Le diverse tecniche di cyber security per evitare i rischi di attacchi alla rete informatica aziendale.

Negli ultimi anni le richieste legate alla cyber security da parte dei nostri clienti sono aumentate, spesso senza conoscere il tipo di servizio proposto.
Le tre principali attività consigliate che portano il cliente a confondere il servizio oltre alla finalità dello stesso sono:

  • Vulnerability assessment
  • Penetration test
  • Red team engagement

Vulnerability Assessment e Penetration Test

Quando non si comprendono le differenze tra i penetration test e vulnerability scan, si rischia di tralasciare un componente vitale nella sicurezza della rete in generale, perché entrambi sono fondamentali per la prevenzione di attacchi informatici.

Vulnerability Assessment vs Penetration Test

Vulnerability Assessment

L’obbiettivo di una Vulnerability scan o VA è di cercare le vulnerabilità note con un processo automatizzato. Nel penetration test si cerca di sfruttare attivamente i punti deboli di un ambiente alla quale richiede vari livelli di competenza.

La scansione regolare delle vulnerabilità è necessaria per mantenere la sicurezza del network: il metodo corretto prevede che venga effettuata trimestralmente, e prima dell’installazione di un nuovo software o apparato. E’ consigliato eseguire la scansione per ogni modifica apportata all’infrastruttura , in modo da rilevare problemi come patch mancanti e/o protocolli, certificati e servizi obsoleti.

Penetration test

Destinato al network infrastrutturale, alla sicurezza fisica, al social engineering/phishing, alla verifica di applicazioni, singolarmente o tutte insieme. L’obbiettivo del test è identificare processi aziendali non sicuri, impostazioni di sicurezza permissive o altri punti deboli che un male intenzionato potrebbe sfruttare. Gli esempi più eclatanti di probabili problemi sono: la trasmissione di password non crittografate, il riutilizzo delle chiavi d’accesso e i database di credenziali utenti ancora validi dimenticati e archiviate. La frequenza delle operazioni devono essere effettuate regolarmente.

Entrambe le attività possono essere prese in considerazione se le misure minime di protezione del network sono già state applicate in precedenza. L’unica eccezione é la richiesta dei decision maker per stabilire la sicurezza dell’infrastruttura.

Un fornitore esterno può essere più efficace di un personale interno, dato che è necessaria una visione obiettiva dell’ambiente di rete ed evitare conflitti d’interesse. Anche nel penetration test vengono utilizzati strumenti automatizzati, ma l’efficacia di questo tipo di test dipende dal tester.

In entrambi i tipi di attività il vero valore per il cliente è la qualità del report fornito oltre alla capacità del fornitore di supportare il cliente nel rimediare alle problematiche evidenziate dai test.

Red e Blu Team

Cos’é un Red Team Engagement?

Un red team engagement è un incarico a lungo termine (mediamente 3 mesi) andando a emulare le tecniche e procedure (TTPs) utilizzate dagli avversari del mondo reale del cliente per migliorare la qualità delle difese aziendali.

Il processo è prevista dalla presenza di un blu team, ovvero una squadra di tecnici interni o in outsourcing che si occupano di monitorare e rilevare in tempo reale le minacce per poter intervenire che si scontra con il red team, tecnici esperti esterni, che ha il compito di “allenare” il blu team a identificare e rispondere a uno specifico tipo di minaccia.

L’ambito di applicazione è lo stesso del penetration test, ma cambiano o dovrebbero cambiare, gli strumenti utilizzati e la sofisticazione degli stessi che devono essere allineati all’avversario da emulare. Questo tipo di campagne è destinato ad aziende le cui difese sono mature e pronte a rispondere a queste operazione.