Il test di penetrazione misura l'efficacia delle tue misure difensive di sicurezza informatica. E ricorda, la loro efficacia cambia nel tempo, quindi ripeti se necessario. Non c'è niente di adatto e da dimenticare nel mondo della sicurezza informatica.
The Vulnerability-Go-Round
Tutto il software non banale ha dei bug. E c'è software ovunque guardi sulla tua rete, quindi la triste verità è che la tua rete è piena di bug. Non tutti questi bug si tradurranno in una vulnerabilità, ma alcuni lo faranno. E se solo una di queste vulnerabilità viene sfruttata dagli attori delle minacce, la tua rete è compromessa.
I sistemi operativi, le applicazioni software e il firmware del dispositivo sono tutte forme di software. È ovvio che i server e gli endpoint di rete eseguiranno sistemi operativi e applicazioni. Gli elementi che vengono spesso trascurati sono altri dispositivi di rete come firewall, router, punti di accesso wireless e switch. Questi contengono almeno un firmware e spesso anche un sistema operativo integrato. Anche altri dispositivi, come i dispositivi Internet of Things e altri dispositivi intelligenti, hanno firmware, un sistema operativo integrato e alcuni codici applicativi.
Quando vengono scoperte vulnerabilità, i provider responsabili rilasciano patch di sicurezza. Questi contengono correzioni di bug per i bug noti, che eliminano le vulnerabilità note. Ma questo, senza un colpo di fortuna, non farà nulla per correggere eventuali vulnerabilità sconosciute.
Supponiamo che un pezzo di software abbia tre vulnerabilità. Due di loro vengono scoperti e viene rilasciata una patch di sicurezza per risolverli. La terza vulnerabilità, non ancora scoperta, è ancora nel software. Prima o poi, quella vulnerabilità verrà scoperta. Se viene scoperto dai criminali informatici, possono sfruttare tale vulnerabilità in tutti i sistemi che eseguono quella versione del software fino a quando non viene rilasciata una patch dal produttore e gli utenti finali applicano tale patch.
Pubblicità
< p>Ironia della sorte, nuove vulnerabilità possono essere introdotte da patch, aggiornamenti e upgrade. E non tutte le vulnerabilità sono dovute a bug. Alcuni sono dovuti a decisioni di progettazione terribili, come le telecamere CCTV abilitate per il Wi-Fi IoT che non consentivano agli utenti di modificare la password dell'amministratore. Quindi è impossibile dire che i tuoi sistemi sono privi di vulnerabilità. Ma ciò non significa che non dovresti fare il possibile per assicurarti che siano privi di vulnerabilità note.
Test di penetrazione e test di vulnerabilità
Un test di penetrazione è in realtà una vasta suite di test progettati per valutare la sicurezza delle tue risorse IT rivolte all'esterno. Il software specializzato viene utilizzato per identificare metodicamente eventuali vulnerabilità sfruttabili. Lo fa eseguendo numerosi attacchi benigni alle tue difese. Un'esecuzione di test può includere centinaia di diversi test pianificati.
Il test delle vulnerabilità è un tipo di scansione simile, ma viene eseguito all'interno della rete. Cerca lo stesso tipo di vulnerabilità dei test di penetrazione e verifica che le versioni del sistema operativo siano aggiornate e ancora supportate dal produttore. Il test delle vulnerabilità identifica le vulnerabilità che un attore di minacce o un malware potrebbe sfruttare se uno dei due ha avuto accesso alla tua rete.
I report generati da questi test possono essere travolgenti a prima vista. Viene descritta ogni vulnerabilità e viene fornito il numero di vulnerabilità ed esposizioni comuni. Questo può essere usato per cercare la vulnerabilità in uno degli indici di vulnerabilità online. Anche reti modeste possono generare report che si estendono su molte decine di pagine. Per le reti di medie dimensioni, i report possono essere misurati in centinaia di pagine.
Per fortuna, le vulnerabilità sono classificate in base alla loro gravità. Ovviamente, è necessario affrontare prima la priorità più alta, ovvero le vulnerabilità più gravi, quindi le seconde priorità più alta e così via. Le vulnerabilità di livello più basso sono tecnicamente vulnerabilità ma presentano un rischio così basso che sono considerate più un avviso che un elemento obbligatorio da correggere.
A volte, la correzione di una vulnerabilità eliminerà intere fasce di problemi. Un certificato TLS/SSL scaduto o autofirmato può generare un lungo elenco di vulnerabilità. Ma correggere quell'unico problema risolverà tutte le vulnerabilità correlate in un colpo solo.
RELAZIONATO: In che modo i certificati SSL proteggono il Web?
I vantaggi dei test di penetrazione
Il vantaggio più importante che fornisce un test di penetrazione è la conoscenza. Il report consente di comprendere e correggere le vulnerabilità note presenti nelle risorse IT, nella rete e nei siti Web. L'elenco delle priorità ti dice chiaramente quali vulnerabilità affrontare immediatamente, quali affrontare dopo e così via. Assicura che i tuoi sforzi siano sempre diretti alle vulnerabilità rimanenti più gravi. Sicuramente identificherà i rischi che non sapevi di avere, ma ti mostrerà anche, sebbene attraverso prove negative, le aree che sono già strettamente protette.
Pubblicità
Alcuni software di test di penetrazione possono identificare vulnerabilità dovute a problemi di configurazione errata o scarsa igiene della sicurezza informatica, come regole del firewall in conflitto o password predefinite. Si tratta di soluzioni facili, veloci ea basso costo che migliorano immediatamente la tua postura informatica.
Tutto ciò che migliora l'efficacia della tua sicurezza informatica protegge i tuoi dati più sensibili e lavora a favore della tua continuità aziendale. E, naturalmente, prevenire violazioni e altri incidenti di sicurezza ti aiuta anche a evitare multe o azioni legali per la protezione dei dati da parte degli interessati.
Sapere dove erano i tuoi punti deboli—e quali erano—può aiutarti a pianificare e costruire una road map per la tua strategia difensiva. Ciò ti consente di pianificare e dare priorità alle spese per la sicurezza. Ti consente inoltre di individuare le falle nelle procedure della tua politica o nelle aree in cui non vengono rispettate.
Se la tua strategia di patch viene rispettata, le patch di sicurezza e le correzioni di bug dovrebbero essere applicate in modo tempestivo una volta che sono state rilasciate dal produttore. Mantenere tale disciplina eviterà che i tuoi sistemi operativi, applicazioni e firmware restino indietro.
Se la tua organizzazione opera secondo uno standard come il Payment Card Industry Data Security Standard (PCI-DSS) o ISO/EUC 27001 , i test di penetrazione saranno probabilmente un passaggio obbligatorio per la conformità. I fornitori di assicurazioni di responsabilità informatica potrebbero richiederti di condurre una penetrazione prima di offrirti una polizza, oppure potrebbero offrire un premio ridotto se esegui regolarmente test di penetrazione.
Sempre più clienti potenziali ed esistenti chiedono di vedere i risultati di un recente rapporto di test di penetrazione come parte della loro due diligence. Un potenziale cliente deve convincersi che prendi sul serio la sicurezza prima di poterti affidare i suoi dati. I clienti esistenti devono anche accertarsi che i loro attuali fornitori stiano adottando le necessarie precauzioni di sicurezza informatica per evitare di subire un attacco alla catena di approvvigionamento.
It Isn& #8217;una cosa una tantum
Non vorrai che i risultati del tuo primo test di penetrazione escano dalla tua organizzazione. Fai il tuo primo ciclo di test, esegui il lavoro correttivo e poi riprova. Questa seconda serie di test dovrebbe fornire la tua linea di base di lavoro e una serie di risultati che saresti disposto a condividere con parti esterne.
Pubblicità
La penetrazione deve essere ripetuta almeno una volta all'anno. Un ciclo di sei mesi è adatto alla maggior parte delle organizzazioni.