Vulnerability Assessment & Penetration Tests

Scopo

Le attività di Vulnerability Assessment e Penetration Test (VAPT) hanno il comune obiettivo di fornire una conoscenza dettagliata sullo stato di sicurezza dei propri sistemi informatici. In particolare, attraverso diverse fasi di analisi, effettuate simulando differenti scenari di intrusione, le metodologie adottate da Blumatica permettono di:

• verificare che le informazioni sulla rete visibili da Internet siano ridotte al minimo;
• verificare che non sia possibile ottenere accessi non autorizzati a sistemi ed informazioni;
• valutare se, per un utente interno, sia possibile accedere ad informazioni o ottenere privilegi per i quali non ha l'autorizzazione necessaria;
• verificare che una Web Application non contenga vulnerabilità che permettano ad un attaccante di ottenere accessi non autorizzati a dati riservati, in particolare impersonificazione di altri utenti, privilege escalation, accesso interattivo alla rete target, attacco all'utente dell'applicazione, Denial of Service.

Roadmap

Prima di procedere alle attività di VAPT, bisogna stilare una mappa di tutti i sistemi/applicativi/cloud presenti nel perimetro aziendale, differenziando gli stessi in ordine di criticità o di sensibilità del dato che lo stesso detiene. A seguito della creazione della mappa digitale, vengono definite le giornate per portare a termine le attività di VA & PT (Vulnerability Assesment & Penetration Testing) e la creazione della reportistica finale tecnica e sommaria

Tipologie

La procedura di VAPT è suddivisa in 3 fasi:

• Interna, in cui viene eseguita una simulazione di un attacco dall’interno del perimetro dell’azienda;
• Esterna, in cui viene eseguita una simulazione di un attacco proveniente dall’esterno del perimetro dell’azienda utilizzando la connessione internet;
• Applicativa, in cui vengono testati tutti gli applicativi proprietari/conosciuti per scovare vulnerabilità di funzionamento;

Per policy interne dell’azienda, l’esecuzione dei VAPT su tutti i sistemi & applicativi aziendali avrà una cadenza trimestrale con emissione di report di vulnerabilità e piano di mitigation.

Perimetri di applicazione

I paradigmi generali descritti in precedenza assumono contorni ben diversi a seconda del loro campo di applicazione. In questo senso, è possibile delineare principalmente tre diversi ambiti:

• VA/PT infrastrutturali: riguardano tutte le verifiche a livello di configurazione della rete wired, dei server ed eventualmente dei client.
• VA/PT applicativi: riguardano tutte le verifiche effettuate sulle singole applicazioni.
• PT infrastruttura wireless: riguardano tutte le verifiche specifiche per le reti senza fili.

VA/PT Infrastrutturale

La metodologia utilizzata dall’azienda per l’attività di VA/PT infrastrutturale è conforme all’Open Source Security Testing Methodology Manual di ISECOM, standard internazionale de-facto in materia. Le fasi principali riguardano:

• HOST IDENTIFICATION
  La rete viene analizzata al fine di determinare i sistemi attivi ed ognuno di questi sistemi viene sottoposto a tecniche di fingerprinting attivo (inviando richieste ai sistemi stessi) e passivo (ottenendo le informazioni da server pubblici quali DNS o i database WHOIS) in modo da determinare, con la massima precisione possibile, la versione del Sistema Operativo installato.
• ENUMERAZIONE DEI SERVIZI E IDENTIFICAZIONE DELLE VULNERABILITÀ
  Tutti gli host attivi vengono esaminati per scoprire quali porte risultino essere aperte e quindi quali servizi risultino essere in ascolto. Per ogni servizio rilevato si tenta di identificare la versione del software ad esso associato. Questa identificazione permette di effettuare test di verifica della presenza delle vulnerabilità che potrebbero essere sfruttate per ottenere un accesso non autorizzato ai sistemi. I test utilizzati combinano tecniche manuali e strumenti automatizzati, in modo da disporre della velocità e dell'esaustività delle scansioni automatiche, unite all'efficacia e alla precisione di un esperto hacker qualificato.
• EXPLOIT EFFETTIVO
  Nei casi in cui venga realizzato un penetration test completo (e comunque sotto espressa richiesta e autorizzazione del responsabile) l’attività di sfruttamento delle vulnerabilità riscontrate viene portata a termine nell’ottica di comprendere quali siano gli effettivi impatti, sui sistemi e sui dati, di una potenziale intrusione.

VA/PT Applicativo

Ad oggi, un ruolo particolarmente importante all’interno delle diverse attività di verifica tecnica è assunto dai test sulle applicazioni web. Il motivo di questa attenzione risiede nelle statistiche dei vettori di attacco: il 70% degli attacchi informatici sono resi possibili da errori di programmazione.

Per svolgere le attività di Penetration Test sulle applicazioni web, Blumatica utilizza una metodologia ormai consolidata nella comunità scientifica internazionale e riassunta all’interno dell’Open Web Application Security Project (OWASP), organizzazione di riferimento per la sicurezza delle web application.

Questa analisi è costituita da una serie di tentativi d’attacco che coinvolgono i protocolli e le logiche di comunicazione utilizzati dagli utenti finali per interagire con le applicazioni (attacco ai web server, alla struttura applicativa, ai sistemi di autenticazione ed autorizzazione, alle interfacce di gestione, ai sistemi client, ecc…). Nel caso specifico delle applicazioni web, tali attacchi sono basati su manipolazioni dei pacchetti HTTP che vengono scambiati fra i browser degli utenti ed il web server. I test vengono condotti sia in modalità anonima che in “user-mode”, utilizzando un account creato tramite le usuali procedure di attivazione, al fine di permettere al penetration tester l’accesso come utente autorizzato. In questo modo è possibile testare la robustezza dei sistemi di autenticazione e di contenimento sia per utenti anonimi che per normali utilizzatori autorizzati.

L’attività comprende quindi l’analisi dell’applicazione in termini architetturali, nonché l’esame delle configurazioni delle macchine interessate, sia a livello di sistema operativo che a livello applicativo.

Particolare attenzione viene riservata, in fase di testing, alle classi di vulnerabilità rientranti tra le 10 vulnerabilità più importanti come diffusione e impatto sui sistemi, facenti parte della OWASP Top 10. In questo modo è anche possibile mantenere un costante riferimento per valutare la gravità delle situazioni riscontrate.

PT Infrastruttura Wireless

Lo spettro delle attività di verifiche tecniche di sicurezza viene completato dalle analisi riguardanti l’infrastruttura di rete wireless.
Le analisi riguardano principalmente la famiglia di reti 802.11 ed il relativo security assessment ha l’obiettivo di verificare la presenza di punti d’accesso autorizzati e non autorizzati e la loro copertura, nonché la loro consistenza e le vulnerabilità ad essi riconducibili.
L'attività è suddivisa principalmente in due macro-fasi.
La prima fase è dedicata esclusivamente alla rilevazione di segnali radio all’interno degli stabili identificati come perimetro di analisi ed è condotta adottando strumentazione hardware e software specifica per ogni tipo rete. In questo modo è possibile stabilire quali siano le reti wireless presenti, determinare se i livelli di sicurezza di queste reti siano conformi alle policy aziendali e alle best practice in materia e verificare l’assenza di reti non autorizzate.
La seconda fase è invece dedicata alla perlustrazione dei perimetri esterni, al fine di valutare, in particolare per le reti più critiche, se il livello del segnale radio permetta la connessione anche in zone ad accesso pubblico.
La metodologia segue i passi specificati nell’Open Source Security Testing Methodology Manual (OSSTMM), già utilizzata per le attività di VA e PT infrastrutturale.

Reportistica Finale

La fase finale dell’attività di VAPT è la reportistica, durante la quale si fornisce all’azienda ed alle persone preposte i risultati ottenuti. È in tale fase che è possibile sottolineare gli aspetti del sistema considerati sicuri e quelli per cui vi è bisogno di migliorare la sicurezza. Tale fase prevede un documento finale in cui sono trascritti i risultati ottenuti e le relative modifiche da apportare al sistema per risolvere eventuali problemi. Il report può essere di due tipologie:

• Executive Summary in cui sono descritti gli obiettivi del test ed i risultati ottenuti; deve includere:
  • Background: una descrizione dello scopo del test e la definizione dei termini che possono non essere familiari come vulnerabilità o contromisure;
  • Overall posture: una overview sull’efficacia del test, sui problemi trovati e i problemi generali che provocano determinate vulnerabilità;
  • Risultati generali: una sintesi dei problemi individuati con le eventuali contromisure da adottare;
  • Remediation: una overview ad alto livello di tutte le attività richieste per rimediare ai problemi trovati;
  • Road map: un insieme di regole da seguire per raggiungere un certo livello di sicurezza;
• Report tecnico in cui bisogna fornire tutti i dettagli tecnici del PT ed include:
  • Introduzione: lista obiettivi, contesto, contatti e altre informazioni sull’azienda;
  • Infomation Gathering: insieme di dettagli tecnici ottenuti durante la fase di raccolta delle informazioni, in particolare è possibile definire l’internet footprinting dell’azienda;
  • Analisi delle vulnerabilità: dettagli delle vulnerabilità trovate;
  • Exploitation e verification: dettagli della fase di exploitation;
  • Risk: una descrizione quantitativa dei rischi trovati, in particolare bisogna dare una stima sulle perdite dell’azienda nel caso in cui le vulnerabilità trovate venissero sfruttate da un hacker;
  • Conclusioni: un insieme di conclusioni sui test effettuati;

Computer Forensics & Incident Response

Il servizio di Computer Forensic consiste nell’eseguire copie ed analisi di supporti compromessi in incidenti di sicurezza consolidati, estrarne la «root case» ed emettere un report di incident response che contenga la spiegazione dettagliata dell’incidente.

La procedura di Computer Forensic segue 4 fasi:

1. Copia forense del dispositivo: vengono acquisiti i dati secondo le normative vigenti, senza alcuna alterazione dei contenuti e con l’emissione di firme digitali per comprovare l’inalterabilità dei dati copiati.
2. Data carving: tecnica che consente di recuperare file dallo spazio non allocato di un supporto di memorizzazione di dati digitali anche quando non vi è più traccia di quel file nella tabella di allocazione, estrarre sample/file utili alle analisi dell’incidente e riscostruire lo scenario di «entry point»
3. Report incidente: fase in cui viene emessa la reportistica utile a riscostruire l’interno scenario di attacco/intrusione in dettaglio
4. Remediation: fase in cui verranno prese delle contromisure in base all’analisi dell’incidente accaduto, estrazione di IoC (Indicatori di compromissione) e/o aggiornamento delle «signature » sulle varie applicances di sicurezza e monitoraggio. La fase di remediation potrebbe prevedere in alcuni casi la bonifica degli host’s/- endpoint’s compromessi.

I software utilizzati da Blumatica per l’acquisizione e l’analisi forense soddisfano tutti i requisiti delle normative vigenti in ambito di privacy & computer forensic.

Ulteriori servizi offerti

Tra i servizi offerti da Blumatica c’è sicuramente il servizio di monitoraggio di eventi di sicurezza. L’erogazione del servizio consiste nel monitorare gli eventi di sicurezza provenienti dalla rete, applicativi, pc e servers del cliente, in modo da prevenire e/o bloccare eventuali attività anomale. Verrà installato nella rete del cliente e/o in cloud un SIEM (software di monitoraggio) dal quale sarà possibile controllare tutte le attività sopra descritte. Il SIEM sarà conforme a tutte le normative vigenti sul GDPR e gli eventi archiviati in esso saranno firmati digitalmente per comprovare l’integrità e l’autenticità del dato in esso contenuto.

Il servizio può essere erogato in 2 modalità:

• Modalità h24 (il monitoraggio verrà effettuato 7giorni su 7 h24)
• Modalità orario base o 8x5 (il monitoraggio verrà effettuato solo nei giorni lavorativi e negli orari lavorativi del cliente, ad esempio lun-ven 9-18)

Servizio di analisi degli impatti in caso di incidente informatico consolidato.
Nel caso di incidente informatico consolidato, possono essere erogati a parte ulteriori servizi. Ad esempio analisi dell’impatto dell’incidente. L’analisi dell’impatto segue diverse procedure:

1. Computer forensic, consiste nell’acquisizione forense dell’host impattato dall’incidente informatico, (ad esempio un pc) eseguire un’analisi su di esso per ricostruire lo scenario di attacco ed eventualmente come rimediare per far sì che altri host all’interno della rete del cliente non vengano impattati allo stesso modo.
2. Analisi dei rischi, a fronte di un’analisi sul punto 1, capire se ci sono punti ciechi all’interno della rete del cliente per poi migliorarli riducendo il margine di rischio di incidente informatico.
3. A richiesta specifica del cliente, è possibile analizzare anche gli eseguibili/file che hanno generato l’incidente informatico per capire se l’attacco è avvenuto in modo mirato verso quel cliente o è un semplice attacco massivo.