Vulnerability assessment: cos'è, come farlo, e vantaggi per le aziende

Vodafone Point of View

Vulnerability assessment: cos’è, come farlo e perché è sempre più importante per la fabbrica connessa

La consapevolezza dei rischi e delle vulnerabilità è il primo tassello di una strategia di cybersecurity efficace. Per il mondo delle imprese, incluse quelle del mondo industriale, il percorso verso una maggiore sicurezza e resilienza comincia dal Vulnerability Assessment. Vediamo perché

29 Ott 2020

Maria Teresa Della Mura

Giornalista

L’imperativo è quello della vigilanza costante.
Quando si tratta di identificare ed eliminare i punti deboli nei sistemi informativi della propria azienda non si può semplicemente “presumere” che tutto sia a posto e i sistemi siano “sufficientemente protetti”.
Il modo migliore per proteggersi dalle vulnerabilità è cercarle costantemente ed eradicarle.
Ed è questo lo scopo dei processi di vulnerability assessment, un insieme di test e controlli che rientrano tra quelli di maggiore importanza che un’impresa debba sostenere per garantire la propria operatività, l’integrità e la sicurezza dei propri dati e dei propri asset, la propria reputation e, insieme a tutti questi aspetti, anche la propria competitività e la propria capacità di stare sul mercato.

Cos’è il vulnerability assessment

È dunque importante stabilire un principio di base: per proteggere le risorse IT della propria impresa, avere piena consapevolezza delle vulnerabilità di un determinato ambiente e rispondere rapidamente alle criticità, per mitigare potenziali minacce serve condurre con regolarità test di valutazione delle vulnerabilità (Vulnerability Assessment).
Il Vulnerability Assessment deve dunque essere inteso come un processo che consente di identificare e quantificare le vulnerabilità di sicurezza nell’ambiente di un’organizzazione.
Un programma completo di valutazione delle vulnerabilità fornisce alle imprese la conoscenza, la consapevolezza e la valutazione dei livelli di rischio necessari per comprendere le minacce presenti nella loro infrastruttura e reagire di conseguenza.

Con il Vulnerability Assessment si perseguono di fatto cinque obiettivi chiave, che rappresentano altrettanti vantaggi per un’impresa:

  • Identificare i rischi di sicurezza noti prima che gli aggressori li trovino.
  • Disporre di un inventario di tutti i dispositivi connessi alla propria rete, completo di tutte le informazioni sullo scopo e sul sistema, incluse quelle relative alle vulnerabilità associate a ciascun dispositivo specifico.
  • Disporre di un inventario di tutti i dispositivi presenti in azienda, allo scopo di pianificarne gli aggiornamenti e le successive analisi.
  • Definire il livello di rischio esistente.
  • Stabilire una curva rischio / beneficio e ottimizzare di conseguenza gli investimenti in sicurezza.

Alla luce di queste considerazioni, è importante considerare il Vulnerability Assessment come un processo continuo, che ha l’obiettivo di migliorare la sicurezza complessiva dell’intera organizzazione.

Perché serve il Vulnerability Assessment

Ogni giorno, ricercatori, analisti, produttori scoprono e segnalano nuove vulnerabilità. Spesso si tratta di vulnerabilità causate da errori di codice o da configurazioni di sicurezza sbagliate che consentono agli aggressori di accedere in modo improprio alla memoria di sistema, ai dati o di eseguire comandi, come overflow del buffer o attacchi injection.
Se prendiamo ad esempio uno dei ransomware più famosi degli ultimi anni, WannaCry, che ha colpito le organizzazioni di tutto il mondo, notiamo che si tratta di un attacco che ha preso di mira la vulnerabilità EternalBlue, segnalata per la prima volta il 14 aprile 2017 ed utilizzata effettivamente (e potremmo dire anche efficacemente) il 12 maggio dello stesso anno. EternalBlue ha sfruttato una vulnerabilità nel protocollo SMB di Windows che consentiva attacchi remoti per eseguire codice arbitrario tramite pacchetti dedicati.
Sebbene Microsoft avesse rilasciato fin dal 14 marzo una patch per questa specifica vulnerabilità, molte organizzazioni non l’avevano applicata per tempo, rimanendo vittime dell’attacco.
Ma, ed è questo il punto che ci preme sottolineare in questo contesto, quelle organizzazioni che si erano dotate di soluzioni di Vulnerability Assessment sono state in grado di rilevare la vulnerabilità coinvolta in WannaCry e applicare la patch necessaria, prevenendo il disastro.
Se ben condotta, una valutazione delle vulnerabilità informa le organizzazioni sui punti deboli presenti nel loro ambiente e fornisce indicazioni su come ridurre i rischi. Si tratta di un processo che aiuta a ridurre le possibilità che un utente malintenzionato possa violare i sistemi IT di un’organizzazione, offrendo nel contempo una migliore comprensione delle risorse hardware e software presenti, delle loro vulnerabilità e del rischio complessivo per un’organizzazione. Il Vulnerability Assessment, in altre parole, aiuta le organizzazioni a gestire il proprio rischio di fronte a uno scenario nel quale le minacce sono in continua crescita ed evoluzione, identificando e valutando le vulnerabilità in modo che gli aggressori non possano cogliere impreparate le organizzazioni.

Come fare Vulnerability Assessment

Un processo di Vulnerability Assessment in genere si svolge in cinque passaggi:

  1. Determinare le risorse hardware e software presenti in un ambiente
  2. Determinare il livello di criticità di ciascun asset
  3. Identificare le vulnerabilità di sicurezza che incidono sugli asset
  4. Determinare un punteggio di rischio per ciascuna vulnerabilità
  5. Mitigare le vulnerabilità a rischio più elevato a partire dagli asset più preziosi

Cinque passaggi che possono essere tradotti in due azioni chiave: comprendere le vulnerabilità presenti nell’ambiente e rispondere di conseguenza.

Nel complesso, si tratta di un’attività piuttosto articolata, che richiede di prendere in esame una serie di aspetti, nessuno dei quali trascurabile.
Innanzi tutto, Il primo step attraverso il quale un’impresa dovrebbe condurre con regolarità test di Vulnerability Assessment è quello di identificare le vulnerabilità nei sistemi perimetrali che proteggono la rete, attraverso scansioni periodiche che mettono in luce possibili debolezze nei sistemi critici che proteggono dalle minacce esterne. I test devono tenere conto non solo delle ultime tecniche e strategie di attacco da parte degli hacker, ma che tutti i sistemi siano correttamente e costantemente aggiornati.
Proprio l’aggiornamento dei sistemi rappresenta il tallone d’Achille in molte realtà: i produttori dei diversi sistemi rilasciano patch e aggiornamenti specifici per correggere le vulnerabilità di sicurezza appena identificate. Una scansione regolare dei sistemi di rete interni ed esterni aiuta a confermare che tutto sia aggiornato e in linea con le modifiche più recenti.

Un secondo aspetto riguarda il change management. È importante mantenere sempre l’allineamento tra change management e sicurezza: spesso ci si concentra sul cambiamento dei processi con l’obiettivo di massimizzare l’efficienza operativa o la facilità d’uso di un sistema e si rischia di perdere di vista il tema della sicurezza.

I test di Vulnerability Assessment prevedono anche controlli sulle configurazioni dei sistemi. I processi di scansione delle vulnerabilità aiutano infatti a identificare i sistemi configurati in modo errato, che possono rendere vulnerabile una rete.

Va detto, ed è questo un punto da tenere sempre in considerazione, che lo stesso livello di supporto che si garantisce ai team interni nell’implementazione e nella distribuzione di nuovi hardware e software va dedicato anche alle terze parti alle quali ci si rivolge.
Per questo motivo, quando si parla di Vulnerability Assesment bisogna pensare anche a convalidare le attività dei fornitori di servizi, per essere certi che forniscano il livello di supporto promesso, che mantengano i sistemi come concordato nei contratti, se i livelli di servizio vengono raggiunti, se i sistemi sono protetti come da contratto.

Un approccio metodologico al Vulnerability Assessment

Il primo passaggio indispensabile per condurre un processo di Vulnerability Assessment è quello della raccolta e della scoperta delle informazioni.
Si tratta di un passaggio che in genere si svolge in tre fasi.
Nella prima si effettua una raccolta di informazioni e una attività di discovery al fine di comprendere meglio l’hardware e il software presenti all’interno del perimetro aziendale.
Bisogna dunque effettuare una scansione della rete per scoprire gli host, una scansione delle porte per scoprire i servizi e i protocolli che potrebbero essere vulnerabili e una revisione dei directory service e dei DNS per capire quali host potrebbero essere presi di mira dagli aggressori.
Una volta completata questa prima fase, si passa alla revisione e analisi approfondita su sistemi operativi, applicazioni, porte, protocolli e servizi, per determinare la piena estensione della superficie di attacco vulnerabile agli aggressori. Particolarmente importante in questa fase è determinare le informazioni sulla versione delle risorse dell’organizzazione: ad esempio, Windows 10 o Windows XP, SMB 3.1.1 o SMB 2.0, poiché le versioni successive spesso correggono vecchie vulnerabilità e ne introducono di nuove.
La fase finale del processo prevede il rilevamento effettivo delle vulnerabilità, utilizzando uno strumento di rilevamento o un repository di vulnerabilità come il National Vulnerability Database per identificare le vulnerabilità sugli asset elencati in precedenza. Questo processo genera report, completi di punteggi e informazioni sui rischi. È a questo punto che diventa indispensabile utilizzare gli strumenti di correzione per applicare patch, configurare o eseguire il debug degli asset, in base alle esigenze per ridurre o eliminare i rischi per la sicurezza presenti a causa delle vulnerabilità rilevate.

Perché fare Vulnerability Assessment in ambito industriale

È un dato di fatto che i sistemi di automazione industriale, le infrastrutture industriali critiche, l’Industrial Internet of Things negli ultimi anni siano sempre più spesso fatti oggetto di attacchi cyber mirati.
Per i malintenzionati, i sistemi cyber-fisici, e il loro corredo di componenti quali sensori, attuatori, microcontrollori, controllori logici programmabili, sistemi di controllo distribuiti, field-area network, wide-area network ecc., nonché i sistemi di controllo di supervisione e acquisizione dati (SCADA) siano considerati obiettivi redditizi per condurre una serie di attività malevole.
Non si tratta di una novità.
È del 2009 infatti la scoperta di Stuxnet, malware specifico per gli ambienti SCADA, attraverso il quale sono stati condotti attacchi mirati ad ambienti industriali complessi, come acciaierie, impianti chimici, gasdotti…
Appare evidente che, anche in questi ambienti, il Vulnerability Assessment è indispensabile per proteggere impianti e installazioni e con essi l’intera infrastruttura aziendale.
I sistemi di controllo industriali (ICS) e i sistemi SCADA di automazione industriale, infatti, non possono più essere considerati come elementi avulsi dall’infrastruttura IT aziendale: grazie ai percorsi di digital transformation che sempre di più hanno pervaso il mondo manifatturiero e industriale, macchine e impianti sono interconnessi con le reti di fabbrica e aziendale, per rendere più efficienti i processi e abilitare nuovi servizi.
In questo scenario, appare evidente che l’OT, ovvero le Operational Technology, sia esposto agli stessi problemi di sicurezza che tipicamente affliggono i sistemi IT, anche in ragione di una sempre più diffusa adozione di protocolli basati su TCP/IP, e di sistemi operativi e software comuni con gli ambienti IT. E non basta impedirne l’accesso diretto ad Internet: per essere vittima di attacchi è sufficiente che impianti e macchinari utilizzino servizi di rete locali con un punto di accesso sfruttabile da un attacker.
Serve pensare anche all’OT come a un ambiente che ha bisogno di sicurezza intrinseca, e non considerare sufficienti le protezioni perimetrali della rete.

Come fare Vulnerability Assessment in ambiente industriale

Anche in questo caso, come abbiamo visto, è necessario un approccio strutturato al Vulnerability Assessment, partendo da un elemento noto, ovvero le best practice e le normative di riferimento del settore come NIST 800-53 + NIST 800-82, ISA/IEC-62443, il Framework Nazionale per la CyberSecurity, rivolto alle infrastrutture critiche, o ancora ISO 27001.

Il Vulnerability Assessment prevede tra le altre cose tecniche di Penetration Testing (si veda al proposito l’articolo pubblicato su Internet4Things), sia interagendo direttamente con i dispositivi o i macchinari target, sia analizzando le eventuali anomalie presenti per verificare che siano suscettibili di attacchi cyber, sia ancora analizzando rete, accessi fisici, DMZ, protocolli e dispositivi di campo.

La visione di Vodafone Business

In questo scenario, Vodafone Business ha sviluppato una propria offerta con l’obiettivo di fornire servizi di resilienza digitale e aiutare le aziende a rilevare, rispondere e riprendersi dagli attacchi informatici.
Con i propri servizi, Vodafone Business indirizza i quattro pilastri sui quali poggia un’efficace strategia di sicurezza aziendale: identify, ovvero comprendere non solo come è fatto e quali elementi costituiscono un ecosistema IT e OT aziendale, ma anche identificarne le vulnerabilità, per poter agire in modo tempestivo; protect, ovvero proteggere non solo la rete, ma tutti gli asset che vi hanno accesso, in modo tempestivo e costante; detect, ovvero rilevare in tempo costante le minacce che si presentano; respond, ovvero rispondere e pianificare azioni di ripristino al fine di minimizzare l’impatto di un attacco.

Vodafone Business Security è un pacchetto completo di soluzioni di sicurezza innovative, fra le quali figurano per l’appunto servizi di Cyber Assessment (inclusi quelli di Penetration Testing) per dare ai clienti maggiore consapevolezza delle loro vulnerabilità e dei rischi, oltre a servizi di sicurezza, monitoraggio, incident response, mitigazione dei rischi, al fine di garantire maggiore sicurezza, senza incidere sulla complessità di gestione.
Il tutto con l’obiettivo di rendere le imprese realmente pronte per il presente e resilienti per il futuro.

@RIPRODUZIONE RISERVATA
Maria Teresa Della Mura
Giornalista

Giornalista, da trent’anni segue le tematiche dell’innovazione tecnologica applicata ai modelli e ai processi di business.Negli ultimi anni si è avvicinata al mondo dell’Internet of Things e delle sue declinazioni in un mondo sempre più coniugato in logica smart: smart manufacturing, smart city, smart home, smart health.

Articolo 1 di 4