La sensibilità nei confronti della cyber security sta crescendo progressivamente all’interno delle aziende e non solo. Per questo motivo, nel seguente articolo abbiamo voluto approfondire un tema di ethical hacking molto importante: quello del penetration test.
Anche chiamato “pen test”, è un’operazione che mira a valutare la sicurezza di un sistema informatico, configurandosi nella simulazione di un attacco allo stesso sistema da parte di un esperto di sicurezza digitale.
Questa simulazione consente agli esperti di individuare le falle e le vulnerabilità del sistema.
Per questo, al termine del penetration test, è possibile stabilire ed adottare opportune misure di protezione per rendere il sistema perfettamente sicuro.
Il pen test porta dunque alla risoluzione di problemi che, se non contrastati, possono facilitare un’operazione di spionaggio informatico o un cyber attacco.
Come viene eseguito?
I penetration test vengono generalmente eseguiti utilizzando tecnologie manuali o automatizzate finalizzate a compromettere volutamente i sistemi difensivi. La modalità più idonea a eseguire un penetration test è infatti quella denominata in “black box”: in essa, il tester si identifica in un vero e proprio ethical hacker che cerca di sfondare i sistemi di sicurezza di un’azienda, senza conoscerne nulla. È chiaro, quindi, che l’abilità di chi effettua il test conta molto in questo tipo di attività. Un penetration test consta quindi di sei fasi principali: 1) Pre-Engagement Interactions: fase preliminare durante la quale viene definita la logistica, le implicazioni legali, le aspettative e, soprattutto, ciò che il cliente si aspetta di ottenere in termini di obiettivi. 2) Open Source Intelligence (OSINT) Gathering: il penetration tester si occupa di raccogliere le informazioni relative al cliente, in base alla tipologia di test che verrà eseguito. 3) Threat Modeling e identificazione delle vulnerabilità: durante questa terza fase del processo, l’ethical hacker esegue una mappatura dei vettori di attacchi e identifica i target su cui focalizzarsi. 4) Exploitation: vengono testati gli exploit attraverso diverse tipologie di attacco. Tra questi vi sono quelli wireless, al network o alle web apps, ai client side o gli attacchi di ingegneria sociale 5) Post-Exploitation, Risk Analysis e Raccomandazioni: le precedenti azioni vengono documentate per quantificare gli impatti degli exploit effettuati e fornire delle raccomandazioni utili da implementare per aumentare il livello di sicurezza. 6) Reportistica: fase di cruciale importanza, in cui le raccomandazioni viste al punto precedente vengono messe per iscritto in un report che dev’essere il più dettagliato possibile. Alla fine di questo test una domanda può sorgere spontanea: “Questa operazione ha successo solo quando rileva vulnerabilità?”. Chiaramente no: l’esito negativo di un pen test dimostra solo che quel determinato perimetro è stato correttamente messo in sicurezza. In tal caso c’è comunque poco da stare tranquilli. Infatti, in ambito di sicurezza IT il rischio zero non esiste e rilassarsi solo perché un pen test non ha rilevato anomalie non è mai la scelta corretta. È auspicabile, invece, eseguire penetration test periodici.Quali sono i vantaggi di un penetration test?
Come già detto, grazie a un penetration test è possibile scovare eventuali punti deboli dei sistemi informativi aziendali e dare informazioni dettagliate sulle minacce alla sicurezza reali e sfruttabili. Ma quali sono, nella pratica, i reali vantaggi? Eccone alcuni:- gestire in modo intelligente le vulnerabilità;
- adottare una politica di sicurezza aziendale che includa anche l’educazione dei dipendenti;
- evitare il costo dei tempi di inattività della rete;
- soddisfare i requisiti normativi ed evitare sanzioni;
- conservare la reputation aziendale e la fedeltà dei clienti.
Con quale frequenza effettuarlo?
Come anticipato, un penetration test dovrebbe essere eseguito regolarmente per garantire una gestione più coerente della sicurezza IT e della rete. In particolare, i test dovrebbero essere eseguiti ogni volta che:- sono state aggiunte nuove infrastrutture o applicazioni di rete;
- sono state apportate modifiche significative a infrastrutture o applicazioni;
- sono stati creati nuovi uffici;
- vengono applicate patch di sicurezza;
- le politiche dell’utente finale sono state modificate.