Eseguire un penetration test di successo è una sfida anche per il penetration test più esperto. Richiede molta abilità e molta esperienza, oltre alla conoscenza delle tecniche di attacco più all’avanguardia, perché un penetration tester è sempre un’hacker, seppur “buono”.
Tuttavia, un penetration test non è che una serie di azioni, riassunte qua sotto.
1. Approvazione e ambito di test
Il penetration tester ha bisogno dell’approvazione formale da parte dell’organizzazione cliente. Il test consiste nel lanciare un attacco informatico vero e proprio, che potrebbe temporaneamente interrompere l’operatività dell’organizzazione, nel caso in cui dovesse andare a buon fine.
Per questo motivo l’approvazione da parte della dirigenza è fondamentale. Oltre a dare il via libera al test, permette di instaurare un rapporto di fiducia con l’esperto di sicurezza e stabilisce quali parti dell’organizzazione saranno testate. Esistono quattro opzioni:
- Penetration test della rete esterna
- Penetration test delle applicazioni web
- Penetration test della rete wireless
- Penetration test della rete interna
2. Esecuzione del test
I penetration test possono essere eseguiti in molteplici modi:
- Zero knowledge test – agli esperti vengono fornite solo le informazioni essenziali sull’organizzazione cliente. Ciò permette di replicare degli scenari di attacco reali nei quali gli autori non conoscono in modo approfondito l’organizzazione target, costringendoli a ricercare informazioni disponibili al pubblico, come sui social media e sul sito web dell’organizzazione.
- Partial knowledge test – ai tester vengono fornite solo alcune informazioni sui sistemi dell’organizzazione, per esempio gli indirizzi IP, le configurazioni di rete e altri dettagli pertinenti. Questo è il tipo di test più comune ed è spesso il più economico ed efficace.
- Full knowledge test – agli esperti vengono date tutte le informazioni che richiedono. Solitamente, questo test è eseguito da penetration tester interni all’azienda, che testano i sistemi con una certa regolarità.
- Blind test – il test viene eseguito all’insaputa del personale dell’organizzazione, solamente lo staff di sicurezza ne è al corrente. Ciò permette una valutazione più realistica della percezione del personale all’attacco e di monitorare le risposte in tempo reale.
- Double blind test – il test viene eseguito all’insaputa del personale sia amministrativo sia di sicurezza.
3. Selezione del team
Solitamente, il test viene condotto da un team di esperti, ognuno con le proprie aree di competenza.
4. Stabilire le condizioni di esecuzione
I test dovrebbero sempre essere eseguiti in condizioni che assomiglino il più possibile al mondo reale, per poter ottenere i risultati più realistici possibili. Tuttavia, ci sono delle eccezioni per motivi di praticità. Per esempio, alcuni penetration tester potrebbero chiedere di aprire determinate porte firewall o disabilitare misure di sicurezza. Oppure, trovano utile lanciare l’attacco dall’interno dell’organizzazione, per potere monitorare in tempo reale le conseguenze dell’attacco e vedere come reagiscono le operazioni aziendali interessate.
5. Scelta degli strumenti di attacco
La metodologia di attacco dipende dalla tipologia di test richiesta e dalle capacità del penetration tester.
Rivolgiti agli esperti di penetration test
IT Governance mette a disposizione il suo team di penetration tester e di esperti di sicurezza per eseguire i test che più si adattano alle esigenze e al budget della tua organizzazione.
Leggi le nostre pagine informative per saperne di più, scarica la guida gratuita sui penetration test per maggiori informazioni oppure parla con un esperto, è a tua disposizione per qualsiasi domanda o dubbio.
 |
 |
 |
