Security Assessment e Vulnerability Assessment, le differenze

Security Assessment e Vulnerability Assessment sono due tipologie di test per la sicurezza delle applicazioni complementari nella gestione del rischio aziendale. In altri termini, questi servizi cybersecurity inglobano:

• l’identificazione
• la valutazione
• la gestione
• e la quantificazione economica

dei rischi cibernetici cui qualsiasi azienda è incondizionatamente soggetta.

Quanto detto può concettualmente venire riassunto nella nozione generale di IT Risk Management: ossia lo studio di tutto ciò che può costituire una minaccia per il patrimonio fisico, immateriale e umano dell’azienda, nonché per la sua capacità di produrre reddito.

Sebbene possano risuonare come sinonimi, i due processi si differenziano per una rispettiva diversità di focus.
Ci occuperemo di illustrarne i dettagli nel prosieguo della trattazione.

Come accennato in precedenza, Security Assessment e Vulnerability Assessment sono facce complementari dello stesso processo.
Come tutte le attività strategiche, l’IT Risk Management dev’essere opportunamente impostato secondo tre direttive preliminari:

• definizione degli obiettivi del Security Assessment;
• definizione dei criteri di accettazione del rischio;
• individuazione dei rischi effettivi attraverso il Vulnerability Assessment.

Già da questa schematizzazione si può evincere una delle prime discrepanze tra i due metodi:

• il Security Assessment si potrebbe interpretare come una valutazione qualitativa del rischio.

• il Vulnerability Assessment, dal canto suo, come una valutazione quantitativa degli elementi che determinano un potenziale fattore di rischio.

Ma cos’è esattamente il rischio (informatico o economico che sia)?

Secondo una formula matematica lo si potrebbe definire come: R = f (M, P).

Tradotto, equivale a dire che il rischio è pari al prodotto della probabilità di accadimento e della magnitudo, ossia della forza del suo impatto negativo.

Analizziamo ora nel dettaglio questi due processi: questo sarà lo step fondamentale per comprenderne le principali differenze.

In linea generale, il Security Assessment rappresenta la parte preliminare del processo di gestione del rischio.

In quanto tale, serve a compiere un’analisi complessiva sullo stato di vulnerabilità dell’intero asset aziendale.
Si tratta di una valutazione che viene effettuata dall’interno e ha l’obiettivo d’influenzare le strategie da attuare in merito alla mitigazione del rischio.

E’ in funzione del Security Assessment, dunque, che vengono messe in atto tutte le contromisure note con come tecniche di remediation.

Riassumendo:

• con il Security assessment si intende svolgere un lavoro strategico, che costituisce la base del Risk management;
• ha un obiettivo a lungo termine, perché punta a delineare l’intera strategia d’implementazione della sicurezza;
• necessita fortemente di una valutazione umana poiché, non essendo quantificabile in numeri, deve adattarsi di volta in volta al caso preso in esame.
  Ergo: non è in alcun modo scalabile o automatizzabile;
• offre una overview dell’intera situazione.

Un utile esempio di check-list da seguire nel delineare una strategia di Security Assessment  potrebbe prevedere il controllo:

• allo stato di aggiornamento degli antivirus
• alla corretta configurazione di vari livelli di sicurezza, ossia compresenza di più misure in sinergia, quali: firewall, antivirus, ecc.
• al backup e crittografia dei dati, nonché localizzazione in un ambiente sicuro
• alla sicurezza dei device
• al livello di sicurezza delle password, ecc.

Il Vulnerability Assessment si configura come l’analisi tecnica relativa a ogni elemento di rischio individuato durante il Security Assessment.

Si configura come un’operazione di scanning dei sistemi di sicurezza e di identificazione delle vulnerabilità informatiche.

Grazie ad esso sarà possibile:

• identificare
• quantificare
• analizzare

le falle nella sicurezza del sistema aziendale.

Possiamo individuare diverse tipologie di Vulnerability Assessment.

Di seguito le principali:

• Network Vulnerability Assessment
  

  verifica la sicurezza di qualsiasi tipo di rete e dispositivo ad essa connesso. Questo tipo di test può differenziarsi in

  • esterno, ovvero passante attraverso i server o i dispositivi di rete raggiungibili tramite Internet;
  • interno, accede fisicamente al device grazie a connessioni remote;

• Web Application Assessment
  

  verifica la sicurezza delle applicazioni web-based.
  L’analisi di un semplice sito web, ad esempio, può far evidenziare criticità di varia natura:

  • errore interno al software
  • errore umano
  • uso di componenti obsolete prive delle necessarie misure di sicurezza

• Wireless Assessment
  

  verifica la sicurezza delle reti wireless.
  Valuta se l’infrastruttura è protetta e individua ogni possibile punto di accesso (backdoor) sfruttabile dai cybercriminali.

• Host Assessment

  verifica la sicurezza

  • degli host di rete,
  • dei server
  • delle workstation.

Molto più approfondita rispetto al Network Vulnerability Assessment, può testare :

• ia cronologia delle patch, ossia le porzioni di codice utilizzate per aggiornare o migliorare un programma al fine di correggerne i problemi di vulnerabilità
• le impostazioni di configurazione

• Database Assessment

  test che verifica la sicurezza di un database al fine di evitare attacchi, soprattutto di tipo SQL Injection.

L’esecuzione di un test per la sicurezza delle applicazioni può aver luogo secondo tre modalità:

• SAST (o White Box texing)

  la cosiddetta Analisi Statica, permette di analizzare il codice sorgente per rilevarne bug d’implementazione che potrebbero essere individuati dagli hacker come potenziali punti di attacco.

• DAST (o Black Box Testing)

  Si tratta di un tipo di analisi dinamica che esamina il comportamento dell’applicazione durante l’esecuzione. Non ha accesso alle specifiche d’implementazione, ecco perché è anche detto test della scatola nera.

• IAST ( o Grey Box Testing)

  sfrutta la sinergia dei due metodi precedenti.

Fino ad ora abbiamo esaminato gli aspetti teorici inerenti il Vulnerability Assessment.
Diamo ora un rapido sguardo allo svolgersi del test vero e proprio.

Innanzitutto, si effettua un inventario delle risorse hardware e software presenti in azienda e connesse alla rete.
Con un’analisi LAN (Local Area Network) si procede a esaminare:

• il perimetro di rete

• la sicurezza della connessione

• le configurazioni di sistema

• i dispositivi connessi

• password deboli

• gli host

• i DNS (Domain Name System)

• I directory-service, ovvero quei programmi che provvedono ad organizzare, gestire e memorizzare informazioni e risorse centralizzate in server e mainframe

• I sistemi operativi

Con l’analisi WAN (Wide area network), invece, si va alla ricerca di:

• Accessi alla rete non autorizzati

• Analisi di VPN e reti Wi-fi

Come ultimo step, s’inserisce tutto quanto rilevato in un report che aiuti a tracciare un quadro completo e dettagliato dei risultati ottenuti, nonché delle tipologie di vulnerabilità riscontrate elemento per elemento.

Evidenziamo, in conclusione, le principali differenze emerse dallo studio dei due test per la sicurezza delle applicazioni:

• Il Security Assessment è un’analisi strategica a lungo termine dei sistemi aziendali che determina ciò che sarà effettivamente eseguito durante il Vulnerability Assessment; quest’ultimo, invece, rappresenta un’istantanea della situazione presa in esame. E’ più specifico e circoscritto a un determinato momento.
• Il Vulnerability Assessment si esegue per ogni punto che è stato delineato dal Security Assessment: ne rappresenta, pertanto, il processo di analisi da effettuare su ogni vulnerabilità riscontrata
• Il Vulnerability Assessment può essere quasi completamente automatizzato, mentre il Security Assessment necessita di un’analisi personalizzata caso per caso e di un’analista di sicurezza per poterla eseguire ed evidenziarne le implicazioni in termini di remediation