Vulnerability Assessment, cos’è e a cosa serve?

In questo articolo vi parleremo di come proteggere la sicurezza dei dati e del sistema informatico attraverso un servizio di monitoraggio delle vulnerabilità informatiche: il Vulnerability Assessment.

Nello specifico, nel nostro articolo troverete i seguenti punti:

1. Vulnerability Assessment, la nascita del cyber security scan
2. Cos’è un Vulnerability Assessment
3. Vulnerability Assessment: dove e come viene eseguito il cyber test
4. Ogni quanto tempo eseguire un Vulnerability Assessment
5. La durata di un Vulnerability Assessment
6. Perché un’azienda dovrebbe fare un Vulnerability Assessment?
7. Vulnerability Assessment vs Penetration Test, le differenze
8. Secure Coding e Vulnerability Assessment, in cosa si differenziano
9. L’importanza di un Vulnerability Assessment secondo CIS
10. Benefici dell’attività di Vulnerability Assessment

Vulnerability Assessment, come nasce il cyber test

I primi e rudimentali software di prevenzione dagli attacchi informatici risalgono tra il 1973-1980, negli USA.
Per la prima volta nella storia dell’informatica, negli anni ’80 ci fu una grande attività nello sviluppo di nuovi programmi per computer per l’attività di Assessment.

Tuttavia, negli anni ’90, gran parte delle attività legate alla prevenzione dagli attacchi informatici si interrompe bruscamente.

Oggi, i gli IT vulnerability test sui sistemi informatici sono largamente diffusi in tutto il mondo.
I Vulnerability Assessment vengono effettuati sulle reti, sui device (anche il mondo IoT), sui software web-based e nelle infrastrutture cloud based.
Il fine ultimo dell’attività è quello di monitorare e identificare tutti i rischi e le vulnerabilità di un’infrastruttura.

Qualsiasi azienda che desideri introdurre la sicurezza informatica in azienda, dovrà necessariamente condurre ricorrenti test di vulnerabilità.

Vulnerability Assessment: definizione

Prima di indugiare su definizioni tecniche, ecco la nostra definizione di Vulnerability Assessment.

Oggi, circa il 20% degli attacchi informatici noti avviene tramite lo sfruttamento di vulnerabilità informatiche.
In altre parole, le vulnerabilità informatiche sono cattive configurazioni del sistema, la presenza di dispositivi obsoleti, patch di sicurezza mancanti e ogni elemento che apporta un problema alla sicurezza e all’integrità di un sistema informatico.

Ecco che in questo scenario, il Vulnerability Assessment è un’analisi di sicurezza (o meglio ancora, un test di sicurezza informatica it) in grado di identificare tutte le vulnerabilità di sicurezza in maniera tempestiva.

Nello specifico parliamo di uno strumento cybersecurity, uno screening delle vulnerabilità di un sistema informatico o di un applicazione web.
I 4 obiettivi principali di un Vulnerability Assessment sono:

• definire
• identificare
• classificare

Molti esperti nel settore della sicurezza informatica amano definire l’attività di Vulnerability Assessment come un’analisi del sangue del sistema informatico, senza il quale è impossibile scoprire dove si è vulnerabili agli attacchi hacker.

Vulnerability Assessment: come si esegue il test

L’attività di Vulnerability Assessment solitamente si suddivide in 4 fasi:

1. Fase di ricerca e identificazione delle vulnerabilità informatiche
2. Analisi delle vulnerabilità rilevate
3. Classificazione dei rischi e gravità
4. Consegna dei report e valutazione delle soluzioni

Normalmente, un servizio di Vulnerability Assessment perché sia considerato completo e sufficientemente avanzato prevede la scansione di:

• Network aziendale e tutti i dispositivi connessi (pc, server, IoT, robot industriali)
• Reti wireless
• Web Application e siti web del cliente
• Intere strutture o porzioni di database

Ricerca delle vulnerabilità tramite Vulnerability Assessment

La prima fase è solitamente la più delicata. Una volta che il cliente concede all’azienda cybersecurity l’accesso al network aziendale, inizia la fase di identificazione di tutte le vulnerabilità presenti. L’analisi in questo caso passa in rassegna tutti i servizi, gli host, le reti. L’analisi viene svolta da tool automatici ma anche da software comandati manualmente dai tecnici specializzati. In questa fase del Vulnerability Assessment subentra anche l’azione di algoritmi di Intelligenza artificiale.

Analisi delle vulnerabilità di sicurezza

In questo preciso momento, le tecnologie svolgono gran parte dell’azione indagando sull’origine e la natura delle vulnerabilità rilevate nella fase di ricerca. L’obiettivo è identificare le cause della presenza di bug di sicurezza.

Classificazione dei rischi

Una volta identificata la causa delle vulnerabilità, l’obiettivo è definire quanto gravi e impattanti siano sulla sicurezza. In altre parole, in questa fase definiamo Quanto siano a rischio i dispositivi affetti da una determinata vulnerabilità, quali effetti potrebbe provocare la violazione del bug, se esistono o meno dei malware o degli attacchi informatici in grado di sfruttarla e in che modo i dati sono a rischio.

Report di Vulnerability Assessment e ricerca delle soluzioni

Al termine dell’analisi, l’obiettivo è mettere nero su bianco i risultati dell’attività di Vulnerability Assessment attraverso la compilazione di un report. In questo documento sono presenti, dispositivo per dispositivo, IP per IP, tutte le informazioni rilevate durante l’analisi.

Inoltre, la vera utilità dei report sta nell’identificazione delle possibili soluzioni da applicare per ciascuna vulnerabilità presente, sia essa hardware o software.

Ogni quanto fare un Vulnerability Assessment

Per mantenere sempre un livello di sicurezza elevato del sistema informatico, i Vulnerability Assessment andrebbero eseguiti ogni mese o dopo ogni intervento nella rete.

Il controllo costante e ricorrente di un cyber security scan consente all’organizzazione di sapere sempre in che stato riversa il sistema informatico. Il monitoraggio sistematico dell’infrastruttura informatica consente di identificare inoltre le lacune di rete e nelle applicazioni che possono verificarsi ogni volta che modifichiamo le impostazioni, aggiungiamo un nuovo dispositivo in rete, accensiamo un servizio online, ecc.

Quanto dura un Vulnerability Assessment?

Devo fermare la mia azienda per effettuare il Test di Vulnerabilità?

L’attività di analisi può durare dalle 24 ore fino ad un massimo di 7 giorni, a seconda della complessità della vostra struttura informatica.

L’azienda durante questo periodo di tempo continua a mantenere l’operatività e alta reattività.
L’attività di Vulnerability Assessment non comporta fermi lavorativi e non blocca la tua produzione.

Qualsiasi sistema informatico che preveda l’attività di Vulnerability Assessment continua a garantire il massimo delle performance.
Nel frattempo, i tecnici predisposti ad eseguire il cyber security scan saranno in grado di analizzare l’infrastruttura in modo ineccepibile.

Vulnerability Assessment: tutti i vantaggi per l’azienda

Secondo gli standard cyber security, il pericolo di subire un attacco informatico è pari al 60%.
Siamo assolutamente certi di vivere in un mondo informatico vulnerabile.

Tra le aziende vige la convinzione del “Nessun virus ha mai infettato la mia azienda, perché dovrei occuparmi della sicurezza informatica?!” e del “la mia azienda è protetta, ho installato l’antivirus“. Purtroppo, per respingere gli hacker occorre molto di più di un banale antivirus. Oggi, è assolutamente indispensabile tenere monitorato il vostro perimetro.

Se volete approfondire questo argomento, vi consigliamo il nostro articolo dedicato: tutti i benefici di un Assessment.

Tipi di Vulnerability Assessment

Dopo anni di esperienza come azienda specializzata nel monitoraggio della sicurezza informatica, Onorato Informatica oggi considera validi i seguenti tipi di test di vulnerabilità:

1. Network Vulnerability Assessment
2. Web Vulnerability Assessment
3. Web Application Assessment
4. VAPT (Vulnerability Assessment Penetration Test)

Vulnerability Assessment vs Penetration Test

Quale dei due test funziona meglio per fare una valutazione delle vulnerabilità?

Non si tratta di una domanda trabocchetto, sappiamo che siete fortemente indecisi tra questi due test: per questo motivo abbiamo scritto un articolo per spiegare meglio le differenze tra VA e PT.

Senza scendere nei dettagli tecnici, possiamo dirvi che il penetration test non è sufficiente per valutare complessivamente un sistema informatico, senza contare che è molto più costoso. Il Test di Vulnerabilità al contrario è per la gran parte costituito da scansioni automatiche, vi darà un elenco completo delle vulnerabilità presenti e delle soluzioni da adottare.

Secure Coding e Vulnerability Assessment

Nessun software è sicuro al 100%. Che vi piaccia oppure no, è un evidenza oggettiva. Anche i migliori sviluppatori sul mercato non sono umanamente in grado di rattoppare tutte le vulnerabilità di sicurezza di un applicazione web-based.

A questo scopo esiste il servizio di Vulnerability Assessment.
Grazie al nostro sistema di cyber security scan continuativo, siamo perfettamente in grado di controllare ogni modifica ad applicazioni: sia se sviluppate internamente all’azienda o anche se implementate da terze parti.

Senza contare che Onorato Informatica, dopo aver eseguito tutte le scansioni di sicurezza e verificato che il software sia sicuro: rilascia l’Owasp Top 10 Certificate.

The 20 CIS Best Practices: l’opinione del CIS

Vogliamo essere del tutto trasparenti, non siamo gli unici che pensano all’attività di Vulnerability Assessment come ad un must have.

Ad esempio, CIS ovvero il Center for Internet Security, la comunità globale che protegge le organizzazioni di tutto il mondo dalle minacce informatiche. CIS stabilisce gli standard di sicurezza informatica ai quali dovrebbero adeguarsi tutte le aziende e una delle chicche di quest’organizzazione è la Top 20 Best practices cyber security.

La lista delle migliori pratiche cyber security è pubblica e visibile a tutti sul sito dell’organizzazione. Ugualmente abbiamo deciso di pubblicare nel nostro articolo i primi 5 posti della lista: le prime 5 azioni, sono azioni risolvibili con un Test di Vulnerabilità. 

Benefici dell’attività di monitoraggio

In definitiva, i motivi per cui è importante garantire all’azienda un cyber security scan possono essere così riassunti:

• Garantire la protezione e la sicurezza delle reti e sistemi informatici;
• Prevenire attacchi hacker e infezioni di virus informatici;
• Evitare rallentamenti dell’attività produttiva;
• Risparmiare sui costi necessari al ripristino della funzionalità di reti e sistemi danneggiati;
• Garantire una perfetta compliance dell’azienda al Regolamento GDPR.

Senza contare che, la vostra immagine e la vostra reputazione acquisiranno maggiore importanza: sicurezza e affidabilità sono un ottimo biglietto da visita per un’azienda.

Servizio di Vulnerability Assessment di Onorato Informatica

Più sicuro. Più Innovativo. Progettato da un’azienda certificata ISO 27001 e ISO 9001.

Il Test di vulnerabilità di Onorato Informatica è una garanzia di sicurezza per il tuo core business. Il Test di Vulnerabilità viene eseguito su Rete Interna ed Esterna, dispositivi e device, robot industriali, siti internet e web Application.

Se viene richiesto il servizio di Web Vulnerability Assessment su Software Web e Siti, Onorato Informatica è in grado di rilasciare il Certificato Top 10 OWASP.