Il progredire della digitalizzazione è ormai evidente in ogni settore e ambiente aziendale. Che siano PMI o grandi multinazionali, i cambiamenti in corso seguono lo stesso iter. Infatti, i processi diventano sempre più informatizzati e i sistemi connessi tra loro, così come le applicazioni sono utilizzate sui dispositivi mobili e nuovi dati spostati sui cloud.
Tutto ciò apre ovviamente altri imprevedibili scenari di cybercriminalità e potenziali attacchi informatici. Questo è possibile perché i dati sono diventati una preziosa risorsa da difendere dalle intrusioni e tentativi di appropriazione. È chiaro allora come la trasformazione digitale offra nuovi spunti di riflessione sulla sicurezza informatica e richieda misure di protezione da parte dell’ufficio IT.
In tal senso è molto utile il penetration test, ovvero un procedimento a più fasi che ha lo scopo di valutare la vulnerabilità di un sistema o di una rete informatica per individuare falle pericolose.
Tali test possono essere automatizzati oppure svolti manualmente e i report prodotti permettono di avere feedback di cui l’impresa ha bisogno per indirizzare al meglio i propri investimenti. Ma come funziona un penetration test e quali vantaggi assicura alle aziende? Scopriamo insieme.
Cos’è un penetration test
Nel campo della sicurezza informatica il penetration test o pentest è un’attività di grande importanza in quanto aiuta nella prevenzione contro gli attacchi hacker dei criminali che navigano in rete in cerca di punti deboli e vulnerabilità da sfruttare per compromettere i dati aziendali.
L’obiettivo di questo genere di test è quello di effettuare una simulazione di un’azione aggressiva per capire dove sorgono eventuali anomalie e come potervi rimediare. Le società dovrebbero eseguire un penetration test almeno una volta all’anno, ma in alcuni casi si può effettuare anche con intervalli più brevi.
L’esecuzione di un penetration test è fondamentale soprattutto nei momenti più delicati ed importanti per l’azienda. Per esempio, quando si aggiungono nuove applicazioni o infrastrutture di rete, aggiornamenti alle applicazioni esistenti oppure se si aprono altri uffici in nuove sedi, se si applicano nuove patch di sicurezza o se vengono modificate le politiche relative agli utenti finali.
In ogni caso, poiché il penetration test non è un’operazione universale e valida per tutti nello stesso modo, la necessità di ricorrervi è legata a differenti fattori come le dimensioni dell’impresa, il budget a disposizione e l’uso dei cloud.
Contratto e ruolo del penetration tester
Il processo del penetration test si basa su un’analisi attiva e passiva per trovare difetti, falle e punti deboli derivanti da progettazione o gestione del sistema. La finalità ultima è dunque quella di impedire che i malintenzionati possano attaccare i sistemi informatici, compromettendo l’integrità dei dati e delle risorse.
I problemi individuati saranno poi presentati al proprietario del sistema tramite un report dettagliato, unitamente ad una valutazione dell’impatto, alla soluzione oppure a un rimedio per attenuarne le criticità. Per poter eseguire un penetration test su sistemi che non sono di proprietà bisogna lavorare previo contratto che vada a dimostrare consenso e autorizzazione all’attività, definendo obiettivi e tempistiche.
Tale contratto deve prevedere delle clausole di riservatezza, gli IP dai quali iniziare i test, le persone coinvolte e la collaborazione con operatori esterni, se ce ne sono. Chi esegue il test deve assicurare la non interruzione delle normali attività e la perdita o modifica dei dati del cliente.
Tutte le operazioni non regolamentate da apposito contratto sono da considerarsi illegali. Questo perché gli obiettivi devono essere decisi al momento della stipula dell’accordo ed è il proprietario del sistema informatico a decidere quali dati condividere con il penetration tester. È anche possibile creare un utente specifico per l’attività di analisi, fornendo credenziali temporanee a chi esegue il test.
Quanti tipi di penetration test esistono?
L’uso di differenti strategie di penetration test permette ai tester di focalizzarsi sui sistemi informatici ed avere una maggiore comprensione dei cyberattacchi più pericolosi. Vediamo allora quali sono le principali tecniche per l’esecuzione dei penetration test:
- Penetration test esterni: i penetration test esterni hanno lo scopo di comprendere se un hacker può compromettere un sistema informatico e quanto può addentrarsi all’interno. Con tali test si analizza tutto ciò che è visibile in rete per scovare punti di accesso come backdoor, bug e così via. Di solito tali pentest vengono svolti senza conoscere l’infrastruttura della società, ma iniziando proprio dal web e dai motori di ricerca. Tra le cose analizzate ci sono DNS, web application, siti web e molto altro;
- Penetration test interni: i test interni sono eseguiti da una persona interna all’azienda. Ad esempio, se un hacker riesce ad acquisire chiavi di accesso e dati di un impiegato, potrebbe entrare con facilità nei sistemi interni che generalmente sono a disposizione solo dei dipendenti. Un pentest serve quindi a testare casistiche di questo tipo, individuando falle interne agli accessi dei dipendenti;
- Blind testing: è la metodologia più realistica, ma anche più dispendiosa per l’azienda, sia in termini economici che di tempo. È un test cieco nel quale l’unica informazione data al tester è il nome dell’azienda. Partendo da questo elemento il tester dovrà entrare nei sistemi IT tramite varie tecniche di hackeraggio;
- Double blind testing: simile al blind test è il double blind test che si differenzia che un ulteriore livello di riservatezza. Infatti, il dipartimento IT non è a conoscenza dello svolgimento del penetration test. Così facendo, si simula un vero attacco informatico tenendo all’oscuro i principali operatori informatici aziendali;
- Black box test: è il test nel quale il pentester non ha informazioni sull’infrastruttura IT e dovrà partire da zero come un vero hacker;
- White box text: in questo test vengono fornite all’esecutore informazioni come codici, indirizzi IP, protocolli e altro prima di cominciare con il pentest;
- Grey box test: il test consiste nel provare a forzare un sistema informatico con una quantità limitata di informazioni sull’infrastruttura IT. Si va a simulare un attacco che potrebbe essere sferrato da un partner o da un dipendente dell’azienda.
Le fasi che compongono un penetration test
L’esecuzione di un penetration test deve essere particolarmente accurata in quanto risponde a precise metodologie che assicurano la qualità delle conclusioni e la protezione del sistema testato. Principalmente un test di tale genere si compone di 3 segmenti: preparazione, esecuzione e consegna.
- Preparazione: è previsto un incontro preliminare o kick off meeting per decidere cosa si andrà a testare. Si passa poi alla richiesta di autorizzazione all’host, si esegue il backup dei dati e si preparano i materiali di verifica;
- Realizzazione: ci si dedica alla raccolta di informazioni per giungere al test vero e proprio e individuare le modalità di sfruttamento di ipotetiche vulnerabilità trovate;
- Consegna: una volta concluso il penetration test, si compila un rapporto di verifica da consegnare al proprietario dell’impresa. Infine, ci sarà una riunione finale per la presentazione dei risultati.
I vantaggi del penetration test
Grazie ai penetration test l’azienda riesce a identificare tutte le possibili vulnerabilità, così come tutti gli ipotetici scenari che possono condurre ad una compromissione del sistema informatico. Nel report conclusivo vengono forniti tutti i dettagli sulle situazioni di pericolo, l’analisi dei rischi e le raccomandazioni utili per un corretto piano d’azione.
Il penetration test si inserisce quindi nei processi di gestione del rischio ed incoraggia all’adozione di apposite contromisure per contenere le vulnerabilità ad un livello accettabile. Ecco allora quali sono i principali vantaggi del penetration test:
- Identificazione delle vulnerabilità: gli hacker hanno spesso una preparazione informatica avanzata, ma lo stesso si può dire per i pentester. Con i loro test, questi specialisti rilevano falle e difetti di qualsiasi tipo. Ciò permette al team IT di acquisire il punto di vista di un cybercriminale e dare soluzioni per correggere velocemente le vulnerabilità;
- Requisiti da possedere: secondo il proprio settore economico, esistono diversi standard ai quali le imprese devono aderire. Per fare un esempio, se si ricevono pagamenti dei clienti attraverso un sistema di carte di credito/debito, bisogna rispettare il protocollo PCI che necessita di un penetration test all’anno. Rispettare la conformità è indispensabile per evitare multe e sanzioni;
- Rendere il management aziendale consapevole dei rischi: in molte aziende il management non coglie in pieno il rischio che tali vulnerabilità possono rappresentare. Dunque, potrebbe non attribuire le giuste risorse economiche per l’implementazione delle misure correttive. Il report finale darà al gruppo dirigente un valido strumento per capire l’importanza che riveste oggi la sicurezza informatica;
- Contenere le perdite finanziarie: i penetration test sono dispendiosi economicamente, ma anche gli attacchi informatici hanno il potere di causare perdite superiori al costo di un pentest. Ci sono casi in cui i cyberattacchi sono così invasivi da provocare la chiusura dell’azienda o da impoverirne il potenziale. Ecco, quindi, che i penetration test sono di vitale importanza per contenere i rischi provenienti dal web.