Uno dei servizi maggiormente richiesti è il Penetration Test, un assessment di tipo quasi esclusivamente manuale.
È un attacco hacker simulato che verifica la presenza di vulnerabilità sfruttabili all’interno dell’infrastruttura ICT e delle applicazioni web e mobile.
Possiamo identificare 5 fasi dell’Assessment.
1. Pianificazione e ricognizione
Il primo obiettivo è quello di:
-
- Definire su quali sistemi eseguire l’attacco e quali metodologie comprendere.
- Ricavare informazioni sui target per capirne il funzionamento e le loro potenziali vulnerabilità.
2. Scansione (Vulnerability Assessment)
In questa fase, attraverso tecniche automatiche e manuali, andiamo a ricavare informazioni più specifiche sui sistemi, come ad esempio le porte aperte, i servizi attivi, i plugin utilizzati, i sistemi operativi, ecc.
Una volta ottenute queste informazioni si passa alla ricerca di vulnerabilità già note che affliggono i dispositivi della rete.
Per maggiori informazioni vedi cos’è e come funziona un Vulnerability Assessment.
3. Ottenere l’accesso ai sistemi
Una volta individuate le vulnerabilità critiche si prova a sfruttarle per verificarne l’impatto sul sistema e i danni che possono provocare.
4. Mantenere l’accesso
L’obiettivo di questa fase è vedere se le vulnerabilità possono essere utilizzate per ottenere un accesso permanente nei vostri sistemi. Un attaccante potrebbe rimanere nascosto nella vostra rete per mesi manomettendo la produzione, questo attraverso attacchi di vario genere (Ransomware, Malware, Trojan, Virus, Sniffing, Keylogger, ecc…).
5. Analisi
I risultati del PT vengono quindi elencati in un report che comprende:
-
- Le vulnerabilità specifiche che sono state sfruttate
- I dati sensibili a cui è stato effettuato l’accesso
- La quantità di tempo in cui il tester è stato in grado di rimanere inosservato nel sistema
Come può essere effettuato un PT?
- Black Box. Durante un PT Black Box (noto anche come PT esterno) al pen tester vengono fornite poche o nessuna informazione sull’infrastruttura IT della vostra azienda. Il vantaggio principale di questo metodo di test è quello di simulare un attacco informatico reale, in cui il pen tester assume il ruolo di un aggressore disinformato. Per contro, la limitazione di questa metodologia di testing è dovuta al fatto che un vero attaccante avrebbe a disposizione un tempo illimitato per effettuare un attacco, mentre il pen tester deve rispettare le scadenze concordate con voi clienti.
- White Box. Durante questa metodologia di testing il pen tester ha piena conoscenza dell’ambiente e un accesso come un utente privilegiato. L’obiettivo di un PT in White Box è quello di fornirvi un risultato più approfondito possibile sullo stato di sicurezza dell’intera rete.
- Grey Box. Tra le due metodologie appena descritte troviamo il Grey Box, che consiste in una prima fase di analisi in black box, provando ad approcciarsi come un vero attaccante; nel caso in cui il pen tester non fosse riuscito ad ottenere un accesso alla rete nei tempi stabiliti, allora si passerebbe ad una seconda fase, l’analisi della rete interna, con le credenziali di un utente base.
Tipi di Penetration Test:
- Network
- Web Application
- Wireless
- Social Engineering
- Client Side