Pentest, verità step by step sul test più famoso

Finalmente ci siamo.

Ecco il nostro primo articolo su un tema che ci sta molto a cuore.
Oggi, andiamo dritti al punto: parleremo insieme di test di sicurezza informatica e nello specifico di Penetration Test.
Da anni, questo argomento viene sottoposto a ogni genere di distorsione cognitiva continuamente alimentata da scarsa conoscenza e da preconcetti.

Per questo motivo oggi, senza troppi giri di parole, parliamo di Penetration Testing e di prevenzione informatica, sana e onesta.
Proveremo a spiegarvi il significato del termine partendo da una citazione:

Ed esattamente quello che cercheremo di dimostrarvi oggi.
Non è un segreto che la maggior parte degli articoli sul Penetration Test (o pentest) siano focalizzati esclusivamente su che cos’è un penetration testing, come si esegue e perché fare un penetration test.

Al contrario noi vorremmo scavare più a fondo.
Affrontare passo dopo passo tutti i punti salienti e dipanare tutti i dubbi che sorgono nella mente di un imprenditore che si sente dire dal proprio IT Manager:

Dobbiamo far fare un Penetration Test!

Siamo sicuri che qui troverai l’articolo completo, al termine del quale potrai dirti consapevole di quello che stai per acquistare per il bene del tuo business.

In questo articolo tratteremo diversi aspetti legati all’argomento Penetration Test. Inoltre, tutte le sezioni avranno un elemento in comune: massima trasparenza e semplicità.

Non vogliamo tediarvi con termini tecnici e articoli accademici pertanto, ecco a te l’indice del primo articolo sul pentest per l’imprenditore.

• Penetration testing cos’è

• A cosa serve un Pentest?

• Differenze tra Vulnerability Assessment e Penetration Test

• Dove effettuare il Penetration Testing

• Quanto può durare un Penetration Test

• Pen Tester: chi sono?

• Pentest costo

• Benefici e opportunità commerciali di un Penetration Testing

• Penetration Test di Onorato Informatica

Per evitare fraintendimenti, chiariamo il significato di Penetration Testing: il termine indica un vero e proprio attacco informatico controllato ad un sistema informatico o ad un’infrastruttura web. Parliamo di un vero e proprio attacco che quindi può involontariamente creare danni all’infrastruttura e dimostrare di poter sottrarre dati.

Ma se un Penetration Test rischia di causare danni al mio sistema informatico per quale motivo farlo?
Un passo alla vota, in primis, il test non viene fatto l’intenzione di delinquere. Al contrario, un Penetration Testing è un attacco informatico commissionato dall’azienda proprietaria del sistema e i suoi effetti collaterali sono contenuti e controllati da un team di esperti.

Normalmente un Pentest, affinché sia utile al 100%, viene richiesto con una clausola (ovvero la tecnica Red-Team).

Grazie a questa clausola, nessuno all’interno dell’azienda sa come e quando avverrà l’attacco: nemmeno i responsabili informatici dell’azienda ne sono a conoscenza. Questo sistema, condivisibile o no, permette all’azienda di confrontarsi con tempi di risposta, effetti e azioni di un vero e proprio attacco informatico;

L’utilità di un pentest è presto detta. Le aziende che richiedono un penetration test nella stragrande maggioranza dei casi vogliono verificare la presenza di pericoli nel proprio sistema informatico. Nello specifico, il test informatico rileva la vulnerabilità più pericolosa sfruttabile dagli hacker.

Effettuare un Penetration Test è obbligatorio per alcuni tipologie di aziende:

• coloro che desiderano quotarsi in borsa;
• coloro i quali sono legati da condizioni commerciali particolari ad alcuni fornitori o clienti;

Nello specifico una vulnerabilità rilevata tramite il test e che viene poi sfruttata per condurre l’attacco può rientrare nelle seguenti categorie:

• bug software
• configurazioni errare
• porte e servizi aperti
• errore umano

Detta in questi termini può sembrare fuorviante, eppure è esattamente così.

Un PenTest serve all’azienda che desidera conoscere il punto più vulnerabile di un sistema informatico e in che modo un hacker può sfruttarlo per attaccarlo.

Il termine Penetration Test è sulla bocca di tutti. Viene considerato da molti: il test cyber security più conosciuto e richiesto al mondo.

Il primo vero Penetration Test viene ordinato nel 1971.

Oggi, richiedere un Penetration Testing richiede consapevolezza da pare del cliente e soprattutto del fornitore. Ecco perché sfatiamo anche un falso mito attorno all’attività di Pentest.

Spesso e volentieri ci viene chiesto di effettuare Penetration Test per identificare le vulnerabilità di un sistema informatico, di applicazioni o siti web.

Ecco, il punto è esattamente questo.

Il Pentest ha uno scopo ben preciso: trovare una e una sola vulnerabilità in un sistema e sfruttarla per un attacco informatico mirato. Se siete interessati a scoprire tutte le vulnerabilità presenti, state cercando un Vulnerability Assessment.

Un consiglio per tutti coloro che sono alla ricerca del giusto test cyber security per la propria azienda. Prima di partire chiedetevi sempre, che cosa volete sapere dal vostro sistema informatico: quante e quali vulnerabilità sono presenti? o piuttosto, in che modo un hacker può sfruttare una vulnerabilità per entrare nei miei sistemi?

Se desideri saperne di più sulla differenza tra Penetration Testing vs Vulnerability Assessment, leggi il nostro articolo cliccando qui.

Generalmente i Penetration Test vengono effettuati su tutto il sistema informatico aziendale. Tuttavia, un pen test può essere effettuato anche su una porzione di sistema specifica:

• Un software web già sviluppato;
• Router, firewall o server;
• Un sito web;
• Sul sistema VoIP aziendale;
• Sulla rete aziendale;

Chiaramente, in funzione alle risorse e al tempo che il test impegna, le aziende che hanno davvero bisogno lo richiedono su tutto il perimetro informatico aziendale.

La risposta esatta è: dipende.

Chiunque vi dia una risposta diversa non vi sta proponendo una vera e propria attività di Penetration Test.

E ora vi dimostriamo il perché.

Abbiamo più e più volte ribadito il concetto che Penetration Test significa attacco informatico controllato con l’obiettivo di riuscire a bucare un sistema informatico.

Fatta questa premessa, vi diremo anche che il tempo necessario per raggiungere questo scopo è altalenante. Possono volerci giorni, settimane e persino un paio di mesi se il vostro sistema informatico è particolarmente difficile da violare.

Il nostro obiettivo è pensare e agire come un vero hacker

Provare tutti gli attacchi possibili fino a quando si riesce a trovare il tallone d’Achille che ci permette di entrare e concludere il test. Per questo motivo sappiate che il nostro scopo è mettere sotto torchio la vostra rete: servirà il tempo necessario per provarlo.

I Penetration Tester sono le star!

Membri del nostro team SOC, esperti informatici specializzati in attività di Penetration Test e Vulnerability Assessment. Spesso vengono definiti ethical hacker o hacker buoni: sono le figure essenziali senza le quali non potremmo effettuare i test.

In altre parole questi tecnici conoscono e utilizzano gli stessi metodi di un hacker, ma allo scopo di proteggere le aziende. Inoltre, la vera abilità di un Penetration Tester sta nell’utilizzo di metodi non convenzionali per attaccare i sistemi informatici. Come ad esempio violare la rete aziendale, attaccando il computer del figlio del CEO.

Normalmente un esperto di sicurezza informatica diventa Pen tester dopo 3-8 anni di esperienza cyber security. I Pen Tester di Onorato Informatica praticano sicurezza informatica da più di 10 anni.

L’attività di Penetration Test è costosa. Questo test è uno dei servizi più costosi previsti dalla nostra azienda.

Vogliamo essere sinceri con voi.

Esistono diverse variabili che incidono sul costo di un Pen Test.

Dietro un attività di Penetration Test esistono dei motivi oggettivi:

• Certificazione ISO 27001: il pen Test rappresenta insieme al Vulnerability Assessment una valutazione necessaria e obbligatoria.

• Per aziende che desiderano valutare l’efficacia della loro cyber security interna: le grandi aziende implementano soluzioni cyber security altamente strutturate e complesse. Per comprendere se il sistema è correttamente protetto, occorre eseguire un Pen Test.

• Dare priorità ai rischi: quali vulnerabilità vanno assolutamente risolte? A volte un Vulnerability assessment non è sufficiente. Nei casi di aziende frammentate e con complesse configurazioni di rete si rende necessario un Penetration testing attack.

• Permette di valutare i danni potenziali di un attacco informatico

• Strumento di leva commerciale: la sicurezza certificata dal Penetration Test è un ottima leva decisionale da esporre ai propri clienti. Un elemento distintivo che dimostra che la vostra azienda è unica, protetta e professionale.

Al termine dei test Onorato Informatica rilascia un report, un libretto con i risultati ottenuti dalla vostra azienda. Questo materiale sarà utile ai vostri tecnici per porre rimedio alla vulnerabilità. Mentre per l’imprenditore, sarà possibile pianificare un incontro di persona con il nostro staff per discutere delle problematiche rilevate.

Onorato Informatica è certificata ISO 27001 e ISO 9001 e ha inserito nell’oggetto della certificazione l’attività di Penetration Test.

La nostra azienda collabora quotidianamente con penetration tester qualificati e certificati, con esperienza di settore di almeno 10 anni. Ricordate sempre che l’attività di Penetration Testing non è automatica. Non bastano i penetration test tool automatici. Al contrario, per la buona riuscita dell’attacco sono fondamentali le capacità e le iniziative della persona.