In gergo vengono chiamati penetration test o “pentest”. Al di là del termine usato, i test di sicurezza rappresentano uno degli architravi nella progettazione di un sistema di cyber security efficace. Il loro scopo è quello di passare ai raggi X l’infrastruttura IT per individuare eventuali vulnerabilità che potrebbero essere sfruttate dai cyber criminali per fare breccia nei sistemi. Un’attività preziosissima, che richiede veri specialisti e un approccio che consenta di battere sul tempo i pirati informatici.
Gli specialisti dei test di sicurezza informatica
Per eseguire un test di sicurezza informatica veramente efficace, non è sufficiente rivolgersi a un tecnico specializzato e nemmeno a un esperto di sicurezza. È necessario avvalersi di professionisti in grado di pensare “fuori dagli schemi”, che siano dotati di quell’inventiva che permetta loro di riprodurre attacchi con le stesse caratteristiche di veri pirati informatici. Stiamo parlando dei cosiddetti “hacker etici” o “white hat”, veri fenomeni dell’hacking che sono in grado di individuare tutti i possibili anelli deboli e consentire così di rinforzare le protezioni a livello informatico prima che qualcun altro possa approfittarne. La loro attività si svolge attraverso una vera e propria simulazione di attacco, in cui gli è consentito utilizzare qualsiasi tecnica (rigorosamente non distruttiva) per violare il network o i computer aziendali. La logica, insomma, è simile a quella di chi assolda un ladro professionista per mettere alla prova il sistema antifurto di un edificio.
Test di sicurezza informatica, non è solo una questione tecnica
L’obiettivo di un test di sicurezza informatica non è solo quello di individuare vulnerabilità in senso stretto, come componenti software non aggiornati o impostazioni inadeguate degli strumenti digitali. L’ambito di analisi, in realtà, è molto più ampio e comprende, per esempio, le procedure e le policy adottate in azienda. L’arma principale nelle mani dei pirati (che gli hacker etici non esiteranno a usare) è in questo caso chiamata social engineering (ingegneria sociale) e consiste in quei “trucchetti” che non hanno nulla a che fare con software e righe di codice, ma consentono ai pirati informatici di avere una posizione di vantaggio. La più banale (ma è solo un esempio) è quella di contattare telefonicamente un impiegato spacciandosi per un addetto all’amministrazione IT e carpirgli le credenziali di accesso ai servizi o, comunque, informazioni utili per violare i sistemi dell’azienda. Anche un attacco che prenda di mira il dispositivo personale di un dipendente, strategia spesso adottata dai pirati informatici, rappresenta un ambito “lecito” per l’attività della squadra rossa. In alcuni casi, e a seconda di quanto concordato con l’azienda in fase di pianificazione del test di sicurezza informatica, agli hacker etici può anche essere concesso di tentare di violare fisicamente gli uffici. D’altra parte, la distinzione tra sicurezza fisica e sicurezza informatica, nel panorama attuale, è diventata qualcosa di estremamente sfumato. Insomma: più ampio sarà il margine d’azione concesso loro, più efficace (e produttivo) sarà il test.
La logica della squadra rossa nei test di sicurezza informatica
In questa specie di gioco di ruolo, gli hacker etici interpretano la parte del red team, ossia la parte dei “cattivi”. E lo fanno sfruttando qualsiasi strumento trovino a loro disposizione. Affinché la simulazione sia utile, i pentester devono quindi essere aggiornati su tutte le nuove tecniche di attacco e, in molti casi, essere addirittura un passo avanti ai cyber criminali. Per questo motivo gli hacker etici sono una figura in cui la formazione continua, che avviene anche attraverso attività di intelligence sui forum dedicati all’hacking e sul dark web, ha un’importanza fondamentale. Insomma: gli addetti ai test di sicurezza informatica devono saper agire anche come “infiltrati” per individuare le nuove tendenze e conoscere le strategie più avanzate disponibili nei bassifondi di Internet. Un valore aggiunto per muoversi più facilmente in questi luoghi, sono anche le competenze linguistiche (in particolare la conoscenza della lingua russa, in quanti moltissimi forum “underground” sono in lingua cirillica) per potersi muovere con disinvoltura nei bassifondi di Internet. Cyberoo, per il suo servizio di Cyber Security Suite si appoggia a una struttura con sede a Kiev, animata da un team di “white hat” con una specifica formazione universitaria e un’esperienza sviluppata sul campo che viene aggiornata costantemente attraverso un processo di formazione continua.
Test cyber security: non basta farlo una volta sola
Come non si stancano di ripetere gli esperti di sicurezza informatica di tutto il mondo, la cyber security non è un adempimento, ma un processo. Il mondo dell’informatica, infatti, è in costante evoluzione e allo stesso modo lo sono le tecniche di attacco. La dimostrazione arriva da ciò che è accaduto negli ultimi anni, in cui l’affermazione delle piattaforme cloud come strumento principale per ospitare risorse e servizi hanno modificato radicalmente la struttura IT utilizzata dalle aziende. Un’evoluzione che ha portato all’emersione di nuove vulnerabilità e che ha spostato il baricentro anche per quanto riguarda il contrasto degli attacchi informatici. In un periodo brevissimo, infatti, l’attenzione si è spostata dalla difesa del “perimetro aziendale” a una maggiore attenzione rivolta alla gestione degli accessi, all’analisi del comportamento degli utenti (user behaviour) e al monitoraggio delle comunicazioni. Insomma: un test di cyber security è utile se viene ripetuto periodicamente per verificare il livello di sicurezza nelle nuove condizioni in cui operano i lavoratori e i collaboratori.
Test di sicurezza informatica in azienda e sviluppo delle policy
Nell’ottica di un’impresa, i penetration test non rappresentano solo un prezioso strumento per verificare l’efficacia degli strumenti di protezione dagli attacchi informatici. In una visione olistica della cyber security, il test di sicurezza informatica in azienda consente anche di verificare il rapporto tra procedure, policy e struttura aziendale in rapporto alla sicurezza. Oltre a verificare l’adesione agli standard e le eventuali vulnerabilità, infatti, questo tipo di attività è in grado di mettere in luce eventuali problemi legati ai flussi di lavoro, che per loro natura incidono in maniera decisiva sulla sicurezza nel trattamento dei dati. I risultati dei test possono mettere in evidenza, per esempio, situazioni in cui la stessa organizzazione aziendale impedisce di adottare logiche di security by design, come la filosofia “least privilege” che prevede la compartimentazione degli accessi alle informazioni sulla base delle mansioni aziendali. Insomma: le informazioni che si ottengono attraverso i test di sicurezza informatica in azienda possono diventare le fondamenta su cui organizzare il workflow nel trattamento dei dati e dare così una maggiore solidità all’intero impianto.
