I Risultati del sondaggio "Tendenze e sfide nell’ambito del Pen Testing"

News
thumb_A_risultatosondaggio_1599145594.jpg

Effettuare dei Penetration test è diventato uno dei migliori modi per verificare la sicurezza di una azienda rispetto agli attacchi degli hacker e saper dare priorità al meglio agli interventi per costruire una migliore difesa.

In collaborazione con Helpsystems leader nelle soluzioni di Sicurezza abbaimo realizato nelel passate settimane un webinar di presentazionedei  Risultati del sondaggio "Tendenze e sfide nell’ambito del Pen Testing". Il Webinar può essere rivisto on demand: dettagli in questa pagina

Effettuare dei Penetration test è diventato uno dei migliori modi per verificare la sicurezza di una azienda rispetto agli attacchi degli hacker e saper dare priorità al meglio agli interventi per costruire una migliore difesa.

Ora che il pen testing è diventato una componente centrale e indispensabile in tutte le strategie di Risk Management, è importante chiedersi come viene utilizzato da aziende di dimensioni e settori differenti. Core Security, parte del Gruppo HelpSystems, ha di recente condotto un sondaggio che ha esaminato quanto e come il pen testing viene utilizzato e la percezione che ne hanno i team di sicurezza delle aziende.

Di seguito potete leggere alcuni dei passaggi più interessanti del Sondaggio presentato da Jenko Gaviglia di HelpSystems

Ogni anni realizziamo un sondaggio rivolto agli utenti che utilizzano questa tecnica per garantire che i sistemi delle aziende siano sicuri. È una tecnica in cui si tenta di accedere ai sistemi dell’azienda.

Il sondaggio è molto rappresentativo: oltre 800 persone hanno risposto al sondaggio (il 30 % proviene dall’America del Nord, il 30 % dall’Europa, il 21 % dall’Asia). È ben distribuito rispetto ad altri sondaggi. A livello di aziende, circa un terzo delle aziende che hanno partecipato sono abbastanza piccole (hanno meno di 100 dipendenti),il 14 % sono aziende hanno tra i 1000 e i 5000 dipendenti, circa il 7 % tra i 5000 e i 10000; 15 % oltre i 10.000 dipendenti.

La prima domanda che abbiamo fatto è: quali sono le principali problematiche nell’eseguire il Penetration Test?  Le aziende che eseguono il Penetration Test che problematiche si trovano ad affrontare?

Nella stragrande maggioranza il problema è quello di trovare e mantenere persone sufficientemente skillate. (64 %).  Anche l’appoggio da parte del management sullo svolgimento del penetration testing è migliorato molto. Abbiamo un numero abbastanza importante di persone (52 %) che sono abbastanza fiduciosi nel farlo. Il 97 % delle aziende valuta il Penetration Test come qualcosa di molto importante o abbastanza importante all’interno dell’azienda. Molto spesso quando parliamo di Penetration Test si confonde con quello che si definisce Vulnerability Assessment: analizzare i sistemi dell’azienda e vedere se alcuni di questi sistemi alcuni non hanno un livello di patch sufficiente. In questo 97 % probabilmente ci sono aziende che confondono il Penetration Testing con il Vulnerability Assessment. Un conto è realizzare un Penetration Test, altra cosa è rimediare ai problemi riscontrati. Nella parte di rimedio le aziende non sono ancora efficaci.

Quali sono le preoccupazioni principali a livello di rischi di sicurezza per l’azienda?

Molte aziende vedono come rischiosi i problemi di configurazione e phishing. Ciò è corretto. Il phishing è aumentato tantissimo, in seguito a tutte le problematiche legate al coronavirus. Molti dipendenti non hanno lavorato all’interno della rete aziendale con tutti i problemi di sicurezza connessi. Il phishing è pericoloso all’interno dell’azienda ma anche all’esterno dell’azienda. Se noi vediamo che noi stessi riusciamo ad attaccare la nostra rete, indovinare password, capiamo che c’è qualche problema nella nostra rete.

thumb_PhishingSimulation_1599055981.png

Altra cosa interessante è vedere quanto il Penetration Test sia importante in riferimento alle normative: per il 68 % delle aziende è importante. Il Penetration Test è un requisito indiretto per quanto riguarda il risk management. È interessante vedere ogni quanto le aziende eseguano operazioni di simulazioni di phishing. È raccomandabile fare questo ogni tot per vedere quali dipendenti ci possono cascare. L’obiettivo è quello educativo. Non deve essere punitivo nei confronti del dipendente che ha aperto la mail di phishing. Deve essere un obiettivo formativo. Se un dipendente “abbocca” gli si deve spiegare come fare per non ricadere nella trappola. Delle aziende che hanno risposto, 1/5 non fa mai simulazioni di phishing. Il 25 % lo fa annualmente. Normalmente la nostra raccomandazione è quella di farlo almeno trimestralmente, a meno che l’azienda non sia veramente grande e quindi non sia necessario fare più simulazioni durante l’anno.

A livello di Penetration Test qual ‘è la frequenza con cui viene eseguito?

Solitamente 1 o 2 volte l’anno. In realtà dovrebbe essere qualcosa di continuo. Bisogna cercare di risolvere i problemi che si realizzano e poi realizzare un nuovo Penetration Test per vedere se si sono risolti. Identificare i problemi, risolverli e poi eseguire nuovamente lo stesso Penetration Test è ciò che fa sì che i dati siano veramente salvi. Infatti la stragrande maggioranza degli attacchi provengono da errori nelle configurazioni. Delle aziende che eseguono Penetration Test vediamo che la maggioranza delle aziende non esegue un Penetration Test internamente ma si affida ad aziende esterne (51%) mentre il 49 % l’ha fatto nel passato. Chi ha team interni di Penetration Test ultimamente sono le aziende più grandi. Sulle aziende che eseguono Penentration Test interno la maggioranza delle persone devono essere formate e probabilmente svolgeranno quasi esclusivamente questa attività.

Spesso i tool di penetration testing sono tool che si scaricano da Internet (open source) ma ci sono anche tool semplificati. Il 72 % delle aziende utilizza tool gratuiti open source, il 49 % utilizza tool commerciali, il 12 % non usa nessun tool.

 

La soluzione: Core Impact

Core Impact è un prodotto molto facile da utilizzare. Posso fare tutto da lì, non ho necessità di scaricare altri software, altri tool. Da lì ho tutti gli exploit possibili che sono mantenuti e certificati da Helpsystems. Ciò permette di far eseguire il Penetration Test in maniera molto rapida anche da persone non esperte. Con un paio di giorni di formazione, utilizzando il nostro tool una persona con una formazione normale nel campo IT e conoscenze essenziali sulla parte di cyber security può effettuare un Penetration Test. Lo strumento è centralizzato in un unico prodotto. È inoltre compatibile con sistemi di vulnerability assessment. Possiamo quindi importare i risultati del vulnerability assessment e provare a inserire gli exploit relativi alla vulnerabilità. Questo serve per individuare le eventuali vulnerabilità. Di tutti i positivi che escono dallo scan dal vulnerability assessment, possiamo inserirli nel nostro Penetration Test e il prodotto comincerà a vedere se il sistema che era vulnerabile può essere attaccato dall’esterno. Potete quindi dare priorità a quello che è il risultato di un priority assessment. Possiamo fare la validation del Penetration Test e poi eseguire nuovamente lo stesso test per certificare che quei sistemi che prima si potevano attaccare, ora non si possono più attaccare.

Richiedi Informazioni

Sei interessato a questo prodotto? Compila il seguente form:
Oggetto della richiesta
Richiedi informazioni su: I Risultati del sondaggio "Tendenze e sfide nell’ambito del Pen Testing"

A tutela della tua privacy, secondo quanto stabilito dal Regolamento (UE) 2016/679 ed in adempimento alle disposizioni del D.Lgs. 196/2003, Soluzioni EDP® S.r.l. ti garantisce che i dati personali raccolti in questo form verranno utilizzati esclusivamente per rispondere alle richieste di informazioni indicate nel campo 'messaggio' o 'oggetto della richiesta' del seguente modulo.
Dati Personali raccolti: cognome, email, nome, numero di telefono e ragione sociale.
I tuoi dati non verranno in alcun modo ceduti a terzi per finalità di marketing slegate dalle attività di Soluzioni Edp.

Per comunicare con te potremmo, per l'invio di email, avvalerci della piattaforma Mailup che, attraverso sistemi di tracciamento statistico, consente di rilevare l'apertura di un messaggio, i click effettuati sui collegamenti ipertestuali contenuti all'interno dell'email, da quale indirizzo IP o con quale tipo di browser viene aperta l'email, e altri dettagli simili. La raccolta di tali dati è funzionale all'utilizzo della piattaforma e costituisce parte integrante delle funzionalità del sistema di invio dei messaggi.

I tuoi dati verranno conservati per il tempo strettamente necessario ad adempiere alla richiesta contenuta nel form.
I tuoi dati saranno conservati per tutto il tempo necessario all'adempimento della richiesta in territorio Europeo e protetti secondo il Regolamento (UE) 2016/679.
I tuoi dati saranno protetti con tutti i migliori ed attuali sistemi di protezione.

Soluzioni EDP® S.r.l. adotta le opportune misure di sicurezza volte ad impedire l'accesso, la divulgazione, la modifica o la distruzione non autorizzate dei Dati Personali.
I tuoi dati saranno trattati presso la sede operativa di Soluzioni EDP® S.r.l. in Viale Garibaldi, 51 Vercelli (Italia). Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate.
Tu hai il diritto, in qualunque momento, di chiedere la modifica o la cancellazione totale (diritto all'oblio) dei tuoi dati personali in possesso di Soluzioni EDP® S.r.l.: basta una mail a privacy@soluzioniedp.it o contattandoci in altro modo.
Per conoscere nel dettaglio le politiche di privacy e di protezione dei dati personali degli utenti del sito, fermo restando quanto sopra scritto, puoi cliccare qui