Tutti i sistemi che utilizzano tecnologie informatiche sono potenzialmente soggetti a vulnerabilità che possono essere sfruttate sia da software malevoli (virus, worms ecc.) che da malintenzionati.
Per questi motivi ogni sistema informatico deve essere ciclicamente sottoposto a processi di Security Assessment (valutazione della loro sicurezza), al fine di individuare eventuali falle e porvi rimedio prima che queste vengano sfruttate.
Un’adeguata SICUREZZA INFORMATICA.
La sicurezza informatica non è riconducibile a un’attività “unica” quanto invece ad una metodologia integrata che assicuri l’integrità dei dati e la gestione del rischio. Servono dunque politiche che predispongano azioni organizzative e scelte tecniche tali da coprire tutte le aree della sicurezza.
Partendo dal presupposto che una sicurezza aziendale stabile, garantita al 100%, è una realtà fittizia, è fondamentale ricordare che un’opportuna “politica della security”, intesa come disegno strategico continuo, è la soluzione da attuare per una corretta protezione dei dati e dei sistemi.
Ciò significa che non è pensabile, per un’impresa che voglia proteggere i propri beni, guardare alla sicurezza informatica come un’attività specifica, ma come un insieme di azioni.
In conclusione parlare di Security Management, da un punto di vista tecnico, significa integrare tecnologie attive che analizzano automaticamente il comportamento delle applicazioni e delle comunicazioni di rete per rilevare e bloccare le attività sospette, funzioni di controllo della riservatezza che consentono di bloccare attività specifiche da dispositivi e applicazioni considerate ad alto rischio, mantenendo al contempo i dati disponibili.
Il tutto sotto il controllo di personale altamente specializzato che possa garantire controllo, analisi e soluzioni.
Verrà effettuata una scansione dall’esterno sugli IP pubblici segnalati dal Cliente. La scansione andrà alla ricerca delle vulnerabilità segnate sulle liste CVEs (Common Vulnerabilities and Exposures), NVTs (Network Vulnerability Tests), CPE (Common platform Enumeration) ed OVAL (Open Vulnerability and Assessment Language).
Verrà effettuata una prima scansione di tipo discovery e successivamente verranno effettuate, in accordo con il Cliente, delle scansioni di tipo Full and Deep in orari meno invasivi.
Alla fine delle scansioni verrà redatto un documento di sintesi ed analisi insieme ai risultati completi delle scansioni.
Verrà installato, all’interno della rete del cliente, un server sonda che possa effettuare le scansioni dei sistemi presenti sulla rete. La scansione si limiterà alla rete dei server ed apparati. È necessario che la sonda possa avere completo accesso alla rete da scansionare senza filtraggi in mezzo, altrimenti l’analisi delle vulnerabilità potrebbe essere falsata. Se disponibile la sonda verrà installata in ambiente virtuale del cliente o l’alternativa verrà portato un server fisico da attestare in rete. È necessario un accesso da remoto a questo server.
La tipologia di scansione è la stessa della fase 1 ed anche in questo caso verrà redatto un documento di sintesi ed analisi insieme ai risultati completi delle scansioni. All’interno del documento saranno suggerite le patch o linee guida per la remediation delle vulnerabilità riscontrate.
In questa fase verrà analizzata, insieme al reparto IT del cliente, lo stato della rete interna ed esterna e verranno suggerite, ove necessario, le best practice per la segmentazione e protezione della rete. Inoltre verranno effettuate delle scansioni di tipo discovery da ogni vlan per verificare l’eventuale e corretta chiusura dei servizi server. Verranno inoltre verificati gli accessi alle eventuali share presenti sui server da profili diversi di Active Directory al fine di verificare la corretta applicazione delle policy di condivisione.
Le attività verranno svolte dai nostri tecnici presso la sede del cliente ed è richiesta la collaborazione del reparto IT.
Alla fine delle scansioni verrà redatto un documento di sintesi ed analisi insieme ai risultati completi delle scansioni. All’interno del documento saranno suggerite le patch o linee guida per la remediation delle vulnerabilità riscontrate.
Per le applicazioni web individuate verranno effettuate delle scansioni ad-hoc. Verranno utilizzati diversi software basati su CVE ed OWASP. A seconda delle applicazioni trovate verranno utilizzati tool specifici. Infine verrà effettuata un’analisi manuale delle applicazioni atta a verificare potenziali data breach. Questa attività viene effettuata da remoto, pertanto in caso di applicazioni interne deve essere fornito accesso remoto.
L’attività ha costi e tempi di analisi diverse in base alla dimensione e alla complessità delle WEB Application analizzate.
Alla fine delle scansioni verrà redatto un documento di sintesi ed analisi insieme ai risultati completi delle scansioni. All’interno del documento saranno suggerite le patch o linee guida per la remediation delle vulnerabilità riscontrate.
In questa fase, la più lunga, verranno implementate delle tecniche di ethical hacking per verificare che non sia possibile ottenere dati aziendali. Si inizierà effettuando un general risk assessment. Quindi si andranno a ricercare le informazioni generiche sull’azienda e sui dipendenti attraverso, ad esempio, i canali social. Inoltre si andrà alla ricerca di eventuali violazioni documentate degli account di posta aziendali e personali (account pwned). Finita questa fase che potrebbe richiedere parecchio tempo in base alla grandezza dell’azienda, si procederà ad effettuare dei test del WiFi tramite l’esecuzione di attacchi agli AP presenti. Questa attività verrà effettuata presso il cliente e prevede tra i vari test la creazione di un AP rogue al fine ottenere le password account.
Alla fine delle scansioni verrà redatto un documento di sintesi ed analisi insieme ai risultati completi delle scansioni. All’interno del documento saranno suggerite le patch o linee guida per la remediation delle vulnerabilità riscontrate.