Blog

Cos’è una Vulnerability Assessment e come funziona?

Pubblicato il da TEAM ISEC

La vulnerability assessment è un’analisi delle vulnerabilità presenti nei sistemi informatici. Idealmente, dovrebbe essere la base di ogni strategia di sicurezza informatica aziendale. Infatti, solo attraverso una valutazione delle vulnerabilità e dei punti di debolezza può essere messa in campo un’azione efficace di mitigazione dei rischi.

Ma come si realizza una valutazione completa? Davvero è sufficiente utilizzare dei vulnerability assessment tools per gestire l’analisi in maniera automatizzata?

La parola agli esperti di cyber security ISEC.

Perché la vulnerability assessment è fondamentale

L’analisi delle vulnerabilità di un sistema informatico aziendale è un primo passo fondamentale per proteggere adeguatamente le reti dagli attacchi informatici.

Attraverso la vulnerability assessment infatti si possono individuare tutte le criticità su cui concentrare gli sforzi di protezione.

Da un punto di vista economico e organizzativo, quindi, è vantaggioso perché dà modo alle organizzazioni di razionalizzare gli investimenti in sicurezza informatica nella maniera più efficace.

D’altro canto, la valutazione delle vulnerabilità deve andare di pari passo con il risk assessment: l’analisi del rischio.

L’analisi del rischio mira a individuare quanti e quali danni può subire un sistema informatico, di quale gravità e con quale probabilità.

Per questo risk assessment e vulnerability assessment non possono essere considerati separatamente. Anche secondo il GDPR, le aziende devono adottare strumenti di protezione adeguati al rischio che deriverebbe da un furto di dati. Più sono sensibili i dati trattati da un’azienda, più questa è tenuta a mitigare le proprie vulnerabilità.

Quanti tipi di vulnerabilità esistono

Quando parliamo di vulnerabilità dei sistemi informatici, ci riferiamo a una serie di elementi tecnici, organizzativi e umani piuttosto eterogenei tra loro.

Pensare che la vulnerability assessment sia solo un fatto tecnico è rischioso e riduttivo.

Esistono indubbiamente delle vulnerabilità che dipendono da fattori tecnici o di infrastruttura. Ad esempio:

  • un perimetro informatico molto esteso;
  • il ricorso allo smart working senza adeguate misure di sicurezza preventive;
  • l’adozione massiccia di dispositivi IoT;
  • software di sicurezza informatica obsoleti;
  • conservazione dei dati in cloud senza aver impostato le giuste regole di protezione;
  • mancanza di backup dei dati;
  • server non adeguati e non sicuri ecc.

Tuttavia, ci sono fattori altrettanto importanti che riguardano l’approccio dell’azienda alla questione sicurezza informatica.

In questo campo rientra ad esempio la volontà di investire in strumenti e software davvero efficaci e nella formazione del personale.

Formare il personale per conoscere i rischi informatici e le buone norme da seguire può sembrare banale, eppure molti data breach avvengono per errori umani soprattutto davanti a email e messaggi fraudolenti.

Un terzo aspetto su cui vale la pena soffermarsi è che molto spesso le aziende non hanno idea di dove si trovino i loro dati nel web. Durante i nostri assessment scoviamo spesso dati sensibili delle aziende clienti nel web, ma anche del deep web e nel dark web.

Tali dati includono informazioni personali dei dirigenti e dei dipendenti, password, firme ecc.

Ecco perché una vulnerability assessment adeguata non può ridursi a un mero test tecnico.

Vulnerability assessment e penetration test

Non è raro che vulnerability assessment e penetration test vengano utilizzati come sinonimi. L’uso è però improprio.

Infatti, un penetration test o pen test è solo una parte di una valutazione più ampia delle vulnerabilità di un sistema informatico. Nella fattispecie è finalizzato a valutare i punti di vulnerabilità del perimetro informatico.

Esistono due tipologie principali di penetration test:

  1. Esterni, per individuare punti di vulnerabilità che un hacker o un attaccante esterno potrebbero sfruttare per entrare in una rete informatica. Possono quindi essere analizzati DNS, applicativi web, siti ecc.
  2. Interni, per individuare punti di vulnerabilità che possono essere utilizzati da un criminale informatico che è entrato in possesso delle password di un soggetto interno all’azienda.

C’è poi tutta una serie di test che possono essere svolti per individuare delle vulnerabilità specifiche, per esempio a livello di VoIP, di reti wireless ecc.

Un passo avanti: il vulnerability management

L’analisi delle vulnerabilità è solo il primo step di un approccio più ampio che chiamiamo vulnerability management. 

La gestione delle vulnerabilità infatti può essere definita come un processo continuo che porta le aziende a individuare i punti di debolezza, mitigare i rischi, monitorare.

La nostra concezione di sicurezza informatica come servizio che offriamo ai clienti prevede una prima fase di analisi del rischio e delle vulnerabilità.

In questo primo momento individuiamo i punti deboli della rete aziendale, i dati già esposti e la consapevolezza del personale.

Utilizziamo strumenti avanzati per il penetration test, ma anche approcci di hacking etico e questionari da somministrare a chi svolge un ruolo chiave in azienda dal punto di vista della sicurezza.

Ne deriva un report, che funge da mappa delle vulnerabilità su cui lavorare. Di qui, passiamo alla fase di mitigazione del rischio informatico che si può ottenere percorrendo due vie:

  1. l’adozione di software di sicurezza come antivirus, next generation firewall, sistemi EDR e di threat intelligence;
  2. la formazione del personale aziendale.

Nel primo caso, proponiamo ai nostri clienti prodotti di altissimo profilo dei nostri partner tecnologici tra cui AlienVault, Palo Alto Networks, Crowdstrike, Nakivo, Fortinet.

Nel secondo caso, istituiamo corsi online e onsite per i clienti, per aumentare nel personale la consapevolezza dei rischi e delle migliori pratiche.

Come richiedere un assessment gratuito

Un primo step per valutare le vulnerabilità delle reti informatiche è il nostro servizio gratuito di Security Lifecycle Review, in collaborazione con Palo Alto Networks. 

Questo test dura 8 – 10 giorni.  Configuriamo un Next Generation Firewall (NGFW) di Palo Alto Networks nell’ambiente informatico del cliente che lo richiede.

Analizziamo le vulnerabilità presenti in applicazioni, traffico web e contenuti e definiamo il quadro di rischio che l’azienda sta correndo in caso di data breach.

Vuoi costruire una policy di sicurezza informatica basata sul rischio effettivo per la tua azienda?

Contattaci a

Scopri più sull’assessment

Contattaci

Se hai bisogno di valutare come proteggere la tua azienda, entra in contatto con il nostro team. Valuteremo insieme i rischi che possono minacciare il tuo business.

Ho letto l‘informativa sulla privacy e fornisco il consenso esplicito al trattamento dei dati inseriti *