Il concetto di sicurezza offensiva, o “OffSec”, fa riferimento a una serie di strategie di sicurezza proattive che utilizzano le stesse tattiche utilizzate dai soggetti malintenzionati nel corso di attacchi reali per rafforzare la sicurezza della rete, anziché danneggiarla. I metodi di sicurezza offensivi più comuni comprendono il "red teaming", i test di penetrazione e la valutazione delle vulnerabilità.
Le operazioni di sicurezza offensive sono spesso eseguite da hacker etici, ovvero esperti di cybersecurity che usano le loro capacità di hacking per individuare e correggere le falle di un sistema IT. Gli hacker etici eseguono violazioni simulate previa autorizzazione, a differenza dei veri criminali informatici che irrompono nei sistemi per rubare dati sensibili o rilasciare malware. Si fermano prima di causare danni reali e utilizzano i risultati dei loro attacchi simulati per aiutare le organizzazioni a migliorare le proprie difese.
Storicamente, la sicurezza offensiva fa riferimento anche alle strategie per frustrare gli aspiranti aggressori, ad esempio attirando i malintenzionati in directory senza uscita. Questi metodi antagonistici sono meno comuni nel panorama odierno della sicurezza delle informazioni.
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
Per capire perché la sicurezza offensiva è importante, è utile confrontarla con la sicurezza difensiva.
Le misure di sicurezza difensive, come software antivirus e firewall, sono per natura reattive. Questi strumenti sono stati creati per bloccare minacce note o rilevare comportamenti sospetti. Alcuni strumenti avanzati di sicurezza difensivi, come le piattaforme SOAR, possono anche automatizzare le risposte agli attacchi in corso.
Sebbene le tattiche di sicurezza difensive possano aiutare a contrastare gli attacchi informatici in corso, questi metodi generano dei carichi di lavoro notevoli per i team addetti alla sicurezza. Gli analisti devono infatti analizzare avvisi e dati per separare le minacce reali dai falsi allarmi. Inoltre, le misure di sicurezza difensive possono proteggere solo dai vettori di attacco noti, lasciando le organizzazioni esposte a minacce informatiche nuove e sconosciute.
La sicurezza offensiva integra la sicurezza difensiva. Le squadre di sicurezza utilizzano tattiche OffSec per scoprire e rispondere a vettori di attacco sconosciuti che altre misure di sicurezza potrebbero non cogliere. La sicurezza offensiva è anche più proattiva di quella difensiva. Invece di rispondere agli attacchi informatici nel momento in cui si verificano, le misure di sicurezza offensive individuano e chiudono le falle prima che gli aggressori possano sfruttarle.
In breve, la sicurezza offensiva produce informazioni che rendono la sicurezza difensiva ancora più efficace. Riduce inoltre il carico di lavoro gravante sugli addetti alla sicurezza. In ragione di questi vantaggi, la sicurezza offensiva è ora uno standard di settore in alcuni settori altamente regolamentati.
Le tattiche, le tecniche e le procedure (TTP) utilizzate dai professionisti della sicurezza offensiva sono le stesse utilizzate dagli attori delle minacce. Utilizzando queste TTP, durante la verifica dei programmi di sicurezza esistenti, i professionisti dell'OffSec possono individuare le potenziali vulnerabilità che gli hacker reali potrebbero sfruttare.
Le principali strategie di sicurezza offensiva includono:
La scansione delle vulnerabilità è un processo automatizzato per rilevare le vulnerabilità nelle risorse IT di una data organizzazione. Essa implica l’utilizzo di un tool specializzato per scansionare i sistemi informatici alla ricerca di falle e punti deboli.
Le scansioni di vulnerabilità possono cercare risorse per vulnerabilità note associate a specifiche versioni software. Possono anche eseguire test più attivi, ad esempio testare come le app rispondono alle stringhe di inserimento SQL più diffuse o ad altri input malevoli.
Gli hacker spesso utilizzano scansioni di vulnerabilità per identificare le falle che possono sfruttare durante un attacco. A loro volta, gli esperti di OffSec utilizzano le medesime scansioni per trovare e chiudere queste falle prima che gli hacker possano individuarle e approfittarne. Questo approccio proattivo consente alle organizzazioni di stare al passo con le minacce e rafforzare le proprie difese.
I test di penetrazione, o “pen testing”, consistono nell’uso di attacchi simulati per individuare vulnerabilità nei sistemi informatici. In sostanza, i pen tester agiscono come scanner di vulnerabilità umani, e cercano le falle nella rete imitando i veri hacker. I pen tester adottano la prospettiva di un aggressore, che a sua volta consente loro di individuare efficacemente le vulnerabilità che i soggetti malintenzionati sono più propensi a colpire.
Poiché i pen test sono condotti da esperti di sicurezza umani, essi possono rilevare vulnerabilità che strumenti completamente automatizzati potrebbero invece non notare e hanno meno probabilità di rivelare falsi positivi. Se riescono a sfruttare una falla, possono farlo anche i criminali informatici. Inoltre, poiché i pen test sono spesso forniti da servizi di sicurezza indipendenti, hanno maggiore probabilità di trovare falle che potrebbero sfuggire ai team di sicurezza interni.
Il red teaming, noto anche come "simulazione avversaria", è un esercizio in cui un gruppo di esperti utilizza le TTP di criminali informatici reali per lanciare un attacco simulato contro un sistema informatico.
A differenza dei pen test, il red teaming è una valutazione di sicurezza che utilizza un team avversario. Il "red team" sfrutta attivamente i vettori di attacco (senza causare danni reali) per vedere fino a dove sono in grado di spingersi. Spesso il red team si trova a dover affrontare un "blue team" composto da ingegneri della sicurezza, che ha il compito di fermare l'attacco. Questa tecnica offre all'organizzazione la possibilità di testare sul campo le proprie procedure di risposta agli incidenti .
Per la conduzione di questo tipo di esercitazioni, le aziende possono avvalersi di un red team interno oppure utilizzare una società esterna. Per mettere alla prova le difese tecniche e il livello di attenzione dei dipendenti, il red team può impiegare una serie di tattiche. I metodi più comuni usati dai red team sono i finti attacchi ransomware, phishing e altre simulazioni di ingegneria sociale e persino tecniche di violazione on-site come il tailgating.
A seconda della quantità di informazioni in loro possesso, i red team possono condurre diversi tipi di test. In un test white-box, il red team ha una vista completa e trasparente sulla struttura interna e sul codice sorgente del sistema target. In un test black box, il red team non dispone di queste informazioni e deve entrare dall'esterno, proprio come gli hacker del mondo reale. In un test gray-box, il red team può avere alcune conoscenze di base del sistema target, come ad esempio gli intervalli IP per i dispositivi di rete, ma non molto altro.
L'esperienza pratica nell'arte dell'hacking, la conoscenza dei linguaggi di programmazione e la familiarità con la sicurezza delle applicazioni Web sono fondamentali per la sicurezza offensiva. Per validare le proprie competenze in questi ambiti, i professionisti della sicurezza offensiva spesso ottengono certificazioni quali l'Offensive Security Certified Professional (OSCP) o Certified Ethical Hacker (CEH).
I team OffSec seguono anche le metodologie di hacking etico riconosciute, tra cui progetti open source come l'Open Source Security Testing Methodology Manual (OSSTMM) e il Penetration Testing Execution Standard (PTES).
I professionisti della sicurezza offensiva sono anche abili nello sfruttare i tool di sicurezza offensiva più diffusi, come:
Metasploit: un framework per lo sviluppo e l'automazione dello sfruttamento delle vulnerabilità dei sistemi IT. Viene utilizzato principalmente per il pen testing e per la valutazione delle vulnerabilità.
Kali Linux: Un sistema operativo Linux progettato per il pen testing e l'analisi forense digitale.
Burp Suite: uno strumento di test della sicurezza delle applicazioni Web in grado di rilevare eventuali vulnerabilità, intercettare e modificare il traffico Web e automatizzare gli attacchi.
Wireshark: un analizzatore dei protocolli di rete che acquisisce e ispeziona il traffico di rete, contribuendo a identificare i problemi di sicurezza nelle comunicazioni.
Nmap: uno strumento di scansione di rete utilizzato per la scoperta di rete, la scansione delle porte e l'identificazione dei servizi.
Aircrack-ng: una suite di strumenti volti a testare la sicurezza della rete Wi-Fi, con la possibilità di saggiare i pacchetti, acquisire handshake e decifrare la crittografia delle password.
John the Ripper: uno strumento di cracking delle password che esegue attacchi brute force contro gli hash delle password.
sqlmap: uno strumento che automatizza il processo di sfruttamento delle vulnerabilità di iniezione SQL nelle app Web.
I servizi di sicurezza offensiva di X-Force Red possono aiutare a identificare, dare priorità e correggere le falle nella sicurezza nell'intero ecosistema digitale e fisico.
Adotta un programma di gestione delle vulnerabilità che identifichi, dia priorità e gestisca la correzione dei difetti che potrebbero compromettere gli asset più critici.
Gli esercizi di simulazione avversario, che comprendono il red teaming e il purple teaming, possono individuare e colmare le lacune dei team di risposta agli incidenti, dei controlli e dei processi per aiutare a minimizzare i danni in caso di violazione.
Il penetration test è un attacco alla sicurezza simulato che i pen tester utilizzano per aiutare i team di sicurezza a scoprire vulnerabilità critiche della sicurezza e migliorare il livello di sicurezza complessivo.
La gestione delle vulnerabilità consiste nel continuo rilevamento, prioritizzazione e risoluzione delle falle di sicurezza nell'infrastruttura IT e nel software di un'organizzazione.
L'hacking (chiamato anche cyber hacking) è l'uso di mezzi non convenzionali o illeciti per ottenere l'accesso non autorizzato a un dispositivo digitale, un sistema informatico o una rete informatica.