Penetration Testing efficace: Allinearsi con l'intelligence sulle minacce per aumentare la cyber resilience.

Sfide moderne del Penetration Testing - di Paul Pols, Responsabile Ransomware Resilience di Bureau Veritas Cybersecurity.

... > Servizi di pentesting > Penetration Testing efficace: Allinearsi con l'intelligence sulle minacce per aumentare la cyber resilience.

Autore: Paul Pols, Responsabile Ransomware Resilience di Bureau Veritas Cybersecurity

Le vostre sfide dei Penetration Testing moderni

L'efficacia di un test di penetrazione dipende dalla sua capacità di emulare accuratamente le minacce informatiche complesse e in evoluzione che colpiscono le organizzazioni. Tradizionalmente, i penetration testing rimangono spesso focalizzati sui sistemi che le organizzazioni identificano come i più preziosi: i loro "gioielli della corona". Questo focus limitato potrebbe non allinearsi completamente con le tattiche e le tecniche dei veri attori delle minacce, che spesso sfruttano le vulnerabilità nei sistemi di supporto per navigare attraverso un'infrastruttura IT.

I moderni cyberattacchi iniziano spesso con violazioni apparentemente minori, che possono aumentare in modo significativo. Ad esempio, gli aggressori potrebbero compromettere il dispositivo endpoint di un dipendente o di un fornitore o rubare le credenziali per le interfacce esterne. Potrebbero utilizzare questi punti di appoggio iniziali per penetrare ulteriormente nella rete attraverso tattiche come l'escalation dei privilegi e il movimento laterale. Ciò consente loro di accedere direttamente ai gioielli della corona, con privilegi amministrativi acquisiti altrove. Inoltre, gli attori delle minacce possono prendere di mira altri sistemi all'interno dell'organizzazione che, pur non essendo considerati "gioielli della corona", sono comunque cruciali per le operazioni dell'organizzazione.

Questa discrepanza sottolinea la necessità di cambiare il modo in cui i test di penetrazione vengono individuati e condotti, assicurando che coprano scenari di minaccia più ampi e più realistici, basati sulle ultime informazioni sulle tattiche degli attori delle minacce.

Il ruolo cruciale della modellazione delle minacce

La modellazione delle minacce è un processo strutturato che identifica le minacce potenziali all'interno della rete di un'organizzazione, per comprendere l'infrastruttura dal punto di vista di un aggressore e sviluppare difese solide. Ecco una panoramica semplificata del processo:

Rafforzi le sue difese informatiche con la modellazione delle minacce e i penetration testing mirati.

Analisi continua dell'intelligence sulle minacce: È importante monitorare e analizzare continuamente gli attori delle minacce e le loro tattiche, tecniche e procedure (TTP). Questa intelligence aiuta a identificare quali minacce sono più rilevanti per organizzazioni specifiche, in genere influenzate dai Settori in cui operano. Utilizziamo questo approccio per adattare i nostri modelli di minaccia in modo da riflettere meglio i rischi e le sfide uniche di ogni organizzazione.
Modellazione delle minacce su infrastrutture e asset: La comprensione dell'infrastruttura e l'identificazione degli asset critici che attirano i potenziali aggressori aiutano a individuare le minacce rilevanti e i probabili percorsi di attacco. Questa analisi è cruciale per mappare i punti in cui un'organizzazione è più suscettibile agli attacchi, in base al contesto operativo e ai TTP pertinenti. In genere eseguiamo questa fase attraverso un workshop di modellazione delle minacce con i principali stakeholder. Il risultato finale della modellazione delle minacce può spesso essere una roadmap strategica o un calendario dettagliato di penetration testing, allineando i futuri test di sicurezza alle minacce identificate.
Convalida e Risk Assessment attraverso i Penetration Testing: Simulando attacchi reali attraverso i penetration testing, convalidiamo e completiamo le minacce identificate e valutiamo il loro impatto potenziale e la probabilità di determinarne il rischio. Questa fase è fondamentale per stabilire la priorità di quali minacce necessitano di attenzione immediata e per determinare l'efficacia delle difese attuali. I risultati dei penetration testing possono guidare le strategie di mitigazione del rischio, assicurando che gli sforzi di sicurezza siano concentrati dove sono più necessari.

Quadri come STRIDE, la Unified Kill Chain e MITRE ATTandCK™ forniscono metodologie strutturate per identificare e simulare le tattiche che un attaccante potrebbe utilizzare. L'applicazione di questi framework assicura valutazioni complete che vanno oltre le vulnerabilità ovvie, coprendo tutti gli aspetti della sicurezza organizzativa.

Catena di morte unificata (Fonte: Paul Pols)

Oltre la regolamentazione: Implicazioni per tutti i settori

Alcuni quadri normativi impongono l'incorporazione di un'intelligence completa sulle minacce nei security testing, in particolare nel settore finanziario:

TIBER-EU, sviluppato dalla Banca Centrale Europea, promuove il Red Teaming etico guidato dall'intelligence sulle minacce, con l'obiettivo di migliorare la cyber resilience delle istituzioni finanziarie.
ART, sviluppato da De Nederlandsche Bank, offre un approccio modulare più adattabile, consentendo alle organizzazioni di personalizzare i componenti dei test per soddisfare le loro specifiche esigenze e obiettivi di sicurezza.
Il Threat Led Penetration Testing (TLPT) di DORA prevede che le entità finanziarie all'interno dell'UE si sottopongano a test approfonditi che simulano scenari di attacco reali per garantire che tutti gli aspetti di un'organizzazione siano resilienti alle minacce informatiche. Per questo motivo, il TLTP di DORA sostituirà TIBER-EU con il TLTP.

Questi framework esemplificano come i requisiti normativi diano forma a pratiche di cybersecurity più approfondite ed efficaci. L'adozione di quadri e pratiche che incorporano la modellazione delle minacce e i test completi può fornire vantaggi significativi a tutti i settori, non solo a quelli regolamentati. Può anche servire da trampolino di lancio per le organizzazioni nuove a questo livello di controllo, alle quali si consiglia di pianificare e scalare gradualmente le attività di security testing offensivo, in quanto un TIBER-EU, ART o TLTP su larga scala può essere travolgente.

Conclusione: Allineare i Penetration Testing con l'Intelligence sulle minacce

Con l'aumento della complessità e della sofisticazione delle minacce informatiche, la necessità di strategie di difesa adattive e informate diventa cruciale. Intrecciando l'intelligence delle minacce con i penetration testing, le organizzazioni possono andare oltre il tradizionale focus sulla protezione dei loro gioielli della corona in modo isolato. Invece, possono identificare e affrontare i rischi specifici più rilevanti per i loro ambienti unici, per proteggere i loro gioielli della corona. Questo approccio guidato dall'intelligence rende i penetration testing più efficaci e consente alle organizzazioni di aumentare la loro cyber resilience contro il panorama delle minacce informatiche in continua evoluzione.

Questo articolo è stato pubblicato originariamente nella nostra Cyber Vision Series su LinkedIn, sulla natura mutevole della cybersecurity e sul futuro della cyber resilience.

Sull'autore

Paul Pols

Paul Pols, è il Ransomware Resilience Principal di Bureau Veritas Cybersecurity. Paul è anche docente presso l'Università di Leiden per l'Executive Master in Cybersecurity. Insegna sicurezza di rete con particolare attenzione al ciclo di vita degli attacchi e ai modelli di Kill Chain, come MITRE ATTandCK e la Unified Kill Chain. Ha sviluppato il modello di minaccia Unified Kill Chain per descrivere i percorsi di attacco, che può essere utilizzato per analizzare, confrontare e difendersi dai cyberattacchi di attori di minacce avanzate. Prima di entrare in Bureau Veritas Cybersecurity, Paul ha lavorato anche come esperto principale di sicurezza e consulente tecnico e legale per la Commissione per i Poteri Investigativi (in olandese: TIB) che esamina l'esercizio dei poteri speciali da parte dei servizi di intelligence e di sicurezza olandesi.

Maggiori informazioni

Desidera saperne di più sull'approccio moderno al pentesting? Compili il modulo sottostante e la contatteremo entro un giorno lavorativo.

Nome

Cognome

Azienda / Organizzazione

Numero di telefono

Come possiamo esservi d'aiuto?

Autorizzo il trattamento dei miei dati come descritto nell'Informativa sulla privacy e accetto i Termini e condizioni.

Acconsento all'utilizzo di questi dati da parte di Bureau Veritas Cybersecurity per ricevere ulteriori informazioni sui servizi, eventi o argomenti che potrebbero essere di mio interesse.

Perché scegliere Bureau Veritas Cybersecurity?

Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.

Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.