Risk assessment: come un Penetration Test consente di valutare le potenziali vulnerabilità

Al giorno d’oggi non c’è azienda che non sia chiamata a fare “Risk Assessment”, ovvero a valutare il rischio informatico.
La minaccia di attacchi cibernetici che possono mettere a rischio la sicurezza di dati e operazioni è una realtà inevitabile per tutte le organizzazioni, sia nel settore pubblico che privato e in vari ambiti produttivi.

Negli ultimi anni, si sono diffusi a livello globale diversi framework che supportano l’implementazione di strategie di sicurezza efficaci per prevenire e ridurre questi rischi attraverso adeguati sistemi di governance.

Framework per la valutazione del rischio informatico

Molti dei framework di Risk Assessment sono versatili e possono essere adattati a qualsiasi ambiente, mentre altri sono specificamente progettati per settori particolari, riflettendo le loro esigenze uniche. Alcuni possono essere adottati liberamente (ad esempio, il NIST Cybersecurity Framework, i CIS Critical Security Controls), mentre altri offrono la possibilità di sottoporsi a processi di audit indipendenti che possono portare all’ottenimento di certificazioni (come la serie ISO 27000).

Comprendere il rischio di attacchi informatici nell’analisi dei rischi, o “risk analysis”, è fondamentale per riconoscere, prevenire e rispondere efficacemente alle minacce informatiche.

Risk Assessment

L’analisi dei rischi è un processo che aiuta a identificare, valutare e prioritizzare i rischi ai quali un’organizzazione può essere esposta, inclusi appunto quelli derivanti da potenziali attacchi informatici.

Definiamo Cyber Risk il rischio connesso al trattamento delle informazioni del sistema informatico di un’azienda (banche dati, hardware, software, processi, infrastrutture) che può riguardare la perdita di dati, il furto di informazioni sensibili, la violazione della sicurezza o l’interruzione dell’operatività aziendale.

Le attività di Risk Assessment (in italiano, valutazione del rischio), effettuate seguendo il framework di riferimento, sono svolte attraverso tecniche miste, combinando l’utilizzo di strumenti automatici con attività manuali allo scopo di testare lo stato di sicurezza dei sistemi, rilevarne le vulnerabilità e punti deboli e il loro possibile sfruttamento da parte di malintenzionati.

Descriviamo di seguito uno degli strumenti più efficaci del Risk Assessment: il Penetration Test.

Penetration Test

L’obiettivo di un Penetration Test non è solo quello di individuare le vulnerabilità presenti in un sistema, ma anche di aiutare a quantificare i rischi a cui si è esposti. Classificare in ordine di pericolosità le debolezze consente di prioritizzare le più critiche, in modo tale da avere un maggior impatto sulla sicurezza nel breve periodo.

Ma come possiamo assegnare questo valore?

4 criteri per valutare una vulnerabilità

Vi mostriamo di seguito i quattro criteri principali per valutare una vulnerabilità e come costruire il punteggio indicativo di rischio partendo da essi.

Gravità

La gravità, o severity, indica il peso della singola vulnerabilità a livello tecnico. Da sola non racchiude completamente la valutazione del rischio in una specifica situazione aziendale, ma offre una visione indicativa dell’importanza della vulnerabilità.
Viene misurata con lo standard CVSS, una metrica ideata dal NIST (National Institute of Standards and Technologies).
Nei nostri report, a conclusione di un cyber risk assessment, argomentiamo e mettiamo evidenza questo punteggio, che varia da 0 a 10.

Criticità

La criticità, o criticality, rappresenta l’importanza del componente vulnerabile nello schema generale del sistema. Ovviamente, più l’oggetto della debolezza è centrale, più il rischio per l’azienda sarà elevato.
Nella nostra metodologia di risk assessment, riportiamo nella descrizione della vulnerabilità il componente in oggetto, a cui poi, utilizzando le vostre conoscenze del sistema, potete associare un valore da 1 a 5, dove 1 è il componente marginale e 5 è il cuore della rete.

Probabilità di un attacco

La probabilità, o likelihood, è la plausibilità di avvalersi della vulnerabilità con successo. Non tutte le debolezze sono sfruttabili in modo deterministico, perciò nel calcolo del fattore di rischio ne teniamo conto, assegnando come prima un numero da 1 a 5, dove 1 rappresenta una vulnerabilità sfruttabile molto raramente e 5 una vulnerabilità che porta sempre esito favorevole.

Impatto

L’impatto, o impact, riflette la serietà delle conseguenze se la vulnerabilità dovesse essere sfruttata da un attore malevolo. Le conseguenze possono essere molteplici, ad esempio: finanziarie, sull’immagine dell’azienda, sull’ambiente.
Anche qui è utile assegnare un numero da 1 a 5, da conseguenze minime a conseguenze catastrofiche.

Calcolo del fattore di rischio

Una volta trovati i valori di severity, criticality, likelihood e impact, li si può combinare per calcolare il valore di rischio:
risk=(severity+(criticality*2)+(likelihood*2)+(impact*2))/4

Prendiamo ad esempio due vulnerabilità fittizie:
La vulnerabilità 1 ha un punteggio CVSS di 3, ma impatta il cuore dell’azienda e viene sfruttata con successo circa il 75% delle volte. Le conseguenze sono abbastanza significative, ma nulla di estremo.Assegneremo perciò, oltre al già stabilito punteggio di severity pari a 3, un punteggio di criticality di 5, uno di likelihood pari a 4 e uno di impact uguale a 3. Applicando la formula, otteniamo un punteggio di rischio di 6.75.
La vulnerabilità 2 ha un punteggio CVSS di 8, ma impatta solo le interfacce di due macchinari di limitata importanza. Viene sfruttata sempre con successo, ma ha conseguenze marginali sul business.
Assegneremo quindi, oltre al punteggio di severity pari a 8, un punteggio di criticality di 1, uno di likelihood pari a 5 e uno di impact uguale a 2. Applicando la formula, otteniamo un punteggio di rischio di 6.
Conviene quindi prioritizzare la vulnerabilità 1.

Conclusioni

Riassumendo, tenendo conto di alcune variabili possiamo calcolare un valore indicativo di rischio per ciascuna vulnerabilità trovata in un Penetration Test, così da poter prioritizzare correttamente le operazioni di messa in sicurezza.
Esplora i servizi di Betrusted di Checkup e valutazione del rischio.