Vulnerability Assessment

Guida completa alla Vulnerability Assessment: cosa sono le Vulnerabilità del Software e come si può ripristinare la Sicurezza

Prenota subito un test gratuito

Tutto quello che devi sapere sulla Vulnerability Assessment

Quando si desidera avere un quadro completo dell’esposizione dei sistemi aziendali ai rischi connessi alle vulnerabilità, la Vulnerability Assessment è lo strumento più indicato.
Seppur non essendo uno strumento nuovo, in Italia solo oggi, grazie alla spinta data dal GDPR, le aziende cominciano ad interessarsi di Vulnerability Assessment.
Per questo abbiamo pensato di fornire risposta e spiegazione a una serie di domande che ci vengono poste dai clienti interessanti a questi argomenti.

  1. A cosa serve la Vulnerability Assessment?
  2. Cosa sono le vulnerabilità?
  3. Quante sono le vulnerabilità che vengono controllate?
  4. Chi sfrutta le vulnerabilità?
  5. Cosa ottengo concretamente da una vulnerability assessment?
  6. Come passo da un report in pdf alle azioni concrete per rimediare?
  7. Cosa fare quando non posso correggere il mio software?
  8. Quanto dura una vulnerability assessment?
  9. Che differenza c’è fra vulnerability assessment e penetration test?
  10. …e per la Regulatory Compliance?
  11. La Vulnerabilità Assessment è obbligatoria per il GDPR?

A cosa serve la Vulnerability Assessment?

Non c’è cosa più comune di esporre dei servizi su internet. Le ragioni possono essere le più disparate: dal far accedere alla posta  elettronica un utente mobile, al permettere ai colleghi di inserire la nota spese nel sistema di rendicontazione aziendale, al consentire ai commerciali di inserire i contatti nel CRM.

GDPR e VULNERABILITY ASSESSMETTante aziende quindi espongono i propri servizi digitali attraverso il firewall consentendone l’accesso dall’esterno. Spesso capita che alcuni di questi servizi siano stati posizionati su server esterni, su server che stanno in hosting nel cloud, cioè su sistemi di provider specializzati come ad esempio quelli specializzati nell’hosting per siti per in WordPress, Joomla, Drupal, dot.net. oppure hosting di aziende che si sono specializzate nell’ospitare determinate applicazioni custom.

Resta il fatto che questi server che siano in casa o che siano presso terzi, sono raggiungibili da qualsiasi persona.

Ovviamente, le applicazioni che girano su questi server sono applicazioni fatte da uomini e come tali possono avere delle vulnerabilità.

Perciò se delle vulnerabilità possono essere conosciute e cercare da persone che da tutto il mondo possono raggiungere quel server, sarebbe bene fare in modo di minimizzarne la presenza.

Per questo trovare le vulnerabilità delle applicazioni e rimetterle in sicurezza è un comportamento virtuoso che contribuisce sensibilmente al mantenimento della sicurezza dei nostri sistemi aziendali.

Cosa sono le vulnerabilità?

Vulnerability Assessment di OptanexMa cosa sono le vulnerabilità e come mai dobbiamo preoccuparcene?

Le vulnerabilità sono degli errori o delle falle di sicurezza che consentono di accedere ai sistemi bypassando le difese degli stessi.

Le vulnerabilità, quando sono note, consentono a coloro che decidano di sfruttarle di entrare senza troppa fatica all’interno di applicazioni anche quando non hanno le credenziali di accesso.

Di fatto le vulnerabilità sono dei passepartout di un hotel: aprono le porte permettendo così di far entrare persone non autorizzate.

Di fatto le vulnerabilità sono piccoli difetti del software applicativo o del sistema operativo su cui l’applicativo gira, difetti del web server che lo fa fruire, del file system, del firewall. Insomma le vulnerabilità non sono solo bug del software che si sta usando, ma hanno tante origini spesso poco note, a volte persino insolite.

Spesso le vulnerabilità derivano da imperizia, da qualcuno che ha commesso un errore, magari in totale buona fede, perché nel momento in cui ha sviluppato il software le condizioni erano differenti da quelle odierne.

Quindi non è il caso di pensare alle vulnerabilità come delle colpe di qualcuno, robe per cui si deve trovare un capro espiatorio. Spesso è molto difficile acclarare delle responsabilità e anche quando gli sviluppatori si impegnano a controllare e ricontrollare il loro operato, capita spesso che sia difficile scovare i propri errori. Un po’ come accade quando proviamo a ricontrollare un testo che abbiamo scritto noi: gli errori ci passano davanti agli occhi, sono lì ma non li vediamo. A volte può essere ancora più complicato: il software è scritto alla perfezione per questa configurazione, poi viene aggiornato un server e si combinano delle situazioni che non erano in alcun modo prevedibili e le vulnerabilità compaiono in maniera imprevedibile. Insomma bisogna abituarsi al fatto che le vulnerabilità ci terranno compagnia per sempre.

Ed ecco spiegato perché la vulnerability assessment viene solitamente condotta da persone non coinvolte, che non hanno sviluppato né il software né costruito l’architettura. Questo lo si fa perché non vi siano bias cognitivi tali da inficiare le operazioni di ricerca delle vulnerabilità.

Quante sono le vulnerabilità che vengono controllate?

Perché quando si parla di Vulenrebility Assessment si parla sempre di vulnerabilità note? Parliamo di vulnerabilità note perché queste, quando scoperte vengono rese pubbliche e perciò la cosa più semplice per un malintenzionato è iniziare a sfruttare quelle.

Quindi chi conduce una vulnerability assessment va alla ricerca di difetti noti prendendoli da un database in continuo aggiornamento che ad oggi ne annovera oltre 3000.

Alcune sono vulnerabilità così conosciute che quasi nessuno prova a sfruttarle, mentre altre sono più interessanti per gli hacker.

Chi sfrutta le vulnerabilità?

Chi sfrutta le vulnerabilità?Solitamente le vulnerabilità vengono sfruttate dagli hacker. Sono personaggi che hanno del software che in continuo prova ad aggredirci. Vanno alla ricerca di siti che sono aperti, visibili, dietro questi ip address o url ci sono magari porte aperte che mi consentono di vedere e di accedere ad applicazioni e che potrebbero avere delle vulnerabilità.

Migliaia di macchine che provano continuamente a rintracciare applicazioni e siti con vulnerabilità. Cosa succede quando li trovano? Se ne avvantaggiano per chiedere un riscatto, manomettere per gioco, per rubare le informazioni e non dire nulla.

Questa attività ha scritto nel 2016 Check Point frutta più della droga.

È un’attività redditizia e di conseguenza praticata per far soldi usando o rivendendo informazioni a terzi.

Ecco perché la vulnerabilità assessment , l’individuazione, la determinazione, il rintracciare le vulnerabilità e i bug di una applicazione esposta è importante per mantenere alti i livelli di sicurezza.

Cosa ottengo concretamente da una vulnerability assessment?

Quando si conduce un’analisi di questo tipo è fondamentale ricevere un report chiaro che non solo indichi la vulnerabilità ma dia anche il maggior numero di informazioni per poter rimediare.

Questa è una delle differenze fondamentali fra il report che fornisce MyVulnerabilityAssessment.com a conclusione dell’assessment e altri  quello fornito da tool economici, magari gratuiti, perché il report fornito dal nostro servizio è un report conforme a numerosi standard internazionali che facilita la lettura e che viene inviato in duplice copia. Una per il top management, molto breve, che serve a far comprendere la situazione anche a chi poi ha la responsabilità di stanziare o meno i budget. Poi uno più dettagliato per il CTO che sarà sicuramente in grado con il suo team di comprenderlo e di mettere in opera i rimedi.

Come passo da un report in pdf alle azioni concrete per rimediare?

Come passo da un report in pdf alle azioni concrete per rimediare?Sappiamo bene che una delle maggiori difficoltà è passare dalle conoscenze delle vulnerabilità alla chiusura concreta delle falle di sicurezza.

Gli specialisti ICT, che siano sviluppatori o sistemisti, sono già abituati a lavorare per task con numerosi strumenti per tracciare le loro attività e completare i loro lavori. Sappiamo bene che raggiungerli con un report di 300 pagine in PDF non aiuterà minimamente la rapida risoluzione dei problemi. Anzi, un pdf così grande potrà far sorgere problemi di comunicazione, stress, incomprensioni di cui ogni azienda vuole fare volentieri a meno.

Proprio per questo i nostri report si integrano già con strumenti che usano giornalmente i professionisti dell’ICT come:

  • Atlassian JIRA,
  • GitHub
  • Microsoft Team Foundation Server (TFS).

Questo diminuisce i tempi di risoluzione perché le istruzioni per il rimedio e la chiusura delle falle si integrano spontaneamente con strumenti usati quotidianamente dai tecnici.

Se non posso correggere il mio software?

Può capitare che non si possa attuare nessuna azione di remediation al proprio software o applicativo.
I motivi possono essere dei più vari:

  • il fornitore è fallito e non so più a chi rivolgermi;
  • il programmatore è andato in pensione;
  • la tecnologia è obsleta o non più supportata dal produttore:
  • ho fatto sviluppi custom e il mio business dipende da questi;
  • ecc…

I motivi possono essere infiniti, ma è possibile ritrovarsi nella situazione di aver segnalate le vulnerabilità dell’applicativo senza però poter ripristinare la sicurezza delle informazioni.
Nessuno problema, il servizio MyVulnerabilityAssessment è in grado di fornire un tracciato xml da caricare su un WAF (web application firewall) per poter ripristinare nel cloud la sicurezza dell’applicativo in modo virtuale.
Quindi, anche nel caso in cui il mio software abbia vulnerabilità che non si è in grado di mettere in sicurezza, ci penserà il servizio di Optanex a proteggere l’applicativo e riportare la sicurezza ai livelli desiderati.

Quanto dura una vulnerability assessment?

Che differenza c’è fra vulnerability assessment e penetration test?Chi si occupa specificamente di Vulnerability Assessment è uno specialista che fa questo mestiere in maniera continuativa utilizzando software standard e che producano report capaci di seguire gli standard più conosciuti e utilizzati per questi tipo di attività.

Pertanto risulta difficile rispondere perché dipende molto dall’ampiezza di quello che si vuole verificare.  A volte bastano 10 giorni a volte ne servono 30, a volte ancora di più.

Perché alcune indagini impiegano molto tempo non solo perché sono tante le verifiche da fare, ma anche per non causare inefficienze alle macchine o far percepire un calo di performance agli utenti.

La vulnerability assessment non è un’indagine distruttiva, non è un penetration test il cui scopo è impossessarsi dei dati verificando una strategia di attacco in maniera concreta. La vulnerabilità assessment è un metodo di indagine non invasivo che se condotto con professionalità non viene mai percepito dagli utenti in alcun modo.

Che differenza c’è fra vulnerability assessment e penetration test?

La vulnerability assessment vuole verificare solo se nell’applicazione siano presenti dei problemi che potrebbero essere utilizzati per condurre degli attacchi. È un test che si ferma sulla porta del cliente, non ha l’obbiettivo di penetrare all’interno a qualsiasi costo.

Non parliamo quindi di azioni di forza volte a scardinare l’applicazione ma soltanto o a verificare la sicurezza di un certo sistema. Infatti, una Vulnerability assessment condotto bene non mette in ginocchio i server e non genera disservizi agli utenti.

…e per la Regulatory Compliance?

I servizi di MyVulnerabilityAssessment.com  sono strutturati per rispondere ai requisiti più stringenti compresi i compliance report per PCI DSS, OWASP Top 10, ISO 27001 e HIPAA.

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close