Il campo della Cyber Security comprende tutte le attività che le aziende e i team di sicurezza intraprendono per proteggere se stessi e le loro risorse IT dagli attacchi. Questo include compiti di sicurezza sia difensivi che offensivi.
La sicurezza offensiva prevede l'utilizzo degli stessi strumenti, tattiche e tecniche che un vero attaccante utilizzerebbe per colpire un'organizzazione. Tuttavia, invece di usare queste tecniche per causare danni, i team di sicurezza possono usarle per migliorare la sicurezza di un'organizzazione.
I difensori informatici giocano un costante gioco del gatto e del topo con i criminali informatici e altri attori delle minacce informatiche. Man mano che gli aggressori sviluppano nuovi strumenti e tecniche, i difensori implementano le difese contro di essi. Poi, gli aggressori lavorano per aggirare queste difese.
Se un'organizzazione si avvicina a Cyber Security solo da una prospettiva difensiva, allora gli strumenti e le difese che sviluppa vengono messi veramente alla prova solo quando l'organizzazione viene attaccata. Inoltre, lo sviluppo di nuove difese avviene nel vuoto, con una visione limitata di ciò che è effettivamente necessario per chiudere le falle nelle difese di un'organizzazione.
Offensive Cyber Security fornisce alle organizzazioni un mezzo per testare le loro difese e identificare le lacune di sicurezza che devono essere affrontate. Simulando gli attacchi del mondo reale, i test offensivi di Cyber Security identificano le vulnerabilità che rappresentano il rischio maggiore per un'organizzazione, consentendo all'azienda di concentrare gli investimenti e gli sforzi per la sicurezza dove si ottiene il massimo ritorno sugli investimenti.
Il sito Cyber Security difensivo comprende gli sforzi che un'organizzazione compie per proteggersi dagli attacchi. L'implementazione di soluzioni di sicurezza, l'applicazione di politiche di sicurezza, la formazione dei dipendenti per riconoscere gli attacchi di phishing e altri sforzi simili rientrano tutti nell'ambito della difesa. Il sito Cyber Security difensivo comprende sia il tentativo proattivo di impedire che si verifichino attacchi informatici, sia il tentativo reattivo di identificare, bloccare e mitigare gli attacchi in corso.
In sostanza, Cyber Security offensivo è ciò da cui Cyber Security difensivo lavora per proteggere. I criminali informatici testano, aggirano e superano le difese di un'organizzazione per rubare dati o causare danni. Gli hacker etici testano, aggirano e sfondano le difese di un'organizzazione per trovare le falle, in modo da poterle riparare prima che un vero attaccante possa approfittarne.
Un programma Cyber Security maturo incorpora attività Cyber Security sia offensive che difensive. Questa combinazione difende l'organizzazione dalle minacce informatiche e utilizza le tecniche offensive di Cyber Security per perfezionare e migliorare queste difese.
La scansione delle vulnerabilità è un processo automatizzato utilizzato per identificare le vulnerabilità nelle applicazioni di un'organizzazione. Uno scanner di vulnerabilità cercherà di identificare le applicazioni in esecuzione sui sistemi di destinazione e di determinare se contengono vulnerabilità. Questo può avvenire attraverso una combinazione di ricerca di vulnerabilità note per una particolare versione del software e l'invio di input dannosi - come le comuni stringhe di iniezione SQL - a un'applicazione.
La scansione delle vulnerabilità è comunemente utilizzata dagli attori delle minacce informatiche per identificare le vulnerabilità potenzialmente sfruttabili in preparazione di un attacco. Eseguendo scansioni regolari delle vulnerabilità, un'organizzazione può identificare e chiudere queste vulnerabilità prima che possano essere sfruttate.
Il test di penetrazione è una forma di test di sicurezza offensivo in cui un essere umano testa le difese informatiche di un'organizzazione. Queste valutazioni sono progettate per identificare il maggior numero possibile di vulnerabilità nelle difese di un'organizzazione.
I pen-test possono identificare vulnerabilità che sfuggirebbero a uno scanner automatico, perché sono guidati dall'intelligenza e dalla conoscenza umana. I pen-test regolari aiutano le organizzazioni a chiudere le vulnerabilità che hanno maggiori probabilità di essere sfruttate da un attaccante umano.
Le esercitazioni del team rosso sono simili ai pen-test, in quanto vengono eseguite da persone, non completamente automatizzate. Una differenza importante è che gli impegni dei red team testano le difese di un'organizzazione contro una particolare minaccia, mentre i pen test sono progettati per identificare il maggior numero possibile di vulnerabilità.
Gli esercizi a squadre blu e viola si riferiscono al coinvolgimento di diverse parti nell'esercizio e al loro livello di collaborazione. Per esempio, un'esercitazione a squadre viola comporta una maggiore collaborazione e condivisione di conoscenze tra la squadra rossa offensiva e la squadra blu difensiva.
Le valutazioni del Red Team hanno lo scopo di imitare gli attacchi del mondo reale, spesso con un obiettivo particolare, come la violazione dei dati o la consegna di ransomware. Eseguendo regolarmente dei test di penetrazione, un'organizzazione può identificare le vulnerabilità che un attaccante umano troverebbe e sfrutterebbe, consentendole di colmare queste lacune di sicurezza.
Gli esercizi white-box, black-box e gray-box non sono una forma diversa di valutazione. Invece, descrivono il livello di conoscenza e di accesso concesso agli aggressori. Ogni approccio ha i suoi pro e contro:
Questi tre approcci ai test di sicurezza offensivi possono essere applicati a qualsiasi forma di test sopra menzionata. Con maggiori conoscenze e accesso, un pen tester o un red teamer ha più opzioni rispetto a una valutazione black-box. Allo stesso modo, le conoscenze e gli accessi aggiuntivi possono influenzare il posizionamento e la configurazione degli strumenti automatizzati per la scansione delle vulnerabilità.
Molti dei test menzionati in precedenza si concentrano sul colpire i sistemi IT di un'organizzazione e sull'eludere le difese digitali. Tuttavia, molti attori delle minacce informatiche prenderanno di mira l'elemento umano nei loro attacchi, piuttosto che cercare di identificare e sfruttare le vulnerabilità del software.
I test di ingegneria sociale si concentrano sulla valutazione del livello di protezione dei dati e dei sistemi da parte dei dipendenti, degli appaltatori e così via di un'organizzazione. Gli ingegneri sociali utilizzeranno l'inganno, la manipolazione e tecniche simili per ingannare o costringere gli obiettivi a compiere un'azione che avvantaggi l'attaccante, come la consegna di dati sensibili o la concessione dell'accesso ad applicazioni o spazi aziendali sicuri.
I test offensivi di Cyber Security sono una componente essenziale di una strategia aziendale efficace di Cyber Security. Senza i mezzi per eseguire attacchi simulati, un'organizzazione non ha la possibilità di capire l'efficacia delle sue difese e le vulnerabilità più probabili da sfruttare da parte di un attaccante. Queste informazioni sono fondamentali per sviluppare strategie di sicurezza e pianificare investimenti strategici.
Check Point offre una serie di servizi di sicurezza offensiva, che comprendono valutazioni sia automatizzate che guidate dall'uomo. Con il Security CheckUp gratuito di Check Point, può identificare molte delle principali minacce e vulnerabilità del suo ambiente che devono essere affrontate.
Check Point Professional Services offre anche una serie di servizi progettati per aiutare a migliorare la maturità del programma di sicurezza della sua organizzazione. Questo include sia l'identificazione delle vulnerabilità che la fornitura di un supporto a breve o lungo termine per migliorare le difese informatiche e prevenire i cyberattacchi contro la sua organizzazione.