Penetration Test
Con Penetration Test o Pen Test si fà riferimento all’esecuzione di attacchi controllati di una rete o di un’applicazione per identificare tutte le potenziali vulnerabilità di sicurezza che un utente malintenzionato potrebbe sfruttare.
Il Penetration Test può essere eseguito in modo automatizzato e manuale, in entrambi i casi il processo prevede la raccolta di informazioni sull’obiettivo, eseguendo come prima fase il vulnerability assessment che permette di valutare tutte le potenziali vulnerabilità dei sistemi e delle applicazioni per poi analizzarle e sfruttarle per accedere a informazioni riservate, e in certi casi ottenere il totale controllo dell’infrastruttura.
L’obiettivo principale del Penetration Test è l’identificazione di punti deboli della sicurezza, inoltre può essere eseguito per convalidare le policy di sicurezza di un’organizzazione e i requisiti di conformità normativi.
Le informazioni sulle vulnerabilità identificate o sfruttate attraverso il Penetration Test, vengono divulgate al personale tecnico dell’organizzazione, consentendo di prendere decisioni strategiche e dare priorità alle attività di risanamento.
Il Penetration test esamina l’efficacia reale dei controlli di sicurezza esistenti, i regolari test automatizzati e manuali possono determinare le debolezze dell’infrastrutture, software, fisiche e persino del personale e aiutare l’azienda a sviluppare controlli efficaci.
L’importanza del Penetration Test è ancora più evidente ora che il regolamento generale sulla protezione dei dati (GDPR, anche conosciuto come RGPD) è entrato in pieno vigore. Il Penetration Test è una delle misure menzionate dall’articolo 32 del Regolamento, articolo che delinea l’esigenza di istituire “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” eseguendo analisi delle vulnerabilità (Penetration Test) e valutazione di rischi. La valutazione dei rischi è strettamente necessaria sugli asset infomatici, in molti casi è proprio quest’ultimo a contenere un flusso maggiore di dati.
Scopo del Penetration Test
- Convalida le policy di sicurezza se soddisfano i requisiti di conformità.
- Evidenzia le vulnerabilità impossibili da rilevare con sistemi automatizzati o software di scansione.
- Determina la fattibilità di un particolare insieme di vettori di attacco.
- Identifica le vulnerabilità a rischio più elevato risultanti da vulnerabilità a rischio più basso.
- Convalida il reale impatto di rischio operativo derivato da attacchi di successo.
- Testa la capacità di difesa della rete di rilevare e rispondere con successo all’attacco.
- Implementa e valida nuovi controlli di sicurezza messi in atto.
Modalità di esecuzione del Penetration Test
BLACK-BOX:
L’esaminatore non ha precedente conoscenza dell’infrastruttura oggetto di analisi e quindi deve determinare architettura e servizi dei sistemi accessibili in remoto.
WHITE-BOX:
Il cliente condivide con l’esaminatore le informazioni di dettaglio relative ai processi di business ed ai flussi applicativi di interesse.
Metodologia del Penetration Test (Pen Test)
La valutazione e l’esecuzione del Penetration Test è condotta in conformità con i consigli descritti nel documento NIST SP 800-1151 e seguendo quanto definito nell’Open Source Security Testing Methodology OSSTMM, inoltre la valutazione per l’identificazione di vulnerabilità delle applicazioni web è basata su metodologia OWASP TOP 10.
Penetration Test Report:
Report di sintesi, descrizione vulnerabilità individuate .
Documentazione tecnica da divulgare al personale tecnico , fornisce dettagli tecnici delle vulnerabilità individuate .
Analisi dei rischi basata sui fatti per convalidare i risultati.
Raccomandazioni tattiche e strategiche per un miglioramento immediato.
Verifica se le misure che hai preso per proteggere la tua organizzazione sono realmente efficaci nella pratica.
I nostri hacker etici eseguono un attacco realistico che mette alla prova tutti gli aspetti della tua organizzazione:
- Hai preso le giuste misure organizzative per proteggere i tuoi asset aziendali o ci sono ancora misure mancanti che causano debolezze di sicurezza?
- Esistono vulnerabilità tecniche che gli hacker possono sfruttare? Le tue misure di monitoraggio e rilevamento funzionano correttamente? Sono state adottate misure di sicurezza sufficienti per garantire la protezione dei dati nel rispetto delle normative vigenti?
- I tuoi dipendenti sono sufficentemente formati per riconoscere un email di phishing e/o attacco di social engineering? I tuoi dipendenti rispondono correttamente quando riconoscono una minaccia?
Parla con uno dei nostri esperti contattaci.
Il nostro personale certificato è a tua completa disposizione per aiutarti a trovare la soluzione ideale per mettere in sicurezza il tuo business, richiedi il Penetration Test certificato.