Il Penetration testing, cos'è e come funziona
- UtenzaDiServizioE-commerce
- Cyber security
- Visite: 22807
In Fata Informatica ed in particolare con la nostra BU di sicurezza CybersecurityUP ci troviamo quotidianamente ad eseguire attività di "Penetration Testing". E' necessario sottolineare che nel processo di messa in sicurezza di un’infrastruttura informatica (cd. processo di “Hardening”), insieme al “Vulnerability Assessment” (VA), il Penetration Testing (PT) gioca un ruolo fondamentale.
Con questa espressione si intende il meccanismo mediante cui un dato sistema viene messo alla prova e attaccato da un auditor o da un penetration tester al fine di sfruttare la presenza di eventuali falle e vulnerabilità al suo interno prima di truffatori cyber: si tratta di un processo di fondamentale importanza per quelle aziende che vogliono testare i possibili punti deboli della propria infrastruttura, conoscerne il grado di protezione.
Proprio come nel caso del “Vulnerability Assessment” (VA), il “pen test” può essere condotto sia in modo automatico che manualmente: in entrambi i casi il processo è preceduto da un’operazione di raccolta dati e informazioni che saranno di fondamentale importanza nell'esecuzione delle azioni di compromissione.
Rispetto a un “Vulnerability Assessment” (VA), però, il “pen test” ha la peculiarità di andare più avanti nel processo di messa in sicurezza di un’infrastruttura informatica (IT), consentendo di “sfruttare” in modo più efficiente le debolezze rilevate all’interno di un dato sistema: in questo caso, infatti, il controllo e l’analisi sono mirate a un obiettivo preciso precedentemente stabilito, mentre nel “Vulnerability Assessment” (VA) l’esame è più ad ampio raggio; in virtù di ciò, il “pen test” non si limita a rilevare eventuali falle nel sistema di sicurezza di un dispositivo ma le “sfrutta” dando una dimostrazione empirica del rischio associato a una data vulnerabilità.
In altre parole, il “Penetration Testing” utilizza un approccio più “strong” e “deep” al problema, offrendo un’analisi più approfondita e dettagliata non solo della criticità rilevata, ma soprattutto dei rischi a essa associati, dei fattori di mitigazione e della strategia da approntare.
Il penetration testing prevede approcci differenti a seconda degli skill e metodologie di preferenza dell'esperto che lo compie. In Fata Informatica, durante le nostre attivitàdi penetration testing, oramai quotidiane, seguiamo generalmente le fasi di seguito riportate, che possono però variare a seconda della tecnologia sotto test e delle richieste del cliente.
Fasi e procedure
Le fasi che tendenzialmente seguiamo sono le seguenti, ma è importante capire che un'attività così tecnica mal si può associare a una sequenza rigida di fasi:
- 1. Definizione dell’ambito (scope): qualunque tipo di “pen test” deve essere preceduto, per poter risultare efficace, da una definizione accurata dell’ambito entro cui andrà a operare: solo in questo modo il pentester potrà rintracciare tutte le problematicità associate a un dato sistema ed evidenziarne i fattori di mitigazione;
- 2. Raccolta informazioni: i “Penetration Testing” differiscono tra loro sulla base del bagaglio di conoscenze che il tester ha a disposizione circa il sistema del cliente/azienda. Se il "pentest" è preceduto da un "vulnerability assessment", i dati di vulnerabilità verranno forniti in input a questa fase.
- 3. Exploitation: il pentester in questo caso “sfrutta” le falle rilevate nelle applicazioni web attraverso attacchi mirati che simulano quelli degli hacker (rubando accessi, dati etc.). Questa fase coincide con la fase di Exploitation definita nella Kill chain;
- 6. Mantenere l’accesso: Una volta ottenuto l'accesso, bisogna comportarsi come un attaccante, perciò è necessario provare a mantenere la pesistenza ovvero riuscire a rimanere all'interno del sistema attaccato anche dopo un eventuale suo reboot.
- 7. Report: Una volta terminata l'attività di "pentest" è necessario comunicare al committente i suoi risultati. Esistono due tipologie di report in cui vengono menzionate le informazioni inerenti il test eseguito, utili per l’azienda/cliente:
- - “Executive summary”: al suo interno figura l’analisi del rischio associato alle minacce rilevate e una previsione sui tempi di risoluzione/mitigazione delle vulnerabilità;
- - “Report tecnico”: qui è presente lo studio dettagliato delle minacce evidenziate e la soluzione.
- - Elenco delle vulnerabilità/falle/minacce rilevate (e “sfruttate”);
- - Elenco delle informazioni sensibili su cui è stato effettuato l’accesso;
- - Tempistiche del “pen test”.
Gli skill richiesti ad un pentester
Un “pen tester” dovrebbe avere determinate caratteristiche per potersi definire tale:
- - Capacità di analisi: La capacità di analisi è fondamentale per poter classificare un tecnico come un pentester e non come un mero "lanciatore di programmi". I tool di ricerca vulnerabilità e di automazione degli attacchi fanno parte dell'arsenale di tutti i "pentester", ma la vera differenza tra un professionista ed un principiante è la capacità di capire i risultati dei test, eliminare tutti i falsi positivi e far emergere quei 3 o 4 punti di reale Red Alert per la committenza;
- - Capacità di classificazione: un “pentester” dovrebbe essere in grado di individuare, analizzare e classificare minacce, falle e vulnerabilità nel sistema in base al rischio associato a ognuna di esse, evidenziando le criticità da risolvere prioritariamente. Questo skill si collega strettamente a quella precedente;
- - Redazione di report specifici.
Cosa deve fare un’azienda
Di norma, un’azienda che intende monitorare il proprio status di sicurezza informatica – e testare la consapevolezza dei propri dipendenti in ambito cybersecurity – dovrebbe eseguire un “Penetration Testing” almeno due volte l’anno. Ciononostante, esistono delle particolari condizioni che – se si verificano – possono richiedere l’esecuzione di ulteriori test rispetto a quelli regolari:
- Installazione di nuove infrastrutture di rete all’interno dell’azienda;
- Modifiche rilevanti delle infrastrutture di rete già in uso;
- Nascita di uffici in nuove aree;
- Introduzione di patch di sicurezza;
- Modifiche delle “end-user policies”.
Ma non basta: un’azienda che desidera intraprendere un “Penetration Testing” deve considerare una serie di fattori piuttosto rilevanti, suscettibili di influenzare il risultato dell’analisi:
- Grandezza dell’azienda: più grande è l’ente, più alte saranno le probabilità di attacchi cyber su larga scala;
- Costo del test: come precedentemente accennato, alcuni test possono avere dei costi piuttosto alti, motivo per il quale l’azienda che intende effettuarne uno deve preliminarmente accertarsi di avere le risorse necessarie per l’acquisto, scegliendo – in virtù di un’analisi costi/benefici – il test più adatto alle proprie esigenze;
- Regolamentazione in materia di sicurezza: alcune aziende sono legalmente obbligate a svolgere con regolarità “Penetration Testing” e altre attività di messa in sicurezza della propria infrastruttura informatica (IT). Conoscere la legislazione in materia risulta quindi fondamentale.
È bene sottolineare come nel processo di messa in sicurezza di un sistema informatico (“Hardening”), meccanismi come il “Vulnerability Assessment” (VA) e il “Penetration Testing” giocano un ruolo di primaria importanza ma da soli non bastano a scongiurare tutte le minacce provenienti dal Web, sempre più denso e fitto di esperti truffatori.
Da questo punto di vista, dunque, la conoscenza e la costanza rappresentano due fattori imprescindibili, senza i quali non è possibile raggiungere i risultati sperati (soprattutto nel lungo periodo). Ancora una volta quindi si dimostra di vitale interesse per un’azienda investire non solo in apparecchiature sofisticate di cybersecurity ma anche nell’istruzione dei propri dipendenti: un impiegato consapevole, è un impiegato che fa meno errori e che persegue con maggiore efficienza le logiche di profitto dell’ente per cui lavora.
Come in CybersecurityUP aiutiamo le aziende a migliorare la propria postura di sicurezza
La sicurezza della propria azienda non è una cosa da prendere sotto gamba. I rischi provenienti dallo stato di iperconnettività attuale sono cresciuti esponenzialmente.
CybersecurityUP è in breve tempo diventata una società leader nell'erogazione di servizi di Cybersecurity.
I servizi erogati sono i seguenti:
- Vulnerability Assessment e Penetration Testing
- Security Code Review
- Analisi Forense
- Red Teaming
- Gestione remota della sicurezza tramite il servizio di SOC+
Inoltre abbiamo sviluppato Digital Trainer un piano di formazione rivolto alle aziende per ridurre ciò che viene definito il rischio umano, ovvero i rischio proveniente da utenti che incapaci di riconoscere una minaccia eseguono azioni che possono mettere a repentaglio la sicurezza aziendale.
Questo piano di formazione viene affiancato a simulazioni controllate di phising per testare la reale capacità degli utenti a riconoscere la minaccia.
Per avere maggiori informazioni contattateci tramite il form contatti saremo lieti di aiutarvi a migliorare la sicurezza della vostra azienda.