8.2. Definizione di valutazione e di prova

È necessario distinguere i vari modi di valutazione sulla vulnerabilità. Le valutazioni possono essere suddivise in: Controllo dall'esterno e controllo dall'interno.

Quando si effettua un controllo esterno per una valutazione sulla vulnerabilità, cercherete di compromettere i vostri sistemi dall'esterno. Trovarsi all'esterno avrete lo stesso punto di vista che si presenta ad un cracker. Vedrete quello che un cracker vede — indirizzi IP publicly-routable, i sistemi sul vostro DMZ, interfacce esterne del vostro firewall e molto altro.

Quando effettuate un controllo dall'interno invece, vi troverete in una condizione di vantaggio in quanto considerati utenti fidati. Questo tipo di controllo vi fornirà il vostro punto di vista e quello dei vostri colleghi, una volta effettuata la registrazione sui vostri sistemi. Potrete vedere i server di stampa, i server file, database e altre risorse.

Sono presenti delle distinzioni tra questi due tipi di valutazione della vulnerabilità. Trovandovi all'interno avrete maggiori privilegi — rispetto ad un utente esterno. Ancora oggi in molte organizzazioni la sicurezza viene configurata in modo tale da mantenere gli intrusi all'esterno. Molto poco viene fatto per mantenere una maggiore sicurezza da attacchi interni (firewall dipartimentali, controllo dell'accesso user-level, procedure di autenticazione per risorse interne, e molto altro). Generalmente vi sono molte più risorse quando si effettua un controllo dall'interno, questo perchè molti sistemi sono interni alla compagnia. Una volta che vi posizionate all'esterno, vi sarà dato uno stato di utente non fidato. I sistemi e le risorse disponibili esternamente sono generalmente limitati.

È importante considerare la differenza tra una valutazione sulla vulnerabilità e le prove di penetrazione. Pensate ad una valutazione sulla vulnerabilità come il primo passo verso una prova di penetrazione. Le informazioni ottenute dalla valutazione, saranno usate durante la prova. Mentre la valutazione và alla ricerca di buchi e potenziali punti deboli, la prova di penetrazione cerca di sfruttare i risultati.

Lassegnazione di infrastrutture di rete, rappresenta un processo dinamico. La sicurezza, sia dell'informazione e sia fisica, è dinamica. Effettuando una valutazione, si può ottenere una panoramica, la quale può essere falso positivo e falso negativo.

Gli amministratori della sicurezza sono bravi solo in base algli strumenti da loro usati ealla loro conoscenza. Prendete qualsiasi strumento di valutazione attualmente disponibile, usatelo sul vostro sistema, e quasi sicuramente vi saranno dei falsi-positivi. Sia a causa dell'utente che a causa di un errore del programma, il risultato è identico. Lo strumento può trovare dei punti deboli che in realtà non esistono (falso-positivo); o ancora peggio, lo strumento non trova alcun punto debole quando in realtà essi sono esistenti (falso-negativo).

Una volta definite le differenze tra valutazione della vulnerabilità e prova di penetrazione, è sempre buona pratica prendere i risultati della valutazione e rivisionarli accuratamente prima di effettuare una prova di penetrazione.

AttenzioneAvviso
 

Se cercate di sfruttare i punti deboli delle risorse di produzione, si può incorrere a spiacevoli risultati nei confronti della produttività ed efficienza dei vostri sistemi e della rete.

Il seguente elenco, riporta alcuni dei benefici che si possono ottenere effettuando delle valutazioni della vulnerabilità.

8.2.1. Stabilire una metodologia

Per assistere nella selezione degli strumenti per la valutazione della vulnerabilità, è consigliato stabilire una metodologia di valutazione. Sfortunatamente, non vi è alcuna metodologia predefinita o approvata in questo momento, senso comune e pratica sono sufficienti a questo scopo.

Qual'è l'obbiettivo? Stiamo cercando un solo server, oppure una intera rete e qualsiasi cosa al suo interno? Siamo esterni o interni alla compagnia? Le risposte a queste domande sono importanti, in quanto vi aiuteranno non solo a selezionare gli strumenti ma anche a scegliere il modo per usarli.

Per saperne di più su come stabilire delle metodologie, consultate i seguenti siti web: