Best practice e regole di compliance richiedono di effettuare Vulnerability Assessment e Penetration Testing (VA/PT) con cadenza periodica. Ma aldilà della conformità normativa, il Penetration Testing periodico è veramente utile e risolutivo per il corretto assessment della propria infrastruttura?
Sfide e criticità dei PT
Nell’ambito della cyber security, il PT è sicuramente una delle attività più complesse: richiede esperienza e competenze trasversali su tecnologie, metodologie e tecniche di test. Contrariamente ad altre attività che hanno un obiettivo ben specifico (es: monitorare un determinato rischio) o che sono intrinsecamente delimitate e con un punto di arrivo ben definito (es: analisi del codice, hardening, etc.), il PT ha l’obiettivo di “trovare problemi”, analizzando e combinando tra loro un insieme di elementi praticamente illimitato (vulnerabilità, tecnologie, configurazioni e comportamenti umani solo a titolo d’esempio).
Proprio per queste ragioni non esiste una scienza esatta sul PT e per quanto siano state sviluppate innumerevoli metodologie e framework per effettuare un PT, vi sono dei fattori che influenzano in maniera importante i risultati ottenuti da questo tipo di attività.
Il fattore umano
Per quanto si adoperino strumenti per l’analisi e la raccolta dei dati automatizzati (in alcuni casi anche per l’exploiting attivo), l’inventiva, l’intuizione e la capacità di combinare in maniera opportuna le evidenze raccolte la fanno da padrone nell’esecuzione di un PT insieme ad un adeguato bagaglio di conoscenze e competenze.
Ma l’influenza del fattore umano può essere sia positiva che negativa e in maniera piuttosto significativa. Se da un lato intuizioni, idee e conoscenze possono permettere di individuare strategie di attacco complesse, ma efficaci, dall’altra parte stanchezza, distrazione, stress o la sottovalutazione di un minimo particolare lo possono impedire.
Cosa significa tutto questo? A parità di infrastruttura e debolezze presenti, team diversi (ma anche lo stesso team in tempi diversi) potrebbero ottenere risultati anche molto distanti tra loro. Le differenze potrebbero derivare anche dai tool utilizzati, anche solo per la versione utilizzata (per l’introduzione di nuovi controlli o per la correzione di bug)
Il fattore tecnologico
Effettuare PT oggi, più che in passato, è particolarmente difficile perché ci si scontra con infrastrutture estremamente dinamiche e complesse, caratterizzate da architetture ibride (cloud e on-premise) e con innumerevoli stack applicativi in continua evoluzione, ognuno con le proprie peculiarità e vulnerabilità.
Tutto questo incrementa a dismisura il numero di fattori da tenere in considerazione, di strade da esplorare e delle superfici di attacco e obbliga i team dedicati al PT ad aggiornare i propri strumenti di test e il proprio bagaglio di competenze ad un ritmo sempre più serrato.
La variabilità delle architetture moderne può influenzare negativamente la validità temporale dei risultati ottenuti dato che l’aggiunta, la rimozione o l’aggiornamento di elementi architetturali potrebbero rimuovere o aggiungere vulnerabilità, chiudendo, o aprendo a loro volta, percorsi di attacco.
Il fattore tempo-costi
Il PT è una di quelle attività dove più si cerca e più è facile trovare qualcosa di rilevante perché il numero di elementi da considerare ed analizzare è molto ampio ed è arduo stabilire quando ogni dettaglio è stato considerato ed ogni strada esplorata.
Ma attività estensive e prolungate nel tempo possono portare a costi insostenibili per il cliente e nella ricerca del compromesso per coniugare le varie necessità (costi, livello di copertura etc.) si corre il rischio di sottodimensionare il team o di limitare in maniera significativa il perimetro di analisi o il tempo a loro disposizione.
Con tempi di esecuzione o perimetri ridotti c’è il forte rischio che alcuni percorsi rimangano inesplorati. Ma mentre il tempo di un team di PT e dei team di cyber security è sempre limitato, il numero di potenziali attaccanti è molto ampio così come il tempo a loro disposizione. Il rischio potenziale? Avendo più tempo a disposizione, un attaccante ha maggiori possibilità di trovare un percorso di attacco che non è stato individuato durante il PT o di sfruttare una vulnerabilità scoperta successivamente.
Continuous Security Posture
Se alle precedenti osservazioni si aggiunge la maggiore attività di ricerca, con la scoperta quasi continua di vulnerabilità o tecniche di attacco e il rapido sviluppo di nuovi exploit, viene lecito porsi le seguenti domande:
- Per quanto tempo i risultati di un VA/PT possono considerarsi validi?
- Se un VA/PT non trova criticità, quanto e per quanto tempo si può stare “tranquilli”?
Forse un po’ meno di quanto previsto da alcune normative. A titolo d’esempio lo standard PCI DSS prevede un PT almeno una volta l’anno o a seguito di cambiamenti importanti.
Per queste ragioni la sicurezza di una infrastruttura non può dipendere solo dai PT e dai risultati da loro prodotti, ma è necessario un approccio integrato e continuo.
Integrato perché deve coinvolgere aspetti e tecnologie multiple come adeguate politiche di sicurezza, processi di Change Management e di Vulnerability Assessment e Management.
Continuo perché lo stato di esposizione di una infrastruttura può cambiare in qualunque momento per un cambiamento alle configurazioni, un errore umano o la scoperta di una nuova vulnerabilità. E più ampio è il lasso di tempo tra quando lo si scopre e vi si pone rimedio, maggiore è la probabilità che un attaccante se ne accorga.
Se per i Vulnerability Assessment è possibile eseguire delle scansioni automatiche e periodiche, sposando quindi il concetto di continuità, non si può dire lo stesso dei PT.
Fino ad ora almeno.
CVSS Severity Distribution Over Time
https://nvd.nist.gov/general/visualizations/vulnerability-visualizations/cvss-severity-distribution-over-time#CVSSSeverityOverTime
La nuova frontiera dell’Attack Simulation
Fedele alla propria filosofia di essere all’avanguardia e di attenzione al mercato e alle tecnologie di settore più moderne e promettenti, RAD ha di recente incluso nella propria offerta soluzioni di Attack Simulation automatizzate che senza mettere a rischio la disponibilità dei servizi (non vengono effettuate analisi invasive o l’esecuzione di exploit/Proof of Concept) sono in grado di effettuare un monitoraggio continuo dell’infrastruttura e di determinare tempestivamente come un attaccante potrebbe crearsi una via verso le zone più critiche a fronte di una nuova vulnerabilità scoperta o introdotta nell’ambiente.
XmCyber Attack Path
https://www.xmcyber.com/use-case/breach-and-attack-simulation/
L’automazione e la capillarità del monitoraggio consentono una migliore oggettività del risultato, un controllo estensivo e continuo dell’infrastruttura con la possibilità di rianalizzare tempestivamente ed agevolmente i percorsi di attacco e i rischi a fronte di cambiamenti infrastrutturali e di configurazione.
L’Attack Simulation non è sostitutiva del PT, che resta l’unico strumento per individuare le modalità di attacco più complesse, ma è sicuramente un ottimo supporto per il monitoraggio continuo e che sgrava i team di PT consentendogli di concentrarsi verso analisi e scenari di più alto livello che non sono automatizzabili.
Scopri come Rad può sopportare la tua azienda attraverso il suo competence center di Cyber Threat Identification and Simulation