8.2. Definizione di valutazione e di prova
È necessario distinguere i vari modi di valutazione della vulnerabilità. Le valutazioni possono essere suddivise in: Controllo esterno e controllo interno.
Quando si effettua un controllo esterno, non farete altro che cercare di compromettere i vostri sistemi dall'esterno. Trovandovi all'esterno avrete lo stesso punto di vista che si presenta ad un cracker. Vedrete quello che un cracker vede — indirizzi IP publicly-routable, i sistemi sul vostro DMZ, interfacce esterne del vostro firewall e molto altro. DMZ è l'acronimo di "demilitarized zone", il quale corrisponde ad un computer oppure ad una sottorete minore che si trova tra una rete interna fidata, come ad esempio una LAN privata corporativa, e una rete esterna non fidata, come ad esempio può essere internet. Generalmente DMZ contiene dei dispositivi accessibili al traffico di internet, come ad esempio Web (HTTP ) server, server FTP, SMTP (e-mail) server e server DNS.
Quando effettuate un controllo interno invece, vi troverete in una condizione di vantaggio in quanto considerati utenti fidati. Questo tipo di controllo vi fornirà il vostro punto di vista e quello dei vostri colleghi, una volta effettuata la registrazione sui vostri sistemi. Potrete vedere i server di stampa, i file server, i database e altre risorse.
Sono presenti delle distinzioni tra questi due tipi di valutazione. Trovandovi all'interno avrete maggiori privilegi — rispetto ad un utente esterno. Ancora oggi in molte organizzazioni la sicurezza viene configurata in modo tale da mantenere gli intrusi all'esterno. Molto poco viene fatto per mantenere una maggiore sicurezza da attacchi interni (firewall dipartimentali, controllo dell'accesso user-level, procedure di autenticazione per risorse interne, e molto altro). Generalmente sono disponibili numerose risorse quando si effettua un controllo dall'interno, questo perchè molti sistemi sono interni alla compagnia. Una volta posizionati all'esterno, vi sarà dato uno stato di utente non fidato. I sistemi e le risorse disponibili esternamente sono generalmente limitati.
È importante considerare la differenza tra una valutazione della vulnerabilità e le prove di penetrazione. Pensate ad una valutazione della vulnerabilità come il primo passo verso una prova di penetrazione. Le informazioni ottenute dalla valutazione, saranno usate durante la prova. Mentre la valutazione và alla ricerca di buchi e potenziali punti deboli, la prova di penetrazione cerca di sfruttare i risultati.
L'assegnazione di infrastrutture di rete, rappresenta un processo dinamico. La sicurezza, sia dell'informazione e sia fisica, è dinamica. Effettuando una valutazione, si può ottenere una panoramica, la quale può essere falso positivo e falso negativo.
Gli amministratori responsabili risultano essere idonei solo in base agli strumenti da loro usati e alla loro conoscenza. Prendete qualsiasi strumento di valutazione attualmente disponibile, usatelo sul vostro sistema, e quasi sicuramente vi saranno dei falsi-positivi. Sia a causa dell'utente che a causa di un errore del programma, il risultato è identico. Il tool potrebbe essere in grado di trovare dei punti deboli che in realtà non esistono (falso-positivo); o ancora peggio, lo strumento non trova alcun punto debole quando in realtà essi sono esistenti (falso-negativo).
Una volta definite le differenze tra la valutazione della vulnerabilità e la prova di penetrazione, è sempre buona pratica prendere i risultati della valutazione e controllarli accuratamente prima di effettuare una prova di penetrazione.
 | Avviso |
|---|---|
Se cercate di sfruttare i punti deboli delle risorse di produzione, si può incorrere a spiacevoli risultati nei confronti della produttività ed efficienza dei vostri sistemi e della rete. |
Il seguente elenco riporta alcuni dei benefici che si possono ottenere effettuando delle valutazioni dei vari punti deboli.
Crea un coinvolgimento proattivo nei confronti della sicurezza delle informazioni
Trova potenziali exploit prima dei cracker
Ne risualta in un aggiornamento dei sistemi e patch correlate
Promuove la crescita e aiuta lo sviluppo della competenza del personale
Riduce la perdita economica e la pubblicità negativa
8.2.1. Stabilire una metodologia
Per assistere alla selezione dei tool per la valutazione della vulnerabilità, è consigliato stabilire una metodologia di valutazione. Sfortunatamente, non vi è alcuna metodologia predefinita o approvata in questo momento, senso comune e pratica sono sufficienti a questo scopo.
Qual'è l'obbiettivo? Stiamo cercando un solo server, oppure una intera rete e qualsiasi cosa presente al suo interno? Siamo esterni o interni alla compagnia? Le risposte a queste domande sono importanti, in quanto vi aiuteranno non solo a selezionare gli strumenti ma anche a scegliere il modo per usarli.
Per saperne di più su come stabilire delle metodologie, consultate i seguenti siti web:
http://www.isecom.org/projects/osstmm.htm — La Open Source Security Testing Methodology Manual (OSSTMM)
http://www.owasp.org — La Open Web Application Security Project