Cybersecurity, Gestione IT

Vulnerability Scanning per chi parte da zero (o quasi)

05 Luglio 2022

Nel mondo iperconnesso di oggi, attacchi informatici e data breach sono all’ordine del giorno. Almeno una volta a settimana, puoi star certo che le principali notizie saranno dedicate all’ultimo incidente informatico. Con il costo totale medio di un data breach arrivato a 3,92 milioni di dollari, puoi ben capire come mai la sicurezza informatica è una preoccupazione crescente per le aziende di tutto il mondo.

In questo scenario, occorre mettere in pratica tutta una serie di best practice legate alla cybersecurity in grado di tenere l’azienda al passo con le più moderne trovate degli hacker. Il Vulnerability Scanning è una di queste: è infatti una componente fondamentale di ogni strategia di sicurezza informatica, ma può essere complicata e difficile da compiere.

Sia che l’azienda del tuo cliente stia appena iniziando il suo percorso per diventare più sicura, sia che stia cercando di migliorare i controlli di sicurezza esistenti e vorrebbe saperne di più su come funziona il vulnerability scanning, questo articolo ha qualcosa per te.

Troverai infatti:

  • cos’è il vulnerability scanning;
  • i diversi tipi di vulnerability scanning disponibili;
  • le best practice sulla frequenza del vulnerability scanning;
  • come scegliere un vulnerability scanning;
  • come iniziare a utilizzare il prodotto scelto.

Bene, iniziamo.

Cos’è il vulnerability scanning?

Il vulnerability scanning è, in poche parole, l’uso di tool e software per identificare e segnalare problemi di sicurezza (noti come vulnerabilità) presenti nei sistemi.

I vulnerability scanner hanno spesso a disposizione migliaia di test automatizzati e, sondando e raccogliendo informazioni sui sistemi dei tuoi clienti, possono identificare falle di sicurezza che potrebbero essere utilizzate dagli hacker per rubare informazioni sensibili, ottenere accessi non autorizzati ai sistemi o bloccare le attività lavorative.

Forte di questa conoscenza, un MSP che cerca di proteggere un cliente, può quindi intervenire per rimediare ai punti deboli della sicurezza scoperti. Questo processo continuo di identificazione e correzione dei punti deboli di un sistema è noto come Vulnerability Management.

Tool di vulnerability scanning: a chi sono rivolti?

Le notizie tendono a concentrarsi sulle violazioni della sicurezza più importanti, cioè quelle che di solito colpiscono le grandi aziende. Quindi puoi parzialmente comprendere il tuo cliente che crede di non poter essere vittima di un attacco, perché visto come un problema da “grande azienda”. Tuttavia, gli hacker non perdonano, perché quando si tratta di sicurezza informatica, piccolo non significa sicuro.

Nel Regno Unito, un recente sondaggio ha evidenziato come quasi due terzi (61%) delle aziende di medie e grandi dimensioni hanno subito almeno un attacco o una violazione della sicurezza informatica negli ultimi 12 mesi, ma anche che le piccole imprese non fanno eccezione: il 32% ha subito un attacco o una violazione dei sistemi. Questi risultati mostrano che ogni tipo di azienda dovrebbe prendere sul serio le minacce che sono là fuori e sviluppare una strategia di sicurezza efficace che le resista.

Il tuo cliente potrebbe pensare di non avere nulla che valga la pena hackerare. Ma siamo nel 2022 e praticamente ogni azienda, per operare, fa affidamento sulla tecnologia. Che si tratti di contenuti marketing o di un blog su un sito Web, di gestire applicazioni o servizi legati a Internet o semplicemente dei laptop utilizzati dai dipendenti per lavorare, c’è sempre qualcosa che potrebbe essere attaccato. Tutti questi sistemi formano una superficie di attacco che gli hacker possono prendere di mira. Una violazione che va a segno porta ad attacchi ransomware o persino a un data breach, che a sua volta possono comportare un esodo di clienti verso un concorrente o una pesante multa GDPR.

Lo sviluppo di una strategia di sicurezza completa per mitigare queste minacce è un processo che richiede anni per essere corretto e dovrebbe cambiare e adattarsi costantemente man mano che un’azienda cresce e il panorama delle minacce si evolve. I vulnerability scanner offrono un ottimo punto di partenza, consentendoti di identificare i punti deboli più gravi e più esposti dei tuoi clienti, in modo da reagire prima che un malintenzionato ne tragga vantaggio.

In breve, ogni azienda dovrebbe capire dove sono le proprie vulnerabilità informatiche e risolverle.

Vulnerability Scanning vs Penetration Testing

Il vulnerability scanning non è l’unico modo per scoprire quali vulnerabilità influiscono sui sistemi dell’azienda del tuo cliente: anche il penetration testing è comunemente usato per verificarne la presenza. Tuttavia, i due metodi differiscono in modo abbastanza significativo in ciò che hanno da offrire e nel costo, quindi è ragionevole chiedersi quale dei due è più appropriato per il tuo cliente e con quale frequenza dovrebbe essere eseguito.

Sia il vulnerability scanning che il penetration testing hanno pro e contro. Il primo ha il vantaggio di poter essere eseguito automaticamente e continuamente a un costo inferiore, in modo che le nuove falle nella sicurezza possano essere identificate subito dopo la loro comparsa. I secondi, invece, vengono generalmente eseguiti dopo una consulenza e comportano varie spese di tempo e denaro che possono rallentare i progetti o essere proibitivi in ​​termini di frequenza di esecuzione dei test. Tuttavia, se eseguiti da professionisti qualificati e capaci, questi test possono rilevare problemi di sicurezza più complessi o specifici, problemi che richiedono l’intervento umano per essere scoperti.

Ognuno è valido a modo suo e, se il budget lo consente, è sicuramente una buona pratica impiegare una combinazione di entrambi. Tuttavia, se il tuo cliente sta cercando di proteggere la propria attività per la prima volta, consiglio di iniziare con il vulnerability scanner e di testare regolarmente la superficie di attacco esposta. Ha più senso iniziare così dal momento che i penetration tester utilizzano anche i vulnerability scanner come parte della loro offerta e non ha molto senso pagare un professionista per qualcosa che potresti scoprire da solo. Inoltre, se può permettersi di eseguire un penetration test solo una volta all’anno, rimarrebbe esposto a errori di configurazione e a nuove vulnerabilità per l’intero periodo che intercorre tra i vari test.

C’è un elemento importante in tutto ciò: il GDPR. Può essere visto come una noiosa complicazione burocratica con cui essere conformi per “evitare la multa”, ma anche come uno stimolo a pensare a come rivedere i processi aziendali, divenendo una grande opportunità per migliorare il proprio business.

Di particolare importanza l’articolo 32, riguardante la sicurezza e che tocca temi come il Penetration Testing, il Vulnerability Assessment e la responsabilità dei fornitori: ne parliamo in questo episodio di RadioAchab.

Vulnerability Scanning: da dove iniziare?

Definisci l’obiettivo

Per utilizzare un vulnerability scanner, devi prima sapere su cosa lo indirizzerai. Può sembrare scontato, ma se non conosci il vulnerability scanning, potresti scoprire che non esiste un luogo dove vengono salvati tutti i sistemi di cui è responsabile l’azienda del tuo cliente. Se è così, è ora che ne tenga traccia: se non sai cos’ha, non potrai proteggerlo!

Gestisci gli asset

È buona norma per le aziende tenere un registro centralizzato dei sistemi che hanno in gestione (comunemente detto Asset Management). Tenere il passo dell’azienda mentre cresce o cambia è essenziale. Man mano che i nuovi sistemi diventano operativi o quelli esistenti cambiano indirizzi IP o domini, mantenere la documentazione aggiornata eviterà lacune nei sistemi e che tutto il lavoro fatto dallo scanner vada perso.

Se il cliente sta utilizzando sistemi cloud moderni per alcune attività, questo potrebbe aiutare i vulnerability scanner che saranno in grado di collegarsi agli account cloud rendendo questo processo senza interruzioni. Tuttavia, ci saranno di sicuro alcuni sistemi che non rientrano in questa casistica, quindi è sempre meglio tenere un registro degli asset.

Pensa a una strategia

Bene, ora che sai cos’ha, come decidi cosa scansionare?

Ogni azienda gestisce una vasta gamma di sistemi, da laptop e workstation in ufficio o a casa, a sistemi in cloud come AWS, Azure e Google Cloud. Decidere cosa includere nella scansione può essere difficile, ma ci sono diversi modi per venirne a capo.

Ti elenco qui tre strategie utili, basate sull’esposizione, sulla sensibilità e sulla copertura:

  • Esposizione

Ogni sistema pubblicamente accessibile su internet è anche accessibile per un attacco. Di conseguenza, gli hacker scansionano costantemente questi sistemi alla ricerca di vulnerabilità. Anche gli aggressori meno esperti possono farlo utilizzando strumenti scaricabili gratuitamente.

Supponiamo, ad esempio, che l’azienda del tuo cliente sia una startup tecnologica e offra servizi su Internet. Sebbene protetti, basta un solo punto debole o un bug per portare a un immediato data breach. Questi sistemi vengono scansionati ogni giorno dagli hacker, è quindi necessario fare lo stesso per trovare le vulnerabilità prima che lo facciano loro.

Il tuo cliente non è ancora convinto, la crede un’esagerazione. Diamo allora un’occhiata a un recente attacco basato su una vulnerabilità di Citrix. La vulnerabilità (CVE-2019-19781) è stata utilizzata per attaccare la società di cambio Travelex, prendendo di mira un servizio VPN connesso a Internet. Gli aggressori hanno avuto successo e hanno causato gravi disagi all’azienda, tra cui la crittografia dei loro sistemi con malware e la richiesta di un riscatto. Da notare che gli attacchi sono avvenuti a soli dodici giorni dalla data in cui la vulnerabilità è stata divulgata pubblicamente. Questo esempio serve a ricordare quanto sia importante la scansione regolare delle vulnerabilità e come una falla possa emergere dall’oggi al domani con conseguenze di vasta portata.

  • Sensibilità

Il tuo cliente potrebbe non avere molto di sensibile esposto su Internet. Potrebbe essere che il sito Web contenga solo informazioni di marketing, ma che tutte le informazioni sensibili siano archiviate in uno store centrale protetto da un firewall. Se il danno alla reputazione causato da un possibile defacement del sito non lo riguarda, allora in questo caso potresti decidere che, per il tuo cliente, ha più senso eseguire scansioni sui sistemi in cui sono archiviati i dati sensibili, per assicurarti che siano il più sicuri possibile.

  • Copertura

Dopo aver considerato cosa il tuo cliente ha esposto su Internet e dove sono archiviati i suoi dati più sensibili, vale la pena considerare anche gli altri sistemi aziendali abbastanza maturi da essere i potenziali obiettivi di un hacker. Le vulnerabilità possono essere in qualsiasi sistema e, una volta che uno di essi viene violato, la mossa successiva è spesso quella di utilizzarlo come punto d’appoggio per lanciare nuovi attacchi.

Ad esempio, gli hacker potrebbero violare il laptop di un dipendente inviando e-mail contenenti file dannosi (o collegamenti a siti Web dannosi) che sfruttano le vulnerabilità del sistema su cui sono aperti. Se un dispositivo viene compromesso con successo, potrebbe essere utilizzato per attaccare altri sistemi sulla stessa rete e sfruttare anche le loro vulnerabilità. Oppure, le informazioni e i permessi acquisiti dal laptop compromesso possono essere utilizzati in ulteriori attacchi.

Per questo motivo, ha senso tentare di coprire il maggior numero possibile di sistemi, soprattutto laddove l’accesso a un sistema potrebbe portare a violarne altri.

Quale di questi approcci è giusto per il tuo cliente dipenderà dalle sue risorse aziendali e da dove e come vengono archiviati i dati più sensibili: spesso, la risposta giusta è una combinazione di tutti e tre.

Vulnerability Scanning

Diversi tipi di Vulnerability Scanning

Esistono molti tipi di vulnerability scanner che eseguono diverse attività di sicurezza e coprono diversi scenari di attacco. Ad esempio, un hacker potrebbe entrare in una rete interna attraverso una vulnerabilità su un server Web esposto o tramite un software senza patch sulla workstation di un dipendente. Per identificare questi vettori di attacco occorrono diversi casi d’uso dei vulnerability scanner e non tutti sono sempre supportati, quindi vale la pena considerare i rischi per la azienda del tuo cliente e trovare lo scanner adatto.

I casi d’uso principali sono:

  • vulnerability scanner basati sulla rete
  • vulnerability scanner basati sugli agent
  • vulnerability scanner delle applicazioni Web

Di seguito li vedremo più nel dettaglio.

Vulnerability Scanner di rete

I vulnerability scanner di rete sono così chiamati perché scansionano i sistemi attraverso la rete, inviando sonde alla ricerca di porte e servizi aperti per poi sondare ulteriormente ogni servizio per trovare informazioni, punti deboli o vulnerabilità. Il modo in cui funziona può variare, potresti installare un’appliance hardware all’interno della rete o distribuire un’appliance virtuale su una macchina virtuale, quindi eseguire scansioni da quella macchina verso tutte le altre presenti sulla rete.

Un vantaggio di questo tipo di scanner è che sono veloci da configurare, basta installarlo e iniziare la scansione. Tuttavia, possono diventare più complicati quando si tratta di mantenere le appliance aggiornate e tenerle al passo con i cambiamenti sulla rete. Ciò è particolarmente vero quanto più complicate diventano le reti e il numero di scanner necessari aumenta per coprirne ogni segmento.

Interno vs Esterno

Gli scanner di rete sono spesso configurati per scansionare reti “interne” o reti “esterne”.

In generale, più grandi e complesse diventano le reti private, più sarà necessario anche l’utilizzo di uno scanner di rete interno in grado di controllare i sistemi per individuare eventuali punti deboli che potrebbero comprometterne l’integrità.

Le aziende più piccole con un’impronta moderna potrebbero decidere di non effettuare in anticipo la scansione interna. Tuttavia, anche queste aziende trarrebbero vantaggio dalla scansione interna basata sugli agent, in quanto le vulnerabilità sui dispositivi dei dipendenti potranno essere identificate ed esser patchate.

Scansione di rete esterna

Un vulnerability scan esterno è semplicemente quello che scansiona i sistemi dall’esterno. Ciò significa che le sonde dello scanner provengono da un indirizzo Internet non attendibile che si trova al di fuori di qualsiasi rete privata dell’azienda. Simulano le attività di un aggressore remoto esaminando quali sistemi e servizi sono esposti su Internet e cercandone le vulnerabilità.

Sebbene la quantità di informazioni che possono essere scoperte da queste scansioni sia limitata rispetto ad altri tipi, possono rivelarsi molto utili per capire cosa possono vedere gli aggressori. Questo perché se un hacker riesce a vedere un punto debole, è molto probabile che lo sfrutterà.

Alcuni vulnerability scanner sono ben configurati per far fronte a questa situazione e hanno scanner pronti nel cloud, quindi non è necessaria alcuna distribuzione o gestione dei sistemi. Basta puntare e cliccare. Altri potrebbero richiedere di configurare il dispositivo di scansione e gestirlo su base continuativa. Sebbene tali servizi possano essere più economici, le spese generali a volte possono non valere la differenza di costo.

Scansione di rete interna

I vulnerability scan interni sono progettati per individuare i punti deboli dei sistemi che non espongono porte o servizi a Internet. Questo tipo di vulnerability scanning aiuta a coprire una serie di scenari di attacco che non potrebbero essere scansionati dagli scanner esterni. Ad esempio, se una versione obsoleta del browser Firefox è in uso su un laptop aziendale, la macchina potrebbe essere vulnerabile agli attacchi se un utente visita un sito Web dannoso. Allo stesso modo, potrebbero esserci vulnerabilità nelle porte o nei servizi esposti da un dispositivo all’interno di una rete privata (come le falle nel servizio SMB), che non possono essere rilevati da uno scanner esterno.

Gli scanner interni funzionano sostanzialmente allo stesso modo di quelli esterni, ad eccezione del fatto che il dispositivo di scansione si trova dentro una rete interna, quindi è possibile valutare i servizi e i dispositivi esposti solo all’interno di una rete privata.

Le scansioni interne possono essere utili per identificare i dispositivi potenzialmente vulnerabili di cui non si era a conoscenza, poiché possono scansionare grandi segmenti di rete. Tuttavia, possono essere inefficaci nel fornire informazioni dettagliate a meno che non vengano fornite le credenziali per l’accesso ai sistemi e per eseguire query su patch e dati di configurazione specifici. Questo è noto come “scansione autenticata”.

La scansione autenticata può fornire informazioni molto più dettagliate sulla vulnerabilità, ma può essere difficile da configurare e mantenere. Per questo motivo, un’alternativa diffusa è l’esecuzione di scanner basati sugli agent.

Scanner basati sugli agent

La scansione basata sugli agent viene eseguita installando software leggeri su ciascun dispositivo da coprire, che possono eseguire vulnerability scan locali e inviare report a un server centrale con i risultati.

Allo stesso modo delle scansioni di rete autenticate, questo tipo di scanner può rilevare un’ampia gamma di vulnerabilità, comprese le debolezze del software che non espone porte o servizi per l’accesso. Anche se può richiedere un po’ più di tempo, l’agent ha il vantaggio che una volta installato può continuare a inviare report anche se il dispositivo su cui è installato si trova al di fuori della rete aziendale.

Entrambi i tipi di scanner interni hanno pregi e difetti. Per le aziende moderne con reti interne semplici e la maggior parte dell’infrastruttura nel cloud, uno scanner basato sugli agent sarebbe la scelta logica. Per le aziende con reti interne complesse la scelta è un po’ più difficile e per le aziende più mature – e dove il budget lo consente – dovrebbe essere presa in considerazione l’implementazione di una combinazione di entrambi i tipi di scanner.

Scanner sensibili al contesto

Alcuni scanner possono essere utilizzati per verificare la presenza di punti deboli sia da una prospettiva esterna che interna, ma non tutti sono in grado di segnalare problemi nel contesto in cui è stata rilevata la vulnerabilità. Molti scanner attrezzati per eseguire scansioni interne ed esterne non segnalano i problemi di sicurezza che derivano da tecnologie che normalmente non dovrebbero essere esposte all’esterno.

Ad esempio, il noto ransomware “WannaCry” si è diffuso sfruttando i servizi di internet-facing delle PMI (servizi progetti per le reti locali). Questo è un esempio di un servizio che non dovrebbe mai essere esposto a Internet, ma molti dei principali vulnerability scanner non lo evidenzieranno come un problema di sicurezza, poiché non considerano il contesto di ciò che rilevano né il fatto che la scansione provenga da una prospettiva interna o esterna.

Disporre di esperti di sicurezza per analizzare i risultati delle scansioni potrebbe aiutare, ma devi anche ricordare che può essere un lavoro ripetitivo e il loro tempo potrebbe essere speso meglio altrove.

Scanner delle applicazioni Web

I vulnerability scanner delle applicazioni Web sono un tipo di scanner specializzato nella ricerca di vulnerabilità nelle applicazioni e nei siti Web. Funzionano “scansionando” un sito o un’applicazione in modo simile a come farebbe un motore di ricerca, inviando una serie di sonde a ciascuna pagina o modulo che trova per cercare i punti deboli.

Molti vulnerability scanner includono la scansione delle applicazioni Web come parte della loro offerta, sebbene possa essere concessa separatamente in licenza. Altri sono dedicati esclusivamente alla scansione delle applicazioni Web, mentre alcuni la includono insieme a una serie di altri controlli.

Una cosa a cui dovresti prestare attenzione è se lo scanner può eseguire o meno la scansione autenticata delle applicazioni Web. La scansione autenticata è quando l’applicazione viene scansionata oltre la pagina di accesso, dal punto di vista di un hacker o di un utente malintenzionato che possiede le credenziali per accedere all’app.

A causa della logica e della complessità presente in un’applicazione Web, anche i migliori vulnerability scanner sul mercato faticano a identificarne efficacemente alcuni difetti e sono ancora lontani dalle capacità di un esperto umano che ricerca manualmente le vulnerabilità. È importante capire in cosa sono efficaci e contro cosa “lottano”.

In genere sono bravi a identificare i punti deboli diretti (semplici SQL injection o difetti di scripting tra siti), mentre hanno più difficoltà nel rilevare quei bug meno semplici da sfruttare, come:

  • i bug del controllo dell’accesso (come l’accesso non autorizzato alle informazioni che dovrebbero richiedere un account con privilegi più elevati);
  • l’esposizione di informazioni sensibili (gli scanner possono spesso scoprire queste informazioni, ma non sempre possono dire se sono sensibili);
  • i bug nei workflow in più fasi (come i moduli a più pagine);
  • i bug che coinvolgono l’archiviazione di un payload che viene eseguito altrove (come lo scripting incrociato persistente);
  • i bug basati sulla sessione (vulnerabilità nei meccanismi utilizzati per gestire l’autenticazione degli utenti).

Naturalmente alcuni difetti delle applicazioni Web sono più comuni di altri. Molti di questi vengono rilevati male dagli scanner di applicazioni Web e solo alcune vulnerabilità sono rilevate in modo affidabile. Vediamo degli esempi.

Applicazioni a pagina singola

Le moderne app a pagina singola sono difficili per gli scanner automatizzati, poiché non riescono a rilevare e generare correttamente richieste di applicazioni legittime con cui eseguire i test.

Falsi positivi

Verificare se le vulnerabilità sono falsi positivi è un compito difficile per uno scanner automatizzato e la maggior parte non prova a farlo. Di conseguenza, potresti finire per sfogliare lunghi elenchi di non-problemi andando a perdere molto tempo.

Gli scanner automatici sono certamente in grado di scoprire veri problemi di sicurezza delle applicazioni Web, ma è improbabile che catturino tutto e non dovrebbero essere l’unica difesa messa in atto. La mia raccomandazione è di garantire che le applicazioni web siano regolarmente sottoposte a dei penetration test, anche laddove sia presente uno scanner dedicato. Questa strategia è un metodo solido ed efficace per scoprire un’ampia gamma di vulnerabilità e, se il budget lo consente, dovrebbe diventare un’abitudine.

vulnerability assessment

Scegliere un Vulnerability Scanner

Scegliere il giusto vulnerability scanner può essere difficile e la varietà di prodotti disponibile è significativa e non sempre chiara. Devi scegliere lo scanner che userai ogni giorno per prevenire gli attacchi verso i tuoi clienti, quindi è fondamentale scegliere bene, ma come fare a sapere se uno è più efficace di un altro?

Di seguito ti elenco alcuni suggerimenti per fare la tua scelta al meglio.

Fagli fare un giro di prova

La maggior parte dei vulnerability scanner offre prove gratuite limitate, per dare all’utente la possibilità di abituarsi a come funziona e a capirne le funzionalità. Questo è un ottimo modo per avere un’idea del prodotto, delle sue caratteristiche e dell’usabilità. Il passo successivo consiste nell’eseguire una scansione su una selezione di sistemi e vedere cosa ne esce. Se stai confrontando più scanner, potrebbe essere un buon metodo eseguirli entrambi sullo stesso sistema e vedere cosa viene rilevato. Sfortunatamente, un confronto simile di due o più scanner non mostra sempre un’immagine chiara delle loro differenze. Ad esempio, uno degli scanner che stai valutando potrebbe rilevare più problemi di sicurezza che sono falsi positivi. Se non hai la capacità di verificare se una vulnerabilità è valida o meno, allora questo test potrebbe non essere sufficiente.

Da notare che potrebbe non esserci nulla di sbagliato nei sistemi che scansioni, il che riduce il valore di eseguire questo tipo di confronto. Se i sistemi che stai scansionando non presentano una problemi di sicurezza, sarà difficile valutare la qualità di uno scanner. Inoltre, molti vulnerability scanner riempiono i loro report di problemi “informativi” che non sono in realtà problemi di sicurezza. Fai attenzione e ricorda che un semplice confronto del numero di problemi scoperti non ha senso. Interessati invece a quale scanner può trovare le vulnerabilità più autentiche: puoi farlo scansionando sistemi con bug noti.

Scopri cosa può controllare

La maggior parte dei vulnerability scanner dispone di un elenco di bug in grado di verificare. Questo può essere un buon modo per aiutarti a decidere quale scanner è giusto per te. Esaminando la sua documentazione, puoi verificare se ci sono le vulnerabilità presenti nei software e nelle applicazioni che compongono l’azienda del tuo cliente. Di seguito trovi alcune classi di vulnerabilità che uno scanner completo dovrebbe essere in grado di verificare:

  • Software vulnerabile: questa classe è la categoria più ampia, in quanto include i controlli dei bug noti in tutti i tipi di software e hardware. Alcuni esempi potrebbero essere una versione debole di un server Web Nginx, un servizio FTP vulnerabile o bug in un router Cisco o in una VPN.
  • Vulnerabilità delle applicazioni Web: esiste un’ampia gamma di punti deboli che potrebbero essere utilizzati per ottenere l’accesso non autorizzato alle informazioni, compromettere il server Web o attaccare gli utenti. Alcuni esempi potrebbero essere: SQL injection, cross-site scripting e vulnerabilità di directory traversal.
  • Errori e configurazioni errate comuni: si tratta di una classe che include i software configurati in modo errato, che presentano errori comuni o best practice di sicurezza non seguite. Alcuni esempi potrebbero essere repository SVN/git esposti, inoltri di posta elettronica aperti e/o un server Web configurato per rivelare informazioni riservate.
  • Bug della crittografia: i vulnerability scanner possono identificare un’ampia gamma di punti deboli nelle configurazioni di crittografia utilizzate per proteggere i dati in transito tra utenti e server. Ad esempio, i bug nelle implementazioni SSL/TLS, come l’uso di crittografie o protocolli deboli, configurazioni errate dei certificati SSL e l’uso di servizi non crittografati come FTP.
  • Riduzione della superficie di attacco: alcuni scanner possono rilevare aree in cui è possibile ridurre la superficie di attacco e possono identificare porte e servizi che potrebbero rappresentare un rischio per la sicurezza lasciandoli esposti a Internet. Alcuni esempi sono i database esposti, le interfacce amministrative e i servizi riservati come SMB.
  • Perdita di informazioni: questa classe di controlli segnala le aree in cui i sistemi stanno segnalando ad altri utenti informazioni che dovrebbero rimanere private.

Non tutti i vulnerability scanner includono controlli per tutte le categorie descritte e all’interno di ciascuna possono variare anche quantità e qualità dei controlli. Alcuni scanner si concentrano su una particolare classe di vulnerabilità. Ad esempio, uno scanner incentrato sull’applicazione Web non verificherebbe necessariamente la presenza di bug a livello di infrastruttura. Se stai utilizzando solo un vulnerability scanner, vale sicuramente la pena assicurarti che possa gestire tutto quanto descritto sopra, così da non avere lacune nella copertura di sicurezza offerta.

Verifica le caratteristiche essenziali

Come abbiamo visto, la gamma di vulnerability scanner sul mercato è molto varia e ognuna offre un set unico di funzionalità, alcune di base e altre “nice to have”, ovvero non essenziali ma utili per semplificarti la vita.

Prima di sceglierne uno, vale la pena chiedersi quali funzionalità sono essenziali per te e quali, invece, non ti servono. Fatta questa valutazione, sarai in grado di decidere più facilmente.

Ecco alcune funzionalità che potresti voler prendere in considerazione:

  • Pianificazione: puoi pianificare le scansioni?
  • Frequenza: con quale frequenza puoi eseguirle?
  • Reporting: il report è di facile lettura sia per te che per un cliente?
  • API: puoi attivare una scansione a livello di codice dopo un ciclo di sviluppo?
  • Conformità: lo scanner è appropriato per i requisiti di conformità?
  • Integrazioni cloud: lo scanner si integra con il provider cloud?
  • Scansioni proattive: lo scanner controlla automaticamente i sistemi per le ultime minacce?

Reporting

Il reporting è un fattore importante da considerare. Esistono due usi principali di un report fatto da un vulnerability scanner: i tuoi tecnici potrebbero utilizzarlo per correggere i bug della sicurezza e potresti trasmetterlo ai e clienti come prova del tuo lavoro.

È importante che i problemi di sicurezza descritti nel report forniscano consigli per la risoluzione dei problemi in un linguaggio chiaro che possa essere facilmente utilizzato. Alcuni report sono difficili da leggere e comprendere, mentre altri presentano una descrizione chiara e concisa di un problema insieme a semplici istruzioni su come mettere in atto una soluzione.

È normale che i potenziali clienti richiedano una prova. Quando trasmetti un report sulla sicurezza, ti consigliamo di assicurarti di poter trasmettere un documento ben formattato che descriva chiaramente eventuali vulnerabilità presenti e offra al lettore una buona visione di ciò su cui è stato testato.

Prezzo

Il prezzo e il budget disponibile saranno sempre una considerazione importante nella scelta di un vulnerability scanner. I budget per la sicurezza informatica sono spesso limitati e molti prodotti e servizi competono per lo stesso budget. Per fortuna, la maggior parte dei vulnerability scanner sul mercato ha un prezzo ragionevole rispetto a quello che offrono, quindi in generale ne vale la pena. Detto questo, alcuni sono più economici perché offrono meno funzionalità, che potrebbero non essere necessarie, quindi provare scanner diversi può essere tempo ben speso.

Il prezzo dei vulnerability scanner è un tema a cui vale la pena prestare attenzione. La scelta è vasta e anche la qualità e la gamma di controlli offerti varia notevolmente. Se una delle opzioni che stai prendendo in considerazione è molto più economica delle altre, potrebbe essere necessario un approfondimento per assicurarsi che sia in grado di eseguire tutti i controlli di sicurezza di cui hai bisogno.

Licensing e Discovery Scanning

La maggior parte dei moderni vulnerability scanner ha un prezzo che varia a seconda del numero di sistemi che desideri coprire e può variare, a sua volta, in base al tipo di scanner che stai utilizzando e delle funzionalità richieste, ma in generale il costo si baserà sulle dimensioni e sul numero di sistemi scansionati.

In questa fase, alcune aziende potrebbero avere difficoltà a capire di quante licenze hanno bisogno, poiché potrebbero non sapere esattamente di quanti sistemi attivi sono responsabili. Molti scanner sono in grado di venirci in contro, utilizzando ciò che è comunemente noto come “discovery scanning “. Si tratta di una scansione “soft” progettata per scoprire quali sistemi sono attivi e quali no. Ad esempio, potrebbe rilevare un intervallo di indirizzi IP pubblici che corrisponde a 256 indirizzi IP. È probabile che non tutti siano in uso e il cliente potrebbe voler risparmiare pagando solo per le licenze relative ai sistemi attivi.

È qui il discovery scanning torna utile. Puoi eseguire una scansione sull’intervallo di IP per scoprire quale risponde: quelli che non rispondono su nessuna porta sono inattivi o non sono esposti allo scanner, quindi non avrai bisogno di licenze per quelli. Alcuni scanner moderni possono fare automaticamente questa selezione permettendo di farti risparmiare tempo e denaro, poiché puoi inserire tutti gli IP noti e lo scanner addebiterà solo quelli attivi e in uso.

Con quale frequenza scansionare i tuoi sistemi

Ora che hai deciso quali sistemi far rientrare nella scansione e quale tipo di scanner ti serve, sei pronto per iniziare. Ma con quale frequenza dovresti eseguire questi vulnerability scan?

Dipende da cosa stai scansionando e dal perché lo stai facendo.

Ecco tre elementi da considerare.

  • Il cambiamento

Le aziende in rapida evoluzione spesso implementano giornalmente modifiche al codice o all’infrastruttura, mentre altre possono avere una configurazione relativamente statica e non apportare modifiche regolari a nessuno dei loro sistemi. Nuove vulnerabilità possono essere facilmente introdotte dopo ogni nuovo sviluppo e credo che tu voglia esserne informato. Per questo motivo, eseguire un vulnerability scan dopo ogni piccola modifica apportata ai sistemi è un approccio sensato.

  • L’igiene

Anche se non vengono apportate modifiche regolari ai sistemi, c’è comunque un motivo rilevante per scansionare regolarmente i sistemi del tuo cliente, anche se a volte viene trascurato: nuove vulnerabilità nei software vengono trovate costantemente e il codice di exploit pubblico può essere divulgato in qualsiasi momento.
Quindi, anche se non vengono implementate modifiche ai sistemi, potrebbero diventare vulnerabili dall’oggi al domani. Nessun software è al sicuro.
Il famoso attacco informatico WannaCry mostra come i tempi, in tali situazioni, possono essere stretti e le aziende che non reagiscono in fretta, rilevando e risolvendo i problemi di sicurezza, si mettono a rischio. L’utilizzo di un vulnerability scanner almeno su base mensile consente di prevenire brutte sorprese.

  • La conformità

Se esegui scansioni per motivi di conformità, le normative spesso stabiliscono esplicitamente la frequenza con cui devono essere svolte. Ad esempio, PCI DSS richiede che vengano eseguite scansioni esterne trimestrali. Tuttavia, consiglio di riflettere attentamente sulla strategia di scansione, poiché le normative sono intese come una linea guida valida per tutti che potrebbe non essere appropriata per te o per il tuo cliente.
Quindi ti direi di eseguire vulnerability scan complete almeno su base mensile. Inoltre, è importante eseguire ulteriori scansioni quando vengono apportate modifiche o sviluppi e quando vengono scoperte nuove vulnerabilità.
La scelta di un vulnerability scan in grado di controllare automaticamente i sistemi alla ricerca delle minacce più recenti aiuterà a ridurre il carico di lavoro e renderà efficace la tua offerta di sicurezza, anche dove le risorse sono limitate.

Eseguire le prime scansioni

Quindi, supponiamo che tu abbia scelto quale scanner utilizzare: fantastico!

Ecco alcuni suggerimenti finali importanti da considerare prima di iniziare:

I sistemi sono accessibili allo scanner?

Può sembrare ovvio, ma è un errore comune. Quando avvii la scansione, il vulnerability scanner non sa nulla dei sistemi, quindi se non rileva porte o servizi aperti potrebbe non segnalare problemi. Se un firewall sta bloccando lo scanner o se i sistemi sottoposti a scansione sono inaccessibili, non sarà in grado di rilevare alcuna vulnerabilità.

Sistemi di prevenzione delle intrusioni

Qualcuno dei sistemi è protetto da un sistema di prevenzione delle intrusioni (IPS/IDS) o da un Web Application Firewall (WAF)?

Alcune tecnologie sono progettate per proteggere i sistemi, ma potrebbero intralciare il lavoro del vulnerability scanner. Questi sistemi sono un’ottima aggiunta alla suite di sicurezza, ma se non configurati correttamente, interferiranno con i risultati della scansione e potrebbero bloccare il tuo scanner. Quindi, assicurati di inserire nella whitelist lo scanner!

Ciò consentirà un accesso senza ostacoli ai sistemi del cliente e massimizzerà le possibilità di scoprire con successo vulnerabilità che altrimenti verrebbero bloccate. I sistemi IPS e altre tecnologie come i WAF sono una buona misura aggiuntiva, ma non dovrebbero essere l’unica protezione contro gli attacchi. Sebbene siano generalmente efficaci, non sono infallibili. Spesso vengono scoperti modi per aggirare le loro protezioni e gli hacker possono impiegare tecniche per attaccare senza essere rilevabili da questi sistemi.

Per concludere

Ci auguriamo che tu abbia trovato informazioni utili su come eseguire al meglio un vulnerability scanning.

Mi permetto di darti un ultimo consiglio su una buona soluzione di vulnerability assessment: CyberCNS, piattaforma cloud che ti permette di rilevare, gestire e proteggere gli asset e le reti dei tuoi clienti. Grazie a dashboard e report puoi sapere quali sono le criticità e come intervenire.

Per approfondire il suo funzionamento e scoprire come fare un vulnerability assessment in modo semplice e profittevole, abbiamo preparato un webinar on demand che fa al caso tuo.

Guarda il Webinar On Demand
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti