Hacking etico, tutto quello che è utile sapere
Il difensore del web
Sommario degli argomenti
Chi è l’Hacker?
Spesso confuso con i malintenzionati presenti sul web, l’hacker è una figura esperta di sicurezza informatica che cerca i punti deboli nelle infrastrutture di rete, nei software, e in generale nelle difese di un’azienda con cui collabora, per impedire che a trovarne le debolezze siano i cybercriminali (o cracker).
Insomma, con il termine hacker non indichiamo i criminali del web.
Anzi, il reale significato di hacker o hacker etico è legato allo specialista cybersecurity che deve trovare quante e quali sono le falle di sicurezza della rete di un’azienda. Non solo, la ricerca delle vulnerabilità si estende anche nei software web-based e nei siti web.
Normalmente, gli ethical hacker sono professionisti con decenni di esperienza nel campo della sicurezza informatica operativa.
Lo specialista solitamente collabora con clienti provenienti da settori diversi tra loro ma che hanno un comune obiettivo: la protezione della rete aziendale e dei dati.
Quali sono i compiti dell’ethical hacker?
Abbiamo dunque specificato che il compito dell’hacker etico è quello di monitorare il livello di sicurezza di un sistema informatico o un’infrastruttura web indicata dal cliente. Ma come si svolge questa attività di monitoraggio?
al fine di individuare la presenza di falle di sicurezza o vulnerabilità informatiche, l’ethical hacker si serve di tecniche avanzate (sia automatiche che manuali).
Tra i servizi di punta forniti da un ethical hacker troviamo sempre: Vulnerability Assessment e Penetration Test.
Trattasi di attività di penetration testing quando si indica il servizio di attacco informatico simulato.
Il pentest o penetration test indica l’analisi attiva e passiva del sistema informatico per individuare un punto debole, un difetto tecnico o una vulnerabilità tale da consentire l’accesso al sistema informatico. Normalmente la presenza di vulnerabilità è da imputare alla progettazione, implementazione o gestione del sistema. Fatto sta che la presenza anche solo di una vulnerabilità grave di rete compromette la sicurezza dell’intera struttura. Ed è questo che un pentest cerca di evidenziare.
Ecco che il PenTest è la verifica che dimostra che il sistema informatico soddisfi i requisiti di sicurezza necessari.
Concluso l’attacco, l’Ethical Hacker prepara un report con una analisi dettagliata delle attività e propone di conseguenza un remediation plan.
Ma che dire del servizio di Vulnerability Assessment?
Anche il servizio di Vulnerability Assessment rientra tra le mansioni di un ethical hacker.
In questo caso si tratta di un’analisi di sicurezza, un check-up completo di sicurezza per il sistema informatico in grado di valutare qualsiasi vulnerabilità nota presente. Il test assegna livelli di gravità (severity) ad ogni vulnerabilità rilevata e specifica le correzioni o azioni di remediation da implementare.
Una volta implementate queste misure, sarà nuovamente compito dell’ethical hacker testare la loro efficacia.
Come agisce un ethical hacker?
L’hacker etico quindi pensa e opera come se fosse un attaccante, per poi poter intervenire come difensore del sistema informatico. Lo scopo è quello di fornire un quadro del livello di rischio reale a cui un’organizzazione è soggetta e studiare adeguati provvedimenti e contromisure.
I compiti principali di un Hacker sono:
Effettuare Pentest su infrastrutture IT e applicazioni web per testarne la resilienza;
Verificare la sicurezza dei sistemi IT;
Rilevare e analizzare le vulnerabilità (attraverso Vulnerability Assessment);
Documentare le attività svolte e redigere un security report;
Monitorare eventuali anomalie del sistema e riconoscere tentativi di accesso non autorizzati;
Fornire consulenza in ambito cybersecurity;
Aggiornarsi costantemente sui rischi informatici e sulle norme relative alla gestione dei dati.
Parallelamente, possiamo dire che in quanto clienti, esistono dele caratteristiche da ricercare nei fornitori di servizi di ethical hacking. Infatti, le competenze tecniche e le skills più richieste per un Hacker sono:
- Conoscenze approfondite nel campo dell’informatica e dell’IT security;
- Competenza nell’esecuzione di penetration test e vulnerability assessment;
- Conoscenza delle minacce e dei tipi di attacco ai sistemi informatici;
- Esperienza nell’utilizzo dei tool di hacking e reverse engineering;
- Conoscenza della legislazione in materia di privacy e trattamento dati;
- Impegno etico;
- Affidabilità e discrezione.
Secondo quanto riporta la National Cybersecurity Alliance americana, circa 30.000 siti web vengano violati ogni giorno.
Si registrano, infatti, attacchi come il cybersquatting (attività volta ad appropriarsi di nomi di dominio di terzi, in particolare di marchi commerciali di rilievo, al fine di trarne profitto) oppure attività di hacktivism (azioni, compresi attacchi informatici, effettuate per finalità politiche o sociali), che dimostrano l’ampio raggio d’interesse delle attività dei cybercriminali.
In questo panorama complesso, che richiede sempre più competenze tecniche, stanno prendendo piede gli hacker etici.
La richiesta di hacker buoni o White Hat è in costante crescita.
Ogni impresa, piccola o grande che sia, ha un insieme di dati in gestione, relativi all’impresa stessa o ai propri clienti: ad esempio nomi user e password, dati di contatto, informazioni personali, coordinate bancarie, fatture e documenti commerciali. Di questo insieme spesso molto ampio di informazioni l’azienda deve assicurare un trattamento riservato, anche in ottemperanza delle disposizioni di legge in materia di privacy e protezione dei dati personali.
Nel caso di un data breach o di un vero e proprio attacco mosso da intenzioni malevole, le conseguenze possono essere di diversa gravità: da una caduta della reputazione aziendale, alla perdita di dati che mettono in pericolo la business continuity, a sanzioni economiche per il mancato rispetto della legge.
Per questo è così importante per le aziende verificare che il proprio sistema informatico sia sicuro e che i dati siano protetti, grazie all’aiuto dell’hacking etico.
Solitamente sono le aziende di grandi dimensioni quelle che investono di più in sicurezza informatica, per ridurre al minimo il rischio di perdita o manomissione dei dati.
Solo pochi anni fa, molte realtà aziendali avrebbero trovato assurda l’idea di assumere un hacker per rafforzare le proprie difese digitali. Ma questa mentalità sta cambiando, con un numero crescente di aziende che incoraggiano attivamente gli ethical hacker a mettere alla prova la propria resilienza informatica.
Ogni azienda ha certamente in gestione l’intera infrastruttura informatica. Più grande e segmentata è la rete, più è facile che si possano rilevare vulnerabilità informatiche. In molti casi, quando l’azienda raggiunge grandi dimensioni, un intero team di IT riesce a gestire l’aspetto sicurezza.
Ecco dunque quali secondo noi sono i 3 motivi fondamentali per cui ricorrere al supporto dell’hacking etico:
Il settore dell’hacking è in forte espansione
questo vale sia per gli hacker etici e sia per quelli malevoli. La parte di malintenzionati che studiano per attaccare le aziende e i privati è in continua crescita e le tecnologie impiegate, sempre più sofisticate.
Inoltre l’accelerata digitalizzazione che le aziende stanno avendo in questo periodo, incrementa la “voglia” dei soggetti malevoli di perpetrare attacchi a danno di aziende grandi o piccole;- Alle aziende serve un supporto cybersecurity specializzato
Non fornitori qualunquisti ma professionisti con oltre 15 anni di esperienza nel campo della cybersecurity. La sicurezza informatica di un sistema aziendale deve essere gestita da tecnici specializzati che riescano ad assumersi le responsabilità derivanti dal loro lavoro e che siano costantemente formati sul fronte delle minacce informatiche più recenti.
Le PMI sono lo zoccolo duro dell’economia italiana ma è altrettanto vero che non sono culturalmente e strutturalmente pronte a difendersi dagli attacchi informatici.
Quella dell’hacker etico, però, è una figura professionale ancora un po’ controversa, poiché crea un problema normativo non irrilevante: nonostante la sua azione sia dettata da sani principi e mirata alla sicurezza del bene comune, questo è intrinsecamente connesso, però, all’attività illegale della sua condotta.
Anche se autorizzate, le operazioni compiute da un white hat entrano infatti continuamente in conflitto con diritti fondamentali quali libertà di espressione, politica commerciale, privacy e tutela del consumatore. Per questo motivo è stato ritenuto necessario creare un attestato che potesse dare a queste professionalità una garanzia rispetto a capacità e buone intenzioni, ma anche sottolinearne le responsabilità attraverso l’adesione a un preciso codice etico.
Per non essere ingannati, oggi sono nate non solo delle certificazioni, ma delle aziende che si occupano di sicurezza informatica per il business (come Cyberment), che ti aiutano a difenderti dai cybercriminali.
Offriamo la nostra competenza per aiutarti a rendere più sicuro l’utilizzo delle tecnologie informatiche. La nostra consulenza previene l’inefficienza della tecnologia e garantisce la giusta protezione per la tua azienda.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica
Il nostro team di specialisti cyber security vanta un’esperienza decennale nel settore e ci occupiamo di identificare le vulnerabilità informatiche nei sistemi informatici e nelle applicazioni web.
Cyberment ha 3 sedi dalle quali studia con costanza l’evoluzione delle minacce informatiche: Milano, Mantova e Londra. Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci e parlaci dei problemi della tua azienda.
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.