Cybercrime: strategie difensive | Delaini & Partners

Il crescente trend dei cyber attacchi pone, a chiunque lavori nel campo IT, un’importante quesito: siamo pronti?
L’obiettivo di questo breve articolo (non esaustivo) è cercare di sensibilizzare e indirizzare l’attenzione del pubblico verso alcune attività che possono identificare sistemi vulnerabili, rivelare vulnerabilità ignote, gestioni errate dei processi di sicurezza, configurazioni di sistema e applicativi non corrette; tutto questo prima che il sistema venga compromesso dai malintenzionati.
I rischi sono reali, vediamo quindi assieme quali sono le “armi” a nostra disposizione:

Vulnerability Assessment
X
Il Vulnerability Assessment è un processo d’identificazione, classificazione e definizione delle priorità relative alle vulnerabilità riscontrate nei sistemi informatici, negli applicativi e nelle infrastrutture di rete.

Fornisce:

  • La conoscenza e la consapevolezza relative a vulnerabilità e debolezze nella sicurezza del perimetro e della rete aziendale.
  • Il background tecnico necessario a comprendere le minacce all’interno dell’organizzazione e reagire in modo adeguato relativamente al rischio rilevato.
  • Una migliore comprensione delle proprie risorse e assets critici.

Durante un Vulnerability Assessment tutte le vulnerabilità riscontrate dall’analista non vengono ulteriormente sfruttate, la vista è pertanto limitata ai soli sistemi oggetto di analisi e in nessun caso attacchi reali vengono eseguiti contro i sistemi “target”.

Non è previsto social engineering, test d’intrusione fisica nella sede del cliente o phishing.

È indicato per aziende di qualsiasi dimensione e per tutti i settori merceologici.

Necessita di essere eseguito periodicamente per poter avere una “vista” relativa alle vulnerabilità sempre aggiornata.
X
Penetration Test
Penetration Test o Ethical Hacking è un processo d’identificazione e sfruttamento delle vulnerabilità identificate nei sistemi informatici, negli applicativi e nelle infrastrutture di rete.

Durante un Penetration Test, ove possibile, le vulnerabilità identificate dall’analista vengono ulteriormente sfruttate in maniera tale da compromettere ulteriori sistemi all’interno della rete del cliente e raggiungere assets critici. Attacchi reali (non distruttivi per il business) vengono eseguiti contro i sistemi “target”. Con un penetration test si pone l’analista nelle condizioni, quanto più possibili reali, di un attaccante ma sempre monitorato dal team dei “difensori”.

Non è previsto social engineering o test d’intrusione fisica nella sede del cliente. Il phishing è talvolta incluso (normalmente corredato da un percorso di training per i dipendenti). Vengono pertanto svolte campagne di phishing con l’obiettivo di generare una statistica delle probabilità che un dipendente apra una mail malevola che possa pertanto compromettere l’organizzazione.

X

X
Red-Team / Adversary Simulation
X
Derivato da un ambiente militare; nell’immaginario comune s’immaginano gli aggressori in colore rosso (da questo Red Team) e i difensori in blu (Blue Team).

Un gruppo indipendente di analisti viene ingaggiato dal cliente all’insaputa dei reparti tecnici (difensori) per effettuare un attacco contro l’organizzazione stessa. L’obiettivo del Red Team è di testare difese, contromisure e “risposte” nell’ambito di uno scenario di attacco reale. Tutte le operazioni effettuate NON sono una simulazione (in nessun caso gli assets aziendali vengono esposti a rischi).

Eseguire l’operazione all’insaputa del Blue Team è quello che caratterizza e diversifica un’operazione di Red Teaming da un normale Vulnerability Assessment o Penetration Test.

Il test viene eseguito in modalità Black Box da parte del team d’attacco che non possiede quindi una conoscenza a priori dell’infrastruttura bersaglio, delle sue contromisure e degli assets critici. È in tutto e per tutto uno scenario reale, il Red Team è posto sullo stesso piano di un attaccante e non gli viene assegnato uno scope preciso e restrittivo.

Normalmente il phishing è parte fondante di un Red Teaming; è previsto l’uso del social engineering (la possibilità per un analista di potersi spacciare per un dipendente dell’organizzazione, mentire e ingannare i dipendenti) e test d’intrusione fisica nella sede del cliente (vengono pertanto mappati gli accessi fisici e le reti wi-fi, è possibile manomettere telecamere, clonare badge, scassinare serrature).

X

Paolo Stagno
Paolo Stagno (alias VoidSec) ha lavorato come consulente per una vasta gamma di clienti internazionali di alto livello, banche, importanti società tecnologiche e varie società Fortune 1000. In ZeroDayLab, è stato responsabile della ricerca e scoperta di nuove vulnerabilità (0day) in applicativi Desktop & Web, componenti dell’infrastruttura di rete, dispositivi IoT, nuovi protocolli e tecnologie. Ora è un ricercatore di sicurezza indipendente e un penetration tester, con un focus sulla sicurezza offensiva delle applicazioni. Gli piace comprendere il mondo digitale in cui viviamo, disassemblare, decodificare e sfruttare vulnerabilità in prodotti e codici sorgenti complessi. Durante le sue ricerche, ha scoperto diverse vulnerabilità nel software di svariati fornitori e giganti della tecnologia come: Cisco, eBay, Facebook, Fastweb, Google, HP, McAfee, Opera, Oracle, Paypal, TIM, Western Union, Yahoo e molti altri. Sin dall’inizio della sua carriera, ha condiviso la sua esperienza con la comunità della sicurezza informatica attraverso il suo sito Web (https://voidsec.com/). È anche relatore attivo in varie conferenze di sicurezza informatica in tutto il mondo come: HITB, TyphoonCon, Hacktivity, SEC-T, HackInBo, TOHack, Droidcon.
X