Ethical Hacking, un aiuto alla Cyber Resilience

Data: 9 Luglio 2024

Il Rapporto Clusit del 2024 afferma chiaramente che, di tutti gli incidenti rilevati negli ultimi 5 anni, quasi la metà (47%) è stata registrata nel 2023. Le minacce continuano ad aumentare, e i cyber criminali sembrano sempre più interessati alle organizzazioni, visto che – sempre nel 2023 – gli attacchi contro soggetti italiani sono aumentati del 65%. Inoltre, come se non bastasse, gli attacchi presentano un indice di gravità sempre maggiore:  l’81% del totale rientra oggi nelle categorie grave e critico, mentre nel 2019 lo era solo il 47%.

È palese che alle organizzazioni debba essere richiesto uno sforzo extra sul versante della cyber resilience. Non solo per fronteggiare un panorama di minacce in continua evoluzione, ma anche per non cedere terreno sul fronte della compliance, vista la prossima entrata in vigore (o meglio, avvio di efficacia) di NIS 2, prevista per il prossimo ottobre. L’ethical hacking è uno strumento su cui le aziende, all’interno delle proprie strategie di gestione del rischio cyber , possono fare affidamento.

 

Ethical Hacking nel contesto delle strategie di cyber resilience

Le strategie moderne di sicurezza informatica si sostanziano in un insieme di approcci e di strumenti che operano in sinergia per garantire all’azienda il miglior bilanciamento tra sicurezza e produttività.

L’ethical hacking rientra nell’ambito delle strategie preventive. La sua rilevanza dipende sì dal costante aumento delle minacce, ma anche dalla complessità dei sistemi informativi aziendali e dalle molteplici vulnerabilità che vi si annidano.

Un vulnerability scan, fondamentale per monitorare (periodicamente) le falle cui l’azienda è soggetta, è solo una piccola parte del tutto; per testare la reale resilienza dei sistemi, è infatti necessario che team competenti, ovviamente in accordo con l’azienda e il suo CISO, si muovano come i cyber criminali e sfruttino tutte le conoscenze, le tecniche di hacking e gli strumenti a loro disposizione per ottenere un accesso non autorizzato a sistemi, reti e dati. Lo scopo dell’ethical hacker, noto anche come hacker white-hat, è ovviamente quello di rilevare le vulnerabilità reali di una rete o di un sistema, con l’obiettivo di porvi rimedio in tempi brevi (Remediation Plan) e rendere del tutto inefficaci eventuali attacchi analoghi.

 

Ethical Hacking vs Penetration Testing: le differenze più comuni

Un altro pilastro degli strumenti di prevenzione è il penetration test, che molto spesso è utilizzato come sinonimo di ethical hacking.

Pur presentando molteplici punti di contatto, i due concetti sono in realtà diversi, poiché l’ethical hacker ha la massima libertà nell’utilizzo di metodi e di strumenti con cui raggiungere gli obiettivi che si è posto: il penetration test è uno di questi strumenti, ma l’hacker può anche effettuare dei vulnerability assessment,  o magari strutturare un elaborato piano di social engineering per trarre in inganno la vittima (es, con un BEC – Business Email Compromise) ed entrare così nei sistemi. Banalmente, potrebbe ingannare la vittima per venire in possesso di un suo asset fisico (PC, smartphone…), da cui avviare un percorso di esfiltrazione dei dati dai sistemi centralizzati. L’ethical hacking non basa le proprie tecniche solo sulle vulnerabilità dei sistemi informativi, ma sfrutta tutto il possibile (come farebbe un hacker black-hat) per ottenere il proprio scopo.

Il penetration testing, dal canto suo, è un’attività più specifica e circoscritta che la società affida a un team di specialisti dedicati. Lo scopo è a valutare la resilienza di uno specifico asset, sistema o rete rispetto a una serie di vulnerabilità rilevate dall’assessment o comunque conosciute. I penetration tester non hanno nessuna responsabilità o ruolo nella definizione delle strategie di sicurezza aziendale o nella gestione degli incidenti, mentre gli ethical hacker possono essere coinvolti anche in tal senso, data la conoscenza ampia e approfondita del panorama informativo aziendale.

 

Sfruttiamo le vulnerabilità a beneficio dei nostri clienti

Nell’ambito dei nostri servizi di cybersecurity preventiva, la simulazione di cyber attacchi da parte di threat actor e di insider è determinante per tutte le aziende più attente alla propria postura di sicurezza. A tal fine, ci avvaliamo di team altamente competenti in grado di sfruttare al meglio vulnerabilità, misconfiguration e social engineering, al fine di rendere gli attacchi al 100% analoghi a quelli reali.

Organizziamo quindi delle attività complesse di Full Targeted Assessment sia sulle componenti IT che OT delle reti aziendali e di Red Teaming per valutare in modo approfondito la sicurezza complessiva dei sistemi. Queste attività coinvolgono la simulazione di attacchi realistici da parte di team dedicati che lavorano in stretta collaborazione con il personale interno per individuare e correggere le debolezze nel sistema, migliorando la resilienza e la capacità di risposta a minacce sempre più frequenti, pervasive e insidiose.