Tag: cybersecurity

Formazione, Internet, Sicurezza informatica, Sistemi

Vulnerability Assessment e Penetration Test

Vediamo le differenze che passano tra un Penetration Test e un Vulnerability Assessment, e quali sono le analogie. Entrambi rientrano nel grande tema della cybersecurity, eppure, nonostante i punti in comune, gli obiettivi e le modalità sono diversi.

Penetration Test e Vulnerability Assessment: due aspetti della cybersecurity


Molti specialisti IT conoscono già i termini Vulnerability Assessment e Penetration Test, temi entrambi già affrontati.

Eppure, anche nel mondo IT, esiste ancora molta confusione tra le due attività.

Nel seguente post cercheremo quindi di spiegarvi le differenze principali tra Vulnerability Assessment e Penetration Test (chiamato anche Pen Test), quali sono i vantaggi e i benefici che comportano per un’azienda. Inoltre vedremo perché sono entrambi fondamentali per garantire la sicurezza dei sistemi informatici.

Iniziamo con una breve definizione che già circoscrive in sintesi le differenze tra Penetration Test e Vulnerability Assessment.

Vulnerability Assessment

Il Vulnerability Assessment è un vero e proprio check-up dei sistemi informatici. Una sorta di scanning che mira a far emergere possibili vulnerabilità dell’infrastruttura e della rete IT.

Con il Pen Test, invece, si conosce già l’obiettivo potenzialmente vulnerabile da andare a colpire. Si tratta perciò di una simulazione di attacco verso quel determinato obiettivo.

Vulnerability Assessment e penetration test

Lo scopo del Vulnerability Assessment è quindi quello di identificare quali parti del sistema risultano deboli a livello di sicurezza.

Penetration Test

Il Penetration Test, invece, è una dimostrazione pratica dell’esistenza e delle conseguenze di una particolare vulnerabilità.

Punti di incontro nell’ambito della cybersecurity

Ora che abbiamo sintetizzato in cosa differisce un Penetration Test da una scansione delle vulnerabilità, andiamo ad approfondire l’argomento per delineare ulteriori elementi distintivi e i punti di incontro.

Un’attività di Vulnerability Assessment si conclude normalmente con un report che elenca i possibili punti deboli di un sistema difensivo. Il report dovrebbe quindi riportare:

  • le vulnerabilità rilevate
  • la gravità delle vulnerabilità sulla base delle esigenze e delle criticità specifiche dell’azienda

Da un lato è importante comprendere che un solo VA non basta a un’azienda per garantire la sicurezza dei suoi sistemi informatici. Il VA può essere paragonato a un esame del sangue: se si rilevano anomalie, è importante procedere con una cura (quindi un Remediation Plan) e ripetere gli esami per verificare l’efficacia della cura stessa.

Dall’altro dev’essere chiaro che i risultati che un Vulnerability Assessment fa emergere non sono di per sé verificati. Alcuni di questi, perciò, potrebbero equivalere a dei falsi positivi.

Il Penetration Test, come già accennato, ha già valutato specifici obiettivi o scenari di attacco. Lo scopo è quello di testare l’efficacia delle difese che un hacker potrebbe voler bypassare: un Pen Tester è quindi una sorta di “hacker buono” che esegue un attacco a scopo dimostrativo, per verificare che una vulnerabilità sia effettivamente autentica e quali conseguenze comporta.

Cybersecurity: cosa scegliere per la propria azienda?

Ecco cosa deve considerare un’azienda nel decidere se eseguire un’attività di Penetration Test e/o di Vulnerability Assessment

Ampiezza e profondità

Penetration Test e Vulnerability Assessment si differenziano per la copertura della vulnerabilità: il primo ha un approccio alla profondità perché mira proprio ad approfondire una vulnerabilità specifica. Il secondo, invece, mira a scoprire quanti più possibili punti di vulnerabilità attraverso un metodo, quindi, orientato all’ampiezza.

Automazione

Un’altra differenza tra Vulnerability Assessment e Penetration Test è dovuta agli strumenti e alle modalità con cui vengono eseguiti. Il Vulnerability Assessment è un’attività sostanzialmente automatizzata, mentre il Pen Test combina automazione e tecniche manuali, proprio per il suo mirare a un obiettivo specifico: l’abilità del Penetration Tester risulta infatti fondamentale per l’esito del test stesso.

Rischio

Abbiamo detto che il Vulnerability Assessment è una scansione dei sistemi finalizzata a rilevarne i possibili punti deboli. Di per sé, quindi, non implica nessun rischio per l’azienda.
Il Pen Test, al contrario, in quanto simulazione di attacco, potrebbe colpire la funzionalità dei sistemi: questo tipo di attività si addice perciò maggiormente alle aziende più “mature” a livello di sicurezza informatica, quindi quando si ritiene che le difese del bersaglio siano forti.

La valutazione della vulnerabilità, d’altra parte, è particolarmente adatta in situazioni in cui sono noti problemi di sicurezza o quando un’organizzazione sta iniziando a impostare la sua strategia di protezione. A ogni modo, il Vulnerability Assessment è una metodologia ideale per le tutte le aziende, in quanto è essenziale mantenere il proprio livello di sicurezza alto.

Frequenza

Proprio per la natura dei rispettivi obiettivi, la frequenza con la quale eseguire le attività di Vulnerability Assessment e di Penetration Test non sono le medesime. La scansione delle vulnerabilità è un’attività che va ripetuta nel tempo con cadenza regolare, idealmente una volta al mese, per verificare lo stato di salute dei nostri sistemi di sicurezza.
Il Penetration Test, al contrario, è qualcosa che si svolge ad hoc, sulla base di particolari esigenze.

Conclusioni

Arrivati a questo punto, quindi, cosa deve scegliere un’azienda per aumentare il livello di sicurezza dei sistemi? La risposta è semplice: entrambi.

Sia il Vulnerability Assessment sia il Penetration Test, infatti, devono essere inseriti in una politica più ampia di sicurezza aziendale. Da soli, infatti, non bastano: nelle aziende deve instaurarsi una vera e propria cultura della sicurezza, che si traduca in un progetto integrato, nel quale comprendere attività di prevenzione delle minacce come il Vulnerability Assessment e il Penetration Test.

contattaci
Formazione, Sicurezza informatica

Ospedali americani sotto attacco ransomware

Ospedali americani sotto attacco ransomware da parte di Cybercriminali localizzati nell’Europa orientale. Questo è quanto riporta un avviso dell’FBI , mandato a tutte le strutture interessate, consigliando di adottare sistemi di protezioni adeguati.

Ospedali americani sotto attacco ransomware

Maggiormente in Oregon, California e New York sembrano essere interessati a questo tipo di problema. Pensate un medico di uno degli ospedali colpiti, in seguito alla compromissione, è stato obbligato a tornare alla gestione di documenti e cartelle cliniche in formato cartaceo: aggravante rispetto alla crisi sanitaria globale.

I sospettati: Wizard Spider

Sembra poter essere attribuita al gruppo Wizard Spider noto anche come UNC 1878, l’attacco in questione. Due principalmente gli strumenti impiegati dai criminali: il ransomware Ryuk e la botnet TrickBot , entrambi ben noti a chi segue le vicende nel territorio della cybersecurity.

Prevenzione in ogni ambito

Nelle scorse settimane a causa di un attacco ransomware ai danni di un ospedale, hanno portato al decesso di una donna in Germania. Per evitare che oltreoceano si verifichino situazioni di questo tipo gli esperti di FBI e del Department of Homeland Security hanno suggerito di eseguire costantemente backup, di limitare per quanto possibile la connessione a Internet dei macchinari impiegati e di vietare l’utilizzo delle email personali a chi opera nelle strutture e di avere sistemi antivirus adeguati.

Alcune intercettazioni sul Dark Web, hanno portato alla luce alcune discussioni circa un piano per colpire in breve tempo un totale pari a circa 400 strutture statunitensi, tra pubbliche e private.

In generale, sempre l’Fbi e la Cybersecurity & Infrastructure Security Agency statunitense pensano che il peggio debba ancora arrivare. Un’autentica ondata di cyberattacchi stia per colpire ospedali e organizzazioni sanitarie, negli Stati Uniti e non solo. Ben oltre i tassi di crescita già a tripla cifra registrati negli ultimi mesi. Ryuk, in particolare, sfrutta le credenziali dell’amministratore, evidentemente trafugate in precedenza, per accedere ai sistemi da remoto e crittografare i dischi, mettendoli letteralmente sotto chiave. Il tutto cancellando attentamente le proprie tracce.

Sicurezza informatica

Dal cloud al 5G: ecco cosa dovrebbero fare le imprese italiane per superare la nuova crisi pandemica

Quante aziende hanno dovuto affrontare l’impatto provocato dalla pandemia in termini di vulnerabilità, rischi e strategie di cybersecurity?
Se non la totalità, parliamo di una percentuale estremamente elevata.

Le stesse aziende sono ora chiamate ad affrontare il problema di come muoversi per proteggere al meglio il loro business nei mesi e negli anni a venire. La pandemia di Covid-19 e il conseguente passaggio al lavoro da remoto, repentino per moltissime imprese nella prima fase dell’emergenza e divenuto consuetudine per una buona parte di esse nel corso di questi mesi, hanno impattato sulle infrastrutture It, accelerando l’adozione di Servizi Cloud e di tecnologie come VPN (Virtual Private Network) e software di collaborazione a distanza.

Non tutte le aziende, però, hanno potuto contare su un’adeguata formazione e, soprattutto, su una disponibilità di risorse utile a rispondere alle esigenze di maggiore sicurezza, aprendo di conseguenza le porte all’azione dei cybercriminali.

Il risultato, come confermato dagli esperti di Check Point Software in occasione della conferenza digitale italiana sulla cybersecurity, è stata un’impennata degli attacchi malevoli, fino al limite dei 210mila casi a settimana (e di questi il 94% sono tentativi di phishing) e un’offensiva di tipo ransomware ogni 14 secondi.

Le minacce in Italia, gli attacchi più recenti

Stando ai dati elaborati da Check Point e relativi agli ultimi sei mesi, un’ impresa della Penisola è attaccata in media 566 volte a settimana, contro i 355 attacchi subiti dalle aziende nel resto d’Europa.

A comandare la classifica dei malware a più elevato impatto c’è Emotet, che ha interessato il 17% delle aziende, mentre nell’elenco dei malware più diffusi compaiono 4 trojan bancari e 2 botnet.

L’89% dei file dannosi in Italia, si legge ancora nel rapporto della società israeliana, è stato consegnato via e-mail.

Fra i casi più rilevanti di attacco registrati nell’ultimo semestre spiccano quelli di Luxottica e del sito Email.it. L’azienda veneta è stata colpita a metà settembre da un attacco ransomware che ha portato alla chiusura delle sue attività in Italia e in Cina; la piattaforma di hosting ha invece subito una grave violazione lo scorso aprile, esponendo agli attaccanti 600mila dettagli dei propri utenti tra cui password in chiaro, domande di sicurezza, contenuti delle e-mail e allegati degli anni 2007-2020.

Gli oggetti connessi privi di protezione integrata

Nella fase di ripartenza post lockdown, i responsabili informatici delle imprese hanno delineato alcune priorità da seguire e quella che ha raccolto maggiori riscontri riguarda la necessità di rafforzare la sicurezza della rete e di lavorare sulla prevenzione delle minacce.

Altri temi ricorrenti sono quindi l’implementazione di soluzioni di security It/Ot (Information e Operational technology) e l’adozione di soluzioni per la protezione dei dispositivi mobile e dell’infrastruttura cloud. Secondo Check Point, inoltre, le aziende dovranno presto affrontare anche le sfide legate alla diffusione delle tecnologie IoT e dei servizi basati alle reti mobili 5G, per cui la componente di sicurezza è ancora lontana dallo stato di maturità.

Le prime, in particolare, presentano criticità aggiuntive rispetto ai tradizionali sistemi informatici perché i dispositivi connessi, nella maggior parte dei casi, non sono dotati di protezione integrata e della possibilità di installare patch, rendendo le relative infrastrutture più esposte anche fisicamente a rischi.

Il vademecum per ridurre i rischi

Operare in questa fase fortemente condizionata dall’emergenza sanitaria e dalle restrizioni legate alle misure anti-contagio implica per le aziende un’attenzione ancora maggiore per quanto riguarda la protezione di sistemi e dati. Gli esperti di Check Point, in tal senso, suggeriscono alcune “best practice” da osservare.

Gestire in modo adeguato gli accessi alle informazioni aziendali, in una fase in cui gli addetti lavorano da sedi diverse e attraverso molteplici dispositivi, è il primo passo per ridurre notevolmente il rischio di un attacco ransomware. Nel dettaglio, occorre segmentare le procedure di accesso in modo tale che ogni dipendente abbia a disposizione solo i dati necessari per svolgere le proprie funzioni.

La protezione dei dispositivi mobili, personali o aziendali, è invece una priorità associata all’incremento del lavoro a distanza e si accompagna all’adozione di sistemi di crittografia e di autenticazione a due fattori, piani di backup mirati e continui aggiornamenti. Un altro sforzo cui sono tenute le aziende, inoltre, è quello di impostare un sistema di password sicuro per accedere alle riunioni online (o almeno attivare una sala d’attesa utile a validare l’ingresso ai soli utenti autorizzati, in una fase in cui le applicazioni di videoconferenza sono uno degli strumenti più utilizzati.

Ottimizzare gli strumenti di sicurezza, attraverso un approccio basato sulla prevenzione degli attacchi (ancor prima che questi si verifichino), è infine altrettanto importante in relazione alla generazione di minacce rivolte contro le infrastrutture 5G e IoT.
Fonte IlSole24ore

contattaci
Sicurezza informatica, Smart working

Mare o montagna? Cinque consigli per lavorare in sicurezza in vacanza

Lo smart working è ormai una realtà per moltissime persone che possono scegliere da dove compiere il proprio dovere anche nei caldi mesi estivi. Secondo una recente ricerca, ben il 23,6% degli italiani ha dichiarato che lavorerà in una località di villeggiatura. Questo si traduce in quasi 425.000 lavoratori sparpagliati sul territorio nazionale che sfrutteranno una connessione internet per connettersi a servizi, database e app aziendali.
Una vera e propria manna per i cyber criminali a caccia di brecce nella sicurezza delle aziende e dei loro dipendenti, pronti a rubare documenti importanti o a prenderli in ostaggio tramite ransomware per poi chiedere un riscatto.
Per evitare brutte sorprese, l’azienda specializzata in sicurezza Sophos ha stilato un breve elenco per limitare i rischi in fatto di perdita di dati e violazioni informatiche perpetrate mentre usiamo il nostro smartphone, tablet o laptop da luoghi poco protetti.

L’importanza di sapere dove siamo

Il fatto di poter lavorare fuori dall’ufficio, non significa che la vostra posizione non sia monitorata per questioni di sicurezza. Ci sono sistemi che analizzano la provenienza delle connessioni Internet che chiedono dati alle risorse aziendali e se arrivano richieste da posizioni non conosciute, spesso vengono rifiutate o addirittura volutamente dirottate su dati fasulli. Informate il vostro responsabile IT dei vostri spostamenti per evitare perdite di tempo e allarmi in azienda

Crittografate i dati

Crittografare i dati presenti sui dischi fissi o nelle memorie dei dispositivi mobili li rende illeggibili in caso di furto dei dispositivi. Sugli smartphone e tablet recenti, questi vengono crittografati come impostazione predefinita, ma bisogna impostare password e pin lunghi e difficili da indovinare, altrimenti non serve a nulla. Su Windows, la crittografia è abilitata come impostazione di base nelle versioni Pro ed Enterprise. Nella versione Home, molto dipende dal pc che usate. Se non è disponibile, dovete usare un programma esterno. (https://www.enjoysystem.it/bitlocker-come-proteggere-i-dati-su-hard-disk-e-ssd-e-chiedere-una-password-allavvio/)
Su Mac, si può usare FireVault, che è incluso nel sistema operativo.

Smart working: la tua azienda è conforme al GDPR?

Usate l’autenticazione a due fattori ovunque potete

L’autenticazione a due fattori, ovvero la richiesta di un codice supplementare che arriva via sms o da un’app dopo l’inserimento della password, è una misura che riduce in maniera drastica i rischi di violazione degli account aziendali e personali. Usatela ovunque, dando la preferenza a quei sistemi che sfruttano una app rispetto agli SMS. Negli attacchi più sofisticati, infatti, i criminali arrivano a clonare il cellulare di una persona per rubarne i codici di autenticazione.

Effettuate un backup dei dati prima di partire

Quando si viaggia ci sono mille modi diversi per perdere un dispositivo e tutti i dati che contiene. Per fortuna, basta una sola accortezza per esser sicuri di recuperare tutto: il backup. Fate una copia dei dati presenti sui vostri dispositivi sempre in un’area protetta in cloud. Meglio non usare connessioni Wi-Fi pubbliche, soprattutto quelle aperte e pubbliche.
In casa, usate sempre il cavo per collegare il notebook su cui lavorate a Internet. Sui dispositivi mobili, sfruttate piuttosto la connessione 4G.

Sicurezza informatica

L’Italia spende quasi 2 miliardi per la cybersecurity ma ancora non bastano

Per alcune imprese il coronavirus ha significato un aumento del giro d’affari. Come per quell’azienda operante nel settore alimentare – il nome non è stato diffuso per questioni di riservatezza – che a marzo si è trovata ad affrontare un aumento imprevisto degli ordini da parte della grande distribuzione. Nel clima tetro di quei mesi, finalmente una buona notizia, verrebbe da dire.

L’allegria, in realtà, è scemata presto: quando, cioè, il sistema informatico della società è stato preso di mira da un violento attacco hacker. Con tutti i sistemi criptati dai criminali – da quelli della produzione a quello dell’amministrazione – lavorare era diventato impossibile. Un disastro evitabile. Un caso al centro dell’analisi di Leonardo, il campione italiano dell’industria della difesa, sugli scenari di pericoli informatici nel periodo del Covid-19.

Non solo grandi imprese

Con la digitalizzazione forzata del periodo Covid-19 le minacce non riguardano più solo i grandi gruppi – osserva Barbara Poggiali, che dirige la divisione cybersecurity del gruppo italiano – Sono sempre più coinvolte anche le piccole realtà della supply chain e della catena del valore”.

Una crescita esponenziale dei rischi. “Negli ultimi 9 anni abbiamo assistito a una media di 94 attacchi al mese“, stima Gabriele Faggioli, presidente di Clusit (Associazione italiana sicurezza informatica). Una tendenza che aumenta a passo sostenuto: nel 2018 sono stati 129, nel 2019 ben 137.

Fino a oggi, l’Europa è stata meno colpita del Nord America. Non si tratta solo di arretratezza tecnologica: probabilmente gioca un ruolo anche il fatto che l’obbligo di denuncia degli attacchi è entrato in vigore solo recentemente”, prosegue Faggioli.

Attenzione allo spionaggio, avverte il presidente di Clusit: “Sta diventando sempre più aggressivo: ci sono meno casi rispetto alle altre tipologie di reato, ma con un impatto decisamente maggiore”. Anche perché spesso dietro alle minacce si celano attori statali che consentono budget alti e attacchi progettati accuratamente.

Secondo i dati di Clusit, il mercato della sicurezza vale in Italia 1,3 miliardi e cresce a doppia cifra. Il processo di adeguamento al Gdpr (il Regolamento europeo sulla protezione dei dati) può aiutare a difendersi: ma, a due anni dall’entrata in vigore del testo,  su un campione di 180 imprese analizzate, solo il 55% si è già conformato alle previsioni.  Ancora troppo poco.

Denunciare: il rischio reputazionale

Gli hacker approfittano del timori dei dirigenti. Denunciare fa paura, e qualche volta si paga perfino il riscatto: le aziende temono il danno reputazionale. Ma, su questo gli esperti concordano, nascondersi è peggio.

Nel 2018 siamo stati vittima di un attacco dovuto a un virus –  racconta Corrado Miralli, responsabile sicurezza di Saipem, campione italiano dell’oil and gas e molto esposta a livello internazionale –. All’improvviso ci siamo ritrovati nel mezzo di quello che definisco un ‘inverno digitale’. Reagire tempestivamente fu impossibile, perché ai tempi non eravamo pronti. Per uscirne e metterci in sicurezza abbiamo dovuto interrompere la capacità operativa. E abbiamo avvertito i nostri partner, clienti e terze parti, in maniera che potessero proteggersi”. Esperienza utile: ora la società, ha confermato il dirigente, è protetta e pronta a difendersi.

Cybersecurity: effetto telelavoro

Le perdite dovute ad attacchi informatici ammontano a 390 miliardi di dollari l’anno. I rischi sono aumentati con il telelavoro. “Nei primi due mesi di pandemia sono state almeno 230mila le campagne di malspam lanciate da attori malevoli e legate al coronavirus: il 6% di queste ha riguardato l’Italia – ricorda Poggiali –. E si tratta di dati riferiti esclusivamente al periodo tra gennaio e marzo”. Per questo, Leonardo ha deciso di fornire una serie di strumenti di supporto gratuiti alle aziende.