Penetration Test

Con Penetration Test o Pen Test si fà riferimento all’esecuzione di attacchi controllati di una rete o di un’applicazione per identificare tutte le potenziali vulnerabilità di sicurezza che un utente malintenzionato potrebbe sfruttare.

Il Penetration Test può essere eseguito in modo automatizzato e manuale, in entrambi i casi il processo prevede la raccolta di informazioni sull’obiettivo, eseguendo come prima fase il vulnerability assessment che permette di valutare tutte le potenziali vulnerabilità dei sistemi e delle applicazioni per poi analizzarle e sfruttarle per accedere a informazioni riservate, e in certi casi ottenere il totale controllo dell’infrastruttura.

L’obiettivo principale del Penetration Test è l’identificazione di punti deboli della sicurezza, inoltre può essere eseguito per convalidare le policy di sicurezza di un’organizzazione e i requisiti di conformità normativi.

Le informazioni sulle vulnerabilità identificate o sfruttate attraverso il Penetration Test, vengono divulgate al personale tecnico dell’organizzazione, consentendo di prendere decisioni strategiche e dare priorità alle attività di risanamento.

Il Penetration test esamina l’efficacia reale dei controlli di sicurezza esistenti, i regolari test automatizzati e manuali possono determinare le debolezze dell’infrastrutture, software, fisiche e persino del personale e aiutare l’azienda a sviluppare controlli efficaci.

L’importanza del Penetration Test è ancora più evidente ora che il regolamento generale sulla protezione dei dati (GDPR, anche conosciuto come RGPD) è entrato in pieno vigore. Il Penetration Test è una delle misure menzionate dall’articolo 32 del Regolamento, articolo che delinea l’esigenza di istituire “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” eseguendo analisi delle vulnerabilità (Penetration Test) e valutazione di rischi. La valutazione dei rischi è strettamente necessaria sugli asset infomatici, in molti casi è proprio quest’ultimo a contenere un flusso maggiore di dati.

 

Scopo del Penetration Test

  • Convalida le policy di sicurezza se soddisfano i requisiti di conformità.
  • Evidenzia le vulnerabilità impossibili da rilevare con sistemi automatizzati o software di scansione.
  • Determina la fattibilità di un particolare insieme di vettori di attacco.
  • Identifica le vulnerabilità a rischio più elevato risultanti da vulnerabilità a rischio più basso.
  • Convalida il reale impatto di rischio operativo derivato da attacchi di successo.
  • Testa la capacità di difesa della rete di rilevare e rispondere con successo all’attacco.
  • Implementa e valida nuovi controlli di sicurezza messi in atto.

 

Modalità di esecuzione del Penetration Test

BLACK-BOX:
L’esaminatore non ha precedente conoscenza dell’infrastruttura oggetto di analisi e  quindi deve determinare architettura e servizi dei sistemi accessibili in remoto.

WHITE-BOX:
Il cliente condivide con l’esaminatore le informazioni di dettaglio relative ai processi di business ed ai flussi applicativi di interesse.

 

Metodologia del Penetration Test (Pen Test)

La valutazione e l’esecuzione del Penetration Test è condotta in conformità con i consigli descritti nel documento NIST SP 800-1151 e seguendo quanto definito nell’Open Source Security Testing Methodology OSSTMM, inoltre la valutazione per l’identificazione di vulnerabilità delle applicazioni web è basata su metodologia OWASP TOP 10.


metodologia Penetration Test


Report Vulnerability Assessment e Penetration TestPenetration Test Report:

Report di sintesi, descrizione vulnerabilità individuate .

Documentazione tecnica da divulgare al personale tecnico , fornisce dettagli tecnici delle vulnerabilità individuate .

Analisi dei rischi basata sui fatti per convalidare i risultati.

Raccomandazioni tattiche e strategiche per un miglioramento immediato.

 


Verifica se le misure che hai preso per proteggere la tua organizzazione sono realmente efficaci nella pratica.

I nostri hacker etici eseguono un attacco realistico che mette alla prova tutti gli aspetti della tua organizzazione:

  • Hai preso le giuste misure organizzative per proteggere i tuoi asset aziendali o ci sono ancora misure mancanti che causano debolezze di sicurezza?
  • Esistono vulnerabilità tecniche che gli hacker possono sfruttare? Le tue misure di monitoraggio e rilevamento funzionano correttamente? Sono state adottate misure di sicurezza sufficienti per garantire la protezione dei dati nel rispetto delle normative vigenti?
  • I tuoi dipendenti sono sufficentemente formati per riconoscere un email di phishing e/o attacco di social engineering? I tuoi dipendenti rispondono correttamente quando riconoscono una minaccia?

Parla con uno dei nostri esperti contattaci.

Il nostro personale certificato è a tua completa disposizione per aiutarti a trovare la soluzione ideale per mettere in sicurezza il tuo business, richiedi il Penetration Test certificato.

Nome

Email

Messaggio