Che cos’è un Penetration Test?

Il penetration test (anche detto Pen Test) è un’analisi per valutare la resilienza agli attacchi di un sistema informatico, di un software o una rete.

I Pen Test sono eseguiti da Hacker Etici che agiscono mettendosi nei panni di un cyber criminale per comprendere ed sfruttare diverse tecniche d’attacco al fine di violare la sicurezza di un sistema aziendale, valutando contemporaneamente nche la presenza di sistemi di difesa dell’azienda.

Il termine “Penetration” si riferisce al grado in cui un ipotetico attaccante, può penetrare nelle misure e nei protocolli di sicurezza informatica di un’organizzazione.
Tutti i problemi di sicurezza rilevati vengono presentati all’azienda insieme ad una valutazione del loro impatto sull’attività, fornendo anche un piano per implementare soluzioni tecniche.

Storia del pentest

Nel corso del 1970 nacquero le prime squadre di hacker finanziate dal governo e dalle industrie per tentate di abbattere le difese dei sistemi informatici nel tentativo di scoprire ed eventualmente correggere, buchi di sicurezza.
Chi svolge questa attività è chiamato penetration tester o auditor e oggi anche con il più moderno nome ethical hacker. Un gruppo di penetration tester è chiamato anche tiger team.

Il processo di ethical hack attack segue una serie di procedure manuali e automatiche ben definite.

La fase preliminare prevede un’analisi attiva e passiva del sistema informatico per individuare eventuali punti deboli, difetti tecnici e vulnerabilità: queste problematiche possono derivare dalla progettazione, implementazione o gestione del sistema e potrebbero essere sfruttate per compromettere gli obiettivi di sicurezza del sistema e quindi del business.

Una volta stipulato il contratto, l’organizzazione del Pen Test segue diverse fasi:

• Pre-engagement, cioè una consulenza iniziale con il cliente. Durante questa fase l’esperto IT acquisisce informazioni sulle necessità aziendali e su eventuali penetration test svolti in passato;

• Information gathering: consiste nel reperimento di tutti i dati utili allo svolgimento della simulazione (per esempio l’indirizzo IP ed il Whols);

• Threat modeling: in questa particolare fase viene delineata la strategia dell’attacco informatico;

• Vulnerability assessment: consiste nella scansione del sistema informatico mediante appositi penetration test tool. L’utilizzo di questi strumenti permette di individuare le vulnerabilità del sistema;

• Exploitation: durante questa fase vengono “sfruttate” le vulnerabilità individuate durante il vulnerability assessment. In particolare, gli exploit sono dei programmi che approfittano delle vulnerabilità del sistema per fornire dei privilegi amministrativi all’attaccante;

• Post exploitation: consiste nella raccolta delle informazioni ottenute (comprese le password) e dei privilegi acquisiti durante l’exploitation;

• Reporting: l’ultima fase prevede la documentazione di tutte le operazioni svolte, delle falle presenti nel sistema informatico e delle misure da attuare per la risoluzione dei problemi.

Possibili scenari, ovvero in fase di implementazione di un penetration test è possibile prendere in considerazione differenti situazioni di partenza.

• Penetration test esterni;

• penetration test interni;

• targeted testing;

• blind testing;

• double blind testing.

Penetration test esterni

Partono con approccio Black Box: il team di pentester non conosce l’infrastruttura oggetto di pentest. L’obiettivo è quello di capire se un cracker può entrare nel sistema informatico dall’esterno e quanto in profondità potrà entrare nel sistema colpito. Tramite questa simulazione si ricerca tutto ciò che è visibile in rete per provare a trovare punti di accesso “scoperti” che possano permettere al cybercriminale di penetrare nel sistema.
Alcune cose che possono essere analizzate e testate in questi test esterni sono: DNS (Domain Name Servers), Sito web aziendale e Web application.

Penetration test interni

Un penetration test interno viene effettuato da un team di specialisti in sicurezza informatica interni all’azienda.
Questo test ha lo scopo di ipotizzare il potenziale impatto e i rischi di un eventuale attacco interno. Viene infatti ricreata la situazione nella quale un ipotetico dipendente decida di sottrarre informazioni aziendali e portarle all’esterno del perimetro di rete. Un penetration test interno serve a trovare buchi e falle del sistema dall’interno.

Targeted Penetration Testing

Le attività di penetration test targettizzate vengono effettuate sia da un pentester che dal dipartimento IT e servono a far capire agli IT in azienda quale può essere la prospettiva di chi sta attaccando i sistemi, in modo da poterli rendere più sicuri. Hanno uno scopo formativo e dimostrativo.

Blind testing Pentest

Alias il “test cieco” è un penetration test in i pentester hanno a disposizione il solo nome dell’azienda. In questo caso gli ethical hacker si affidano totalmente all’approccio di tipo Black Box. Da qui dovrà trovare il modo di penetrare nei sistemi IT dell’azienda, attraverso le tecniche più disparate. Possono richiedere tempistiche particolarmente lunghe e vengono implementati da aziende particolarmente strutturate.

Sono molto realistici ma anche molto dispendiosi: il loro pricing parte dai 30.000 euro in su.

Double Blind penetration testing

Si tratta di pentest simili ai blind test. Tuttavia, il double blind test ha come unica differenza quella che il dipartimento IT è completamente all’oscuro del fatto che si sta iniziando questo tipo di attacco/test. In questo modo viene simulato un reale attacco informatico, “di nascosto”.

L’utilità di questa opzione è presto detta: l’ethical hacker può quindi eseguire un attacco assolutamente realistico e verificare non solo il livello di sicurezza del sistema, ma anche la preparazione e la capacità di reazione del personale tecnico.

Esistono diverse tipologie di Penetration Test presenti sul mercato.
Le differenze più importanti riguardano il target e lo scenario analizzato. Vediamoli nel dettaglio.

• Penetration Test per Applicazioni web;

• Network Penetration Test;

• Wireless pentest;

• VoIP Penetration Test;

• PT per accesso remoto.

Dal momento che l’esecuzione di un penetration test può richiedere tempistiche lunghe e considerato che il costo da sostenere per il servizio è piuttosto elevato, è bene considerare in quali casi è bene effettuarlo. Ma soprattutto, considerate l’effettiva necessità del servizio.

Vale certamente la pena richiedere un Penetration Test in questi 2 casi:

1. Stabilire il livello di resilienza di un sistema informatico dopo l’implementazione di soluzione cybersecurity;
2. Soddisfare requisiti normativi ben precisi;

Può essere utile per un’azienda richiedere l’esecuzione di un Penetration Testing per stabilire quanto un sistema informatico è vulnerabile ad eventuali violazioni. In questo caso, l’azienda avrà già implementato una serie di soluzioni di sicurezza informatica indirizzate alla protezione perimetrale e dunque richiede l’intervento di un attacco autorizzato e simulato sul suo sistema per testarne la resilienza.

Ma non è tutto.
Il Penetration Test effettuato su sistema informatico è un’azione di forte responsabilizzazione.

Il management aziendale o la pubblica amministrazione attraverso l’implementazione del penetration test dichiara, nei fatti, la propria adesione ad uno dei molteplici requisiti di sicurezza: il principio di accountability.
Ecco che l’organizzazione che implementa il pentest attesta che il trattamento messo in atto sui dati personali di clienti, fornitori e stakeholder in generale sia effettuato conformemente ai principi del GDPR e a tal proposito, l’azienda è anche in grado di dimostrarlo attraverso la documentazione del test di sicurezza. Ad ogni modo, il pentest è uno dei tanti controlli di sicurezza necessari per superare i requisiti dell’auditor a seconda del livello che l’appaltatore deve raggiungere.

Tutti i sistemi informatici e le applicazioni web-based comportano rischi di accesso cybercrime.
I professionisti della sicurezza informatica affrontano e prevengono questi rischi tramite valutazione delle vulnerabilità (Vulnerability Assessment) e il test di penetrazione (Penetration Test).
Esiste ed è fortemente sentita la differenza tra i due test di sicurezza informatica più richiesti nel settore.

Vulnerability Assessment e Penetration Testing sono due servizi di prevenzione cybercrime estremamente utili ma con finalità differenti.

I due servizi vengono confusi anche se presentano sostanziali differenze.

Nel caso del Vulnerability Assessment (Network e Website), si tratta di un check-up di sicurezza che ricerca vulnerabilità note nei sistemi informatici e ne segnala il livello di esposizione.

Mentre nel caso dei penetration test, come abbiamo già stabilito, hanno lo scopo di sfruttare il punto debole più esposto dell’architettura di rete e determinare il grado in cui un utente malintenzionato può ottenere l’accesso non autorizzato alle risorse. Si tratta di una simulazione di attacco informatico a tutti gli effetti finalizzato alla violazione del sistema.

Se hai bisogno di proteggere la tua infrastruttura dagli attacchi informatici, nessuno dei due test di sicurezza ti aiuterà a farlo.
La scelta tra Vulnerability Assessment o Penetration Test (VAPT) ricade sulla necessità della tua azienda.
Se il tuo reparto IT ha necessità di conoscere il livello di sicurezza della rete e dei dispositivi presenti nel sistema informatico indubbiamente la scelta deve ricadere sul Vulnerability Assessment.

Mentre, se l’azienda ha già effettuato un Vulnerability Assessment, ha eseguito diversi interventi di messa in sicurezza del sistema e desidera comunque testarne la sua resilienza allora la scelta potrebbe ricadere sul Penetration Test.

Per capire meglio in che modo proteggere la tua rete aziendale e prevenire il problema del cracking è sicuramente necessario essere supportati da un team di specialisti della sicurezza.

Cyberment ha a disposizione consulenti cybersecurity specializzati su tutto il territorio.
Contattaci.

L’automazione dei Penetration Test è una pratica possibile, ma in alcuni casi non sufficiente.

Se da un lato i tool automatici che conducono attività di penetration testing sono estremamente precisi e strettamente tecnici, il pentest era e rimane un’attività prettamente manuale che si basa sulle capacità del pentester e sulla sua conoscenza dei sistemi aziendali. Ecco perché il servizio di penetration test rientra tra le soluzioni di ethical hacking più costose e di nicchia da implementare in un’azienda.
L’utilità di questo servizio resta tutt’oggi confinata ad alcune specifiche realtà aziendali che necessitano o per legge o per motivi per precisi di richiedere un’analisi di resilienza del sistema informatico.

Ciò non toglie che tutte le aziende dovrebbero investire in sicurezza informatica al fine di rendere sicura e stabile l’intera infrastruttura informatica.