Home » News » Cybersecurity

CyberSecurity: il Penetration Test, come e perché

CyberSecurity: il Penetration Test

CyberSecurity argomento sempre più al centro delle cronache. Il 2018 ha fatto registrare numeri record per quanto riguarda i Data Breach. Le minacce di sicurezza sono aumentate esponenzialmente e le aziende trovano sempre più difficoltà nel difendersi da cyber criminali preparati e pronti a tutto. La sicurezza informatica è un vero e proprio asset: l’azienda che riesce a garantire la sicurezza della propria infrastruttura, in questo periodo storico, ha un vero vantaggio competitivo rispetto ai competitors. In questo modo riesce a limitare rischi correlati come quelli reputazionale, quello legale o economico legati ad eventuali sottrazioni illecite di dati.

Ad ogni modo, come anticipato in precedenza (n.d.r. Cyber Security: cosa succede in un minuto?, Cybercrime e Digital Innovation. Il paradosso degli opposti), i cyber criminali sono sempre più preparati e purtroppo saranno sempre due passi avanti rispetto ad ogni IT department interno in azienda. Per provare a colmare questo divario, tuttavia, esistono diversi strumenti o test. Uno di questi è, appunto, il penetration test.

Penetration Test: spiegazione e differenze con il Vulnerability Assessment
Dalla premessa fatta durante l’introduzione si evince come il penetration test sia un esame dell’infrastruttura IT che aiuta le aziende a difendersi da eventuali attacchi. Il penetration tester opera alla ricerca di punti deboli dell’infrastruttura e prova a sfruttarli – ovviamente in modo sicuro. Per svolgere questo esame è possibile sfruttare diversi punti di accesso come: backdoor, l’uso scorretto del software o falle nel codice.

Un penetration test, inoltre, è un esame che si può svolgere in diversi modi. Il team di penetration tester all’opera – in base alle esigenze dell’azienda cliente – può avere accesso o meno alle informazioni circa il target da “attaccare”. Nel caso in cui i pentesters siano all’oscuro di ogni informazione abbiamo un penetration test in modalità black box. Nel caso opposto, invece, avremo un white box penetration test. Esiste una terza opzione, un ibrido tra le due, in cui gli ethical hackers hanno conoscenza parziale delle informazioni: il gray box test.

Troppo spesso il penetration test viene scambiato con il Vulnerability Assessment, ossia un altro test di sicurezza. In questo caso è necessario affermare che le due cose sono completamente diverse. Nello specifico:

Penetration test: come abbiamo detto in precedenza, un attacco simulato (ovviamente autorizzato dal cliente) ad un sistema con lo scopo di identificarne i livelli di sicurezza e quantificare il rischio.
Vulnerability assessment: test che ha l’obiettivo di identificare tutte le vulnerabilità di sicurezza presenti in un applicazione o un sistema.

Il vulnerability assessment si concentra sull’identificazione delle vulnerabilità, il penetration test, invece, sfrutta le vulnerabilità identificate per provare ad aggredire il sistema oggetto di analisi.

Le squadre di penetration tester
Il penetration test, come si può intuire, è un esame complesso che richiede degli sforzi congiunti e dispendiosi. Proprio per questo motivo è molto difficile che sia solo una persona a svolgere le attività. Gli ethical hacker, solitamente si riuniscono in team per riuscire a sfruttare le vulnerabilità identificate e attaccare – in maniera etica – la struttura target.

Possiamo fare una suddivisione di questi teams in base al “colore” della squadra di riferimento. Nel dettaglio avremo:

Red team: il team di pentesters vero e proprio. Chi, a livello pratico, svolge le attività necessarie per condurre efficacemente l’attacco alla struttura. Il compito di questi ethical hackers è quello di mettersi nei panni di un vero e proprio hacker pronto ad attaccare l’azienda con lo scopo di bucare il sistema. Per svolgere questo ruolo, ovviamente, è necessario che i pentesters sfruttino ogni possibilità che un hacker malintenzionato sfrutterebbe.
Blue team: la squadra blu è quella formata dai membri interni all’azienda.  Ovviamente, per quanto riguarda un penetration test, questi membri faranno riferimento al dipartimento IT. La squadra blu ha la funzione di “polizia”, deve cercare che la squadra rossa non succeda nell’attacco. Si tratta di un compito non semplice che testa la preparazione del personale interno. Non a caso, per far parte della squadra blu, sono necessari requisiti di proattività e tendenza alla sicurezza.
Purple team: la squadra viola è composta da membri che utilizzano i punti deboli individuati dal red team insieme alle tecniche di sicurezza adottate dal blue team. Si tratta di una squadra che agisce da tramite tra blu e rosso (come si evince dalla scelta del colore). Aiuta l’integrazione e si pone come entità neutrale a supporto delle attività delle due squadre.

Penetration Test 
Il penetration test, come abbiamo visto in principio, a differenza del vulnerability assessment è un esame approfondito sulla sfruttabilità dei punti deboli aziendali. Si tratta dunque di un esame essenziale per ogni azienda. Quantificare il livello di rischio e proteggere le proprie strutture è essenziale e doveroso.

Le attività di vulnerability assessment, d’altro canto, sono attività che devono essere condotte periodicamente. Oltre alle ovvie questioni di sicurezza (essere a conoscenza dei propri punti deboli) ci sono anche implicazioni di compliance legale (GDPR).

di Pierguido Iezzi, CyberSecurity Specialist, Swascan Co Founder

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.