Convalidare la cybersecurity

“Secondo il sondaggio Cisco CISO Benchmark, il 17% delle organizzazioni ha ricevuto 100.000 o più avvisi di sicurezza giornalieri nel 2020 e la la quantità di allerte di sicurezza è in costante aumento. Il 2021 ha seguito questa tendenza con un anno record di Cve (common vulnerabilities and exposures) scoperti di recente: 20.137 per l’esattezza, superando il record del 2020 di 18.325. Oltre a essere un indicatore della crescita dell’esposizione nella superficie di attacco di un’organizzazione, questo numero ingestibile rende il lavoro dei difensori ancora più difficile e porta anche all’arresa tra i professionisti della sicurezza informatica”. Descrive così Paolo Bufarini, Regional Sales Manager di Pentera Italia, lo scenario odierno della cybersecurity, sottolineando come sia ormai chiaro che vulnerabile non equivale a sfruttabile , citando il fatto che il rapporto comune tra vulnerabile in teoria sfruttabile è in pratica di 1:100. La domanda che pone è quindi, come possono i team di sicurezza concentrarsi sulla vera debolezza nella massa enorme di vulnerabilità publicate, trovando risposta nel contesto di ciascuna di esse, dei suoi controlli compensativi e dei dati a cui porta: “Attraverso un nuovo approccio alla convalida dei controlli di sicurezza aziendali con la Piattaforma Pentera forniamo i passaggi che i professionisti della sicurezza possono intraprendere oggi per identificare il vero rischio che la loro organizzazione deve affrontare: come individuare le vulnerabilità sfruttabili fuori dalla mole complessiva di quelle pubblicate”, approfondisce Bufarini.

Fornire un nuovo approccio alla convalida

Pentera è una società israeliana fondata nel 2015 da Arik Liberzon, in precedenza a capo delle unità di difesa cyber delle forze armate dello stato di Israele e che nel corso della sua carriera militare aveva creato la sezione di cyber Warfare con l’obiettivo di mantenere in sicurezza i sistemi altamente classificati da possibili attacchi cyber, sia da attori di cyber crime che da minacce provenienti da stati ostili. In quel periodo Liberzon sviluppò l’idea che una soluzione di penetration test automatizzata potesse essere di grande aiuto rispetto all’impiego di una grande quantità di risorse umane altamente specializzate nella conduzione di penetration test manuali su sistemi complessi. “La nascita di Pentera deriva dalla competenza ed esperienza di Liberzon e del suo team di membri delle forze di difesa israeliane, con l’inserimento in una piattaforma software degli algoritmi e dei modelli di attacco del pensiero degli hacker. La piattaforma doveva agire in modo autonomo, con grande scalabilità per garantire la validazione dei controlli di sicurezza per qualsiasi organizzazione, agendo senza dovere esporre le lacune dei propri controlli di sicurezza all’esterno. Nella sua visione l’automazione del penetration test poteva garantire un chiaro e solido valore prendendo testa rispetto ai tradizionali sistemi manuali”, racconta Bufarini. Partendo da questi punti, la piattaforma Pentera è stata progettata per analizzare continuamente la superficie di attacco interna ed esterna delle aziende e convalidare in modo sicuro la prontezza contro le ultime minacce cyber. Nel dettaglio le sue funzionalità sono studiate per dimostrare realmente e senza simulazioni il potenziale impatto dello sfruttamento di ogni lacuna di sicurezza e assegnare di conseguenza la priorità alle remediation da apportare sia per l’IT che per i professionisti della sicurezza. Il tutto tenendo conto che con una forza lavoro remota ampliata e un aumento degli attacchi informatici nell’ultimo anno, la convalida della resilienza organizzativa è al primo posto nell’agenda delle aziende e proponendo ai suoi clienti questo messaggio: utilizzando strumenti di convalida della sicurezza i Ciso possono verificare le difese operative, ritirare strumenti e processi inefficaci e ottenere una comprensione più accurata del divario tra dove si pensa di essere e quali sono i reali livelli di resilienza. Ma aggiungendo anche che non tutti gli strumenti di convalida della sicurezza sono uguali. Ecco quindi secondo Bufarini quali sono e come agiscono le quattro funzionalità indispensabili per uno strumento efficace di convalida:

1. Prendere la prospettiva dell’attaccante

L’unico modo per filtrare il mare di vulnerabilità è tentare di sfruttarle. Questo è ciò che farebbe un avversario. Così, i team di sicurezza ottengono un vettore di attacco conciso che punta all’anello più debole dell’organizzazione. Da qui le richieste di remediation inoltrate all’IT sono focalizzate, gestibili e basate sull’impatto aziendale. E il resto delle vulnerabilità può attendere le attività di gestione delle patch in corso. Avere il punto di vista dell’attaccante consentirà all’organizzazione di condurre un programma di sicurezza proattivo piuttosto che reagire agli incidenti che (inevitabilmente) si verificano.

2. Coprire l’intera portata dei potenziali attacchi

Gli avversari prendono il percorso di minor resistenza agli asset critici. Ciò significa utilizzare la varietà di tecniche a loro disposizione per portare avanti un attacco, sfruttando qualsiasi vulnerabilità e le relative correlazioni lungo il percorso. Di conseguenza, i metodi di convalida utilizzati devono corrispondere: devono andare oltre la scansione statica della vulnerabilità o controllare la simulazione dell’attacco per includere un ambito di test di penetrazione completo. Ciò riguarderebbe i framework di emulazione degli attacchi per i controlli di sicurezza, gli attacchi alla vulnerabilità e alla forza delle credenziali, i test delle apparecchiature di rete, i controlli di accesso privilegiato, i passaggi di spostamento laterale e altro ancora.

3. Automatizzare, automatizzare, automatizzare

La convalida della sicurezza oggi deve essere dinamica quanto la superficie di attacco che sta proteggendo. I test periodici e manuali non sono più sufficienti per contestare i cambiamenti che un’organizzazione subisce. I team di sicurezza devono avere una visione on demand delle proprie risorse ed esposizioni e l’unico modo per arrivarci è automatizzare i test. La crescita della digitalizzazione e dell’adozione del cloud, il lavoro in remoto, le minacce ransomware e recentemente Log4Shell sono solo alcuni esempi di quanto sia importante la convalida continua per i team di sicurezza per difendere adeguatamente la propria organizzazione.

4. Allineare a MITRE ATT&CK e OWASP Top Ten

Allineandosi agli standard del settore, i team di sicurezza garantiscono che i loro test coprano le ultime tecniche avversarie. Poiché la maggior parte degli attacchi riesce sfruttando le tattiche, tecniche e procedure più comuni, sfidare la superficie di attacco contro questi framework fornisce una copertura completa delle tecniche avversarie in natura. Inoltre, consente ai responsabili della sicurezza di riferire chiaramente alla direzione sulla convalida dell’efficacia del controllo della sicurezza e della prontezza dell’azienda contro potenziali minacce.

Guardare al controllo del rischio operativo

La convalida della sicurezza automatizzata viene quindi presentata come un approccio avanzato per testare l’integrità di tutti i livelli di sicurezza informatica, combinando copertura continua e definizione delle priorità dei rischi per un’efficace mitigazione delle lacune di sicurezza. L’obbiettivo è di fornire una visione fedele delle attuali esposizioni alla sicurezza emulando attacchi nella vita reale, consentendo un piano di riparazione basato sull’impatto anziché inseguire migliaia di vulnerabilità. Dando ai team di sicurezza la possibilità di sapere esattamente dove si trovano e lottare con sicurezza verso la massima prontezza per la sicurezza.

“Fino ad ora, i professionisti della sicurezza hanno costruito le loro strategie di resilienza informatica utilizzando ipotesi sulle vulnerabilità note della loro rete. Pentera offre ai professionisti della sicurezza una gamma sempre crescente di tattiche e tecniche di emulazione degli attacchi, incluso il ransomware, attraverso la loro infrastruttura IT cloud, ibrida e on-premise. Con questo approccio, le aziende sostituiscono le ipotesi con certezza per dare priorità alle loro lacune di sicurezza e intraprendere passi di correzione chirurgica prima di un potenziale attacco avversario”, sottolinea Bufarini, elencando quindi le caratteristiche della piattaforma Pentera, a partire dal funzionamento autonomo e continuativo studiato per permettere a qualsiasi professionista IT di eseguire test di penetrazione con una configurazione minima. Qui si inserisce il Pentera Autonomous Attack Orchestrator, un componente mirato all’identificazione delle risorse IT più interessanti e del passaggio successivo all’attacco migliore senza intervento manuale.

“Attraverso la Total Attack Surface Discovery, Pentera mappa invece l’intera superficie di attacco interna ed esterna delle aziende, inclusi Shadow IT e applicazioni Web. Il processo continuo della piattaforma assicura ai responsabili della sicurezza che la superficie di attacco della loro organizzazione sia sempre presa in considerazione e protetta”, prosegue Bufarini aggiungendo che sul fronte emulazione del comportamento degli aggressori la piattaforma include una vasta gamma in continua crescita di tecniche di attacco allineate alla matrice MITRE ATT & CK e alle pratiche Owasp (Open Web Application Security Project) Top 10 per aiutare i professionisti della sicurezza a convalidare l’efficacia del loro stack di sicurezza contro le minacce della vita reale. Ultimi tre punti evidenziati: la possibilità di ottimizzare le risorse dei professionisti della sicurezza concentrandosi prima sulle esposizioni ad alto rischio, guidate dai flussi di lavoro di correzione e dalle pratiche di convalida delle correzioni; il fatto che l’architettura senza agenti non richiede alcuna installazione o modifica agli endpoint o alla rete aziendale; il rispetto di una rigorosa politica di sicurezza per garantire il funzionamento ininterrotto di qualsiasi ambiente o servizio IT. “La domanda alla quale è necessario rispondere è se conosci il vero rischio per la sicurezza della tua organizzazione in un dato momento. Se sai dove si trovano gli anelli più deboli dell’organizzazione in modo che possano essere corretti o mitigati prima che un utente malintenzionato li sfrutti per un attacco”, sottolinea Bufarini.

I mercati di riferimento e la presenza in Italia

“Pentera nel corso degli anni ha fornito la sua soluzione ad oltre 450 grandi clienti nel mondo, appartenenti a tutti i settori di mercato, in particolare nel settore Finanziario, Energia & Gas, Utility e nell’Industria manufatturiera. La società si avvale di una rete di partner di system integration e di consulenza per veicolare la sua tecnologia ai clienti, a cui fornisce una serie di servizi post vendita che includono formazione continua, attività di test e di supporto alle operazioni con la piattaforma tecnologica”, spiega Bufarini dichiarando che in Italia Pentera vanta dall’anno 2019 un numero consistente di implementazioni in diversi settori di mercato e una rete di circa 23 partner certificati sulla tecnologia che forniscono non solo la piattaforma, ma anche i servizi a essa legati incluse le attività di Soc (security operation center) e di Mssp (managed security service provider).

“Tra i clienti in Italia della piattaforma Pentera ci sono Autostrade per l’italia Spa, TIM Trust Technology, Acciaierie Valbruna, Camozzi Group, Duferco Group, Atlantica Cyber Security. Tutti i nostri clienti hanno implementato la piattaforma Pentera con l’obiettivo, raggiunto, di limitare la finestra temporale di un possibile incidente di sicurezza causato da uno sfruttamento di una vulnerabilità nota e realmente utilizzabile da parte di un aggressore o di migliorare le impostazioni dei sistemi di difesa esistenti, da Edr (enpoint detection and repsonse) e antivirus ai sistemi di Ngfw (next generation firewall). Nell’ambito delle attività verso le organizzazioni della Pubblica Amministrazione Centrale e Locale, Pentera si propone infine come partner tecnologico a supporto delle linee guida identificate da Consip per la fornitura di servizi e o prodotti per la protezione e verifica degli asset in ambito Cybersecurity, azioni e bandi emanati per i prossimi anni al fine di rendere gli enti di Stato Centrali e Locali maggiormente resilienti da possibili incidenti di sicurezza”, conclude Bufarini.