Poiché il panorama delle minacce informatiche è in continua evoluzione, le valutazioni di routine della sicurezza informatica sono una componente essenziale di un programma completo di gestione del rischio. In ogni momento, la tua azienda deve monitorare l'igiene informatica del suo intero ecosistema, inclusi i fornitori di terze e quarte parti. Una valutazione del rischio di sicurezza informatica ti aiuta a farlo identificando i rischi informatici che influiscono sulla tua posizione di sicurezza, consentendoti di prendere decisioni più informate su come allocare i fondi per implementare i controlli di sicurezza e proteggere la rete. Diamo un'occhiata ad alcune delle più comuni valutazioni del rischio di sicurezza informatica e alle azioni con gli strumenti che la tua azienda può intraprendere per condurre una valutazione efficace:
Cos'è la valutazione della sicurezza informatica?
Una valutazione della sicurezza informatica è un processo che determina lo stato attuale della posizione di sicurezza informatica della tua organizzazione e raccomanda passaggi per il miglioramento. Sebbene esistano molti tipi diversi di valutazione, questo articolo si concentra su NIST SP 800-115: Implementing Security Controls for Federal Information Systems (ICS) – Security Assessment Methodology 2nd Edition (SAM2). L'obiettivo qui è fornire alcune informazioni di base su come funziona SAM2 in modo che tu possa decidere se sarebbe adatto alla tua situazione particolare.
Strumenti di valutazione della sicurezza informatica
Gli strumenti di valutazione della sicurezza informatica valutano la posizione di sicurezza informatica della tua azienda. La valutazione consiste in una serie di domande che consentono di determinare l'attuale posizione di sicurezza informatica dell'organizzazione, identificare potenziali rischi e opportunità e fornire un'opportunità per valutare i controlli esistenti.
La valutazione è progettata per essere completata da un valutatore esterno che non abbia precedentemente valutato la tua organizzazione. Verrà generato un rapporto di valutazione basato sui risultati della valutazione, che può includere raccomandazioni per migliorare la tua posizione di sicurezza informatica.
Come si esegue una valutazione della sicurezza informatica?
Il primo passo per condurre una valutazione della sicurezza informatica è comprendere l'ambito del progetto. Una valutazione della sicurezza informatica può essere definita come un'analisi che considera tutti gli aspetti della sicurezza delle informazioni, compresa la sicurezza della rete e del sistema, lo sviluppo e l'implementazione delle applicazioni, i modelli di autorizzazione degli utenti (ad esempio, single sign-on) e le politiche e le procedure di gestione della classificazione dei dati.
L'ambito della tua valutazione dovrebbe includere quanto segue:
- L'impatto aziendale se si verifica una minaccia o una vulnerabilità;
- Livelli di rischio attuali per ciascuna area sopra individuata;
- In che misura ciascuna area protegge dalle minacce note? In caso contrario, identificare quali controlli potrebbero dover essere implementati sulla base degli attuali standard/best practice del settore;
- Quali altre aree richiedono attenzione? Ad esempio: disponiamo di una capacità di monitoraggio sufficiente per il nostro traffico di rete? C'è abbastanza visibilità su ciò che i clienti fanno online come parte delle loro attività quotidiane senza passare da noi ogni volta che accedono?
Lista di controllo per la valutazione della sicurezza informatica
Puoi utilizzare un elenco di controllo standard per la valutazione della sicurezza per assicurarti di coprire tutte le basi con la tua valutazione della sicurezza informatica. Ciò è particolarmente importante quando si lavora su progetti e team di grandi dimensioni, in quanto riduce il tempo necessario a ciascuna persona per completare la propria parte del processo.
Di seguito è riportato un elenco di controllo di esempio che è possibile personalizzare e utilizzare secondo necessità:
- NIST 800-53 (Computer Security Framework) – Questo documento definisce i requisiti minimi per la gestione della sicurezza delle informazioni durante tutto il ciclo di vita di un'organizzazione. Descrive cinque aree di interesse: valutazione del rischio, test di penetrazione, sviluppo e implementazione del piano di risposta agli incidenti, sviluppo e implementazione del piano di gestione della sicurezza della struttura, capacità di creazione/aggiornamento del documento di orientamento politico
Cosa è incluso in una valutazione della sicurezza informatica?
Una valutazione della sicurezza è un processo che utilizza strumenti e tecniche per raccogliere informazioni sull'ambiente di rete. Una buona valutazione della sicurezza mira a garantire che i dati, i sistemi e le applicazioni dell'organizzazione siano il più sicuri possibile.
Una buona valutazione della sicurezza include:
- Ambito, calendario e costo della valutazione;
- La squadra che lo eseguirà;
- L'approccio utilizzato per eseguirlo (ad es. test della penna o scansione della vulnerabilità);
- Strumenti/tecniche utilizzate durante le fasi di raccolta – come port scanning o software fuzzing;
- Persone che ricevono risultati da questa attività, vale a dire utenti finali che passano attraverso le loro macchine uno per uno (non è necessaria la registrazione manuale), partner/fornitori che ricevono rapporti direttamente da noi tramite allegati e-mail.
Servizi di valutazione della sicurezza informatica
Una valutazione della sicurezza è una raccolta sistematica di dati per determinare il livello di rischio e identificare i punti deboli nella sicurezza delle informazioni dell'organizzazione. L'obiettivo di una valutazione della sicurezza è identificare le lacune nei processi e nelle politiche correnti dell'organizzazione, nonché valutare le vulnerabilità che gli hacker potrebbero sfruttare.
Le valutazioni della sicurezza possono essere condotte utilizzando software open source come Nessus o Vulnerability Management Suite (VMS) di Qualys, che fornisce un'istantanea della configurazione della rete in questo momento, oppure possono essere esternalizzate (ad esempio tramite le valutazioni della sicurezza informatica). Questo processo ha molti vantaggi: è più economico; fornisce feedback in tempo reale; non ci sono problemi di blocco del fornitore perché hai accesso a tutti gli strumenti contemporaneamente e se riscontri problemi con uno strumento particolare durante la fase di valutazione, potrebbe essercene un altro disponibile gratuitamente!
Esempio di rapporto di valutazione della sicurezza informatica
Un rapporto di valutazione della sicurezza informatica è un documento che descrive l'attuale posizione di sicurezza della tua organizzazione e le sue lacune. Fornisce inoltre consigli per migliorare la sicurezza informatica della tua organizzazione, inclusa l'implementazione di best practice e tecnologie.
Un rapporto di valutazione della sicurezza informatica dovrebbe includere quanto segue:
- Lo scopo della segnalazione (ad esempio, "Fornire informazioni sul nostro attuale livello di protezione")
- Una descrizione del tipo di informazioni che verranno incluse (ad esempio, "Saranno trattati i seguenti argomenti:")
- Un elenco di riferimenti utilizzati in questo documento, comprese eventuali risorse esterne che sono state consultate durante la sua creazione (ad es. "Il Dr. John Doe ha scritto questo documento.")
Quanto dura una valutazione della sicurezza informatica?
Dipende dalle dimensioni della tua attività, dal tipo di valutazione che vuoi fare e da quanto tempo hai a disposizione. La velocità con cui ogni parte sarà completata ha anche un impatto sulla velocità con cui puoi ottenere risultati da una terza parte, quindi se sono lenti con le risposte o non forniscono alcun risultato, potrebbero ritardare altri progetti in corso da diversi giorni o settimane (a seconda di quante risorse sono coinvolte). Se ciò accade, a volte è meglio riprovare con un altro fornitore finché non arriva uno che si adatta alle tue esigenze!
Che cos'è una valutazione della sicurezza NIST?
Il NIST è il National Institute of Standards and Technology (NIST). È un'agenzia non regolamentare all'interno del Dipartimento del Commercio degli Stati Uniti, il che significa che non emana leggi né applica regolamenti governativi. Invece, il NIST crea e pubblica standard per edifici, elettronica e software, compresi gli standard di sicurezza delle informazioni!
La parola "valutazione" si riferisce a un processo di valutazione in cui un'organizzazione valuta il proprio stato attuale rispetto a uno o più criteri o obiettivi specificati; quindi agisce sulla base di tali risultati. Una valutazione della sicurezza può aiutare le organizzazioni a conoscere le proprie vulnerabilità esaminando le violazioni passate o le attuali minacce poste dai criminali informatici; determinare se dispongono di risorse sufficienti per prevenire attacchi futuri; identificare le aree in cui potrebbero essere apportati miglioramenti in modo che gli hacker falliscano di nuovo e molto altro ancora!
Quali sono le tre fasi di un piano di valutazione della sicurezza?
Una valutazione della sicurezza è un processo che prevede la raccolta di informazioni sulla rete e sui clienti, la definizione degli obiettivi della valutazione, la progettazione di un approccio alla raccolta di dati da fonti diverse e l'analisi dei risultati.
La prima fase di qualsiasi valutazione della sicurezza è la pianificazione. In questa fase, deciderai quali informazioni raccogliere per valutare la posizione di sicurezza informatica della tua organizzazione. Potresti anche considerare chi sarà coinvolto nell'esecuzione di questo compito e quanto tempo impiegherà ciascuna persona (e il suo team) per completarlo.
Una volta che il tuo piano è stato creato, è tempo di esecuzione! In questa fase, tutti i compiti assegnati durante la pianificazione inizieranno a lavorarci indipendentemente o insieme, a seconda del loro livello di competenza.
Come si avvia una valutazione della sicurezza informatica?
Il primo passo nella definizione degli obiettivi è definire il problema. Questo può essere difficile se non l'hai mai fatto prima, ma devi iniziare con una chiara comprensione di ciò che la tua organizzazione sta cercando di realizzare e dove si trova il suo stato attuale.
Una volta definito il problema, è il momento di stabilire risultati misurabili per aiutare il tuo staff a capire come stanno progredendo verso tali obiettivi. Se possibile, cerca di non fare affidamento sulle percezioni degli altri su quanto stanno andando bene: dovresti sempre ammettere errori e fallimenti come individuo o membro del team (e non dimenticarti di te stesso!). Essere ambiziosi ma realistici andrà lontano per raggiungere il successo qui; pensa a cose come: "Voglio che i livelli di forma fisica dei membri del mio team aumentino del 20% nei prossimi sei mesi".
Strumenti gratuiti per la valutazione della sicurezza informatica
Gli strumenti gratuiti possono essere utili se stai cercando una rapida panoramica della valutazione della sicurezza informatica. Ti mostreranno le informazioni essenziali sulla tua rete e forniranno un'istantanea di dove sono le cose. Tuttavia, questi strumenti non sono così dettagliati o affidabili come quelli a pagamento, quindi non ti forniranno tutti i dettagli su quanto sia sicuro il tuo ambiente.
Gli strumenti di valutazione della sicurezza informatica a pagamento valgono il loro peso in oro perché sono più dettagliati di quelli gratuiti. Sono anche molto più accurati nella valutazione dei livelli di rischio in diverse parti dell'infrastruttura della tua azienda (come desktop o mobile).
Di seguito sono riportate le migliori scelte di strumenti gratuiti di valutazione della sicurezza informatica che devi verificare.
#1. KalìLinux
Kali Linux è un popolare sistema operativo per i test di penetrazione, noto anche come hacking etico. È basato su Debian Linux e ha oltre 600 strumenti di sicurezza preinstallati. Questo lo rende ideale per testare la sicurezza di una rete o di un'applicazione web.
Kali può testare la sicurezza di una rete o di un'applicazione web conducendo vari attacchi contro di essa (come la scansione delle porte).
#2. Vai al phishing
Go phish è un toolkit di phishing per tester di penetrazione e formazione sulla consapevolezza della sicurezza. Offre la possibilità di creare e-mail di phishing realistiche, pagine Web e messaggi SMS che possono essere utilizzati in un ambiente di valutazione o in classe.
Lo strumento è stato creato da Adrienne Porter Felt, che ha anche creato il popolare framework di pen-testing Metasploit Framework (MSF). Questo progetto mirava a rendere più facile per le persone che non hanno una vasta esperienza di programmazione costruire i propri strumenti sopra le API di MSF senza dover prima imparare come funzionano quelle API, ed è esattamente quello che hanno fatto!
#3. Difendere
Defending è uno scanner di sicurezza basato sul web che utilizza OWASP Top 10 per aiutarti a trovare e correggere le vulnerabilità nelle tue applicazioni web. Può essere utilizzato per test di penetrazione e sicurezza delle applicazioni web. Tuttavia, è scritto in Python e open source, quindi se sei interessato a saperne di più sulle sue funzionalità, dai un'occhiata alla loro stazione esterna su GitHub!
#4. Aircrack-ng
Aircrack-ng è una suite di strumenti che possono essere utilizzati per controllare le reti wireless. Viene utilizzato per controllare la sicurezza WiFi e recuperare chiavi e password di rete.
Lo strumento è stato inizialmente sviluppato da Simon Paška, che ha scoperto che la crittografia WPA/WPA2 era vulnerabile agli attacchi denial-of-service (DoS) utilizzando uno script automatizzato noto come "Aircrack". La prima versione di Aircrack è stata rilasciata nel 2002 da Wichert Akkerman e Michal Zalewski.[4] Nel 2004, Mikko Hyppönen creò una nuova versione chiamata Airmon che supporta mon0 invece di mon0/1.[5] Nel 2007, aircrack-ng era stato integrato nel plugin Linux Shodan di Kismet (rilasciato inizialmente nel 2006).
#5. Suite Rutto
Burp Suite è una piattaforma integrata per l'esecuzione di test di sicurezza delle applicazioni web. Contiene una raccolta di strumenti che supportano l'intero processo di test, dall'intercettazione e monitoraggio del traffico fino alla generazione di report Ding.
Burp Suite può intercettare, manipolare e registrare HTTP e richieste e risposte per ordinare la sicurezza del sito Web o dell'applicazione. Include funzionalità come:
- Proxy - Inietta payload arbitrari nelle connessioni di rete live senza permessi speciali; utile anche per testare terze parti come Twitter o LinkedIn (che spesso richiedono permessi speciali).
- Ripetitore – Consente di ripetere le richieste più volte utilizzando facilmente diversi input; utile quando si provano diverse combinazioni di parametri/intestazioni, ecc., ad esempio, modificando i parametri GET tra due diversi URL ripetendo una richiesta più volte!
Sommario
In conclusione, va notato che una valutazione della sicurezza informatica è un processo che aiuta le aziende a valutare la propria vulnerabilità all'hacking e al furto. La valutazione include l'esecuzione di un inventario dell'infrastruttura di rete, la valutazione dei rischi associati a ciascun sistema, il test delle vulnerabilità in tali sistemi e lo sviluppo, l'adozione di un piano d'azione per risolvere eventuali problemi prima che diventino problemi più significativi. Inoltre, è essenziale disporre di una formazione continua in modo che i dipendenti sappiano come proteggersi al meglio dagli hacker che potrebbero tentare di rubare informazioni riservate dai sistemi della tua azienda.
Domande frequenti sulla valutazione della sicurezza informatica
Cos'è la valutazione della sicurezza informatica?
Un'applicazione desktop autonoma che guida i proprietari e gli operatori delle risorse attraverso un processo sistematico di valutazione della tecnologia operativa e dell'informatica.
Qual è la lista di controllo per la valutazione dei rischi per la sicurezza?
Fornisce un elenco di minacce che interessano l'integrità, la riservatezza e la disponibilità delle risorse di un'organizzazione.
Come si esegue una valutazione del rischio di sicurezza informatica in 5 passaggi?
- Passaggio 1: determinare l'ambito della valutazione del rischio
- Passaggio 2: come identificare i rischi per la sicurezza informatica
- Passaggio 3: analizzare i rischi e determinare il potenziale impatto
- Passaggio 4: determinare e assegnare priorità ai rischi
- Passaggio 5: documentare tutti i rischi
- VALUTAZIONE DEL RISCHIO CYBER SECURITY: tutto ciò che devi sapere
- CYBER EXTORTION: definizione, coperture ed esempi
- SISTEMA DI SICUREZZA AZIENDALE: di cosa si tratta, tipi e costi
Riferimenti
