Penetration Test

Analisi del rischio




Cos'è un penetration test?



Un Penetration Test consiste nel testare la sicurezza di una infrastruttura IT sottoponendola a svariati tipi di attacchi informatici e di ingegneria sociale. Le attività di Penetration Test offerte hanno l’obiettivo di fornire al Cliente una conoscenza dettagliata sulle vulnerabilità sfruttabili, da terze parti, per ottenere accessi non autorizzati ai servizi/sistemi analizzati.

I vari test attuabili riguardano:

✓ bug, vulnerabilità e security holes nel software presente;
✓ punti deboli di firewall e router;
✓ punti deboli negli script dei web‐server;
✓ errori nella configurazione dei principali servizi in esecuzione;
✓ problemi relativi l’accesso fisico alle macchine;
✓ eventuale impreparazione di dipendenti e addetti.

Tipologie di test realizzabili

Si distinguono tre grandi categorie tipi di Penetration Test:

a) Zero knowledge (black box):
si effettuano i test senza conoscere niente dell’host bersaglio, il tester si mette nelle stesse condizioni dell’attaccante.

b) Partial knowledge:
vengono fornite dal committente alcune informazioni per indirizzare l’attacco verso un bersaglio preciso o anche per diminuire i tempi di testing. Le informazioni fornite riguardano in genere la topologia della rete, le politiche di sicurezza adottate, etc.

c) Full knowledge (white box):
in questo caso chi esegue il test ha a disposizione tutte, o quasi, le informazioni possibili. In questo caso, in genere, si simula il comportamento di un “attaccante interno”, ad esempio un dipendente. Oltre a testare le macchine un Penetration Test può essere utile anche per valutare le persone addette a tali macchine. Per questa tematica si distinguono due tipi di interventi:

Overt o evidente (Blue team):
Gli impiegati dell’organizzazione, e in particolare lo staff IT, sono a conoscenza del Penetration Test in atto;

Covert o nascosto (Red team):
Si esegue il Penetration Test con il permesso delle “alte cariche”, e all’insaputa dello staff IT.
Questo tipo di test è utile per testare, oltre alla sicurezza della rete, anche le capacità e l’affidabilità degli addetti alla sicurezza durante una emergenza e la reale validità delle politiche di sicurezza dell’azienda.