Che i servizi di ethical hacking debbano entrare in pianta stabile nelle strategie difensive di un’azienda non è un’idea teorica ma un dato di fatto. E, per comprenderlo, basti pensare alle più recenti cronache informatiche: attacco a Regione Lazio o alla SIAE, e al Gruppo Maggioli. Servizi e business continuity bloccati, con conseguenti perdite per milioni di euro e danni di immagine non indifferenti per ogni impresa. E di qualunque tipo sia l’attacco, la costante è che quasi sempre parte da una vulnerabilità.
Che la vulnerabilità sia umana o tecnologica, il gruppo di cybercriminali la utilizzerà per entrare nei sistemi dell’azienda. A volte sfruttando tecniche di ingegneria sociale - per esempio il phishing - altre analizzando la superficie di attacco e individuando vulnerabilità nei software, negli applicativi e nei sistemi che sostengono l’infrastruttura. Per questo motivo, prima ancora di ragionare su come mettere in sicurezza i sistemi informatici aziendali, occorre capire come un attaccante si comporterà una volta che ci si trova di fronte. E il metodo più efficace e utile per farlo è avvalersi di aziende che sappiano vestire i panni di quell’attaccante attraverso servizi di ethical hacking.
I servizi di ethical hacking servono proprio a questo: sfruttare vere tecniche di hacking, le medesime utilizzate dai cybercriminali, ma in chiave etica, ovvero al fine di rilevare quali di queste modalità risultano efficaci. E, nei casi in cui l’attacco etico vada a buon fine, riportare all’azienda le criticità che lo hanno permesso e le soluzioni per mitigarle. È un processo complesso, delicato e che richiede competenze di alto livello, poiché da una parte occorre ragionare e operare come un criminale informatico, mentre dall’altra si devono riportare i risultati in una forma comprensibile e fruibile da tutti gli stakeholder.
Quanture è un system integrator con una lunga esperienza in servizi di ethical hacking, grazie alla collaborazione con l’azienda partecipata Pandigital. L’offerta si basa non solo su una serie di singoli servizi, ma si sviluppa come un percorso organico con delle tappe ben definite, raggiunte attraverso le migliori competenze ed innovazioni tecnologiche. Più che di servizi, in questo caso, si parla di vero e proprio progetto di sicurezza, che ha inizio con un Vulnerability Assesment, per un’analisi avanzata del perimetro interno dell’infrastruttura aziendale, e arriva al Penetration Test, in cui si applicano vere strategie di attacco nel tentativo di penetrare il sistema. Proprio per questo, tutte le procedure messe in atto da Quanture sono eseguite da professionisti e non da tool automatici, per abbracciare ogni opzione e curare ogni dettaglio.
Si tratta, per questo, di analisi molto complesse e specializzate, che richiedono operatori competenti e un flusso di lavoro ben regolato e organizzato. Quanture, per i suoi servizi di ethical hacking, adotta i framework e le linee guida PTES e OSSTMM per la parte infrastrutturale dei test, e OWASP per web application e web services. Molto importante, poi, è la catena di attività che porta all’esito finale. E non si parla solo di un rapporto conclusivo con un insieme di dati di difficile lettura: il lavoro di professionisti come quelli di cui si avvale Quanture è quello di prioritizzare le criticità emerse e proporre soluzioni per risolvere o mitigarle, innalzando così il livello di sicurezza dell’infrastruttura.
Nel caso del penetration test, di fatto l’attività più complessa ed emblematica, si parte sempre con un kick-off meeting, nel quale si definiscono con il cliente esigenze, perimetro di azione, obiettivi, vettori di attacco e minacce da rappresentare, nonché le tempistiche da rispettare.
A seguito della firma del contratto, vi è la stesura della manleva, che mette in chiaro le responsabilità dei test, per passare poi alla calendarizzazione delle attività. Una call di kick-off col reparto IT dell’azienda anticipa l’attività vera e propria, a cui segue un report e un confronto di chiusura. Dove “chiusura” va intesa in senso lato: a questo incontro segue un follow-up per valutare se le soluzioni adottate per mitigare le vulnerabilità riscontrate sono efficienti e per pianificare eventuali nuovi test per testare nuovamente l’infrastruttura.
Infatti, se il mondo dell’innovazione digitale viaggia ad una velocità x10, quello della cyber security viaggia a x20. Ecco perché è necessario prevedere, anche nelle fasi successive all’implementazione delle soluzioni, nuove analisi e PT come WPT in modalità blackbox (per le reti Wi-fi), WAPT (per Web Application), MAPT (per Mobile Application).
Servizi di ethical hacking come quelli offerti da Quanture consentono non solo di verificare le reali vulnerabilità dell’infrastruttura tecnologica, ma anche di investire in modo più oculato sulla protezione, tenendo conto dei preziosi esiti dei test. Quanture offre soluzioni di cyber sicurezza su misura, in modo che l’azienda possa affrontare sfide attuali e future nel migliore dei modi, innalzando il livello di sicurezza della propria infrastruttura.
Questo, unito alla prospettiva di una minore vulnerabilità ad attacchi capaci di mettere KO qualunque tipologia di azienda, e all’ottenimento di compliance a leggi e regolamenti, come il GDPR, sono la leva migliore per evidenziare l’importanza dei servizi di ethical hacking e convincere manager ad allocare il budget per la sicurezza.