ZAIUX: Penetration Test interno automatizzato dalla IA
Il penetration test interno è un'attività volta a far emergere le vulnerabilità all'interno di un'infrastruttura informatica aziendale. Queste permetterebbero infatti, ad un utente malevolo o un attaccante esterno (sia esso umano o ransomware) che abbia ottenuto un accesso iniziale, ad esempio tramite una mail di phishing, di effettuare un percorso di "privilege escalation" fino ad ottenere privilegi amministrativi.
Una volta posseduti tali privilegi, l'attacco informatico avrebbe un grave impatto sull'azienda: distruzione o sottrazione di dati sensibili, richiesta di riscatto e interruzione di tutte (o quasi) le attività aziendali sono le conseguenze più comuni, come sempre più spesso riportato dalla cronaca. Data la sempre crescente complessità di gestione delle reti informatiche, è molto comune che gli IT manager introducano regolarmente vulnerabilità senza rendersene conto: per questo motivo, tutti i framework internazionali di sicurezza informatica raccomandano la frequente esecuzione di penetration test. La transizione digitale delle imprese dipende, quindi, anche dalla capacità di mettere (e mantenere) in sicurezza le proprie infrastrutture informatiche. Ad oggi, il penetration test è un servizio manuale offerto da ethical hacker: esperti del settore che, con spirito etico, simulano un attacco e generano un documento recante tutte le vulnerabilità che sono state attivamente sfruttate. Tali figure (specie se ci si riferisce a professionisti qualificati ed in possesso di certificazioni professionali valide) sono piuttosto rare, e le attività di ethical hacking richiedono diversi giorni di lavoro, per cui un penetration test è un'attività molto costosa sia in termini economici per il cliente che di ore spese per il consulente. Anche per questi motivi, nella quasi totalità dei casi le aziende non ricorrono a questo tipo di servizio se non dopo aver subito un attacco, vanificando lo spirito preventivo della Cybersecurity offensiva. Pikered, startup italiana fondata nel 2020 come spinoff di una società di consulenza informatica aziendale, ha deciso di fondere competenze di Ethical Hacking e Data Science per ottenere la completa automazione dei penetration test interni, in modo da rendere possibile una loro esecuzione continuativa e sistematica, dando vita a ZAIUX. ZAIUX è una soluzione software costituita da una macchina virtuale, facilmente installabile da qualsiasi amministratore IT nella rete locale della propria azienda, ed una piattaforma Cloud. La macchina virtuale espone un'interfaccia Web locale tramite cui un tecnico IT, senza necessità di possedere alcuna conoscenza nel campo della Cybersecurity, può facilmente configurare un qualsiasi numero di penetration test, che ZAIUX esegue automaticamente sulla base della programmazione desiderata.
ZAIUX bersaglia ambienti Microsoft Active Directory, che costituiscono la quasi totalità delle infrastrutture di rete presenti sul mercato, ed esegue in autonomia il penetration test con l'obiettivo di compromettere il Domain Controller ed avere, quindi, privilegi amministrativi sulla rete. Al termine dell'esecuzione, che abbia raggiunto la totale compromissione della rete o meno, ZAIUX genera un report in formato pdf, che l'utente può scaricare dall'interfaccia Web o ricevere in automatico tramite email. Questo documento include tutte le informazioni necessarie a comprendere le vulnerabilità individuate e guidarne la mitigazione, in riferimento al framework MITRE ATT&CK, che costituisce uno standard internazionale. Altri software automatici di individuazione delle vulnerabilità effettuano di fatto un Vulnerability Assessment, attività con la quale l'intera rete viene scansionata alla ricerca di qualsiasi possibile vulnerabilità, producendo un gran numero di falsi positivi ed una documentazione difficilmente fruibile. Questo senza alcuna pretesa di realismo, poiché tali software hanno un impatto sensibile sulla rete e vengono riconosciuti dai sistemi di difesa. Il report di ZAIUX risulta invece molto conciso (solitamente 10-15 pagine) ed immediatamente utilizzabile, senza rischi di falsi positivi, poiché la soluzione attua concretamente gli attacchi, validando l'effettiva presenza delle vulnerabilità ed arrivando più in profondità rispetto ad un Vulnerability Assessment. ZAIUX emula, infatti, il modo di agire di un attaccante umano, usando tecniche furtive, evitando di essere individuato da antivirus ed XDR e senza generare alcun disservizio all'interno della rete (blocchi di utenze, crash...).
L'esecuzione del penetration test è guidata dalla IA: in una prima fase, ZAIUX raccoglie informazioni sugli endpoint nella rete ed intercetta i pacchetti in circolazione, che utilizza per allenare appositi modelli di Machine Learning e predire i momenti di maggiore traffico ed in cui le macchine sono accese o spente. Queste informazioni vengono quindi inviate (in maniera opportunamente pseudonimizzata) al nostro Cloud, in cui algoritmi IA di ricerca euristica individuano un programma di attacco ottimizzato, che è fornito alla macchina virtuale per la sua esecuzione. Un'altra applicazione del Cloud è l'hashcracking: ZAIUX può individuare hash tramite diverse tecniche ed inviarli al Cloud, che tenta un bruteforce per ricavare le relative password in chiaro. L'attuale fase di sviluppo è volta alla creazione di una futura versione con maggiori capacità offensive ed un portale Web unificato, che stiamo sviluppando in collaborazione con Assolombarda Servizi. ZAIUX si presta ad essere installato direttamente dal team IT del cliente finale (segnaliamo ad esempio il recente acquisto da parte di Fondazione Telethon) per utilizzo in self-provisioning, ad essere aggiunto al portafoglio di servizi offerti da un Managed Service Provider o ancora a coadiuvare il lavoro degli ethical hacker, ad esempio come followup ad attività manuali, rendendo più scalabili i modelli di business degli operatori della Cybersecurity offensiva.