si pensi e non è connesso solamente a fattori tecnici.

Vuoi controllare le vulnerabilità della tua azienda?

Contattaci per una consulenza gratuita

Share This