Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cosa sono i Vulnerability Assessment. Un viaggio nelle scansioni automatizzate delle vulnerabilità del software

Redazione RHC : 11 Aprile 2023 07:50

Un vulnerability assessment, in italiano “valutazione delle vulnerabilità”, è un processo di valutazione dei sistemi informatici, delle reti e delle applicazioni che indica eventuali vulnerabilità che potrebbero essere sfruttate dagli attaccanti per compromettere la sicurezza del sistema.

L’obiettivo principale della valutazione delle vulnerabilità è quello di individuare i punti deboli del sistema e di mitigare i rischi di un attacco.

In questo articolo, esamineremo i diversi tipi di vulnerability assessment, le fasi coinvolte nella valutazione delle vulnerabilità, gli strumenti utilizzati per eseguire la valutazione e il processo che generalmente viene utilizzato. Discuteremo anche l’importanza della valutazione delle vulnerabilità per la sicurezza delle organizzazioni e delle società.

Cos’è un Vulnerability Assessment

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011 per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Il Vulnerability Assessment (VA) è un processo per identificare e valutare le vulnerabilità della sicurezza presenti nei sistemi informatici. Questo processo consiste nella scansioni automatizzate e nella valutazione delle vulnerabilità presenti in un sistema, con l’obiettivo di individuare e correggere le vulnerabilità che possono essere sfruttate da un attaccante.

Il Vulnerability Assessment viene utilizzato dalle organizzazioni per identificare le vulnerabilità presenti nei loro sistemi informatici, e per prendere le necessarie contromisure per mitigare i rischi. Questo processo è importante per la sicurezza delle organizzazioni, in quanto le vulnerabilità possono essere sfruttate dagli attaccanti per accedere ai dati sensibili e causare danni alle infrastrutture IT.

Il processo di Vulnerability Assessment inizia con la scansioni automatizzate del sistema, utilizzando strumenti software specializzati, chiamati Vulnerability Scanner. Questi scanner esaminano il sistema per individuare le vulnerabilità, come falle di sicurezza nel sistema operativo, applicazioni web, database, firewall e altri componenti del sistema.

Una volta completata la scansione, il Vulnerability Assessment continua con la valutazione delle vulnerabilità individuate, per determinare la loro gravità e il rischio associato. Questa valutazione viene eseguita utilizzando metriche standard come il Common Vulnerability Scoring System (CVSS), che consente di classificare le vulnerabilità in base alla loro gravità e alla loro rilevanza per l’organizzazione.

Una volta identificate le vulnerabilità, il Vulnerability Assessment consente all’organizzazione di prendere le necessarie misure correttive per mitigare i rischi. Queste misure possono includere l’applicazione di patch per correggere le vulnerabilità, l’implementazione di controlli di sicurezza supplementari, l’aggiornamento dei software e l’eliminazione delle vulnerabilità attraverso attività di Hardening.

Tipi di vulnerability assessment

Esistono diversi tipi di vulnerability assessment, ciascuno dei quali si concentra su un aspetto diverso della valutazione delle vulnerabilità. I quattro tipi principali sono:

Vulnerability assessment infrastrutturale esterno

Un vulnerability assessment infrastrutturale esterno è un processo di valutazione delle vulnerabilità che mira ad analizzare la sicurezza di un sistema dalla prospettiva di un utente che accede ai servizi da rete internet, come ad esempio un criminale informatico. L’obiettivo principale della valutazione esterna è quello di individuare le vulnerabilità che possono essere sfruttate da un attaccante per accedere al sistema e compromettere la sua sicurezza.

Vulnerability assessment infrastrutturale interno

Un vulnerability assessment interno è un processo di valutazione delle vulnerabilità che mira ad analizzare la sicurezza di un sistema dalla prospettiva di un utente residente all’interno della rete intranet aziendale, come ad esempio un dipendente dell’organizzazione. L’obiettivo principale della valutazione interna è quello di individuare le vulnerabilità che possono essere sfruttate da un utente interno per accedere a dati o funzionalità a cui non dovrebbe avere accesso.

Vulnerability assessment su larga scala (o Global VA)

Un vulnerability assessment a larga scala è un processo di valutazione delle vulnerabilità che analizza un ampio numero di sistemi in un’organizzazione che viene anche spesso chiamato “Global VA”. L’obiettivo principale della valutazione su larga scala è quello di individuare le vulnerabilità comuni che possono essere presenti in diversi sistemi e applicazioni e quindi mitigare i rischi per l’intera organizzazione.

Vulnerability assessment applicativo

Un vulnerability assessment a livello applicativo è un processo di valutazione delle vulnerabilità che si concentra sulla sicurezza delle applicazioni web o mobile. L’obiettivo principale è la valutazione a livello applicativo delle vulnerabilità che possono essere sfruttate da un attaccante per accedere ai dati sensibili o compromettere la sicurezza dell’applicazione.

Modalità di assessment Black Box e White Box

Nei Vulnerability Assessment, esistono due tipi di modalità principali: Black Box e White Box. Entrambe le modalità sono utilizzate per identificare le vulnerabilità presenti in un sistema, ma utilizzano tecniche e approcci diversi.

Black Box Assessment

Nel Black Box Assessment, lo scanner ha accesso solo all’interfaccia pubblica del sistema, senza conoscere i dettagli della configurazione e dell’implementazione interna. Questa modalità di assessment simula l’approccio di un attaccante, che generalmente non ha accesso alle informazioni del sistema.

Tuttavia, questa modalità di assessment potrebbe non essere in grado di identificare tutte le vulnerabilità presenti nel sistema, in quanto lo scanner non ha accesso alle informazioni dettagliate.

White Box Assessment

Nel White Box Assessment, lo scanner ha accesso al sistema in quanto dispone di una utenza o di una password per accedere in modo automatizzato al servizio, come ad esempio una web application o un sistema operativo.

Questa modalità di assessment simula l’approccio di un amministratore di sistema o di un dipendente che ha accesso alle informazioni interne del sistema. Questa modalità di assessment è in grado di identificare tutte le vulnerabilità presenti nel sistema, inclusi quelli che potrebbero essere nascosti o difficili da rilevare, anche se generalmente introduce falsi negativi.

Fasi del Vulnerability Assessment

Sebbene si tratti di processi automatizzati che fanno ricorso agli scanner, il processo di Vulnerability Assessment richiede un effort manuale da parte degli specialisti di sicurezza, soprattutto per raccogliere le informazioni. La valutazione delle vulnerabilità comprende diverse fasi, ciascuna delle quali è importante per individuare e mitigare i rischi per il sistema. Le fasi principali sono:

Raccolta delle informazioni (o information gathering)

La prima fase della valutazione delle vulnerabilità è la raccolta delle informazioni, in cui gli esperti di sicurezza raccolgono tutte le informazioni necessarie per analizzare il sistema. Questo include l’identificazione dei sistemi e delle applicazioni presenti nella rete, l’identificazione degli IP address e degli entry point web del sistema da analizzare e la valutazione delle configurazioni e l’analisi dei requisiti di sicurezza.

Scansione

La fase successiva è la scansione, in cui gli esperti di sicurezza utilizzano strumenti automatizzati per identificare le vulnerabilità nel sistema. Questi strumenti esaminano i sistemi e le applicazioni per individuare eventuali punti deboli e verificare se sono presenti patch di sicurezza.

Analisi delle vulnerabilità

Dopo la scansione, gli esperti di sicurezza analizzano e valutano le informazioni raccolte dallo scanner relative alle vulnerabilità presenti nel sistema. Questa fase comprende l’analisi dei risultati delle scansioni e la verifica delle informazioni raccolte nella fase di raccolta delle informazioni.

Valutazione del rischio

Una volta identificate le vulnerabilità, gli esperti di sicurezza valutano il rischio associato a ciascuna vulnerabilità. Questa fase prevede la valutazione della gravità delle vulnerabilità e la loro probabilità di essere sfruttate da un attaccante.

Prioritizzazione delle vulnerabilità

In base alla valutazione del rischio, gli esperti di sicurezza determinano le vulnerabilità che richiedono un’azione immediata e quelle che possono essere mitigati successivamente. Questa fase prevede la prioritizzazione delle vulnerabilità in base alla loro gravità (generalmente la severity presente nella metrica CVSS) e alla loro probabilità di essere sfruttate.

Report

L’ultima fase della valutazione delle vulnerabilità è la creazione di un report dettagliato che riporta tutte le vulnerabilità identificate, il loro grado di rischio e le raccomandazioni per mitigare i rischi. Il report fornisce anche informazioni sulle azioni che devono essere intraprese da parte delle funzioni competenti per migliorare la sicurezza del sistema.

L’importanza della valutazione delle vulnerabilità per la sicurezza delle organizzazioni

La valutazione delle vulnerabilità è un aspetto critico della sicurezza informatica delle organizzazioni. Le organizzazioni che non eseguono regolarmente la valutazione delle vulnerabilità sono vulnerabili agli attacchi informatici e alle violazioni dei dati. Una valutazione delle vulnerabilità accurata può aiutare le organizzazioni a identificare e mitigare i rischi per il sistema e a migliorare la sicurezza complessiva.

La valutazione delle vulnerabilità aiuta le organizzazioni a individuare le vulnerabilità prima che possano essere sfruttate da un attaccante. Inoltre, la valutazione delle vulnerabilità aiuta le organizzazioni a garantire che il loro sistema sia conforme ai requisiti di sicurezza. Le organizzazioni che operano in settori altamente regolamentati, come il settore bancario e sanitario, sono tenute a conformarsi a norme specifiche di sicurezza. La valutazione delle vulnerabilità aiuta queste organizzazioni a verificare che il loro sistema sia conforme a queste norme.

La valutazione delle vulnerabilità è importante anche perché consente alle organizzazioni di prendere decisioni su come affrontare la sicurezza del sistema. La valutazione delle vulnerabilità fornisce informazioni sulle vulnerabilità presenti nel sistema e sulle misure di mitigazione necessarie per ridurre i rischi.

Perché un Vulnerability Assessment non è un Penetration Test

Spesso si fa molta confusione, soprattutto dai non addetti al lavoro, scambiando attività di Vulnerability Assessment per Penetration Test e vice versa.

Un Vulnerability Assessment e un Penetration Test sono due attività di sicurezza informatica che hanno obiettivi e metodi diversi. Un Vulnerability Assessment si concentra sull’identificazione e l’analisi delle vulnerabilità del sistema ed è un processo automatizzato, mentre un penetration test cerca di verificare la capacità di un attaccante di penetrare nel sistema attraverso un processo manuale.

In un vulnerability assessment, i tester eseguono una scansione completa del sistema per identificare tutte le vulnerabilità potenziali. Le vulnerabilità vengono poi valutate in base alla loro gravità e al rischio che rappresentano per la sicurezza del sistema. Una volta individuate le vulnerabilità, i tester forniscono un elenco delle vulnerabilità riscontrate e le raccomandazioni per la loro mitigazione.

In un penetration test, i tester cercano di simulare un attacco informatico reale, cercando di penetrare nel sistema e ottenere l’accesso non autorizzato utilizzando una serie di vulnerabilità concatenate tra loro. I tester utilizzano tecniche avanzate di hacking per tentare di superare le misure di sicurezza del sistema e accedere ai dati sensibili. Il penetration test è progettato per testare la resilienza del sistema alle minacce informatiche reali.

Mentre un vulnerability assessment si concentra sull’identificazione e l’analisi delle vulnerabilità del sistema, un penetration test cerca di verificare se queste vulnerabilità possono essere sfruttate da un attaccante anche correlandole tra di loro. Un vulnerability assessment può fornire informazioni utili sulla sicurezza del sistema, ma non è in grado di testare la sua resilienza alle minacce reali. Un penetration test, d’altra parte, può fornire una valutazione più completa della sicurezza del sistema, ma richiede un approccio più avanzato e sofisticato.

Non fermarti alle vulnerabilità infrastrutturali, scansiona anche le web application

Molte organizzazioni che conducono vulnerability assessment si concentrano sulla valutazione delle vulnerabilità infrastrutturali, come le vulnerabilità del sistema operativo, del firewall o dei server web. Tuttavia, spesso queste organizzazioni trascurano le vulnerabilità delle applicazioni web, che sono altrettanto importanti.

Le applicazioni web sono vulnerabili a una vasta gamma di attacchi, come le Remote Code Execution (RCE), gli attacchi SQL injection e i cross-site scripting (XSS), che possono consentire a un attaccante di accedere ai dati sensibili o compromettere l’intero sistema. Inoltre, le applicazioni web spesso sono il primo punto di ingresso per gli attaccanti, poiché possono essere accessibili da qualsiasi luogo tramite Internet.

Per questo motivo, è importante includere la scansione delle applicazioni web come parte della valutazione delle vulnerabilità. Le scansioni delle applicazioni web possono essere effettuate internamente o esternamente. La scansione interna viene eseguita all’interno della rete dell’organizzazione, mentre la scansione esterna viene eseguita dall’esterno, quindi dalla rete internet. La scansione esterna è particolarmente importante per le organizzazioni che hanno applicazioni web accessibili dall’esterno della rete.

Conclusioni

In sintesi, la valutazione delle vulnerabilità è un processo critico per la sicurezza informatica delle organizzazioni. Consente alle organizzazioni di identificare e mitigare i rischi per il sistema e di garantire che il sistema sia conforme ai requisiti di sicurezza. La valutazione delle vulnerabilità aiuta le organizzazioni a prendere decisioni sulla sicurezza del sistema e a migliorare la postura cyber complessiva.

Le organizzazioni dovrebbero eseguire regolarmente la valutazione delle vulnerabilità per garantire la sicurezza del sistema e proteggere i dati sensibili degli utenti. Inoltre, le organizzazioni dovrebbero formare più professionisti della sicurezza informatica per garantire che ci siano abbastanza esperti in grado di valutare e mitigare i rischi di sicurezza.

Infine, le organizzazioni dovrebbero utilizzare strumenti di sicurezza avanzati per automatizzare il processo di valutazione delle vulnerabilità e per proteggere i loro sistemi dai rischi informatici.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.