Le pratiche di ethical hacking in azienda sono ancora viste con sospetto in molte realtà imprenditoriali italiane. Questo atteggiamento rischia di limitare l’utilizzo delle misure di cyber security a disposizione degli esperti preposti a evitare i rischi.
In particolare, i penetration test sono utilissimi per verificare eventuali vulnerabilità dei sistemi: ma non sempre queste attività trovano il giusto consenso.
Indice degli argomenti
L’ethical hacking in azienda: il contesto
Il trattamento dei dati rappresenta un rischio per le aziende, sia dal punto di vista della fiducia del cliente e dell’immagine aziendale, ma anche dal punto di vista delle sanzioni economiche nel caso di data breach.
Per questo motivo, stiamo assistendo negli ultimi anni a delle piccole rivoluzioni industriali in innumerevoli aziende: nascita di reparti deputati al controllo e alla cyber security, nascita di Security Operation Centers (SOC) e processi aziendali volti, finalmente, alla valutazione e messa in sicurezza dei sistemi informatici.
Lo scenario riguarda molti ambiti, dalla pubblica amministrazione alle telco, dal sanitario al banking. La richiesta sul mercato di specialisti di sicurezza informatica non ha precedenti: specialisti di processo ma anche e soprattutto specialisti tecnici, in grado di metter mano sui sistemi ed effettuare i cosiddetti penetration test, ovvero test orientati all’individuazione ed effettivo sfruttamento di vulnerabilità per poter ottenere accessi e operazioni non autorizzate volte alla sottrazione di dati.
Sottrazione di dati che, se ottenuta da personale apposito dell’azienda, non crea nessun danno; ma se ottenuta da utenti malintenzionati in giro per il mondo, può seriamente mettere in ginocchio l’azienda stessa.
Esiste tuttavia una sorta di reticenza mal celata quando queste figure tecniche, in gergo “ethical hacker“, propongono pianificazioni e idee sulle procedure di penetration testing, che non sempre incontrano parere favorevole da parte dell’azienda. A che punto siamo?
Gli ostacoli all’ethical hacking in azienda
Attualmente, nel panorama dell’ethical hacking, esistono diversi ostacoli che spesso costringono i penetration tester ad operare col freno a mano tirato, con l’unica conseguenza di incidere negativamente sulla qualità dei test.
La confusione con i vulnerability assessment
Il primo ostacolo è senza dubbio questo, la mancanza di chiarezza tra due operazioni che sono spesso ritenute equivalenti: mentre il penetration test si occupa di un tentativo di intrusione manuale, basato sulla capacità e creatività umana della figura tecnica; il vulnerability assessment è uno scan effettuato da un software che svolge controlli più o meno approfonditi e fornisce risultati che possono comprendere falsi positivi, ma ancor peggio, falsi negativi, rendendo imprescindibile una valutazione manuale.
Da sfatare la loro intercambiabilità e la loro equivalenza, in quanto, sebbene entrambe valide, sono due procedure completamente differenti; da accoppiare certo, ma da non confondere. Infine, ancor più importante, il ruolo: chi effettua scansioni per un vulnerability assessment non è necessariamente un penetration tester e viceversa.
Penetration Test non sui sistemi in esercizio
Spesso si cerca di condurre le attività di ethical hacking su ambienti di pre-esercizio, ovvero sistemi che non sono raggiungibili da internet e sottoposti a collaudo prima della loro messa in funzione.
Sebbene sia una buona pratica (si provvede a testarne la sicurezza prima di esporli su internet), spesso può essere controproducente: non sempre un sistema in pre-esercizio diventa “operativo” subito dopo il test, esponendo l’azienda a un rischio dovuto al tempo necessario per cambiare il sistema con quello più sicuro; ma soprattutto, nel 70% dei casi, gli ambienti non sono identici (ad esempio a causa di versioni di software non allineate, vecchi bug, eccetera), rendendo il penetration test non completamente affidabile.
Penetration test? Sì, ma dove e come diciamo noi
L’ethical hacking è composto, come già detto, da una forte componente creativa: la sua efficacia dipende strettamente dall’esperienza e dalla bravura del tester. Esperienza e bravura, ottenute anche attraverso la scelta di software che più si adatta alle esigenze del pentester.
Ogni ethical hacker usa i suoi software preferiti, scrive i suoi script ad-hoc, configura il suo laptop in maniera da avere tutto l’occorrente per lavorare al meglio. Se si vuol ordinare un penetration test non c’è niente di peggio che imporre al pentester un pc da utilizzare. Egli impiegherà una giornata per recuperare e adattare i suoi strumenti. Una giornata (pagata) in più per una giornata di lavoro effettivo in meno.
…e quando diciamo noi!
Il titolo è volutamente esagerato, ma per ottenere un test completo ed effettivo va investito del tempo. Va investito in funzione della tipologia del test, del perimetro e della complessità del sistema. Molte aziende ignorano questi fattori e investono in blocchi.
È realmente necessario comprare 40 giorni di penetration test per un sistema di dimensioni limitatissime? È saggio investire in 5 giorni di penetration testing per un portale complessissimo e critico?
Ethical hacking in azienda: la questione Red-Team
Il Red-Teaming è il nome assegnato ad un’attività di ethical hacking che ha come scopo principale la ricerca di vulnerabilità di sicurezza (informatica certo, ma anche fisica) simulando quanto più possibile il comportamento di un attaccante reale.
In particolare, l’attività non è pre-condivisa all’interno dell’azienda, se non con i responsabili della Security, proprio per avere un metro di valutazione (quanto più realistico possibile) delle azioni di detection e contromisure da parte del personale preposto.
È un tipo di attività fortemente consigliato, perché il Red-Teaming è la tipologia di attività che fornisce la misurazione più precisa dell’efficacia delle difese in campo da parte dell’azienda.
Si tratta tuttavia di un processo che richiede tempo e un notevole investimento; e secondo la nostra opinione, affiancandola a periodiche attività di penetration test e di vulnerability assessment, rappresenta la ciliegina sulla torta per quanto riguarda i test di sicurezza in ambito corporate.
Conclusione
In definitiva, in Italia, specie in seguito all’introduzione del GDPR, molte aziende si sono impegnate attivamente per quanto riguarda la sicurezza informatica, e l’ethical hacking in azienda è una procedura che diventa sempre meno oscura col passare del tempo.
Tuttavia, ci siamo occupati degli ostacoli principali che un ethical hacker incontra al giorno d’oggi: ostacoli, dovuti forse ad una mancanza di fiducia, e perché no, spesso anche di conoscenza nei confronti dei processi di penetration testing.
Questo gap contribuisce a percepire le attività come un processo rischioso e “distruttivo”, che può mettere in qualche modo a repentaglio i sistemi aziendali. Non c’è ovviamente nulla di più sbagliato, ovviamente se ci si affida a penetration testers esperti.
La sicurezza informatica non deve essere improvvisata, e al giorno d’oggi, nessuna azienda può permettersi di risparmiarci su.
