Il Vulnerability Assessor è una figura emergente e sempre più richiesta nel mondo della cyber security: attraverso particolari strumenti e tecniche di assessment, contribuisce a comprendere al meglio il livello di (im)maturità delle imprese sul piano della sicurezza digitale.
Indice degli argomenti
Vulnerability Assessor e stima delle vulnerabilità
Ma in cosa consiste, nello specifico, un Vulnerability Assessment? Letteralmente, significa “stima delle vulnerabilità” e identifica un’analisi approfondita, volta a individuare le potenziali vulnerabilità presenti su sistemi (server, client, device di rete…) e applicazioni aziendali. Ancor più nel dettaglio, per vulnerabilità si intende una problematica presente sull’asset analizzato, che può ad esempio ricadere in una delle seguenti categorie:
- mancanza di aggiornamenti di sicurezza critici;
- presenza di sistemi operativi e/o applicativi non più supportati;
- credenziali di default su portali o servizi in uso;
- configurazioni errate a livello di autenticazione, controllo accessi e trasmissione dati.
In sintesi, sono da considerarsi vulnerabilità – da prendere in considerazione all’interno del piano di remediation – tutti i problemi di natura tecnica in grado di compromettere confidenzialità, integrità e disponibilità delle informazioni di business coinvolte.
Ad ogni vulnerabilità identificata viene assegnato un corrispondente livello di rischio potenziale, calcolato sulla base delle conseguenze derivate ad un possibile attacco come della complessità sottesa ad ogni tentativo di aggressione informatica.
Questo tipo di rappresentazione consente di trasferire in maniera più efficace e immediata la gravità delle falle rilevate al top management o all’azienda committente (nel caso di analisi in outsourcing). Funziona, inoltre, come utile strumento di lavoro per il team incaricato di correggere le vulnerabilità identificate e mitigare i rischi IT rilevati.
Come si pratica un Vulnerability Assessment
Nella maggioranza dei casi si fa ricorso al Vulnerability Scanner, lo strumento di analisi che, automaticamente, effettua una lunga serie di verifiche (check) coerenti con la tipologia di asset rilevata. Successivamente interviene lo specialista, il cui valore aggiunto risiede nella capacità professionale di studiare i dati raccolti e rielaborarli, alla luce delle peculiarità del contesto aziendale e dell’infrastruttura testata.
All’interno di una progettualità standard, un Vulnerability Assessor (o Vulnerability Assessment Analyst) ha il compito di:
- mettere a fuoco ogni vulnerabilità, in modo da porvi rimedio prima che un possibile attaccante possa approfittarne;
- effettuare diversi test e verifiche per bug critici all’interno di reti, applicazioni e sistemi;
- scrivere o modificare script di analisi ad hoc, nel caso in cui gli asset da scansionare siano straordinari, come nel caso di database vulnerability assessment o SCADA vulnerability assessment;
- distinguere in maniera rapida ed efficace i falsi positivi, effettuando check manuali;
- valutare il potenziale livello di rischio associato a ogni vulnerabilità identificata;
- validare o suggerire una strategia di remediation per ogni vulnerabilità identificata;
- presentare i risultati ed effettuare specifici percorsi di formazione a beneficio del personale addetto alla gestione dei sistemi coinvolti e alla funzione di patch management, specialmente in caso di vulnerabilità complesse o molto recenti.
In linea generale e soprattutto in Italia, quella del Vulnerability Assessor è una professione che si svolge all’interno di società di consulenza cyber security. Non mancano, tuttavia, realtà più strutturate che iniziano a dotarsi di team interni di vulnerability management, in modo da monitorare nel continuo la presenza di vulnerabilità a livello aziendale.
Come diventare un Vulnerability Assessor
Non esiste un titolo di studio che abiliti a diventare un Vulnerability Assessor. Le aziende, tuttavia, privilegiano i laureati in Informatica e Ingegneria Informatica, ancor meglio se in merito a percorsi attinenti alla cyber security.
Ciò che sicuramente è importante è la passione per questo tema e la capacità di rimanere costantemente aggiornati su vulnerabilità, attacchi e nuove tecnologie in ambito IT. A seconda della realtà cui si ambisce, può talvolta essere necessaria un’esperienza di alcuni anni come tecnici specialisti, soprattutto nel caso in cui siano richieste competenze mirate.
Per quanto riguarda le certificazioni tecniche utili ad intraprendere questa carriera, può essere interessante valutare i percorsi entry point offerti da CSX Fundamentals (ISACA) ed eJPT (eLearnSecurity), utili ad apprendere le basi tecniche ed organizzative.
Senza dubbio, i titoli più gettonati nel settore dell’information Security come CISSP e CEH rappresentano importanti traguardi cui ambire per ampliare le proprie conoscenze. Esiste, inoltre, una certificazione specifica offerta da Mile2 (Certified Vulnerability Assessor, CVA), per meglio comprendere responsabilità e compiti di questa mansione che si sta diffondendo anche nel nostro paese.
Competenze necessarie
In linea di massima, un buon Vulnerability Assessor deve dimostrare grande versatilità e la capacità di adattarsi velocemente al tipo di asset da analizzare, apprendendone caratteristiche, funzionalità ed eventuali punti di debolezza. Ciò da cui non si può assolutamente prescindere è:
- una buona conoscenza sistemistica, in particolar modo relativamente ai mondi Windows e Unix;
- una panoramica efficace sui principali dispositivi di rete in uso nelle Aziende e sulle relative tecnologie e caratteristiche;
- basi di programmazione (Java, PHP, SQL, …).
Un buon Vulnerability Assessor deve inoltre avere padronanza degli strumenti automatici in suo possesso: nel caso in cui si renda necessario, deve essere in grado mettere in dubbio i controlli effettuati automaticamente, attraverso verifiche manuali sul sistema coinvolto e sullo strumento, collaborando con gli eventuali partner commerciali.
A corredo di quanto riportato, non deve venir meno un’ottima capacità a livello reportistico ed espositivo, specialmente nel caso in cui si presentasse la necessità di formare il personale coinvolto dall’applicazione delle remediation identificate.
Un buon Vulnerability Assessor deve poter essere in grado di dialogare adeguatamente con gli uffici più tecnici e con il management, fornendo ad entrambe le parti le corrette motivazioni per gestire e correggere in maniera immediata le criticità evidenziate.
