Una corretta preparazione è fondamentale per trovare i veri punti deboli e le vulnerabilità nella rete attraverso un pentest. Queste sono le sei cose che dovete fare prima di iniziare.
Con l'aumento di notizie di violazioni di dati aziendali e attacchi ransomware, condurre valutazioni di sicurezza approfondite è diventato una parte inevitabile per le aziende che gestiscono i dati dei clienti. I requisiti di protezione dati derivanti dalle leggi di conformità sia in Italia che in tutto il mondo, hanno ulteriormente messo pressione alle aziende per migliorare i controlli di sicurezza e rafforzare i sistemi che trattano informazioni private.
Questi sviluppi dovrebbero essere accolti favorevolmente dal momento che una pianificazione di una strategia di sicurezza informatica precoce potrebbe salvare la vostra azienda da multe pesanti, imbarazzo e il disagio generale che potrebbe derivare da una violazione.
Una valutazione della sicurezza ben ponderata, naturalmente, comporta un penetration test completo delle risorse critiche. Di seguito sono riportati alcuni suggerimenti per un programma di Pentesting di successo.
1. Identificare le attività ad alto rischio e il workflow aziendale
Più che utilizzare una checklist standard di valutazione della sicurezza, è fondamentale capire quali attività ad alto rischio sono presenti nella vostra organizzazione e come si inseriscono nella logica generale del business. Quando si identificano le attività ad alto rischio e quali segmenti di rete devono essere sottoposti ad un pentest, è utile avere un quadro generale delle debolezze nella vostra organizzazione, che spesso richiede pensare fuori dagli schemi.
"Quando si crea una buona metodologia di Penetration Testing, i tester dovrebbero aspirare a creare un modello specifico per la loro organizzazione o l'organizzazione contro cui è in atto il test", spiega John Jackson, il fondatore del gruppo di ethical hacking, Sakura Samurai. "Ad esempio, i penetration tester sapranno che è necessario valutare le funzioni di login e logout di un'applicazione web o cercare versioni obsolete di un server che potrebbero portare all'esecuzione di un codice remoto. Si tratta di un dato di fatto”
"Che dire allora degli errori di logica aziendale, o delle metodologie che possono portare a danneggiare la continuità aziendale, o una perdita di denaro involontaria?" dice Jackson. "E le vulnerabilità alla privacy che possono danneggiare la reputazione dell'azienda, compromettendo così la fiducia degli stakeholder e l'affidabilità complessiva dei servizi forniti? Gli hacker sono furbi, e non si preoccupano dei danni, né di funzionalità intenzionali o meno."
2. Variare i servizi di Penetration Testing o ampliarli
"Anche se avete trovato i migliori pentesters al mondo, il loro approccio, le competenze e gli strumenti non sono uguali per ogni situazione. Prospettive diverse porteranno alla luce problemi diversi. Siate disposti a provare nuovi tester per vedere quale valore offrono" dice David Maxwell, direttore della sicurezza software presso Bluecat Networks. Anche se questo può significare uscire dalla vostra comfort zone, può anche aiutare a tenere il passo con le ultime tendenze di sicurezza informatica e promuovere una collaborazione.
E’ utile espandere il team di Pentesting, sia esso interno o a contratto, sottolineando che la sicurezza offensiva è uno sforzo di squadra. Facilitare e istruire i membri del team a lavorare realmente come una squadra è quello che fa la differenza per un’azienda, che potrà così adottare una metodologia di difesa adeguata.
Un tester può essere un esperto nell'arte dell’hacking di applicazioni web, mentre un altro magari ha un forte background di ingegneria software, o è bravo nell’hacking IoT. I modelli di penetration test dovrebbero sottolineare l'importanza di combinare queste abilità per aumentare le vulnerabilità e ottenere il massimo impatto. Ad esempio, un penetration tester può riuscire a sfruttare una vulnerabilità di un’applicazione web, ma magari non è in grado di eseguire un attacco basato su malware, ecc.
Anche se l'esecuzione ad esempio di codice remoto è già una vittoria, il livello successivo può richiedere un membro del team più esperto con esperienze di lateral movement.
Pertanto, variando i servizi di penetration testing, o incoraggiando i team aziendali a collaborare sia internamente che con team esterno, si può ottenere il valore ottimale da un pentest.
3. Conoscere l'infrastruttura informatica e di sicurezza
Prima ancora di assumere un penetration tester, è di vitale importanza una conoscenza approfondita della vostra infrastruttura informatica e quali dispositivi appartengono alla rete. Ricordatevi di fare periodicamente un’analisi dettagliata degli elementi dell'infrastruttura - per esempio, per quanto riguarda il DNS, vi state proteggendo contro il tunneling/exfiltration, i domini typosquatting, o utilizzando l'intelligence delle minacce per applicare le policy? Lo stesso vale per i firewall, la gestione delle identità, l'autenticazione e lo storage.
Gli attacchi informatici in corso da parte del gruppo ransomware Clop contro le aziende che utilizzano dispositivi FTA Accellion vulnerabili, avvalorano questo punto. La violazione ad Accellion ha portato a tentativi di estorsione contro più aziende che hanno utilizzato il loro prodotto di trasferimento di file, FTA.
Una delle ultime vittime della serie di attacchi Accellion è la società di sicurezza informatica Qualys. Secondo un notiziario: "Il dispositivo Accellion FTA era situato a fts-na.qualys.com, e l'indirizzo IP utilizzato dal server è assegnato a Qualys. Qualys da allora ha disattivato il dispositivo FTA, con Shodan che ha mostrato che l'ultima volta è stato attivo il 18 febbraio 2021."
Sfruttando il dispositivo FTA, il gruppo ransomware Clop potrebbe violare le reti di Qualys, colpendo i suoi clienti. Tuttavia, una pianificazione avanzata dell'infrastruttura da parte di Qualys ha sventato la minaccia perché questo apparecchio è stato distribuito su una zona demilitarizzata (DMZ), una rete separata dai suoi sistemi di produzione. "Non c'era connettività tra il server FTA Accellion e i dati dei clienti (Qualys Cloud Platform)", ha spiegato Ben Carr, CISO di Qualys.
Questo è un esempio reale di come la conoscenza dell'infrastruttura di rete e dei dispositivi aiutano, anche se un dispositivo vulnerabile su una particolare sottorete dovesse essere violato, i controlli di sicurezza in atto rendono più difficile per un penetration tester o un hacker raggiungere target di missione critici.
4. Definire ciò che è nell'ambito del Pentest
Una volta eseguita una mappatura approfondita delle reti e dei sistemi e capito che cosa fa funzionare cosa sulla vostra rete aziendale, il passo successivo è definire ciò che si elaborerà nel pentest e stabilire le regole base. Si tratta di un pentest white box o black box? Riguarderà soltanto le stazioni di lavoro degli impiegati vittime o i server di produzione anche fuori dall’orario lavorativo? Si includono i domini di riserva come parte del pentest?
Non è molto diverso dalle compagnie di crowdsourcing che utilizzano programmi di bug bounty e definiscono esplicitamente quali sistemi si possono testare e quali sono off-limits. In questo modo si proteggono sia le vostre attività e al tempo stesso si contribuisce a ridurre al minimo la responsabilità legale dei pentester.
5. Attenzione all'evoluzione delle minacce e alle modifiche delle normative
Negli ultimi dieci anni, gli hacker hanno costantemente aggiornato le loro tattiche, tecniche e procedure e la Mitre Att&ck ci insegna quanto sono diventate sofisticate. Anche gli stimoli sono in gran parte cambiati. Per esempio, mentre la maggior parte degli hacker dietro gli attacchi ransomware sono interessati l'estorsione in quanto la loro motivazione è un guadagno monetario, quelli dietro l'attacco alla supply chain di Solarwinds, ad esempio, erano interessati allo spionaggio nazionale.
Come conseguenza di questi attacchi alla supply chain, si è intensificata la regolamentazione a livello globale per i fornitori di software. L'Autorità Monetaria di Singapore (MAS), per esempio, ora richiede a tutte le istituzioni finanziarie di valutare i loro fornitori di software; e dimostrare che il codice sorgente del software è accuratamente testato e aderisce a pratiche di programmazione sicure.
Mentre in precedenza i cybercriminali sfruttavano vulnerabilità pubbliche, sono sempre più frequenti nuove minacce che sono più difficili da rilevare in anticipo, come lo sfruttamento zero-day e gli attacchi alla supply chain, e necessitano di nuove strategie di pianificazione. Abbiamo già parlato dell’attacco che ha colpito 35 compagnie tra le quali Microsoft, Apple, Tesla e Uber.
Pertanto, mentre in precedenza i pentester potevano concentrarsi solo sullo sfruttamento di vulnerabilità note nei sistemi, l'efficacia degli attacchi alla supply chain e le nuove metodologie lasciano spazio a maggiori possibilità per il pentester.
6. Affidarsi a servizi di Penetration Testing fidati
Infine, è bene rimettersi a servizi di Penetration Testing sicuri e affidabili, che possano testare le infrastrutture e che abbiano l’esperienza necessaria per la creazione di un Penetration Test fatto su misura per esigenze specifiche.
E’ importante capire che l’attività di un pentester non è quella di utilizzare tool automatici come Nessus, ma di eliminare tutti i falsi positivi e capire quali sono le vulnerabilità emergenti più pericolose e sfruttabili per un attaccante.
Fata Informatica S.r.l è una società che opera dal 1994 nel campo delle tecnologie dell'informatica e delle telecomunicazioni fornendo servizi specialistici ad alto valore aggiunto.
Si eseguono Penetration Testing mensili, trimestrali o annuali.
I nostri security engineer utilizzano sia strumenti automatizzati che tecniche manuali per identificare e convalidare l'exploitabilità delle vulnerabilità.
Come parte del processo di Penetration Testing, i nostri esperti forniscono linee guida per contromisure tecniche.