Malinteso pericoloso: “Non abbiamo vulnerabilità IT”

9. Aprile 2024
| Non ci sono commenti

Condividi post

“Abbiamo preso buone precauzioni e credo che siamo ben protetti”. Questa frase spesso pronunciata crea un falso senso di sicurezza. Sebbene molte aziende abbiano investito nella sicurezza informatica, solo in caso di emergenza scoprono se la resilienza della sicurezza mantiene effettivamente ciò che promette in tutti i settori. Le valutazioni delle vulnerabilità della sicurezza IT e i test di penetrazione sono più importanti che mai.

Studi come quello attuale Rapporto sulle minacce Sophos dimostrano che, nonostante tutti gli sforzi, ci sono ancora troppe scappatoie per i criminali informatici. Quasi il 50% di tutti i casi di malware analizzati hanno preso di mira le piccole e medie imprese e il 90% di tutti gli attacchi informatici comportano il furto di dati o identità. I criminali informatici utilizzano successivamente queste informazioni rubate per ulteriori azioni come l'accesso remoto non autorizzato, l'estorsione o l'installazione di ransomware. Inoltre, i dispositivi IoT non sicuri rappresentano spesso un passaggio per i criminali informatici.

Vulnerabilità non rilevate nell’infrastruttura IT

Il problema raramente sono le soluzioni di sicurezza, ma piuttosto le vulnerabilità non riconosciute nell’infrastruttura IT che non possono essere protette senza una chiara identificazione. Pertanto, sono importanti valutazioni periodiche delle vulnerabilità e test di penetrazione. Solo loro forniscono un feedback affidabile sull’effettivo stato della sicurezza e della cyber resilienza in azienda.

Le valutazioni delle vulnerabilità e i test di penetrazione hanno obiettivi diversi. Secondo il NIST, le valutazioni delle vulnerabilità forniscono una “descrizione formale e una valutazione delle vulnerabilità di un sistema informativo”, mentre i test di penetrazione utilizzano una metodologia “in cui i revisori, in genere lavorando sotto determinati vincoli, tentano di aggirare o superare le caratteristiche di sicurezza di un sistema”. Solo i risultati di entrambe le misure forniscono alle aziende informazioni sui rischi esistenti e consentono di trarre conclusioni su quali priorità dovrebbero essere stabilite nell’eliminazione di questi rischi.

La frequenza di entrambe le misure dipende dal comportamento informatico dell'azienda e dalle normative legali (ad es. settore delle carte di pagamento). Le aziende con basse fluttuazioni tecnologiche (ad es. modifiche del codice, aggiornamenti dell'hardware, modifiche del personale, modifiche della topologia, ecc.) non possono fare a meno dei test, ma con una frequenza inferiore. Le organizzazioni che stanno vivendo un elevato cambiamento tecnologico aumentano la loro resilienza informatica con test più frequenti.

Fasi di valutazione delle vulnerabilità e test di penetrazione

🔎 Commento di John Shier, Field CTO Commercial presso Sophos (Immagine: Sophos).

L'esecuzione di valutazioni delle vulnerabilità e test di penetrazione prevede 12 passaggi chiave: dalla scoperta alla valutazione, alla riparazione e al reporting finale:

  • Definizione dell'ambito: Definire chiaramente l'ambito, inclusi i sistemi, le reti e le applicazioni da testare e eventuali scopi o obiettivi specifici.
  • Esplorazione: Raccolta di informazioni sui sistemi, sulle reti e sulle applicazioni target utilizzando mezzi passivi, come informazioni disponibili al pubblico e tecniche di ingegneria sociale.
  • Scansione delle vulnerabilità: Utilizzo di strumenti automatizzati per verificare la presenza di vulnerabilità note, configurazioni errate e vulnerabilità nei sistemi di destinazione. Ciò può includere sia scansioni interne che esterne.
  • Valutazione di vulnerabilità: Analizza i risultati della scansione delle vulnerabilità per identificare e dare priorità alle vulnerabilità in base alla gravità, all'impatto e alla probabilità di sfruttamento.
  • Test manuali: Condurre test manuali per convalidare e verificare i risultati delle scansioni automatizzate e identificare ulteriori vulnerabilità non rilevate dagli strumenti automatizzati.
  • Test di penetrazione: Sfruttare attivamente le vulnerabilità per valutare il livello di sicurezza dei sistemi, delle reti e delle applicazioni target. Possono essere utilizzate varie tecniche, ad es. B. sfruttamento della rete, attacchi ad applicazioni web e ingegneria sociale.
  • Post-sfruttamento: Una volta stabilito un punto d'appoggio nell'ambiente di destinazione, vengono effettuate ulteriori esplorazioni e vengono aumentati i privilegi per determinare l'entità del danno potenziale che un vero aggressore potrebbe causare.
  • Documentazione: Raccogliere e compilare tutti i risultati, comprese le vulnerabilità scoperte, le tecniche di sfruttamento utilizzate ed eventuali raccomandazioni per la riparazione o la mitigazione.
  • Segnalazione: Produrre un rapporto completo sia per i responsabili della sicurezza che per il management con i risultati della valutazione, incluso un riepilogo, i dettagli tecnici delle vulnerabilità, le valutazioni dei rischi e le raccomandazioni per la riparazione o la mitigazione.
  • Pianificazione delle azioni correttive: Stabilire le priorità e pianificare azioni correttive in base ai risultati della valutazione, nonché alla tolleranza al rischio dell'organizzazione e alle priorità aziendali.
  • Rivalutazione: Condurre valutazioni di follow-up per verificare che le vulnerabilità siano state efficacemente risolte e per garantire che il livello di sicurezza dei sistemi, delle reti e delle applicazioni dell'azienda sia migliorato.
  • Monitoraggio continuo: Implementare processi regolari di monitoraggio e test per identificare e rimediare alle nuove vulnerabilità della sicurezza non appena si presentano.
Maggiori informazioni su Sophos.com

 

A proposito di Sophos

Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.

 

Articoli relativi all'argomento

Malinteso pericoloso: “Non abbiamo vulnerabilità IT”

“Abbiamo preso buone precauzioni e credo che siamo ben protetti”. Questa frase spesso pronunciata crea un falso senso di sicurezza ➡ Leggi di più

Proteggi le superfici di attacco dinamiche nel cloud

Sempre più aziende stanno spostando le risorse digitali nel cloud. Di conseguenza, la superficie di attacco IT si espande e diventa, ➡ Leggi di più

Phishing: ecco come i dipendenti evitano le trappole dei criminali informatici

Negli attacchi di phishing anche un clic sbagliato del mouse può causare danni milionari. Per garantire che i dipendenti prendano la decisione giusta in caso di necessità, ➡ Leggi di più

Aziende tedesche: 4° posto tra le vittime globali di ransomware

La Threat Intelligence Research Division (CPR) di Check Point ha pubblicato il suo rapporto annuale sulla sicurezza informatica 2024. L'edizione di quest'anno prende il ➡ Leggi di più

Malware Apple in aumento

Nel suo rapporto annuale Security 360 per il 2023, Jamf mostra che le minacce malware per ➡ Leggi di più

Il rapporto mostra le PMI nel mirino

Il furto di dati e identità rappresenta la minaccia più grande per le piccole e medie imprese: le PMI. Quasi il 50 per cento ➡ Leggi di più

Minacce informatiche: altro record nel 2023

Il numero di minacce informatiche ha raggiunto un livello record nel 2023. Questo è quanto emerge dal rapporto annuale sulla sicurezza informatica di Trend Micro. Più di 161 ➡ Leggi di più

BSI: Migliaia di server MS Exchange con vulnerabilità critiche

Il BSI – Ufficio federale per la sicurezza informatica – ha messo in guardia più volte in passato sulle vulnerabilità di Exchange ➡ Leggi di più

Messaggi PR, Sophos
, , , ,