Scopri cos’è un pen test e perché può salvare la tua azienda.
La digitalizzazione è un processo che interessa ormai anche le imprese più piccole e nell’azienda 2.0 i dati sono asset digitali molto importanti, da proteggere con tutti i sistemi di sicurezza possibili.
Tra questi strumenti troviamo anche un nuovo tipo di analisi, il cosiddetto pen test o penetration testing. Questo esame ha l’obiettivo di individuare le vulnerabilità del sistema informatico dell’azienda e sfruttarle per vedere fino a che punto un cybercriminale può penetrarne le difese e con quali risultati.
Il pen test e la valutazione delle vulnerabilità sono attività ormai indispensabili per qualsiasi organizzazione e il motivo è semplice: la tecnologia e le abilità dei cracker si evolvono velocemente e la sicurezza di un sistema è un concetto sempre più relativo e dinamico.
Ciò che è sicuro oggi domani potrebbe non esserlo più. Lo dimostrano gli exploit 0-day, ma anche i tanti casi di attacchi su larga scala basati su vulnerabilità di sistemi operativi o software (come l’incubo su scala mondiale del ransomware WannaCry).
Per far fronte a minacce che cambiano nel tempo, non bastano strumenti statici ma servono metodi e attività specifiche per ciascun momento, ed è qui che entra in gioco il penetration testing.
In questo post vediamo cos’è il penetration test, a cosa serve e come viene realizzato. Inoltre, parleremo nuovamente di cybersicurezza, per rispolverare alcuni concetti importanti da tenere in mente.
Cos’è il penetration testing
Il pen test è un insieme di attività che mettono alla prova le difese informatiche di un sistema per capirne i punti deboli, fino a che punto è possibile sfruttarli e con quali risultati.
Spesso il penetration test viene considerato sinonimo di valutazione delle vulnerabilità, ma sono due concetti leggermente diversi: il pen test può comprendere attività di valutazione delle vulnerabilità, ma ha sempre l’obiettivo di stabilire fino a che punto è possibile penetrare le difese aziendali e cosa è possibile ottenere con un cyberattacco.
Facciamo un esempio, immaginiamo di scoprire che la nostra azienda ha le seguenti vulnerabilità informatiche: accesso alla LAN e login dell’area clienti del sito web. A questo punto, potremmo pianificare dei test di penetrazione periodici per capire fino a che punto un cracker può entrare nel sistema, quali dati può rubare, che parti può distruggere o inabilitare e così via.
A cosa serve un penetration test
Oltre al rilevamento delle vulnerabilità, i pen test servono per:
- Verificare il rispetto delle norme di cybersicurezza.
- Valutare la consapevolezza del personale in materia di sicurezza informatica.
- Testare la risposta dell’azienda a cyberattacchi o problemi di sicurezza informatica.
I penetration test servono ad analizzare in profondità il livello di sicurezza di un sistema informatico, per cui si tratta di attività lunghe, complicate e costose, a cui devono seguire azioni correttive e che devono essere ripetute a distanza di alcuni mesi per controllare l’implementazione delle correzioni e l’eventuale insorgenza di nuovi problemi.
Il punto è che l’efficacia di queste pratiche dipende soprattutto dalla cultura di cybersicurezza dell’azienda e non solo dalla qualità dei tester o degli strumenti utilizzati (come vedremo a breve). Tutte le informazioni incluse in un rapporto di penetration testing rimangono inutili se non vengono comprese e sfruttate per correggere le vulnerabilità del sistema.
Ambito dei pen test
Con un penetration test possiamo analizzare:
- Applicazioni web
- Dispositivi wireless
- Reti
- Fattore umano (social engineering)
- Applicazioni e dispositivi lato client.
Tipi di pen test
I test di penetrazione possono essere condotti da personale IT interno all’azienda o da tester esterni. A seconda delle informazioni di sicurezza condivise con la squadra di tester, possiamo distinguere tre tipi di pen test:
- Black box testing. In questo caso il tester non sa nulla dell’azienda a parte il nome, simulando così la situazione reale di un cracker.
- White box testing. Questo tipo di test viene eseguito fornendo ai tester informazioni precise sul sistema informatico e sulle misure di sicurezza.
- Gray box testing. Questa è una soluzione ibrida, in cui il tester ha a disposizione solo alcune informazioni sul sistema.
Il pen test di tipo black box è il più realistico, ma è anche il più lungo e dispendioso e i risultati dipendono molto dalla bravura del tester. Per questo tipo di esame si ricorre spesso a hacker etici (come scoprirai seguendo il link c’è una bella differenza tra hacker e cracker).
I test di tipo white box e gray box sono più mirati ed efficaci, e sono più adatti alla maggior parte delle imprese.
Come si svolge il penetration testing
Un pen test si articola nelle seguenti fasi:
- Preliminari. Vengono definiti obiettivi, metodi, tempi, logistica e così via.
- Raccolta di informazioni. Una volta stabilito il tipo di test e gli obiettivi, il tester inizia a raccogliere informazioni sul cliente (ingegneria sociale, ricerche online, tailgating ecc.)
- Identificazione delle vulnerabilità e creazione degli attacchi.
- Exploitation. In questa fase vengono sfruttate tutte le informazioni raccolte precedentemente per lanciare gli attacchi (exploit) e capire fino a che punto è possibile penetrare nel sistema.
- Ripristino del sistema. Il tester cancella tutte le tracce del proprio passaggio (software, rootkit, account, registri e così via).
- Analisi e rapporto post-attacco. Il tester compila un rapporto per il cliente in cui valuta e descrive le vulnerabilità, gli attacchi, gli effetti e le possibili raccomandazioni di sicurezza.
Verso un concetto dinamico di sicurezza
Come dicevamo all’inizio del post, l’idea di un sistema protetto e sicuro è più un obiettivo a cui tendere che una condizione fissa e raggiungibile. Il NIST definisce la cybersicurezza come l’insieme dei seguenti processi:
- Identificazione di minacce
- Protezione
- Rilevamento di attacchi
- Risposta ai problemi di sicurezza
- Ripristino delle funzioni normali
Da questo punto di vista, un sistema è sicuro quando è in grado di adattarsi alle nuove minacce e all’evoluzione digitale, nonché alle tendenze del mondo dei cybercriminali. Per questo le attività di penetration testing sono così importanti: si tratta di valutare periodicamente e in maniera pratica dove e come potrebbe colpire un cracker, che difese possiede il sistema e cosa si può fare per migliorarle.
Arrivati alla fine di questo post, speriamo che ti sia chiaro cos’è un pen test, come funziona e a cosa serve. Così, se gestisci un’attività, potresti considerare la possibilità di rivolgerti a dei professionisti di penetration testing per valutare il livello di sicurezza informatica della tua azienda.
Se invece non hai un’impresa ma ti interessa la cybersicurezza, continua a esplorare il nostro blog. Ad esempio, potresti leggere il nostro post sull’ingegneria sociale o i risultati del nostro sondaggio su Internet e i minori.
Buona navigazione e buona lettura!