Il penetration testing (PT) è essenzialmente una forma controllata di hacking, in cui un professionista, lavorando per conto dell’organizzazione, utilizza le stesse tecniche impiegate dagli hacker per cercare vulnerabilità nelle reti o nelle applicazioni web dell’Azienda.
Il Penetration Test è una delle misure menzionate dall’articolo 32 del Regolamento GDPR, articolo che delinea l’esigenza di istituire “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” eseguendo analisi delle vulnerabilità e valutazione dei rischi.
Il PT è la verifica necessaria per dimostrare che il sistema informatico soddisfi i requisiti di sicurezza dei suoi stakeholder.
La finalità è evitare che un malintenzionato esterno o interno possa minare l’infrastruttura in termini di riservatezza, integrità e disponibilità degli Asset.
Quali tipologie di Penetration Test esistono?
External Testing
I PT esterni hanno come obiettivo quello di capire se un hacker può entrare nel sistema informatico dall’esterno, e quanto in profondità può entrare nel sistema colpito. Con questi test si cerca tutto ciò che è visibile in rete per provare a trovare punti di accesso che possano permettere all’hacker di “penetrare” nel sistema. Questi attacchi di solito vengono effettuati partendo da:
- DNS (Domain Name Servers);
- Sito web;
- Web application;
- altro.
Internal Testing
Un PT interno viene di solito effettuato da qualcuno all’interno dell’organizzazione, serve ad analizzare buchi e falle del sistema interno riservato agli impiegati.
Targeted Testing
I PT targettizzati vengono effettuati insieme da un penetration tester professionista e dal dipartimento IT, e servono principalmente per far capire agli IT in azienda quale può essere la prospettiva di chi sta attaccando i sistemi, in modo da poterli rendere più sicuri anche con futuri sviluppi.
Double Blind testing
È l’attacco più simile alla realtà, il PT double blind vanta la caratteristica che il dipartimento IT è completamente all’oscuro del fatto che si sta iniziando questo tipo di attacco / test. In questo modo viene simulato un reale attacco informatico, “di nascosto” da tutti quanti i principali attori informatici all’interno dell’azienda.
Penetration test applicazioni web
Grazie al PT delle web app, si può scoprire se un hacker potrebbe compromettere l’applicazione web aziendale, sia dall’interno che dall’esterno. Si ricercano le più comuni vulnerabilità definite da OWASP (Open Web Application Security Project).
Penetration test reti wireless
I PT per violare le reti wireless cercano di capire quanto facilmente una rete possa essere sfruttata utilizzando il wireless. Viene anche qui simulato un attacco di un malintenzionato che si trovasse nel perimetro wireless di copertura della rete.
Penetration test protocollo VoIP
Un PT del protocollo VoIP consiste nel raccogliere più informazioni possibile dalla rete VOIP, tra la presa ethernet e il telefono. È possibile capire quindi il grado di vulnerabilità della rete VOIP aziendale.
Penetration test accesso remoto
Il PT dell’accesso in remoto consente di scoprire eventuali vulnerabilità dovute al lavoro a distanza, proteggendo quindi il lavoro da remoto.
Fonti: