Vulnerability Assessment

Guida completa alla Vulnerability Assessment: cosa sono le Vulnerabilità del Software e come si può ripristinare la Sicurezza

Desideri avere una visione completa dell’esposizione dei sistemi aziendali ai rischi connessi alle vulnerabilità?
La Vulnerability Assessment è lo strumento più indicato.
Benché non sia uno strumento nuovo, solo oggi, grazie alla spinta data dal GDPR, le aziende italiane iniziano ad interessarsi di Vulnerability Assessment.
Per questo abbiamo pensato di fornire risposte e spiegazioni ad una serie di domande che ci vengono poste continuamente dai clienti.
Qui potrete trovare l’elenco delle domande più frequenti ed alle quali abbiamo cercato di dare risposta:

  1. A cosa serve la Vulnerability Assessment?
  2. Cosa sono le vulnerabilità?
  3. Cosa ottengo concretamente con una Vulnerability Assessment?
  4. Quanto dura una analisi delle vulnerabilità?
  5. Vulnerability Assessment o Penetration Test?
  6. Ma il vostro servizio può essere utile per le certificazioni aziendali?
  7. Ma la Vulnerability Assessment è obbligatoria per via del GDPR?

Indicaci i recapiti ai quali desideri essere contattato:

Vulnerability Assessment: in cosa consiste?

È naturale per un’azienda esporre servizi sul web. Stiamo parlando di servizi basilari come la posta elettronica per gli utenti che vi accedono da device mobili, il software per imputare la nota spese che è web based e permette di essere rimborsati ai colleghi delle sedi periferiche, il CRM per tracciare e governare le relazioni che manteniamo con ciascun cliente.

Tipicamente questi servizi vengono esposti attraverso un firewall che consente l’accesso dall’esterno a chi è autorizzato ed impedisce a chi non lo è di infilarsi nel perimetro aziendale. Ma capita altrettanto facilmente che i servizi accessibili dal web siano collocati in outsourcing presso fornitori specializzati, che si occupano di fornire hosting specifico. Insomma capita spesso che questi servizi siano posti in ciò che tutti comunemente chiamiamo “il cloud”.
I fornitori sono sovente specializzati su servizi di hosting per prodotti specifici: WordPress, Drupal, Joomla, VTiger, SuiteCRM, applicazioni dot.Net oppure, ancora più spesso sono servizi in cloud specializzati per ospitare soluzioni custom.

Cosa accomuna i servizi in cloud e quelli “in casa”?

Semplicemente il fatto che i servizi siano raggiungibili dall’esterno, potenzialmente da qualsiasi persona.
Vi chiederete: ma come, sono applicazioni sicure! Ci accedono solo le persone autorizzate!
Certo, ammesso e non concesso che le persone che hanno sviluppato l’infrastruttura e i software per questi servizi abbiano fatto del loro meglio per svilupparle, esse sono appunto delle persone e come tali commettono (spesso) degli errori. Rassegnatevi all’idea che le applicazioni possano avere delle vulnerabilità e che qualcuno potenzialmente possa aver voglia di sfruttarle per le ragioni che si leggono sui giornali: rivendita di dati, ricatto, atti ludici di auto-celebrazione, spionaggio industriale, ecc…

Detta questa verità, anche se dura da mandar giù, cosa possiamo concretamente fare?
Possiamo fare di tutto per trovare queste vulnerabilità e porvi rimedio, riportando in sicurezza i sistemi, perché non sia mai che a qualcuno venga in mente di sfruttare delle vulnerabilità note per entrare e compromettere proprio i nostri sistemi.

Un servizio di Vulnerability Assessment è esattamente questo: cerca, individua e segnala le vulnerabilità presenti nei servizi che esponiamo, restituendoci un report contenente tutte le contromisure da prendere e le azioni da implementare per fare in modo di ripristinare la sicurezza informatica dei nostri servizi.

Cosa sono le vulnerabilità?

Lo so, avete messo su un servizio pensando fosse fatto a regola d’arte, invece adesso scoprite che non lo è affatto e che probabilmente contiene errori che possono ritorcersi più contro di voi che contro il produttore.
Lo so, può essere frustrante, ma dovete rassegnarvi, l’uomo non è una macchina perfetta e commette errori, a volte nemmeno per colpa sua, o mancanza di attenzione, e nemmeno per sua omissione. A volte non c’è alcun dolo e nessuna noncuranza.
Per liberarsi da questo pensiero occorre però capire cosa sono le vulnerabilità.
Le vulnerabilità di un software sono degli errori o delle falle di sicurezza che permettono di entrare e prendere il controllo dei sistemi bypassando le difese degli stessi.
Vulnerability Assessment per il GDPRQuindi le vulnerabilità sono come dei passepartout di un albergo. Sono una chiave che permette di entrare in ogni stanza senza scassinare la serratura. Se un ladro si impossessa di una di queste chiavi, può svaligiare ogni stanza senza destare troppi sospetti.

Può capitare che le vulnerabilità emergano per imperizia da qualcuno che ha semplicemente commesso un errore o una non curanza, magari in totale buona fede.
Sì perché magari nel momento in cui è stato sviluppato il software c’erano certe condizioni, poi il software è stato spostato, sono stati aggiunti dei servizi, le librerie disponibili erano di un certo tipo e poi sono cambiati degli standard.

Quindi nella maggior parte dei casi le vulnerabilità non sono da intendere come le “colpe” di qualcuno che non ha fatto bene il suo lavoro, ma naturali difficoltà con cui si deve confrontare chi usa un software.

Per le vulnerabilità non è il caso di andare a cercare il capro espiatorio con cui prendersela, perché spesso non è affatto semplice acclarare delle responsabilità reali. Inoltre chi sviluppa si impegna sempre molto a cercare di non fare errori, solo che a volte questi sono proprio sotto il loro naso e non riesco ad essere visti. Un po’ come quando rileggiamo un nostro testo, capita di non accorgersi di piccoli errori di battitura che per un estraneo sono subito evidenti, ma per noi lo sono meno. Lo stesso avviene per i softwaristi. Per questo è sempre meglio far fare i controlli a ditte esterne, non coinvolte con lo sviluppo perché le loro verifiche saranno scevre da bias cognitivi che impediscono lucidità nella ricerca e nell’individuazione delle vulnerabilità.

Inoltre a volte può essere complesso comprendere l’origine delle vulnerabilità perché i software interagiscono con altri sistemi e magari le vulnerabilità si generano aggiornando uno elemento o quando un elemento dell’intero puzzle viene sostituito o aggiornato.
Ecco perché la ricerca delle vulnerabilità è un processo da ripetere nel tempo e non con una singola azione. Infatti i clienti più interessati alla sicurezza delle informazioni pianificano una serie di Vulnerability Assessment all’anno e non un solo controllo e poi basta.

Cosa ottengo concretamente con una Vulnerability Assessment?

Analisi delle vulnerabilità di un softwareTipicamente quando viene condotta una Vulnerability Assessment è bene verificare che il risultato non sia solo un mero elenco delle vulnerabilità riscontrate.
Questo perché potrebbe essere davvero molto frustrante sapere che ci sono vulnerabilità senza però sapere cosa fare per disinnescare il problema.
È quindi bene verificare che nel report vi siano non solo le vulnerabilità riscontrate, ma anche le azioni da mettere in piedi per rimediare.
In Serverlab, abbiamo scelto di consigliare il servizio di Vulnerability Assessment di Optanex perché fra i nostri partner tecnologici non solo è in grado di identificare le vulnerabilità, non solo ti fornisce l’elenco delle azioni per rimediare, ma ti permette di tradurre con un click le operazioni di ripristino della sicurezza in task precisi e puntuali per gli sviluppatori. Attività che possono essere programmate su Jira di Atlassian, GitHub e Microsoft Team Foundation Server (TFS).

Tutte cose che i tuoi sviluppatori apprezzeranno moltissimo.

Ma non solo questo, infatti può capitare che io riesca ad individuare le vulnerabilità di un servizio senza però essere in grado di sistemarle.
Tutto questo in realtà accade abbastanza spesso, ogni volta che non ci è possibile ricorrere al fornitore che ci ha prodotto il software. Magari è fallito e non sai più a chi rivolgerti. Magari è andato in pensione lo sviluppatore che sapeva fare, la tecnologia è così obsoleta che non è più supportata. Oppure vennero chiesti sviluppi così particolari che non è stato più possibile installare le nuove versioni contenenti i rimedi per le vulnerabilità.

Ecco, a Serverlab è piaciuto che il servizio di Vulnerability Assessment di Optanex offrisse la possibilità di mettere in sicurezza tutte queste situazioni, grazie a una WAF. Un Web Application Firewall che si preoccupa di proteggere il software dagli attacchi ogni volta che non è possibile correggere la vulnerabilità in maniera tradizionale.

Quanto dura una analisi delle vulnerabilità?

La risposta a questa domanda è un grande classico della consulenza: dipende.
La durata di un assessment sulle vulnerabilità dipende dalla complessità dei sistemi da analizzare. A volte bastano 10 giorni a volte ne servono 30, a volte c’è così tanto la analizzare che serve ancora più tempo. Diciamo che normalmente questo il cliente lo conosce prima, dopo una chiacchierata con il consulente che effettua l’analisi.
Il tempo però non è influenzato solo dalla quantità di sistemi da verificare, ma è anche una variabile necessaria per non influenzare la normale attività dei sistemi.
Su questo aspetto siamo sempre molto attenti: meglio metterci qualche giorno in più che rallentare i servizi dell’azienda perché su quelli il nostro cliente basa spesso la sua efficienza.
Un cliente attento potrebbe però chiedersi, ma quindi la Vulnerabilità Assessment è una pratica pericolosa?
La risposta è no, non è un penetration test perciò non c’è nulla da temere per i propri sistemi, ma forse è il caso di approfondire anche questo aspetto.

Indicaci i recapiti ai quali desideri essere contattato:

Vulnerability Assessment o Penetration Test?

Esaminare tutte le potenziali minacce con la Vulnerability AssessmentÈ bene chiarire fin da subito che la Vulnerability Assessment e il Penetration Test sono due cose molto differenti.
Mentre la Vulnerability Assessment serve a verificare la presenza di vulnerabilità in un software e a porre rimedio alle medesime, il penetration test si impegna invece a trovare un modo per entrare nei sistemi.
Mentre il penetration test può a volte causare dei disservizi perché va a condurre dei veri e propri attacchi ai sistemi, la vulnerability assessment non si preoccupa di scardinare nulla, ma semplicemente di verificare la presenza di vulnerabilità.
Insomma, la vulnerabilità assessment condotta a regola d’arte non rallenta i sistemi, non genera disservizi, non richiede alcun ripristino dei servizi.

Ma il vostro servizio può essere utile per le certificazioni aziendali?

I servizi di Vulnerability Assessment che offriamo rispondono ai più esigenti requisiti e possono essere usati per le certificazioni ISO 27001, HIPAA, OWASP Top 10, PCI DSS, etc…

Ma la Vulnerability Assessment è obbligatoria per via del GDPR?

GDPR e Vulnerability AssessmentSe qualcuno vi ha detto questo vi ha detto una inesattezza, perché il GDPR non può indicare prodotti o servizi specifici per due motivi. Il primo è per via del livello a cui opera. È un regolamento europeo e non può parteggiare per qualcuno, ma settare dei principi in cui operare. Il secondo perché i Regolamenti sono scritti per durare nel tempo e non per essere alle dipendenze di tecnologie che per natura hanno una vita bene definita, diventano adottate e poi perdono di utilità.
Ho usato il termine “inesattezza” perché in realtà la Vulnerability Assessment aiuta tantissimo la vostra azienda proprio nel caso in cui vogliate rispettare il GDPR e riconoscere la giusta importanza alle attività volte alla protezione dei dati, andando anche a creare una ottima documentazione comprovante questo vostro impegno e questa vostra dedizione.
A tal proposito vi segnaliamo questo post dal titolo “EU GDPR: Vulnerability Assessment utile per adeguarsi” che riporta una tabella che compara articolo per articolo del GDPR con i benefici portati dalla Vulnerability Assessment.
Da questa lettura semplice comprendere l’aiuto che una scansione delle vulnerabilità possa dare alla GDPR compliance specialmente per tutto quello che concerne la generazione dei report.

Richiedi una quotazione

Contatta il nostro servizio di assistenza e parla con i nostri esperti. Con loro definirei il perimetro dell’intervento, avrai una offerta da valutare e potrai chiedere un test gratuito per saggiare l’efficacia di questo servizio.

Indicaci i recapiti ai quali desideri essere contattato: