Hacking etico: a cosa serve? Può sembrare una domanda scontata, ma la risposta è complessa quando si pensa a una tipica PMI, con le sue esigenze, aspettative e risorse.
C’è, tuttavia, un dato di partenza a cui prestare attenzione: 176.000. Tante sono, infatti, le vulnerabilità censite dal database NVD (National Vulnerability Database). Di queste, 8.056 sono state inserite nel primo quarto del 2022, con un incremento del 25% rispetto al medesimo periodo del 2021.
Considerando l’intero database, circa l’11% di vulnerabilità ha un livello “critico”, da 9.0 in su, che è quasi una garanzia di attacco grave a qualunque sistema che ne contenga almeno una.
Indice degli argomenti
Hacking etico fin dalla fase di design
Nel campo della cyber security si spendono, da anni, conferenze, libri e think tank nel tentativo di trovare una soluzione al problema.
Tra le poche certezze, quella che è necessario integrare la sicurezza fin dalla fase di progettazione di una tecnologia, secondo i principi di security by design e di un hacking etico che assista l’intero ciclo di sviluppo di un prodotto o un servizio.
Il security by design è un concetto all’apparenza nuovo, che ha conosciuto le luci della ribalta grazie anche all’introduzione della GDPR e del suo concetto di “privacy by design”, ma che fonda le proprie origini su una considerazione ben conosciuta dall’industria della cyber security: meglio sviluppare un prodotto sicuro, che sperare di renderlo sicuro dopo.
Meglio scoprire subito le vulnerabilità
Cosa significa? Che il prodotto, che si tratti di software o hardware, dovrebbe essere sviluppato tenendo in considerazione i principi di buona sicurezza fin dalla fase di progettazione, per limitare la presenza di vulnerabilità difficili poi da individuare e correggere.
Questo è il fulcro del discorso, quando si parla di security by design, che tra l’altro è un tema dibattuto sia in campo software che in quello hardware, abbracciando dunque qualsiasi azienda e industria che abbia in qualche modo a che fare con il mondo digitale. Ma come si inserisce, in questo contesto, l’hacking etico?
Hacking etico: limitare i costi
“Partiamo dal presupposto che il security by design è una maniera intelligente di applicare le best practice di sicurezza ai sistemi più svariati”, racconta Paola Capuano, Customer Success Analyst di UNGUESS, realtà che si sta imponendo nel campo del vulnerability assessment e penetration test in crowdsourcing.
E aggiunge: “Il security by design coinvolge le best practice in grado di prendersi cura dei nostri dati. Raccomandabile non solo per una questione di sicurezza, ma anche perché più si posticipa il testing più aumentano i costi nel caso vi sia la necessità di rimediare”.
È anche una questione d’immagine
È proprio nell’ottica di efficienza e costi che si inserisce l’hacking etico, che va visto come uno strumento pronto a testare un servizio o un prodotto fin dalla sua progettazione, accompagnandolo poi in tutte le fasi del suo sviluppo.
L’hacking etico consente di mettere alla prova componenti software e hardware, alla ricerca di punti critici e vulnerabilità, al fine di sviluppare prodotti il più possibile sicuri fin dalla fase di lancio.
Per limitare costose fasi di test e fixing successive, e ridurre la possibilità di incorrere in attacchi che ledano non solo il business ma anche l’immagine dell’azienda.
Hacking etico: scegliere i partner giusti
Per questa ragione diventa importante non solo investire nell’hacking etico, ma scegliere i partner giusti per implementarlo.
Certo, c’è la possibilità di creare un’unità specializzata, interna all’azienda, ma richiede un investimento ingente in termini di professionisti, aggiornamenti e strumenti. Un’eventualità perseguibile solo da aziende medio-grandi e già ben strutturate in ambito di cyber security.
In tutti gli altri casi, meglio ricorrere ad aziende specializzate nell’hacking etico, anche se la sorpresa è sempre dietro l’angolo, come sottolinea Capuano: “Il problema che spesso riscontriamo coi clienti è che provengono da pentest fatti da poche persone, con risorse limitate, i cui risultati non possono che essere spesso imprecisi”.
Per questa ragione, realtà come UNGUESS Security hanno puntato su un modello di hacking etico in crowdsourcing.
Una comunità di oltre 500 ethical hacker al servizio delle aziende
Non più, dunque, un team ridotto all’osso, ma un’intera comunità di oltre 500 ethical hacker pronti a effettuare test sulla base di progetti che ogni azienda può definire e proporre, in termini di obiettivi e budget.
In questo modo, tutta la comunità di hacker etici è chiamata a raccolta e i suoi professionisti sono remunerati, a tariffe di mercato competitive, per poter contare sui migliori, per i risultati ottenuti.
Da una parte, quindi, chi fa hacking etico è stimolato a dare il massimo, dall’altra l’azienda che partecipa sostiene costi minori e può contare sulla capacità analitica di un’enorme comunità di professionisti.
Dalla parte dei test
Il risultato finale è un circolo virtuoso che mette i professionisti dell’hacking etico nella loro comfort zone, dove possono dare il meglio di sé, e dove le aziende sono stimolate a investire su vulnerability assessment, penetration test e bug bounty fin dalle fasi iniziali di ogni progetto.
Ed è questo, del resto, il punto di giunzione tra hacking etico e security by design: test approfonditi, integrati alla perfezione nel ciclo di sviluppo, che permettano di avere soluzioni tanto efficaci e aderenti ai propri obiettivi quanto sicure.
Perché la sicurezza, oggi, non deve essere più un’opzione ma una feature del prodotto.
Contributo editoriale sviluppato in collaborazione con Unguess
