Perché il Breach & Attack Simulation è l’evoluzione del Penetration Test
Redatto da: Daniel Bertoni, Diego Lorenzi, Marco Gallina
Negli ultimi anni, l’attività di Penetration Test è diventata uno dei punti cardine nel processo di gestione della sicurezza dei dati di molte aziende. La possibilità di validare concretamente il livello di robustezza, in particolare di un’infrastruttura IT, rispetto ad una vasta gamma di vulnerabilità note, alza notevolmente l’asticella della sicurezza.
Tuttavia le minacce stanno crescendo non solo in quantità, ma anche in qualità: lo sfruttamento di vulnerabilità poco note, se non addirittura di limiti tecnici non compensabili nelle architetture software più utilizzate, rende necessaria una validazione di sicurezza con cadenza sempre più fitta e con focus sempre maggiore su vettori d’attacco complessi.
Questi sono i motivi che hanno portato alla nascita dei moderni strumenti di Breach & Attack Simulation: soluzioni software con alto grado di automazione, in grado di sferrare degli attacchi realistici ad una rete e superare molti dei limiti di un tradizionale Penetration Test.
Un nuovo paradigma
Il “Breach & Attack Simulation”, o l’acronimo BAS, è una metodologia che consente alle organizzazioni di simulare una kill-chain completa sulla loro infrastruttura di rete. Le soluzioni più avanzate permettono di raggiungere questo obiettivo con un’elevata automazione, in certi casi completa. A differenza di un Penetration Test, tipicamente eseguito da un ethical hacker umano, questo consente alla soluzione BAS di garantire risultati coerenti e ripetibili, abbattendo fra l’altro sia i costi che i tempi necessari per l’esecuzione di attività di Red Teaming.
Ed è proprio l’idea di Red Teaming a costituire la seconda, fondamentale differenza tra un Penetration Test ed un BAS. Il Penetration Test si basa infatti sull’idea di individuare tutte le vulnerabilità che possano consentire, a un potenziale attaccante, di ottenere un accesso o privilegio non desiderato all’interno dell’infrastruttura IT. Per fare questo, si tentano molte tecniche con approccio esaustivo, al fine di trovare il maggior numero possibile di vulnerabilità. Non vengono adottati particolari criteri per rendere tale attività trasparente ai sistemi di difesa, poiché l’obiettivo è una scansione ad ampio spettro, sul maggior numero possibile di asset, e spesso con la diretta collaborazione del Blue Team aziendale che può intervenire qualora l’esecuzione di una tecnica d’attacco causi un crash o il blocco di un’utenza, così come per definire opportune regole di esclusione per evitare che l’attività del pentester sia riconosciuta come malevola ed ostacolata dai software difensivi installati, come ad esempio le soluzioni di Detection & Response, anche se gestite da un SOC H24. Un Penetration Test tende a non andare molto in profondità, pena la necessità di un’interazione serrata con il Blue Team per eliminare tutti gli ostacoli che il pentester fatica a superare, a causa del lancio di tecniche spesso efficaci ma facilmente individuabili dalle sonde difensive.
Il BAS adotta invece l’approccio del Red Team Assessment: come in un reale scenario d’attacco, il software mira a colpire determinati punti critici, eludendo le difese e lasciando poche o nessuna traccia. I sistemi a protezione della rete sono normalmente tenuti attivi, così da valutare la loro efficacia al di là della possibile presenza di vulnerabilità classificabili con un CVE (Common Vulnerabilities and Exposures), che al giorno d’oggi non sono più utilizzate intensivamente dagli hacker reali che effettuano attacchi mirati. Concretamente, molti software di BAS simulano scenari d’attacco tipici di diversi gruppi di hacker, secondo sequenze predeterminate di tecniche, seguendo una logica basata su regole statiche. Le soluzioni più innovative riescono invece ad effettuare ragionamenti di contesto in base alle informazioni ricavate, procudendo uno scenario dinamico ed emulando il comportamento di un attaccante esperto, talvolta anche con l’uso di algoritmi di IA e ML. L’efficacia dei sistemi di difesa nell’identificazione e neutralizzazione di comportamenti anomali è il principale oggetto di validazione di un BAS, che limita il ventaglio di tecniche testate a quelle con le migliori possibilità di successo, ed effettua verifiche indirette prima di tentare un attacco, così da minimizzare la possibilità di essere scoperto prima ancora di aver avviato l’offensiva vera e propria.
Internal, External e Breach
Quanto detto sin qui si riferisce in particolar modo agli aspetti di un’attività interna, in cui si ipotizza che sia avvenuta un’intrusione (Breach). Nella realtà, spesso, l’attacco viene portato dall’esterno, tramite un sistema Command & Control che cerca di stabilire una connessione con le macchine compromesse all’interno della rete, per effettuare ulteriori attacchi ed esfiltrare dati sensibili.
Quest’ultimo scenario è difficilmente coperto da un Penetration Test: nel caso di un Internal Penetration Test ci si limita tipicamente all’esecuzione di tecniche dall’interno della rete, mentre con un External Penetration Test si valutano le vulnerabilità che possono portare all’intrusione, non le conseguenze pratiche che questa può avere. Un BAS simula invece un Breach, valutando la capacità delle difese di impedire l’esfiltrazione di dati e la connessione di un attaccante dall’esterno.
Remediation plan e mitigazione
Sia Penetration Test che BAS hanno come risultato finale il Remediation Plan, ovvero un piano d’azione per la mitigazione delle vulnerabilità individuate. Nel caso del Penetration Test, queste riguardano per lo più bug software, sistemi non aggiornati e policy da aggiornare: è quindi solitamente possibile eliminare puntualmente, e quasi del tutto, le falle emerse.
Con il BAS, essendo principalmente utilizzate tecniche che sfruttano vulnerabilità difficilmente monitorabili e correggibili, il principale mezzo di mitigazione risiede nei sistemi di “Detection and Response” installati. Ciò che può risultare è la necessità di adottare soluzioni di difesa alternative e più aderenti alle caratteristiche della propria infrastruttura, oppure modificare la configurazione di quelle esistenti per renderle più sensibili ad attività anomale come quelle effettuate durante il BAS. Tali azioni aumentano le capacità di difesa in modo complementare a un Penetration Test, motivo per cui l’utilizzo di un software di BAS, nel prossimo futuro, diventerà sempre più decisivo nella determinazione del livello di sicurezza di un’infrastruttura IT.