Il Vulnerability Assessment è un’analisi di sicurezza che identifica le potenziali vulnerabilità dei sistemi e dell’infrastruttura informatica di un’azienda. Diventa così possibile valutare attraverso quali canali l’azienda potrebbe essere attaccata e il danno che potrebbe subire e, di conseguenza, pensare a soluzioni che aumentino il livello di impenetrabilità.
Quali sono le vulnerabilità di un’azienda in termini di sicurezza?
La vulnerabilità è l’anello debole, cioè una componente del sistema IT che risulta compromessa, non protetta o obsoleta e che consente a un aggressore di iniettare dei malware che minano la sicurezza dell’intero sistema.
Quando l’hacker attacca una di queste vulnerabilità riesce ad accedere all’intera infrastruttura IT (o quasi) e a prendere possesso dell’infrastruttura IT e dei dati sensibili in essa contenuti. Sapere quali siano queste vulnerabilità aiuta un MSP (Managed Service Provider) a comprendere le azioni da intraprendere per rinforzare la barriera di sicurezza.
Perché consigliamo il Vulnerability Assessment alle aziende?
Analizzare in termini di sicurezza i sistemi IT aziendali permette di identificare le vulnerabilità su cui intervenire per evitare che l’azienda soffra fermi (down-time) o attacchi hacker con conseguenti perdite di dati. Infatti, se oggi la maggior parte delle aziende si sente protetta da antivirus, firewall, IDS e IPS, è bene ricordare che non è comunque immune al 100% agli attacchi informatici.
Inoltre, le vulnerabilità spesso partono proprio dall’interno dell’organizzazione: bastano una configurazione errata, una dimenticanza, un errore di programmazione o un sistema non aggiornato per mettere in crisi il funzionamento della rete aziendale. Quindi, una valutazione delle vulnerabilità eseguita con cadenza regolare è fondamentale per garantire la continuità operativa.
RIFLESSIONE IMPORTANTE #1: In vista dell’entrata in vigore della direttiva europea NIS2 sulla cybersecurity è bene ricordare che potenzialmente tutte le aziende sono coinvolte dalla richiesta di aumentare la sicurezza IT. Già, perché NIS2 non riguarda solo le medie e grandi aziende che rientrano nelle categorie identificate come sensibili, bensì anche le aziende che fanno parte della loro supply chain.
Il Vulnerability Assesment diventa uno strumento indispensabile per comprendere e conoscere la maturità informatica della propria azienda, intervenendo così sulle debolezze che mettono a repentaglio non solo la propria sicurezza IT ma anche quella di fornitori e clienti. Questi ultimi, infatti, se interessati direttamente dalla NIS2 potrebbero decidere di valutare altri fornitori privilegiando quelle aziende che investono nella cybersecurity. L’obiettivo, in ottica NIS2, è proprio quello di rinforzare la sicurezza informatica su più livelli in tutta la catena di approvvigionamento.
Quali azioni vengono eseguite nel Vulnerability Assessment?
Il Vulnerability Assessment prevede delle scansioni sulle reti aziendali mediante i cosiddetti vulnerability scanner. Nello specifico vengono eseguite:
- scansioni dei dispositivi di rete
- scansioni su host/server
- scansioni delle reti wireless
- scansioni sulle web application
- scansioni dei database
Prima di effettuare le scansioni, è necessario conoscere i livelli di gravità e applicare il punteggio CVSS (Common Vulnerability Scoring System) che viene usato per valutare il rischio legato alle vulnerabilità. Si tratta di un valore oggettivo che fa riferimento a un quadro condiviso a livello mondiale e che permette di categorizzare e catalogare la gravità. Ecco qui il link di una piattaforma / database di esempio che elenca vulnerabilità, punteggi e gravità: https://vulners.com/search
RIFLESSIONE IMPORTANTE #2: Un’azienda che investe in cyber security tutela non solo i propri dati, ma anche la reputazione del brand e la propria identità, incrementando così il rating e il credito finanziario.
RIFLESSIONE IMPORTANTE #3: L’aumento delle minacce informatiche porta sempre più aziende a stipulare coperture assicurative legate alla sicurezza IT. Tuttavia, per ottenere una polizza di questo tipo le compagnie assicurative richiedono che l’azienda dimostri di essere impegnata nella gestione delle vulnerabilità. Richiedere un test di vulnerability assesment significa, quindi, supportare la conformità alle assicurazioni informatiche.
Per migliorare la strategia di difesa della tua azienda contatta Core Up Srl e pianifica al più presto un Vulnerability Assessment.