MIAUW: un approccio strutturato alla ricerca affidabile sulla sicurezza delle informazioni
In un mondo in cui i rischi di cybersecurity stanno diventando sempre più complessi e la legislazione, come la direttiva NIS2 e il Cyber Resilience Act, obbliga le organizzazioni a dimostrare di avere “il controllo”, l’esecuzione di un test di penetrazione (pen test) non è più sufficiente. La questione non è solo se un test è stato eseguito, ma anche come e con quale certezza i risultati sono affidabili e riproducibili.
Per questo motivo è stata sviluppata la Metodologia per i test di sicurezza informatica con valore di audit (MIAUW). Guidata da Brenno de Winter, in collaborazione con esperti del settore, questa metodologia aperta fornisce un quadro strutturato per i test di penetrazione che consente ad aziende e governi di dimostrare con certezza che i loro sistemi sono stati testati in modo verificabile, ripetibile e trasparente.
Perché Meow è speciale?
Molti test di penetrazione tradizionali non hanno un approccio standardizzato, il che porta a risultati variabili e all’incertezza sulla completezza dello studio. Meow è stato progettato per cambiare questa situazione. La metodologia garantisce che:
- Ogni fase del test è imitabile e inconfutabile.
- Un rapporto ufficiale può essere redatto da un revisore, in modo che le parti esterne possano confermare la validità dello studio.
- L’ambito, il contesto e la profondità della ricerca sono chiaramente documentati.
- I risultati sono oggettivamente scalati in modo da rendere chiare le priorità.
- Tutti i test e i risultati eseguiti sono ripetibili, facilitando gli audit e i controlli di conformità.
Meow non è solo un altro standard per i pen-test, ma offre un metodo olistico che crea sicurezza sia tecnologica che legale.
L’open-source come base per la trasparenza e l’affidabilità
Meow è una metodologia open-source, il che significa che chiunque può accedere, utilizzare e migliorare i principi. Questo non solo garantisce un ampio sostegno e trasparenza, ma evita anche la dipendenza da soggetti commerciali che nascondono test e risultati in una “scatola nera”.
L’open source è particolarmente efficace in un ecosistema. Al MIAUW abbiamo creato una Coalizione di Volontari tra coloro che apprezzavano l’approccio. Questo ha portato a grandi partnership e, soprattutto, a una grande collaborazione. Dopo tutto, non si può fare una cosa del genere da soli. La formazione di molte persone fa di MIAUW un’importante iniziativa comunitaria. Per esempio, è stato fatto molto lavoro: Jeroen Diel, Mischa van Geelen, Maaike Hielkema, Hans van de Looy e Victor Pous.
La natura aperta di Meow consente alle aziende e ai governi:
- Autocontrollo della qualità della ricerca e dei rapporti.
- Collaborazione con esperti e revisori indipendenti per la convalida.
- Più facile soddisfare i requisiti di conformità, poiché la metodologia è allineata agli standard internazionali.
Meow si aggiunge a preziose iniziative già esistenti, come il sigillo di approvazione CCV Pentest, che fornisce un metodo standardizzato e affidabile per testare e valutare le indagini sulla sicurezza delle informazioni.
Principi tecnici fondamentali di Meow
La metodologia si basa su una serie di principi essenziali che garantiscono che il pentesting non sia solo tecnicamente completo, ma anche legalmente e dal punto di vista dell’audit.
Ricerca navigabile e dimostrabile
Meow garantisce che tutti i test eseguiti siano documentati e verificabili. Ciò significa che:
- Ogni fase del test è documentata da prove (come screenshot e registri).
- Un revisore può rivedere lo studio senza doverlo rifare completamente.
- È chiaro chi ha testato cosa, come e perché.
In questo modo si crea una traccia di audit che consente alle organizzazioni di dimostrare alle autorità di regolamentazione che un test è stato eseguito in modo corretto e completo.
Riproducibilità e confronto nel tempo
Meow consente ai team di sicurezza di confrontare lo stato di un sistema in diversi momenti. Si tratta di un aspetto cruciale, poiché le vulnerabilità non vengono sempre scoperte immediatamente, ma vengono attivate o sfruttate solo in un secondo momento.
- La metodologia registra quali test sono stati eseguiti e quali sono stati i risultati.
- Ciò consente a un’organizzazione di valutare facilmente se la postura di sicurezza sta migliorando o peggiorando.
- Ciò supporta il principio del “monitoraggio continuo della sicurezza”, come richiesto dalla NIS2.
Avvisi guidati da policy con regole aziendali
Non tutte le vulnerabilità sono ugualmente importanti e non tutti i problemi tecnici rappresentano un rischio aziendale. Meow consente di applicare regole aziendali ai risultati dei pen-test, in modo da filtrare le notifiche e i report in base a ciò che è rilevante per l’organizzazione.
- Le organizzazioni possono stabilire quando e su quali avvisi generare.
- In questo modo si evita il “rumore” delle segnalazioni a basso rischio e ci si concentra su ciò che conta davvero.
- I rischi vengono inseriti nel giusto contesto aziendale, consentendo ai team di gestione e sicurezza di prendere decisioni più informate.
Meow in pratica: un modo migliore per fare pen-testing
Miauw è già utilizzato in settori in cui la sicurezza e la conformità sono essenziali, come la pubblica amministrazione, la sanità e i servizi finanziari. Attraverso una combinazione di test tecnici approfonditi e meccanismi di auditing, Miauw garantisce che:
La ricerca sulla sicurezza delle informazioni fornisce una garanzia dimostrabile, piuttosto che un’istantanea soggettiva.
Le organizzazioni possono adempiere meglio alle loro responsabilità in materia di conformità e sicurezza grazie a risultati riproducibili e a tracce di controllo chiare.
I risultati del Pentest non dipendono dall’interpretazione di un singolo tester, ma sono riportati e convalidati in modo standardizzato.
Otis come mascotte del MIAUW
Poiché l’acronimo MIAUW richiama alla mente i gatti, era logico avere un gatto come mascotte. Così è diventato Otis, lo splendido gatto di Brenno de Winter. Naturalmente in una posa in cui miagola. Come ocikat di carattere, Otis è curioso, amichevole e sociale. Inoltre, è un po’ dominante e non ha paura di far sapere che vuole o disapprova qualcosa.
Perché Meow è un cambiamento nel campo della sicurezza
Lo sviluppo di Meow è una risposta diretta alla crescente domanda di pen-test trasparenti, ripetibili e verificabili. Seguendo questa metodologia, le organizzazioni possono non solo operare in modo più sicuro, ma anche dimostrare alle autorità di regolamentazione, ai clienti e agli stakeholder interni che le loro politiche di sicurezza soddisfano gli standard più elevati.
Volete sapere come Miauw può aiutare la vostra organizzazione a portare i test di sicurezza a un livello superiore? Contattateci per scoprire come questa metodologia innovativa può contribuire a un ambiente digitale affidabile e dimostrabilmente sicuro.
Siete pronti a professionalizzare la vostra strategia pentest? Saremo lieti di aiutarvi.