Il tema della sicurezza informatica ormai fa rima con prevenzione, rilevazione e risposta. La valutazione delle vulnerabilità in ambito aziendale è di fondamentale importanza per proteggere il proprio business, i dati dei clienti (spesso personali o sensibili), per offrire garanzie in termini di sicurezza e professionalità all’utenza, per adeguarsi agli adempimenti normativi previsti dal GDPR.
I criminali informatici agiscono su più fronti e adoperano molteplici strumenti diversi tra loro: i loro obiettivi sono la sottrazione di informazioni personali (ad esempio credenziali d’accesso e dati bancari), dati sensibili e segreti industriali; l’apertura di backdoor per poter successivamente accedere all’infrastruttura aziendale in modalità remota; attacchi che possano provocare danni (ad esempio la perdita di dati o il malfunzionamento di apparecchiature industriali) ai concorrenti.
Alcune minacce sono progettate e sviluppate dai criminali informatici per lanciare attacchi su larga scala (si pensi ai ransomware che prendono di mira quanti più utenti possibile per chiedere loro un riscatto in denaro) ma sono in continua crescita anche le aggressioni APT (advanced persistent threat) che prendono di mira un singolo professionista o un’impresa ben precisa.
Vulnerability Assessment come parte integrante della prevenzione e del monitoraggio della rete aziendale
La prevenzione è sempre il primo passo per difendersi dalla stragrande maggioranza degli attacchi informatici nello studio professionale come in azienda, indipendentemente dalla sua dimensione.
Non è raro imbattersi in aziende che fanno uso di sistemi operativi e applicazioni non aggiornati contenenti falle già risolte ma per le quali non sono state installate le corrispondenti patch; che impiegano dispositivi hardware costantemente collegati alla rete Internet (addirittura resi raggiungibili anche dall’esterno) come router, NAS, telecamere di sicurezza, device IoT ma ai quali di frequente non viene riservata l’attenzione che meritano (ad esempio si usano firmware non aggiornati che soffrono di vulnerabilità conclamate). Se non adeguatamente protetti, tali device possono fungere da “testa di ponte” per attaccare l’intera rete.
A queste problematiche si aggiungono “sviste” o vere e proprie défaillance nella configurazione dei dispositivi di rete (mancata segmentazione della rete – ad esempio tramite VLAN -, isolamento dei server e delle macchine che svolgono un ruolo prioritario) e nella gestione degli account utente e dei rispettivi privilegi (accesso a device, risorse e cartelle condivise).
In generale la rete aziendale e i dispositivi ad essa collegati dovrebbero essere resi irraggiungibili dall’esterno ed eventualmente utilizzabili solo previa attivazione di una VPN sicura. Sugli IP pubblici usati dall’azienda non dovrebbero comunque essere esposti servizi non adeguatamente protetti, specie se erogati attraverso dispositivi che non offrono sufficienti garanzie in termini di sicurezza e di configurazione.
L’attività di Vulnerability Assessment ha come fine ultimo proprio quello di analizzare l’infrastruttura di rete e i sistemi ad essa collegati, anche in comunicazione tra più sedi, e rilevare la presenza di punti deboli.
Dovrebbe essere sempre svolta sia esternamente che internamente all’azienda: nel primo caso si possono verificare quali servizi vengono esposti sulla rete Internet e come potrebbero essere sfruttati per sferrare un attacco; nel secondo vengono simulati diversi scenari tra cui il comportamento di un dipendente infedele o l’esecuzione di un componente software malevolo. A questo proposito vengono accertate quali risorse risulterebbero eventualmente accessibili ad aggressioni aventi origine sulle workstation dei collaboratori o su qualunque altro sistema aziendale.
Avvalendosi di consulenti e di strumenti efficaci per le attività di Vulnerability Assessment, i decisori aziendali sono in grado di ottenere una panoramica aggiornata sul livello di sicurezza dei vari asset che compongono l’impresa.
Ma com’è possibile selezionare i professionisti che si occuperanno di svolgere attività di Vulnerability Assessment? E un laboratorio che offra questo tipo di servizio, come può ottenere un attestato di competenza da esibire alla clientela?
Accredia: l’accreditamento come strumento per mettere in sicurezza l’infrastruttura aziendale
L’erogazione e l’acquisizione di servizi di Vulnerability Assessment di tipo professionale assumerà un’importanza sempre più cruciale.
Accredia, l’ente unico nazionale di accreditamento designato dal governo offre ai laboratori l’opportunità di ottenere l’accreditamento secondo la norma internazionale ISO/IEC 17025, per dimostrare al mercato, in maniera oggettiva, una specifica competenza a svolgere servizi di Vulnerability Assessment.
Per il laboratorio, far accreditare da Accredia le prove eseguite in materia di Vulnerability Assessment è una scelta volontaria, come precisato in questa scheda, ma permette di ottenere un’attestazione riconosciuta in Italia e a livello internazionale da esibire ai propri clienti o potenziali tali.
La grande variabilità degli oggetti e dei sistemi che possono essere sottoposti alle prove di Vulnerability Assessment rende particolarmente critico il fattore umano: la competenza e l’esperienza dei tecnici che effettuano le prove è essenziale al fine di ottenere risultati completi e affidabili. Ed è proprio la competenza degli addetti ai test uno degli elementi garantiti da Accredia, attraverso le specifiche verifiche ispettive a cui sono sottoposti i laboratori che vogliono ottenere l’accreditamento.
L’identificazione delle eventuali vulnerabilità avviene infatti sia ricorrendo a tecniche attive (ad esempio il numero di versione che il programma invia nelle risposte), passive o basate sull’inferenza ovvero sulle caratteristiche dei singoli applicativi che essi non possono nascondere. Il resoconto finale dell’attività di analisi sarà destinato sia al management aziendale che allo staff operativo chiamato a porre soluzione alle varie problematiche individuate.
Accredia spiega che l’accreditamento di un laboratorio secondo la norma ISO/IEC 17025 garantisce il possesso dei requisiti di competenza tecnica, dotazione strumentale, garanzia di corretta esecuzione delle procedure di prova, correttezza e completezza dei rapporti di prova rilasciati ai clienti e, non ultimo, il continuo aggiornamento degli stessi allo “stato dell’arte”.
Gli ispettori di Accredia si recano presso la sede del laboratorio che effettua i test di Vulnerability Assessment e, se necessario, presso quella dei clienti dove vengono eseguite le prove, per verificare il rispetto dei requisiti previsti dalla norma e osservare il personale di laboratorio nell’esecuzione dei test, esaminandone i documenti di qualifica e intervistandolo per accertarne la competenza tecnica.
Quando le verifiche svolte dagli ispettori di Accredia hanno esito positivo, il laboratorio ottiene un accreditamento valido per le tipologie di prova descritte nell’allegato tecnico al certificato di accreditamento. Il mantenimento dei requisiti viene inoltre regolarmente verificato, a cadenza almeno annuale, con ripetizione dell’intera procedura di audit e di tutte le verifiche accessorie.
È evidente che l’attestazione di competenza rilasciata al laboratorio dall’Ente unico nazionale di accreditamento designato dallo Stato, qual è Accredia, rappresenta il migliore biglietto da visita per il laboratorio che effettua attività di Vulnerability Assessment. L’esibizione al cliente dell’accreditamento rilasciato da Accredia costituisce dunque garanzia di affidabilità, competenza e professionalità del laboratorio chiamato a verificare il livello di sicurezza della rete aziendale, dei sistemi e dei software utilizzati.
In questa pagina, sul sito di Accredia sono pubblicate informazioni sull’accreditamento dei test di Vulnerability Assessment, i riferimenti alla banca dati contenente i contatti dei laboratori accreditati per le diverse attività, i documenti per i laboratori che vogliono ottenere l’accreditamento.