Test di penetrazione e scansione automatica
Test di penetrazione vs scansione automatica: un argomento che viene alla luce abbastanza spesso.
A volte vista come equa tra le aziende che cercano di migliorare la propria sicurezza, non potrebbe essere più lontana dalla verità.
Molte persone credono che una scansione automatica delle proprie risorse sia sufficiente per spuntare le caselle sui framework. Framework come ISO 27001, PCI-DSS e HIPAA li separano in categorie distinte.
Questi framework segmentano sia i test di penetrazione che la scansione automatica in modo che entrambi debbano spuntare le caselle.
La scansione automatica delle applicazioni di rete e web consente all'utente di comprendere le vulnerabilità a cui è esposto.
Un penetration test viene invece eseguito da una persona qualificata. Di solito vengono affidati a un team esterno per individuare vulnerabilità e punti deboli che gli strumenti di scansione automatici non sono in grado di rilevare.
Un penetration tester può utilizzare software nel suo lavoro quotidiano come Metasploit. Non deve essere confuso con l'esecuzione di un penetration test automatizzato.
Il giorno dei servizi di sicurezza in outsourcing
In questo momento vediamo emergere molte aziende che offrono servizi di test di penetrazione. Devi stare attento a chi permetti di svolgere questo lavoro.
Ci sono state segnalazioni di penetration tester che eseguono solo scansioni automatiche su infrastrutture e applicazioni web. Producono un rapporto automatico affermando di aver condotto un test di penetrazione completo.
Un penetration test dovrebbe includere l'analisi dei punti deboli dell'ingegneria sociale e delle debolezze nella logica aziendale che gli scanner automatici non sono in grado di rilevare. Inoltre, cercano vulnerabilità zero-day che non rientrano nell'ambito degli scanner automatici.
Quindi, se un penetration test non si limita alla scansione automatica, perché non utilizziamo solo i penetration tester?
Il penetration test è complementare alla scansione automatica.
Gli scanner possono rilevare le vulnerabilità a una velocità molto più rapida rispetto a un test di penetrazione manuale. Osserva cose diverse da quelle che esaminerebbe un penetration tester.
Il penetration test non è un processo automatizzato, ma un esercizio che richiede molto tempo e non può essere eseguito 24 ore su 24, 7 giorni su 7. Invece uno scanner può essere lasciato in funzione ininterrottamente e cercare le vulnerabilità.
La penetrazione è in genere un esercizio costoso che viene eseguito ad hoc.
Quali sono i vantaggi della scansione automatica?
La scansione automatica è esattamente ciò che c'è scritto sulla scatola. È un processo automatizzato che non richiede l'intervento umano e che viene eseguito in background mentre prosegui il tuo lavoro.
Gli scanner rilevano la struttura delle reti e delle applicazioni web mentre mappano le vulnerabilità.
Questo processo viene talvolta definito test di penetrazione automatizzato e dovrebbe essere la base di qualsiasi organizzazione che desideri proteggere i propri asset.
Il primo passo nella scansione automatica è darci un'immagine del nostro superficie di attacco.
L'ambito degli scanner di vulnerabilità dipende dallo strumento utilizzato. In realtà, dovresti utilizzare uno strumento che rilevi le vulnerabilità di vari segmenti dell'organizzazione.
Dovremmo eseguire una scansione continua delle applicazioni Web e delle reti e anche esaminare l'errata configurazione dei servizi cloud.
Un buon strumento fornirà anche una qualche forma di gestione delle vulnerabilità in modo da poter confermare ciò che è stato corretto.
È inoltre necessario comprendere il punteggio di rischio delle vulnerabilità rilevate e l'impatto in caso di sfruttamento.
Con che frequenza dobbiamo eseguire le nostre scansioni?
Non ci sono linee guida stabilite negli standard, tranne per il fatto che è obbligatorio eseguire scansioni periodiche per individuare le vulnerabilità sulle risorse web e sull'infrastruttura di rete.
Esistono due segmenti per il test delle vulnerabilità, uno manuale e l'altro automatizzato.
Abbiamo conosciuto persone che acquistano scanner solo per sottoporsi a una scansione una volta all'anno per conformarsi.
Tuttavia, se desideri mantenere la sicurezza, ti consigliamo di eseguire una scansione continua delle risorse di rete e Web per assicurarti di essere completamente aggiornato sullo stato del tuo livello di sicurezza.
Integrazione delle scansioni delle vulnerabilità nei flussi di lavoro
Il modo più semplice per monitorare continuamente le vulnerabilità è automatizzare veramente il processo integrandolo nei flussi di lavoro.
Per le applicazioni web, ciò significa integrare lo scanner nell'ambiente CI/CD e attivare le scansioni in determinate fasi della pipeline.
Dopo ogni modifica del codice, quando il codice viene messo in produzione, deve essere attivata una scansione.
I buoni strumenti lo faranno in background e invieranno notifiche via e-mail alla persona responsabile senza che nemmeno si accorga della presenza dello strumento.
Non appena le vulnerabilità vengono risolte, dovrebbe eseguire una nuova scansione per confermare la correzione ed emettere un nuovo rapporto.
Il codice non deve essere messo in produzione finché tutte le vulnerabilità non sono state risolte o non sono state contrassegnate come ignorate o false positive all'interno dello strumento.
La scansione della rete dovrebbe essere integrata nei flussi di lavoro e avere un elemento continuo in modo da avere una comprensione completa del quadro del vostro stato di sicurezza.
Usando 3rosso parti per monitorare le vulnerabilità
Molte aziende non hanno le competenze per eseguire autonomamente la gestione e la valutazione delle vulnerabilità e quindi esternalizzarle a società terze come MSP e MSSP.
Gli MSP possono occuparsi del monitoraggio e produrre report ad hoc per farti capire quanto sei sicuro.
Gli MSSP forniscono spesso servizi di penetration test oltre alla scansione automatica, che è più costosa rispetto a una scansione automatica.
Se sei preoccupato per il tuo stato di sicurezza e non ritieni di avere le competenze per rimediare, possiamo metterti in contatto con uno dei nostri MSP che utilizzano Resilient X per gestire il livello di sicurezza dei propri clienti.
