AziendeIntervisteSicurezza

Testare le difese informatiche di un’azienda, intervista ad Antonio Fiorito di Innovery

Dal Red Teaming alla Disaster Simulation: come accertarsi delle necessità di cybersecurity della propria società

La protezione del perimetro informatico di un’azienda, la frammentazione per evitare la diffusione del malware, i backup costanti per proteggere le informazioni. Tutte misure necessarie per ogni azienda, specie in questo periodo. Ma tutte misure ‘teoriche’, fino a quando non si mettono alla prova. Dal red team testing alla disaster simulation, ci sono diversi modi per testare le difese informatiche della propria azienda: ce li siamo fatti raccontare da Antonio Fiorito, Offensive Security & Cyber Threat Intelligence Director di Innovery.

L’Offensive Security spiegata da Antonio Fiorito di Innovery

Nata nel 2001, Innovery ha visto in più di vent’anni una rivoluzione completa della sicurezza informatica. La società ICT con focus sulla Cybersecurity oggi ha dieci sedi in Italia, Spagna e Messico, che vedono più di 350 esperti lavorare con clienti importanti. In ambiti come il settore energetico, finance e molti altri. E se “prima avevamo soprattutto clienti livello enterprise, oggi anche le aziende di medie dimensioni sentono il bisogno di una sicurezza completaspiega Fiorito.

L’azienda offre diversi servizi al suo interno, dall’e-government all’identity e access management, passando per la sicurezza di rete e per i servizi di response team. Ma la complessità stessa delle aziende sta crescendo velocemente, con applicazioni web, dispositivi IoT e accessi mobile. Tanto che il team di Offensive Security & Cyber Threat Intelligence gestito da Fiorito riveste un ruolo sempre più centrale nelle operazioni di Innovery.

Antonio Fiorito, Offensive Security & Cyber Threat Intelligence Director di Innovery
Antonio Fiorito, Offensive Security & Cyber Threat Intelligence Director di Innovery

Testare le difese di un’azienda

L’obiettivo della divisione di Offensive Security di Innovery è quello di ‘bucare’ le difese informatiche (e anche fisiche) di un’azienda. Questo permette di fare una fotografia della cybersecurity aziendali, dando alle aziende la possibilità di rimediare.

Ma Fiorito mette subito in chiaro: “il nostro tasso di successo nella penetrazione del perimetro è del 100%, nessun’azienda può difendersi a oltranza”. Ma seguendo le aziende nel tempo (“almeno per tre anni, a seconda delle esigenze”) e testando più volte le nuove misure messe in pratica, diventa possibile allungare i tempi di intromissione e mettere al riparo i propri dati. Segmentare la rete e fare formazione in azienda permette di evitare “gli attacchi dei ‘newbie’, gli hacker ancora in erba di cui sentiamo parlare in questo periodo” e limitare i danni con attacchi più sofisticati.

Un processo che però non compromette la business continuity “che per noi è al primo posto” né mette a rischio gli asset aziendali. Il tema di Offensive Security di Innovery infatti rispetta gli standard internazionali e tutela le aziende con cui lavoro (e come potrebbe essere diversamente dopo vent’anni di attività?).

Offensive Security: come Innovery attacca il perimetro

Antonio Fiorito ci spiega che il primo passo quando lavorano con un nuovo cliente è capire quali sono gli asset che bisogna difendere. Sebbene tutte le aziende preferirebbero tenere alla larga gli hacker dalla propria rete senza eccezioni, capire quali sono le attività e le risorse core business diventa importante quando si organizza la difesa.

A questo punto “testiamo singolarmente ogni asset. Verifichiamo ogni accesso, ogni porta, capiamo quale versione del servizio stanno utilizzando”. In questo modo gli esperti di Innovery possono “verificare se sono state pubblicate vulnerabilità ed exploit”.

Questa prima analisi mostra in maniera meno aggressiva se ci sono delle vie di accesso semplici per gli hacker nei sistemi della azienda. A questo punto diventa già possibile per i clienti leggere i report di Innovery, che riportano ogni riga di codice utilizzato in modo che i clienti possano replicare gli stessi test in maniera indipendente. E Innovery può già fornire delle ‘remediation’ tramite la business unit che si occupa di difesa.

Ma ci sono metodi più diretti per capire i rischi che si corrono: la simulazione dell’infiltrazione.

Red Team Testing e disaster simulation

red team testing offensive security innovery-min

Il Red Team Testing (RTT) simula le pratiche di un vero e proprio attacco da parte di hacker intenzionati a colpire l’azienda. Quindi non valuta solo processi e reti, ma anche il comportamento delle persone. “A seconda della situazione attacchiamo anche di notte o durante le ferie, testiamo i limiti della sicurezza in toto”. Dopo aver raccolto informazioni e pianificato nei dettagli un attacco, il team di hacker etici di Innovery fa breccia nel perimetro e cerca di fare un’escalation dei privilegi, assicurandosi il controllo il più a lungo e il più esteso possibile.

La disaster simulation, che Fiorito ci spiega aver “portato in Italia” per primo, simula cosa succede nel caso malaugurato in cui un dipendente non molto attento fa doppio click su un malware. Che poi prende possesso della rete (nell’ultimo periodo simulano spesso il comportamento di un ransomware).

Questo tipo di attacchi vuole testare realmente come si comporta il “blue team” della difesa in queste situazioni. E Fiorito ci spiega che spesso “possono solo rendersi conto dell’avvenuta infezione, senza riuscire a fermarla. Abbiamo avuto casi in cui dopo la ‘detonazione’ del malware in soli 35 minuti siamo riusciti a diventare amministratori di rete, superando ogni forma di segregation e ripartizione interna”.

Il team di Fiorito può sempre fare un ‘roll back’ totale per rimediare ai danni fatti in toto. Ma se fossero attacchi di cybercriminali, non sarebbe così. In questo modo le aziende possono capire gli effetti veri di un attacco hacker, senza subirne le amare conseguenze.

Il primo passo per risolve un problema e riconoscerne l’esistenza

Gli attacchi di Offensive Security di Innovery permettono alle aziende di capire quali rischi corrono. E operare per rimediarli. “Oltre a suggerire migliori protezioni di endpoint e servizi completi di cybersecurity, forniamo anche corsi di formazione strutturati proprio sulle vulnerabilità specifiche delle aziende“. Con approcci Zero Trust e segmentazioni opportune, le aziende possono rendere difficile (e quindi anti-economico) il lavoro degli attaccanti.

Ma prima ancora di capire quali sono le vulnerabilità, serve capire che queste ci sono e vanno affrontate. “Non pensiamo che nessun settore e nessuna azienda sia esenteci spiega Fiorito, nonostante ci siano settori che hanno questo tipo di test come obbligo di legge mentre altri siamo meno normati. “Questi test sono attività che dovrebbero fare tutti, soprattutto le simulazioni di ransomware“.

L’esempio più calzante che riusciamo a trovare è quello delle simulazioni antincendio o terremoto: nessuno vuole farle, ma nessuno vuole scoprire una falla nel piano quando il problema non è un’esercitazione. La sicurezza non è teoria, è pratica virtuosa: e va testata.

Trovate maggior informazioni su Innovery a questo indirizzo.

Bestseller No. 1
XPS 15 9500 I5 8/512 15 W10P 1Y
  • XPS 15 9500 I5 8/512 15 W10P 1Y

Stefano Regazzi

Il battere sulla tastiera è la mia musica preferita. Nel senso che adoro scrivere, non perché ho una playlist su Spotify intitolata "Rumori da laptop": amo la tecnologia, ma non fino a quel punto! Lettore accanito, nerd da prima che andasse di moda.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Back to top button