Che cos’è il Vulnerability Management?

Il Vulnerability Management o gestione delle vulnerabilità sorveglia e analizza costantemente tutti i componenti IT, come server, reti, computer e tecnologie cloud. Una volta identificate, le falle di sicurezza vengono prima analizzate, classificate in base alla priorità, eliminate e infine documentate. 

È decisivo definire chiare responsabilità per strutturare il processo in modo efficiente. In questo modo le aziende riducono al minimo il rischio che si verifichino incidenti di sicurezza, rafforzano la sicurezza cibernetica e assicurano il rispetto delle disposizioni di legge, soprattutto nella gestione dei dati sensibili. La crescente pressione normativa impone alle aziende di affrontare seriamente queste minacce, al fine di evitare violazioni della protezione dei dati e danni d’immagine.

Che cos’è l’hacking etico?

L’hacking etico è uno strumento che consente alle aziende di verificare proattivamente la presenza di falle di sicurezza nei propri sistemi IT. A questo scopo, hacker professionisti alle dipendenze dell’azienda, i cosiddetti hacker etici, conducono test di intrusione, al fine di individuare eventuali punti deboli nelle reti, nelle applicazioni e nei sistemi prima che vengano sfruttati dai criminali informatici. Questi interventi rendono le aziende più resistenti contro gli attacchi informatici e riducono il rischio che si verifichino onerosi incidenti di sicurezza che potrebbero danneggiare la reputazione dell’azienda stessa. L’hacking etico assicura che vengano pianificate e messe in atto misure che consentano di rispettare gli standard di sicurezza e le norme di compliance.

Come riconoscere i punti deboli dell’infrastruttura?

L’amministrazione di rete e di sistema è la spina dorsale dell’infrastruttura IT di un’azienda e ricopre un ruolo centrale all’interno del Vulnerability Management. Le scansioni e le analisi regolari contribuiscono non solo a ottimizzare la performance, ma anche a riconoscere le criticità dei sistemi e a eliminarle, al fine di garantire un ambiente informatico stabile e sicuro.

Nell’attività di sviluppo del software e di implementazione dell’IT è essenziale identificare e indirizzare le vulnerabilità durante il processo di sviluppo. Eventuali falle all’interno di sistemi informatici appena sviluppati o implementati possono comportare gravi rischi per la sicurezza. Scrupolosi test di sicurezza durante il processo di sviluppo e prima del go-live sono strumenti importantissimi per riconoscere eventuali criticità nel software, prima della sua messa in esercizio. In questo modo si garantisce che le nuove applicazioni e i nuovi sistemi siano solidi e sicuri, migliorando così l’efficienza e la sicurezza dei sistemi informatici.

Come si individuano le vulnerabilità nelle tecnologie critiche per la sicurezza?

Esistono tecnologie, come i sistemi di crittografia e i metodi di autenticazione, che consentono di mettere in sicurezza i processi aziendali e favoriscono un’elaborazione regolare dei dati. Tuttavia eventuali vulnerabilità in questi sistemi comportano notevoli rischi per la sicurezza, in particolare sul fronte della protezione dei dati sensibili. Per questa ragione è ancora più importante individuare le falle nelle tecnologie critiche per la sicurezza, come i sistemi di crittografia. Questi audit di sicurezza sono parte integrante del Vulnerability Management e permettono alle aziende di essere certe che i loro sistemi siano sicuri.

Formazione e sensibilizzazione del personale IT

Per mezzo di training pratici e con la simulazione di attacchi informatici è possibile mostrare chiaramente al personale come si generano vulnerabilità all’interno dei sistemi e come possono essere sfruttate in maniera mirata. Questo richiede una profonda comprensione dell’importanza di rispettare i protocolli di sicurezza e saper reagire proattivamente a potenziali minacce. Inoltre il personale dovrebbe essere formato regolarmente sulle pratiche di sicurezza di comprovata efficacia, come la gestione sicura delle password e il riconoscimento dei tentativi di phishing. In questo modo l’intera azienda diventa sempre più consapevole del fatto che è indispensabile tutelare efficacemente i dati aziendali.

Hacking etico nella sicurezza informatica: quando gli hacker stanno dalla parte dei buoni

Quando presso la «banca gialla» il red team attacca il blue team, lo fa in nome della sicurezza. L’esperto di sicurezza informatica Philipp Rohrbach ci spiega cosa si cela dietro a tutto ciò.

Stanno dalla parte dei buoni: gli hacker etici individuano le vulnerabilità nelle applicazioni web, nelle reti e nei sistemi delle aziende prima che ci riescano i malintenzionati. Tra questi hacker etici c’è anche Philipp Rohrbach, che dirige il red team di IT Security presso PostFinance. Nell’intervista ci illustra in dettaglio in cosa consistono i suoi compiti e come svolge il suo lavoro.

Lavori nel red team di IT Security presso PostFinance. Cosa significa il colore rosso del team?

Nell’ambito della sicurezza informatica, noi del red team di PostFinance ricopriamo il ruolo degli aggressori. Ci avvaliamo delle tecnologie o degli scenari di attacco utilizzati nel mondo reale, colpendo in modo mirato i nostri sistemi. Ad esempio, proviamo a utilizzare i nostri servizi e sistemi per scopi per cui non erano stati progettati, con l’obiettivo di individuarne i punti deboli prima che ci riescano altre persone. Nella gestione di servizi informatici raggiungibili dall’esterno, bisogna partire dal presupposto che si subiranno attacchi. La domanda non è se, bensì con che frequenza ciò si verificherà e in che misura tali attacchi possono essere riconosciuti, respinti e contenuti dal nostro blue team. Le denominazioni basate sui colori sono nate nel contesto militare: il red team è la componente offensiva della sicurezza informatica, mentre il blue team è quella difensiva.

Come procede il red team durante una verifica?

Supponiamo di dover testare un’app. In una prima fase ci consultiamo con le specialiste e gli specialisti che si occupano di progettarla, gestirla o svilupparla e fissiamo gli obiettivi dei test. Uno di questi obiettivi può essere manipolare una transazione finanziaria in un ambiente di test oppure accedere a informazioni tramite un’interfaccia all’interno dell’app. In seguito definiamo l’approccio che intendiamo seguire, scegliendo tra black box, gray box o white box. Nell’approccio black box, per i test abbiamo accesso all’applicazione senza ulteriori informazioni sulla sua struttura interna. Nell’approccio gray box, molto più diffuso, ci viene offerto qualche aiuto in più, ad es. la possibilità di lavorare con una versione dell’app in cui sono state disattivate determinate misure di sicurezza. In questo abbiamo un vantaggio rispetto a potenziali malintenzionati, che in genere dispongono di più tempo di noi, e possiamo sfruttare il prezioso periodo di test per effettuare verifiche anziché per raggirare le misure di sicurezza. Infine, nell’approccio white box ci si spinge oltre e viene divulgato il codice sorgente per permettere a chi svolge i test di eludere con maggiore facilità le misure di sicurezza. In seguito configuriamo i test e diamo il via alle verifiche. Verifichiamo, ad esempio, che non ci siamo errori di natura logica o divergenze dagli standard nell’autenticazione, nella procedura di login o nel ripristino della password, oppure monitoriamo il comportamento dell’app quando le vengono sottoposte informazioni per cui in origine non era stata progettata. Se, per esempio, un pagamento da un cliente A a un cliente B prevede che in background si svolgano più di dieci fasi, verifichiamo cosa succede se l’ordine o il contenuto di quest’ultime viene modificato. Una volta che abbiamo verificato un numero sufficiente di elementi, traiamo le conclusioni e le documentiamo. Se necessario, prendiamo poi misure per eliminare le falle di sicurezza individuate.

Come è composto il red team?

La sua composizione varia di continuo a seconda dell’entità della verifica e degli oneri legati al test. Per piccoli test basta una persona, mentre per quelli più consistenti ci vogliono più specialiste e specialisti. A tal fine ricorriamo a collaboratrici e collaboratori interni ed esterni. È particolarmente importante che un oggetto di test non venga analizzato sempre dalle stesse persone. Infatti, soprattutto nelle verifiche di sicurezza, è spesso richiesto anche il cosiddetto «out-of-the-box-thinking». Per questo, l’esperienza individuale e il know-how personale svolgono un ruolo significativo.

Di quali competenze si deve disporre per poter lavorare in un red team?

I prerequisiti sono conoscenze approfondite delle reti e un’ottima comprensione del funzionamento delle applicazioni web, nonché del modo in cui computer e server interagiscono e sono strutturati. (cfr. anche box). Uno degli aspetti più importanti è però la curiosità: un hacker etico deve comprendere il mondo cibernetico e assumere prospettive sempre nuove nella sua osservazione. Deve indagare dietro le quinte ed essere tenace e perseverante, confrontandosi con l’oggetto analizzato finché non accade qualcosa di inaspettato. Deve poi capire perché un determinato evento si è verificato. Il nostro obiettivo è individuare i punti deboli che erano precedentemente sfuggiti ad altre persone, ma anche a strumenti automatizzati per il controllo qualità.

Esiste una formazione ufficiale per diventare hacker etici?

Esistono tre diversi tipi di test: Non esiste però una formazione che comprenda o si focalizzi sull’insieme della nostra sfera di competenza. Chi intende diventare un hacker etico può e deve acquisire molte competenze da autodidatta. A tal fine c’è una comunità di persone che condivide volentieri il proprio sapere. Le piattaforme come TryHackMe o Hack The Box, che offrono sfide o programmi bug bounty pubblici, rappresentano buone possibilità per allenarsi.

Cosa ti affascina della tua funzione di hacker etico?

La grande varietà. Da un lato posso confrontarmi sempre con tecnologie diverse, come vari linguaggi di programmazione, applicazioni o framework, dall’altro entro continuamente in contatto con persone diverse. Non siamo specialiste e specialisti in tutti gli ambiti, ma presso PostFinance abbiamo collaboratrici e collaboratori altamente competenti. Quando ci prepariamo per un test possiamo attingere alle loro conoscenze ed esperienze. È davvero molto interessante. Inoltre, pur seguendo una metodologia standardizzata nello svolgimento dei test, la applichiamo sempre a oggetti diversi. La gamma di casi possibili spazia dall’autenticazione con riconoscimento vocale a sistemi particolarmente complessi per l’elaborazione di transazioni finanziarie, passando dalle normali applicazioni web. E non da ultimo, non si tratta solo di un lavoro, ma anche di una vera e propria missione: voglio fare la mia parte per rendere il mondo cibernetico più sicuro, un passo alla volta.

Come sei entrato a far parte del red team di PostFinance?

Inizialmente ho svolto una formazione da elettricista e, nell’ambito della costruzione di impianti, ho proseguito la mia carriera nella direzione di progetti. Poiché mi mancava l’aspetto tecnico, ho studiato informatica e tecnica dei sistemi presso una scuola specializzata superiore e in seguito sono stato responsabile del settore new media presso un’agenzia, dove ho potuto acquisire conoscenze approfondite delle applicazioni web e mobili nel corso di numerosi progetti. Quindi ho svolto una formazione universitaria in informatica focalizzata sulla sicurezza IT. Il tema dell’hacking etico mi ha sempre accompagnato lungo il mio percorso. Per interesse personale ho acquisito autonomamente molte conoscenze in merito. Dopo gli studi sono infine passato all’IT della Posta come specialista dell’esercizio per il voto elettronico e ho avuto modo di svolgere verifiche di sicurezza. Quando poi la Posta cercava esperte ed esperti di sicurezza informatica per l’hacking etico, mi sono detto che era la mia occasione. Da quest’anno ricopro una funzione direttiva e insieme a un team molto motivato contribuisco a rendere sempre più sicuri i sistemi informatici e i processi che PostFinance mette a disposizione della clientela.