Una delle regole non scritte, ma assolutamente chiare, per tutto lo staff di Serverlab è che chi controlla è meglio che non abbia scritto il software. Infatti se chiedo all’oste “il tuo vino è buono?”, quale risposta potrò mai ricevere?
Quando si esegue un Vulnerability Assessment, noto anche come Vulnerability Scan, si deve fare in modo da tenere ben separato chi ha creato l’applicazione o il software da testare da chi dovrà poi analizzarlo. Io penso sia per una questione di buon senso operativo, chi scrive un software potrebbe avere problemi a riconoscere i propri errori e le vulnerabilità intrinseche del proprio software o dell’architettura realizzata.
Serverlab per questa ragione si affida a partner esterni qualificati. Perché chi come noi realizza infrastrutture è bene che non le debba anche controllare.
Benché non sia uno strumento nuovo, negli ultimi anni le richieste di Vulnerability Assessment si sono moltiplicate. Per questo abbiamo pensato di radunare in questa news le domande che ci vengono poste più frequentemente. Se ne ho scordata qualcuna fammelo sapere sarò felice di aggiungerla.
- A cosa serve la Vulnerability Assessment?
- Cosa sono le vulnerabilità?
- Cosa ottengo concretamente con una Vulnerability Assessment?
- Quanto dura una analisi delle vulnerabilità?
- Vulnerability Assessment o Penetration Test?
- Ma il vostro servizio può essere utile per le certificazioni aziendali?
- Ma la Vulnerability Assessment è obbligatoria per via del GDPR?
Vulnerability Assessment: in cosa consiste?
È naturale per un’azienda esporre servizi sul web. Stiamo parlando di servizi basilari come la posta elettronica per gli utenti che vi accedono da device mobili, ad esempio il software della nota spese che è web based, oppure il CRM che ci aiuta a tracciare e governare le relazioni che manteniamo con ciascun cliente.
Tipicamente questi servizi vengono esposti attraverso un firewall che consente l’accesso dall’esterno a chi è autorizzato ed impedisce a chi non lo è di infilarsi nel perimetro aziendale. Capita altrettanto facilmente che i servizi accessibili dal web siano collocati in outsourcing presso fornitori specializzati, che si occupano di fornire hosting specifico. Insomma capita spesso che questi servizi siano posti in ciò che tutti comunemente chiamiamo “il cloud”. I fornitori sono sovente specializzati su servizi di hosting per prodotti specifici: WordPress, Drupal, Joomla, VTiger, SuiteCRM, applicazioni dot.Net oppure, ancora più spesso sono servizi in cloud specializzati per ospitare soluzioni custom.
Cosa accomuna i servizi in cloud e quelli “in casa”?
Semplicemente il fatto che questi servizi sono raggiungibili dall’esterno, potenzialmente da qualsiasi persona. Vi chiederete: ma come, sono applicazioni sicure! Ci accedono solo le persone autorizzate! Certo, ammesso e non concesso che le persone che hanno sviluppato l’infrastruttura e i software per questi servizi abbiano fatto del loro meglio per svilupparle. Ecco parliamo appunto delle persone che come tali commettono (a volte) degli errori. Ci si deve rassegnare all’idea che le applicazioni possano avere delle vulnerabilità e che qualcuno potenzialmente possa aver voglia di sfruttarle per una delle tante ragioni che si leggono sui giornali: rivendita di dati, ricatto, atti ludici di auto-celebrazione, spionaggio industriale, ecc… Detta questa verità, anche se dura da mandar giù, cosa possiamo concretamente fare? Possiamo organizzarci per trovare queste vulnerabilità e porvi rimedio, riportando in sicurezza i sistemi, perché non sia mai che a qualcuno venga in mente di sfruttare delle vulnerabilità note per entrare e compromettere proprio i nostri sistemi.
Un servizio di Vulnerability Assessment è esattamente questo: cerca, individua e segnala le vulnerabilità presenti nei servizi che esponiamo, restituendoci un report contenente tutte le contromisure da prendere e le azioni da implementare per fare in modo di ripristinare la sicurezza informatica dei nostri servizi.
Un servizio di Vulnerability Assessment non è un’analisi fatta una tantum, ma attività di verifica fatta con una frequenza costante che va stabilita in base a diversi fattori.
Cosa sono le vulnerabilità?
Lo so, avete messo su un servizio pensando fosse fatto a regola d’arte, invece adesso scoprite che non lo è affatto e che probabilmente contiene errori che anzi possono ritorcersi sia contro di voi che contro il vostro produttore. Lo so, può essere frustrante, ma dovete rassegnarvi, l’uomo non è una macchina perfetta e commette errori, a volte nemmeno per colpa sua, o mancanza di attenzione, e nemmeno per sua omissione. A volte non c’è alcun dolo e nessuna noncuranza. Per liberarsi da questo pensiero occorre però capire cosa sono le vulnerabilità. Le vulnerabilità di un software sono degli errori o delle falle di sicurezza che permettono di entrare e prendere il controllo dei sistemi bypassando le difese degli stessi. Quindi le vulnerabilità sono come dei passepartout di un albergo. Sono una chiave che permette di entrare in ogni stanza senza scassinare la serratura. Se un ladro si impossessa di una di queste chiavi, può svaligiare ogni stanza senza destare troppi sospetti.
Può capitare che le vulnerabilità emergano per imperizia da qualcuno che ha semplicemente commesso un errore o una non curanza, magari in totale buona fede. Sì perché magari nel momento in cui è stato sviluppato il software c’erano certe condizioni, poi il software è stato spostato, sono stati aggiunti dei servizi, le librerie disponibili erano di un certo tipo e poi sono cambiati degli standard.
Quindi nella maggior parte dei casi le vulnerabilità non sono da intendere come le “colpe” di qualcuno che non ha fatto bene il suo lavoro, ma naturali difficoltà con cui si deve confrontare chi usa un software.
Per le vulnerabilità non è il caso di andare a cercare il capro espiatorio con cui prendersela, perché spesso non è affatto semplice acclarare delle responsabilità reali. Inoltre chi sviluppa si impegna sempre molto a cercare di non fare errori, solo che a volte questi sono proprio sotto il loro naso e non riesco ad essere visti. Un po’ come quando rileggiamo un nostro testo, capita di non accorgersi di piccoli errori di battitura che per un estraneo sono subito evidenti, ma per noi lo sono meno. Lo stesso avviene per i softwaristi. Per questo è sempre meglio far fare i controlli a ditte esterne, non coinvolte con lo sviluppo perché le loro verifiche saranno scevre da bias cognitivi che impediscono lucidità nella ricerca e nell’individuazione delle vulnerabilità. Inoltre a volte può essere complesso comprendere l’origine delle vulnerabilità perché i software interagiscono con altri sistemi e magari le vulnerabilità si generano aggiornando uno elemento o quando un elemento dell’intero puzzle viene sostituito o aggiornato. Ecco perché la ricerca delle vulnerabilità è un processo da ripetere nel tempo e non con una singola azione. Infatti i clienti più interessati alla sicurezza delle informazioni pianificano una serie di Vulnerability Assessment all’anno e non un solo controllo e poi basta.
Cosa ottengo concretamente con una Vulnerability Assessment?
Tipicamente quando viene condotta una Vulnerability Assessment è bene verificare che il risultato non sia solo un mero elenco delle vulnerabilità riscontrate. Questo perché potrebbe essere davvero molto frustrante sapere che ci sono vulnerabilità senza però sapere cosa fare per disinnescare il problema. È quindi bene verificare che nel report vi siano non solo le vulnerabilità riscontrate, ma anche le azioni da mettere in piedi per rimediare. I partner tecnologici di Serverlab non sono solo è in grado di identificare le vulnerabilità ma forniscono l’elenco delle azioni per rimediare. Questo permette di tradurre con un click le operazioni di ripristino della sicurezza in task precisi e puntuali per gli sviluppatori. Attività che possono essere programmate su Jira di Atlassian, GitHub e Microsoft Team Foundation Server (TFS).
Tutte cose che i tuoi sviluppatori apprezzeranno moltissimo.
Ma non solo questo, infatti può capitare che io riesca ad individuare le vulnerabilità di un servizio senza però essere in grado di sistemarle.
Tutto questo in realtà accade abbastanza spesso, ogni volta che non ci è possibile ricorrere al fornitore che ci ha prodotto il software. Magari è fallito e non sai più a chi rivolgerti. Magari è andato in pensione lo sviluppatore che sapeva fare, la tecnologia è così obsoleta che non è più supportata. Oppure sono stati chiesti sviluppi così particolari che non è stato più possibile installare le nuove versioni contenenti i rimedi per le vulnerabilità.
Ecco, a Serverlab è piaciuto che il servizio di Vulnerability Assessment di Optanex offrisse la possibilità di mettere in sicurezza tutte queste situazioni, grazie a una WAF. Un Web Application Firewall che si preoccupa di proteggere il software dagli attacchi ogni volta che non è possibile correggere la vulnerabilità in maniera tradizionale.
Quanto dura una analisi delle vulnerabilità?
La risposta a questa domanda è un grande classico della consulenza: dipende.
La durata di un assessment sulle vulnerabilità dipende dalla complessità dei sistemi da analizzare. A volte bastano 10 giorni a volte ne servono 30, a volte c’è così tanto la analizzare che serve ancora più tempo. Diciamo che normalmente questo il cliente lo conosce prima, dopo una chiacchierata con il consulente che effettua l’analisi. Il tempo però non è influenzato solo dalla quantità di sistemi da verificare, ma è anche una variabile necessaria per non influenzare la normale attività dei sistemi. Su questo aspetto siamo sempre molto attenti: meglio metterci qualche giorno in più che rallentare i servizi dell’azienda perché su quelli il nostro cliente basa spesso la sua efficienza. Un cliente attento potrebbe però chiedersi, ma quindi la Vulnerabilità Assessment è una pratica pericolosa? La risposta è no, non c’è nulla da temere per i propri sistemi, ma forse è il caso di approfondire anche questo aspetto.
Vulnerability Assessment o Penetration Test?
È bene chiarire fin da subito che la Vulnerability Assessment e il Penetration Test sono due cose differenti. Mentre la Vulnerability Assessment serve a verificare la presenza di vulnerabilità in un software e a porre rimedio alle medesime, il penetration test si impegna invece a trovare un modo per entrare nei sistemi. Mentre il penetration test può a volte causare dei disservizi perché va a condurre dei veri e propri attacchi ai sistemi, la vulnerability assessment non si preoccupa di scardinare nulla, ma semplicemente di verificare la presenza di vulnerabilità.
La vulnerability assessment condotta a regola d’arte non rallenta i sistemi, non genera disservizi, non richiede alcun ripristino dei servizi.
La Vulnerability Assessment non è un’analisi fatta una tantum, ma attività di verifica che va fatta con una frequenza costante.
Ma questo servizio può essere utile per le certificazioni aziendali?
I servizi di Vulnerability Assessment che offriamo rispondono ai più esigenti requisiti e possono essere usati per le certificazioni ISO 27001, HIPAA, OWASP Top 10, PCI DSS, etc…
Ma la Vulnerability Assessment è obbligatoria per via del GDPR?
Se qualcuno vi ha detto questo vi ha detto una inesattezza, perché il GDPR non può indicare prodotti o servizi specifici per due motivi. Il primo è per via del livello a cui opera. È un regolamento europeo e non può parteggiare per qualcuno, ma settare dei principi in cui operare. Il secondo perché i Regolamenti sono scritti per durare nel tempo e non per essere alle dipendenze di tecnologie che per natura hanno una vita bene definita, diventano adottate e poi perdono di utilità. La Vulnerability Assessment aiuta tantissimo la vostra azienda a rispettare il GDPR e a riconoscere la necessaria importanza alle attività volte alla protezione dei dati, contribuendo anche a creare una ottima documentazione comprovante questo vostro impegno.
Richiedi una quotazione
Contatta il nostro servizio di assistenza anche via chat e parla con uno dei nostri esperti. Ti aiuteremo a definire il perimetro dell’intervento e ti indirizzeremo verso i nostri partner specializzati.