Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Ancora una violazione di Sicurezza in AT&T. Esfiltrati i Registri delle Chiamate di Milioni di Utenti  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Parla Vanir Group! L’intervista di RHC agli ex affiliati di LockBit, Karakurt and Knight: “Assumete professionisti, non siate tirchi!”  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  CVE-2024-4577: La Vulnerabilità PHP Sfruttata entro 24 Ore dalla Sua Scoperta  ///    Scropri i corsi di Red Hot Cyber    ///  Palo Alto Networks Risolve Vulnerabilità Critiche di Sicurezza: Aggiornamenti per CVE-2024-5910 e BlastRADIUS  ///    Iscriviti al nostro canale Whatsapp    ///  Il Mondo Ha Bisogno di Nuovi Muri! Come la Sicurezza Nazionale Sta Cambiando il Panorama Geopolitico Globale  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  La National Security Agency degli Stati Uniti è stata violata? 325.498 nomi, email, numeri di telefono e indirizzi compromessi  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Meow Ransomware rivendica l’attacco nel suo Data Leak Site al colosso HPE  ///    Scropri i corsi di Red Hot Cyber    ///  Il Threat Actors 888 rivendicata una compromissione di Microsoft  ///    Iscriviti al nostro canale Whatsapp    ///  Il Threat Actors 888 rivendicata una compromissione di Nokia  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Due gravi vulnerabilità sono state rilevate su Citrix NetScaler Console, Agent e SVM  ///  
Crowdstrike

Cosa sono i penetration test, perché si fanno, chi li esegue e i benefici nelle organizzazioni

Redazione RHC : 15 Marzo 2023 10:28

I penetration test, o test di penetrazione, sono una pratica sempre più diffusa nell’ambito della sicurezza informatica. Si tratta di una simulazione reale di un attacco informatico, condotta da un team di esperti in sicurezza, al fine di identificare e valutare le vulnerabilità di un sistema informatico o di una rete.

In questo modo, si possono individuare delle possibili minacce e implementare le necessarie contromisure per proteggere il sistema dalle intrusioni esterne.

In questo articolo andremo ad approfondire i vari aspetti dei penetration test e dei suoi benefici, la differenza tra attività manuali ed automatizzate e l’integrazione nei processi di ICT Risk Management con l’obiettivo di comprendere appieno la loro importanza per garantire la sicurezza delle informazioni in un’era in cui la digitalizzazione è sempre più diffusa.

Cosa sono i penetration test e i suoi benefici

I penetration test sono fondamentali per garantire la sicurezza dei sistemi informatici e delle reti aziendali. La loro finalità principale è quella di individuare le vulnerabilità e le eventuali falle di sicurezza, simulando un attacco informatico reale. Questo permette di identificare i vettori di attacco e i punti deboli del sistema e di implementare le necessarie contromisure per prevenire eventuali intrusioni esterne.

I benefici dei penetration test sono molteplici. Innanzitutto, permettono di individuare le vulnerabilità del sistema prima che queste vengano sfruttate da attaccanti malintenzionati. Inoltre, aiutano a valutare l’efficacia delle attuali misure di sicurezza adottate dall’azienda e a identificare eventuali lacune nella loro applicazione. Questo permette di adottare le necessarie correzioni e di migliorare il livello di sicurezza complessivo.

Inoltre, i penetration test sono un’ottima occasione per sensibilizzare i dipendenti dell’azienda sulla sicurezza informatica e per formarli su come riconoscere e gestire le minacce esterne. In questo modo, si promuove una cultura della sicurezza informatica all’interno dell’organizzazione.

Infine, i penetration test sono spesso richiesti dalle normative in materia di sicurezza informatica e possono essere utili per dimostrare la conformità alle leggi e alle regolamentazioni in vigore. In sintesi, i penetration test rappresentano uno strumento fondamentale per garantire la sicurezza informatica dell’azienda e per proteggere le informazioni sensibili dalle minacce esterne.

Cosa sono i vettori di attacco individuati nei penetration test

Le attività di penetration test, proprio perché simulano un reale attacco informatico, definiscono quelli che vengono chiamati i “vettori di attacco” ad un sistema informatico. I vettori di attacco sono le modalità attraverso cui un attaccante può penetrare nel sistema o nella rete sfruttando una serie di falle di sicurezza.

I vettori di attacco possono includere exploit per l’utilizzo di vulnerabilità del software o l’utilizzo di misconfiguration, ma anche molte altre tecniche utilizzate dagli hacker malintenzionati per penetrare all’interno di un sistema.

In altre parole, i penetration test cercano di verificare se le vulnerabilità identificate nel sistema possono essere effettivamente sfruttate per generare un vettore di attacco che possa compromettere la Riservatezza, Integrità e Disponibilità (RID) del sistema.

Oggi si sta tentando di realizzare dei sistemi che simulano una attività di penetration test. Tali sistemi vengono chiamati Breach and Attack Simulation (BAS), anche se ancora oggi le tecnologie sembrano ancora acerbe.

Individuati i vettori di attacco durante il penetration test ed individuate le vulnerabilità da sanare, occorrerà definire dei piani di rientro che consentano all’organizzazione di ripristinare la resilienza all’interno delle proprie infrastrutture ICT.

Differenza tra un Vulnerability Assessment e un Penetration test

Il vulnerability assessment e il penetration test sono due attività che si concentrano sulla valutazione della sicurezza dei sistemi informatici, ma presentano alcune differenze importanti.

Il vulnerability assessment è un’attività che consiste nell’identificazione, classificazione e valutazione delle vulnerabilità nelle reti aziendali. Questo processo è solitamente automatizzato e utilizza una serie di strumenti per scansionare il sistema alla ricerca di vulnerabilità conosciute, come bug di sicurezza, configurazioni errate o accessi non autorizzati. L’obiettivo principale del vulnerability assessment è quello di individuare le vulnerabilità e fornire un report dettagliato sullo stato di sicurezza del sistema.

Il penetration test invece, consiste l’individuazione dei “vettori di attacco” (Come visto in precedenza), attraverso una simulazione di un attacco informatico reale, condotta da un team di esperti in sicurezza informatica. Durante il test, gli esperti cercano di individuare le vulnerabilità del sistema e di sfruttarle per ottenere accesso non autorizzato ai dati o ai sistemi dell’azienda. L’obiettivo principale del penetration test è quello di valutare l’efficacia delle contromisure di sicurezza adottate dall’azienda e di identificare eventuali punti deboli.

La differenza principale tra i due metodi è che il vulnerability assessment si limita a rilevare le vulnerabilità di sicurezza presenti, mentre il penetration test si concentra su misurare l’efficacia delle contromisure di sicurezza attraverso una simulazione in campo di un attacco reale.

Non è sufficiente fare solo un vulnerability assessment perché, anche se individua le vulnerabilità presenti nel sistema, non fornisce una valutazione completa dell’efficacia delle contromisure di sicurezza. Infatti, è possibile che il sistema presenti alcune vulnerabilità ma che le contromisure adottate siano sufficienti a prevenire attacchi informatici. Al contrario, è possibile che il sistema presenti poche vulnerabilità ma che le contromisure siano insufficienti a prevenire un attacco informatico. Solo un penetration test può fornire una valutazione completa della sicurezza del sistema e identificare eventuali lacune nelle contromisure di sicurezza.

I penetration test all’interno del processo di ICT Risk Management

Un programma di ICT (Information and Communication Technology) Risk Management è un insieme di processi e attività che un’azienda o un’organizzazione mette in atto per identificare, valutare, gestire e mitigare i rischi associati all’utilizzo delle tecnologie dell’informazione e della comunicazione.

In particolare, un programma di ICT Risk Management prevede la definizione di politiche e procedure specifiche per gestire i rischi informatici, la valutazione del rischio in modo sistematico e continuativo, l’implementazione di controlli di sicurezza adeguati e l’attuazione di piani di risposta in caso di incidenti.

Tra le attività specifiche che un programma di ICT Risk Management possono prevedere:

  • Identificazione dei beni informatici e delle informazioni critici per l’azienda;
  • Valutazione dei rischi informatici e della probabilità di accadimento;
  • Identificazione delle misure di sicurezza e definizione dei piani di rientro;
  • Implementazione delle misure di sicurezza identificate;
  • Monitoraggio dei piani di rientro;
  • Controllo dei sistemi attraverso tecniche di vulnerability assessment
  • Controllo dei sistemi attraverso attività di penetration test;
  • Formazione del personale in materia di sicurezza informatica e sensibilizzazione sui rischi.

In questo contesto, i penetration test sono una parte fondamentale ed operativa che consente di verificare la messa in sicurezza di un sistema e l’adozione delle misure di sicurezza definite nella fase di Valutazione del rischio.

Inoltre, i penetration test possono essere utilizzati come strumento per la verifica della conformità alle normative in materia di sicurezza informatica e per la valutazione della performance dei fornitori di servizi di sicurezza informatica, ad esempio sul tema caldo della supply-chain.

In sintesi, i penetration test rappresentano un’importante componente del processo di ICT Risk Management in quanto consentono di identificare le vulnerabilità del sistema e di valutare l’efficacia delle misure di sicurezza adottate dall’organizzazione.

Come vengono svolti i penetration test

In generale, un’attività di penetration testing può essere suddivisa nelle seguenti fasi:

  1. Raccolta di informazioni: in questa fase vengono raccolte informazioni sul sistema o sulla rete che si vuole testare, come ad esempio informazioni sulle tecnologie utilizzate, sulle configurazioni di sicurezza, sulle vulnerabilità note, etc.
  2. Scansione e identificazione delle vulnerabilità: in questa fase si utilizzano degli strumenti per scansionare il sistema o la rete al fine di individuare eventuali vulnerabilità. Si possono utilizzare strumenti di scansione automatici oppure effettuare una scansione manuale.
  3. Fase di exploit: in questa fase si tenta di sfruttare le vulnerabilità individuate per accedere al sistema o alla rete. Si possono utilizzare degli exploit già esistenti oppure creare dei propri exploit ad hoc per tentare di superare le difese.
  4. Escalation dei privilegi: una volta ottenuto l’accesso al sistema o alla rete, si cerca di ottenere privilegi amministrativi per accedere a dati sensibili o per compromettere ulteriormente il sistema.
  5. Ricerca di dati sensibili: in questa fase si cerca di individuare dati sensibili all’interno del sistema o della rete, come ad esempio informazioni di accesso, informazioni finanziarie, informazioni personali, etc.
  6. Report: alla fine dell’attività di penetration testing viene redatto un report dettagliato con tutte le vulnerabilità individuate e le relative raccomandazioni per migliorare la sicurezza del sistema o della rete.

I penetration test possono essere effettuati da personale interno all’azienda oppure da aziende specializzate in questo tipo di attività. In ogni caso, è importante effettuare i test in modo controllato e con il consenso del proprietario del sistema o della rete, in modo da evitare danni ai sistemi o alla rete stessa.

Chi effettua le attività di Penetration test

I penetration test possono essere effettuati da personale interno all’azienda, come ad esempio i membri del Read Team aziendale, oppure da aziende specializzate in sicurezza informatica che offrono servizi di penetration testing.

Gli ethical hacker o “hacker etici” sono coloro che si occupano di effettuare i penetration test. Sono professionisti esperti di sicurezza informatica che utilizzano tecniche di hacking e di penetration testing al fine di individuare e risolvere eventuali vulnerabilità dei sistemi e delle reti. Gli ethical hacker hanno conoscenze approfondite di programmazione, di reti, di sistemi operativi, di database e di sicurezza informatica in generale.

Inoltre, gli ethical hacker devono avere una conoscenza approfondita delle leggi e delle normative relative alla sicurezza informatica, al fine di garantire che il loro lavoro sia legale e etico. Gli ethical hacker devono essere in grado di utilizzare gli stessi strumenti e le stesse tecniche utilizzate dagli hacker malintenzionati, ma a differenza di questi ultimi, il loro obiettivo è quello di individuare le vulnerabilità e risolverle, anziché sfruttarle per scopi illegali.

Dopo un penetration test cosa occorre fare

Una volta eseguito un penetration test, è importante che l’azienda o l’organizzazione prenda le giuste azioni per risolvere le vulnerabilità individuate e migliorare la sicurezza del sistema o della rete.

Di solito, alla fine del penetration test viene redatto un rapporto dettagliato che descrive le vulnerabilità individuate e le relative raccomandazioni per risolverle. È importante che l’azienda o l’organizzazione prenda seriamente queste raccomandazioni e metta in atto le azioni necessarie per migliorare la sicurezza del sistema o della rete.

Le azioni che l’azienda può prendere dipendono dalle specifiche vulnerabilità individuate, ma possono includere la correzione delle configurazioni di sicurezza, l’aggiornamento del software, l’implementazione di controlli di accesso più rigorosi, la formazione del personale in materia di sicurezza informatica, ecc.

Inoltre, è importante effettuare regolarmente penetration test per verificare che le azioni messe in atto siano efficaci e per individuare eventuali nuove vulnerabilità che potrebbero emergere con il tempo. In questo modo, l’azienda può migliorare costantemente la propria sicurezza informatica e prevenire potenziali attacchi informatici.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.