Come prepararsi per un penetration test

Eseguire un penetration test di successo è una sfida anche per il penetration test più esperto. Richiede molta abilità e molta esperienza, oltre alla conoscenza delle tecniche di attacco più all’avanguardia, perché un penetration tester è sempre un’hacker, seppur “buono”.

Tuttavia, un penetration test non è che una serie di azioni, riassunte qua sotto.

1. Approvazione e ambito di test

Il penetration tester ha bisogno dell’approvazione formale da parte dell’organizzazione cliente. Il test consiste nel lanciare un attacco informatico vero e proprio, che potrebbe temporaneamente interrompere l’operatività dell’organizzazione, nel caso in cui dovesse andare a buon fine.

Per questo motivo l’approvazione da parte della dirigenza è fondamentale. Oltre a dare il via libera al test, permette di instaurare un rapporto di fiducia con l’esperto di sicurezza e stabilisce quali parti dell’organizzazione saranno testate. Esistono quattro opzioni:

2. Esecuzione del test

I penetration test possono essere eseguiti in molteplici modi:

  • Zero knowledge test – agli esperti vengono fornite solo le informazioni essenziali sull’organizzazione cliente. Ciò permette di replicare degli scenari di attacco reali nei quali gli autori non conoscono in modo approfondito l’organizzazione target, costringendoli a ricercare informazioni disponibili al pubblico, come sui social media e sul sito web dell’organizzazione.
  • Partial knowledge test – ai tester vengono fornite solo alcune informazioni sui sistemi dell’organizzazione, per esempio gli indirizzi IP, le configurazioni di rete e altri dettagli pertinenti. Questo è il tipo di test più comune ed è spesso il più economico ed efficace.
  • Full knowledge test – agli esperti vengono date tutte le informazioni che richiedono. Solitamente, questo test è eseguito da penetration tester interni all’azienda, che testano i sistemi con una certa regolarità.
  • Blind test – il test viene eseguito all’insaputa del personale dell’organizzazione, solamente lo staff di sicurezza ne è al corrente. Ciò permette una valutazione più realistica della percezione del personale all’attacco e di monitorare le risposte in tempo reale.
  • Double blind test – il test viene eseguito all’insaputa del personale sia amministrativo sia di sicurezza.

3. Selezione del team

Solitamente, il test viene condotto da un team di esperti, ognuno con le proprie aree di competenza.

4. Stabilire le condizioni di esecuzione

I test dovrebbero sempre essere eseguiti in condizioni che assomiglino il più possibile al mondo reale, per poter ottenere i risultati più realistici possibili. Tuttavia, ci sono delle eccezioni per motivi di praticità. Per esempio, alcuni penetration tester potrebbero chiedere di aprire determinate porte firewall o disabilitare misure di sicurezza. Oppure, trovano utile lanciare l’attacco dall’interno dell’organizzazione, per potere monitorare in tempo reale le conseguenze dell’attacco e vedere come reagiscono le operazioni aziendali interessate.

5. Scelta degli strumenti di attacco

La metodologia di attacco dipende dalla tipologia di test richiesta e dalle capacità del penetration tester.

Rivolgiti agli esperti di penetration test

IT Governance mette a disposizione il suo team di penetration tester e di esperti di sicurezza per eseguire i test che più si adattano alle esigenze e al budget della tua organizzazione.

Leggi le nostre pagine informative per saperne di più, scarica la guida gratuita sui penetration test per maggiori informazioni oppure parla con un esperto, è a tua disposizione per qualsiasi domanda o dubbio.

Leggi le pagine informative

Scarica la guida gratuita

Parla con un esperto

 

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.