Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Digital technologies and web applications nowadays play a crucial role in almost the majority of the services and features offered by companies. One of the main drawbacks of the increasing usage of digitization is that it has highly increased the presence of vulnerabilities, intended as a weakness in an information system, system security procedures, internal controls, or implementation that could be exploited or triggered by a threat source. Since most Web Applications depend on the trust of their users for them to be profitable for their owners, cybersecurity is becoming a primary aim for companies, because if a system is hacked then the attacker can steal confidential data and can affect its availability. A possible solution for developing a process that allows to methodologically identify exploitable vulnerabilities can be the adoption of the Vulnerability Assessment and Penetration Testing approach. The Vulnerability Assessment is the process of discovering and identifying security loopholes in the systems through the usage of mainly automatic tools. Penetration Testing has the aim of determining the level of difficulty for an attacker to penetrate an organization's computing network. The combined process of VAPT is very effective for identifying security loopholes. To support the findings that emerged from the analysis described above, a real use case of VAPT execution on a medium-high Italian Automotive Distribution company is analyzed. The case study is particularly relevant because it involved a company that, in terms of revenue and employees, can be considered representative for being exploited as a useful use case from other companies. Moreover, the performed VAPT involved the execution of the external, internal, application and Wi-Fi penetration testing that allowed to assess the security of the company from different perspectives. The main results that emerged from the case study are that the internal security of the company was worse managed than the external one; this means that the security is underrated and the internal threats are not considered enough. Moreover, another emerged aspect was that the Cybersecurity Awareness of employees is crucial for the whole security posture. Finally, the analysis highlights how much is important to build an efficient asset and patch management process for recognizing in time outdated technology versions affected by known vulnerabilities. Possible future development of the analysis can be the automation of the exploitation part of the VAPT, the usage of AI-based approaches for the execution of the procedure and the application of the VAPT to the domain of mobile and IoT devices.

Le tecnologie digitali e le applicazioni web giocano oggi un ruolo cruciale nella quasi totalità dei servizi e delle funzionalità offerte dalle aziende. Uno dei principali svantaggi del crescente utilizzo della digitalizzazione è che esso ha implicato un grosso aumento della presenza di vulnerabilità, intese come debolezze in un sistema informativo, nelle procedure di sicurezza del sistema, nei controlli interni o dell'implementazione che potrebbero essere potenzialmente sfruttate da una minaccia per scopi malevoli. Poiché la maggior parte delle applicazioni web fondano il loro successo sulla fiducia degli utenti, la sicurezza informatica sta diventando un obiettivo primario per le aziende, perché se un sistema viene violato, l'attaccante può rubare dati riservati e comprometterne la disponibilità e di conseguenza la credibilità. Una possibile soluzione per sviluppare un processo che permetta di identificare metodologicamente le vulnerabilità può essere l'adozione di un approccio di Vulnerability Assessment e Penetration Testing. Il Vulnerability Assessment è il processo di scoperta e identificazione delle falle di sicurezza nei sistemi attraverso l'utilizzo di strumenti prevalentemente automatici. Il Penetration Testing ha lo scopo di determinare il livello di difficoltà per un attaccante di penetrare nella rete informatica di un'organizzazione. Il processo combinato di VAPT è molto efficace per identificare le vulnerabilità presenti nei sistemi. A supporto dei risultati emersi dall'analisi sopra descritta, è stato analizzato un caso d'uso reale di esecuzione di VAPT su un'azienda italiana medio-grande di distribuzione automobilistica. Il caso studio è particolarmente rilevante perché ha coinvolto un'azienda che, in termini di fatturato e dipendenti, può essere considerata rappresentativa per essere sfruttata come caso d'uso utile da altre aziende. Inoltre, il VAPT eseguito ha comportato l'esecuzione di penetration test dall'esterno, dall'interno, sugli applicativi e sul wi-fi, il che ha permesso di valutare la sicurezza dell'azienda da punti di vista differenti. I principali risultati emersi dal caso studio sono che la gestione della sicurezza interna dell'azienda è peggiore di quella esterna; ciò significa che la sicurezza interna è sottovalutata e non viene data abbastanza considerazione alle minacce interne. Inoltre, un altro aspetto emerso è che la consapevolezza dei dipendenti in materia di sicurezza informatica è cruciale per raggiungere un buon livello di sicurezza complessivo. Infine, l'analisi ha evidenziato quanto sia importante costruire un efficiente processo di asset e patch management per riconoscere in tempo le versioni tecnologiche obsolete affette da vulnerabilità note. Possibili sviluppi futuri dell'analisi possono essere l'automazione della fase di exploitation del VAPT, l'utilizzo di approcci basati sull'intelligenza artificiale per l'esecuzione della procedura e l'applicazione del VAPT anche al dominio dei dispositivi mobili e IoT.

Enhancing cybersecurity through vulnerability assessment and penetration testing : a case study analysis on an italian automotive distribution company

Nicotera, Francesco
2021/2022

Abstract

Digital technologies and web applications nowadays play a crucial role in almost the majority of the services and features offered by companies. One of the main drawbacks of the increasing usage of digitization is that it has highly increased the presence of vulnerabilities, intended as a weakness in an information system, system security procedures, internal controls, or implementation that could be exploited or triggered by a threat source. Since most Web Applications depend on the trust of their users for them to be profitable for their owners, cybersecurity is becoming a primary aim for companies, because if a system is hacked then the attacker can steal confidential data and can affect its availability. A possible solution for developing a process that allows to methodologically identify exploitable vulnerabilities can be the adoption of the Vulnerability Assessment and Penetration Testing approach. The Vulnerability Assessment is the process of discovering and identifying security loopholes in the systems through the usage of mainly automatic tools. Penetration Testing has the aim of determining the level of difficulty for an attacker to penetrate an organization's computing network. The combined process of VAPT is very effective for identifying security loopholes. To support the findings that emerged from the analysis described above, a real use case of VAPT execution on a medium-high Italian Automotive Distribution company is analyzed. The case study is particularly relevant because it involved a company that, in terms of revenue and employees, can be considered representative for being exploited as a useful use case from other companies. Moreover, the performed VAPT involved the execution of the external, internal, application and Wi-Fi penetration testing that allowed to assess the security of the company from different perspectives. The main results that emerged from the case study are that the internal security of the company was worse managed than the external one; this means that the security is underrated and the internal threats are not considered enough. Moreover, another emerged aspect was that the Cybersecurity Awareness of employees is crucial for the whole security posture. Finally, the analysis highlights how much is important to build an efficient asset and patch management process for recognizing in time outdated technology versions affected by known vulnerabilities. Possible future development of the analysis can be the automation of the exploitation part of the VAPT, the usage of AI-based approaches for the execution of the procedure and the application of the VAPT to the domain of mobile and IoT devices.
Fratini, Roberto
ING - Scuola di Ingegneria Industriale e dell'Informazione
4-mag-2023
2021/2022
Le tecnologie digitali e le applicazioni web giocano oggi un ruolo cruciale nella quasi totalità dei servizi e delle funzionalità offerte dalle aziende. Uno dei principali svantaggi del crescente utilizzo della digitalizzazione è che esso ha implicato un grosso aumento della presenza di vulnerabilità, intese come debolezze in un sistema informativo, nelle procedure di sicurezza del sistema, nei controlli interni o dell'implementazione che potrebbero essere potenzialmente sfruttate da una minaccia per scopi malevoli. Poiché la maggior parte delle applicazioni web fondano il loro successo sulla fiducia degli utenti, la sicurezza informatica sta diventando un obiettivo primario per le aziende, perché se un sistema viene violato, l'attaccante può rubare dati riservati e comprometterne la disponibilità e di conseguenza la credibilità. Una possibile soluzione per sviluppare un processo che permetta di identificare metodologicamente le vulnerabilità può essere l'adozione di un approccio di Vulnerability Assessment e Penetration Testing. Il Vulnerability Assessment è il processo di scoperta e identificazione delle falle di sicurezza nei sistemi attraverso l'utilizzo di strumenti prevalentemente automatici. Il Penetration Testing ha lo scopo di determinare il livello di difficoltà per un attaccante di penetrare nella rete informatica di un'organizzazione. Il processo combinato di VAPT è molto efficace per identificare le vulnerabilità presenti nei sistemi. A supporto dei risultati emersi dall'analisi sopra descritta, è stato analizzato un caso d'uso reale di esecuzione di VAPT su un'azienda italiana medio-grande di distribuzione automobilistica. Il caso studio è particolarmente rilevante perché ha coinvolto un'azienda che, in termini di fatturato e dipendenti, può essere considerata rappresentativa per essere sfruttata come caso d'uso utile da altre aziende. Inoltre, il VAPT eseguito ha comportato l'esecuzione di penetration test dall'esterno, dall'interno, sugli applicativi e sul wi-fi, il che ha permesso di valutare la sicurezza dell'azienda da punti di vista differenti. I principali risultati emersi dal caso studio sono che la gestione della sicurezza interna dell'azienda è peggiore di quella esterna; ciò significa che la sicurezza interna è sottovalutata e non viene data abbastanza considerazione alle minacce interne. Inoltre, un altro aspetto emerso è che la consapevolezza dei dipendenti in materia di sicurezza informatica è cruciale per raggiungere un buon livello di sicurezza complessivo. Infine, l'analisi ha evidenziato quanto sia importante costruire un efficiente processo di asset e patch management per riconoscere in tempo le versioni tecnologiche obsolete affette da vulnerabilità note. Possibili sviluppi futuri dell'analisi possono essere l'automazione della fase di exploitation del VAPT, l'utilizzo di approcci basati sull'intelligenza artificiale per l'esecuzione della procedura e l'applicazione del VAPT anche al dominio dei dispositivi mobili e IoT.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
2023_05_Nicotera.pdf

non accessibile

Descrizione: Tesi
Dimensione 7.89 MB
Formato Adobe PDF
  Visualizza/Apri
7.89 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/204294