Il penetration testing è uno dei modi più efficaci per scoprire quali vulnerabilità presenti nei sistemi e nelle reti informatiche della tua azienda sono potenzialmente sfruttabili dai cyber criminali per esfiltrare dati aziendali.
La sicurezza informatica infatti è una preoccupazione crescente per le aziende e le organizzazioni di tutte le dimensioni. La minaccia rappresentata dagli attacchi informatici non fa che aumentare con il progredire della tecnologia.
I costi derivanti dagli attacchi informatici possono essere insostenibili per le aziende. Alle perdite economiche possono sommarsi poi i danni di immagine e il furto di brevetti e segreti industriali.
L’analisi del rischio informatico è un assessment che ti permette di capire quanto sei a rischio e quali azioni puoi intraprendere per proteggere adeguatamente i dati. All’interno di questa analisi, puoi implementare il penetration testing (o pen test o PT), per avere una strategia di sicurezza ancora più dettagliata e efficace.
Che cos’è per la cyber security il penetration testing
Nella cyber security il penetration testing consiste nell’utilizzare tecniche di hacking per testare la sicurezza di un sistema informatico, simulando attacchi reali.
Viene utilizzato principalmente per valutare le vulnerabilità di applicativi web, dalle quali un hacker malintenzionato potrebbe danneggiare l’intera rete informatica della tua azienda.
Lo scopo del Pen Test come strumento di cyber security è di evidenziare le vulnerabilità della piattaforma, interna o esterna al sistema informatico aziendale, e comprendere quanti e quali danni possa arrecare all’organizzazione.
Dopo l’esecuzione del test, svolto da penetration tester o hacker etici, si realizza sempre un report in cui vengono riportati tutti i dati emersi e si propongono strumenti efficaci di mitigazione delle vulnerabilità.
Come funziona e a che cosa serve
I test di penetrazione sono tipicamente eseguiti da penetration tester, o hacker etici. Si tratta di professionisti con le medesime competenze informatiche degli hacker malevoli, in grado perciò di replicarne tecniche e metodologie.
Si tratta di una pratica completamente legale, dal momento che gli hacker etici hanno il permesso degli amministratori di sistema e dell’azienda per eseguire il penetration test.
Durante l’esecuzione del test, quindi, i penetration tester eseguono un’analisi attiva e passiva dello stato di sicurezza dell’applicativo, simulando dei veri e propri attacchi informatici. Possono farlo “manualmente” o utilizzando dei tools specifici noti come simulation software.
L’obiettivo della simulazione è di:
- individuare le vulnerabilità e il rischio ad esso associato;
- individuare le strategie per correggere le vulnerabilità;
- proteggere adeguatamente i dati dell’azienda.
La procedura consta di solito di 4 step: pianificazione, scoperta della vulnerabilità, simulazione dell’attacco e stesura del report.
Gli esiti del test vengono trascritti appunto in questo report finale, che gli hacker etici consegnano al cliente. Nel documento vengono suggerite anche le strategie di mitigazione del rischio informatico e di correzione delle vulnerabilità rilevate.
Tipologie di PT
Si possono realizzare diversi tipi di test, a seconda della quantità e della qualità di informazioni a disposizione del tester:
- Esterni. L’hacker etico individua sul web i dati disponibili e li usa per sferrare un attacco proveniente dall’esterno;
- Interni. L’hacker etico conosce password e nome utente di almeno un dipendente e simula un attacco proveniente dall’interno;
- Blind test o test ciechi. L’hacker non sa nulla dell’azienda se non il nome e lavora da zero per individuare le vulnerabilità e accedere al sistema informatico;
- Double blind test. Funziona come nel caso precedente, ma anche il reparto IT aziendale è ignaro del test. Permette quindi di testare anche la risposta delle risorse interne in caso di attacco.
Un’altra classificazione è in white box, black box o gray box.
- White box, se il penetration tester ha informazioni complete sulla rete da hackerare, in modo da poter sfruttare il maggior numero possibile di simulazioni di attacco mirate;
- Gray box, se il tester ha informazioni limitate come per esempio le credenziali di accesso di un utente. Simulano minacce molto frequenti e verosimili;
- Black box, se il test viene condotto senza il tester abbia alcuna informazione. Questa simulazione serve a capire come un hacker potrebbe attaccare un’azienda partendo da zero, a partire dai dati disponibili in rete.
Chi sono gli hacker etici?
Gli hacker etici o penetration tester sono figure professionali altamente specializzate, che svolgono un lavoro che richiede competenze informatiche di alto livello.
La definizione di “hacker etici” non deve far cadere nell’errore di pensare che il lavoro di penetration testing si svolga ai margini della legge, ma è anzi regolamentato dalla legge e tra l’azienda cliente e il penetration tester viene stipulato un contratto vincolante.
Pen Test vs Vulnerability Assessment
Il Pen Test non sostituisce il Vulnerability Assessment. Quest’ultimo infatti rappresenta una valutazione del rischio informatico per tutta l’azienda, anche al netto delle vulnerabilità individuate negli applicativi web durante il PT.
Nell’ambito della Cyber Security, il Penetration Testing quindi può essere considerato come una parte del Vulnerability Assessment, in gergo anche indicato con la sigla VA.
Un’ulteriore differenza sta nel fatto che il VA viene eseguito con strumenti di scansione automatizzati, anche altamente tecnologici. Invece, come abbiamo già detto, il PT può essere svolto anche manualmente e in maniera proattiva, simulando tutte le tecniche a disposizione degli hacker.
Che cosa puoi analizzare con un Pen Test
Il penetration test ti consente di analizzare le vulnerabilità di:
- applicazioni web, le cui vulnerabilità più comuni sono già catalogate e definite dall’ OWASP (Open Web Application Security Project);
- reti wireless;
- protocolli VoIP;
- accessi da remoto al sistema informatico aziendale.
Inoltre, esistono pen test specifici per analizzare determinate vulnerabilità:
- la presenza di dati aziendali nel web, nel deep web e nel dark web, incluse password e dati sensibili;
- le vulnerabilità relative a strumenti non configurati in maniera adeguata;
- le falle nei sistemi di autenticazione e di autorizzazione;
- la gestione delle identità e degli accessi ai dati da parte delle risorse aziendali, sulla base di ruoli e compiti ben definiti;
- le vulnerabilità nella gestione della sessione tra l’utente e l’applicativo web in questione;
- le mancate verifiche degli input provenienti dall’utente, che spesso rappresentano uno dei punti di attacco preferiti dagli hacker;
- le vulnerabilità del client (e non del server);
- le problematiche nella gestione degli errori da parte del sistema;
- le debolezze nella crittografia dei dati;
- gli errori nei processi informatici.
Altri strumenti per valutare il rischio informatico
Come abbiamo suggerito più volte nel corso dell’articolo, il Penetration Testing è una delle diverse metodologie che puoi utilizzare nell’ambito della valutazione del rischio informatico.
La sua funzione specifica è quella di individuare e contrastare le vulnerabilità di un applicativo web (siti, portali, reti wireless, VoIP ecc) che un hacker malintenzionato potrebbe sfruttare per accedere al sistema informatico della tua azienda.
Ci sono altri strumenti che puoi utilizzare per avere un chiaro quadro dei rischi che corre la tua azienda se i dati non sono adeguatamente protetti.
La strategia di ISEC di Ecoh Media
Il nostro team ISEC parte sempre da un questionario che viene sottoposto al reparto IT e altre figure chiave in azienda.
Sapere quanti e quali sono i terminali, quali sono le policy di sicurezza interna, in che modo vengono protetti i dati, quanta formazione si fa verso il personale. Questi sono gli obiettivi del questionario, che rappresenta una prima fase per la valutazione del rischio informatico aziendale.
A questo punto, eseguiamo l’analisi dei dati già presenti sul web, facendo ricorso ad alcune tecniche di hacking etico per l’investigazione e l’analisi delle informazioni reperibili da fonti aperte sul web, incluso il dark-web. Tali tecniche sono da considerare come una prima fase del Penetration Testing.
Nel corso del VA ricorriamo a strumenti avanzati come AlienVault Labs Threat Intelligence, che ci fornisce preziose informazioni sugli attori malevoli, i loro strumenti, i loro metodi e le loro infrastrutture, e Open Threat Exchange, che è il repository di dati più grande del mondo per quanto concerne le minacce informatiche costantemente aggiornate.
Utilizziamo anche la Security Lifecycle Review Palo Alto: una scansione di 8-10 giorni eseguita con il Next Generation Firewall (NGFW) di Palo Alto Networks, che raccoglie informazioni su tutta la tua rete IT: applicativi, traffico, contenuti, eventuali minacce.
Puoi richiederla gratuitamente sul nostro sito.
Al termine del Vulnerability Assessment, consegniamo al cliente un report dettagliato di tutte le vulnerabilità individuate e suggeriamo le strategie e gli strumenti di mitigazione più adeguati al caso specifico.