In una strategia di cybersecurity, individuare i punti deboli della propria infrastruttura IT è un passaggio fondamentale per mettere a punto un’adeguata protezione. In genere questo comporta due attività per certi versi simili tra loro, ma in realtà distinte: vulnerability assessment e penetration test. Soprattutto la prima, operazioni da programmare e gestire regolarmente, così da aumentare la possibilità di fronteggiare l’evoluzione negli attacchi, anche per il 2024 sempre in piena attività.
In estrema sintesi, si può inquadrare l’attività di vulnerability assessment come quella rivolta a individuare appunto le vulnerabilità dei sistemi sotto il proprio controllo o in qualche modo collegati alla propria infrastruttura IT. Sulla base dei relativi risultati, si può poi impostare dei penetration test per capire come possano essere sfruttate. In pratica, sono due fasi spesso collegate, ma non interscambiabili tra loro, dove la seconda utilizza i risultati della prima.
Due passi verso lo stesso obiettivo
Inoltre, mentre il vulnerability assessment è un’operazione sostanzialmente trasparente all’utente finale e con un certo grado di libertà in quanto di regola non interferisce con la normale operatività, i penetration test possono avere un impatto sicuramente maggiore e richiedono una programmazione più attenta. Nel primo caso si parla in genere di strumenti automatici, mentre nel secondo è spesso richiesto un intervento manuale, per arrivare a veri e propri ethical hacker utili a testare la propria infrastruttura in uno scenario reale. Nei casi più spinti, senza un accordo preciso su tempi e modalità.
Il risultato è una serie di informazioni in grado di capire se e come intervenire per rinforzare le difese IT. Spesso, i risultati dei penetration test servono a loro volta per individuare nuovi punti deboli e fornire indicazioni per eseguire nuovamente il vulnerability assessment.
Da tenere in considerazione, anche i relativi costi. Mentre la ricerca di vulnerabilità può entrare senza problemi nel programma di attività regolari, la simulazione vera e propria di attacchi va gestita con maggiore attenzione. Da una parte, si possono sfruttare più volte strumenti aggiornati sulle nuove informazioni emerse nell’intervallo tra un test e il successivo. Dall’altra, un intervento sicuramente più costoso, anche solo perché richiede l’intervento di personale altamente qualificato, con potenziali ripercussioni sulla produttività e con il rischio di un potenziale impatto dannoso sui sistemi IT.
Un sfida senza limiti
Per capire meglio l’importanza di queste attività, è interessante dare uno sguardo al mercato. Secondo il più recente Rapporto Clusit, nel 2023 gli attacchi considerati gravi su scala mondiale sono cresciuti del 12% rispetto al 2022, in media 232 al mese. Nell’81% dei casi la gravità è stata valutata come elevata o critica.
In Italia la situazione è per certi versi ancora più preoccupante. Lo scorso anno è andato a segno l’11% degli attacchi gravi globali mappati (era il 7,6% nel 2022), per un totale di 310. Una crescita del 65% rispetto al 2022. Oltre la metà, il 56%, ha avuto conseguenze di gravità critica o elevata. Allargando lo sguardo agli ultimi cinque anni, oltre il 47% si è verificato nel 2023.
Le priorità per il 2024
Per chi svolge attività di vulnerability assessment e penetration test è anche importatane conoscere quali siano le modalità più sfruttate, anche solo per sapere da cosa difendersi. Per il 2024, lo scenario resterà dominato per buona parte ancora dai ransomware. Come facile prevedere, però, in una forma più evoluta. Si fa strada infatti la tendenza definita anche Double extortion. In pratica, per aumentare la pressione e ottenere il riscatto non ci si limita solo a cifrare i dati, ma si aggiunge la minaccia di divulgazione.
Resta sempre alta inoltre, la pratica degli attacchi Zero-Day. L’obiettivo dei cybercriminali in questo caso è individuare vulnerabilità non ancora note allo stesso produttore del software e quindi non individuate da un vulnerability assessment. Situazioni meno frequenti rispetto ai ransomware, in genere protagonisti di attacchi su larga scala, ma sicuramente molto più pericolose.
Situazioni comunque già note e seguite da tempo. Dove invece lo scenario è appena agli inizi è quello dell’Intelligenza Artificiale. Alcuni esempi di possibili attacchi si sono già visti. A partire dalla realizzazione di malware mutevoli e quindi più difficili da riconoscere, oppure mail e messaggi di phishing più personalizzati, quindi credibili, o veri e propri chatbot ingannevoli.
I cybercriminali, infine, non si arrendono neppure davanti alle procedure di autenticazione più esigenti, a due o più fattori. È infatti da mettere in cantiere anche un contrasto ai cosiddetti Fatigue attack, frutto della combinazione di proxy server malevoli, nuove tecniche di social engineering e tentativi ripetuti in serie, alla ricerca della combinazione vincente.