Maggior sicurezza informatica e compliance con i Vulnerability assessment

Qualunque sia il tuo campo di attività, il tuo lavoro dipende dalla disponibilità di quegli stessi dati che la tua azienda produce costantemente. 

Non importa quanto tu ritenga la tua azienda informatizzata o comunque dipendente dall’informatica; la realtà è che tutto quello che fai tu, i tuoi collaboratori, i tuoi fornitori e anche i tuoi clienti, passa inderogabilmente attraverso i dati e i sistemi che servono per elaborarli. Motivo per cui il tuo ambiente informatico deve essere ben protetto, aggiornato e gestito coscienziosamente.

Questo indubbiamente lo fai già e, come te, lo fanno migliaia di altri imprenditori e aziende che non possono fare a meno di avere dati e applicazioni sempre disponibili e affidabili. Eppure non basta, come provano le notizie che sempre più spesso vengono riportate dai mezzi d’informazione.

Aziende di ogni settore e dimensione costrette a fermarsi perché i loro sistemi sono stati crittografati dal ransomware. Informazioni sensibili sottratte e messe in vendita sul Dark Web al miglior offerente. Server modificati per scatenare campagne di posta indesiderata (il famigerato spam) o lanciare attacchi DDoS di vario genere per conto terzi. Interi patrimoni di dati resi inutilizzabili o scomparsi per sempre.

Significa, dunque, che le varie soluzioni per la sicurezza informatica non servono a nulla? Assolutamente no, tutt’altro.

La questione è che la tecnologia è qualcosa di fluido, che richiede una costante attività di controllo e monitoraggio con il conseguente aggiornamento dei meccanismi di protezione.

Un ambiente IT non è un edificio fisico le cui caratteristiche sono note, evidenti e immutabili. Considera per esempio la sede della tua azienda: una volta che hai messo in sicurezza tutti i possibili varchi di accesso – porte, finestre e lucernari innanzitutto, oltre a eventuali tunnel di servizio, botole di ispezione e così via – puoi stare tranquillo che non ti capiterà di arrivare una mattina e scoprire l’esistenza di una nuova porta di ingresso venutasi a creare nottetempo a tua insaputa.

Un ambiente IT è invece qualcosa di dinamico, dove sistemi operativi e applicazioni si aggiornano senza sosta per implementare ulteriori funzionalità, migliorare le prestazioni e risolvere inconvenienti. Le loro configurazioni cambiano per riflettere l’aggiunta di nuovi sistemi, nuovi utenti e nuove tecnologie. Anche se continui a usare gli stessi computer per svolgere lo stesso lavoro giorno dopo giorno, puoi stare certo che il tuo ambiente di oggi è cambiato nella sostanza da quello di ieri, e domani cambierà ancora.

Questa evoluzione costante introduce interessanti conseguenze sul lato della sicurezza, poiché è come se l’edificio in cui ti trovi in questo momento cambiasse numero, dislocazione e tipologie di porte e finestre più volte al giorno. Capisci bene che in un caso del genere non potresti sentirti mai al sicuro senza avere qualcuno che tenesse costantemente d’occhio lo svolgersi delle cose, intervenendo di volta in volta con lucchetti, inferriate e allarmi secondo necessità.

Ebbene, questo è proprio lo scopo delle tecniche di vulnerability assessment, o valutazione delle vulnerabilità, nate per controllare senza sosta i tuoi sistemi hardware e software alla ricerca di tutti i punti deboli che possono essersi venuti a creare in seguito ad aggiornamenti, nuove installazioni, modifiche di configurazioni, ecc… – ovvero tutto ciò che, come abbiamo visto, rende irrimediabilmente fluido il tuo ambiente IT.

Vediamo perché tutto questo è importante per te e per la tua attività.

 

Da attività sporadiche di qualche smanettone, gli attacchi informatici sono diventati una vera e propria industria del crimine gestita da bande organizzate, a volte dotate di ramificazioni internazionali, che in genere si specializzano in determinate attività piuttosto che altre. È un mondo parallelo a quello della delinquenza più tradizionale (es. traffico di droga o di esseri umani, ecc…).

Nel sottobosco del cybercrimine abbiamo invece il furto e il traffico di informazioni, lo spionaggio industriale, i ricatti, l’uso di risorse informatiche altrui a fini illeciti e una serie pressoché infinita di truffe e raggiri di ogni genere. È un’industria dai fatturati da capogiro: le perdite complessive a livello globale stimate per il 2021 ammontano a ben 6 trilioni di dollari (tre volte l’intero PIL italiano), di cui una fetta sostanziosa finisce direttamente nelle tasche dei malintenzionati mentre il resto sono danni dovuti a fermi operativi, interventi di ripristino, perdite di commesse e clienti, danni d’immagine ecc…

Di fronte a cifre del genere si capisce bene perché il cybercrimine non smetta di imperversare e, anzi, aumenti costantemente il ritmo delle attività, ricercando nuove vittime in ogni angolo di Internet. Lo dimostra il fatto che questo argomento tocca ormai chiunque si trovi in qualche modo “connesso”, non importa se con un semplice smartphone personale, piuttosto che con un intero datacenter aziendale.

Buona parte delle azioni illecite avviene in maniera del tutto automatica senza guardare in faccia nessuno: una macchina vale l’altra, un indirizzo di rete vale l’altro. Il più debole, il più vulnerabile, soccombe.

Qui si inizia a percepire l’importanza dei sistemi di sicurezza, costruiti e gestiti in modo tale da chiudere tutti i varchi noti e intercettare i tentativi di ricognizione e intrusione esterni (nonché, sempre più spesso, anche comportamenti sospetti provenienti da fonti interne).

Una vulnerabilità attiva può essere sfruttata per portare a termine attacchi mirati o su vasta scala, a seconda del tipo di vulnerabilità e dei sistemi coinvolti. E da qui scaturisce la maggior parte dei problemi visti prima, con interi ambienti IT tenuti in ostaggio dal ransomware ed enormi quantità di dati sottratti ai legittimi proprietari.

Nella pratica osserviamo come gli attaccanti, una volta scoperta una vulnerabilità, si muovano generalmente lungo 3 direttrici principali:

• installazione ed esecuzione di un qualsiasi programma da remoto: dagli effetti ci si accorge subito se il programma in questione è un ransomware; più subdola invece la presenza di programmi che spiano e sottraggono informazioni a poco a poco senza mettersi in evidenza poiché possono agire indisturbati per molto tempo;

• modifica dei database: la possibilità di cambiare direttamente le informazioni su cui si basa l’attività di un’azienda, è particolarmente apprezzata dai cybercriminali. Prova a immaginare cosa accadrebbe se i codici IBAN dei tuoi fornitori venissero improvvisamente modificati per dirottare i tuoi pagamenti a favore di soggetti ignoti;

• interruzione dei servizi essenziali: se le tue attività si bloccano per indisponibilità dei sistemi informativi, il tuo business si paralizza a tempo indeterminato.

Nessuna speranza di riuscire a scamparla, allora? In realtà, come è facile immaginare, la capacità di identificare le vulnerabilità presenti all’interno di un ambiente IT non è di esclusiva pertinenza dei “cattivi”. Esistono infatti professionisti esperti che vanno a caccia di questi punti deboli per neutralizzarli, non certo per svolgere attività illecite.

Questo avviene in 2 modi:

• ricercando i bug nascosti nel codice del software di applicazioni e sistemi operativi;

• ricercando le vulnerabilità insite negli ambienti informatici degli utilizzatori finali, in genere provocate da errori di configurazione, mancanza di aggiornamenti o incompatibilità tra elementi.

La buona notizia è che anche tu puoi avvalertene per rafforzare le tue difese. Un servizio di vulnerability assessment è quel che ti occorre in questo caso.

 

Quando richiedi un servizio di vulnerability assessment – cosa che dovresti fare regolarmente – ottieni l’intervento di un fornitore che dispone competenze specifiche in quest’ambito ed è munito di strumenti di varia natura e complessità che lo aiutano nell’analisi dei tuoi sistemi. Un’attività di vulnerability assessment si svolge in genere attraverso una serie di fasi successive, ciascuna delle quali è strutturata in modo da preparare il terreno a quella che segue.

Definizione del perimetro di intervento. Il primo passo è quello di stabilire i confini dell’ambiente da analizzare. Se un tempo questa attività poteva essere tutto sommato semplice, limitandosi ai PC e ai server presenti in azienda, l’onnipresente connettività di rete odierna ha reso più fumose le 6 frontiere che stabiliscono cosa fa parte di un determinato ambiente e cosa invece no. La questione ha iniziato a complicarsi quando nelle aziende sono entrati i primi dispositivi personali o a utilizzo misto personale/lavorativo – computer portatili, tablet e smartphone – ed è diventata ancora più complessa negli ultimi tempi con la diffusione dei modelli di smart working. Per questo è indispensabile capire innanzitutto quanto si estende un ambiente: una procedura dalla quale emergono spesso le prime sorprese.

Inventario delle macchine e dei dispositivi di rete. Una volta stabilita l’estensione dell’ambiente, è il momento di capire cosa esso contiene. Una procedura che oggi si avvale di tool automatici per far fronte al grande numero e varietà di elementi che si possono trovare agganciati a una rete – anche per i motivi appena detti legati al telelavoro e alla fluidità che questo introduce nel contesto IT di un’azienda. Anche in questa occasione è facile incontrare qualche sorpresa: macchine dimenticate e inutilizzate da anni, dispositivi sconosciuti installati da chissà chi, talvolta anche computer non autorizzati e magari adoperati a fini personali (come il mining di criptovalute). L’inventario permette anche di tracciare una situazione precisa in termini di sistemi operativi presenti e relative versioni, utile sia per programmare eventuali aggiornamenti che per verificare il rispetto delle licenze.

Scansione delle vulnerabilità. Questo è l’aspetto speculare al lavoro di ricognizione che i cybercriminali conducono (manualmente o automaticamente) per riuscire a penetrare nelle reti delle loro potenziali vittime. L’attività è sostanzialmente la stessa, ovviamente le finalità sono l’esatto contrario. La puoi immaginare come una sorta di gara: posto che le vulnerabilità esistono sempre, chi sarà il primo a trovarle? Un malintenzionato o il tuo consulente di vulnerability assessment? Ovviamente la risposta giusta è sempre la prima per tutti coloro che non si curano di eseguire interventi di assessment.

Generazione della reportistica. Sembra qualcosa di scontato, ma non lo è. Il modo in cui vengono prodotti i report sulla base dei dati ottenuti dai passaggi precedenti, è determinante per poter comprendere con precisione lo stato attuale dell’ambiente IT e programmare gli interventi necessari. Di fronte a talune situazioni di obsolescenza, può essere il caso di studiare il passaggio a macchine o applicazioni di nuova generazione, in un solo colpo risolvendo le vulnerabilità e rendendo più efficiente e competitiva l’azienda. Va ricordato anche come un report accurato e ben presentato possa essere sfruttato anche per scopi diversi dalla sicurezza, ad esempio per razionalizzare le risorse di rete, per pianificare eventuali consolidamenti di server e storage, per de-commissionare dispositivi inutili che consumano solo corrente e così via.

Patch e aggiornamenti. Il punto di arrivo di tutta la catena del vulnerability assessment e interessa sia il software che le varie configurazioni di applicazioni, reti, dispositivi ecc… Per questo non ci si può limitare a lanciare le normali procedure di aggiornamento che vengono già suggerite per default da programmi e sistemi operativi, ma è importante affidarsi a professionisti che sono in grado di intervenire anche in aree più delicate e meno evidenti come, per l’appunto, le impostazioni dei vari elementi di un ambiente. Altrettanto importante è anche la capacità di determinare quando un certo aggiornamento debba essere effettuato solamente dopo test specifici che ne assicurino il perfetto funzionamento. Aggiornare alla cieca di fronte a un particolare mix di software e configurazioni può infatti rivelarsi controproducente, richiedendo misure preventive adatte.

 

Puoi pensare alle attività di vulnerability assessment come a una sorta di check-up dello stato di salute del tuo ambiente informatico. Proprio come i check-up medici, anche questo andrebbe ripetuto su base regolare così da tenere sempre il passo con l’evoluzione delle minacce. Le possibilità in questo senso sono molteplici: c’è chi opta per un’analisi continua, chi preferisce farlo a intervalli più o meno frequenti, chi invece richiede interventi di analisi in occasione di modifiche all’ambiente o all’emergere di nuove categorie di rischio. Molto dipende dalle dimensioni e dal tipo di attività di un’azienda, dalle tipologie di sistemi utilizzati e dall’impronta IT esposta all’esterno.

Qualunque sia la tua scelta, un servizio di vulnerability assessment ti aiuterà a essere più tranquillo, moltiplicando l’efficacia dei sistemi di sicurezza informatica di cui già disponi e rispettando la conformità (compliance) a requisiti normativi sempre più stringenti in materia di sicurezza informatica.

 

La sicurezza della tua azienda deve essere garantita da tecnici professionisti sempre aggiornati sui nuovi pericoli e in grado di attuare tutte le procedure corrette per mantenere protetti i punti più a rischio della tua infrastruttura IT. Solo un’analisi puntuale ed approfondita della situazione in essere può far emergere eventuali criticità.

Un partner affidabile come Fastlane può eseguire sia la parte consulenziale di analisi valutativa per determinare gli interventi utili, sia fornire il servizio Security dell’area IT che si occuperà della completa gestione del problema in modalità Managed Service Provider (MSP).
L’outsourcing dell’intera area IT, oppure anche di una parte di essa, è uno strumento affidabile ed economicamente vantaggioso per la gestione degli aspetti informatici aziendali.