Penetration Test: Analisi delle Vulnerabilità

Con Penetration Test o Pen Test si fa riferimento all'esecuzione di attacchi controllati di una rete o di un'applicazione per identificare tutte le potenziali vulnerabilità di sicurezza che un utente malintenzionato potrebbe sfruttare.

01 — PROCESSO

Il Processo di Analisi e Sfruttamento

Il Penetration Test può essere eseguito in modo automatizzato e manuale. In entrambi i casi il processo prevede la raccolta di informazioni sull'obiettivo, eseguendo come prima fase il vulnerability assessment che permette di valutare tutte le potenziali vulnerabilità dei sistemi e delle applicazioni per poi analizzarle e sfruttarle per accedere a informazioni riservate, e in certi casi ottenere il totale controllo dell'infrastruttura.

L'obiettivo principale è l'identificazione di punti deboli della sicurezza. Inoltre, può essere eseguito per convalidare le policy di sicurezza di un'organizzazione e i requisiti di conformità normativi.

Le informazioni sulle vulnerabilità identificate vengono divulgate al personale tecnico dell'organizzazione, consentendo di prendere decisioni strategiche e dare priorità alle attività di risanamento.

app.cyberadvising.com/pentest
> Initiating Penetration Test...
> Target: 192.168.1.15 (Web App)
> Phase 1: Vulnerability Assessment
> Checking OWASP Top 10...
> [!] Found A03: Injection
> [!] Found A07: Auth Failures
> Phase 2: Exploitation
> Attempting DB access... SUCCESS
> Extracting records... RISK HIGH
> Generating report... DONE

Conformità GDPR e Valutazione dei Rischi

L'importanza del Penetration Test è ancor più evidente ora che il regolamento generale sulla protezione dei dati (GDPR) è entrato in pieno vigore.

Il Penetration Test è una delle misure menzionate dall'articolo 32 del Regolamento, che delinea l'esigenza di istituire una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative eseguendo analisi delle vulnerabilità e valutazione di rischi.

"Una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento" — Art. 32 GDPR
Art. 32
La valutazione dei rischi è strettamente necessaria sugli asset informatici, in molti casi è proprio quest'ultimo a contenere un flusso maggiore di dati.

Scopo del Penetration Test

Il Penetration test esamina l'efficacia reale dei controlli di sicurezza esistenti. I regolari test automatizzati e manuali determinano le debolezze dell'infrastruttura, software, fisiche e persino del personale.

Convalida e Difesa

Convalida le policy di sicurezza se soddisfano i requisiti di conformità. Evidenzia le vulnerabilità impossibili da rilevare con sistemi automatizzati o software di scansione.

Vettori di Attacco

Determina la fattibilità di un particolare insieme di vettori di attacco. Identifica le vulnerabilità a rischio più elevato risultanti da vulnerabilità a rischio più basso combinate tra loro.

Impatto Operativo

Convalida il reale impatto di rischio operativo derivante da attacchi di successo. Testa la capacità di difesa della rete di rilevare e rispondere con successo all'attacco.

Implementazione Controlli

Implementa e valida nuovi controlli di sicurezza messi in atto. Aiuta l'azienda a sviluppare difese efficaci e misurabili nel tempo.

02 — METODOLOGIA

Modalità di Esecuzione

La valutazione e l'esecuzione del Penetration Test è condotta in conformità con i consigli descritti nel documento NIST SP 800-115 e seguendo quanto definito nell'Open Source Security Testing Methodology OSSTMM. L'identificazione delle vulnerabilità delle applicazioni web è basata su metodologia OWASP TOP 10.

  • BLACK-BOXL'esaminatore non ha precedente conoscenza dell'infrastruttura oggetto di analisi e deve determinare architettura e servizi dei sistemi accessibili in remoto.
  • WHITE-BOXIl cliente condivide con l'esaminatore le informazioni di dettaglio relative ai processi di business ed ai flussi applicativi di interesse.
NIST SP 800-115
OSSTMM
OWASP Top 10
methodologies/checklist
Reconnaissance & Intelligence
DONE
Vulnerability Scanning (Automated)
DONE
Manual Exploitation (OWASP)
ACTIVE
Post-Exploitation & Analysis
PENDING
Reporting & Remediation
PENDING
REPORTING

Report Vulnerability Assessment e Penetration Test

Al termine dell'attività di sicurezza, viene redatto un report completo che illustra in modo chiaro e dettagliato tutte le vulnerabilità individuate, il livello di rischio associato e le raccomandazioni tattiche e strategiche per un miglioramento immediato.

Il report include un'analisi dei rischi basata sui fatti per convalidare i risultati, fornendo sia un documento di sintesi per il management che documentazione tecnica approfondita da divulgare al personale IT.

Verifica se le misure che hai preso per proteggere la tua organizzazione sono realmente efficaci nella pratica. I nostri hacker etici eseguono un attacco realistico che mette alla prova tutti gli aspetti della tua organizzazione.

  • Esistono vulnerabilità tecniche sfruttabili? Le misure di monitoraggio funzionano?
  • Sono state adottate misure di sicurezza sufficienti per garantire la protezione dei dati?
  • I dipendenti sono sufficientemente formati per riconoscere email di phishing o attacchi di social engineering?
Richiedi il Penetration Test Certificato