Penetration Test: cos’è, tipologie e importanza nella sicurezza informatica aziendale

L’avanzare della digitalizzazione, ora favorito anche dal nuovo PNRR, è evidente in ogni ambito e in ogni dimensione aziendale. Nell’industria chimica e farmaceutica, nell’industria automobilistica, nel settore finanziario e assicurativo o nelle piccole e medie imprese (PMI), i cambiamenti in atto seguono lo stesso percorso: i processi vengono digitalizzati e i sistemi vengono collegati tra loro, le applicazioni aziendali vengono sempre più utilizzate sul web e/o su dispositivi mobili e sempre più applicazioni e dati vengono trasferiti nei cloud.

Tutto questo, inevitabilmente, apre nuovi scenari e moltiplica le opportunità di aggressione da parte dei criminali informatici. I dati sono diventati una risorsa estremamente preziosa che deve essere protetta dalle intrusioni e dai tentativi di appropriazione. La trasformazione digitale richiede nuovi spunti di riflessione in termini di sicurezza informatica e rigide misure di protezione dei dati da parte del management aziendale e dei responsabili IT.

Penetration Test cos’è?

Il Penetration test, noto anche come Pen test o ethical hacking, consiste in un procedimento tecnico che comporta più fasi e il cui scopo è di valutare la vulnerabilità di un sistema informatico, di una rete aziendale o di un’applicazione web, ed, eventualmente, individuare falle di cui potrebbero approfittare utenti malintenzionati.
I penetration test possono essere automatizzati, utilizzando applicazioni software, o eseguiti manualmente.
In ambedue i casi, il processo si svolge in fasi ben definite.

Prima di effettuare il test, si raccolgono le informazioni sull’obiettivo, successivamente si identificano possibili punti di ingresso attraverso i quali si tenta di entrare, virtualmente o fisicamente, e, infine, si produce un report di risultati.

I report generati da un test di penetrazione forniscono il feedback di cui un’organizzazione ha bisogno per dare la priorità agli investimenti che intende fare riguardo alla sua politica aziendale relativa alla sicurezza. Questi report, inoltre, possono aiutare gli sviluppatori a creare applicazioni più sicure: l’intenzione è di motivarli a migliorare la loro formazione sulla sicurezza in modo da non commettere errori uguali o simili in futuro.

Penetration Test a cosa serve?

Gli attacchi informatici costituiscono una minaccia per tutte le aziende. Permettono ai loro autori di rubare e deviare informazioni per frodare le loro vittime o distruggere il loro IS. Le tecniche di attacco degli hacker sono sempre più sofisticate. Secondo l’X-Force Threat Intelligence Index 2020 di IBM, il 60% degli attacchi informatici fa uso di credenziali rubate o approfitta della vulnerabilità dei software. Il pen testing consente di proteggersi dai diversi tipi di intrusione in un IS.

Nella sicurezza informatica, il Penetration test è un’attività di massima importanza, poiché aiuta a prevenire il furto di dati.
Gli hacker, infatti, navigano a caccia di punti deboli e errori che possono risultare fatali sia sull’input sia sull’output dei dati per forzare i sistemi informatici. L’obiettivo del penetration test è simulare l’azione dell’aggressore per capire a quali livelli si trovano le anomalie e come porvi rimedio. Le organizzazioni aziendali dovrebbero eseguire regolarmente un test di penetrazione almeno una volta all’anno, per garantire una sicurezza di rete e una gestione IT più coerenti.

Oltre alle analisi e alle valutazioni previste dalla prassi e dalle normative dei vari paesi, i penetration test possono essere effettuati, comunque, anche con intervalli inferiori a un anno.

Eseguire un penetration test è, infatti, indispensabile in momenti delicati della vita dell’azienda. Ad esempio:

– se si aggiungono, al normale assetto, nuove infrastrutture di rete o nuove applicazioni;

– se si apportano significativi aggiornamenti o modifiche alle applicazioni e infrastrutture esistenti;

– se si istituiscono uffici in nuove sedi;

– se si applicano patch di sicurezza;

– se si modificano le politiche relative agli utenti finali.

Tuttavia, poiché il test di penetrazione non è una soluzione valida per tutti allo stesso modo, la necessità e la possibilità per le aziende di ricorrere al pen test dipendono da molti altri fattori, tra cui:

• La dimensione dell’impresa: le aziende che hanno una maggiore presenza online sono più vulnerabili e diventano bersagli più appetibili per gli hacker.
• I costi: i test di penetrazione possono essere costosi, quindi un’azienda con un budget ridotto potrebbe non essere in grado di eseguirli ogni anno.
• Regolamentazione e conformità: le organizzazioni di determinati settori sono obbligate per legge a svolgere determinate attività di sicurezza, incluso il pen test.
• L’uso dei cloud: un’azienda che utilizza cloud di terze parti potrebbe non avere l’autorizzazione a testare l’infrastruttura del provider. Il penetration test dovrebbe essere eseguito, in questi casi, dal fornitore del servizio.

Tipologie di penetration test

L’utilizzo di diverse strategie di penetration test consente ai tester di concentrarsi sui sistemi desiderati e acquisire una migliore comprensione dei tipi di attacchi più pericolosi.

Ecco alcune delle principali tipologie di penetration test utilizzate dai professionisti della sicurezza:

Test esterni: verificano la sicurezza di sistemi accessibili dall’esterno come server di posta, gateway VPN, server Web, ecc. per individuare eventuali punti deboli. L’obiettivo è scoprire a quali dati e sistemi critici può accedere un utente malintenzionato e, se è possibile, individuare eventuali tentativi di intrusione nella rete aziendale interna.

Questo tipo di pen test esamina le informazioni dell’azienda disponibili pubblicamente cercando di sfruttare le vulnerabilità rilevate durante lo screening o tenta di accedere ai dati tramite risorse esterne, come e-mail aziendali, applicazioni basate su cloud e siti web. Il penetration test esterno riguarda, quindi, tutti quei sistemi che sono direttamente raggiungibili da internet e che per la loro stessa natura sono i più esposti e più facilmente attaccabili.

Ad esempio, un pentester esterno può tentare di violare in remoto il firewall aziendale o provare a utilizzare dati pubblici e privati violati, OSINT, strumenti sviluppati internamente, etc.

In un penetration test esterno di qualità, i professionisti della sicurezza che conducono la valutazione replicano le attività degli hacker, inclusa l’esecuzione di azioni tendenti a ottenere il controllo dei sistemi.

È importante sottolineare che ogni giorno vengono scoperte nuove vulnerabilità critiche e che gli aggressori di solito sfruttano le debolezze più gravi entro una settimana dalla loro scoperta. Sebbene un test di penetrazione esterno sia una valutazione importante per esaminare in modo approfondito la sicurezza dei sistemi esposti, è meglio utilizzarlo come servizio aggiuntivo per integrare la normale scansione delle vulnerabilità che dovrebbe costituire la routine di base per ogni azienda.

Test interni: si concentrano sulla valutazione degli attacchi che potrebbero essere eseguiti da un hacker che ha già acquisito un punto d’appoggio all’interno della rete e sta cercando di “elevarsi” per ottenere ulteriore controllo e causare più danni. I test interni si occupano anche di falle di sicurezza che potrebbero essere sfruttate da un insider malintenzionato, forse un dipendente infedele, che ambisce a causare danni ad aree dell’azienda al di fuori del suo consueto livello di accesso.

Questo tipo penetration test in genere comporta l’accesso alla rete in loco, quindi, per eseguirlo è necessario consentire ai tester di accedere secondo modalità analoghe a quelle di un dipendente. I tester cercheranno quindi di accedere a fonti di informazioni riservate o account utente privilegiati che dovrebbero essere loro vietati, trovando modi per sovvertire qualsiasi controllo di accesso in atto.

Un test di penetrazione interno si basa, come abbiamo visto, sul presupposto che un utente malintenzionato sia già riuscito ad accedere in qualche modo alla rete aziendale interna o che l’aggressore sia un dipendente. Ciò può essere fatto, ad esempio, tramite attacchi di phishing mirati a dipendenti interni/esterni o dipendenti di un fornitore di servizi. Il danno che può derivare da tali attacchi è spesso di gran lunga maggiore rispetto agli attacchi esterni via Internet. L’obiettivo è scoprire a quali dati e sistemi critici un utente malintenzionato può accedere dalla rete aziendale interna.

I pentester assumono praticamente il ruolo di un “insider” malevolo o di un impiegato malintenzionato con un certo livello di accesso legittimo alla rete interna, simulando scenari di rischio ed esaminando l’impatto delle informazioni riservate divulgate, alterate, utilizzate in modo improprio o distrutte. Quindi, utilizzano i risultati delle simulazioni per capire come migliorare il controllo sui dipendenti, attraverso, per esempio, modifiche dei privilegi di accesso del sistema.

Il processo normalmente inizia con una fase di scoperta in cui il tester utilizza strumenti di mappatura della rete per scoprire il funzionamento interno e il layout. Dopo la fase di scoperta segue la fase di identificazione.

Alcuni esempi del tipo di attività che possono svolgersi in questa fase sono i seguenti:

• Forzatura brutale degli account utente per tentare di ottenere l’accesso non autorizzato alle macchine sulla rete.
• Sovversione di router e switch di rete per controllare e monitorare il traffico, iniettare punti deboli o assumere il controllo degli endpoint sfruttando i protocolli. Ad esempio, il protocollo Web-Proxy Auto-Discovery, che normalmente aiuta i computer a comunicare con Internet, può essere abusato da aggressori locali per sondare il traffico web di una azienda.
• Sfruttare le vulnerabilità per violare i server, elevare l’accesso esistente o dimostrare che gli aggressori potrebbero eseguire codice dannoso.

Lo scopo di questi tipi di test è proprio quello di trovare tutti i possibili punti deboli nel più breve tempo possibile.

Blind testing: in concreto effettua la simulazione delle possibili azioni di un ipotetico hacker riducendo al minimo le informazioni da fornire preventivamente alla squadra che si occuperà del test di penetrazione. In genere, i pen tester ricevono solo il nome dell’azienda. Poiché questo tipo di test può richiedere tempi di esecuzione notevolmente lunghi, il costo dell’operazione non è accessibile a tutte le aziende. Una versione più rigida del Blind Test è il Double Blind Test che aggiunge al precedente un livello più stretto di riservatezza, limitando a una o due persone, all’interno dell’azienda, l’informativa relativa all’effettuazione del pen test.

Test della scatola nera: è essenzialmente molto simile al blind test, ma il pentester non riceve alcuna informazione fino a quando non viene eseguito il test. I tester devono trovare la propria strada attraverso il sistema.

Test della scatola bianca: fornisce ai tester di penetrazione informazioni (indirizzi IP, codici, protocolli, diagrammi) sulla rete di destinazione prima che inizino il loro lavoro.

Test della scatola grigia o test ibrido: consiste nel cercare di entrare in un sistema informativo con solo una quantità limitata di informazioni sull’organizzazione o sul suo sistema. Si simula, quindi, l’attacco che potrebbe essere perpetrato da un cliente, partner o dipendenti della azienda.

Obiettivi del penetration test

L’obiettivo principale di un test di penetrazione è identificare le vulnerabilità della sicurezza aziendale.

Tale test può essere utilizzato anche per verificare che un’organizzazione rispetti le norme di sicurezza, che i suoi dipendenti siano consapevoli del problema e che l’organizzazione sia in grado di identificare e rispondere agli incidenti e agli attacchi eventuali.

Un test di intrusione è, dunque, un audit di sicurezza informatica che consiste nella ricerca di vulnerabilità presenti in un’applicazione per identificarle e correggerle e che viene utilizzato per simulare un tentativo di attacco informatico perpetrato da un hacker con le stesse condizioni (tempi, tecniche utilizzate, ecc.) e approssimando i rischi effettivamente sostenuti.

L’esecuzione di un penetration test è una buona pratica volta a rafforzare la sicurezza di un sito o di un’applicazione. È importante eseguire regolarmente questi test per verificare che l’evoluzione continua dei sistemi aziendali non dia luogo a nuove e pericolose vulnerabilità.

Il test mira, quindi, a identificare gli scenari di intrusione più probabili e a correggere le i punti deboli che potrebbero avere un impatto significativo sulla attività dell’azienda. Questo approccio pragmatico consente di valutare rapidamente il livello di sicurezza dell’ambiente testato, limitando i costi rispetto a procedure di audit più complesse o dispendiose in termini di tempo (audit dell’architettura, revisione del codice sorgente, ecc.).

Al termine di questi test, un rapporto di audit presenta una sintesi dei risultati, i dettagli degli scenari e delle vulnerabilità scoperte, nonché un piano d’azione dettagliato per correggerli e proteggere il sistema informativo dell’azienda.

Le fasi del Penetration Test

La realizzazione di un penetration test è molto curata. Risponde a metodologie rigorose che garantiscono la qualità delle conclusioni e la protezione dell’applicazione testata. Fondamentalmente, un test di intrusione si svolge in tre fasi: preparazione, esecuzione e consegna.

• Preparazione: prevede un incontro preliminare per definire l’ambito dell’audit: in parole povere, nel kick off meeting si stabilisce cosa è necessario testare. Si procede con la richiesta di autorizzazione all’host che ospita il servizio, l’esecuzione del backup dei dati e la preparazione dei materiali di verifica.
• Realizzazione: parte con la raccolta di informazioni (motore di ricerca, scansione, verifica del codice, ecc.) per arrivare al test vero e proprio e alla individuazione delle modalità di sfruttamento delle eventuali vulnerabilità rilevate.
• Consegna: effettuato il test si redige un rapporto di verifica che viene consegnato al committente. Il procedimento si conclude con una riunione per la presentazione dei risultati.

Efficacia del penetration test

Il pentesting è una pratica di sicurezza collaborativa in crescita nel contesto che stiamo vivendo.
In che modo questa pratica si inserisce in una strategia più globale e in che misura migliora la propria situazione di sicurezza informatica?

Per convinzione o necessità, molte aziende hanno già avviato da tempo la loro trasformazione digitale, adottando nuovi strumenti e nuove modalità di lavoro. Con la situazione attuale, questa trasformazione non è più un’opzione e il massiccio aumento dello smart working è un chiaro incentivo a rivedere la strategia di sicurezza informatica della propria azienda.

Per rafforzare la protezione dei propri dati e dei propri clienti, appare fondamentale favorire un approccio proattivo ad un approccio reattivo. L’attivazione di un piano d’azione per ogni nuova minaccia è lunga, costosa e insostenibile. Poiché le minacce sono per natura dinamiche, una strategia una tantum non sarà certamente efficace.

Per non essere sopraffatti, è importante eseguire continui test di sicurezza e rendere la verifica regolare parte integrante del ciclo di sviluppo dell’azienda. È in questa modo che il pentesting diventa definitivamente e pienamente efficace.

La prima cosa da fare è identificare le priorità, cioè individuare quali sono i dati più essenziali o sensibili da proteggere. Il passo successivo è valutare la loro vulnerabilità, ovvero la loro esposizione alle minacce informatiche. Può sembrare semplicistico, ma spesso gli approcci più basilari vengono trascurati a scapito della sicurezza aziendale.

I test di penetrazione non solo valutano la vulnerabilità di un sistema o di un’applicazione, ma, come già ribadito, aiutano anche a soddisfare i requisiti normativi di sicurezza informatica. Le azioni correttive risultanti da un programma di pen testing vanificano i tentativi dei criminali informatici di alterare la riservatezza, la disponibilità o l’integrità dei dati.

Rendere il pentesting parte integrante della strategia di sicurezza informatica aziendale è il modo migliore per consolidare un vero approccio proattivo. Inoltre, in combinazione con un programma di bug bounty, i test di penetrazione forniscono una sicurezza informatica continua per prevenire attacchi informatici, furto di dati e abusi.

Per stabilire una cultura della sicurezza sostenibile, devono essere coinvolti tutti i membri dell’azienda: ciò consente a un’organizzazione di valutare meglio il rischio informatico e collegare i problemi di sicurezza agli obiettivi di business.

Secondo il 21° sondaggio globale sui CEO, l’87% degli amministratori delegati in tutto il mondo investe nella sicurezza informatica per creare fiducia nei propri clienti. Poiché i dati guidano l’economia digitale, costruire e sostenere la fiducia digitale è essenziale per prosperare.

Benefici del penetration test

Attraverso il Penetration test, l’azienda identifica il maggior numero possibile di vulnerabilità che possono essere sfruttate, nonché i probabili scenari che portano a una compromissione del sistema informatico.

Il rapporto del test di intrusione fornisce tutti i dettagli necessari per riprodurre le situazioni di rischio, l’analisi dei rischi stabilita dal consulente nonché tutte le raccomandazioni necessarie per l’attuazione di un piano d’azione. Si inserisce, quindi, direttamente nel processo di gestione del rischio e incoraggia contromisure efficaci e pragmatiche per ridurre rapidamente il pericolo a un livello accettabile.

Ecco i motivi principali per eseguire un penetration test:

1 – Identifica e corregge le vulnerabilità

Molti hacker hanno una preparazione tecnologica elevata e all’avanguardia oltre a conoscere molto bene tutte le situazioni di vulnerabilità possibili. Fortunatamente, questo vale anche per gli specialisti dei penetration test. Testando sistemi e applicazioni, gli specialisti riescono a rilevare vulnerabilità di ogni tipo: sia che si tratti di sistemi con falle che potrebbero consentire a un utente malintenzionato di assumere il controllo della rete o di aggirare i meccanismi di sicurezza per accedere alle funzioni amministrative di una applicazione. Ciò consentirà praticamente al team IT aziendale di conoscere il punto di vista di un hacker, sapere cosa accadrebbe se l’azienda fosse presa di mira e fornire soluzioni tecniche per riprodurre e correggere le vulnerabilità identificate.

2 – Proteggere l’azienda dagli attacchi informatici

Secondo un sondaggio condotto dalla Canadian Internet Registration Authority, l’88% delle aziende è preoccupato per i rischi di un potenziale attacco informatico. Anche le grandi organizzazioni con un team di sicurezza consolidato e responsabilità ben definite sono a rischio, poiché ci sono innumerevoli modi in cui un hacker può prenderle di mira. Gli hacker, infatti, scansionano costantemente internet alla ricerca di sistemi e applicazioni vulnerabili da poter violare.

Un test di penetrazione consente di determinare quale vulnerabilità è più probabile che gli hacker sfruttino e quale potrebbe essere il potenziale impatto dell’attacco. In questo modo, l’azienda dispone delle risorse necessarie per prevenire attacchi informatici attuando misure che ne rendono pressoché impossibile lo sfruttamento.

3 – Rispettare i requisiti

A seconda del proprio settore di attività, ci sono molti standard a cui le aziende sono costretto ad aderire, sia per motivi legali che per finalizzare partnership commerciali. Ad esempio, se si elaborano pagamenti dei clienti tramite un sistema di carte di credito o di debito, è necessario rispettare il protocollo PCI (Payment Card Industry), che richiede un penetration test annuale. Mantenere la conformità significa evitare multe e commissioni costose e sviluppare nuove partnership per far crescere la propria attività.

4 – Informare il management aziendale sui rischi

In molte organizzazioni, il management non comprende appieno il rischio che le vulnerabilità rappresentano realmente per la loro azienda. Di conseguenza, potrebbe non allocare le risorse necessarie per implementare misure correttive o apportare le modifiche necessarie per proteggere i sistemi e le applicazioni vulnerabili.

Il report dettagliato che fa seguito al penetration test fornirà al management aziendale uno strumento importantissimo e decisivo per comprendere l’importanza della sicurezza informatica e i rischi che rappresenta, soprattutto in termini economici.

5 – Evitare perdite finanziarie

I test di penetrazione possono sembrare un investimento costoso. In realtà, gli attacchi informatici, hanno la potenzialità di generare perdite ben maggiori del costo di un pen test. Secondo uno studio IBM, il costo della perdita di affari a causa di un attacco informatico è in media di $ 1,42 milioni per attacco. Ciò esclude le risorse spese per il ripristino, che nel 2018 ha raggiunto una media di 13 milioni di dollari. In alcuni casi, gli attacchi possono essere così devastanti da spazzare via l’intera azienda e costringerla alla chiusura definitiva.

La sicurezza informatica è diventata essenziale per molte aziende nella nostra società sempre più digitale. Utilizzando i test di penetrazione, si è in grado di determinare se la vulnerabilità agli attacchi, di tenere informata la gestione dei rischi per allocare le risorse in modo appropriato e prevenire perdite finanziarie significative.

Affidati alla esperienza nel campo dei penetration test di Alet

I nostri servizi di penetration test possono essere applicati a molte aree dell’infrastruttura IT. Ciò include applicazioni, reti e infrastrutture, sistemi embedded, negozi online, intranet, dispositivi IoT e software autoprogrammati.

Poiché abbiamo una visione olistica della sicurezza informatica nella tua azienda, offriamo anche test che si concentrano non solo sulla tecnologia, ma anche sulle debolezze organizzative, procedurali e umane.

La protezione dei sistemi informatici della tua azienda è fondamentale e richiede un’attenzione minuziosa e continua nel tempo. Ecco perché utilizziamo i nostri servizi di penetration test per identificare tutti i tipi di vulnerabilità e lacune prima che altri li sfruttino per danneggiarti. In questo modo, ti garantiamo una panoramica obiettiva dei tuoi deficit e ti forniamo tutti gli strumenti e le raccomandazioni appropriate per la rettifica delle anomalie.

Approfitta della nostra esperienza tecnica e di settore per gli audit di sicurezza informatica: sostituiamo l’incertezza con la sicurezza e ti aiutiamo a proteggere i tuoi dati, la tua azienda e la fiducia dei tuoi clienti.
Per ulteriori informazioni o per parlare con i nostri esperti, compila il form nella pagina dell’opportuno servizio oppure nella pagina contatti del nostro sito.