Penetration test

Penetration test

I penetration test (“pentest“) sono tra i migliori mezzi per valutare – e correggere – il livello di sicurezza informativa di un’organizzazione (o di una parte di essa).

Le analisi di vulnerabilità (vulnerability scan o anche vulnerability assessment) si limitano a scoprire ed elencare le vulnerabilità tecniche presenti nei sistemi sotto esame (o, nel secondo caso, anche a valutarne la gravità). Il pentest fa il passo successivo, sfruttando i punti deboli trovati, assieme ad informazioni complementari sull’organizzazione, per compromettere l’obiettivo. Inoltre, i mezzi usati non si limitano a quelli puramente tecnici ma possono includere anche tecniche di social engineering. as well.

Sfruttare i vantaggi…

Simulare il comportamento dei criminali reali permette al cliente di valutare quanto siano realmente efficaci i sistemi di sicurezza, i controlli e le misure organizzative in essere. Gli attacchi potranno essere messi in atto sfruttando metodi diversi e in sinergia, come nei casi reali.

I pentest vanno quindi al di là dell’approccio formalistico – pur necessario – di solito utilizzato per gli audit di sicurezza, soprattutto per finalità di compliance e permettono – se ben realizzati e documentati – di valutare i rischi e gli impatti economici, finanziari e operativi di un attacco riuscito al patrimonio informativo aziendale.

…senza i rischi

La preparazione del pentest è estremamente importante, forse più dell’attività di hacking vera e propria. L’ambito di applicazione del test e le “regole di ingaggio” dovranno essere perfettamente chiare e definite contrattualmente. L’ambito (gli obiettivi) può essere definito in termini tecnici (indirizzi IP, sistemi o URL) ma può per esempio definire anche quali sono i vettori di attacco permessi (escludendo, ad esempio, il social engineering) o limitare l’accesso fisico alla strutture del cliente. Anche i contenuti del report finale dovranno essere descritti prima dell’inizio dei lavori. Quest’ultimo è un punto molto importante perché l’attività potrà portare valore solo se le informazioni fornite al cliente potranno essere facilmente utilizzate per azioni correttive.

Il nostro approccio fornisce sia le conoscenze tecniche che la prospettiva gestionale ed operativa necessarie per un pentest che sia utile al cliente.

Due tipologie

Nel pentest di tipo black-box il team inizia con informazioni minime o nulle sugli obiettivi. In questo caso la fase di raccolta delle informazioni viene svolta in modo analogo a quello che farebbe un reale attaccante. In un pentest di tipo white-box invece sono fornite molte più informazioni, ad esempio indirizzi, tipologia di software, versioni. In questo caso il budget e le risorse possono concentrarsi sull’attacco vero e proprio.

L’approccio black-box presenta il vantaggio di simulare fedelmente le reali minacce e i procedimenti di attacco e inoltre di permettere di valutare anche come vengono gestite le informazioni riservate e quanto è facile ottenerle.

L’approccio white-box invece può essere particolarmente utile nel caso le minacce principali temute siano interne all’organizzazione, oppure for focalizzare le risorse su un limitato insieme di obiettivi o sistemi.

Scegliere la giusta modalità – o una ibrida – è il primo passo per progettare un intervento di consulenza su misure per ogni cliente.

 
StudioAG fornisce consulenza in materia di sicurezza delle informazioni, servizi di penetration test e analisi delle vulnerabilità nelle seguenti aree geografiche in Italia:
 
– Veneto: Vicenza,Verona, Padova, Belluno, Treviso, Venezia, Rovigo
– Trentino-Alto Adige: Trento, Bolzano
– Friuli-Venezia Giulia: Pordenone, Udine, Gorizia, Trieste
– Lombardia: Brescia, Bergamo, Lodi, Mantova, Cremona, Milano, Varese, Como, Lecco, Monza, Pavia, Sondrio
– Liguria: Genova, La Spezia, Savona, Imperia
– Emilia-Romagna: Bologna, Ferrara, Ravenna, Forlì-Cesena, Rimini, Modena, Reggio Emilia, Piacenza, Parma
– Toscana: Firenze, Grosseto, Siena, Arezzo, Prato, Pistoia, Livorno, Pisa
– Marche: Pesaro, Urbino, Macerata, Ancona
– Lazio: Roma, Viterbo, Latina, Rieti
– Campania: Napoli, Avellino, Salerno, Caserta
– Puglia: Bari, Foggia
– Sicilia: Palermo, Catania, Messina, Ragusa

Commenti chiusi