• 2 anni ago
  • 6Minutes
  • 1159Words
  • 80Views

Il processo prevede un’analisi attiva e passiva del sistema per individuare eventuali punti deboli, difetti tecnici e vulnerabilità: queste problematiche possono derivare dalla progettazione, implementazione o gestione del sistema, e potrebbero essere sfruttate per compromettere gli obiettivi di sicurezza del sistema e quindi del business.

La finalità è evitare che un attaccante malintenzionato – esterno o interno – o un’instabilità del sistema possano impattare sulla confidenzialità, integrità e disponibilità delle risorse.

I problemi di sicurezza rilevati verranno presentati al proprietario del sistema in un report, insieme a una valutazione dell’impatto, a una soluzione tecnica o, se non possibile, a un rimedio di attenuazione delle criticità.

Per effettuare un test su sistemi che non si posseggono è necessario operare previo contratto che dimostri il consenso e l’autorizzazione alle attività, regolandone gli obiettivi e la tempistica e soprattutto le sole risorse interessate.

I penetration test come base della sicurezza informatica | Musa Formazione

Il contratto per il penetration test e la professione di penetration tester

Il contratto deve presentare clausole di riservatezza, gli indirizzi IP da cui partiranno i test, le persone fisiche responsabili e operative durante l’attività, e l’eventuale collaborazione con operatori e amministratori interni.

Durante un test di un sistema, garantiamo di la non interruzione delle attività e processi, la non modifica e perdita dei dati e informazioni del cliente.

Un’attività di test può essere effettuata condividendo come unica informazione l’indirizzo internet (del cliente proprietario): la finalità di questa tipologia di attività – in gergo ‘black box’ – è di comprendere quali risultati potrebbe raggiungere un attaccante esterno, via internet. Questa modalità generalmente non è efficace perché è direttamente vincolata alle capacità dell’analista e al tempo investito.

Generalmente è consigliato condividere maggiori informazioni e dettagli – ‘gray’ o ‘white box’ – riguardanti i singoli server e dispositivi di sicurezza.
In questo caso colui che svolgerà l’attività avrà la possibilità di avere una panoramica generale del sistema ed il test sarà più efficace e completo in quanto si concentrerà sui singoli dispositivi e non solo sul funzionamento generale. 

Le informazioni del sistema e dei singoli dispositivi sono facilmente individuabili, ma la raccolta richiede tempo, che potrebbe essere utilizzato per analisi più approfondite.

PRODAFT External, Internal and Web Application Penetration Tests

Il proprietario del sistema può creare un utente di sistema ad hoc per l’attività di analisi, o meglio un utente per tipologia di ‘ruoli utente’ esistenti nel sistema, e fornire le credenziali temporanee a colui che effettuerà l’analisi. Lo scopo è analizzare i rischi esterni – come in precedenza – e i rischi interni: l’attività permetterà di comprendere quali utenze possono leggere, modificare, o cancellare quali risorse, quindi comprendere il vero rischio di un dispositivo manomesso o di un utente malintenzionato, all’interno del sistema.

Tipologia di penetration test

External Testing (Penetration Test esterni)

I pentest esterni hanno come obiettivo quello di capire se un hacker può entrare nel sistema informatico (dall’esterno appunto), e quanto in profondità può entrare nel sistema colpito.
Con questi test si cerca tutto ciò che è visibile in rete (ad esempio con le Google dork) per provare a trovare punti di accesso “scoperti” (backdoor, bug ed errori nel sistema informatico) che possano permettere all’hacker di entrare (o meglio, “penetrare“) nel sistema.
Questi attacchi di solito vengono effettuati dal penetration tester senza conoscere l’infrastruttura dell’azienda, partendo invece dal web, da internet e dalle ricerche sui motori di ricerca. Alcune cose che possono essere analizzate e testate in questi test esterni sono: DNS (Domain Name Servers), Sito web, Web application e altri.

Internal Testing (Penetration Test interni)

Un test interno viene di solito effettuato da qualcuno all’interno dell’organizzazione. Infatti se ad esempio un malintenzionato riesce ad ottenere in qualche modo password e altri dati di accesso di un impiegato, potrebbe quindi accedere facilmente a molti sistemi interni e disponibili solo ai dipendenti dell’azienda. Un penetration test interno serve proprio ad analizzare casistiche di questo tipo, e a trovare buchi e falle del sistema interno riservato agli impiegati.

Targeted Testing

I test di penetrazione targettizzati vengono effettuati insieme da un penetration tester e dal dipartimento IT, e servono principalmente per far capire agli IT in azienda quale può essere la prospettiva di chi sta attaccando i sistemi, in modo da poterli rendere più sicuri anche con futuri sviluppi.

Blind testing

E’ l’attacco più interessante e realistico, anche se è quello più dispendioso per l’azienda che vuole provarlo, e dispendioso anche in termini di risorse e tempo da parte del tester. Infatti in questo caso di “test cieco” l’unica informazione di cui dispone il pen tester è il nome dell’azienda. Da qui dovrà trovare il modo di penetrare nei sistemi IT dell’azienda, attraverso tecniche di hacking conosciute.

Double Blind testing

Molto simile al blind test visto precedentemente, il double blind test ha come unica differenza quella che il dipartimento IT è completamente all’oscuro del fatto che si sta iniziando questo tipo di attacco / test. In questo modo viene simulato un reale attacco informatico, “di nascosto” da tutti quanti i principali attori informatici all’interno dell’azienda.

Verso cosa possono essere fatti i penetration test?

Penetration test applicazioni web

Grazie a penetration test delle web app, si può scoprire se un hacker

Getting value from security testing | by Teri Radichel | Cloud Security |  Medium

potrebbe compromettere la propria applicazione web, sia dall’interno che dall’esterno. Un pentest delle applicazioni come un test di penetrazione in un sito web, alla ricerca delle più comuni vulnerabilità definite da OWASP (Open Web Application Security Project). Si studiano quindi le applicazioni web al fine di trovare backdoor e falle nel sistema che rendono l’app vulnerabile, create magari durante lo sviluppo o l’integrazione dell’app.

Penetration test reti wireless

I penetration test per violare le reti wireless cercano di capire quanto facilmente una rete possa essere sfruttata utilizzando il wireless. Viene anche qui simulato un attacco di un malintenzionato che si trovasse nel perimetro wireless di copertura della rete.

Penetration test protocollo VoIP

Un Penetration Test del protocollo VoIP consiste nel raccogliere più informazioni possibile dalla rete VOIP, tra la presa ethernet e il telefono. E’ possibile ad esempio penetrare nei telefoni IP, nell’intera infrastruttura telefonica VOIP, sventare frodi telefoniche e capire quindi il grado di vulnerabilità della rete VOIP aziendale.

Penetration test accesso remoto

Il pen test dell’accesso in remoto consente di scoprire eventuali vulnerabilità dovute al lavoro a distanza, proteggendo quindi il lavoro da remoto. Quindi è utile fare dei penetration test a VDI, sistemi Citrix e desktop remoti utilizzati dall’azienda, che permettono ai propri dipendenti di lavorare in mobilità e da distanza (in remoto appunto) garantendo quindi la sicurezza dell’intera struttura IT aziendale.

Cosa fare dopo un Penetration Test?

Un’ azienda deve investire per incrementare l’attenzione alle tematiche di sicurezza ed inserendo il Penetration Test nel processo dell’auditing continuo è possibile rendere sicuro e stabile l’intera struttura informatica.

A seguito del Penetration Test viene normalmente consegnato un report che riporta le vulnerabilità rilevate.
A questo punto, se il Penetration Test ha scovato punti deboli, è chiaro che l’azienda deve adottare tutte le misure necessarie a risolverli.

contattaci