A volte, per migliorare la sicurezza della tua infrastruttura IT in azienda devi conoscere e applicare le stesse tecniche dei cybercriminali. Questo è il concetto alla base dell’offensive security. Ovvero la sicurezza offensiva, la possibilità di sfruttare delle tecniche avanzate e proattive per aumentare la sicurezza digitale.
Questo tipo di lavoro viene svolto da professionisti del settore della cybersicurezza che si definiscono hacker etici: figure specializzate che conoscono la materia del penetration testing e quella del bug finding software per definire dei test di vulnerabilità in grado di determinare le carenze di un sistema IT per metterlo in sicurezza. In sintesi, se vuoi aumentare la sicurezza della tua azienda devi investire nell’offensive security (OffSec). Vuoi approfondire l’argomento? Ecco qualche spunto interessante.
Indice dei contenuti
Cos’è l’offensive security, una definizione
Noto anche come OffSec o sicurezza offensiva, l’universo dell’offensive security racchiude tutte le attività necessarie per testare un sistema informatico con gli strumenti dell’hacking malevolo. Questo avviene, però, non per violare i dati ed effettuare dei crimini informatici ma al fine di individuare.
L’azione di offensive security, inoltre, viene svolta dai responsabili dell’azienda – o da specialisti incaricati dall’impresa – grazie a dei penetration test svolti con strumenti specifici proprio al fine di svelare falle e advanced persistent threats. In modo da porre rimedio prima che siano i malintenzionati a fare breccia con tutte le conseguenze del caso.
Una nota importante: offensive security, abbreviato in OffSec, è anche il nome di un’azienda americana che si occupa proprio di sicurezza informatica, test di penetrazione e forensica digitale oltre a distribuire una versione di Linux pensata per effettuare test di penetrazione (fonte Wikipedia).
Valore delle operazioni di sicurezza offensiva?
Il principio alla base dei test di vulnerabilità: mettere alla prova un’infrastruttura digitale – server, database – per fare in modo che non siano preda di malware, ransomware, SQL injection o altre minacce messe in atto da esperti informatici con intenzioni criminali, noti anche come black hat hacker.
Ma su quali operazioni si basa la sicurezza offensiva? Le attività di protezione mirano a definire delle protezioni – tipo firewall o antivirus – per evitare la penetrazione dei malintenzionati, ma impongono dei limiti importanti.
In primo luogo, possono diventare un impegno importante per il Cyber Security Manager che deve gestire un team in grado di analizzare i record e verificare come intervenire sulle minacce. Inoltre, c’è sempre il rischio di dover intercettare meccanismi sempre più raffinati e difficili da decifrare. Meglio anticipare il problema. Con l’OffSec attiviamo delle strategie di sicurezza proattive in grado di anticipare le attività malevoli. Questo avviene grazie al contributo di hacker etici che mettono al servizio delle aziende che hanno bisogno di questo servizio le capacità di mettere sotto torchio i sistemi di sicurezza con simulazioni di attacchi informatici.
La sinergia tra sicurezza difensiva e proattiva che viene attivata grazie alle operazioni degli ethical hacker permette alle aziende di avere il massimo controllo della propria infrastruttura. Questo è utile, ad esempio, per prevenire gli attacchi ransomware e difendersi dallo sneaky phishing: più in generale, ti aiuta a limitare i rischi di un attacco informatico professionale.
Quali sono le tecniche di offensive security?
Come puoi facilmente immaginare, esistono diverse attività da portare a termine per effettuare un controllo efficace in termini di sicurezza proattiva. Ad esempio, possiamo includere in questa lista i vari test di penetrazione, il lavoro di reverse engineering software e quello di vulnerability assessment.
Dal punto di vista operativo parliamo di un ciclo di Deming continui attraverso il quale analizziamo la condizione, definiamo dei percorsi per testare la vulnerabilità e analizziamo i dati per intervenire fattivamente sulle modifiche necessarie per aumentare la sicurezza. Poi si ricomincia a lavorare sulle tecniche di offensive security per assicurarci che tutto sia migliorato. ma quali sono le attività decisive?
Reverse engineering software
Iniziamo da un’attività fondamentale: analizzare un’applicazione o un software per comprenderne il funzionamento interno senza avere accesso al codice sorgente originale, alla documentazione, alle specifiche della casa costruttrice. Questo processo viene utilizzato per diversi scopi, come ad esempio identificare e correggere problemi o vulnerabilità.
Vulnerability assessment
La scansione delle vulnerabilità è un passaggio essenziale che ti consente di sfruttare determinati tool per scansionare e analizzare le condizioni dell’infrastruttura IT. Questo tipo di lavoro include la scansione delle configurazioni di sicurezza, l’identificazione di software obsoleti o non aggiornati, la rilevazione di errori di configurazione. Tutto ciò non implica la correzione ma l’identificazione dei problemi.
Red teaming
Si tratta di una strategia di offensive security conosciuta anche come simulazione avversaria in grado di identificare vulnerabilità, punti deboli e rischi all’interno di un sistema digitale. Questo viene fatto utilizzando finti attacchi ransomware e di ingegneria sociale per testare la resilienza e l’efficacia delle difese.
La particolarità è quella di simulare un attacco adottando il punto di vista di un avversario. Che è, appunto, il Red Team interno o messo a disposizione da un’azienda esterna: è un gruppo di esperti che vestono il ruolo di un’entità ostile per sfidare il Blue Team, responsabile delle difese). L’obiettivo, chiaramente, non è sabotare realmente l’infrastruttura aziendale ma migliorare la sicurezza, l’efficienza o le decisioni complessive attraverso un’analisi critica e proattiva.
L’interazione tra Red, Blue e Purple Team
Cosa significa Red Team, Blue Team e Purple Team? Questa tipologia di attività legata alla offensive security (il Red teaming) è un approccio proattivo che usa diversi team per testare, difendere e ottimizzare le difese aziendali. Abbiamo già definito il Red e Blue Team: questi gruppi sono contrapposti, mentre il Red Team è esperto in tecniche offensive e prova a violare il sistema, il Blue Team deve resistere, monitorare, rilevare e rispondere agli attacchi.
E il Purple Team? Coordina i test e traduce le informazioni delle simulazioni offensive in raccomandazioni utili per migliorare le difese. La collaborazione e lo scambio di informazioni tra di loro consentono di raggiungere un unico obiettivo: potenziare la resilienza complessiva della sicurezza IT aziendale.
Test di penetrazione
Le opzioni per iniziare a lavorare sulle tecniche e strategie di offensive security: i test di penetrazione, noti anche come penetration testing o pen test. Le operazioni ti permettono di avviare una simulazione controllata di un attacco informatico per valutare la resistenza di un sistema, una rete o un’infrastruttura IT contro eventuali minacce e vulnerabilità. Queste soluzioni ti consentono di individuare debolezze che potrebbero essere utilizzate da hacker con cattive intenzioni. Ed esistono anche diverse opzioni da mettere in campo.
Tipi di penetration testing
Questo tipo di attività presenta diverse sfumature. Nello specifico, possiamo parlare di black, white e gray box penetration testing. Nel primo caso, vale a dire il black box testing, l’esperto simula un attacco reale per identificare vulnerabilità attraverso scansione di rete, ricerca di falle nelle applicazioni, tentativo di accesso non autorizzato. La caratteristica?
Con questo approccio si valuta la sicurezza di un sistema o di un’applicazione senza avere alcuna conoscenza preventiva. L’esatto opposto si chiama white box testing (o glass box testing): ti consente di identificare vulnerabilità a livello profondo, come errori nel codice o problemi legati ai permessi per affrontare attacchi avanzati e/o mirati. Una via di mezzo? Il gray box testing che combina una prospettiva intermedia a livello di conoscenze, fornendo un’analisi importante delle vulnerabilità.
Principali tool di sicurezza offensiva
Per portare a termine le attività di offensive security appena elencate hai bisogno di diversi tool e strumenti per gestire questi aspetti estremamente tecnici. Le competenze sono importanti ma non puoi procedere senza software e programmi specifici. Ecco un breve elenco dei migliori tool per la sicurezza offensiva:
- Wireshark: un analizzatore di pacchetti di rete – o network protocol analyzer – che permette di monitorare e analizzare il traffico dati per rilevare anomalie.
- John the Ripper: un nome interessante ed evocativo per uno dei migliori cracking di password, un software di offensive security per individuare password deboli.
- Core Impact: abbiamo un framework professionale per capire come fare il tuo penetration test, puoi simulare attacchi reali e valutare l’efficacia delle difese di rete.
- Aircrack-ng: tool per la network security delle reti Wi-Fi. Lo puoi sfruttare per analisi, cracking di chiavi WEP/WPA e testing della robustezza delle reti wireless.
- Nmap: ancora uno scanner di rete e porte che viene utilizzato per mappare reti, individuare dispositivi attivi e identificare servizi e vulnerabilità nei sistemi.
- Acunetix: questo è un software dedicato all’analisi automatizzata delle vulnerabilità delle web application e API come XSS, SQL injection e configurazioni insicure.
- Burp Suite: suite di strumenti per test di sicurezza offensiva delle applicazioni web, molto utile per definire vulnerabilità e fare Hands-on web security testing.
- Sqlmap: un open source penetration testing tool per rilevare e sfruttare vulnerabilità SQL injection nei database, semplificando il tuo penetration testing di qualità.
- Nessus: suite di vulnerability assessment che scansiona i sistemi aziendali per identificare configurazioni errate, vulnerabilità e rischi di sicurezza.
Da non dimenticare, infine, Kali Linux. ovvero una distribuzione Linux progettata per il penetration testing e l’analisi forense. L’aspetto interessante: hai già i tool preinstallati per portare a termine la tua attività di testing per gestire la sicurezza informatica e gli attacchi alla tua rete.
Ruolo del CISO nella gestione della sicurezza offensiva
Chiaramente, alla base di questo lavoro di sicurezza proattiva ci sono delle professionalità ben precise. Alcune le abbiamo già presentate – gli ethical hacker, esperti in penetrazione dei sistemi digitali che sfruttano le competenze per fini virtuosi – ma alla base del lavoro corporate c’è il CISO, ovvero lo chief information security officer.
Questa è la figura che deve gestire la sicurezza dei sistemi informatici interni. Tra i suoi compiti essenziali troviamo la necessità di delineare un percorso di difesa in grado di contrastare le minacce, monitorando l’evoluzione delle possibili soluzioni per raggiungere l’obiettivo. Quindi si occupa anche di avanzare un piano di offensive security.
Questo approccio proattivo alla sicurezza informatica prevede delle strategie per identificare, simulare e anticipare potenziali vulnerabilità. Il CISO stabilisce gli obiettivi e la tipologia delle operazioni di sicurezza offensiva, dettando i tempi e le modalità dei penetration test con intervalli regolari, gestisce le simulazioni di attacchi informatici scegliendo strumenti avanzati per il rilevamento delle vulnerabilità.
Inoltre, una volta raccolti i dati analizza i risultati e prende delle decisioni rispetto a come migliorare la sicurezza, ripetendo i test in modo adeguato per verificare se le evoluzioni sono state significative ed efficaci. La valutazione dei risultati di vulnerability assessments e ethical hacking, insieme alla implementazione dei piani di mitigazione, sono fasi essenziali del lavoro svolto dal CISO nella gestione della sicurezza offensiva.
