Technology HowTo

La simulazione degli attacchi informatici: come si fa, perché è necessaria

La simulazione degli attacchi informatici non riguarda scenari ipotetici e surreali ma delle concrete misure di difesa adottate da aziende piccole e grandi per testare la propria vulnerabilità e tutelare dati ed informazioni sensibili.

Pubblicato il 26 Nov 2020

Roberta Fiorucci

Cyber minaccia

Nel mese di giugno di quest’anno, i paesi europei e l’agenzia Ue per la cybersicurezza Enisa avrebbero dovuto organizzare Cyber Europe 2020, una simulazione degli attacchi informatici su larga scala. L’emergenza che stiamo vivendo non ha permesso neppure la pianificazione. La simulazione di un attacco avrebbe dovuto ruotare attorno al settore ICT della sanità e coinvolgere ospedali, cliniche, laboratori, fornitori e health insurance. Se pensiamo ad un ambito che comprende dati sensibili come quello sanitario, è facile capire come implementare soluzioni in grado di identificare, prevenire e dare una risposta concreta a queste minacce sia fondamentale. Ad esser colpiti da attacchi informatici non sono solo i grandi sistemi governativi o aziendali ma anche le piccole e medie imprese, vulnerabili nella sicurezza e spesso veicolo per obiettivi più grandi.

Simulazioni degli attacchi informatici: cosa sono

Nella pratica, viene simulato un attacco da parte di personale specializzato e qualificato che spesso si definisce affine all’ethical hacking o hacking etico. L’azienda commissiona il test simulato per individuare vulnerabilità di sistema e migliorare la gestione dell’intera infrastruttura IT anche in termini di investimento.

La scelta della complessità della simulazione può variare in base alla tipologia di minacce da testare (solitamente attacchi a siti e infrastrutture, attacchi malware o di phishing): da semplici test fatti in modo automatico o sotto forma di attività di formazione a simulazioni manuali complesse e spesso imprevedibili. L’insieme di queste operazioni è il penetration testing.

Penetration testing: il metodo, le fasi

L’intera simulazione di pentesting generalmente avviene in più fasi:

  • Information gathering: è la fase iniziale in cui si definiscono e si raccolgono le informazioni sull’infrastruttura e sui servizi: architettura, indirizzi IP, domini, sistemi e porte attive ma anche dati e nominativi come le e-mail in caso di un attacco di social engineering. Si parla di white box quando vengono fornite molte informazioni; black box a scatola chiusa, in mancanza di informazioni; gray box quando chi simula l’attacco è a conoscenza di dati ed informazioni parziali. A questa fase, fa parte anche il rilascio dell’informativa comprensiva degli obblighi di riservatezza.
  • Vulnerability assessment: spesso avviene in modalità inside, dall’interno dell’azienda tramite scanner test per analizzare e individuare vulnerabilità come sistemi obsoleti, credenziali deboli oppure eccessiva esposizione di dati ed informazioni.
  • Exploitation: è una tecnica per ottenere il controllo di un sistema informatico e acquisire privilegi o simulare un attacco DDoS.
  • Privilege escalation: sfrutta le vulnerabilità individuate precedentemente per ottenere dati come le password in chiaro di un responsabile o amministratore.
  • Maintaining access: è la fase in cui si bypassano le difese del sistema per ottenere il controllo da remoto. Sono operazioni di backdoor o di web shell per l’accesso al server web.
  • Reporting: è la fase conclusiva e più importante in cui si realizza il report che include tutte le vulnerabilità riscontrate, l’analisi dell’impatto di rischio e le possibili soluzioni tecniche.

La fase di reporting è il punto di partenza per l’azienda o chi ha commissionato la simulazione degli attacchi informatici. Il momento per fare l’analisi di costi in termini di implementazione dell’infrastruttura, della formazione del personale responsabile e dell’intero sistema. Una volta conclusa la simulazione vengono eliminate tutte le tracce lasciate nel sistema.

Quando diventa necessario il pentesting

Per molte aziende eseguire un penetration testing rientra negli obblighi in materia di sicurezza. Inoltre, il test è uno strumento idoneo per rispettare i requisiti del GDPR. Infatti, il GDPR nel definire le responsabilità del titolare del trattamento nell’implementare misure tecniche per l’utilizzo dei dati, richiede espressamente di dimostrarlo ovvero, testare l’efficacia.

Oltre l’obbligo di sicurezza è fondamentale ricordare che la presenza di vulnerabilità e criticità può portare l’azienda o l’organizzazione a subire la violazione dei dati ed incorrere in un data breach. Una violazione che oltre ad essere comunicata al Garante deve essere comunicata a tutti gli interessati.

Quando effettuare un penetration testing?

Sicuramente diventa necessario effettuare un controllo di vulnerabilità e sicurezza quando vengono modificate o installate nuove infrastrutture, si cambiano ambienti lavorativi o anche per creare o aggiornare le linee guida o best practice. Maggiore è la complessità della struttura e del numero di dati trattati e maggiore è la frequenza con cui effettuare una simulazione per la sicurezza.

Prevenzione e Monitoraggio: le armi contro il Data Breach. Clicca qui e scarica il White Paper

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Canali

Articoli correlati

  • News

    Attacchi informatici via mail, ecco alcuni dei principali

    12 Mar 2020

    Condividi

  • Guida

    Attacchi informatici attivi e passivi: differenze ed esempi oggi

    12 Feb 2020

    di Riccardo Cervelli

    Condividi

  • News

    Osservatorio Information Security e Privacy 2019, tutti i dati

    05 Feb 2019

    Condividi

Prossimo

Attacchi informatici via mail, ecco alcuni dei principali

Articolo 1 di 4