penetration test iso 27001 mantova

Penetration Testing

Tutte le verità che hai sempre voluto sapere e che nessuno ti ha mai svelato

Il Penetration Test è il servizio cyber security più richiesto dalle aziende italiane. Siete sicuri di conoscerlo?

Finalmente ci siamo. Ecco il nostro primo e consistente articolo su un tema che ci sta molto a cuore.
Oggi, andiamo dritti al punto: parleremo insieme di test di sicurezza informatica e nello specifico di Penetration Test.
Da anni, questo argomento viene sottoposto a ogni genere di distorsione cognitiva continuamente alimentata da scarsa conoscenza e da preconcetti.

Per questo motivo oggi, senza troppi giri di parole, parliamo di Penetration Testing e di prevenzione informatica, sana e onesta.

“Tutto quello che è al di fuori di te ti può essere sottratto, in ogni momento”

esattamente quello che cercheremo di dimostrarvi

Non è un segreto che la maggior parte degli articoli (ormai pochi) sul Pentest siano focalizzati esclusivamente su che cos’è un penetration testing, come si esegue e perché fare un penetration test.

Al contrario noi vorremmo scavare più a fondo. Affrontare passo dopo passo tutti i punti salienti e i dubbi che sorgono nella mente di un imprenditore che si sente dire dal proprio IT Manager: Dobbiamo far fare un Penetration Test!

Siamo sicuri che qui troverai l’articolo completo, al termine del quale potrai dirti consapevole di quello che stai per acquistare per il bene del tuo business.

Penetration Testing: indice degli argomenti

In questo articolo tratteremo diversi aspetti legati all’argomento Penetration Test per l’azienda. Inoltre, tutte le sezioni dell’articolo avranno un elemento in comune: trasparenza e semplicità.

Non vogliamo tediarvi con termini tecnici e articoli accademici pertanto, ecco a te l’indice del primo articolo sul pentest per l’imprenditore.

pentest mantova onorato informatica

Penetration Testing cos’è

Guida completa ma semplice al Pentest

Per evitare fraintendimenti, chiariamo il significato di Penetration Testing: il termine indica un vero e proprio attacco informatico controllato ad un sistema aziendale.

Non parliamo di un attacco informatico che crea danni e sottrae dati: non viene fatto l’intenzione di delinquere. Al contrario, un Penetration Testing è un attacco informatico commissionato dall’azienda proprietaria del sistema.

Normalmente un Pentest, affinché sia utile al 100%, viene richiesto con una clausola (ovvero la tecnica Red-Team).

Grazie a questa clausola, nessuno all’interno dell’azienda sa come e quando avverrà l’attacco: nemmeno i responsabili informatici dell’azienda ne sono a conoscenza.

Questo sistema, condivisibile o no, permette all’azienda di confrontarsi con tempi, effetti e azioni di un vero e proprio attacco informatico; 

Pentest: a che cosa serve?

L’utilità di un pentest è presto detta. Le aziende che richiedono un penetration test nella stragrande maggioranza dei casi vogliono verificare la presenza di pericoli nel proprio sistema informatico. Nello specifico, il test informatico rileva la vulnerabilità più pericolosa sfruttabile dagli hacker.

Nello specifico una vulnerabilità rilevata può rientrare elle seguenti categorie:

  • bug software
  • configurazioni errare
  • porte e servizi aperti

Perché l’azienda dovrebbe auto-commissionarsi un attacco informatico?

Onorato Informatica
Servizio Penetration Test professionale

Vuoi richiedere il servizio di Penetration Testing per la tua azienda?
Contatta Onorato Informatica per un preventivo

CONTATTACI

Detta in questi termini può sembrare fuorviante, eppure è esattamente così.

Un PenTest serve all’azienda che desidera conoscere il punto più vulnerabile di un sistema informatico e in che modo un hacker può sfruttarlo per attaccarlo.

Pentest: il falso mito

Tutti ne parlano, pochi lo conoscono

Il termine Penetration Test è sulla bocca di tutti. Viene considerato da molti: il test cyber security più conosciuto e richiesto al mondo.

Il primo vero Penetration Test viene ordinato nel 1971.

Oggi, richiedere un Penetration Testing richiede consapevolezza da pare del cliente e soprattutto del fornitore. Ecco perché sfatiamo anche un falso mito attorno all’attività di Pentest.

Differenze tra Vulnerability Assessment e Penetration Test

Confronto tra le attività di Vulnerability Assessment e Penetration Test

Spesso e volentieri ci viene chiesto di effettuare Penetration Test per identificare le vulnerabilità di un sistema informatico, di applicazioni o siti web.

Ecco, il punto è esattamente questo.

Il Pentest ha uno scopo ben preciso: trovare una e una sola vulnerabilità in un sistema e sfruttarla per un attacco informatico mirato. Se siete interessati a scoprire tutte le vulnerabilità presenti, state cercando un Vulnerability Assessment.

Un consiglio per tutti coloro che sono alla ricerca del giusto test cyber security per la propria azienda. Prima di partire chiedetevi sempre, che cosa volete sapere dal vostro sistema informatico: quante e quali vulnerabilità sono presenti? o piuttosto, in che modo un hacker può sfruttare una vulnerabilità per entrare nei miei sistemi?

Se desideri saperne di più sulla differenza tra Penetration Testing vs Vulnerability Assessment, leggi il nostro articolo cliccando qui.

Penetration Test NON vuol dire Vulnerability Assessment

pentest mantova parma

Penetration Test: dove si effettua

Generalmente i Penetration Testing vengono effettuati su tutto il sistema informatico aziendale. Tuttavia, Un Pen Test può essere effettuato anche su una porzione di sistema specifica:

  • Un software web già sviluppato;
  • Router, firewall o server;
  • Un sito web;
  • Sul sistema VoIP aziendale;
  • Sulla rete aziendale;

Chiaramente, in funzione alle risorse e al tempo che il test impegna, le aziende che hanno davvero bisogno lo richiedono su tutto il perimetro informatico aziendale.

Quanto può durare un Penetration Test

La risposta esatta è: dipende.

Chiunque vi dia una risposta diversa non vi sta proponendo una vera e propria attività di Penetration Test.

E ora vi dimostriamo il perché.

Abbiamo più e più volte ribadito il concetto che Penetration Test significa attacco informatico controllato con l’obiettivo di riuscire a bucare un sistema informatico.

Fatta questa premessa, vi diremo anche che il tempo necessario per raggiungere questo scopo è altalenante. Possono volerci giorni, settimane e persino un paio di mesi se il vostro sistema informatico è particolarmente difficile da violare.

Il nostro obiettivo è pensare e agire come un vero hacker

Provare tutti gli attacchi possibili fino a quando si riesce a trovare il tallone d’Achille che ci permette di entrare e concludere il test. Per questo motivo sappiate che il nostro scopo è mettere sotto torchio la vostra rete: servirà il tempo necessario per provarlo.

Chi sono i Pen tester?

Pen tester o Ethical hacker: capire qual è il profilo ideale

I Penetration Tester sono le star!

Membri del nostro team SOC, esperti informatici specializzati in attività di Penetration Test e Vulnerability Assessment. Spesso vengono definiti ethical hacker o hacker buoni: sono le figure essenziali senza le quali non potremmo effettuare i test.

In altre parole questi tecnici conoscono e utilizzano gli stessi metodi di un hacker, ma allo scopo di proteggere le aziende. Inoltre, la vera abilità di un Penetration Tester sta nell’utilizzo di metodi non convenzionali per attaccare i sistemi informatici. Come ad esempio violare la rete aziendale, attaccando il computer del figlio del CEO.

Normalmente un esperto di sicurezza informatica diventa Pen tester dopo 3-8 anni di esperienza cyber security. I Pen Tester di Onorato Informatica praticano sicurezza informatica da più di 10 anni.

vulnerability assessment penetration test differenze somiglianze

Costi dell’attività di Pentest

L’attività di Penetration Test è costosa. Questo test è uno dei servizi più costosi previsti dalla nostra azienda.

Vogliamo essere sinceri con voi.

Esistono diverse variabili che incidono sul costo di un Pen Test.

  • Dimensioni e complessità rete: il prezzo di un test ben fatto varia in base alla complessità dell’infrastruttura informatica del cliente. Più la rete aziendale è complessa e ben protetta, più il test richiederà tecnologie e competenze di nicchia per raggiungere l’obiettivo.
  • Tempo (ore uomo): l’attività di PenTest viene definita time-consuming. Gli esperti del nostro staff vengono impiegati solo ed esclusivamente per condurre quest’analisi. Pertanto, più la tua azienda si dimostrerà difficile da hackerare, maggiore sarà il tempo necessario.
  • In loco (ore uomo fuori sede): l’attività di PenTest si svolge quasi totalmente al di fuori della nostra sede; pertanto in base agli spostamenti che il nostro staff preposto dovrà effettuare, maggiore sarà l’oscillazione del costo.

Per parlare di cifre, abbiamo bisogno di qualche informazione in più sul vostro sistema informatico. Se siete interessati, cliccate qui.

Penetration Testing: benefici e opportunità

Obiettivo finale: ottimizzare le risorse e ridurre i costi

Dietro un attività di Penetration Test esistono dei motivi oggettivi:

  • Certificazione ISO 27001: il pen Test rappresenta insieme al Vulnerability Assessment una valutazione necessaria e obbligatoria.
  • Per aziende che desiderano valutare l’efficacia della loro cyber security interna: le grandi aziende implementano soluzioni cyber security altamente strutturate e complesse. Per comprendere se il sistema è correttamente protetto, occorre eseguire un Pen Test.
  • Dare priorità ai rischi: quali vulnerabilità vanno assolutamente risolte? A volte un Vulnerability assessment non è sufficiente. Nei casi di aziende frammentate e con complesse configurazioni di rete si rende necessario un Penetration testing attack.
  • Permette di valutare i danni potenziali di un attacco informatico
  • Strumento di leva commerciale: la sicurezza certificata dal Penetration Test è un ottima leva decisionale da esporre ai propri clienti. Un elemento distintivo che dimostra che la vostra azienda è unica, protetta e professionale.

Pentest, conclusioni

Al termine del test, Onorato Informatica ti consegna il libretto del Pentest.

Al termine dei test Onorato Informatica rilascia un report, un libretto con i risultati ottenuti dalla vostra azienda. Questo materiale sarà utile ai vostri tecnici per porre rimedio alla vulnerabilità. Mentre per l’imprenditore, sarà possibile pianificare un incontro di persona con il nostro staff per discutere delle problematiche rilevate.

Pentest Onorato Informatica: nell’oggetto di ISO 27001 e ISO 9001

Onorato Informatica è certificata ISO 27001 e ISO 9001 e ha inserito nell’oggetto della certificazione l’attività di Penetration Test.

La nostra azienda collabora quotidianamente con penetration tester qualificati e certificati, con esperienza di settore di almeno 10 anni. Ricordate sempre che l’attività di Penetration Testing non è automatica. Non bastano i penetration test tool automatici. Al contrario, per la buona riuscita dell’attacco sono fondamentali le capacità e le iniziative della persona.

iso27001 onorato informatica mantova 2021
iso 27001 penetration test

Onorato Informatica – servizio Pentest

Hai finalmente concluso il nostro articolo su Tutte le verità step by step del Penetration Test. Se hai ancora qualche dubbio, contattaci.

CONTATTACI