Penetration
Testing

Con il Penetration Testing è possibile valutare la sicurezza di un’infrastruttura IT cercando di sfruttare in sicurezza le vulnerabilità.

Penetration Test:
cos'è esattamente

Penetration testing, o pen test, è un tentativo di valutare la sicurezza di un’infrastruttura IT cercando di sfruttarne in modo sicuro le vulnerabilità. Queste vulnerabilità possono esistere in sistemi operativi, servizi e difetti delle applicazioni, configurazioni improprie o comportamenti rischiosi degli utenti finali. Tali valutazioni sono utili anche per convalidare l’efficacia dei meccanismi difensivi, nonché l’aderenza dell’utente finale alle politiche di sicurezza.

I penetration testing vengono in genere eseguiti utilizzando tecnologie manuali o automatizzate per compromettere sistematicamente server, endpoint, applicazioni web, reti wireless, dispositivi di rete, dispositivi mobili e altri potenziali punti di esposizione.

Una volta che le vulnerabilità sono state sfruttate con successo su un particolare sistema, i tester possono tentare di utilizzare il sistema compromesso per lanciare successivi exploit su altre risorse interne, in particolare cercando di ottenere livelli più elevati di autorizzazione di sicurezza e un accesso più profondo alle risorse elettroniche e alle informazioni tramite l’escalation dei privilegi .

Le informazioni su eventuali vulnerabilità della sicurezza sfruttate con successo attraverso i penetration testing vengono in genere aggregate e presentate ai responsabili dei sistemi IT e di rete per aiutare questi professionisti a trarre conclusioni strategiche e dare priorità agli sforzi di riparazione correlati.

Lo scopo fondamentale dei penetration testing è misurare la fattibilità dei sistemi o della compromissione dell’utente finale e valutare le eventuali conseguenze correlate che tali incidenti possono avere sulle risorse o sulle operazioni coinvolte.

Potrebbe essere utile pensare ai penetration testing come cercare di vedere se qualcuno può entrare in casa tua facendolo da solo. I penetration tester, noti anche come hacker etici, valutano la sicurezza delle infrastrutture IT utilizzando un ambiente controllato per attaccare, identificare e sfruttare in sicurezza le vulnerabilità. Invece di controllare finestre e porte, testano server, reti, applicazioni web, dispositivi mobili e altri potenziali punti di ingresso per trovare punti deboli.

DIFFERENZA TRA
SCANSIONI DI VULNERABILITÀ
E IL PEN TEST?


Gli scanner delle vulnerabilità sono strumenti automatizzati che esaminano un ambiente e, al termine, creano un report delle vulnerabilità scoperte. Questi scanner spesso elencano queste vulnerabilità utilizzando identificatori CVE che forniscono informazioni sui punti deboli noti. Gli scanner possono scoprire migliaia di vulnerabilità, quindi potrebbero esserci abbastanza vulnerabilità gravi da richiedere un’ulteriore definizione delle priorità. Inoltre, questi punteggi non tengono conto delle circostanze di ogni singolo ambiente IT. È qui che entrano in gioco i  penetration testing .

Sebbene le scansioni delle vulnerabilità forniscano un quadro prezioso dei potenziali punti deboli della sicurezza, i penetration testing possono aggiungere ulteriore contesto vedendo se le vulnerabilità possono essere sfruttate per ottenere l’accesso all’interno del proprio ambiente. I pen test possono anche aiutare a stabilire la priorità dei piani di riparazione in base a ciò che rappresenta il rischio maggiore.

Perchè i penetration test
sono importanti

Il Pen Test valuta la capacità di un’organizzazione di proteggere le proprie reti, applicazioni, endpoint e utenti da tentativi interni o esterni di aggirare i propri controlli di sicurezza e ottenere accesso non autorizzato o privilegiato alle risorse protette.

I pen test forniscono informazioni dettagliate sulle minacce alla sicurezza effettive e sfruttabili. Eseguendo un penetration test, è possibile identificare in modo proattivo quali vulnerabilità sono più critiche, quali sono meno significative e quali sono falsi positivi. Ciò consente alla tua organizzazione di assegnare priorità in modo più intelligente alla riparazione, applicare le patch di sicurezza necessarie e allocare le risorse di sicurezza in modo più efficace per garantire che siano disponibili quando e dove sono maggiormente necessarie.

In questi giorni, non esiste una soluzione per prevenire una violazione. Le organizzazioni devono ora disporre di un portafoglio di meccanismi e strumenti di sicurezza difensivi, tra cui crittografia, antivirus, soluzioni SIEM e programmi IAM, solo per citarne alcuni. Tuttavia, anche con questi strumenti di sicurezza vitali, è difficile trovare ed eliminare ogni vulnerabilità in un ambiente IT. Il Pen Test adotta un approccio proattivo, scoprendo i punti deboli in modo che le organizzazioni sappiano quale rimedio è necessario e se è necessario implementare livelli aggiuntivi.

Senza la corretta visibilità nel tuo ambiente nel suo complesso, cambiare la tua posizione di sicurezza potrebbe comportare l’eliminazione di qualcosa che non era effettivamente problematico. I pen test non ti dicono solo cosa non funziona. Servono anche come controlli di garanzia della qualità, quindi scoprirai anche quali politiche sono più efficaci e quali strumenti forniscono il ROI più elevato. Con queste informazioni un’organizzazione può anche allocare in modo intelligente le risorse di sicurezza, assicurando che siano disponibili quando e dove sono più necessarie.

Come puoi essere sicuro della tua posizione di sicurezza se non la collaudi efficacemente? Mettendo regolarmente alla prova la tua infrastruttura di sicurezza e il tuo team di sicurezza, non dovrai chiederti ipoteticamente che aspetto avrà un attacco e come risponderai. Ne avrai sperimentato uno in sicurezza e saprai come prepararti per garantire che la tua organizzazione non venga mai colta di sorpresa.

I penetration testing aiutano le organizzazioni ad affrontare gli aspetti generali di verifica e conformità delle normative e delle migliori pratiche del settore. Sfruttando l’infrastruttura di un’organizzazione, il penetration test può dimostrare esattamente come un utente malintenzionato potrebbe ottenere l’accesso a dati sensibili. Man mano che le strategie di attacco crescono e si evolvono, i test periodici obbligatori assicurano che le organizzazioni possano rimanere un passo avanti scoprendo e risolvendo i punti deboli della sicurezza prima che possano essere sfruttati.

Inoltre, per i revisori, questi test possono anche verificare che altre misure di sicurezza obbligatorie siano in atto o funzionino correttamente. I report dettagliati generati dai pen test possono aiutare le organizzazioni a illustrare la due diligence in corso per mantenere i controlli di sicurezza richiesti.

Chi esegue i
penetration test?

Uno dei maggiori ostacoli nella creazione di un programma di sicurezza informatica di successo è trovare persone con le giuste qualifiche ed esperienza. Il divario di competenze in materia di sicurezza informatica è un problema ben documentato con un’offerta qualificata di professionisti della sicurezza che non tiene il passo con la domanda. Ciò è particolarmente vero con i pen test. Sfortunatamente, non mancano gli hacker ed i gruppi di criminalità informatica. Di conseguenza, le organizzazioni non possono ritardare l’implementazione di iniziative critiche di pen test.

Ma anche con il divario di competenze, le aziende possono creare un potente programma di pen test utilizzando in modo intelligente le risorse prontamente disponibili perché non tutti i test richiedono un esperto. Gli strumenti di penetration testing che dispongono di funzionalità automatiche possono essere utilizzati dai membri del team di sicurezza che potrebbero non avere una vasta esperienza nei pen test. Questi strumenti possono essere utilizzati per test facili da eseguire, ma essenziali da eseguire regolarmente, come la convalida delle scansioni di vulnerabilità, la raccolta di informazioni di rete, l’escalation dei privilegi o le simulazioni di phishing.

Ovviamente, i pen tester esperti sono ancora una parte fondamentale dei pen test. Per test complessi che richiedono un’analisi approfondita di diversi sistemi e applicazioni o l’esecuzione di esercizi con più catene di attacchi, ti consigliamo una persona o un team con più esperienza. Per testare uno scenario di attacco realistico, ti consigliamo un red team che utilizzi strategie e soluzioni sofisticate simili alle tecniche degli hacker.

Le fasi del
penetration test

Attraverso i penetration testing, puoi identificare in modo proattivo i punti deboli della sicurezza più sfruttabili prima che lo faccia qualcun altro.

Tuttavia, c’è molto di più che il vero atto di infiltrazione.

Il pen test è un progetto completo e ben congegnato che si compone di diverse fasi:

01

Pianificazione e Preparazione

Prima che inizi un pen test, i tester e i loro clienti devono essere allineati agli obiettivi del test, quindi è mirato ed eseguito correttamente. Avranno bisogno di sapere quali tipi di test dovrebbero eseguire, chi saprà che il test è in esecuzione, quante informazioni e quante possibilità di accesso i tester dovranno iniziare e altri dettagli importanti che garantiranno che il test sia un successo.
02

Scoperta

In questa fase, le squadre eseguono diversi tipi di ricognizione sul loro obiettivo. Dal punto di vista tecnico, informazioni come gli indirizzi IP possono aiutare a determinare le informazioni sui firewall e altre connessioni. Dal punto di vista personale, dati semplici come nomi, qualifiche professionali e indirizzi e-mail possono avere un grande valore.
03

Pentest e Sfruttamento

Ora informati sul loro obiettivo, i pen tester possono iniziare a tentare di infiltrarsi nell'ambiente, sfruttando i punti deboli della sicurezza e dimostrando quanto in profondità possono entrare nella rete.
04

Analisi e Reportistica

I pen test dovrebbero creare un rapporto che includa i dettagli su ogni fase del processo, evidenziando ciò che è stato utilizzato per penetrare con successo nel sistema, quali punti deboli della sicurezza sono stati rilevati, altre informazioni pertinenti scoperte e consigli per la riparazione.

Con che frequenza
eseguire il pentest?

I penetration testing dovrebbero essere eseguiti su base regolare per garantire una gestione più coerente dell’IT e della sicurezza della rete.

Un pen tester rivelerà in che modo le minacce scoperte di recente o le vulnerabilità emergenti possono essere potenzialmente attaccate dagli aggressori. Oltre alle analisi e alle valutazioni regolarmente programmate richieste dai mandati normativi, i test dovrebbero essere eseguiti anche ogni volta che:

  • Vengono aggiunte infrastrutture o applicazioni di rete
  • Vengono eseguiti gli aggiornamenti all'infrastruttura o alle applicazioni
  • Vengono applicate le patch di sicurezza
  • I criteri dell'utente finale vengono modificati
  • Vengono aperti nuovi uffici

Cosa fare
dopo il pentest?

L’esame dei risultati dei pen test offre una grande opportunità per discutere i piani futuri e rivedere il tuo atteggiamento di sicurezza nel complesso.

Vedere i pen test come un cerchio in cui saltare e semplicemente spuntarli da un elenco come “fatto” non migliorerà la tua posizione sulla sicurezza.

È importante pianificare un'attività di diffusione, discussione e comprensione globale dei risultati.

Inoltre, trasmettere questi risultati con intuizioni attuabili ai responsabili delle decisioni all’interno dell’organizzazione enfatizzerà meglio il rischio che queste vulnerabilità rappresentano e l’impatto positivo che la riparazione avrà sul business.

Con la revisione, la valutazione e il consenso alla leadership, i risultati del pen test possono trasformarsi in elementi di azione per miglioramenti e takeaway immediati che aiuteranno a definire strategie di sicurezza più ampie.

I diversi tipi
di pentest

Sebbene sia allettante richiedere al tester di “testare tutto”, molto probabilmente questo porterebbe i pen tester a graffiare solo la superficie di una serie di vulnerabilità, sacrificando la raccolta di preziose informazioni acquisite andando più in profondità in meno aree, con obiettivi chiari in mente.

Per assicurarsi che i pen test possano raggiungere questi obiettivi e individuare i punti deboli, esistono vari tipi diversi di pen test che si concentrano su diverse aree di un’infrastruttura IT, tra cui:

Il penetration testing delle applicazioni Web esamina la sicurezza complessiva e i potenziali rischi delle applicazioni Web, inclusi errori di codifica, autenticazione o autorizzazione non funzionanti e vulnerabilità di injection.

Il penetration testing della rete mira a prevenire atti dannosi individuando i punti deboli prima che lo facciano gli aggressori.

I pen tester si concentrano sui test di sicurezza della rete sfruttando e scoprendo le vulnerabilità su diversi tipi di reti, dispositivi associati come router e switch e host di rete.

Mirano a sfruttare i difetti in queste aree, come password deboli o risorse configurate in modo errato, al fine di ottenere l’accesso a sistemi o dati critici.

I team di sicurezza collaborano con fornitori di servizi cloud e fornitori di terze parti per progettare ed eseguire test di sicurezza nel cloud per sistemi e applicazioni basati su cloud.

Il pen test nel cloud convalida la sicurezza di una distribuzione cloud, identifica il rischio e le probabilità complessive per ogni vulnerabilità e consiglia come migliorare il tuo ambiente cloud.

I pen tester prendono in considerazione le sfumature dei diversi dispositivi IoT analizzando ogni componente e l’interazione tra di essi.

Utilizzando la metodologia a più livelli, in cui viene analizzato ogni strato, i pen tester possono individuare punti deboli che altrimenti potrebbero passare inosservati.

L’ingegneria sociale è una tattica di violazione, che prevede l’uso di inganni per ottenere l’accesso o informazioni che verranno utilizzate per scopi dannosi.

L’esempio più comune di questo è visto nelle truffe di phishing.

I pen tester utilizzano strumenti di phishing ed e-mail su misura per un’organizzazione per testare i meccanismi di difesa, le capacità di rilevamento e reazione, trovando dipendenti sensibili e misure di sicurezza che necessitano di miglioramento.

Cosa sono
i team

Attraverso i penetration testing, puoi identificare in modo proattivo i punti deboli della sicurezza più sfruttabili prima che lo faccia qualcun altro.

Tuttavia, c’è molto di più che il vero atto di infiltrazione.

Il pen test è un progetto completo e ben congegnato che si compone di diverse fasi:

RED TEAM

01

Un Red Team è dalla parte offensiva. Viene formato con l'intenzione di identificare e valutare le vulnerabilità, testare le ipotesi, visualizzare le opzioni alternative per l'attacco e rivelare le limitazioni e i rischi per la sicurezza per quell'organizzazione.

BLUE TEAM

02

Il Blue Team ha il compito di difendere l'organizzazione. Ha il compito di creare le misure protettive di un'organizzazione e di agire quando necessario.

PURPLE TEAM

03

Recentemente, il concetto di un Purple Team è diventato più popolare negli esercizi di squadra. Questa è la mentalità di vedere e trattare i red e blue team come simbiotici. Non si tratta di squadra contro squadra, ma piuttosto una grande squadra che si concentra sull'unico obiettivo generale: migliorare la sicurezza. La chiave per diventare un Purple Team sta nella comunicazione tra gli individui e le loro squadre.

Cosa sono gli strumenti
per il penetration test?

Gli aggressori utilizzano strumenti per rendere i loro tentativi di violazione più efficaci. Lo stesso vale per i pen tester. Il software di Penetration Test è concepito per affiancarsi alle potenzialità della mente umana, non per sostituirla: consente ai pen tester di concentrarsi sul pensiero fuori dagli schemi assumendo compiti che richiedono tempo, ma non il pensiero umano.

I penetration testing vengono generalmente completati utilizzando un portafoglio di strumenti che forniscono una varietà di funzionalità. Alcuni sono open source, mentre altri sono commerciali. Alcuni di questi strumenti sono gli stessi di quelli utilizzati dagli hacker, consentendo la replica esatta di un attacco. Altri evidenziano le esigenze di un hacker etico, consentendo una maggiore enfasi sulle funzionalità che danno la priorità all’obiettivo finale di convalidare i punti deboli della sicurezza senza influire sugli ambienti di produzione e dando priorità al remediation.

I team di sicurezza stanno anche iniziando ad utilizzare strumenti di penetration testing per far migliorare i loro programmi interni attraverso l’automazione strategica. Quindi cosa dovresti cercare quando si tratta di una soluzione automatizzata per il pen test? Gli strumenti di penetration testing dovrebbero essere semplici, efficienti, affidabili e centralizzati.

TORNA SU