Il panorama delle minacce IT è in peggioramento e, per mitigare i rischi, le aziende devono monitorare costantemente l’efficacia della linea difensiva. Oggi esistono numerosi strumenti che permettono di intercettare le falle di sicurezza e il livello di esposizione agli attacchi, come spiega Ruggero Strabla, Head of Offensive Security Business Unit in Horizon Security.
Tuttavia, la prima regola per un approccio vincente è cambiare prospettiva e imparare a ragionare come un attaccante. Così le aziende potranno capire quali sono le vulnerabilità e i percorsi di attacco effettivamente sfruttati dai criminali informatici, ricalibrando le priorità e le strategie di cybersecurity.
I punti chiave per testare la sicurezza
«Le attività di vulnerability assessment, penetration testing e così via – esordisce Strabla – si compiono ormai da tanti anni, con il vantaggio di ottenere un riscontro immediato sulle vulnerabilità che un attaccante potrebbe sfruttare sia per accedere ai dati riservati della vittima sia per intraprendere altre azioni malevole, con conseguenze addirittura peggiori».
Nel tempo però il settore della sicurezza si è evoluto. «In passato – spiega il senior manager di Horizon – si eseguivano le valutazioni senza considerare l’approccio dell’attaccante quando intende compromettere un’azienda. Solitamente era il cliente a fornire un elenco degli asset critici (sistemi, indirizzi IP eccetera) su cui intendeva effettuare le analisi. Oggi, invece, si ragiona diversamente. L’attaccante, infatti, non è scontato che cerchi di espugnare direttamente le risorse critiche della vittima, perché spesso sono le meglio controllate sotto il profilo della security. Piuttosto proverà a ottenere un accesso qualsiasi, verso un asset di minore importanza strategica, ad esempio una workstation di un dipendente o un server magari obsoleto e certamente meno protetto. Da qui, si muove lateralmente per raggiungere il vero obiettivo, passando quindi da accessi secondari meno presidiati».
Il tema fondamentale, pertanto, è capire quali percorsi di attacco un criminale potrebbe considerare per arrivare al suo target. «Inoltre – prosegue Strabla – bisogna anche identificare quali tecniche sceglierà l’attaccante a seconda della vittima, considerando il settore di appartenenza e le dimensioni aziendali. Occorre insomma ragionare in un’ottica di design delle minacce e degli scenari di attacco basandosi anche sui dati di intelligence».
Prioritizzazione e intelligenza artificiale
Infine, c’è una questione importante di prioritizzazione. «Avendo a disposizione molti report derivanti dai penetration test – prosegue Strabla – e un lungo elenco di vulnerabilità rilevate, bisogna capire su quali interventi focalizzare l’attenzione. Non sempre le vulnerabilità che vengono identificate dal sistema automatico come “high” o “critical” vengono poi effettivamente sfruttate dagli attaccanti». Insomma, classificare i livelli di rischio e individuare le priorità è l’unica via per attivare risposte tempestive, alla necessaria velocità.
In questo scenario, l’intelligenza artificiale offre (e offrirà sempre di più) un valido supporto. «Esistevano già – precisa Strabla – soluzioni tecnologiche che permettevano di prioritizzare le vulnerabilità sulla base di dati condivisi online, ma certamente l’AI potrà dare un contributo rilevante nel ricercare le informazioni e anticipare le potenziali criticità. L’automatismo può svolgere buona parte del lavoro, ma laddove fallisce devono intervenire gli operatori umani. Le società di consulenza come Horizon Security possono aiutare le imprese nel capire quali sono le minacce effettivamente critiche per il caso specifico.
Come dichiara Strabla, il lavoro di prioritizzazione spinta, calato sulla singola realtà aziendale, è davvero difficile da automatizzare anche oggigiorno. «Certo – aggiunge – i vendor IT stanno facendo il loro, ma come per tutte le attività di security, non si può sperare che la sola tecnologia porti al risultato definitivo».
Il Cyber Threat Exposure in quattro mosse
È proprio in questo spazio che si innesta l’attività di Horizon Security. «Innanzitutto – spiega Strabla – ragioniamo con il cliente in un’ottica di “programma” continuativo su tutto il tema del Cyber Threat Exposure, perché vogliamo aiutarlo nel ridurre l’esposizione alle minacce con attività complementari, non solo dal punto di vista della tipologia di analisi, ma anche a livello temporale. Infatti, non è possibile pensare di monitorare il livello di esposizione agli attacchi facendo attività distanziate nel tempo, senza una logica organica».
Inoltre, per coprire quanti più percorsi d’attacco possibile, bisogna ripensare le attività di penetration test classiche. «L’attenzione – precisa Strabla – non va riposta solo sugli asset considerati critici, ma occorrono azioni di monitoraggio integrative. Abbiamo quindi creato una serie di servizi modulari e complementari, che il cliente può decidere di attivare singolarmente a seconda delle necessità»
In concreto, la proposta di Horizon Security si basa su quattro elementi core. «Il primo e più classico – dettaglia il Senior Manager -, riguarda il vulnerability management delle tecnologie infrastrutturali. Il secondo si focalizza sulle componenti applicative, dove gli strumenti automatici mostrano i propri limiti per via delle customizzazioni che spesso caratterizzano i software aziendali. Proponiamo ai clienti, infatti, di eseguire attività di testing, nonché analisi statiche e dinamiche del codice, durante l’intero ciclo di vita applicativo, in una logica di security-by-design. Quindi nella fase di sviluppo iniziale, ma anche ogni volta che viene rilasciato un aggiornamento funzionale importante, verifichiamo non ci siano vulnerabilità gravi che possano bloccare la messa in produzione».
Il terzo modulo dell’offerta di Horizon Security invece riguarda le superfici di attacco pubbliche. «Soprattutto i clienti grandi – riprende Strabla – ma ormai, più in generale, tutte le tipologie di azienda, hanno una superficie d’attacco molto eterogenea, composta da ambienti on-premise, cloud pubblici e nuvole private. All’interno di un gruppo, possono esserci filiali che utilizzano determinati servizi su Internet. Magari per il lancio di un nuovo prodotto, l’azienda decide di costruire un portale web dedicato, che diventa inevitabilmente una potenziale porta di ingresso. Ecco perché diventa fondamentale un monitoraggio costante degli asset che vengono esposti. Il nostro obiettivo non è semplicemente verificare la bontà delle procedure interne seguite per la messa online dei sistemi, ma piuttosto ragionare come farebbe un attaccante, scandagliando tutte le possibili vulnerabilità sull’intera superficie di attacco pubblica».
Il quarto elemento si focalizza invece su attività più avanzate e verticali che riguardano i percorsi di attacco. «Non si tratta più solamente di capire – chiarisce Strabla – se un asset presenta delle falle, ma piuttosto di prevedere cosa potrebbe fare un attaccante sfruttando quelle vulnerabilità, fin dove potrebbe spingersi. Per raggiungere tale obiettivo, ci avvaliamo di due tipologie di servizio, ovvero il Red Teaming e l’Attack Path Management».
Cos’è e come funziona il Red Teaming
Il Red Teaming è la simulazione di un attacco informatico, finalizzata a capire quali violazioni riuscirebbe a compiere un attaccante e quali target potrebbe conquistare. «A differenza del penetration test – precisa Strabla -, che si propone di scovare il maggiore numero di vulnerabilità su un elenco di asset prestabilito, il Red Teaming segue una logica più verticale, ovvero testa la capacità difensiva dell’azienda in base a una serie di obiettivi che, fuori dalla simulazione, l’attaccante potrebbe o non potrebbe effettivamente raggiungere».
Come suggerisce il Senior Manager, il Red Teaming permette ad esempio di risponde a domande del tipo: “un attaccante sarebbe in grado di accedere ai miei sistemi critici, rubare i dati dei miei clienti, implementare un ransomware all’interno della rete, diventare amministratore di dominio?”.
«L’attività di Red Teaming – conclude Strabla – è portata avanti in modalità manuale, da un gruppo di esperti estremamente specializzati, viene solitamente proposta a clienti con un certo livello di maturità e consigliamo di effettuarla almeno una volta all’anno. Il servizio di Attack Path Management, invece, consiste in un’attività di monitoraggio continuo, effettuata con il supporto di tecnologie leader di mercato, per verificare i percorsi di attacco all’interno della rete aziendale».
Insomma, in uno scenario IT sempre più complesso, con le minacce che imperversano crescendo in numero e sofisticazione, definire e attuare una strategia di Cybersecurity olistica non è sufficiente. Monitorare costantemente le vulnerabilità, la superficie d’attacco e l’efficacia della linea difensiva, considerando il punto di vista degli attaccanti, è un anello imprescindibile della catena per mitigare i rischi da attacco informatico e infezioni malware. Affidarsi a un team di esperti è la soluzione vincente per avere una vista sempre aggiornata sulla Cyber Threat Exposure, con la possibilità di intervenire ottimizzando i livelli di sicurezza.
