Il Ponemon Institute ha pubblicato, nelle prime settimane di giugno 2023, uno studio condotto con Bishop Fox – società americana leader nel settore dell’offensive security – scaturito dalle interviste a quasi 700 professionisti della sicurezza e del settore IT in piccole, medie e grandi organizzazioni che eseguono attivamente test di offensive security.
Indice degli argomenti
Ponemon Institute Report – The State of Offensive Security
Il report di Ponemon Institute fornisce un’analisi degli sforzi di offensive security delle organizzazioni contro le minacce informatiche che preoccupano di più, oltre a delineare lo scenario dei diversi tipi di sicurezza offensiva- i.e. il Red Teaming, il attack surface management, i test di sicurezza cloud e la sicurezza delle applicazioni – per migliorare la propria posizione di cyber security.
È doveroso ricordare che una strategia di offensive security si concentra sull’identificazione proattiva dei processi e dei controlli di sicurezza che impediscono che un attacco vada a buon fine. Al contrario, l’obiettivo delle misure reattive – come il rilevamento e la risposta gestiti – è ridurre al minimo il tempo di permanenza degli aggressori una volta che la prevenzione fallisce. Pertanto, una robusta cyber resilience scaturisce da una calibrata sintesi di approcci offensivi e reattivi.
Offensive security nelle organizzazioni: lo scenario
Il report di Ponemon Institute, rivela che:
- Il 68% degli intervistati afferma che la propria organizzazione utilizza fornitori di servizi di offensive security di terze parti.
- Il 27% si affida solo a test esterni.
- Il 41% utilizza una combinazione di test interni e di terze parti.
Inoltre, i fornitori di servizi di offensive security sono selezionati in base a:
- L’efficacia dei servizi (48% degli intervistati)
- La capacità di personalizzare i servizi secondo le esigenze dell’organizzazione (43%)
- La qualità dei risultati, inclusi i report (34%)
Investimenti in soluzioni di offensive security – Le organizzazioni effettuano gli investimenti in test di offensive security in base a tre fattori principali e, precisamente:
- L’adozione di nuove tecnologie (44% degli intervistati)
- La migrazione al cloud (41%)
- Il rilascio di nuove applicazioni (40%).
I vulnerability scanner e le soluzioni di attack surface management sono le tecnologie più frequentemente acquistate per supportare le iniziative di offensive security. In particolare: il 50 % degli intervistati afferma di utilizzare i vulnerability scanner sia per scoprire esposizioni e/o facilitare test di offensive security sia per identificare potenziali difetti nel sistema e classificarli in ordine di gravità; il 48% utilizza tecnologie di attack surface management; il 46% usufruisce di servizi di protezione dai rischi digitali.
Inoltre, più della metà degli intervistati (52%) afferma che i test di offensive security aiutano le proprie organizzazioni a rafforzare le difese contro le minacce informatiche, evidenziando come il ransomware sia la principale minaccia informatica (41% degli intervistati) che guida gli investimenti, seguito dal social engineering (40%) e dalle vulnerabilità del cloud (39%).
Test di offensive security – Red Teaming, sicurezza delle applicazioni, cloud, rete interna ed esterna e dispositivi IoT
Strategia di Test di Red Teaming & offensive security
Il Red Teaming consiste nello sfidare la capacità di un’organizzazione nell’identificare e mitigare tattiche, tecniche e procedure progettate per eludere i controlli di sicurezza avanzati.
Il 64% degli intervistati afferma che le proprie strategie di sicurezza offensiva includono il Red Teaming. Altre strategie di test di offensive security prese in considerazione dalle organizzazioni: test di sicurezza delle applicazioni (54% degli intervistati), test di dispositivi IoT (49%), test di reti interne ed esterne (47%) e test di sicurezza cloud (43%).
Agli intervistati è stato chiesto, inoltre, di valutare l’efficacia del red teaming, della sicurezza delle applicazioni, dei test di sicurezza cloud e dei dispositivi IoT in base ad una scala da 1 = non efficace a 10 = altamente efficace.
I test di sicurezza cloud sono i più efficaci nel migliorare la resilienza delle organizzazioni (57%), seguiti dal Red Teaming (47%). Inoltre, i testi di offensive security risultano particolarmente validi ed efficaci per migliorare la postura di sicurezza dei dispositivi IoT (43% degli intervistati) e delle applicazioni (42%).
Il valore dei test di offensive security e previsioni degli investimenti
È stato chiesto agli intervistati come cambieranno i loro investimenti nei prossimi uno o due anni su una scala che va da un aumento significativo a una diminuzione significativa. Le risposte rivelano che i maggiori aumenti di investimenti si registreranno ne:
- Sicurezza dei dispositivi IoT (62%)
- Sicurezza del cloud (60%)
- Red Teaming (56%)
- Sicurezza delle applicazioni (56%)
- Test di rete interna (55%)
- Test di rete esterna/gestione della superficie di attacco (50%)
L’importanza dei test di offensive security
Le soluzioni di offensive security combinano il giusto mix di tecnologia, automazione e test per prevenire gli attacchi prima che possano verificarsi. Il report rivela che molte organizzazioni effettuano test continui con una cadenza di una volta alla settimana o più e, precisamente per quanto riguarda le reti interne (31% degli intervistati), seguite da reti esterne/superficie di attacco (29%), applicazioni (28%) e Red Teaming (26%).
Tabletop exercise & la preparazione al ransomware
I tabletop exercise o e la preparazione al ransomware sono le prime due attività di Red Teaming. Vediamo di che si tratta.
I tabletop exercise sono utilizzati per preparare l’organizzazione agli incidenti di sicurezza informatica. Essi risultano particolarmente efficaci per valutare la preparazione al ransomware e stabilire un piano per mitigare i punti deboli nella capacità di un’organizzazione di prevenire e di testare le strategie di recupero. Il 63% degli intervistati afferma che la propria organizzazione utilizza questi esercizi per testare la postura di offensive security, mentre il 55% afferma li impiega per testare la prontezza al ransomware.
È doveroso ricordare che il Red Team è un gruppo di professionisti della sicurezza interna che utilizzano competenze specializzate per eseguire attacchi “segreti” che eludono i controlli e i processi avanzati di rilevamento e risposta.
Il 38% degli intervistati afferma che la propria organizzazione ha un Red Team o pianifica di costruire un team interno (32%); mentre un 30% dei rispondenti afferma – a fronte della mancanza di capacità interne di red teaming – di prevedere l’utilizzo di un Red Team esterno in base alle necessità .
Penetration test
Le organizzazioni utilizzano il penetration test per fornire una panoramica completa della qualità e dell’efficacia dei controlli di sicurezza. Dal report si evince che:
- Il 67% degli intervistati effettua penetration testing su software di terze parti.
- Il 64% effettua penetration testing su software propri.
- Il 58% utilizza il code review.
- Il 50% utilizza il threat modeling.
Pen testing & Cloud
Il pen testing è la strategia più diffusa per rilevare le vulnerabilità di sicurezza nel cloud. Il 59% degli intervistati afferma che la propria organizzazione utilizza il pen test per rilevare le vulnerabilità del cloud. Il 41% afferma che le proprie organizzazioni utilizzano la threat analysis (i.e. una strategia di sicurezza informatica che mira a valutare i protocolli, i processi e le procedure di sicurezza di un’organizzazione per identificare minacce, vulnerabilità e persino raccogliere informazioni su un potenziale attacco prima che si verifichino).
Offensive Security: come viene utilizzato nei diversi settori
Il report offre uno scenario degli investimenti in offensive security nei diversi settori, quali: servizi finanziari (FS), sanitario & farmaceutico (HC), tecnologia & software (TC) e industriale & manifatturiero (IM).
Il report evidenzia come le organizzazioni del settore HC, così come quelle TC, sono più propense a investire in test di offensive security quando vengono adottate nuove tecnologie (rispettivamente 46% e 49%). Le organizzazioni del settore FS (46%) e TC (45%) effettuano test di offensive security quando migrano nel cloud.
Gli obiettivi dei test di offensive security per il settore FS sono principalmente quelli di soddisfare i requisiti normativi e di conformità (45% degli intervistati) e di migliorare la preparazione alla risposta agli incidenti (44%). L’obiettivo principale per il settore HC è soddisfare i requisiti normativi e di conformità (48%). Le organizzazioni TC affermano che migliorare la risposta zero-day è il loro obiettivo primario (47%)
Gli intervistati del settore dei FS (67%) e HC (63%) riportano il più alto tasso di efficacia nel rafforzamento delle difese grazie ai test di offensive security.
Le organizzazioni del settore HC risultano utilizzare maggiormente i vulnerability scanner (55% degli intervistati), tecnologie di surface attack management (53%) e i threat intelligence feed (48%). Il settore FS utilizza sia i vulnerability scanner (49%) sia i servizi di digital risk protection (45%), mentre le organizzazioni del settore TC utilizzano principalmente tecnologie di breach & attack simulation (43%).
