Se sei un esperto di sicurezza informatica, saprai che uno dei modi migliori per prevenire una violazione dei dati è la scansione delle vulnerabilità.
Questo è infatti uno dei metodi più semplici per prevedere come i criminali informatici potrebbero entrare nel vostro sistema. Tuttavia essa non riguarda solo il rilevamento delle minacce, ma anche come porre rimedio e come cambiare i processi interni, in modo da assicurarvi di dare la giusta priorità alla risoluzione di queste vulnerabilità una volta che sono state scoperte.
In questa guida imparerete le basi della scansione e della valutazione delle lacune nella vostra rete, come funzionano e vi daremo suggerimenti per gestirle al meglio. Ma prima di addentrarci, affrontiamo questa domanda: le scansioni di vulnerabilità sono necessarie?
A causa della fragilità della tecnologia o dei sistemi, molte organizzazioni hanno ambienti, sistemi, siti web o debolezze del software che le rendono vulnerabili agli attacchi dal primo giorno in cui entrano in funzione.
Quando i sistemi sono compromessi possono causare costose multe per la violazione dei dati e/o danni irrevocabili alla reputazione delle aziende colpite. Molti di questi rischi avrebbero potuto essere affrontati e prevenuti se le realtà coinvolte avessero eseguito nella loro infrastruttura IT un test di scansione delle vulnerabilità.
In alcuni casi, un’organizzazione diventa vulnerabile a un attacco perché non riesce ad applicare una patch di sicurezza o modificare i suoi sistemi perché non ha eseguito un adeguato aggiornamento dei relativi protocolli di sicurezza. Per prevenire una violazione dei dati e ridurre il rischio, le criticità devono essere classificate per priorità, identificate e corrette continuamente.
Gli hacker a volte per analizzare le debolezze usano gli stessi strumenti che le organizzazioni impiegano per scoprire le vulnerabilità della rete. Quindi, per stare un passo avanti, è necessario essere consapevoli delle nuove minacce attraverso scansioni sia interne che esterne.
Cosa ci si deve aspettare da una scansione di vulnerabilità?
Per cominciare, una scansione di vulnerabilità è un test automatizzato di alto livello, che cerca e riporta le criticità potenzialmente identificate. Per esempio, alcune di queste scansioni possono individuare più di 50.000 debolezze uniche interne e/o esterne.
Le scansioni esterne sono quelle eseguite al di fuori della rete (per esempio al perimetro della stessa) e possono identificare le debolezze nelle strutture. Una scansione interna si svolge invece dentro la rete ed esamina altri host.
Per capirci meglio, pensate al vostro ambiente IT come ad una casa, una scansione di vulnerabilità esterna significa controllare se le finestre e le porte di accesso sono chiuse, mentre quella interna verifica se le porte della cucina e della camera da letto sono chiuse. Idealmente, una scansione delle vulnerabilità vi darà un rapporto dettagliato delle debolezze rilevate e dei riferimenti per ulteriori approfondimenti. Spesso, alcuni strumenti offrono indicazioni su come si può risolvere il problema.
È anche necessario sapere che la scansione da sola non è sufficiente e invece purtroppo questa è una convinzione sbagliata di molte aziende. Il rapporto non può agire da solo, è necessario affrontare rapidamente le vulnerabilità scoperte e assicurarsi che tutte le lacune di sicurezza vengano risolte. In seguito, dovrete eseguire nuovamente la scansione per assicurarvi che la vulnerabilità sia stata risolta con successo.
Differenze tra scansione delle vulnerabilità e pentesting
La differenza tra una scansione di vulnerabilità e il pentesting è che la prima è automatizzata, mentre il secondo richiede una persona che investighi nella complessità della vostra rete. Una scansione può solo cercare e identificare le vulnerabilità, mentre il pentesting scaverà più a fondo per scoprire la fonte di qualsiasi rischio rilevato. Tuttavia, questi due processi lavorano insieme per migliorare la sicurezza della rete. Le prime sono una panoramica periodica della sicurezza della rete, mentre il secondo fornisce un esame più completo.
Come funziona uno scanner di vulnerabilità?
Uno scanner di vulnerabilità non controlla ogni file sulla rete come fa un antivirus. Pertanto, il vostro dispositivo di scansione deve essere configurato per eseguire la scansione di interfacce specifiche, compresi gli indirizzi IP interni ed esterni.
Tutti gli scanner di sicurezza sono progettati per essere non invasivi, in modo da poter svolgere le vostre attività mentre l’analizzatore è in esecuzione in background. Un esempio potrebbe essere un esperto di sicurezza che controlla se il pomello della vostra porta è robusto: un tale professionista non ha bisogno di entrare per sapere come fare il suo lavoro.
Lo scopo di una scansione delle vulnerabilità è quello di fornire un riassunto degli avvisi in modo da poter agire puntualmente. Mentre esaminate i risultati, potreste notare alcuni indici di vulnerabilità ed esposizione comuni che non vi sono familiari. Se il vostro fornitore non vi ha munito di dettagli su questi indici, potete consultare il National Vulnerability Database (NVD) che vi aiuterà ad interpretarli e a dare priorità agli interventi.
Suggerimenti per gestire le tue vulnerabilità
Un piano di gestione delle vulnerabilità è vitale per gestire la sicurezza della rete. I seguenti consigli sono i migliori per identificare le debolezze potenziali ed esistenti nella vostra rete.
- Eseguire scansioni esterne delle vulnerabilità: devono essere compiute da un fornitore di scansioni approvato da PCI (ASV) a convalidarne la conformità. Ma una scansione esterna eseguita da un ASV non rende sicura la vostra azienda. Dovrebbero essere prese misure per limitare la vulnerabilità e ripetere la scansione fino a quando è confermato che la minaccia è stata affrontata.
- Eseguire scansioni di vulnerabilità interne: la maggior parte delle aziende pensa che una scansione ASV sia l’unico requisito per la conformità PCI. Tuttavia, dobbiamo assicurarci di rispettare i requisiti di scansione della vulnerabilità interna:
- Cercare online e scaricare uno strumento di scansione delle vulnerabilità interne open source.
- Acquistate uno strumento di scansione delle vulnerabilità interne da un fornitore di servizi o dal vostro ASP. La tua organizzazione è l’unica responsabile della scansione interna delle vulnerabilità.
- Test qualificati e individualizzati: bisognerebbe permettere che le scansioni interne siano gestite solo da una persona qualificata, possibilmente diversa da quella incaricata di rimediare e/o gestire le vulnerabilità scoperte.
- Eseguire scansioni periodiche: idealmente, l’intera azienda dovrebbe eseguire scansioni trimestrali interne ed esterne. Se state mirando a uno solo, farete un totale di otto scansioni all’anno (una esterna e una interna a trimestre). Tuttavia, molti fornitori vi permetteranno di eseguire scansioni illimitate per un singolo obiettivo. Questo rende le cose più facili perché si può rimediare e ripetere la scansione fino a quando la minaccia non è risolta, se la prima scansione fallisce.
- Eseguite le scansioni dopo cambiamenti significativi della rete: una volta che avete deciso di eseguire le scansioni trimestralmente, dovreste eseguire una scansione dopo ogni cambiamento significativo. Questo cambia in base a come è configurato il tuo sistema, ma se si eseguono delle modifiche o degli aggiornamenti che possono influenzare la sicurezza del sistema dei dati dei titolari di carta, allora, tale cambiamento è significativo.
Esempi di cambiamenti significativi sono:
- Trasferimento dei dati del titolare della carta a un nuovo server
- Aggiungere altre applicazioni di crittografia
- Compresi i nuovi sistemi di componenti del server
- Modifica delle interfacce
- Alterazione delle regole del firewall
- Abilitare o rimuovere un sistema che memorizza i dati del titolare della carta
- Alterare le strutture della rete
Gestione delle vulnerabilità con Vicarius
La ragione principale per la quale avete bisogno di scansionare la vostra rete su base regolare è che i criminali informatici scoprono continuamente modi nuovi e creativi per sfruttare le debolezze.
Inoltre, dobbiamo ricordare che la scansione e la valutazione delle vulnerabilità senza analisi non riguarda solo la segnalazione delle criticità individuate, ma fornisce anche un modo per stabilire un processo affidabile e ripetibile per risolvere i problemi.
Una volta che la scansione delle vulnerabilità è stata completata, assicuratevi di risolvere qualsiasi minaccia in modo preventivo. Si può iniziare analizzandole in base al rischio e allo sforzo richiesto e poi eseguire le scansioni fino a quando i risultati sono puliti.
Se avete bisogno di aiuto per la valutazione della vulnerabilità senza scansione, Vicarius può aiutarvi. Si tratta di un software di gestione delle vulnerabilità che si rivolge sia ai responsabili della cybersecurity che ai manager e agli operatori IT del mercato.