1
00:00:00,000 --> 00:00:08,200
La scansione delle vulnerabilità gioca un ruolo cruciale nella strategia di cybersecurity di un'organizzazione

2
00:00:08,200 --> 00:00:14,400
automatizzando il processo di identificazione delle potenziali debolezze di sicurezza all'interno dei sistemi,

3
00:00:14,400 --> 00:00:16,720
delle reti e delle applicazioni.

4
00:00:16,720 --> 00:00:22,520
Questo processo automatizzato aiuta le organizzazioni a rilevare proattivamente vulnerabilità, configurazioni errate,

5
00:00:22,520 --> 00:00:27,880
software obsoleto e patch mancanti prima che possano essere sfruttati dagli attaccanti.

6
00:00:27,880 --> 00:00:33,240
Utilizzando strumenti specializzati, la scansione delle vulnerabilità evidenzia rischi di sicurezza che altrimenti

7
00:00:33,240 --> 00:00:38,000
potrebbero passare inosservati, rendendola una parte essenziale per comprendere la postura di sicurezza

8
00:00:38,000 --> 00:00:42,080
dell'organizzazione e sviluppare una strategia per mitigare i rischi.

9
00:00:42,080 --> 00:00:46,240
Ad esempio, un'azienda potrebbe avviare una scansione delle vulnerabilità su tutta la rete.

10
00:00:46,240 --> 00:00:50,800
Naturalmente, possono usare Nmap, ma sarebbe come un processo manuale.

11
00:00:50,800 --> 00:00:56,160
Naturalmente, possono effettivamente automatizzarlo usando script Python e bash shell

12
00:00:56,160 --> 00:01:02,560
per automatizzare le cose con il loro Nmap, altrimenti possono usare strumenti come Nessus, OpenVAS o Qualys.

13
00:01:02,560 --> 00:01:07,040
Questi strumenti scansionano sistemi senza patch o software obsoleto che potrebbe essere vulnerabile

14
00:01:07,040 --> 00:01:10,880
allo sfruttamento, proprio come abbiamo visto con Nmap.

15
00:01:10,880 --> 00:01:16,240
Il team darebbe quindi priorità al patching o all'aggiornamento del software per prevenire lo sfruttamento.

16
00:01:16,240 --> 00:01:21,320
Allo stesso modo, la scansione delle vulnerabilità può scoprire altri problemi critici come porte

17
00:01:21,320 --> 00:01:25,800
aperte, password deboli, problemi di configurazione e così via.

18
00:01:25,880 --> 00:01:30,680
Da un punto di vista tecnico, gli strumenti di scansione operano confrontando il sistema bersaglio

19
00:01:30,680 --> 00:01:35,240
con un database completo di vulnerabilità note.

20
00:01:35,240 --> 00:01:41,840
I database contengono tipicamente informazioni da risorse affidabili come il CVE, Common

21
00:01:41,840 --> 00:01:47,720
Vulnerabilities and Exposures, e l'NVD, National Vulnerability Database.

22
00:01:47,720 --> 00:01:51,920
Questi database fungono da base per l'identificazione di minacce note.

23
00:01:51,920 --> 00:01:56,440
Gli strumenti scansionano il sistema bersaglio utilizzando una combinazione di tecniche, inclusi controlli

24
00:01:56,440 --> 00:02:01,440
basati sulla rete, ispezioni del file system e analisi del comportamento del software.

25
00:02:01,440 --> 00:02:06,360
Alcuni scanner supportano persino scansioni con credenziali, in cui lo strumento ottiene approfondimenti

26
00:02:06,360 --> 00:02:12,040
più profondi accedendo al sistema ed esaminando le configurazioni o controllando la

27
00:02:12,040 --> 00:02:16,520
mancanza di patch e versioni obsolete del software.

28
00:02:16,520 --> 00:02:20,440
Uno dei vantaggi della scansione delle vulnerabilità è l'automazione.

29
00:02:20,440 --> 00:02:26,600
È la capacità di essere programmata a intervalli regolari, consentendo alle organizzazioni di mantenere

30
00:02:26,600 --> 00:02:29,120
valutazioni di sicurezza aggiornate.

31
00:02:29,120 --> 00:02:33,840
Ciò garantisce che ogni nuova vulnerabilità o minaccia emergente venga rilevata tempestivamente.

32
00:02:33,840 --> 00:02:38,760
Tuttavia, mentre il processo di scansione in sé è automatizzato, l'intervento manuale rimane

33
00:02:38,760 --> 00:02:40,280
necessario.

34
00:02:40,280 --> 00:02:44,680
I professionisti della sicurezza sono tenuti a valutare le questioni complesse che possono sorgere,

35
00:02:44,680 --> 00:02:49,960
interpretare i risultati e intraprendere le azioni appropriate per rimediare alle vulnerabilità.

36
00:02:49,960 --> 00:02:53,880
Ad esempio, interpretare l'impatto di una vulnerabilità scoperta,

37
00:02:53,880 --> 00:02:58,320
determinare se necessita di attenzione immediata e implementare le

38
00:02:58,320 --> 00:03:05,080
correzioni necessarie richiedono tutti la competenza dei professionisti della cybersecurity.

39
00:03:05,080 --> 00:03:10,400
La scansione delle vulnerabilità è un processo sfaccettato che può essere categorizzato in

40
00:03:10,400 --> 00:03:15,960
tre tipi primari: scansione basata sulla rete, sull'applicazione e sull'host.

41
00:03:15,960 --> 00:03:20,960
Ogni tipo prende di mira un livello diverso dell'infrastruttura di un'organizzazione con un

42
00:03:20,960 --> 00:03:27,160
focus specifico sull'identificazione di potenziali vulnerabilità di sicurezza a quel livello.

43
00:03:27,160 --> 00:03:32,400
Queste scansioni sono fondamentali per fornire valutazioni di sicurezza complete,

44
00:03:32,400 --> 00:03:36,880
garantendo che tutti i componenti dell'ambiente di un'organizzazione siano adeguatamente

45
00:03:36,880 --> 00:03:38,200
protetti.

46
00:03:38,200 --> 00:03:42,840
Nella scansione basata sulla rete, l'attenzione si concentra sull'identificazione delle vulnerabilità all'interno

47
00:03:42,840 --> 00:03:46,240
dei dispositivi e dei sistemi collegati alla rete.

48
00:03:46,240 --> 00:03:49,880
Questa scansione è essenziale per scoprire problemi come porte aperte,

49
00:03:49,880 --> 00:03:54,720
regole del firewall mal configurate o dispositivi di rete senza patch che potrebbero

50
00:03:54,720 --> 00:03:56,320
essere esposti ad attacchi.

51
00:03:56,320 --> 00:04:00,640
Strumenti come Nessus, Nmap o Qualys sono comunemente usati per la scansione

52
00:04:00,640 --> 00:04:01,640
basata sulla rete.

53
00:04:01,640 --> 00:04:06,920
Questi strumenti valutano gli indirizzi IP pubblici, scansionando le vulnerabilità che

54
00:04:06,920 --> 00:04:08,880
potrebbero essere sfruttate attraverso la rete.

55
00:04:08,880 --> 00:04:12,040
Ad esempio, la scansione di rete potrebbe rilevare una porta aperta su un

56
00:04:12,040 --> 00:04:17,600
server che dovrebbe essere chiusa o identificare un router obsoleto con

57
00:04:17,600 --> 00:04:19,880
falle di sicurezza note.

58
00:04:19,880 --> 00:04:24,120
Questo tipo di scansione è fondamentale per comprendere l'esposizione della rete

59
00:04:24,120 --> 00:04:26,920
e metterne in sicurezza il perimetro.

60
00:04:26,920 --> 00:04:30,400
La scansione basata sull'applicazione, invece, riguarda le applicazioni web

61
00:04:30,400 --> 00:04:33,240
e il loro software sottostante.

62
00:04:33,240 --> 00:04:37,320
Si concentra sull'identificazione di falle di sicurezza nel codice o nella logica delle

63
00:04:37,320 --> 00:04:40,680
applicazioni che potrebbero essere sfruttate dagli attaccanti.

64
00:04:40,680 --> 00:04:45,560
Questo tipo di scansione viene spesso eseguito utilizzando strumenti come OWASP ZAP o

65
00:04:45,560 --> 00:04:51,120
Burp Suite di PortSwigger, come è stato chiamato recentemente.

66
00:04:51,120 --> 00:04:54,400
Questi strumenti sono progettati per rilevare le comuni vulnerabilità delle

67
00:04:54,400 --> 00:04:58,840
applicazioni web, inclusi SQL injection, cross-site scripting o

68
00:04:58,840 --> 00:05:00,680
API non sicure.

69
00:05:00,680 --> 00:05:05,080
Per esempio, una scansione dell'applicazione potrebbe identificare una pagina web

70
00:05:05,080 --> 00:05:10,280
vulnerabile a SQL injection, consentendo agli attaccanti di accedere o

71
00:05:10,280 --> 00:05:13,400
manipolare il database sottostante.

72
00:05:13,400 --> 00:05:16,720
La scansione basata sull'applicazione è vitale perché le vulnerabilità nelle

73
00:05:16,720 --> 00:05:20,800
applicazioni possono essere la porta d'accesso per gli attaccanti per compromettere il

74
00:05:20,800 --> 00:05:22,760
sistema dell'organizzazione.

75
00:05:22,760 --> 00:05:27,440
Infine, la scansione basata sull'host si concentra sui singoli sistemi all'interno

76
00:05:27,440 --> 00:05:33,000
dell'organizzazione, come server, workstation e altri endpoint.

77
00:05:33,000 --> 00:05:36,560
Questo tipo di scansione garantisce che i sistemi siano configurati in modo sicuro,

78
00:05:36,560 --> 00:05:40,520
aggiornati con le patch di sicurezza e non presentino versioni di software

79
00:05:40,520 --> 00:05:44,440
mancanti o obsolete che potrebbero essere sfruttate.

80
00:05:44,440 --> 00:05:48,760
Strumenti di scansione basati sull'host come OpenVAS o il LAN security analyzer

81
00:05:48,760 --> 00:05:53,000
di Microsoft si collegano ai sistemi o utilizzano agenti per

82
00:05:53,000 --> 00:05:56,920
valutare le configurazioni e le versioni del software installate

83
00:05:56,920 --> 00:05:58,200
all'interno degli host.

84
00:05:58,200 --> 00:06:01,360
Ad esempio, una scansione dell'host potrebbe rivelare che un server sta

85
00:06:01,360 --> 00:06:05,280
eseguendo una versione obsoleta di VirtualBox o un server web

86
00:06:05,280 --> 00:06:07,320
esposto a vulnerabilità.

87
00:06:07,320 --> 00:06:11,000
La scansione basata sull'host controlla anche controlli di accesso deboli,

88
00:06:11,000 --> 00:06:14,920
problemi di configurazione, hardening della sicurezza e configurazioni

89
00:06:14,920 --> 00:06:18,240
non sicure, assicurando che i sistemi siano adeguatamente protetti

90
00:06:18,240 --> 00:06:19,600
contro gli attacchi.

91
00:06:19,600 --> 00:06:22,720
Tecnicamente, ogni metodo di scansione utilizza tecniche diverse

92
00:06:22,720 --> 00:06:24,760
per raccogliere e analizzare i dati.

93
00:06:24,760 --> 00:06:27,880
Le scansioni basate sulla rete spesso impiegano tecniche come

94
00:06:27,880 --> 00:06:31,920
banner-grabbing, scansioni SYN e firme di vulnerabilità.

95
00:06:31,920 --> 00:06:34,920
Il banner-grabbing comporta la raccolta di informazioni dai

96
00:06:34,920 --> 00:06:38,280
servizi in esecuzione sulle porte aperte, come le versioni

97
00:06:38,280 --> 00:06:42,800
del software o i sistemi operativi per identificare vulnerabilità note.

98
00:06:42,800 --> 00:06:46,520
Le scansioni basate sull'applicazione in genere ispezionano il traffico HTTPS,

99
00:06:46,520 --> 00:06:49,680
HTTP, alla ricerca di vulnerabilità nel codice,

100
00:06:49,680 --> 00:06:53,920
utilizzando l'analisi del codice o la logica delle applicazioni web.

101
00:06:53,920 --> 00:06:58,960
Questa scansione può identificare problemi come l'errata convalida dell'input

102
00:06:58,960 --> 00:07:03,000
nel codice sorgente, una debole gestione delle sessioni,

103
00:07:03,000 --> 00:07:05,280
metodi di autenticazione non sicuri.

104
00:07:05,280 --> 00:07:08,440
Le scansioni basate sull'host, invece, si collegano a un sistema.

105
00:07:08,440 --> 00:07:12,920
Si concentrano sul sistema operativo e si affidano a un

106
00:07:12,920 --> 00:07:16,320
agente installato nel sistema per controllare le patch mancanti,

107
00:07:16,320 --> 00:07:20,640
configurazioni non sicure e versioni del software obsolete.

108
00:07:20,640 --> 00:07:24,760
Queste scansioni possono anche valutare i log di sistema, i permessi degli utenti e

109
00:07:24,760 --> 00:07:31,000
altre impostazioni a livello di sistema relative all'analisi dell'host.

110
00:07:31,000 --> 00:07:33,760
Mentre la scansione basata sulla rete è generalmente considerata meno

111
00:07:33,760 --> 00:07:37,600
invasiva, le scansioni basate sulle applicazioni e sull'host possono fornire

112
00:07:37,600 --> 00:07:42,120
dettagli più granulari e approfonditi, ma possono richiedere più accesso

113
00:07:42,120 --> 00:07:44,280
e autorizzazioni sugli host.

114
00:07:44,280 --> 00:07:48,080
Le scansioni basate sulle applicazioni e sull'host hanno spesso

115
00:07:48,080 --> 00:07:52,720
bisogno di avere un accesso autenticato ai sistemi,

116
00:07:52,720 --> 00:07:56,640
per valutare accuratamente la loro configurazione e la loro postura

117
00:07:56,640 --> 00:08:00,480
di sicurezza, mentre la scansione basata sulla rete può essere abilitata globalmente

118
00:08:00,480 --> 00:08:03,280
in modo più centralizzato.

119
00:08:03,280 --> 00:08:06,600
Di solito la scansione basata sulla rete viene

120
00:08:06,600 --> 00:08:11,240
condotta dall'esterno e non richiede molto accesso

121
00:08:11,240 --> 00:08:15,120
ai sistemi interni, rendendola l'operazione meno rischiosa

122
00:08:15,160 --> 00:08:18,720
in termini di intrusione nel sistema, tuttavia la rete potrebbe essere

123
00:08:18,720 --> 00:08:21,720
influenzata a causa dell'alto traffico.