Strumenti informatici e tecnologie ICT - Il blog di Quanture

Penetration test, il segreto per tenere l'azienda al sicuro

Scritto da pmdr_admin | 2 maggio 2017

Una errata configurazione degli apparati, configurazioni di default degli applicativi o un sistema non aggiornato potrebbero essere un punto di ingresso nell’infrastruttura. L’attività di Penetration Test (preceduta da quella di Vulnerability Assessment) consiste nella messa in atto di scenari di attacco complessi e, oltre a quanto ispezionato con il VA, vengono verificate e messe alla prova anche vulnerabilità non pubbliche (potenzialmente presenti nel caso di software sviluppati ad hoc e/o non di larga diffusione). L’attività di PT è un’estensione del VA e, partendo dalle vulnerabilità emerse, verifica l’effettivo impatto cercando di penetrare all’interno del sistema obiettivo.

Penetration test: cos’è

Il penetration test (spesso chiamato “pen test”) è una fase fondamentale della valutazione della salute dell’infrastruttura informatica di un’impresa e serve a verificare che i sistemi di sicurezza previsti soddisfino le esigenze degli stakeholder coinvolti.

Detto in altre parole, attraverso il penetration test l’azienda può verificare di avere un livello di sicurezza adeguato e di poter difendersi in maniera ottimale dai principali attacchi che possono riguardare, per esempio, la fase di autenticazione oppure le interazioni con i database.

 

SCOPO DEL PENETRATION TEST:

Lo scopo dell’attività è quindi quello di utilizzare vulnerabilità note o non note, al fine di testare la possibilità di accesso non autorizzato ai sistemi o applicazioni obiettivo. Il penetration test è un’attività manuale, che prevede tra gli altri l’utilizzo di strumenti automatizzati.

PRIODICITÀ:

Perché l’esecuzione di servizi di questo tipo sia davvero efficace, è necessario pianificare con regolarità l’esecuzione del test. Indicativamente, si consiglia un’analisi del sistema per valutare l’efficacia delle contromisure adottate dall’azienda dopo 3/6 mesi dal primo PT. È comunque sempre consigliato un penetration test a seguito di ogni cambiamento significato del sistema in esame.

 

Penetration test per aziende: perché serve

Il penetration test, quindi, aiuta le imprese a conoscere il livello di sicurezza garantito dalla sua attuale infrastruttura e a valutare la probabilità che un attaccante, sia interno o esterno all’azienda, possa inserirsi fra le risorse aziendali. Il penetration test permette, insomma, di tentare di “attaccare” l’infrastruttura dell’impresa, ma senza i rischi che un reale attacco comporterebbe, fra cui l’integrità e la disponibilità dei dati.

Il penetration test per aziende è una misura fondamentale dell’affidabilità dei sistemi, anche quelli che non sono in possesso dell’impresa: in tal caso, servirà sottoscrivere un contratto che definisca le tempistiche, gli obiettivi e, in breve, regolarizzi l’attività di penetration test.

Due esempi di penetration test per aziende sono:

  • External testing, per verificare le probabilità che dall’esterno, appunto, si riesca a penetrare il perimetro aziendale e fino a quanto in profondità partendo dalle informazioni accessibili tramite i motori di ricerca e altre risorse pubblicamente disponibili;
  • Internal testing, per valutare quanto a rischio sarebbero i dati aziendali nel caso in cui un malintenzionato, per esempio, riuscisse, tramite operazioni di social engineering, a ottenere le credenziali di accesso di un dipendente e da lì scavare fra le risorse aziendali.

Vulnerability assessment e penetration test: quali sono le differenze

Pur simili, le differenze fra vulnerability assessment e penetration test sono comunque consistenti. Il penetration test ha lo scopo ultimo di tentare, appunto, di penetrare i sistemi informatici aziendali sfruttando una vulnerabilità: di fatto, simula un vero e proprio attacco, dall’esterno o, come visto, dall’interno; quindi è molto impattante sulle risorse aziendali e richiede un fermo dell’infrastruttura.

L’obiettivo del vulnerability assessment è quello invece di valutare tutte le vulnerabilità presenti nell’infrastruttura aziendale (le applicazioni, i sistemi, i dispositivi, i servizi), ma non richiede un fermo lavorativo e può essere programmato in un momento di ordinaria operatività. Oggigiorno che il lavoro ibrido e le applicazioni in cloud hanno ampliato il perimetro di sicurezza delle imprese, il vulnerability assessment è ancora più importante.

È evidente, però, come alle aziende servano entrambi: sono due valutazioni complementari. Uno (il vulnerability assessment) scova tutte le vulnerabilità; l’altro (il penetration test) simula un attacco e le modalità con cui potrebbe essere condotto per valutare gli effetti che causerebbe e fino a che profondità delle risorse aziendali è possibile arrivare.

 

Penetration test e costo: come valutare il prezzo

Il tema costo quando si parla di penetration test è molto sentito dalle imprese, che mirano all’ottimizzazione delle risorse economiche. Valutare una società di consulenza o un freelance sulla base solo del prezzo, però, potrebbe essere controproducente: meglio seguire il detto “chi più spende meno spende”.

Quando si parla di penetration test, infatti, il costo è legato non solo alle operazioni che effettivamente saranno svolte ai fini della valutazione della sicurezza informatica dei sistemi; ma anche alla professionalità, alle esperienze pregresse e ai risultati ottenuti, che rappresentano un incredibile valore aggiunto e misurano concretamente la capacità del professionista o della società di poter svolgere al meglio il lavoro richiesto.

Per quanto il penetration test possa sembrare soltanto un costo senza benefici, la realtà è ben diversa: spendere un po’ di più per il penetration test significa ridurre le probabilità di spendere ancora di più per un’intrusione informatica – e la conseguente minaccia per i dati dell’azienda, dei clienti e dei fornitori – in futuro.

 

Il tema caldo della Cyber Security:

La sensibilità nei confronti della Cyber Security sta crescendo progressivamente all’interno delle aziende, e proprio per aiutare i nostri interlocutori ad approfondire il tema dell’Ethical Hacking e approcciarsi a nuovi interessanti servizi come Vulnerability Assessment e Penetration Test, abbiamo tenuto un webinar sull’argomento.

 

 Guarda la registrazione del webinar su Vulnerability Assessment e Penetration Test:

 

 

Nel corso dell’appuntamento, Daniele Stanzani ha presentato una serie di dati di interesse sulla cyber security, analizzando i numeri del 2016 e valutando i nuovi trend in atto nel 2017.

Si è poi soffermato sui servizi di Ethical Hacking, Penetration Test tra questi, presentandoli ad uno ad uno in maniera analitica. A corredo, sono stati condivisi alcuni casi reali, in cui le attività di penetration test hanno portato all’individuazione di importanti falle nell’infrastruttura del cliente.

In ultimo, il relatore ha dedicato un breve approfondimento agli aspetti privacy connessi con il tema. Su questo, rimandiamo ad un evento in programma sull’argomento, dal titolo GDPR -365.

 

Scarica la presentazione del webinar sui servizi di Ethical Hacking