Le procedura di VA, si differenziano in relazione all'oggetto di interesse. Si può sottoporre a VA qualsiasi device digitale dotato di sistema operativo, connesso in rete locale, esposto in internet, come ad esempio un applicazione per smartphone, ovvero un macchinario industriale. Tale attività può essere svolta sia dall’interno del perimetro aziendale, sia totalmente dall’esterno, con la visibilità che avrebbe un hacker. Questo ultimo fattore è di particolare interesse in quanto sempre più spesso, il vedere un'azienda con gli occhi di un hacker, consente di simulare diversi scenari di attacco e verificare il grado di capacità di reazione dell'azienda. Nei casi più gravi la reazione non c'è in quanto l'attacco non viene rilevato dall'azienda e le informazioni vengono esfiltrate senza alcun allarme.
Vulnerability Assessment cos’è
La procedura
Vulnerability Assessment, come già detto, è finalizzata ad adattarsi al sistema di cui si vuole rilevare le vulnerabilità informatiche.
Per effettuare tali analisi solitamente si considerano
metodologie standard quali ad esempio
OWASP o
OSSTMM (Open Source Security Testing Methodology Manual, di
ISECOM). Ciò consente di seguire metodologie consolidate, condivise e interpretabili dalla comunità informatica che si occupa di cybersecurity.
I tecnici possono svolgere i vulnerability assessment come se il sistema oggetto di interesse fosse una scatola nera "black box", di cui non si ha alcuna informazione, oppure in modalità "white box", quando si hanno tutte le informazioni prima dell'avvio delle attività.
Grazie alle suddette metodologie, è possibile effettuare le analisi della vulnerabilità dei sistemi che talvolta richiedono specificatamente l'uso di un determinato standard per essere compliant alle normative vigenti.
Il rispetto degli standard nelle attività di VA agevola e guida il lavoro dei tecnici e degli auditor che devono verificare e valutare una procedura di analisi che deve garantire esaustività e completezza dei test.
Per approfondire l'effettiva utilizzabilità di una vulnerabilità scoperta, si può ricorrere anche al Penetration Test. Tale procedura infatti verifica se e fino a dove l'hacker può spingersi grazie ad una falla di sicurezza del sistema, portando un attacco specifico.
Grazie al Penetration Test, in particolar modo se accompagnato da "attività sul campo" precedute da attività di social engineering è possibile verificare la presenza di vulnerabilità non individuabili tramite il ricorso a software automatici di vulnerability assessment.
Altro punto di vista utile per comprendere appieno l'estensione dell'ambito e le differenze tra le diverse procedure di Vulnerability Assessment, è l'oggetto di interesse.
- Vulnerability Assessment e Penetration Test infrastrutturali: in questo caso, si parla di verifiche delle vulnerabilità delle reti cablate, sia server che client.
- Vulnerability Assessment e Penetration Test applicativi: si prendono in considerazione tramite verifiche puntuali i punti "esposti" online e le pagine di login, amministrazione e utente di applicazioni mobili, software, portali web, CRM...
- Penetration Test/ VA infrastruttura wireless, ossia una procedura specifica per la verifica delle reti senza fili, che spesso sono lasciate alla deriva, e prive di adeguata manutenzione o sistemi di sicurezza sufficienti rispetto alle possibilità odierne di hacking.
Vulnerability Assessment servizio
Il Vulnerability Assessment, e la procedura adeguata per effettuarlo è un servizio che DEFENSIS svolge grazie ad un team di tecnici informatici esperti in cybersecurity e digital forensics che, con l'utilizzo di sistemi automatici e verifiche manuali, nel rispetto di eventuali standard richiesti, termina l’attività rilasciando al cliente un report provvisto di certificazione.
Tra i modelli utilizzati per la reportistica segnaliamo il modello Report STAR (Security Test Audit Report), anche se tendiamo a migliorare la nostra reportistica in modo personalizzato in relazione alle singolarità del cliente specifico.
I report di un vulnerability assessment sono generalmente composti da:
- Executive Summary, ossia un report breve, caratterizzato dalla presenza di indicazioni di carattere non tecnico.
- Technical Report, ovvero il report esteso e completo di tutti i dettagli, destinato in al personale tecnico dell’azienda. Il suo obiettivo è l’esposizione completa e chiara delle criticità individuate, ma anche dei dettagli tecnici relativi alla vulnerabilità dei sistemi informatici aziendali. Il Technical Report fornisce anche informazioni su come risolvere le problematiche e le vulnerabilità individuate.