Questo sito utilizza i cookie. Visualizza la nostra informativa sui cookie
Chiudere

Penetration test

Cosa si intende per penetration testing?

Il penetration testing è un processo sistematico di ricerca delle vulnerabilità presenti nelle applicazioni e nelle reti della tua organizzazione. È essenzialmente una forma di pirateria informatica controllata (o hacking) in cui gli hacker operano per conto della tua azienda per trovare i punti deboli nella sua struttura di sicurezza che potrebbero essere sfruttati dai criminali.

Un penetration test prevede l’analisi dei sistemi di sicurezza della tua azienda alla ricerca di potenziali punti deboli che potrebbero derivare da una configurazione scarsa o impropria del sistema, da difetti nell’hardware o nel software, e da lacune operative nelle contromisure tecniche o procedurali.

Un esperto di penetration test (o penetration tester) è in grado di imitare e riprodurre le tecniche di attacco usate dagli hacker, senza però causare danni alla tua azienda. Questi test solitamente vengono effettuati fuori dall’orario di lavoro o quando le reti e le applicazioni sono meno utilizzate, riducendo al minimo l’impatto sulle operazioni quotidiane.

Per maggiori informazioni sui nostri penetration test, parla con uno dei nostri esperti.

Parla con un esperto


Nessuna organizzazione è immune agli attacchi informatici

Non proteggere i tuoi sistemi significa lasciarli esposti a possibili attacchi da parte di hacker, causando danni all’operatività e alla reputazione della tua azienda, nonché a multe per la violazione dei dati che avresti dovuto tenere al sicuro.


Perché effettuare un penetration test?

Un’organizzazione dovrebbe effettuare penetration test o test di sicurezza:

  • In risposta alle conseguenze vissute da un’organizzazione simile in seguito ad una violazione o attaco;
  • Per rispettare una normativa o uno standard, come PCI DSS (Payment Card Industry Data Security Standard) o il GDPR (Regolamento generale sulla protezione dei dati);
  • Per garantire la sicurezza di nuove applicazioni o in caso di cambiamenti significativi ai processi aziendali;
  • Per gestire i rischi legati all’utilizzo di molti servizi esternalizzati (outsourcing) in vari ambiti; e
  • Per valutare il rischio di compromissione di informazioni o sistemi critici all’operatività aziendale.

“Secondo il 2017 Verizon Data Breach Investigations Report (DBIR), il 61% delle vittime di una violazione dei dati sono imprese con meno di 1000 dipendenti.”


I diversi tipi di penetration test

Esistono diversi tipi di penetration test o test di sicurezza, ognuno dei quali è incentrato su un particolare aspetto del perimetro logico di un’azienda.

Penetration test della rete esterna (infrastruttura)

Obiettivi

L’obiettivo di un penetration test della rete esterna è identificare le vulnerabilità presenti nel modo in cui un’organizzazione si connette a Internet e ad altri sistemi esterni. Ciò include server, host, dispositivi e servizi di rete. Se le interfacce di un’organizzazione non sono progettate correttamente, gli hacker saranno in grado di entrare nella rete senza problemi.

Problemi comuni

  • Sistemi operativi, applicazioni o sistemi di gestione dei server privi di patch;
  • Software, firewall e sistemi operativi configurati in modo errato;
  • Protocolli di rete non utilizzati o non sicuri.

Penetration test della rete interna

Obiettivi

L’obiettivo di un penetration test della rete interna è determinare le vulnerabilità presenti che permetterebbero l’accesso sia ad utenti autorizzati che non autorizzati. La rete sarà analizzata in modo critico sia per il potenziale di sfruttamento da parte di un utente interno, sia da parte di un attacco non autorizzato.

Problemi comuni

  • Password deboli o predefinite
  • Privilegi di accesso non appropriati
  • Problemi di controllo dell’accesso / perdita di informazioni
  • Sistemi senza patch
  • Postazioni di lavoro non protette
  • Vulnerabilità delle applicazioni intranet

Penetration test delle applicazioni web

Obiettivi

L’obiettivo del penetration test delle applicazioni web è identificare i problemi di sicurezza che derivano da pratiche non sicure nella progettazione, nella codifica e nella pubblicazione di un software o sito web. Le applicazioni sono una parte fondamentale dell’operatività dell’organizzazione, poiché gestiscono i pagamenti elettronici, i dati personali degli utenti e dei dipendenti e molto altro.

Problemi comuni

  • Rischio di injection (la mancanza di una convalida del software consente agli hacker di controllare il browser dell’utente)
  • Abuso dei privilegi degli utenti
  • Cross-site scripting

Penetration test della rete wirless

Obiettivi

L’obiettivo del penetration test della rete wireless è quello di rilevare i punti di accesso e i dispositivi non autorizzati che fanno parte dell’ambiente protetto dell’organizzazione.

Problemi comuni

  • Punti di accesso aperti o violati
  • Reti wireless configurate in modo errato o duplicate accidentalmente
  • Standard di crittografia wireless non sicuri, come WEP (Wired Equivalent Privacy)

Simulazione attacco di phishing

Obiettivi

L’obiettivo della simulazione di un attacco di phishing è quello di valutare la propensione del personale dell’azienda alla violazione delle regole di sicurezza o al dare accesso alle informazioni sensibili.

Problemi comuni

  • Suscettibilità alle e-mail di phishing
  • Disponibilità a dare accesso a informazioni sensibili a sconosciuti
  • Disponibilità a dare l’accesso a documenti classificati come riservati

Cosa troverò nel mio report finale sul penetration test effettuato?

Un penetration test effettuato da IT Governance identifica, in media, 3 osservazioni a livello di rischio critico, 8 a rischio alto, 43 a rischio medio e 11 a basso rischio. 

Livello di rischio

Critico

Descrizione

L’hacker potrebbe ottenere il pieno controllo del sistema o dell’applicazione usando metodi di attacco noti, rendendoli inutilizzabili o inaccessibili agli utenti autorizzati.

Quantità di osservazioni

3

 

Alto

L’hacker potrebbe ottenere il pieno controllo del sistema o dell’applicazione, rendendoli inutilizzabili o inaccessibili agli utenti autorizzati.

8

 

Medio

L’hacker potrebbe ottenere un certo livello di controllo o accedere ai dati conservati nel sistema.

43

 

Basso

L’hacker potrebbe ottenere informazioni sui tuoi sistemi, che potrebbero essere utilizzate per facilitare l’accesso agli stessi.

11


Scarica gratis: Sicurezza garantita – migliora la tua sicurezza con il penetration testing

Questo libro verde gratuito ti mostrerà come mantenere la tua attività al sicuro dagli attacchi informatici grazie al penetration testing.

Scopri:

  • Cosa si intende per penetration testing;
  • Come funziona un penetration test;
  • I tipi di vulnerabilità che possono persistere per mesi senza essere scoperti;
  • Perché il penetration test è la soluzione migliore per scoprire i punti deboli della sicurezza della tua azienda;
  • La differenza tra penetration test delle rete e penetration test delle applicazioni web.

Scarica


Scopri la nostra gamma di penetration test

I penetration test di IT Governance sono stati pensati per adattarsi alle esigenze, al budget e al valore dato agli asset della tua azienda. I nostri penetration test di livello 1 sono adatti per le organizzazioni che desiderano identificare le vulnerabilità comuni, sfruttabili tramite strumenti di attacco automatizzati e facilmente accessibili.

Per coloro che hanno obiettivi più complessi o che richiedono un’analisi più dettagliata degli ambienti sensibili dell’azienda, il nostro team di penetration tester ed esperti di sicurezza può fornire un ulteriore aiuto. Contattaci per discutere delle tue esigenze particolari.

Penetration test


Parla con un esperto

Contattaci per avere maggiori informazioni sui penetration test di IT Governance o per parlare con un nostro esperto delle esigenze specifiche della tua organizzazione.