Secondo il Global Risk Report 2020 del World Economic Forum, i cyberattacchi sono il primo rischio tecnologico su scala globale a cui possono essere esposte le aziende, e uno dei principali in generale sia in termini di entità dell’impatto sia di probabilità, subito dopo i disastri naturali, la perdita di biodiversità, gli eventi meteorologici estremi e il fallimento degli interventi per contenere i cambiamenti climatici. A un livello di allarme così alto, però, non corrisponde ancora un livello di consapevolezza adeguato all’interno delle aziende, che faticano a mettere la sicurezza informatica in cima alle proprie priorità. Eppure, secondo lo studio “Cost of cyber crime 2019” realizzato da Accenture in Italia il costo medio per azienda delle violazioni della sicurezza informatica nel corso di un anno è di 8 milioni di dollari, il 19% in più rispetto all’anno precedente, 12 punti percentuali sopra la media globale. Andando più nel dettaglio, ogni azienda italiana ha subito in media 62 security breach nel 2019, il 20% in più in confronto al 2018, rispetto a una crescita mondiale che alla voce attacchi subiti si ferma al +11%. Tra le varie tipologie di attacco, ad aumentare di più sono state il phishing (+13%), i ransomware e i malicious code (+10%) e i malicious insider (+3%).
L’importanza del penetration test
Secondo il framework di sicurezza informatica varato dal Nist, il National Institute of Standards and Technology statunitense, i “pilastri” della cybersecurity consistono essenzialmente in quattro azioni: “Identify”, “Protect”, “Detect” e “Respond”. Il penetration test fa parte delle tre voci che compongono il primo passo, quello dell’identificazione dei rischi a cui i sistemi informativi di un’azienda sono effettivamente esposti. Di questa stessa categoria fanno parte anche la “Cyber exposure diagnositc”, che mira a dare un quadro complessivo della resilienza del sistema analizzato, e il vulnerability assessment, che invece è utile per avere una visione della sicurezza complessiva di un sistema informatico, individuando eventuali criticità rispetto alle best practice del settore e agli standard di compliance. In questo contesto, l’importanza del penetration test è quella di fare un passaggio dalla teoria alla pratica, individuando con una serie di prove sul campo, condotte da esperti, il livello di sicurezza di un sistema aziendale.
Cos’è il penetration test
Il penetration test è un modo per simulare l’effetto degli attacchi su un sistema aziendale, e per misurare il livello di protezione dispiegato valutando, così, le implementazioni eventualmente necessarie per fare in modo che i rischi diminuiscano fino a essere vicino allo zero o quantomeno a diventare “accettabili”. I PenTest possono essere sia “esterni”, quindi simulare offensive provenienti da soggetti non identificati che prendono di mira l’azienda attraverso la sua presenza su Internet, sia “interni”, provenienti da soggetti identificati o non identificati, che in questo caso attaccano il network interno all’azienda.
Attraverso i risultati dei penetration test, che possono essere organizzati in un report di facile lettura per i decisori all’interno dell’azienda, i responsabili IT e il board potranno avere un quadro chiaro degli interventi più urgenti per migliorare la cybersecurity prima di essere effettivamente attaccati da un soggetto esterno, e quindi di subire gravi danni economici o reputazionali a causa del cyberattacco. Ovviamente l’obiettivo dei singoli test sarà condiviso dagli esperti di cybersecurity con l’azienda interessata, per stabilire insieme le regole d’ingaggio.
Quali sono gli strumenti utilizzati per i penetration test
Con il passare del tempo e con l’evolversi delle minacce informatiche, il penetration test è diventato uno strumento essenziale per misurare la sicurezza di un sistema informatico e l’efficacia dei controlli di cui dispone. Si tratta in parole povere di analizzare il livello di security delle applicazioni web e, quindi, dei software che interagiscono con la rete disseminati in diverse aree dell’azienda, dalle funzionalità dei portali web ai meccanismi di autenticazione per l’accesso e l’interazione con i database – e che spesso sono tra gli obiettivi principali degli hacker. Ma lo stesso tipo di meccanismo può essere messo in pratica anche per verificare la configurazione dei server o per proteggere i dati e le informazioni che riguardano l’azienda.
Cosa proteggono i penetration test
Per raggiungere questi risultati e arrivare a identificare i punti deboli del sistema, gli strumenti più importanti sono quelli che consentono un’analisi, sia attiva sia passiva, del sistema, per evitare che eventuali punti deboli possano mettere a rischio il business. Parliamo infatti di protezione della confidenzialità, dell’integrità e della disponibilità dei dati e delle informazioni, che deve essere garantita. Prima di effettuare i test, ovviamente, sarà necessario che gli obiettivi, i mezzi e le risorse interessate siano condivisi tra gli esperti di cybersecurity e l’azienda e che vengano autorizzati.
I PenTest esterni
L’obiettivo è in questo caso di capire se e come eventuali hacker possano prendere di mira un sistema informatico aziendale dall’esterno e quanti danni possano causare in caso di successo. Questo genere di test, quindi, utilizzerà e metterà alla prova tutti i punti d’accesso visibili da internet alla ricerca di backdoor, bug o errori di sistema che possano fornire un punto ingresso agli hacker. Si tratta di un genere di analisi che coinvolge soprattutto i Domain Name servers, i siti web e le web application.
I PenTest Interni
In questo caso l’obiettivo è capire fino dove possa arrivare un malintenzionato che sia riuscito a procurarsi le credenziali per entrare all’interno di un sistema aziendale autenticandosi, ad esempio, con username e password di un dipendente. Al centro dell’attenzione ci sono le barriere di protezione interne, per capire come sia possibile proteggere nel modo migliore ogni genere di informazione riservata una volta che il primo livello di difesa sia stato superato.
Altri tipi di penetration test
I penetration test non sono soltanto quelli “interni” o “esterni”. Ne esistono, infatti, altre tipologie che possono essere utili per misurare il livello di sicurezza di una rete aziendale, a partire ad esempio dal targeted testing, che utilizza la prospettiva non di chi si difende, ma di chi sta sferrando l’attacco, per fornire indicazioni utili, ad esempio, agli sviluppatori. Tra quelli che stanno riscuotendo più successo negli ultimi mesi ci sono i cosiddetti “blind testing”: attacchi in cui l’hacker parte da zero, in quanto conosce soltanto il nome dell’azienda, e deve trovare il modo di violarne i sistemi. Si tratta quindi di un test a 360°, in cui il tecnico è libero di utilizzare ogni strumento a sua disposizione. Una variante di questo genere è il “double blind testing”, in cui nemmeno gli addetti IT sono a conoscenza del fatto che si stia svolgendo la prova, e quindi potrebbero venire “sorpresi” dall’attacco. Ci sono poi verifiche specifiche che simulano l’attacco alle applicazioni web aziendali, con o senza autenticazione dell’utente. Altre prove sono quelle create per misurare il livello di sicurezza delle reti wireless, che possono essere punti di accesso per i malintenzionati, dei protocolli Voip o delle applicazioni specificamente utilizzate per lo smart working.
Le soluzioni di Vodafone Business
I penetration test sono uno degli strumenti compresi nell’offerta Vodafone Business Security. La proposta ha l’obiettivo di fornire servizi di resilienza digitale e aiutare le aziende a rilevare, rispondere e riprendersi da eventuali attacchi informatici. La protezione informatica messa in campo dall’operatore è multi-layer e comprende la threat intelligence e la data security per la rete globale Vodafone. Ogni giorno, solo per dare qualche numero esemplificativo, l’operatore è impegnato a proteggere 7,4 miliardi di minuti di chiamate mobili oltre che 105mila dispositivi Internet of Things in 39 Paesi. Nello specifico, Vodafone Business fornisce servizi di sicurezza gestita e professionali per le aziende coprendo l’intero ciclo di vita delle minacce, dal cyber assessment fino ad arrivare ai servizi professionali di risk assessment. I vantaggi di questo genere di offerta consistono nel dare alle aziende i mezzi per rilevare tempestivamente le minacce, al di là dell’effettivo livello di competenza dei clienti, mettendo a loro disposizione servizi professionali e gestiti, con il massimo della semplicità e dell’accessibilità.