Penetration Testing

Tutto quello che hai sempre voluto sapere e che nessuno ti ha mai spiegato

Il Penetration Test è il servizio cyber security più richiesto dalle aziende italiane. Siete sicuri di conoscerlo?

Oggi, andiamo dritti al punto: questa distorsione cognitiva è alimentata da scarsa conoscenza e da preconcetti. Ed è esattamente per questo motivo che oggi, senza troppi giri di parole, parliamo di Penetration Testing e di prevenzione informatica, sana e onesta.

“Tutto quello che è al di fuori di te ti può essere sottratto, in ogni momento”
Ed è esattamente quello che cercheremo di dimostrare attraverso un Penetration Testing.

Non è un segreto che la maggior parte degli articoli sul Pentest siano focalizzati esclusivamente su che cos’è un penetration testing, come si esegue un penetration testing e perché fare un penetration test.

Invece, siamo sicuri che qui troverai l’articolo rapido e semplice per capire perché un Penetration Testing è davvero in grado di rivoluzionare la tua azienda

Penetration Testing: indice degli argomenti

In questo articolo tratteremo diversi aspetti legati all’argomento Penetration Test per l’azienda. Inoltre, tutte le sezioni dell’articolo avranno un elemento in comune: trasparenza e semplicità.

Non vogliamo tediarvi con termini tecnici e articoli accademici pertanto, ecco a te l’indice del primo articolo sul pentest per l’imprenditore.

  • Pentest: di che cosa parliamo?
  • Penetration test, il falso mito
  • Su quali sistemi informatici è possibile effettuare il Penetration Testing
  • Quanto può durare un Penetration Test
  • Pen Tester: chi sono?
  • Costi dell’attività di pentest
  • Benefici e opportunità commerciali di un Penetration Testing
  • Penetration Test di Onorato Informatica – certificato ISO 27001

Pentest o Penetration Test

di cosa stiamo parlando e perché tanta confusione

Per evitare fraintendimenti, chiariamo il significato di Penetration Testing: il termine indica un vero e proprio attacco informatico controllato ad un sistema aziendale.

Non parliamo di un attacco informatico che crea danni e sottrae dati: non viene fatto l’intenzione di delinquere. Al contrario, un Penetration Testing è un attacco informatico commissionato dall’azienda proprietaria del sistema.

Normalmente un Pentest, affinché sia utile al 100%, viene richiesto con una clausola (ovvero la tecnica Red-Team).

Grazie a questa clausola, nessuno all’interno dell’azienda sa come e quando avverrà l’attacco: nemmeno i responsabili informatici dell’azienda ne sono a conoscenza.

Questo sistema, condivisibile o no, permette all’azienda di confrontarsi con tempi, effetti e azioni di un vero e proprio attacco informatico; 

Perché l’azienda dovrebbe auto-commissionarsi un attacco informatico?

Detta in questi termini può sembrare fuorviante, eppure è esattamente così.

Un PenTest serve all’azienda che desidera conoscere il punto più vulnerabile di un sistema informatico e in che modo un hacker può sfruttarlo per attaccarlo.

Pentest: il falso mito

Tutti ne parlano, pochi lo conoscono

Il termine Penetration Test è sulla bocca di tutti. Viene considerato da molti: il test cyber security più conosciuto e richiesto al mondo.

Il primo vero Penetration Test viene ordinato nel 1971.

Oggi, richiedere un Penetration Testing richiede consapevolezza da pare del cliente e soprattutto del fornitore. Ecco perché sfatiamo anche un falso mito attorno all’attività di Pentest.

Penetration Test NON vuol dire Vulnerability Assessment

Spesso e volentieri ci viene chiesto di effettuare Penetration Test per identificare le vulnerabilità di un sistema informatico, di applicazioni o siti web.

Ecco, il punto è esattamente questo.

Il Pentest ha uno scopo ben preciso: trovare una e una sola vulnerabilità in un sistema e sfruttarla per un attacco informatico mirato. Se siete interessati a scoprire tutte le vulnerabilità presenti, state cercando un Vulnerability Assessment.

Un consiglio per tutti coloro che sono alla ricerca del giusto test cyber security per la propria azienda. Prima di partire chiedetevi sempre, che cosa volete sapere dal vostro sistema informatico: quante e quali vulnerabilità sono presenti? o piuttosto, in che modo un hacker può sfruttare una vulnerabilità per entrare nei miei sistemi?

Se desideri saperne di più sulla differenza tra Penetration Testing vs Vulnerability Assessment, leggi il nostro articolo cliccando qui.

pentest mantova parma

Penetration Test: dove si effettua

Generalmente i Penetration Testing vengono effettuati su tutto il sistema informatico aziendale. Tuttavia, Un Pen Test può essere effettuato anche su una porzione di sistema specifica:

  • Un software web già sviluppato;
  • Router, firewall o server;
  • Un sito web;
  • Sul sistema VoIP aziendale;
  • Sulla rete aziendale;

Chiaramente, in funzione alle risorse e al tempo che il test impegna, le aziende che hanno davvero bisogno lo richiedono su tutto il perimetro informatico aziendale.

Quanto può durare un Penetration Test

La risposta esatta è: dipende.

Chiunque vi dia una risposta diversa non vi sta proponendo una vera e propria attività di Penetration Test.

E ora vi dimostriamo il perché.

Abbiamo più e più volte ribadito il concetto che Penetration Test significa attacco informatico controllato con l’obiettivo di riuscire a bucare un sistema informatico.

Fatta questa premessa, vi diremo anche che il tempo necessario per raggiungere questo scopo è altalenante. Possono volerci giorni, settimane e persino un paio di mesi se il vostro sistema informatico è particolarmente difficile da violare.

Il nostro obiettivo è pensare e agire come un vero hacker

Provare tutti gli attacchi possibili fino a quando si riesce a trovare il tallone d’Achille che ci permette di entrare e concludere il test. Per questo motivo sappiate che il nostro scopo è mettere sotto torchio la vostra rete: servirà il tempo necessario per provarlo.

Chi sono i Pen tester?

I Pen Tester sono le star.

Membri del nostro team SOC, esperti informatici specializzati in attività di Penetration Test e Vulnerability Assessment. Spesso vengono definiti ethical hacker o hacker buoni: sono le figure essenziali senza le quali non potremmo effettuare i test.

In altre parole questi tecnici conoscono e utilizzano gli stessi metodi di un hacker, ma allo scopo di proteggere le aziende. Inoltre, la vera abilità di un Penetration Tester sta nell’utilizzo di metodi non convenzionali per attaccare i sistemi informatici. Come ad esempio violare la rete aziendale, attaccando il computer del figlio del CEO.

Normalmente un esperto di sicurezza informatica diventa Pen tester dopo 3-8 anni di esperienza cyber security. I Pen Tester di Onorato Informatica praticano sicurezza informatica da più di 10 anni.

vulnerability assessment penetration test differenze somiglianze

Costi dell’attività di Pentest

L’attività di Penetration Test è costosa. Questo test è uno dei servizi più costosi previsti dalla nostra azienda.

Vogliamo essere sinceri con voi.

Esistono diverse variabili che incidono sul costo di un Pen Test.

  • Dimensioni e complessità rete: il prezzo di un test ben fatto varia in base alla complessità dell’infrastruttura informatica del cliente. Più la rete aziendale è complessa e ben protetta, più il test richiederà tecnologie e competenze di nicchia per raggiungere l’obiettivo.
  • Tempo (ore uomo): l’attività di PenTest viene definita time-consuming. Gli esperti del nostro staff vengono impiegati solo ed esclusivamente per condurre quest’analisi. Pertanto, più la tua azienda si dimostrerà difficile da hackerare, maggiore sarà il tempo necessario.
  • In loco (ore uomo fuori sede): l’attività di PenTest si svolge quasi totalmente al di fuori della nostra sede; pertanto in base agli spostamenti che il nostro staff preposto dovrà effettuare, maggiore sarà l’oscillazione del costo.

Per parlare di cifre, abbiamo bisogno di qualche informazione in più sul vostro sistema informatico. Se siete interessati, cliccate qui.

Penetration Testing: tra benefici e opportunità

Ottimizzare le risorse in azienda e ridurre i costi

Dietro un attività di Penetration Test esistono dei motivi oggettivi:

  • Certificazione ISO 27001: il pen Test rappresenta insieme al Vulnerability Assessment una valutazione necessaria e obbligatoria.
  • Per aziende che desiderano valutare l’efficacia della loro cyber security interna: le grandi aziende implementano soluzioni cyber security altamente strutturate e complesse. Per comprendere se il sistema è correttamente protetto, occorre eseguire un Pen Test.
  • Dare priorità ai rischi: quali vulnerabilità vanno assolutamente risolte? A volte un Vulnerability assessment non è sufficiente. Nei casi di aziende frammentate e con complesse configurazioni di rete si rende necessario un Penetration testing attack.
  • Permette di valutare i danni potenziali di un attacco informatico
  • Strumento di leva commerciale: la sicurezza certificata dal Penetration Test è un ottima leva decisionale da esporre ai propri clienti. Un elemento distintivo che dimostra che la vostra azienda è unica, protetta e professionale.

Pentest, conclusioni

Al termine del test, Onorato Informatica ti consegna il libretto del Pentest.

Al termine dei test Onorato Informatica rilascia un report, un libretto con i risultati ottenuti dalla vostra azienda. Questo materiale sarà utile ai vostri tecnici per porre rimedio alla vulnerabilità. Mentre per l’imprenditore, sarà possibile pianificare un incontro di persona con il nostro staff per discutere delle problematiche rilevate.

Pentest Onorato Informatica: oggetto dell’ISO 27001

Onorato Informatica è certificata ISO 27001 e ISO 9001 e ha inserito nell’oggetto della certificazione l’attività di Penetration Test.

La nostra azienda collabora quotidianamente con pen tester qualificati e certificati, con esperienza di settore di almeno 10 anni. Ricordate sempre che l’attività di Penetration Testing non è automatica, per la buona riuscita dell’attacco sono fondamentali le capacità e le iniziative della persona.

iso27001 certificazione onorato informatica azienda mantova
iso 27001 penetration test

Onorato Informatica Pentest

Se dopo essere arrivato a fine articolo hai ancora dubbi e perplessità sul servizio di Penetration Test, contattaci.

CONTATTACI