Scopri cos’è un pen test e perché può salvare la tua azienda.

La digitalizzazione è un processo che interessa ormai anche le imprese più piccole e nell’azienda 2.0 i dati sono asset digitali molto importanti, da proteggere con tutti i sistemi di sicurezza possibili.

Tra questi strumenti troviamo anche un nuovo tipo di analisi, il cosiddetto pen test o penetration testing. Questo esame ha l’obiettivo di individuare le vulnerabilità del sistema informatico dell’azienda e sfruttarle per vedere fino a che punto un cybercriminale può penetrarne le difese e con quali risultati.

Il pen test e la valutazione delle vulnerabilità sono attività ormai indispensabili per qualsiasi organizzazione e il motivo è semplice: la tecnologia e le abilità dei cracker si evolvono velocemente e la sicurezza di un sistema è un concetto sempre più relativo e dinamico.

Ciò che è sicuro oggi domani potrebbe non esserlo più. Lo dimostrano gli exploit 0-day, ma anche i tanti casi di attacchi su larga scala basati su vulnerabilità di sistemi operativi o software (come l’incubo su scala mondiale del ransomware WannaCry).

Per far fronte a minacce che cambiano nel tempo, non bastano strumenti statici ma servono metodi e attività specifiche per ciascun momento, ed è qui che entra in gioco il penetration testing.

In questo post vediamo cos’è il penetration test, a cosa serve e come viene realizzato. Inoltre, parleremo nuovamente di cybersicurezza, per rispolverare alcuni concetti importanti da tenere in mente.

Cos’è il penetration testing

Il pen test è un insieme di attività che mettono alla prova le difese informatiche di un sistema per capirne i punti deboli, fino a che punto è possibile sfruttarli e con quali risultati.

Spesso il penetration test viene considerato sinonimo di valutazione delle vulnerabilità, ma sono due concetti leggermente diversi: il pen test può comprendere attività di valutazione delle vulnerabilità, ma ha sempre l’obiettivo di stabilire fino a che punto è possibile penetrare le difese aziendali e cosa è possibile ottenere con un cyberattacco.

Facciamo un esempio, immaginiamo di scoprire che la nostra azienda ha le seguenti vulnerabilità informatiche: accesso alla LAN e login dell’area clienti del sito web. A questo punto, potremmo pianificare dei test di penetrazione periodici per capire fino a che punto un cracker può entrare nel sistema, quali dati può rubare, che parti può distruggere o inabilitare e così via.

A cosa serve un penetration test

Oltre al rilevamento delle vulnerabilità, i pen test servono per:

  • Verificare il rispetto delle norme di cybersicurezza.
  • Valutare la consapevolezza del personale in materia di sicurezza informatica.
  • Testare la risposta dell’azienda a cyberattacchi o problemi di sicurezza informatica.

I penetration test servono ad analizzare in profondità il livello di sicurezza di un sistema informatico, per cui si tratta di attività lunghe, complicate e costose, a cui devono seguire azioni correttive e che devono essere ripetute a distanza di alcuni mesi per controllare l’implementazione delle correzioni e l’eventuale insorgenza di nuovi problemi.

Il punto è che l’efficacia di queste pratiche dipende soprattutto dalla cultura di cybersicurezza dell’azienda e non solo dalla qualità dei tester o degli strumenti utilizzati (come vedremo a breve). Tutte le informazioni incluse in un rapporto di penetration testing rimangono inutili se non vengono comprese e sfruttate per correggere le vulnerabilità del sistema.

Ambito dei pen test

Con un penetration test possiamo analizzare:

  • Applicazioni web
  • Dispositivi wireless
  • Reti
  • Fattore umano (social engineering)
  • Applicazioni e dispositivi lato client.

Tipi di pen test

I test di penetrazione possono essere condotti da personale IT interno all’azienda o da tester esterni. A seconda delle informazioni di sicurezza condivise con la squadra di tester, possiamo distinguere tre tipi di pen test:

  1. Black box testing. In questo caso il tester non sa nulla dell’azienda a parte il nome, simulando così la situazione reale di un cracker.
  2. White box testing. Questo tipo di test viene eseguito fornendo ai tester informazioni precise sul sistema informatico e sulle misure di sicurezza.
  3. Gray box testing. Questa è una soluzione ibrida, in cui il tester ha a disposizione solo alcune informazioni sul sistema.

Il pen test di tipo black box è il più realistico, ma è anche il più lungo e dispendioso e i risultati dipendono molto dalla bravura del tester. Per questo tipo di esame si ricorre spesso a hacker etici (come scoprirai seguendo il link c’è una bella differenza tra hacker e cracker).

I test di tipo white box e gray box sono più mirati ed efficaci, e sono più adatti alla maggior parte delle imprese.

Come si svolge il penetration testing

Un pen test si articola nelle seguenti fasi:

  1. Preliminari. Vengono definiti obiettivi, metodi, tempi, logistica e così via.
  2. Raccolta di informazioni. Una volta stabilito il tipo di test e gli obiettivi, il tester inizia a raccogliere informazioni sul cliente (ingegneria sociale, ricerche online, tailgating ecc.)
  3. Identificazione delle vulnerabilità e creazione degli attacchi.
  4. Exploitation. In questa fase vengono sfruttate tutte le informazioni raccolte precedentemente per lanciare gli attacchi (exploit) e capire fino a che punto è possibile penetrare nel sistema.
  5. Ripristino del sistema. Il tester cancella tutte le tracce del proprio passaggio (software, rootkit, account, registri e così via).
  6. Analisi e rapporto post-attacco. Il tester compila un rapporto per il cliente in cui valuta e descrive le vulnerabilità, gli attacchi, gli effetti e le possibili raccomandazioni di sicurezza.

Verso un concetto dinamico di sicurezza

Come dicevamo all’inizio del post, l’idea di un sistema protetto e sicuro è più un obiettivo a cui tendere che una condizione fissa e raggiungibile. Il NIST definisce la cybersicurezza come l’insieme dei seguenti processi:

  • Identificazione di minacce
  • Protezione
  • Rilevamento di attacchi
  • Risposta ai problemi di sicurezza
  • Ripristino delle funzioni normali

Da questo punto di vista, un sistema è sicuro quando è in grado di adattarsi alle nuove minacce e all’evoluzione digitale, nonché alle tendenze del mondo dei cybercriminali. Per questo le attività di penetration testing sono così importanti: si tratta di valutare periodicamente e in maniera pratica dove e come potrebbe colpire un cracker, che difese possiede il sistema e cosa si può fare per migliorarle.

Arrivati alla fine di questo post, speriamo che ti sia chiaro cos’è un pen test, come funziona e a cosa serve. Così, se gestisci un’attività, potresti considerare la possibilità di rivolgerti a dei professionisti di penetration testing per valutare il livello di sicurezza informatica della tua azienda.

Se invece non hai un’impresa ma ti interessa la cybersicurezza, continua a esplorare il nostro blog. Ad esempio, potresti leggere il nostro post sull’ingegneria sociale o i risultati del nostro sondaggio su Internet e i minori.

Buona navigazione e buona lettura!