I Penetration Test sono tutti uguali? Le diverse tipologie di Pentest

Ormai è chiaro, i cyber attacchi contro le aziende sono in continuo ed esponenziale aumento. Tra siti web, software gestionali, applicazioni aziendali di vario genere, email e newsletter, grandissima parte delle realtà produttive è continuamente esposta ad un vasto ventaglio di attacchi informatici.

Oggi non è più possibile per un’azienda tralasciare o sottovalutare la sicurezza del proprio sistema informatico. Quanto sarebbe comodo riuscire a prevedere in anticipo le strategie e le mosse degli hacker e agire in maniera mirata, prevenendone addirittura i danni?

Ebbene, non è fantascienza!

Tra i servizi di cybersecurity più richiesti, infatti, figura il Penetration Test che simula i potenziali comportamenti di un hacker informatico al fine di testare il livello di sicurezza di un sistema. Probabilmente ne avrai già sentito parlare ma, prima di andare a scoprirne le diverse tipologie, facciamo chiarezza su come funziona.

Penetration Test: cos’è e come funziona
Tipologie di Pentest: Black, Grey e White Box Testing
Tipologie di Pentest: i diversi oggetti d’analisi
Tipologie di Pentest: diverse modalità d’esecuzione
Conclusioni

Penetration Test: cos’è e come funziona

Si può definire il Penetration test come una vera e propria simulazione delle stesse strategie d’attacco che un hacker andrebbe a compiere.

In questo modo è possibile individuare per tempo i punti di vulnerabilità del sistema e dimostrare il rischio derivante da una potenziale sottrazione di dati, nonché, quali e quanti danni possano essere inflitti all’infrastruttura in caso di attacco informatico.

Si tratta di vulnerabilità e problematiche che possono derivare

dalla progettazione,
dall’implementazione
dalla scorretta gestione del sistema

e che è essenziale individuare per evitare che siano sfruttate per compromettere gli obiettivi di sicurezza del sistema e quindi del business. Ci piace chiamarlo più brevemente Pen Test e, come possiamo a questo punto dedurre, questa tipologia di valutazione mirata della sicurezza è dedicata a tutti i software e sistemi informatici che si interfacciano alla rete.

Come funziona il Penetration Test?

Gli esecutori del Pentest sono tecnici specializzati in sicurezza informatica, noti con l’appellativo di Ethical Hacker.

Durante l’analisi saranno loro a simulare mentalità e tecniche dei reali hacker black hat, prevedendo e utilizzando le loro stesse strategie e azioni per eseguire un attacco controllato. Uno ed un solo attacco mirato, a partire dai cui risultati verrà prodotto un report che sarà poi consegnato all’azienda. Grazie ad esso, questa sarà in grado di effettuare modifiche ed aggiornamenti sulle criticità riscontrate, con l’obiettivo di ridurre al minimo le possibilità di successo di eventuali attacchi futuri.

I Pentest vengono eseguiti tutti allo stesso modo?

La risposta naturalmente è no. Se il fine principale ed il metodo d’approccio rimangano sempre invariati, a seconda di alcuni criteri possiamo individuare e definire differenti tipologie di Penetration Test. I 3 criteri principali che ci permettono di distinguere i diversi tipi di Pentest sono:

le risorse a disposizione dei tester
l’oggetto d’analisi
le diverse modalità d’esecuzione

Andiamo ora a scoprire insieme quali sono questi tipi di Penetration Test e ad analizzare quali differenze li contraddistinguono.

Tipologie di Pentest: Black, Grey e White Box Testing

Come accennavamo poc’anzi, una delle sostanziali differenze tra le diverse tipologie di Penetration Test risiede nella

quantità
nella tipologia di informazioni e risorse

che vengono lasciate a disposizione degli Ethical Hacker per poter condurre l’analisi. Secondo le risorse di cui si sceglie di usufruire durante il test, possiamo quindi individuare una prima distinzione di 3 tipologie di Penetration Test:

Scopriamoli ed analizziamoli uno per uno:

Black Box Testing

Potremmo chiamare il Black Box Penetration Testing “test a scatola chiusa”. Per la sua esecuzione, infatti, ai tester vengono fornite pochissime o addirittura nessuna informazione sull’infrastruttura IT dell’azienda.

In questo modo il vantaggio principale sarà quello di simulare un attacco informatico in modo quanto mai verosimile. L’Ethical Hacker, infatti, assumerà il punto di vista di un vero e proprio hacker informatico, il quale, il più delle volte, agisce conoscendo poco o nulla del sistema che sta attaccando. Essendo un test quasi “alla cieca”, questa tipologia di analisi può rivelarsi molto complessa e richiedere un alto grado di abilità tecnica, motivo per cui può

risolversi in lunghi tempi d’esecuzione
essere quindi anche costosa.

Grey Box Testing

Durante un Grey Box Penetration Testing, il tester avrà una conoscenza parziale del sistema aziendale, potrebbe ad esempio avere accesso a una rete interna o ad un’applicazione Web.

Questa tipologia di test è utile per comprendere

il livello di accesso che un utente privilegiato potrebbe ottenere
il potenziale danno che potrebbe causare.

Uno dei principali vantaggi del Grey Box Testing risiede nel poter essere utilizzato per simulare una minaccia interna o un attacco che ha violato il perimetro della rete. Il report finale, di conseguenza, fornirà una valutazione più accurata sulla sicurezza del sistema rispetto al Black Box Testing.

White Box Testing

Il White Box Penetration Testing, come si può dedurre, al contrario del Black Box Testing consiste in un’analisi a “scatola aperta”. Per l’esecuzione del test, infatti, i tester avranno a disposizione informazioni complete sulla rete e sul sistema, compresi i codici sergente e le credenziali.

In questo modo il test sarà molto più preciso, poiché nella fase di attacco simulato l’operatore potrà concentrarsi meglio sul target specificato, utilizzando il maggior numero possibile di vettori di attacco.

I White Box Testing hanno però i loro svantaggi. Ad esempio, dato il livello di accesso di cui dispone il pentester, può essere necessario del tempo per decidere su quali aree è preferibile concentrarsi. Inoltre questa tipologia di test richiede spesso strumenti sofisticati come debugger e analizzatori di codice, che sono piuttosto costosi.

Tipologie di Pentest: i diversi oggetti d’analisi

Un altro criterio determinante per il quale individuiamo differenti tipologie di Penetration Test è l’oggetto su cui verrà eseguita l’analisi. A seconda delle esigenze dell’azienda, infatti, il Pentest sarà focalizzato su sezioni specifiche del sistema IT. Analizziamo ora in dettaglio quali possono essere i domini applicativi su cui è possibile eseguire un Pentest.

Penetration Test verso applicazioni web

L’obiettivo del Pentest rivolto alle applicazioni web-based è quello di scoprire se e in che modo un hacker malintenzionato potrebbe comprometterne il corretto funzionamento, sia dall’interno che dall’esterno. L’esecuzione di questa tipologia di test consiste principalmente nella ricerca, all’interno del sito o dell’applicazione, di una o più delle vulnerabilità più comuni, definite dalla OWASP Top10.

Penetration Test verso le reti wireless

I tentativi controllati di violazione delle reti wireless durante un Penetration Test hanno l’obiettivo di valutare i rischi di intrusione nel sistema aziendale sfruttando proprio la rete wireless. Ciò che si andrà ad eseguire sarà quindi la simulazione dell’attacco di un hacker che si trovasse già all’interno del perimetro di copertura della rete wireless aziendale.

Penetration test del protocollo VoIP

Il protocollo VoIP, ovvero quella tecnologia che ci permette di effettuare chiamate attraverso indirizzi IP, quindi tramite rete internet, può celare anch’esso alcune importanti vulnerabilità. Infatti, in caso siano presenti delle falle, un hacker potrebbe effettuare un attacco man-in-the-middle tra la connessione in uscita e quella in entrata. In questo modo le informazioni comunicate durante le chiamate non sarebbero più al sicuro. Un Penetration Test del protocollo VoIP consisterà, dunque, nel raccogliere più informazioni possibile dalla rete VOIP, permettendo di individuare, così da poterle risolvere, eventuali vulnerabilità.

Penetration test dell’accesso remoto

E’ ormai appurato che il lavoro da remoto permette diversi vantaggi e comodità. Non bisogna scordare, però, che gli aspetti positivi di questa crescente modalità di lavoro portano con loro alcuni seri rischi. Ecco che il Penetration Test dell’accesso remoto diventa molto importante per tutte le aziende che adottano lo il lavoro da casa, onde evitare, ad esempio, accessi indesiderati causati da vulnerabilità del desktop remoto.

Tipologie di Pentest: 5 diverse modalità d’esecuzione

Fino ad ora abbiamo individuato tipologie di Penetration Test differenti legate alle risorse a disposizione dei tester e all’oggetto d’analisi. Un altro punto cardine per cui possiamo definire differenti tipi di Pentest è la sua modalità d’esecuzione.

Cosa significa? Andiamo a scoprirlo di seguito, individuando le differenti modalità d’esecuzione del test.

External Penetration Testing

Il Penetration Test esterno viene effettuato partendo dall’esterno, ovvero dal web e dalle ricerche sui motori di ricerca, senza conoscere l’infrastruttura IT aziendale.

L’obiettivo di questa tipologia di analisi è quello di capire

se e come un hacker può entrare nel sistema informatico dall’esterno
quali danni potrebbe provocare.

Tra gli applicativi che che possono essere analizzati e testati in con questa tecnica si annoverano:

DNS (Domain Name Server)
Sito web
Web application e altri.

Internal Penetration Testing

All’External Testing si contrappone il Penetration Test interno. Questa modalità d’analisi simula l’azione di un pirata informatico che, ottenendo password o credenziali di accesso di un impiegato, potrebbe accedere facilmente a molti sistemi interni disponibili, di norma, solo ai dipendenti dell’azienda.
L’Internal Testing servirà quindi a trovare falle e vulnerabilità nella porzione del sistema aziendale a cui hanno accesso gli impiegati.

Targeted Penetration Testing

Il Targeted Testing, test di penetrazione targettizzato, è una tipologia di Pentest che viene effettuata dal tester in presenza del dipartimento IT aziendale. Il suo obiettivo principale è quello di rendere consapevoli i tecnici informatici dell’azienda della prospettiva di eventuali attaccanti malintenzionati, così da poter aggiornare e migliorare la sicurezza dell’infrastruttura.

Blind Penetration Testing

Il Blind Penetration Testing è esattamente, come suggerisce il nome, un Penetration Test alla cieca. In questo caso, infatti, i tester avranno come unica risorsa iniziale il nome dell’azienda. Si tratta della tipologia di Pentest (quasi) più realistica, in quanto, come accade negli attacchi reali, saranno gli hacker (in questo caso etici) a trovare il modo di penetrare nel sistema informatico dell’azienda.

Double Blind Penetration Testing

Il Double Blind Testing, Pentest (doppiamente alla cieca) è molto simile al precedente e potremmo definirlo come la sua versione 2.0. Rispetto al Blind Penetration Testing, infatti, ha un’unica differenza: con questa modalità d’analisi il dipartimento IT dell’azienda sarà completamente all’oscuro dell’esecuzione del test.

In tal modo sarà possibile simulare un reale attacco informatico all’insaputa di tutti: esattamente come avviene nella realtà.

Conclusioni

Come abbiamo potuto vedere, il Penetration Test è un’analisi di sicurezza mirata che, proprio per questo motivo, si ramifica in molteplici tipologie e metodi di esecuzione specifici. E’ importante, infatti, distinguere il Penetration Test dal Vulnerability Assessment, che, al contrario, consiste in una ricerca generale delle vulnerabilità di sistema.

Comprendere questo punto è di fondamentale importanza per valutare se il Penetration Test sia il metodo d’analisi che stai cercando per la tua azienda. Per determinare, invece, quali tra le tipologie di Pentest di cui abbiamo parlato siano le più adatte al tuo sistema aziendale, saranno gli esperti del settore ad indirizzarti correttamente.

Autore articolo
Gli ultimi articoli

Filomena Cignarale

Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.