Il penetration testing nel contesto moderno

Best practice e regole di compliance richiedono di effettuare Vulnerability Assessment e Penetration Testing (VA/PT) con cadenza periodica. Ma aldilà della conformità normativa, il Penetration Testing periodico è veramente utile e risolutivo per il corretto assessment della propria infrastruttura?

Sfide e criticità dei PT

Nell’ambito della cyber security, il PT è sicuramente una delle attività più complesse: richiede esperienza e competenze trasversali su tecnologie, metodologie e tecniche di test. Contrariamente ad altre attività che hanno un obiettivo ben specifico (es: monitorare un determinato rischio) o che sono intrinsecamente delimitate e con un punto di arrivo ben definito (es: analisi del codice, hardening, etc.), il PT ha l’obiettivo di “trovare problemi”, analizzando e combinando tra loro un insieme di elementi praticamente illimitato (vulnerabilità, tecnologie, configurazioni e comportamenti umani solo a titolo d’esempio).

Proprio per queste ragioni non esiste una scienza esatta sul PT e per quanto siano state sviluppate innumerevoli metodologie e framework per effettuare un PT, vi sono dei fattori che influenzano in maniera importante i risultati ottenuti da questo tipo di attività.

Il fattore umano

Per quanto si adoperino strumenti per l’analisi e la raccolta dei dati automatizzati (in alcuni casi anche per l’exploiting attivo), l’inventiva, l’intuizione e la capacità di combinare in maniera opportuna le evidenze raccolte la fanno da padrone nell’esecuzione di un PT insieme ad un adeguato bagaglio di conoscenze e competenze.

Ma l’influenza del fattore umano può essere sia positiva che negativa e in maniera piuttosto significativa. Se da un lato intuizioni, idee e conoscenze possono permettere di individuare strategie di attacco complesse, ma efficaci, dall’altra parte stanchezza, distrazione, stress o la sottovalutazione di un minimo particolare lo possono impedire.

Cosa significa tutto questo? A parità di infrastruttura e debolezze presenti, team diversi (ma anche lo stesso team in tempi diversi) potrebbero ottenere risultati anche molto distanti tra loro. Le differenze potrebbero derivare anche dai tool utilizzati, anche solo per la versione utilizzata (per l’introduzione di nuovi controlli o per la correzione di bug)

Il fattore tecnologico

Effettuare PT oggi, più che in passato, è particolarmente difficile perché ci si scontra con infrastrutture estremamente dinamiche e complesse, caratterizzate da architetture ibride (cloud e on-premise) e con innumerevoli stack applicativi in continua evoluzione, ognuno con le proprie peculiarità e vulnerabilità.

Tutto questo incrementa a dismisura il numero di fattori da tenere in considerazione, di strade da esplorare e delle superfici di attacco e obbliga i team dedicati al PT ad aggiornare i propri strumenti di test e il proprio bagaglio di competenze ad un ritmo sempre più serrato.

La variabilità delle architetture moderne può influenzare negativamente la validità temporale dei risultati ottenuti dato che l’aggiunta, la rimozione o l’aggiornamento di elementi architetturali potrebbero rimuovere o aggiungere vulnerabilità, chiudendo, o aprendo a loro volta, percorsi di attacco.

Il fattore tempo-costi

Il PT è una di quelle attività dove più si cerca e più è facile trovare qualcosa di rilevante perché il numero di elementi da considerare ed analizzare è molto ampio ed è arduo stabilire quando ogni dettaglio è stato considerato ed ogni strada esplorata.

Ma attività estensive e prolungate nel tempo possono portare a costi insostenibili per il cliente e nella ricerca del compromesso per coniugare le varie necessità (costi, livello di copertura etc.) si corre il rischio di sottodimensionare il team o di limitare in maniera significativa il perimetro di analisi o il tempo a loro disposizione.

Con tempi di esecuzione o perimetri ridotti c’è il forte rischio che alcuni percorsi rimangano inesplorati.  Ma mentre il tempo di un team di PT e dei team di cyber security è sempre limitato, il numero di potenziali attaccanti è molto ampio così come il tempo a loro disposizione. Il rischio potenziale? Avendo più tempo a disposizione, un attaccante ha maggiori possibilità di trovare un percorso di attacco che non è stato individuato durante il PT o di sfruttare una vulnerabilità scoperta successivamente.

Continuous Security Posture

Se alle precedenti osservazioni si aggiunge la maggiore attività di ricerca, con la scoperta quasi continua di vulnerabilità o tecniche di attacco e il rapido sviluppo di nuovi exploit, viene lecito porsi le seguenti domande:

  • Per quanto tempo i risultati di un VA/PT possono considerarsi validi?
  • Se un VA/PT non trova criticità, quanto e per quanto tempo si può stare “tranquilli”?

Forse un po’ meno di quanto previsto da alcune normative. A titolo d’esempio lo standard PCI DSS prevede un PT almeno una volta l’anno o a seguito di cambiamenti importanti.

Per queste ragioni la sicurezza di una infrastruttura non può dipendere solo dai PT e dai risultati da loro prodotti, ma è necessario un approccio integrato e continuo.

Integrato perché deve coinvolgere aspetti e tecnologie multiple come adeguate politiche di sicurezza, processi di Change Management e di Vulnerability Assessment e Management.

Continuo perché lo stato di esposizione di una infrastruttura può cambiare in qualunque momento per un cambiamento alle configurazioni, un errore umano o la scoperta di una nuova vulnerabilità. E più ampio è il lasso di tempo tra quando lo si scopre e vi si pone rimedio, maggiore è la probabilità che un attaccante se ne accorga.

Se per i Vulnerability Assessment è possibile eseguire delle scansioni automatiche e periodiche, sposando quindi il concetto di continuità, non si può dire lo stesso dei PT.
Fino ad ora almeno.

CVSS Severity Distribution Over Time
https://nvd.nist.gov/general/visualizations/vulnerability-visualizations/cvss-severity-distribution-over-time#CVSSSeverityOverTime

La nuova frontiera dell’Attack Simulation

Fedele alla propria filosofia di essere all’avanguardia e di attenzione al mercato e alle tecnologie di settore più moderne e promettenti, RAD ha di recente incluso nella propria offerta soluzioni di Attack Simulation automatizzate che senza mettere a rischio la disponibilità dei servizi (non vengono effettuate analisi invasive o l’esecuzione di exploit/Proof of Concept) sono in grado di effettuare un monitoraggio continuo dell’infrastruttura e di determinare tempestivamente come un attaccante potrebbe crearsi una via verso le zone più critiche a fronte di una nuova vulnerabilità scoperta o introdotta nell’ambiente.

 

XmCyber Attack Path
https://www.xmcyber.com/use-case/breach-and-attack-simulation/

L’automazione e la capillarità del monitoraggio consentono una migliore oggettività del risultato, un controllo estensivo e continuo dell’infrastruttura con la possibilità di rianalizzare tempestivamente ed agevolmente i percorsi di attacco e i rischi a fronte di cambiamenti infrastrutturali e di configurazione.

L’Attack Simulation non è sostitutiva del PT, che resta l’unico strumento per individuare le modalità di attacco più complesse, ma è sicuramente un ottimo supporto per il monitoraggio continuo e che sgrava i team di PT consentendogli di concentrarsi verso analisi e scenari di più alto livello che non sono automatizzabili.

Scopri come Rad può sopportare la tua azienda attraverso il suo competence center di Cyber Threat Identification and Simulation


Detection & Response: cambia il modo di pensare usando un approccio threat-centrico

Esiste una sostanziale differenza di approccio metodologico e mentale che bisogna adottare nel caso in cui si approfondiscano tematiche in ambito Detection & Response, rispetto a quando si lavora sul disegno delle architetture di sicurezza, e quindi nel mondo della Prevention.

Il modello threat-centrico rappresenta la chiave di lettura più giusta per guidare i clienti, a diversi livelli di maturità, su come approcciare e migliorare nelle attività d'individuazione e blocco di attacchi verso infrastrutture ed applicazioni.

Detection & Response: cambia mentalità!

La Cyber Security è un settore dell'informatica in rapida espansione e possiede all'interno diverse anime che caratterizzano le diverse professionalità coinvolte. Negli ultimi anni, con la crescita del settore, si è assistito alla nascita di nuovi rami, molti dei quali, soprattutto recentemente, orientati a tematiche offensive.

 La Detection & Response  è un ramo tradizionale della Cyber Security che rappresenta ancora la maggior parte delle attività e degli investimenti effettuati dai clienti di settore. Le piattaforme di sicurezza adottate dai clienti sono sempre di più e sempre più complesse (vedi migrazioni ibride sul cloud). La percezione è quella di ambienti sempre più sicuri viste le moltitudini di tecnologie adottate. Il quotidiano ci insegna però che gli attacchi andati a buon fine (o quasi) sono numerosi anche quando le architetture vengono disegnate in modo sicuro. Ciò accade perché le configurazioni sbagliate, le vulnerabilità 0-day e soprattutto la componente umana restano vettori di attacco più o meno critici.

Il primo passo per poter approcciare correttamente la tematica della Detection & Response è quella di accettare che le tecnologie di sicurezza non sempre sono la panacea di tutti i mali, e soprattutto che gli attacchi avvengono, e possono avvenire, per diversi motivi che vanno dal fallimento della tecnologia di sicurezza fino alla componente umana (che resta fondamentale) passando per le varie CVE che periodicamente vengono comunicate.

Le professionalità nell’ambito della Detection & Response (che restano variegate) sanno che devono intervenire quando tutte le tecniche di prevenzione hanno fallito e sanno anche che è fondamentale avere una Detection efficace ed efficiente per poter permettere una Response tempestiva.

Ma perché le tecnologie di sicurezza falliscono? I motivi possono essere tantissimi ma  è importante sottolineare che una buona Detection non può prescindere dall’accettazione del fallimento di tali tecnologie e architetture di sicurezza.

Esempi di Miss Detection

WAF

Le tecnologie Web Application Firewall (WAF) esistono da anni e sono tecnologie da poter considerare mature e consolidate. Tuttavia, molte di esse si basano su firme e regole non infallibili. Basti pensare al fatto che è impossibile pensare di monitorare tutte le URL possibili.

Nei casi in cui il tool di sicurezza fallisce o non può intervenire, ha senso monitorare altre sorgenti (es. Log dei webserver) per intercettare attacchi andati a buon fine e intervenire per tempo.

Gap Tecnologici

Nelle tecnologie di Cyber Security esistono dei gap tecnologici di vario tipo:

  • Compatibilità tra le soluzioni di sicurezza e le tecnologie da difendere (es. OS non compatibili con l’antivirus/edr)
  • Rollout incompleto delle soluzioni dovuto all’eterogeneità degli asset tecnologici coinvolti
  • Bassa efficacia delle soluzioni rispetto a minacce specifiche (es. Antivirus classico a firma che non blocca comportamenti malevoli)

Generalmente è buona norma implementare dei monitoraggi di sicurezza in diversi fasi di un ipotetico attacco al fine di evitare di affidarsi ad un’unica tecnologia.

Obsolescenza

Non è sempre possibile mantenere aggiornato il proprio “parco macchine”. Di conseguenza, i diversi asset obsoleti possono sempre essere attaccati attraverso delle CVE note. Un monitoraggio attivo di specifici attacchi e minacce può sempre intervenire in ultima istanza a monitorare il rischio residuo (non azzerabile) e può portare all’attenzione degli analisti una serie di gap da colmare o non colmabili.

Uso improprio dei protocolli

In scenari avanzati di attacco ed in presenza di attaccanti esperti risulta sempre più difficile distinguere un comportamento malevolo da un comportamento lecito. Un protocollo lecito può essere utilizzato per eseguire attività malevole ed è possibile portare a termine attacchi senza che nessun tool di sicurezza intervenga.

Un classico esempio è l’utilizzo di specifici protocolli HTTP (es. Webdav) per l’esfiltrazione di dati senza che tecnologie atte al monitoraggio possano intervenire per motivi operativi o limiti tecnologici (es. DLP).

Efficienza ed efficacia del monitoraggio

Per ottimizzare la Detection & Response è fondamentale riuscire a focalizzare tempestivamente le forze di Response al fine di minimizzare gli impatti. In tal senso è molto importante monitorare:

  • L’Efficacia della Detection: capacità d'individuare tempestivamente una minaccia o un’attività malevole in corso
  • L’Efficienza della Detection: capacità di minimizzare la produzione di allarmi falsi positivi

E’ importante che gli allarmi di sicurezza siano poco rumorosi e precisi nell’individuazione di minacce. In tal senso, quello che bisogna chiedersi è quanto il proprio monitoraggio sia guidato dalle reali minacce che possono presentarsi, e quanto l’efficacia e l’efficienza della Detection siano massimizzate.

La massimizzazione dell’efficienza può essere ottenuta rivedendo i monitoraggi e re-ingegnerizzandoli, ove necessario, dando priorità alle regole di detection con minore efficienza

La massimizzazione dell’efficacia è invece legata all’approccio utilizzato per l’individuazione delle minacce.

L’approccio threat-centrico

L‘approccio threat-centrico consiste nel focalizzarsi sulle minacce e gli attacchi reali avendo come obbiettivo la massimizzazione dei parametri di detection e la mitigazione dei rischi residui più critici.

RAD accompagna i propri clienti nell’implementazione di un approccio threat centrico, al fine di colmare i gap di monitoraggio o migliorare il monitoraggio esistente.

Nella nostra esperienza, il miglioramento più significativo lo si riscontra con l’adozione del framework MITRE ATT&CK e l’analisi delle lesson learned degli incidenti passati.

In tal senso, RAD propone ai propri clienti una metodologia a fasi che permette in breve tempo di ottenere notevoli risultati:

  • Adozione del MITRE ATT&CK framework
    • Viene effettuata una valutazione delle regole di detection attive, implementando una mappatura con le tecniche del MITRE ATT&CK e delle procedure di alert management da introdurre nella security operation
  • GAP Analysis
    • Vengono analizzati i gap del monitoraggio secondo 3 diverse dimensioni: le tecniche non monitorate da nessuna regola, le tecniche parzialmente coperte su alcune tecnologie e scoperte su altre, le tecniche scoperte per cui non è necessario indirizzare alcun monitoraggio poiché non rappresentano alcuna minaccia
  • Remediation Roadmap
    • Vengono analizzati i gap evidenziati nella fase precedente e proposta una roadmap di interventi di remediation atta a colmarli, tra i quali: Quick Win per la copertura di determinate tecniche o tecnologie, attività di red teaming atte a confermare la bontà delle coperture/scoperture e integrazione di nuove tecnologie di sicurezza

Scopri come RAD può aiutare la tua azienda attraverso il suo competence center di Cyber Security Monitoring 


Il mondo antifrode, oggi

Nel corso degli ultimi anni lo scenario delle frodi online si è evoluto di pari passo con la digital transformation. I processi e gli strumenti antifrode hanno dovuto adeguarsi a questa evoluzione e orientarsi verso un approccio omnicomprensivo, che tiene conto delle diverse sorgenti di rischio. Oggi, le frodi online non impattano più solo le banche e il commercio digitale e l'idea della "mitigazione del rischio" si è evoluta in un più ampio e complesso concetto di "digital trust".

L’evoluzione delle frodi online

Per anni, il mondo antifrode è stato focalizzato principalmente sul monitoraggio delle transazioni e sulla protezione della fase di login degli utenti. Obiettivo principale: identificare e prevenire movimenti di denaro “sospetti” e il cosiddetto Account Takeover (ATO).

Il panorama si è poi evoluto e attualmente copre una gamma molto più ampia di casi d’uso, coinvolgendo tipologie di aziende diverse: da quelle che storicamente sono state sempre più colpite e attente a queste problematiche, ovvero banche e commercio digitale, al mondo delle assicurazioni, delle telecomunicazioni, della salute, dell’educazione, dell’intrattenimento e, in generale, a qualsiasi business che offra prodotti o servizi online.

La digital transformation ha consentito l’introduzione di nuovi servizi e lo sviluppo di nuovi metodi e canali di pagamento. La volontà di attrarre una clientela sempre più ampia e quindi, anche, di creare servizi più facilmente fruibili, ha spinto le aziende a offrire ai propri clienti funzionalità e agevolazioni sempre più spinte, anche a discapito della sicurezza.

Questo, di conseguenza, ha alimentato nuovi scenari di frode.

Se storicamente il concetto di frode è sempre stato associato a quello di perdita diretta (un bonifico verso un IBAN fraudolento, ad esempio), lo scenario attuale ha ampliato questa prospettiva, includendo anche le cosiddette perdite indirette.

Identità Sintetiche

Le Identità Sintetiche sono identità digitali che vengono create online sfruttando un mix di dati veri e di dati contraffatti o attingendo completamente a dati rubati (reperiti, ad esempio, sul dark web o a valle di campagne di phishing). Queste identità derivano dai processi di creazione di account online che, molto spesso, sono disegnati per essere svolti interamente online, veloci e facili. Spesso, non sicuri.

Le identità sintetiche possono essere utilizzate per diversi scopi, a seconda del settore in esame. Nel campo finanziario, ad esempio, possono essere sfruttate per creare delle linee di credito fittizie o per riciclare denaro.

I rischi derivanti dalla creazione di account falsi variano a seconda del contesto ed in alcuni casi, come per il settore bancario, rappresentano una violazione della compliance normativa.

Policy Abuse

Nel Policy Abuse rientrano diversi scenari fraudolenti. Il concetto è usare impropriamente o abusare di un benefit messo a disposizione dal servizio.

Un esempio è il cosiddetto Bonus o Promotion Abuse, nel quale uno stesso utente sfrutta il multi-accounting per usufruire più volte delle promozioni all’iscrizione (come codici promozionali o free-trial) o per accumulare bonus derivanti da iniziative come le classiche “Invita un amico”.

Un altro esempio è legato invece alle politiche dei resi e dei rimborsi: un utente che acquista un prodotto, lo usa, e poi lo restituisce danneggiato (e quindi inadatto alla rivendita) oppure un utente che richiede un rimborso sostenendo (falsamente) di non aver mai ricevuto l’articolo.

Il Policy Abuse è uno scenario di frode molto ostico da contrastare poiché sfrutta direttamente le politiche che le aziende mettono in atto per consolidare il loro parco clienti e per attirarne di nuovi, e da cui devono derivare benefit competitivi e facili da ottenere.

Anche la tipologia di frodatori coinvolti varia molto: non solo frodatori professionisti ma anche semplici utenti “furbi”.

Content Abuse

Il termine Content Abuse si riferisce alla possibilità di pubblicare contenuti online che ingannano l’utente e ne influenzano le scelte.

Oggi, per un qualsiasi business online, la presenza di contenuti falsi può determinare il successo o l’insuccesso del brand. Il problema non risiede unicamente nella presenza del contenuto falso ma spesso da ciò che ne deriva.

Si pensi, ad esempio, ad un marketplace che ospita venditori che truffano gli acquirenti offrendo servizi o prodotti inesistenti o alla presenza di recensioni false, che direzionano le scelte dei consumatori.

Il panorama attuale, spesso privo di controlli in tal senso, alimenta l’ecosistema delle frodi che, in questo caso specifico, influisce in maniera importante anche sulla brand reputation e può essere la causa del brand abandonment.

Punti chiave di una strategia antifrode

I processi antifrode e le relative tecnologie e strumenti devono quindi essere capaci di gestire il rischio durante tutte le interazioni tra utente e servizio. Principalmente in tre fasi:

  • Creazione dell’account
  • Login dell’account
  • Transazione o, genericamente, attività dell’account

Le tecnologie e gli strumenti a supporto sono di molteplice natura ma sicuramente includono due famiglie principali: i “classici” strumenti utilizzati per l’identificazione delle frodi (transaction e event monitoring, anti-malware e threat intelligence) e gli strumenti orientati alla verifica delle identità (strumenti di Identity Proofing and Affirmation, come behavioral biometrics, device fingerprint, sistemi di verifica dei documenti, etc..).

In quest’ottica, i punti critici riguardano essenzialmente due aspetti:

  • La correlazione dei dati provenienti da sorgenti diverse consente ai motori di rischio di effettuare una profilazione più spinta e di costruire baseline di comportamento più solide. La correlazione può anche aiutare le analisi “post mortem”, facilitando i processi d'investigazione.
  • L’orchestrazione dei diversi strumenti ha una duplice funzione: da un lato permette di collezionare i segnali di rischio dalle diverse sorgenti per coordinare un’unica azione di prevenzione; dall’altro consente di automatizzare molte attività svolte dagli analisti antifrode, spesso ripetitive e dispendiose (come la chiusura degli incidenti), andando a ottimizzare il processo e l’utilizzo degli strumenti stessi.

L’approccio RAD

Il contesto attuale impone un continuo trade-off tra sicurezza, user experience, compliance e ottimizzazione delle risorse (umane e tecnologiche).

Prendendo atto di tutti questi fattori, RAD supporta i suoi clienti nella definizione, valutazione, sviluppo e manutenzione delle strategie e delle soluzioni antifrode, adottando un approccio omnicomprensivo, che tiene conto delle tendenze e degli scenari attuali, con focus su tecnologie e processi.

Scopri come RAD può aiutare la tua azienda attraverso il suo competence center di Fraud Detection,Prevention & Response