Penetration Test: di cosa si tratta, come si svolge e la sua estrema rilevanza per mimimizzare attacchi ed evitare breaches alle infrastrutture informatiche.
Una attività di penetration test, è un processo avanzato che simula gli attacchi reali che un hacker malevolo può portare ai tuoi sistemi IT, teso ad individuare eventuali falle di sicurezza che potrebbero essere sfruttate realmente.
A differenza della Vulnerability Assessment, che si limita a identificare vulnerabilità potenziali, il penetration test va oltre, cercando attivamente di sfruttare queste vulnerabilità in un ambiente controllato e con modalità di attacco stabilite.
Tipologie di Penetration Test
I penetration test possono essere eseguiti su diversi asset ICT, a seconda delle esigenze specifiche:
- Penetration test su rete: Verifica delle vulnerabilità nei dispositivi di rete, firewall e router.
- Penetration Test su servizi ICT: Attacchi condotti verso server e-mail, altri servizi pubblicati all’esterno come gateway VOIP, API, accessi VPN, pannelli di controllo, ecc.
- Penetration test su applicazioni web: Analisi della sicurezza di applicazioni esposte su Internet, per rilevare vulnerabilità come SQL injection o XSS.
- Penetration test Wireless: Valutazione delle vulnerabilità nelle reti Wi-Fi aziendali o nei bridge trasmissivi.
- Social Engineering: Testa la preparazione dei dipendenti a tentativi di phishing o ingegneria sociale.
Scoping e Preparazione
La prima fase di ogni penetration test è la definizione del perimetro (scoping). Questo passaggio è cruciale per stabilire quali asset verranno sottoposti a test, quali metodologie saranno utilizzate e quali saranno gli obiettivi. Poiché un penetration test si concentra su asset specifici e strategici (come predetto, webserver, firewall, dispositivi critici o esposti ad Internet), è importante definire chiaramente il perimetro d’azione. Non è praticabile testare ogni dispositivo di una LAN, per cui in genere ci si concentra sugli asset che potrebbero determinare il maggiore rischio per la sicurezza.
Le attività Penetration Test
Il penetration test è un processo manuale e altamente tecnico, suddiviso in diverse fasi:
- Raccolta di informazioni (Reconnaissance): Identificazione di dettagli come IP, domini e sistemi operativi.
- Scanning: Individuazione di servizi e porte aperte su cui un attaccante potrebbe tentare di infiltrarsi.
- Sfruttamento delle vulnerabilità (Exploitation): Tentativo di utilizzare le vulnerabilità identificate per ottenere accesso non autorizzato.
- Post-exploitation: Escalation dei privilegi e valutazione delle conseguenze in caso di compromissione del sistema.
- Cleanup: Rimozione di qualsiasi traccia dell’attacco simulato, come malware o backdoor introdotti durante il test.
Un’Attività Complessa e Non Automatizzata
Un penetration test non è un processo automatizzato come potrebbe essere un Vulnerability Assessment. Richiede competenze avanzate ed expertise da parte di esperti in cybersecurity che, oltre a usare strumenti tecnici, effettuano perlopiù attività di OSINT e test manuali per simulare scenari di attacco reali. È una pratica molto più approfondita e complessa, in grado di offrire una visione realistica di come un attaccante potrebbe sfruttare le vulnerabilità del sistema in esame.
Metodologie Internazionali adottate per Penetration Test
Effettuiamo attività di penetration test adottando le migliori pratiche riconosciute a livello internazionale per garantire un’analisi completa e approfondita delle vulnerabilità.
Le metodologie principali che utilizziamo includono:
- OSSTMM (Open Source Security Testing Methodology Manual)
L’OSSTMM fornisce un quadro dettagliato per l’analisi della sicurezza e la valutazione delle vulnerabilità, coprendo aree come le interazioni umane, digitali, fisiche e comunicative. Questa metodologia è ideale per testare sia reti che sistemi fisici. - OWASP Testing Guide
Specificamente progettata per testare la sicurezza delle applicazioni web, l’OWASP Testing Guide fornisce una roadmap completa per identificare le vulnerabilità nelle applicazioni esposte su Internet, come iniezioni di codice, cross-site scripting (XSS) e altro. - PTES (Penetration Testing Execution Standard)
Il PTES fornisce una struttura ben definita per eseguire penetration test, dalle fasi iniziali di raccolta delle informazioni, fino all’esecuzione dell’attacco simulato e alla fase di post-exploitation. - NIST SP 800-115
Questa guida del National Institute of Standards and Technology (NIST) fornisce le linee guida tecniche per eseguire test di sicurezza e valutazioni, comprese metodologie dettagliate per la scansione e l’analisi delle vulnerabilità e per i penetration test.
La Documentazione prodotta dal Penetration Test
Alla termine di ogni penetration test, verrà fornito:
- Report tecnico dettagliato: Descrizione delle vulnerabilità sfruttate e delle tecniche utilizzate.
- Prove di concetto (PoC): Dimostrazioni pratiche di come sono state sfruttate le vulnerabilità.
- Raccomandazioni per la mitigazione: Suggerimenti su come correggere le vulnerabilità identificate e rafforzare le difese.
Conclusione
Il penetration test è un passo fondamentale per evidenziare le eventuali falle o lacune nella cyber-security della infrastruttura ICT e quindi rafforzare la sicurezza della tua azienda nei confronti dei cyber-risk. Contattaci per approfondire sui dettagli di un penetration test su misura per la tua organizzazione e proteggere la tua azienda da rischi reali. Siamo spesso in Venezia per le nostre attività professionali e possiamo anche incontrarci presso la vostra sede per farvi comprendere la rilevanza di effettuare valutazioni della sicurezza delle infrastrutture informatiche onde prevenire possibili data breaches.
GLI APPROFONDIMENTI RECENTI IN TEMA PENETRATION TEST E CYBERSECURITY
Protezione delle banche dati: le nuove linee guida dell’ACN per una resilienza avanzata
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente pubblicato le “Linee guida per il rafforzamento…
Norme ISO: basi per NIS2, ma insufficienti
La Direttiva NIS2 rappresenta un passo cruciale per rafforzare la sicurezza informatica nell’Unione Europea, imponendo…
Penetration Test vs Vulnerability Assessment
In ambito sicurezza informatica, i termini “penetration test” e “vulnerability assessment” vengono spesso usati in…
Australia Introduce il Cyber Security Bill 2024
L’Australia ha presentato il Cyber Security Bill 2024, un disegno di legge che rappresenta un’importante…
XZ utils backdoor
Il giorno 29 marzo, un ricercatore Microsoft, Andres Freus, ha scoperto fortuitamente una backdoor in…
Linee guida per mitigazione attacchi DDOS
CISA – Cybersecure & Infrastructure Security Agency, FBI – Federal Bureau of Investigation e MS-ISAC…