Penetration testing: quando è utile farlo

Gli attacchi informatici sono sempre più frequenti e aggressivi, obbligando le aziende di ogni livello a rimanere sempre aggiornate in fatto di tutele sulla cybersecurity. Le minacce informatiche sono infatti in costante crescita e, spiace dirlo, si attestano ogni volta un passo avanti rispetto ai tentativi di protezione messi in atto dalle imprese.
Una misura valida per proteggere la propria infrastruttura IT e rendere la vita più difficile ai cyber criminals, sempre più potenti e aggiornati, è un test che ogni azienda può effettuare per individuare e rafforzare i propri punti deboli: il penetration testing.
Cos’è il penetration testing e come funziona? Rileva davvero tutte le vulnerabilità delle strutture informatiche aziendali, proponendo soluzioni che rendono la vita difficile agli hacker? Quando è utile farlo? In questo articolo vediamo tutto nei dettagli.

Cos’è e come funziona il Penetration Testing

Il “test di penetrazione”, come suppone il termine stesso, è appunto un test che esamina le vulnerabilità del sistema informatico aziendale allo scopo di rafforzarle e renderle sicure. Per fare un paragone, è un’azione destinata a verificare che tutte le porte di casa siano chiuse e a chiudere quelle rimaste aperte per errore, che potrebbero essere facili vie d’accesso per i malintenzionati.

Prima di entrare nel dettaglio e spiegare come funziona il Penetration Test, occorre fare una precisazione. Molto spesso siamo inclini, erroneamente, a utilizzare il termine “scansione delle vulnerabilità” per intendere il penetration testing. Questi due procedimenti di verifica, però, non sono la stessa cosa, sia per significato che per implicazioni.
La scansione delle vulnerabilità identifica e risolve i punti deboli di siti e applicazioni informatiche; il penetration testing, invece, è un “attacco” a tutti gli effetti, che viene simulato per testare la sicurezza di un sistema. In poche parole, il test di penetrazione ha l’obiettivo di entrare nelle profondità dell’infrastruttura IT e raggiungere tutti i dispositivi elettronici dell’azienda, per colpire in maniera ancor più efficace durante i successivi tentativi di violazione e trovare preventivamente la miglior protezione possibile.

Quando è utile fare il Penetration Testing

Una grande azienda che si basa sulla gestione informatica di tutti i propri processi, ma anche piccole e medie imprese che utilizzano parzialmente sistemi informatici nella loro quotidianità, dovrebbero effettuare un Penetration Test a intervalli regolari. La struttura informatica aziendale potrebbe infatti incorrere in problemi che derivano dalla progettazione o dalla gestione del sistema IT, lasciando una porta aperta ai cyber terroristi. In questo scenario, è logico pensare che, dopo un attacco hacker, oltre al sistema informatico risulterà compromesso anche il business aziendale.

Lo scopo ultimo del Penetration Test è evitare che un hacker (interno o esterno) violi gli accessi al sistema e impatti in modo drastico sull’integrità e sulla disponibilità delle risorse aziendali.

I punti deboli rilevati durante la fase di penetration testing possono essere trovati ovunque all’interno del software: in un codice difettoso, nell’utilizzo inappropriato del software o nel backdoor del sistema operativo. Tutte situazioni di cui, in poche parole, senza un penetration testing non ci si accorgerebbe. Inoltre, il test permette di spaziare verso obiettivi collaterali, come verificare al contempo la preparazione del personale in materia di cybersicurezza, valutare la conformità della security policy e capire se e come l’azienda sia in grado di affrontare un attacco esterno.

Il penetration testing può essere effettuato in modalità manuale o automatica. Gli endpoint su cui opera sono diversi: dispositivi mobile e wireless, server, endpoint di rete e dispositivi di sicurezza di rete. Vediamo ora quali sono le metodologie utilizzate durante la sua esecuzione.

Le diverse metodologie di Penetration Testing

Esistono diverse metodologie per eseguire un’attività di penetration testing. Generalmente si parla di tre metodi o “scatole”

Black Box testing

Durante il test denominato “della scatola nera”, l’aggressore non conosce tutti i dettagli dell’infrastruttura IT che sta attaccando. La conseguenza logica è che tenterà di eseguire un attacco “globale” per trovare un punto debole, da violare in un momento successivo.
L’addetto al Black Box Penetration Test (chiamato “Pentester”) non ha dunque informazioni né sull’applicazione web, né sul codice sorgente: scovare queste informazioni richiede molto tempo, per cui spesso il Pentester si avvale di strumenti automatizzati (chiamati “trial and error”) per trovare le vulnerabilità più rapidamente.

White Box testing

Se si esegue un test White Box, cioè “a scatola bianca”, si impiega meno tempo rispetto a un test Black Box: il Pentester, infatti, possiede già le informazioni sull’applicazione web e sul codice sorgente, quindi il test è molto più preciso. Ma, di contro, gli strumenti per eseguire questo tipo di test sono più complessi.

Grey Box testing

Il “test a scatola grigia” è una combinazione tra il Black e il White Box testing e si esegue quando il Pentester conosce in modo parziale le informazioni sull’applicazione informatica da testare. Per eseguire questa tipologia di test si utilizzano strumenti manuali e automatizzati, partendo dalle aree di cui si hanno più informazioni.

Il team del Penetration Testing

Per eseguire un buon Penetration Testing è necessario l’intervento di più squadre che svolgono ruoli diversi:

• un team che lavora nel reparto IT aziendale, che ha il compito di evitare gli attacchi (Blue Team);
• un team che svolge il ruolo di hacker, con il compito di rompere le difese dell’azienda (Red Team);
• una squadra che ha a disposizione le informazioni degli altri due team ed è una specie di jolly, perché le aiuta in maniera imparziale nell’integrazione (Purple Team).

Modalità di esecuzione di un Penetration Testing

Come dicevamo, il test può essere eseguito nelle applicazioni web, reti wireless, servizi di rete e client. In particolare, nel caso delle applicazioni web si prendono in considerazione diversi componenti, come ActiveX, API e altri. In questo modo si riescono a identificare tutte le vulnerabilità, anche se il processo richiede diverso tempo.
Nei dispositivi wireless (tablet, smartphone ecc.) collegati alla rete aziendale, il Pentester esegue il test sul posto perché i dispositivi devono essere vicini alla rete. In questo modo riesce a individuare le criticità nelle credenziali di amministrazione, nei protocolli wireless e nei punti di accesso.
Il test sui servizi di rete, invece, scopre i punti deboli dietro all’infrastruttura di rete aziendale. Per ottenere maggiori risultati, il test dovrebbe essere condotto sia in azienda, sia da remoto, perché si riesce a verificare meglio la configurazione e il bypass del Firewall e del router.

Anche le competenze dei dipendenti aziendali sono messe alla prova durante il Penetration Testing, per esempio tramite l’invio di campagne di phishing ai relativi indirizzi email, oppure attraverso la verifica dei software installati sulle postazioni di lavoro (browser, lettori multimediali ecc.); o, addirittura, utilizzando l’ingegneria sociale, che sfrutta l’errore e la debolezza umana.

Le diverse fasi del Penetration Testing

Come si svolge nel concreto un test di penetrazione? Generalmente si procede attraverso sei fasi:

Fase 1: Briefing pre-ingaggio

Per prima cosa si definiscono il Pentester, gli obiettivi del cliente e le implicazioni legali. La scelta della miglior strategia di penetrazione del Pentester si baserà sulle aspettative e sugli obiettivi del cliente.

Fase 2: Raccolta di informazioni sul cliente

A seconda del tipo di test prescelto (White Box o Black Box), il Pentester dovrà ottenere informazioni parziali o totali sulla struttura IT del cliente che deve essere testata. Per raccoglierne la maggior quantità possibile, utilizzerà tecniche diverse quali ricerche online, dumpster diving (cioè la ricerca di informazioni utili nella “spazzatura”) o ingegneria sociale.

Fase 3: Identificazione dei vettori d’attacco

In questa fase solitamente si utilizzano strumenti automatizzati di scansione vulnerabilità e punti di accesso per valutare l’impatto potenziale degli attacchi sull’’infrastruttura IT aziendale.

Fase 4: Simulazione di attacco

Quando si sono identificate le aree di interesse e i punti di accesso vulnerabili, il Pentester simulerà l’attacco informatico sulle reti e sulle applicazioni web, cercando di andare il più possibile in profondità.

Fase 5: Elaborazione dei risultati

Al termine della simulazione di attacco, il Pentester mostra i risultati all’azienda, ripristinando la situazione informatica che ha trovato prima del test e cancellando ogni accesso che gli è stato utile nella fase precedente. Per prevenire futuri accessi non autorizzati, è infatti necessario attuare una serie di accortezze dopo il test, quali il ripristino delle impostazioni iniziali, la rimozione dei rootkit e la cancellazione degli account creati per accedere.

Fase 6: Consegna report

Il report finale, da consegnare all’azienda, deve contenere tutte le informazioni dettagliate che sono state identificate nelle fasi precedenti insieme a una valutazione dell’impatto e a una soluzione tecnica da implementare. Nel caso in cui non risulti possibile fornire una soluzione tecnica, nel report devono essere comunque presenti indicazioni per attenuare le vulnerabilità. Con queste informazioni, l’azienda avrà in mano un’ottima visione della situazione, e potrà migliorare le proprie misure di sicurezza.

È chiaro, quindi, che il Penetration Test è un processo vitale per valutare l’efficacia delle difese di un sistema aziendale contro le potenziali minacce. Tramite le sei fasi di penetration test e l’applicazione di best practices ben definite, le imprese riescono a identificare e attenuare le vulnerabilità del proprio sistema informatico, potenziando nel contempo la propria strategia di cybersecurity.

Se la tua azienda ha bisogno di effettuare un penetration test per valutare il grado di affidabilità a livello di sicurezza informatica, contattaci per una consulenza gratuita.