La simulazione degli attacchi informatici: come si fa, perché è necessaria | ZeroUno

La simulazione degli attacchi informatici: come si fa, perché è necessaria

pittogramma Zerouno

Technology HowTo

La simulazione degli attacchi informatici: come si fa, perché è necessaria

La simulazione degli attacchi informatici non riguarda scenari ipotetici e surreali ma delle concrete misure di difesa adottate da aziende piccole e grandi per testare la propria vulnerabilità e tutelare dati ed informazioni sensibili.

26 Nov 2020

di Roberta Fiorucci

Nel mese di giugno di quest’anno, i paesi europei e l’agenzia Ue per la cybersicurezza Enisa avrebbero dovuto organizzare Cyber Europe 2020, una simulazione degli attacchi informatici su larga scala. L’emergenza che stiamo vivendo non ha permesso neppure la pianificazione. La simulazione di un attacco avrebbe dovuto ruotare attorno al settore ICT della sanità e coinvolgere ospedali, cliniche, laboratori, fornitori e health insurance. Se pensiamo ad un ambito che comprende dati sensibili come quello sanitario, è facile capire come implementare soluzioni in grado di identificare, prevenire e dare una risposta concreta a queste minacce sia fondamentale. Ad esser colpiti da attacchi informatici non sono solo i grandi sistemi governativi o aziendali ma anche le piccole e medie imprese, vulnerabili nella sicurezza e spesso veicolo per obiettivi più grandi.

Simulazioni degli attacchi informatici: cosa sono

Nella pratica, viene simulato un attacco da parte di personale specializzato e qualificato che spesso si definisce affine all’ethical hacking o hacking etico. L’azienda commissiona il test simulato per individuare vulnerabilità di sistema e migliorare la gestione dell’intera infrastruttura IT anche in termini di investimento.

La scelta della complessità della simulazione può variare in base alla tipologia di minacce da testare (solitamente attacchi a siti e infrastrutture, attacchi malware o di phishing): da semplici test fatti in modo automatico o sotto forma di attività di formazione a simulazioni manuali complesse e spesso imprevedibili. L’insieme di queste operazioni è il penetration testing.

Penetration testing: il metodo, le fasi

L’intera simulazione di pentesting generalmente avviene in più fasi:

  • Information gathering: è la fase iniziale in cui si definiscono e si raccolgono le informazioni sull’infrastruttura e sui servizi: architettura, indirizzi IP, domini, sistemi e porte attive ma anche dati e nominativi come le e-mail in caso di un attacco di social engineering. Si parla di white box quando vengono fornite molte informazioni; black box a scatola chiusa, in mancanza di informazioni; gray box quando chi simula l’attacco è a conoscenza di dati ed informazioni parziali. A questa fase, fa parte anche il rilascio dell’informativa comprensiva degli obblighi di riservatezza.
  • Vulnerability assessment: spesso avviene in modalità inside, dall’interno dell’azienda tramite scanner test per analizzare e individuare vulnerabilità come sistemi obsoleti, credenziali deboli oppure eccessiva esposizione di dati ed informazioni.
  • Exploitation: è una tecnica per ottenere il controllo di un sistema informatico e acquisire privilegi o simulare un attacco DDoS.
  • Privilege escalation: sfrutta le vulnerabilità individuate precedentemente per ottenere dati come le password in chiaro di un responsabile o amministratore.
  • Maintaining access: è la fase in cui si bypassano le difese del sistema per ottenere il controllo da remoto. Sono operazioni di backdoor o di web shell per l’accesso al server web.
  • Reporting: è la fase conclusiva e più importante in cui si realizza il report che include tutte le vulnerabilità riscontrate, l’analisi dell’impatto di rischio e le possibili soluzioni tecniche.

La fase di reporting è il punto di partenza per l’azienda o chi ha commissionato la simulazione degli attacchi informatici. Il momento per fare l’analisi di costi in termini di implementazione dell’infrastruttura, della formazione del personale responsabile e dell’intero sistema. Una volta conclusa la simulazione vengono eliminate tutte le tracce lasciate nel sistema.

Quando diventa necessario il pentesting

Per molte aziende eseguire un penetration testing rientra negli obblighi in materia di sicurezza. Inoltre, il test è uno strumento idoneo per rispettare i requisiti del GDPR. Infatti, il GDPR nel definire le responsabilità del titolare del trattamento nell’implementare misure tecniche per l’utilizzo dei dati, richiede espressamente di dimostrarlo ovvero, testare l’efficacia.

Oltre l’obbligo di sicurezza è fondamentale ricordare che la presenza di vulnerabilità e criticità può portare l’azienda o l’organizzazione a subire la violazione dei dati ed incorrere in un data breach. Una violazione che oltre ad essere comunicata al Garante deve essere comunicata a tutti gli interessati.

Quando effettuare un penetration testing?

Sicuramente diventa necessario effettuare un controllo di vulnerabilità e sicurezza quando vengono modificate o installate nuove infrastrutture, si cambiano ambienti lavorativi o anche per creare o aggiornare le linee guida o best practice. Maggiore è la complessità della struttura e del numero di dati trattati e maggiore è la frequenza con cui effettuare una simulazione per la sicurezza.

Prevenzione e Monitoraggio: le armi contro il Data Breach. Clicca qui e scarica il White Paper

Roberta Fiorucci

Giornalista

Roberta Fiorucci scrive di tecnologia, innovazione digitale e digital transformation per le imprese, prima come copywriter e technical writer poi collaborando con case editrici e riviste di settore. Nel 2008 ha creato una sua agenzia di comunicazione specializzata in brand management nel settore IT e sviluppo di progetti innovativi. Nel 2020 ha iniziato la sua collaborazione con ZeroUno

Articolo 1 di 4