PENETRATION TEST: TUTTO QUEL CHE C’È DA SAPERE (E PERCHÉ È IMPORTANTE)

da

Gli ultimi anni sono stati una sfida per la maggior parte delle organizzazioni, specialmente nel campo della sicurezza informatica. Le aziende si rendono conto sempre di più dell’importanza fondamentale della protezione di dati e sistemi, e sono ben consapevoli del ruolo che la sicurezza informatica avrà in futuro.

Nel sondaggio Global Digital Trust Insights 2021 di PWC – su un bacino di oltre 3.000 intervistati tra dirigenti e responsabili IT – emerge chiaramente come si stia lavorando per rafforzare la resilienza delle organizzazioni, aiutandole non solo a rilevare le minacce e a garantire la continuità del business, ma a mettere in atto dei meccanismi di educazione alla sicurezza in tutti i reparti aziendali.

Mentre guardiamo a un 2022 incerto, una cosa rimane incontrovertibile: le minacce informatiche non solo rimarranno, ma continueranno ad aumentare di portata. Le organizzazioni dovranno rimanere vigili per quanto riguarda le politiche di lavoro remoto (sempre più diffuse), l’accesso ai dati e l’aggiornamento delle competenze, e dovranno affidarsi alla tecnologia. Le sfide ci sono, ma anche le opportunità.

Nel mondo del lavoro e non solo, i sistemi informatici hanno assunto un ruolo di primo piano grazie alla capacità di rispondere a una vasta gamma di esigenze: dalla promozione di un prodotto o di un marchio alla raccolta e gestione di grandi quantità di dati. Ciò pone, di conseguenza, anche una questione di sicurezza informatica, specie quando si tratta di archivi in cui si conservano dati sensibili.

È importante in questo quadro non solo quindi costruire dei piani di sicurezza, ma rendersi conto innanzitutto di qual è il quadro attuale di riferimento.

COS’È IL PENETRATION TEST

Fare Penetration Testing significa rispondere a una semplice domanda: “Cosa farebbe un criminale informatico per danneggiare i sistemi informatici, le applicazioni e la rete della mia organizzazione?”

Un Penetration Test, spesso abbreviato in Pentest, è una prova di valutazione del livello di sicurezza degli asset che compongono il perimetro aziendale, tra cui server, applicazioni web e mobile.

Le vulnerabilità si possono imputare a molteplici ragioni, alcune delle quali sono di base:

  • Difetti nella progettazione di hardware e software,
  • Uso di una rete non protetta,
  • Sistemi informatici, reti e applicazioni mal configurati,
  • Struttura complessa dei sistemi informatici,
  • Errori umani.

Un PenTest aiuta a trovare le lacune negli strumenti di sicurezza che un’organizzazione sta usando, trova più vettori di attacco e problemi di configurazione.

Attraverso questo tipo di analisi si è in grado di individuare le problematiche che potrebbero portare alla compromissione sia della riservatezza e l’integrità dei dati gestiti in azienda, sia della disponibilità dei servizi erogati.

Così un’organizzazione può dare la priorità a scoprire eventuali rischi, effettuare delle misure correttive e migliorare il tempo di risposta generale della sicurezza.

TIPOLOGIE DI PENTEST

Il Network Penetration Test ha lo scopo di rendere evidenti le problematiche presenti in una rete attraverso l’individuazione e l’analisi dei servizi esposti, alla ricerca di punti deboli che potrebbero compromettere l’integrità del perimetro.

Attraverso la Web Application Penetration Testing si possono fare delle valutazioni sul livello di sicurezza delle applicazioni, rilevando le problematiche che potrebbero portare a compromettere la riservatezza, l’integrità e la disponibilità dei portali.

La Mobile Application Penetration Testing, invece, consente di analizzare il livello di sicurezza di un’applicazione mobile alla ricerca di vulnerabilità sia a livello applicativo che di sistema.

Il test sfrutta le vulnerabilità conosciute, o quelle rilevate, e aiuta a determinare se le difese del sistema sono sufficienti o se invece si possono aggirare.
L’obiettivo è quello di evidenziare le debolezze del sistema (o della rete) e fornire il maggior numero di informazioni sulle vulnerabilità che ne hanno permesso l’accesso non autorizzato.
Inoltre dà una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei confronti di:

  • Vulnerabilità interne al sistema;
  • Vulnerabilità esterne al sistema;
  • Sicurezza fisica.

Le variabili che contribuiscono a diversificare le tipologie di Penetration Test sono tante quante le modalità di svolgimento. Questo per sottolineare che la qualità è strettamente legata alle capacità dei tester coinvolti.

In genere, i Pentest si distinguono in tre macro gruppi.

  • Penetration test whitebox
    Si caratterizza per informazioni complete sull’obiettivo condivise dall’azienda con i tester. Questa modalità di esecuzione conferma l’efficacia della valutazione della vulnerabilità interna e dei controlli di gestione, identificando l’esistenza di vulnerabilità note del software ed errori di configurazione comuni nei sistemi di un’organizzazione.
  • Penetration test greybox
    Si caratterizza per informazioni parziali sull’obiettivo condivise dall’azienda con il tester. Questa modalità di esecuzione è utile nel veicolare l’attività mirando le analisi sulle tecnologie e sui privilegi precedentemente comunicati.
  • Penetration test blackbox
    Nessuna informazione relativa al sistema target è condivisa con i tester. Questa modalità di esecuzione viene eseguito da una prospettiva esterna e mira a identificare i modi per accedere alle risorse IT interne di un’organizzazione. Questo modella in modo più preciso il rischio affrontato dagli aggressori che sono sconosciuti o non affiliati all’organizzazione target. Tuttavia, la mancanza di informazioni può causare la mancata scoperta di come sfruttare le vulnerabilità scoperte, avendo un tempo limitato per i test.

IL REPORT FINALE

Il Report che viene consegnato al termine del test ha un ruolo chiave: documenta quanto scoperto in modo appropriato e consente di comprendere i rischi e di prendere di conseguenza le decisioni.

Un Report è un documento strutturato in modo da fornire:

  • Riepilogo dei risultati – una panoramica concisa dei risultati che fornisce risposte attuabili senza l’esigenza di addentrarsi nella totalità di informazioni del report. Si spiega come sono stati aggirati i sistemi e quanto scoperto all’interno degli stessi.
  • Elenco dei miglioramenti attuabili della sicurezza – consigli di protezione con un ordine di priorità e gli interventi di miglioramento a breve, medio e lungo termine.
  • Descrizione dettagliata – panoramica del contesto dell’attacco, dei test e delle tecniche e tattiche usate dagli attaccanti e descrizione tecnica delle lacune di sicurezza.

PERCHÉ QUINDI È IMPORTANTE

L’analisi della vulnerabilità oltre a prendere atto di eventuali falle del sistema, può essere d’aiuto per verificare anche altri aspetti. Il Pentest può, ad esempio, rappresentare un valido riscontro per testare la conformità delle policy di sicurezza e le competenze dello staff in materia di sicurezza informatica o anche a testare le capacità di reazione dell’intera struttura aziendale di fronte a un attacco informatico.

Questa verifica è condotta da figure specializzate (ad esempio hacker etici certificati), con l’obiettivo di individuare i punti deboli del sistema informatico (così come della rete o dell’applicazione).

Rendere il Penetration Test parte integrante della strategia di sicurezza informatica aziendale è il modo migliore per consolidare un approccio proattivo, tenendo sempre presente che per stabilire una buona cultura della sicurezza, vanno coinvolti tutti i reparti aziendali: questo consente una migliore valutazione del rischio informatico.

 

disclaimer cyber

TI È PIACIUTO QUESTO ARTICOLO? LEGGI ANCHE:

PMI e Cyber Security: tutto quello che dovresti sapere
8 modi per prevenire un attacco Ransomware
Rapporto Clusit 2021: attacchi informatici in crescita

Ultimi articoli

CAPTURE THE FLAG WASTELANDS 2024

CAPTURE THE FLAG WASTELANDS 2024

Per la prima volta la CTF (Capture the Flag) di Interlogica si è evoluta in un evento indipendente: WASTELANDS 2024. Dal 5 al 7 luglio si è tenuta una sfida online di 3 giorni, progettata dal nostro talentuoso Team di Cybersecurity, che ha offerto a chi ha la passione...

AI, MACHINE LEARNING, IOT. LA MIA ESPERIENZA A AWS SUMMIT 2023

AI, MACHINE LEARNING, IOT. LA MIA ESPERIENZA A AWS SUMMIT 2023

Giovedì 22 giugno ero al Milano Convention Center in occasione dell'evento annuale organizzato da Amazon Web Services per promuovere i propri servizi Cloud in continua evoluzione: AWS SUMMIT. In mezzo a un mare di IoT, di Servitization, di Cloud Computing sopra le...

TECNOLOGIA E SOSTENIBILITÀ: DUE PAROLE CON ERIC EZECHIELI

TECNOLOGIA E SOSTENIBILITÀ: DUE PAROLE CON ERIC EZECHIELI

Sostenibilità non può essere solo una parola che fa parte del nostro vocabolario quotidiano, ma vuota nei suoi effetti. La tecnologia ha un ruolo di propulsione in questo senso e può aiutare le aziende a raggiungere obiettivi più sostenibili. Abbiamo fatto una lunga...