Vulnerability Assessment: cos’è, come funziona e quali tipologie esistono

La centralità della rete nei processi aziendali, nell’utilizzo delle risorse hardware e software per portare avanti ogni singola operazione quotidiana, ordinaria e straordinaria, necessita di specifiche azioni di protezione dalle minacce informatiche.
In questo contesto si pone il vulnerability assessment, strumento di valutazione preliminare dei punti di debolezza del sistema e identificazione dei mezzi necessari a preservarne l’integrità.

Il concetto di vulnerability assessment è strettamente collegato a quello di prevenzione, nella misura in cui gli esperti incaricati di individuare gli elementi di vulnerabilità di sistemi e apparati saranno in grado di ipotizzare le network threats (minacce in rete) ancora prima che queste si possano verificare.

Questa guida sul vulnerability assessment si concentrerà sull’importanza di tale pratica all’interno delle piccole e medie imprese, per mantenerne l’efficienza operativa nel corso del tempo e consentire uno sviluppo armonico del business, anche per mezzo di una consapevolezza di fondo: gli attacchi alla rete rappresentano una realtà, purtroppo ormai consolidata e con da cui è ormai indispensabile difendersi.
Ciononostante, poiché le realtà aziendali si differenziano l’una dall’altra per architettura di rete e utilizzo di risorse (umane e digitali), è altamente consigliabile affidarsi a esperti di telecomunicazioni che siano in grado di identificare con estrema precisione i reali rischi, senza ridondanze e con test mirati.

Cos’è il vulnerability assessment?

Il termine vulnerability assessment, di origine anglosassone, significa letteralmente valutazione della vulnerabilità e si riferisce all’esame dei punti deboli a cui un sistema aziendale, considerato dal punto di vista della rete e dagli strumenti a essa collegati, è sottoposto.

L’ambiente di un’organizzazione, infatti, utilizza risorse hardware e software per portare avanti la propria attività.
Poiché tali risorse sono legate a doppio filo l’una all’altra e la rete rappresenta il mezzo che ne consente la comunicazione fluida e continuativa, è indispensabile eseguire un’analisi veritiera e mirata degli elementi di fragilità a cui la rete è sottoposta.

La valutazione dei livelli di rischio presenti nell’architettura di rete aziendale è indispensabile per intraprendere le azioni necessarie a proteggerne gli asset e garantire la regolarità dell’attività di impresa e preservare i dati sensibili, scongiurando il verificarsi di violazioni ed eventi criminali (a livello informatico) che potrebbero mettere in serio pericolo la stessa continuità dell’impresa.

Considerando che la quantità e qualità, da intendersi nel senso dell’affinamento delle tecniche di intrusione, delle minacce in rete sta assumendo proporzioni epocali e sempre più preoccupanti, la valutazione delle vulnerabilità del sistema deve essere implementata da esperti del settore, che siano in possesso degli strumenti adatti e possano garantire serietà e competenza.

Il processo di vulnerability assessment, infatti, comprende una classificazione dei rischi a cui un sistema aziendale è sottoposto e la determinazione delle priorità di intervento.
Alcuni esempi di vulnerability assessment riguardano i programmi gestionali, le applicazioni e risorse in cloud impiegati dall’impresa per la sua attività.
Inoltre, non vanno dimenticati tutti gli hardware utilizzati da amministratori, dipendenti e collaboratori. Tale categoria comprende personal computer, tablet, apparecchi di rilevazione presenze connessi in rete, smartphone, stampanti e periferiche collegati alla rete, ma anche devices rimovibili per l’archiviazione dati, siano essi di proprietà dell’azienda oppure dei dipendenti.

A occuparsi del test di vulnerabilità di una realtà di impresa è un tecnico con elevata esperienza, che esegue una sorta di radiografia dinamica dell’attività aziendale, in ottica presente e futura.

Il vulnerability test può essere effettuato per conto di realtà differenti, dalle piccole e medie imprese alle grandi organizzazioni, anche a livello locale e nazionale.
A tali livelli, la protezione dei punti di debolezza di un sistema sono strettamente collegati alla tutela di infrastrutture e utenti.

La determinazione e classificazione della vulnerabilità dei singoli elementi in rete è connesso alla valutazione dei rischi dell’intero apparato di un’organizzazione.

Un programma completo ed esaustivo quale dovrebbe essere il vulnerability test consente alle aziende di essere consapevoli dei fattori di rischio a cui la propria attività è sottoposta, con una serie di misure di prevenzione e, quindi, di protezione concrete.

Come funziona il vulnerability test

Dal punto di vista pratico, il vulnerability test è implementato attraverso una serie di attività, che possono riassumersi nelle seguenti:

• catalogazione dell’insieme di risorse del sistema a cui il test si riferisce;
• assegnazione di valori quantificabili, o perlomeno un ordine di graduatoria, a tali risorse;
• identificazione della vulnerabilità e delle potenziali minacce per ciascuna risorsa;
• mitigazione oppure eliminazione, per quanto possibile, delle potenziali minacce per ogni singola risorsa;
• riduzione oppure eradicazione totale delle threats per le risorse considerate in assoluto più preziose.

L’analisi della vulnerabilità di un sistema si concentra, dunque, sulle sue cause di debolezza, sulle conseguenze che queste possono determinare, in presenza di minacce concrete e prevedibili, e infine sull’identificazione degli strumenti adatti ad arginare oppure eliminare completamente i rischi.

Quest’ultima eventualità risulta piuttosto utopistica, laddove il rischio zero è difficilmente raggiungibile; in ogni caso, il principale obiettivo del vulnerability test è quello di ottenere una protezione mirata ed efficace nel breve e nel lungo periodo, in un’ottica dinamica e tagliata su misura in base al sistema dell’organizzazione a cui si riferisce.

Scendendo nel dettaglio delle singole voci sopra menzionate, il primo punto è quello da cui partire e quello di maggiore importanza perché, se ben strutturato, presuppone un’efficacia più elevata delle misure di prevenzione da adottare per prevenire le minacce a carico del sistema.

La catalogazione di tutte le risorse aziendali, intese come hardware e software, riguarda l’insieme dei dispositivi, dei programmi e delle applicazioni impiegati all’interno e all’esterno dell’organizzazione e in comunicazione fra loro attraverso la rete.
Un esempio concreto chiarirà meglio il concetto. Il tecnico che si appresta a predisporre il documento relativo al vulnerability assessment procederà alla lista dei dispositivi e dei software in cloud utilizzati nei processi aziendali, contestualizzandoli anche in base alle gerarchie funzionali e ai rapporti che le risorse intrattengono con il mondo esterno.
Questo consente di determinare una priorità dell’impiego delle risorse e anche di valutarne l’eventuale esposizione ai rischi esterni.
In un’azienda di media complessità organizzativa, la lista dei dispositivi connessi in rete, incluse le stampanti multifunzione, l’elenco dei software gestionali e delle applicazioni di impiego frequente consentirà di stabilire delle gerarchie di utilizzo e i rapporti con gli utenti esterni. Ciò permetterà di determinare un grado di vulnerabilità alle minacce informatiche che sono veicolate dalla rete.

Nella maggior parte dei casi, tuttavia, i danni derivanti dalle minacce informatiche sono volte al furto oppure all’inutilizzabilità di dati sensibili, per ottenere un ritorno finanziario da parte dei criminali.

Stabilire una gerarchia delle risorse impiegate all’interno dell’azienda consente di dare la priorità di intervento in maniera razionale e tempestiva a ciò che merita maggiore attenzione, ai fini della protezione di dati e processi.

In quest’ottica è facile immaginare come il cloud di un’azienda sia annoverato tra le principali risorse da proteggere, attraverso appositi firewall e politiche di due diligence da parte dell’organico aziendale.
In subordine, i gestionali CRM (Customer Relationship Management), le applicazioni in rete e i dispositivi hardware sono oggetto di analisi specifiche, elaborate su misura in funzione dell’attività di impresa e del suo ambito di operatività: locale, nazionale oppure internazionale.

L’analisi dei rischi a cui il sistema aziendale è esposto dovrebbe essere effettuato da personale esterno e appositamente incaricato allo scopo, perché un occhio esterno e altamente qualificato sarà in grado di valutare con obiettività e professionalità l’insieme degli apparati che muovono la macchina organizzativa, la loro interrelazione e le minacce a cui sono sottoposti.

Le diverse tipologie di vulnerability assessment

A questo punto, dopo aver esposto in linea generale il concetto di vulnerability assessment e gli ambiti di operatività che tale attività comporta, è opportuno esporne le diverse tipologie.

Innanzitutto, è necessario specificare che il vulnerability assessment è strettamente connesso al penetration test, anche se si differenzia da questo per la modalità di analisi e per il suo carattere dinamico e continuativo.
Infatti, mentre il penetration test rappresenta un’utile attività volta a simulare una serie di attacchi informatici per stabilire l’esposizione di un sistema aziendale alle minacce in rete, con l’obiettivo di elaborare adeguati filtri e meccanismi di protezione, il vulnerability assessment si propone di analizzare nel loro insieme le risorse aziendali in modo costante e di applicare strumenti di prevenzione con elevati standard di sicurezza.

Pensare alle diverse tipologie di vulnerability assessment è come immaginare il prisma di questa attività come un’abitazione, composta da impianti, impalcature ed elementi funzionali, tra cui elettrodomestici e complementi di arredo.
Allo stesso modo, le risorse che fanno parte del sistema azienda comprendono elementi differenti, in particolare quelle di rete, host, dispositivi fisici, software, database e applicazioni.

Nell’ambito del vulnerability assessment, la scansione della rete è volta a determinare la sua architettura e al suo dimensionamento, alla valutazione del provider e ai meccanismi di protezione eventualmente già implementati.
La determinazione dello stato di protezione della rete può includere altri test, tra cui il penetration test stesso e l’analisi dettagliata del traffico dati e del suo flusso, interno ed esterno.

Tra le attività che fanno parte del vulnerability assessment rientra quella di eseguire una sorta di fotografia delle politiche aziendali di accesso a software, dispositivi e risorse in genere, per identificare gli eventuali nodi critici a carico del network.
Laddove fosse necessario (e l’esperienza insegna che, nella stragrande maggioranza dei casi, lo è), sarà fondamentale stabilire regole precise e dettagliate di due diligence, che riguardino l’organico a differenti livelli e che, soprattutto, siano adeguatamente rese note agli interessati e messe in pratica.

Obiettivi del vulnerability assessment

I principali obiettivi dell’attività di vulnerability assessment sono quelli di identificare i punti deboli a carico del sistema di un’azienda.
È possibile individuare 5 obiettivi primari che si propone la valutazione dei fattori di vulnerabilità. Essi sono:

• identificare i principali rischi a carico della sicurezza, prima che si verifichino attacchi concreti da parte dei criminali informatici;
• elaborare un inventario completo e dettagliato dei dispositivi collegati alla rete aziendale, completo degli elementi funzionali e dello scopo a cui i devices sono utilizzati. Nel concreto, ciascun dispositivo dovrà essere sottoposto a un’analisi dei rischi a esso connessi;
• predisporre una lista di software installati, al fine di pianificarne l’aggiornamento costante e implementare adeguate politiche di patching;
• definire il grado di rischio attuale, senza sovrastimarlo oppure sottostimarlo;
• stabilire una rapporto tra i rischi e i benefici legati all’attività di vulnerability assessment, per aiutare gli amministratori a definire nel concreto gli investimenti necessari a implementare adeguate politiche di protezione del sistema.

In funzione di tali considerazioni è evidente come il vulnerability assessment si ponga come un’attività continua e oggetto di monitoraggio costante, che inoltre presuppone la collaborazione tra preposti alla sicurezza interni, esterni e i tecnici che si occupano di predisporre l’analisi dei rischi.

L’attività di vulnerability assessment deve essere necessariamente portata avanti da tecnici specializzati, i quali sono a conoscenza della materia e sono costantemente aggiornati in materia di nuove vulnerabilità, molto spesso determinate da errori di codice, oppure da errate configurazioni di sicurezza.
Tali fattori rendono più semplice ad hacker e criminali informatici l’accesso alla rete e alla memoria di sistema, in particolare per procedere ad attacchi injection oppure overflow buffer.

I benefici del vulnerability assessment

L’attività di prevenzione rispetto ai data breach e ai danni derivanti dagli attacchi informatici sta assumendo una rilevanza sempre maggiore nella pianificazione di impresa.
Purtroppo, è ancora piuttosto ridotta la percentuale di aziende che intraprendono azioni regolari di valutazione dei rischi, con evidenti benefici a livello di protezione di dati e operatività.
I benefici derivanti dall’attività di vulnerability assessment, infatti, sono riscontrabili sotto diversi punti di vista, che possono essere sintetizzabili nell’elenco che segue:

• generazione di un’adeguata consapevolezza (awareness), soprattutto tra dipendenti e collaboratori, riguardo ai rischi a cui i dati sono esposti con l’attività ordinaria e straordinaria. Ciò contribuisce a radicare e sviluppare una cultura e una serie di comportamenti pratici, allineati con le politiche di sicurezza aziendale;
• ottenere uno sguardo di insieme degli asset di impresa, con la possibilità concreta di ottimizzare buona parte delle attività di security management;
• assicurare il rispetto delle normative ai sensi del GDPR in materia di protezione dei dati;
• identificare in via preventiva i punti di debolezza del perimetro informatico aziendale, mettendolo in sicurezza con strumenti adeguati e mirati;
• abbattere eventuali spese (ingenti, spesso non quantificabili e di notevole entità), legate ai data breach, garantendo la continuità stessa dell’attività aziendale;
• effettuare un costante aggiornamento dei sistemi attraverso attività di patching, le quali mantengono a loro volta elevati gli standard di sicurezza. Spesso, infatti, le falle del sistema sono riconducibili proprio ai bug dei software che, se opportunamente sottoposti ad updates, risulteranno più sicuri a ogni utilizzo.

Qualora condotta in modo adeguato e ben strutturato, l’attività di vulnerability assessment consente alle organizzazioni di essere aggiornate sui punti deboli cui sono esposti i relativi sistemi.
Il passo successivo del testing è quello di individuare e implementare tutte le misure ritenute opportune ed esistenti per ottenere la riduzione dei rischi.

L’insieme delle azioni correlate al vulnerability assessment permette di abbassare notevolmente le probabilità che un hacker singolo oppure un’intera organizzazione criminale riescano a penetrare nella rete aziendale e violarne l’apparato IT, scongiurando danni enormi.

Le soluzioni proposte da Alet Communications per l’esecuzione del vulnerability assessment

Esperti da decenni nel settore delle telecomunicazioni e attenti all’evoluzione dei sistemi IT, in Alet Communications disponiamo di tecnici qualificati, in grado di effettuare vulnerability assessment in funzione degli specifici contesti aziendali dei nostri committenti.
I servizi offerti dalla nostra azienda rappresentano un valore aggiunto per le imprese, che ad oggi non possono più procrastinare l’analisi dei rischi informatici a cui quotidianamente sono sottoposte.

Con specifico riferimento al vulnerability assessment, siamo profondamente convinti che spesso l’esposizione ai rischi informatici sia connessa a una insufficiente valutazione dei rischi.

Per maggiori informazioni sulla sicurezza informatica e la sua centralità, è possibile consultare la pagina dedicata sul sito della nostra azienda, in cui l’esperienza si unisce alla passione per le tecnologie di ultima generazione e la continua ricerca dell’eccellenza.