Cybercrime: strategie difensive | Delaini & Partners

Il crescente trend dei cyber attacchi pone, a chiunque lavori nel campo IT, un’importante quesito: siamo pronti?
L’obiettivo di questo breve articolo (non esaustivo) Ŕ cercare di sensibilizzare e indirizzare l’attenzione del pubblico verso alcune attivitÓ che possono identificare sistemi vulnerabili, rivelare vulnerabilitÓ ignote, gestioni errate dei processi di sicurezza, configurazioni di sistema e applicativi non corrette; tutto questo prima che il sistema venga compromesso dai malintenzionati.
I rischi sono reali, vediamo quindi assieme quali sono le “armi” a nostra disposizione:

Vulnerability Assessment
X
Il Vulnerability Assessment Ŕ un processo d’identificazione, classificazione e definizione delle prioritÓ relative alle vulnerabilitÓ riscontrate nei sistemi informatici, negli applicativi e nelle infrastrutture di rete.

Fornisce:

  • La conoscenza e la consapevolezza relative a vulnerabilitÓ e debolezze nella sicurezza del perimetro e della rete aziendale.
  • Il background tecnico necessario a comprendere le minacce all’interno dell’organizzazione e reagire in modo adeguato relativamente al rischio rilevato.
  • Una migliore comprensione delle proprie risorse e assets critici.

Durante un Vulnerability Assessment tutte le vulnerabilitÓ riscontrate dall’analista non vengono ulteriormente sfruttate, la vista Ŕ pertanto limitata ai soli sistemi oggetto di analisi e in nessun caso attacchi reali vengono eseguiti contro i sistemi “target”.

Non Ŕ previsto social engineering, test d’intrusione fisica nella sede del cliente o phishing.

╚ indicato per aziende di qualsiasi dimensione e per tutti i settori merceologici.

Necessita di essere eseguito periodicamente per poter avere una “vista” relativa alle vulnerabilitÓ sempre aggiornata.
X
Penetration Test
Penetration Test o Ethical Hacking Ŕ un processo d’identificazione e sfruttamento delle vulnerabilitÓ identificate nei sistemi informatici, negli applicativi e nelle infrastrutture di rete.

Durante un Penetration Test, ove possibile, le vulnerabilitÓ identificate dall’analista vengono ulteriormente sfruttate in maniera tale da compromettere ulteriori sistemi all’interno della rete del cliente e raggiungere assets critici. Attacchi reali (non distruttivi per il business) vengono eseguiti contro i sistemi “target”. Con un penetration test si pone l’analista nelle condizioni, quanto pi¨ possibili reali, di un attaccante ma sempre monitorato dal team dei “difensori”.

Non Ŕ previsto social engineering o test d’intrusione fisica nella sede del cliente. Il phishing Ŕ talvolta incluso (normalmente corredato da un percorso di training per i dipendenti). Vengono pertanto svolte campagne di phishing con l’obiettivo di generare una statistica delle probabilitÓ che un dipendente apra una mail malevola che possa pertanto compromettere l’organizzazione.

X

X
Red-Team / Adversary Simulation
X
Derivato da un ambiente militare; nell’immaginario comune s’immaginano gli aggressori in colore rosso (da questo Red Team) e i difensori in blu (Blue Team).

Un gruppo indipendente di analisti viene ingaggiato dal cliente all’insaputa dei reparti tecnici (difensori) per effettuare un attacco contro l’organizzazione stessa. L’obiettivo del Red Team Ŕ di testare difese, contromisure e “risposte” nell’ambito di uno scenario di attacco reale. Tutte le operazioni effettuate NON sono una simulazione (in nessun caso gli assets aziendali vengono esposti a rischi).

Eseguire l’operazione all’insaputa del Blue Team Ŕ quello che caratterizza e diversifica un’operazione di Red Teaming da un normale Vulnerability Assessment o Penetration Test.

Il test viene eseguito in modalitÓ Black Box da parte del team d’attacco che non possiede quindi una conoscenza a priori dell’infrastruttura bersaglio, delle sue contromisure e degli assets critici. ╚ in tutto e per tutto uno scenario reale, il Red Team Ŕ posto sullo stesso piano di un attaccante e non gli viene assegnato uno scope preciso e restrittivo.

Normalmente il phishing Ŕ parte fondante di un Red Teaming; Ŕ previsto l’uso del social engineering (la possibilitÓ per un analista di potersi spacciare per un dipendente dell’organizzazione, mentire e ingannare i dipendenti) e test d’intrusione fisica nella sede del cliente (vengono pertanto mappati gli accessi fisici e le reti wi-fi, Ŕ possibile manomettere telecamere, clonare badge, scassinare serrature).

X

Paolo Stagno
Paolo Stagno (alias VoidSec) ha lavorato come consulente per una vasta gamma di clienti internazionali di alto livello, banche, importanti societÓ tecnologiche e varie societÓ Fortune 1000. In ZeroDayLab, Ŕ stato responsabile della ricerca e scoperta di nuove vulnerabilitÓ (0day) in applicativi Desktop & Web, componenti dell’infrastruttura di rete, dispositivi IoT, nuovi protocolli e tecnologie. Ora Ŕ un ricercatore di sicurezza indipendente e un penetration tester, con un focus sulla sicurezza offensiva delle applicazioni. Gli piace comprendere il mondo digitale in cui viviamo, disassemblare, decodificare e sfruttare vulnerabilitÓ in prodotti e codici sorgenti complessi. Durante le sue ricerche, ha scoperto diverse vulnerabilitÓ nel software di svariati fornitori e giganti della tecnologia come: Cisco, eBay, Facebook, Fastweb, Google, HP, McAfee, Opera, Oracle, Paypal, TIM, Western Union, Yahoo e molti altri. Sin dall’inizio della sua carriera, ha condiviso la sua esperienza con la comunitÓ della sicurezza informatica attraverso il suo sito Web (https://voidsec.com/). anche relatore attivo in varie conferenze di sicurezza informatica in tutto il mondo come: HITB, TyphoonCon, Hacktivity, SEC-T, HackInBo, TOHack, Droidcon.
X