Penetration test: a cosa serve e come funziona

Al momento stai visualizzando Penetration test: a cosa serve e come funziona

Penetration test: parliamo di uno dei servizi che offriamo alle aziende. Nei fatti è un test di sicurezza informatica che prevede di mettere sotto attacco l’azienda (a tutti i livelli, anche nelle risorse umane) per valutarne sicurezza e tenuta.

Penetration test: iniziamo dalle definizioni

Detto anche “pen test” o test di penetrazione, per penetration test si intende un test di sicurezza che prevede di mettere sotto attacco controllato un’azienda da più punti di vista: dai sistemi alle risorse umane. Lo scopo è quello di individuare le vulnerabilità e intervenire a risolverle / rafforzare la sicurezza informatica proprio nei punti che si sono dimostrati più carenti.

Tali test sono svolti da professionisti della cybersecurity: i pen tester sono figure professionali esperti nell’hacking etico. Per hacking etico si intende l’hacking finalizzato non a causare danni, quando a impiegare strumenti e tecniche di attacco per correggere punti deboli.

Hanno la stessa valenza di una misura proattiva.

Penetration test vs valutazione di vulnerabilità

Se la valutazione delle vulnerabilità è già piuttosto nota, ricorrendo spesso nei percorsi di conformità alle normative di cybersecurity come la NIS2, ma anche il GDPR, meno noti sono i pen test. La differenza è che un pen test è molto più completo della mera valutazione delle vulnerabilità. Non solo: ci sono anche differenze negli scopi ed è questo il motivo per cui alcune aziende eseguono entrambi i test.

La valutazione delle vulnerabilità prevede l’impiego di strumenti che eseguono scansioni ricorrenti (spesso automatizzate) in cerca di vulnerabilità già note in un sistema. Contrassegnano quindi le vulnerabilità individuate così il team di sicurezza sa dove intervenire.

I pen test vanno oltre:

  • individuano le vulnerabilità;
  • le sfruttano per portare attacchi simulati che imitano i comportamenti dei cyber attaccanti. Valutano così la resilienza dei sistemi aziendali.

In questo caso il team di sicurezza ottengono una consapevolezza molto più approfondita di come funziona e quali danni può comportare un attacco reale su quel dato sistema. Questo fa la differenza perché porta a progettare controlli di sicurezza basati su contesti reali e non sul tentativo di indovinare che cosa potrebbe fare un cyber attaccante nella rete aziendale.

I pen test trovano anche vulnerabilità non note

C’è un altro vantaggio nel penetration testing. I pen tester infatti non utilizzano soltanto tool e processi automatizzati, ma conducono anche test manuali. Di conseguenza possono individuare anche vulnerabilità sconosciute. D’altronde una falla è una falla ed è meglio che ad individuarla sia un hacker etico che un malintenzionato. Questo processo riduce anche drasticamente i falsi positivi.

Il penetration test è utile anche perché aiuta a definire le priorità di fronte a scenari di attacco simulati, ma sicuramente verosimili.

Le fasi di un penetration test

  1. pianificazione e ricognizione: l’hacker etico raccoglie informazioni sul sistema bersaglio e identifica potenziali punti di accesso da sfruttare. Nei potenziali punti di accesso rientrano anche le risorse umane. Non è una novità infatti che l’anello debole della catena di cyber security sono spesso le risorse umane. In questa fase sono utili tutte le informazioni: quale business tratta, quali persone vi lavorano ecc…
  2. Scanning: prevede l’impiego di vari strumenti i scansione per raccogliere dati utili a individuare i punti deboli del sistema. Qui si analizza l’infrastruttura di rete a partire dalle informazioni di pubblico dominio (impiego di Whois, Maltego, Shodan, metadati ecc…)
  3. Accesso ai sistemi: individuate le vulnerabilità, il passo successivo è tentare di sfruttarle per ottenere un punto di accesso non autorizzato sul sistema target. Di solito si tentano 3 strade:
    • sfruttamento delle vulnerabilità;
    • ingegneria sociale sulle risorse umane;
    • cracking / brute forcing delle password.
  4. Analisi: il pen tester analizza i risultati del test di accesso ai sistemi.
  5. Reportistica: il report elencherà le vulnerabilità individuate, i metodi di attacco impiegati per sfruttarle e, soprattutto, le mitigazioni e correzioni necessarie.
  6. Permanenza: l’accesso ai sistemi non serve a molto, se è temporaneo. La maggior parte degli attaccanti cerca di accaparrarsi un accesso permanente e durevole nel tempo. Un periodo prolungato di osservazione consente di protrarre il furto dei dati così come l’ulteriore raccolta di informazioni sulle vulnerabilità. E’ una fase tipica degli scenari di attacco reali.

    I livelli di accesso nel pen testing

    Il penetration tester tenta di ottenere diversi livelli di accesso al sistema bersaglio. Ciò è necessario per determinare la portata dell’interazione e la possibilità manipolativa concessa dal tipo di accesso ottenuto.

    • Accesso non autenticato: in questo caso, il pen tester accede senza credenziali o autenticazione. Simulerà l’approccio di un attaccante esterno all’azienda.
    • Accesso a livello di utente: l’accesso in questo caso ha i privilegi dell’utente. Il pen tester opererà come un utente legittimo nella rete.
    • Accesso con privilegi di amministrazione: in questo caso il pen tester ha possibilità di azione maggiore di un utente “base”. Questo tipo di accesso consente di individuare vulnerabilità critiche.
    • Accesso admin di dominio: il pen tester tenta questo accesso nei sistemi che usando Active Directory o servizi simili. Un accesso di tale livello consente il massimo controllo sul sistema e sulle azioni a livello di dominio.

    Tipologia di pen testing in breve:

    • pen test delle applicazioni;
    • di rete;
    • hardware;
    • del personale.

    Proteggi la tua azienda prima che sia troppo tardi! Scegli il nostro servizio di penetration testing

    Il nostro servizio di audit e penetration testing è progettato per aiutare le aziende a valutare la sicurezza dei loro sistemi informatici. Con il nostro team di esperti, ti forniamo una valutazione completa delle tue vulnerabilità di sicurezza e ti aiutiamo a identificare le aree in cui è necessario migliorare.

    La valutazione completa delle vulnerabilità aiuta a identificare i rischi per la sicurezza e ad approntare misure preventive e correttive per evitare violazioni dei dati, interruzione della produzione e perdite finanziarie.

    Contatta i nostri pen tester!