La cybersecurity ha bisogno di hacking, ma etico. Il costo medio di un data breach a livello enterprise ha raggiunto i 4,35 milioni di dollari (IBM) e soltanto in Italia si verificano oltre 600 reati informatici al giorno (UEcoop). Il valore del dato, unito alla pressoché totale digitalizzazione del business e a normative sempre più stringenti, hanno reso il cybercrime un business organizzato e fiorente, dal quale deriva una costante lotta tra chi attacca e chi difende.
Cybersecurity: PMI sotto attacco
In questo mercato ci sono anche seri problemi di competenze. I player specializzati, i grandi provider e alcune enterprise attraggono i migliori talenti in circolazione: si crea così uno skills gap non indifferente, che soprattutto in area PMI si somma a budget limitati e considerazioni obsolete in base alle quali le piccole aziende non sarebbero attrattive per gli hacker. Cosa, purtroppo, lontana dalla realtà. Questo ha portato le imprese più lungimiranti ad affidarsi a servizi esterni di sicurezza gestita e, visto che buona parte degli incidenti è ancora riconducibile ad errore umano, a percorsi di formazione mirata. Di fatto, le PMI sono diventate un bersaglio preferenziale per il cybercrime proprio perché più esposte: meno remunerative, ma più facili da colpire.
Security Audit e le soluzioni automatizzate
Una volta realizzata la necessità di proteggersi efficacemente contro svariate fonti di rischio cyber, interne ed esterne, il primo passo è un security audit, una procedura complessa i cui pilastri sono il Vulnerability Assessment e il Penetration Testing, attività complementari ma non sovrapponibili. Se la prima è spesso automatizzata e mira a rilevare le vulnerabilità a livello di applicazioni, reti, device, sistemi e apparati, il Penetration Test replica le azioni dei veri hacker, sfrutta le debolezze e punta a raggiungere l’obiettivo senza causare danni.
Cos’è l’hacking etico
Il penetration test (o Pentest) è dunque una forma di hacking etico. È tradizionalmente eseguito in forma manuale, cosa che lo rende molto accurato (zero falsi positivi) ma anche laborioso e costoso. Da qui il successo dei sistemi di Automated Pentest, ovvero servizi cloud (SaaS) che sfruttano la potenza dell’AI e la conoscenza di diverse fonti esterne per rilevare le vulnerabilità e “hackerare” la rete e i sistemi interni, i siti web e i software di produttività, simulando in tutto e per tutto i movimenti di un attore malevolo. Come prevedibile, l’accuratezza è a favore della soluzione gestita da professionisti, velocità e costo puntano sull’automazione. Sono possibili forme ibride.
Hacking etico virtuale: le soluzioni e come sceglierle
Numericamente, le soluzioni di penetration test automatizzato sono in crescita. Sfruttano la potenza dell’AI per simulare le tecniche d’attacco più efficaci e ridurre o azzerare i falsi positivi.
Sul mercato coesistono soluzioni per un ampio range di esigenze e tipologie di impresa: dalla piccola struttura che necessita di un’analisi 100% automatizzata e non dispone di competenze dedicate fino alle piattaforme iper-specializzate, modulari e configurabili, dotate di funzionalità avanzate come diverse metodologie di test, valutazioni di conformità e capacità di integrazione con i processi CI/CD (Continuous Integration / Continuous Delivery) tipici dello sviluppo software moderno.
La scelta si può quindi basare su un mix di fattori, tra cui budget, funzionalità, costo, compliance, scalabilità, complessità di implementazione (che può essere nulla), capacità di reportistica, di remediation e assistenza da parte del vendor. Astra Pentest, a titolo d’esempio, combina attività manuali e automatiche, promette zero falsi positivi e integra funzionalità di compliance management.
Prodotta in Italia, la soluzione di Ethical Hacking Virtuale Cylock punta a differenziarsi dal panorama dei software di security per la semplicità di utilizzo, che non richiede competenze specialistiche né installazione o configurazione di software, l’erogazione come servizio cloud, i report dettagliati e la copertura funzionale, che coinvolge anche gli attacchi di phishing. Qui è sufficiente digitare un indirizzo IP per avviare l’attività di testing.
Particolarmente apprezzati dai professionisti sono poi: Burp Suite di PortSwigger, che offre una soluzione dedicata al Penetration Testing; la funzionalità di Automated Pentest della piattaforma Intruder; il servizio di Penetration Testing as a Service di Veracode.
E per gli errori umani?
Si è detto che buona parte degli incidenti cyber è ancora causata da errori umani, spesso determinati da scarsa consapevolezza dei temi di security da parte dei dipendenti. L’unica strategia realmente efficace è la security awareness, ovvero dei percorsi volti ad acquisire consapevolezza, strumenti di difesa e un po’ di sana diffidenza nei confronti di informazioni digitali e comportamenti che potrebbero rientrare nel social engineering.
Anche in questo caso, un assessment (o testing) è fondamentale per comprendere la security posture dell’azienda e può essere automatizzato da appositi tool come il Cylock citato in precedenza. Gli strumenti, in questo caso, hanno unicamente bisogno di un indirizzo email o di un numero di telefono per indirizzare vere e proprie campagne simulate di phishing (con tutte le sue varianti, comprese le BEC – Business Email Compromise), oppure dei malware/ransomware verso vittime totalmente ignare. Il comportamento degli utenti di fronte agli attacchi, che oltretutto replicano le vere mosse dagli hacker, determina un punteggio, che le imprese utilizzano per valutare l’efficacia delle proprie iniziative di awareness.