Senza dubbio ne hai già sentito parlare. Vulnerability Assessment e Penetration Test sono tra le procedure più ricorrenti quando si parla di sicurezza e inviolabilità dell'infrastruttura IT. Cosa sono? Qual è la differenza tra i due? Quali aziende dovrebbero farli?

Se pensi che siano strumenti riservati solo alle grandi aziende o ai settori ad alto rischio, potresti sottovalutare il panorama attuale delle minacce digitali. In quest'articolo, proviamo a spiegarti perché anche la tua azienda dovrebbe sottoporsi periodicamente a un vulnerability assessment e un penetration test.

Prima di iniziare: cosa dicono le normative sulla sicurezza informatica?

Il panorama normativo che regola l’informatica in ampio senso, è sempre più nutrito. All’Europa e a noi italiani in particolare, piace molto normare tutto. Sarà perché la prima facoltà di giurisprudenza è nata proprio in Italia, a Bologna, nel 1088. Fatto sta che a noi italiani piacciono le norme un po’ chiocce, che ti dicono per filo e per segno quello che devi fare.

L’Europa ha un approccio diverso. Sotto il principio dell’accountability, il mantra è “fai ciò che ritieni giusto, a tempo debito vedremo se hai fatto bene” che, soprattutto in un Paese “creativo” come il nostro, suona più come una minaccia, che come un consiglio.

Tre nomi a caso: GDPR, NIS2 e DORA, dove quest’ultimo lo potremmo anche vedere come una NIS2 per il mondo finance. Tutti si fondano su un perno di autoresponsabilità, sull’avere cognizione della situazione e quindi adeguarsi in base alla necessità di tutelare i dati. Ah, a proposito, se vuoi capire un po’ di più sulla NIS2, guardati questa puntata di All You Can IT dove ne abbiamo parlato con Marica Ortolani di Orizon Cybersecurity.

Se al GDPR siamo tutti legati, se svolgiamo un’attività commerciale in ampio senso che tratti dati personali (cioè tutte), NIS2 e DORA sono più mirate una a settori importanti o strategici del panorama industriale, l’altra come già detto al comparto finanziario e sue declinazioni.

Però, c’è un piccolo dettaglio. Se sei fornitore di un’azienda che sia NIS2 o DORA compliant, per il principio della catena di responsabilità quasi sicuramente il tuo cliente ti chiederà una compliance analoga. Detta come la si direbbe al bar “o mi garantisci che sei NIS2 compliant, o la nostra collaborazione purtroppo finisce qui”.

Da un punto di vista è un bene. Se c’è un Paese che, a livello di aziende, se ne frega abbastanza della sicurezza è il nostro. Non prendertela, noi in Noratech lo viviamo ogni giorno, quando proponiamo soluzioni integrate di sicurezza che sì, hanno un costo, ma infinitesimo rispetto al danno economico e reputazionale che ti colpisce quando subisci un data breach.

Fatto questo preambolo leggermente lungo, parliamo di Vulnerability Assessment (VA) e Penetration Test (Pentest o PT). Cosa sono?

Vulnerability Assessment e Penetration Test

Vulnerability Assessment

Il vulnerability assessment è un’attività volta a scovare le vulnerabilità di un sistema. Nulla più, nulla meno. Un team di professionisti prende in esame tutto il tuo perimetro, cioè tutte le possibili vie d’ingresso o di uscita e stila un rapporto di cos’ha trovato, spesso usando software proprietari o tool come NMAP o Wireshark.

Penetration Test

Il penetration test invece è un’attività mirata a entrare nel tuo sistema, a forzarne il perimetro. Un pentest, per gli amici, può essere in black box, grey box o white box.

Un pentest in black box è condotto da un team che non sa nulla della tua azienda e cerca un modo per bucare il perimetro di sicurezza, sfruttando vulnerabilità dello stesso o ingegneria sociale.

Il pentest in grey box è invece fatto simulando una persona che almeno qualche informazione o privilegio sull’infrastruttura li ha. Pensa a un dipendente che ha privilegi, anche limitati, sulla tua infrastruttura (necessariamente direi) e decide di farti uno sgambetto.

Infine il pentest in white box è fatto simulando l’attività di una persona che ha ampi privilegi sulla tua infrastruttura, ad esempio un responsabile IT o qualcuno che riesce ad assumerne i privilegi, potendo quindi gestire pressoché totalmente la tua infrastruttura.

Solitamente facciamo fare pentest in black box, sia perché mettono in luce le vulnerabilità viste da un hacker che non sa nulla di te, sia per la bellezza e completezza dei report che ne escono. Sono fatti da gente preparata, che elenca tutto quanto trova di storto, nel dettaglio. 

Abbiamo visto uomini tutti d’un pezzo sbiancare, di fronte a report di pentest in black box, dove in diretta vedevano come una persona potesse entrare nel loro sistema o sfruttarne qualche vulnerabilità spacciandosi poi per un dipendente o per il titolare della stessa.

Andando al sodo, vale la pena farlo? Risposta breve, sì. Risposta lunga: siediti, altro pippone.

A chi consigliamo il vulnerability assessment e il penetration test?

Avere una fotografia dello stato di salute della tua azienda è necessario, ma è una fotografia. Il tuo perimetro cambia costantemente: una nuova unità NAS collegata, il sito web nuovo, il cambio del provider di posta o il nuovo gestionale. Se la tua azienda è un soggetto NIS2 o DORA, è più saggio un approccio di ripetizione annuale o semestrale dei test. Di solito, le aziende che offrono questi servizi offrono anche pacchetti che permettono di contenere i costi, a fronte di una continuità operativa. Alcuni di loro installano anche delle probe, delle sonde, nel tuo sistema che permettono di monitorare costantemente la situazione e si accorgono che qualcosa è stato aggiunto o modificato, così da rifare il test. É esattamente quello che fanno i tecnici IT di Noratech!

Se non sei soggetto NIS2 o DORA, potresti diventarlo per via della catena di responsabilità che ti lega con i clienti. Saranno loro a chiederti un certo grado di compliance. Ad esempio, se lavori con gli istituti di credito, al 100% che ti chiederanno se, almeno annualmente, fai un pentest.

Se sei soggetto NIS2 fallo e cerca di farlo con regolarità. Se non sei soggetto NIS2 consideralo comunque, perché ti da uno stato delle cose circa il tuo grado di sicurezza.

Tra un pentest e l’altro, puoi fare dei vulnerability assessment, magari anche con continuità, così da avere sempre chiara la situazione delle possibili brecce di sicurezza nei tuoi sistemi.

Ma non è tutto. Quello legato alla sicurezza informatica è un rischio. E per tutelarsi dai rischi a chi ti rivolgi? San Gennaro? É un'opzione, ma noi ti consigliamo un’assicurazione. Ormai tutte le compagnie offrono una polizza cyber. Ma giustamente, prima di assicurarti, per determinare il premio devono capire il grado di rischio cui sei soggetto e lo capiscono attraverso dei penetration test che fanno loro o ti fanno fare.

Speriamo che questo post ti abbia chiarito un po’ la differenza tra PT e VA e ti abbia permesso di comprendere perché vale la pena svolgere attività di questo tipo!

Scrivici per saperne di più

Articoli correlati