Le organizzazioni, soprattutto quelle di grande dimensione impegnate a offrire servizi digitali, sono preoccupate, a ragione, dei rischi per la sicurezza ai quali la crescente superfice di attacco le espone.
Il 2020 ha segnato l’esplosione delle minacce informatiche, secondo le stime Clusit (Report 2021), che valuta un aumentato del 66% degli attacchi gravi in quattro anni a livello globale con danni paragonabili, come ordine di grandezza, al PIL italiano.
I costi complessivi derivanti da attacchi riusciti diventano sempre più pesanti per le singole organizzazioni, come evidenziano le valutazioni del costo medio totale per violazione in Italia stimato in 3,19 milioni, fra i più bassi al mondo (Cost of a data breach, Report 2020, IBM Security).
A conferma della grande capacità di adattamento che lo caratterizza, il cybercrime ha approfittato della pandemia, sia utilizzando direttamente il tema Covid-19 per gli attacchi, sia sfruttando il massiccio trasferimento online di attività che ha aumentato la superficie di attacco delle maggiori organizzazioni.
Un esempio drammatico e recente è l’attacco subito dalla Regione Lazio nei primi di agosto. Il “potente attacco hacker al CED regionale”, come lo ha definito l’Unità di crisi Covid 19 della Regione Lazio, ha disattivato tutti i sistemi, compresi quelli del portale Salute Lazio e della rete vaccinale. Questo significa che ancora di più oggi con la prossima attivazione del Recovery Fund EU, è necessario per il Paese Italia dotarsi di quelle tecnologie che sono state spesso rispedite ai proponenti e che, di fatto, rappresentano layers di sicurezza di cui non è più possibile fare a meno. WhiteJar, come innovazione del processo di PenTest soprattutto grazie al Crowd, è la novità che AppQuality è pronta a mettere a disposizione del Paese per affrontare questa e tutte le ulteriori sfide che si presenteranno nel prossimo futuro.
Ethical hacker consorziati contro criminal hacker
In questo contesto nasce il progetto per la piattaforma di ethical hacker, scaturito dall’incontro fra il Ceo di AppQuality, Luca Manara, e Aldo Del Bò che, dopo aver ricoperto diverse funzioni in Kaspersky fra cui quella di Managing Director Italia, ha creato varie startup oggi attive nel mondo della sicurezza informatica. L’idea è stata quella di definire, all’interno della piattaforma di collaborazione di tester di AppQuality, una comunità verticale dedicata alla cybersecurity. Questo grazie al supporto di ethical hacker certificati (detti anche white hat), ossia professionisti del settore che finalizzano la propria attività e le proprie competenze per testare e valutare la sicurezza di computer e reti, invece che violarle con intenti dannosi o di ricatto, come fanno invece i criminal hacker (black hat).
“Nei primi mesi del 2021 abbiamo raccolto informazioni sulle tendenze del mercato, sfruttando anche il punto di osservazione privilegiato di AppQuality che si rivolge ad aziende in trasformazione digitale per offrire loro l’opportunità per migliorare i propri servizi. L’analisi dei dati ci ha convinto che fosse venuto il momento di lanciare un’offerta, rivolta alle aziende di grande dimensione”, ricorda Del Bò che oggi è a capo dell’area cyber security di AppQuality all’interno della quale opera la piattaforma di collaborazione di ethical hacking, WhiteJar. È questa, al momento, l’unica community in grado di offrire un servizio crowd di vulnerability assessment nel nostro Paese e si confronta, a livello internazionale, con l’americana HackerOne e la francese YesWeHack.
Le aziende che sottoscrivono il servizio per 12 mesi possono utilizzare h24 la piattaforma pagando solo le vulnerabilità trovate, conquistando così la libertà di implementare tutti i servizi digitali previsti e, nel contempo, garantire una cyber security a 360 gradi.
Vulnerability Assessment a ciclo continuo
WhiteJar è pensato come rafforzativo dello strumento ben diffuso del penetration test (abbreviato in pen test) che di norma le grandi organizzazioni utilizzano mediamente non più di due volte l’anno, essendo invasivo e costoso. Il pen test è infatti molto impattante sulle attività IT e su quelle dell’azienda, mentre il vulnerability assessment consente anche di rilevare le vulnerabilità che un pen test trascura perché magari non in scope e che invece potrebbero rappresentare la porta di accesso per violazioni, anche gravi. La possibilità di eseguire un ciclo continuo di assessment con risposte in tempi rapidi consente inoltre di tenere costantemente la situazione sotto controllo. Questi risultati sono resi possibili dal grande numero di ethical hacker certificati che fanno parte della community e al concorso di ciascuno secondo l’approccio tipico del crowd.
“Un pen test ordinario, affidato generalmente a una società di consulenza, viene condotto da un numero limitato di persone (che si contano con le dita di una mano). Per cercare le vulnerabilità, invece, la piattaforma WhiteJar utilizza una vastissima platea di professionisti certificati (ad oggi 500+), quindi un patrimonio professionale impareggiabile in termini di hacking per cicli continui di assessment”, spiega Del Bò. Il risultato di ogni sessione di assessment sarà la pubblicazione del risultato del test, con suggerimenti e patch utili per porre rimedio alle vulnerabilità riscontrate dai white hat, che confluiranno in un report. Dopo l’azione di remediation da parte dell’azienda, il servizio potrà essere di nuovo sottoposto a successivi vulnerability assessment della community in un ciclo di miglioramento continuo.
La piattaforma si presta anche a impieghi non previsti inizialmente come la realizzazione di test su apparati fisici, richiesti ad esempio da aziende del settore automobilistico, che sarebbe impossibile svolgere a distanza. WhiteJar sta dunque predisponendo a Milano un hub con un laboratorio ad accesso limitato.
Interlocutori particolarmente interessati alla piattaforma potrebbero essere i grandi enti pubblici che, nel momento in cui estendono le interazioni digitali a cittadini, spesso inesperti, dovrebbero aumentare le verifiche di sicurezza; si pensi al caso della crescente spinta alla diffusione dello SPID. “C’è tutto un mondo da protegge a cui offriamo il nostro “scudo” umano – dichiara Del Bò e aggiunge – e tra le altre la nostra intenzione è offrirlo da subito alla Polizia Postale ed alla neonata Agenzia per la cyber sicurezza nazionale”.
Una comunità di hacker affidabile, garantita da AppQuality
La comunità associata a WhiteJar è composta da professionisti indipendenti certificati come ethical hacker, requisito indispensabile per farne parte. Gli iscritti alla piattaforma sono motivati dai potenziali reward previsti, tratti dal budget messo a disposizione dall’azienda cliente a fronte delle vulnerabilità individuate.
Il reclutamento dei membri della comunità, per il momento ristretto all’Italia, sfrutta l’esperienza di AppQuality nella creazione di community di testing, e punta a raggiungere un migliaio di membri a fine anno, dagli attuali 500 circa. Le caratteristiche richieste, oltre all’identificazione personale certa dei partecipanti, si basa sulle più comuni certificazioni di Ethical Hacking tra le quali la CEH (Certified Ethical Hacker), rilasciata dall’organizzazione americana International Council of Electronic Commerce Consultants (EC-Council). “Stiamo pensando di ampliare la comunità attingendo anche al mondo delle Università”, aggiunge Del Bò, “dalle quali escono persone preparate e soprattutto curiosi della tecnologia riferita al mondo della cybersecurity”.
I prossimi mesi sveleranno se lo scudo umano (e tecnologico) lanciato da AppQuality aiuterà a frenare la corsa del cybercrime che al momento sembra davvero inarrestabile.
