La scansione delle vulnerabilità è nata come uno strumento utile per i “cattivi”. Ora, invece, è un metodo che aiuta concretamente le aziende a trovare le porte di rete esposte e le applicazioni a rischio di attacco.
Prima di poter penetrare il network di un’organizzazione, gli hacker hanno bisogno di sapere quali sono i suoi punti più vulnerabili. Ciò significa che utilizzano gli strumenti di scansione esattamente come fanno i pescatori con le reti a strascico, per identificare le porte di rete aperte o le applicazioni e i sistemi operativi poco sicuri.
Negli ultimi anni, questa idea è stata oggetto di una sorta di reverse engineering e gli strumenti di scansione sono oggi utilizzati per identificare in anticipo le vulnerabilità e sanarle prima che vengano scoperte dai pirati informatici. Il fatto è che molte aziende non sembrano approfittare di questi strumenti o, se lo fanno, non ne fanno un uso appropriato e approfondito.
Gartner Research stima che ben l’85% degli attacchi di rete che risolve in un successo per i cybercriminali avviene sfruttando vulnerabilità per le quali le patch e le correzioni sono già state rilasciate.
Ora c’è un universo intero di applicazioni Web based in rapida espansione che gli hacker possono sfruttare. Un recente studio condotto dal fornitore di sicurezza Acunetix sostiene che ben il 70% dei 3.200 siti di organizzazioni aziendali e non che il suo scanner Web gratuito ha esaminato a partire dal gennaio 2006 conteneva vulnerabilità classificate come gravi ed era a rischio immediato di essere violato.
I vertici della società sostengono di aver isolato 210.000 vulnerabilità, per una media di 66 “buchi” per ciascun sito Web, che vanno da quelli potenzialmente gravi, come SQL injection e cross-site scripting, a quelli relativamente minori, come elenchi di directory facilmente disponibili. “Le aziende, i governi e le università sono obbligate dalla legge a proteggere i nostri dati – ha detto Kevin Vella, Vice Presidente Operation di Acunetix -. Eppure la sicurezza delle applicazioni Web è, nella migliore delle ipotesi, vista come una moda”.
Le patch
Gli scanner cercano eventuali falle conosciute utilizzando banche dati costantemente aggiornate dai fornitori, per rintracciare i dispositivi e i sistemi sulla rete più esposti agli attacchi.
La ricerca verte su elementi quali codice intrinsecamente insicuro, sistemi mal configurati, malware, patch e aggiornamenti non eseguiti. Questi sistemi possono essere usati anche per fare una scansione preventiva, per esempio per determinare quali dispositivi e sistemi siano installati sulla rete. Non c’è niente di così vulnerabile come qualcosa di cui nessuno conosceva l’esistenza ed è sorprendente come spesso, nelle grandi imprese, esista una pletora di sistemi, software e dispositivi installati ma praticamente finiti nel dimenticatoio.
Molti scanner possono anche essere impostati per eseguire la scansione della rete dopo che le patch sono state installate, per assicurarsi che facciano adeguatamente il loro lavoro. Quel che, però, lo scanner di vulnerabilità non può fare è una difesa di tipo attivo, del tipo effettuato ad esempio da firewall, sistemi di prevenzione delle intrusioni (IPS) e anti-malware anche se, lavorando in combinazione con queste tecnologie, lo scanner di vulnerabilità può rendere il loro lavoro più accurato e preciso.
Scanner attivi e passivi
Gli scanner di vulnerabilità agiscono sia come dispositivi passivi che attivi e ognuna di queste opzioni ha vantaggi e svantaggi. Gli scanner passivi monitorano i dispositivi che funzionano fiutando il traffico che passa attraverso la rete, alla ricerca di qualcosa “fuori dall’ordinario”. Il loro vantaggio è che non hanno alcun impatto sul funzionamento della rete e, così, possono lavorare in continuazione, 24 ore su 24 e 7 giorni su 7 se necessario, ma può capitare che gli sfuggano delle vulnerabilità, specie se si verificano in zone particolarmente “tranquille” del network.
Gli scanner attivi sondano la rete più o meno come fanno gli hacker, alla ricerca dei suoi punti deboli. Questi dispositivi sono più aggressivi e agiscono in modo più approfondito rispetto agli scanner passivi ma, proprio per questo, possono causare interruzioni di servizio e crash dei server. Molte persone vedono le due tecnologie come complementari, da utilizzare l’una in abbinamento all’altra: gli scanner passivi in grado di fornire un monitoraggio più continuo, quelli attivi utilizzati periodicamente, per scovare le vulnerabilità più insidiose.
Software vs hardware
Gli scanner in commercio sono disponibili in due modalità, sia come agenti software posizionati direttamente sul server o sulla workstation, sia come dispositivi hardware.
Gli scanner host based possono utilizzare i cicli del processore del sistema e sono generalmente considerati più flessibili, in quanto sono molteplici le tipologie di vulnerabilità di cui possono eseguire la scansione. Gli scanner network based sono dispositivi hardware plug-and-play che richiedono una manutenzione inferiore rispetto agli host based ma che svolgono funzionalità simili.
I nuovi target
Il focus delle vulnerabilità è cambiato nel corso degli ultimi anni. Da un lato, le organizzazioni sono diventate più consapevoli e sagge nel proteggere le loro reti e i loro sistemi, dall’altro gli hacker hanno oggi più difficoltà a penetrarne le difese. Al tempo stesso, con l’esplosiva diffusione dei servizi Web, proprio questo è divenuto, oggi, il terreno più fertile per potenziali attacchi.
La tendenza è legata, in particolare, all’aumento esponenziale dei flussi di traffico Web attraverso la porta 80 di una rete, che deve essere obbligatoriamente mantenuta aperta se i Web service sono messi a disposizione dei clienti di una società o dei suoi partner commerciali.
È molto difficile riuscire a difendere adeguatamente questo punto debole dei sistemi di protezione aziendali e, una volta che l’hacker si è guadagnato l’accesso alle applicazioni Web di un’organizzazione, le potrà utilizzare a suo favore, per ottenere informazioni da banche dati, recuperare file dalle directory di root, oppure potrà utilizzare un server Web per inviare il contenuto malevolo inserito in una pagina Web a ignari utenti.
Interpretare i risultati
La scansione delle vulnerabilità delle applicazioni Web funziona con il lancio di attacchi simulati contro le applicazioni, in modo che il sistema riporti le vulnerabilità riscontrate con le relative raccomandazioni per risolvere o eliminare il problema.
Tuttavia, alcuni esperti consigliano di essere molto cauti nell’interpretare i risultati di questi report.
Kevin Beaver, un consulente di sicurezza indipendente, dice che ci vuole una combinazione di diversi scanner di vulnerabilità e una conoscenza profonda della rete e del contesto in cui sono state effettuate le scansioni per riuscire a interpretare con precisione i risultati di un’attività di scanning della rete. Se lasciati agire autonomamente, sostiene, “gli scanner tenderanno a sputare le informazioni che i loro fornitori credono siano importanti. È necessaria, invece, una comprensione profonda di quanto viene testato in quel preciso momento, di come è stato testato e del perché la vulnerabilità è sfruttabile”.
Questa analisi approfondita mostrerà se le vulnerabilità contrassegnate con priorità alta siano, in realtà, rilevanti nell’ambiente di quella specifica organizzazione e, quindi, se vale la pena sforzarsi di correggerle. “Gli scanner sono fondamentali – conclude – ma non si può contare su di loro completamente. Un buono strumento hardware o software, abbinato all’esperienza personale e professionale è la migliore formula per il successo di un’attività di monitoraggio delle minacce alla rete aziendale”.
