Valutazione della vulnerabilità dalla Kali Linux Guide di OnWorks

Salta al contenuto

11.2.1. Valutazione di vulnerabilità

A vulnerabilità è considerato un punto debole che potrebbe essere utilizzato in qualche modo per compromettere la riservatezza, l'integrità o la disponibilità di un sistema informativo. In una valutazione delle vulnerabilità, il tuo obiettivo è creare un semplice inventario delle vulnerabilità scoperte all'interno del ambiente di destinazione. Questo concetto di ambiente di destinazione è estremamente importante. Devi essere sicuro di rimanere nell'ambito della rete di destinazione del tuo cliente e degli obiettivi richiesti. Strisciare fuori dall'ambito di una valutazione può causare un'interruzione del servizio, una violazione della fiducia con il tuo cliente o un'azione legale contro di te e il tuo datore di lavoro.

A causa della sua relativa semplicità, un test di vulnerabilità viene spesso completato in ambienti più maturi su base regolare come parte della dimostrazione della loro due diligence. Nella maggior parte dei casi, uno strumento automatizzato, come quelli dell'Analisi delle vulnerabilità7 e applicazioni web8 categorie del sito Kali Tools e del menu delle applicazioni desktop Kali, viene utilizzato per scoprire i sistemi live in un ambiente di destinazione, identificare i servizi di ascolto ed enumerarli per scoprire quante più informazioni possibili come il software del server, la versione, la piattaforma e così via .

Queste informazioni vengono quindi controllate per individuare firme note di potenziali problemi o vulnerabilità. Queste firme sono costituite da combinazioni di punti dati che hanno lo scopo di rappresentare problemi noti. Vengono utilizzati più punti dati, poiché più punti dati si utilizzano, più precisa è l'identificazione. Esiste un numero molto elevato di potenziali punti dati, inclusi ma non limitati a:

• Versione del sistema operativo: non è raro che il software sia vulnerabile su una versione del sistema operativo ma non su un'altra. Per questo motivo, lo scanner tenterà di determinare, nel modo più accurato possibile, quale versione del sistema operativo ospita l'applicazione di destinazione.

• Livello di patch: molte volte vengono rilasciate patch per un sistema operativo che non aumentano le informazioni sulla versione, ma cambiano comunque il modo in cui una vulnerabilità risponde, o addirittura la eliminano completamente.

• Architettura del processore: molte applicazioni software sono disponibili per più architetture di processori come Intel x86, Intel x64, più versioni di ARM, UltraSPARC e così via.

5https://en.wikipedia.org/wiki/Executable_space_protection#Windows 6https://en.wikipedia.org/wiki/Address_space_layout_randomization 7http://tools.kali.org/category/vulnerability-analysis 8http://tools.kali.org/category/web-applications‌‌‌

In alcuni casi, una vulnerabilità esisterà solo su un'architettura specifica, quindi conoscere questo bit di informazioni può essere fondamentale per una firma accurata.

• Versione software: la versione del software di destinazione è uno degli elementi di base da acquisire per identificare una vulnerabilità.

Questi e molti altri punti dati verranno utilizzati per creare una firma come parte di una scansione delle vulnerabilità. Come previsto, più punti dati corrispondono, più accurata sarà la firma. Quando si tratta di corrispondenze di firme, è possibile ottenere alcuni risultati potenziali diversi:

• Vero positivo: la firma è abbinata e cattura una vera vulnerabilità. Questi risultati sono quelli che dovrai seguire e correggere, poiché questi sono gli elementi di cui i malintenzionati possono trarre vantaggio per danneggiare la tua organizzazione (o quella del tuo cliente).

• Falso positivo: la firma è abbinata; tuttavia il problema rilevato non è una vera vulnerabilità. In una valutazione, questi sono spesso considerati rumore e possono essere piuttosto frustranti. Non vuoi mai respingere un vero positivo come un falso positivo senza una convalida più ampia.

• True Negative: la firma non corrisponde e non c'è vulnerabilità. Questo è lo scenario ideale, verificando che non esista una vulnerabilità su un target.

• Falso negativo: la firma non corrisponde ma esiste una vulnerabilità esistente. Per quanto un falso positivo sia, un falso negativo è molto peggio. In questo caso, esiste un problema ma lo scanner non lo ha rilevato, quindi non hai indicazioni della sua esistenza.

Come puoi immaginare, l'accuratezza delle firme è estremamente importante per risultati accurati. Più dati vengono forniti, maggiore è la possibilità di ottenere risultati accurati da una scansione automatizzata basata su firme, motivo per cui le scansioni autenticate sono spesso così popolari.

Con una scansione autenticata, il software di scansione utilizzerà le credenziali fornite per autenticarsi sulla destinazione. Ciò fornisce un livello più profondo di visibilità in un obiettivo di quanto sarebbe altrimenti possibile. Ad esempio, in una normale scansione è possibile rilevare solo informazioni sul sistema che possono essere derivate dai servizi di ascolto e dalle funzionalità che forniscono. Questa può essere un po' di informazione a volte, ma non può competere con il livello e la profondità dei dati che si otterranno se ti autentichi al sistema e controlli in modo completo tutto il software installato, le patch applicate, i processi in esecuzione e così via . Questa ampiezza di dati è utile per rilevare vulnerabilità che altrimenti potrebbero non essere scoperte.

Una valutazione della vulnerabilità ben condotta presenta un'istantanea dei potenziali problemi in un'organizzazione e fornisce metriche per misurare il cambiamento nel tempo. Si tratta di una valutazione abbastanza leggera, ma nonostante ciò, molte organizzazioni eseguiranno regolarmente scansioni di vulnerabilità automatizzate nelle ore non lavorative per evitare potenziali problemi durante il giorno, quando la disponibilità del servizio e la larghezza di banda sono più critiche.

Come accennato in precedenza, una scansione delle vulnerabilità dovrà controllare molti punti dati diversi per ottenere un risultato accurato. Tutti questi diversi controlli possono creare carico sul sistema di destinazione e consumare larghezza di banda. Purtroppo è difficile sapere esattamente quante risorse verranno consumate sul target in quanto dipende dal numero di servizi aperti e dalle tipologie di

controlli che sarebbero associati a tali servizi. Questo è il costo per eseguire una scansione; occuperà risorse di sistema. Avere un'idea generale delle risorse che verranno consumate e del carico che il sistema di destinazione può richiedere è importante durante l'esecuzione di questi strumenti.

Scansione di thread La maggior parte degli scanner di vulnerabilità include un'opzione per impostare thread per scansione, che equivale al numero di controlli simultanei che si verificano contemporaneamente. L'aumento di questo numero avrà un impatto diretto sul carico sulla piattaforma di valutazione, nonché sulle reti e sui target con cui si interagisce. Questo è importante da tenere a mente quando si utilizzano questi scanner. Si è tentati di aumentare i thread per completare le scansioni più velocemente, ma ricorda il notevole aumento del carico associato a ciò.

Al termine di una scansione delle vulnerabilità, i problemi rilevati sono in genere collegati a identificatori standard del settore come il numero CVE9, ID EDB10e avvisi del fornitore. Queste informazioni, insieme al punteggio CVSS delle vulnerabilità11, viene utilizzato per determinare una valutazione del rischio. Insieme ai falsi negativi (e ai falsi positivi), queste valutazioni arbitrarie del rischio sono problemi comuni che devono essere considerati quando si analizzano i risultati della scansione.

Poiché gli strumenti automatizzati utilizzano un database di firme per rilevare le vulnerabilità, qualsiasi lieve deviazione da una firma nota può alterare il risultato e allo stesso modo la validità della vulnerabilità percepita. Un falso positivo segnala erroneamente una vulnerabilità che non esiste, mentre un falso negativo è effettivamente cieco di fronte a una vulnerabilità e non la segnala. Per questo motivo, si dice spesso che uno scanner sia buono solo quanto la sua base di regole della firma. Per questo motivo, molti fornitori forniscono più set di firme: uno che potrebbe essere gratuito per gli utenti domestici e un altro set piuttosto costoso che è più completo, che viene generalmente venduto ai clienti aziendali.

L'altro problema che si riscontra spesso con le scansioni di vulnerabilità è la validità delle valutazioni di rischio suggerite. Questi rating di rischio sono definiti su base generica, considerando molti fattori diversi come il livello di privilegio, il tipo di software e la pre o la post-autenticazione. A seconda dell'ambiente, queste classificazioni possono o meno essere applicabili, quindi non dovrebbero essere accettate alla cieca. Solo coloro che conoscono bene i sistemi e le vulnerabilità possono convalidare correttamente le valutazioni del rischio.

Sebbene non vi sia un accordo universalmente definito sulle valutazioni del rischio, la pubblicazione speciale NIST 800-3012 è consigliato come base per la valutazione dei rating di rischio e della loro accuratezza nel proprio ambiente. NIST SP 800-30 definisce il vero rischio di una vulnerabilità scoperta come una combinazione della probabilità di accadimento e del potenziale impatto.

9https://cve.mitre.org 10https://www.exploit-db.com/about/ 11https://www.first.org/cvss‌‌‌

12http://csrc.nist.gov/publications/PubsSPs.html#800-30