Coinvolgere i clienti nelle procedure di testing dell’infrastruttura informatica. Per aumentare la loro consapevolezza. Ne parliamo con l’ethical hacker Gianluca Boccacci
L’ousourcing dei servizi di sicurezza comprende diversi tipi di attività svolte nel perimetro applicativo e di rete dell’azienda cliente. Troppo spesso però il cliente si disimpegna pensando sia sufficiente avvalersi di fornitori esterni che “sistemino tutto”. In realtà sebbene tecnicamente sia corretto avvalersi di professionisti e tecnici specializzati nelle discipline della sicurezza informatica, l’errore più grande è dimenticare che la responsabilità ultima resta all’azienda stessa. Normative come il General Data Protection Regulation (GDPR) e la NIS segnano un punto di svolta in questo senso, richiedendo la piena responsabilizzazione dei soggetti coinvolti nel trattamento dei dati e di quelli interessati da incidenti di sicurezza.
Anche se l’impostazione normativa regolatoria e sanzionatoria rappresenta una spinta verso un approccio alla corretta postura di sicurezza, ancora molte realtà si impegnano solo in termini di compliance senza una effettiva ed efficace azione operativa basata su una analisi di rischio, da cui far discendere interventi mirati. Gli esperti di sicurezza che da anni lavorano proprio con le aziende per favorire una corretta formazione ed awareness, garantire la chiusura di tutte le vulnerabilità riscontrate e per supportare una corretta gestione della sicurezza, spesso si trovano davanti ad una esigenza reale: una richiesta dei clienti sostanziata nella domanda “beh ma che facciamo dopo il Penetration Test?”. Oppure, nel caso peggiore, il report risultante rimane lettera morta e non viene dato seguito ad alcuna attività.
Un nuovo approccio
Gianluca Boccacci, Ethical Hacker e Penetration Tester che si occupa da diverso tempo di sicurezza offensiva, insieme ad alcuni partner ha proposto una soluzione, orientata a coinvolgere direttamente il cliente in una simulazione di un attacco: offrendo la possibilità di partecipare attivamente ad un Pen-Test, così si chiama in gergo, il cliente può osservare in tempo reale quello che succede e, ove possibile, come mitigare o risolvere la situazione. Una sorta di sfida tra blue team e red team, ovvero buoni contro cattivi.
Una consapevolezza “applicata” che permette al cliente di rendersi conto in tempo reale in cosa consistono i lateral movement di un attaccante, cosa significhi l’utilizzo di una powershell negli attacchi chiamati “Living off the land”, come si possa utilizzare un malware senza danneggiare il sistema per fare una reverse shell. Insomma si cerca di mostrare attacchi che un comune antivirus o un sistema che si basa solo sugli IOC (Indicatori di Compromissione) non potrebbe rilevare dato che le infezioni avvengono nella memoria volatile del PC e sono realizzati in modalità fileless, o possono avvenire anche senza l’impiego di malware. Il risultato di queste pratiche di formazione operativa ha portato un innalzamento del livello dell’attenzione e della consapevolezza da parte del cliente.
SI!: Introduciamo brevemente i Pen-Test. Cosa sono e che finalità hanno?
Gianluca Boccacci: Un Penetration Test (Pen-Test) serve ad identificare le vulnerabilità note e meno note simulando un tentativo di attacco da parte di un vero attaccante seguendo degli standard universalmente riconosciuti. Durante un Pen-Test si svolgono diversi task: ricerca dall’esterno o dall’interno di vulnerabilità nei sistemi informatici, identificazione di eventuali vulnerabilità per sfruttarle al fine di violare il perimetro della rete, analisi dei sistemi interni in maniera approfondita alla ricerca di ulteriori vulnerabilità, riassumere i risultati in un report. Ovvero un documento in cui sono riepilogate le vulnerabilità riscontrate e le possibili manovre correttive per eliminarle e/o mitigarle.
SI!: Perché evolvere verso le esercitazioni Red Team Vs. Blue Team?
GB: Perché ci siamo accorti che alla fine del Pen-Test mancavano le azioni successive e all’azienda rimaneva il report “sic et sempliciter”, che in molti casi restava “lettera morta”. Abbiamo quindi voluto sensibilizzare l’IT interno facendolo partecipare almeno come osservatore ma anche attivamente qualora lo volesse, nella attività di Pen-Test.
SI!: In cosa consistono e come si svolgono queste esercitazioni?
GB: Vengono forniti strumenti avanzati per permettere di osservare attacchi avanzati ma spesso coincidono anche con la PoC (Proof of Concept) di uno strumento di Endpoint Detection & Response (EDR) . Mediante tali strumenti si possono osservare le azioni degli attaccanti e intervenire con la mitigazione degli effetti più perniciosi.
SI!: Cosa impara chi partecipa e come si misura il livello di apprendimento raggiunto?
GB: Attraverso l’ausilio dello strumento si impara a conoscere il nemico osservando il comportamento, le tecniche e i mezzi degli attaccanti e si abilita una altrettanto concreta azione di remediation. Quindi non ci sono livelli di apprendimento, ma solo la “pratica sul campo” e l’esperienza diretta.
SI!: Esiste un percorso di addestramento?
GB: Il Pen-Test in azienda non è un gioco, ma una attività reale su una struttura preesistente. Non ci sono quasi mai percorsi e/o scenari ma tutto è basato sulle competenze di chi attacca, di chi difende o cerca di difendere al meglio, e di chi deve capire cosa sta succedendo nella sua azienda. Il ruolo degli attaccanti è quello di essere stealth: poiché gli attacchi non sono né preparati né preventivati/preventivabili, ma si realizzano sulla base della realtà di rete aziendale del cliente, quello che emerge è una situazione inattesa ma reale, sulla base della quale si misura e osserva il comportamento di detection e mitigazione o remediation.
Siamo perennemente in contatto con l’azienda durante lo svolgimento dell’attività. Il difensore viene addestrato ad usare alcuni strumenti e a vedere la sua rete nella sua totalità, eventualmente considerando aspetti che non aveva preso inizialmente in considerazione. Inoltre viene coadivuta sia durante il Pen Test, o con i suoi strumenti o con i nostri, a vedere l’attaccante che si muove tra i sistemi, sia alla fine durante la discussione del report. Quindi abilitiamo i soggetti preposti alla difesa per saper utilizzare gli strumenti appropriati, perché siano consci di quanto accade sia durante l’attività, sia nel momento della discussione del report.
SI!: Avete un lab oppure le dotazioni sono mobili o erogate mediante cloud? Insomma, se il cliente non ha infrastrutture IT da dedicare come operate?
GB: La simulazione Blue team/Red team viene effettuata là dove le aziende abbiano un minimo di CED interno con personale da dedicare all’attività medesima. La nostra soluzione ha la parte di monitoring sul cloud, ma il deploy viene fatto on premise dal cliente per la configurazione e per la breve formazione dell’utilizzo degli strumenti.
SI!: Che feedback formativo fornite a chi partecipa?
GB: Nel report del Pen-Test è contenuto tutto. E come spesso capita, chi prova tali strumenti vuole approfondire il discorso e si introducono concetti e pratiche operative di continuous assessment, in modo che quanto utilizzato possa diventare lo standard de facto aziendale in fase difensiva.
SI!: Come evolverà questo tipo di formazione nel futuro?
GB: Ci sono molte idee in proposito. Sicuramente lo scopo principale non è quella della sola formazione, ma di una esperienza “hands on” per rispondere alle minacce moderne. Ed è in questa direzione che bisogna continuare a ragionare.
