Penetration Testing

Il Penetration Testing (PT) è un insieme di attività orientate al raggiungimento di un risultato, che vedono il loro scopo precipuo nella violazione controllata del perimetro di sicurezza informatica di un sistema, un software o una macchina identificabile come “target” o “goal”. Simulando uno o più attacchi reale, come potrebbe realmente eseguire un malintenzionato (lamer o cracker), aggirando le difese della vittima, l’operatore (ethical hacker) cercherà di sfruttare le vulnerabilità a carico di configurazioni, software o apparati per accedere ai dati aziendali e/o prendere il controllo dei sistemi per poter raggiungere segreti industriali, codici bancari o altre informazioni che possano essere utili merci di scambio o fonti di guadagno .

Procedendo su tutte le componenti sfruttabili dall’attaccante ovvero reti, sistemi, applicazioni, persone, processi, luoghi fisici, l’operatore mette alla prova il grado di sicurezza logica dell’architettura esponendo la stessa ad attacchi mirati da parte di agenti di minaccia simulati. Tale attività permetterà all’azienda di verificare sul campo, in modo sistematico, consistente e ripetibile (se condotto in funzione di una metodologia), tramite molteplici vettori di attacco, se e come le vulnerabilità riscontrate siano sfruttabili da parte di un attaccante esperto. 

Come nel caso dei VA anche nell’attività di PT, spesso, vengono utilizzati strumenti per la scansione delle vulnerabilità o altri strumenti specifici per analizzare applicazioni web e infrastrutture di rete. Nello specifico, nelle attività di PT vengono sfruttate le vulnerabilità trovate in modo da raggiungere l’obiettivo finale. Ovvero la compromissione del sistema. Tengo a precisare che in questo tipo di attività svolge un ruolo chiave la fase di ingaggio e definizione dei requisiti, in questa fase si definisce il perimetro, gli obiettivi e il modus operandi.

Vi sono differenti sono le modalità di svolgimento dell’attività di Penetration Test, base alla quantità di informazioni a cui il soggetto non autorizzato ha acceduto, ad esempio:

• White box (test autenticato): simulazione di un attacco da parte di un utente con credenziali valide e piena conoscenza dell’infrastruttura IT bersaglio. Solitamente le informazioni fornite sono: diagrammi di rete, indirizzi IP, configurazioni di sistema, credenziali con diversi livelli di permission. Viene suggerito questo tipo di test quando è necessario valutare quanti danni potrebbe causare l’azione di un insider malintenzionato o di un esterno che possiede le credenziali rubate.
• Black box (test non autenticato): simulazione di un attacco di un hacker esterno che agisce al fine di ottenere l’accesso non autorizzato ai sistemi ed esfiltrare o distruggere dati, o, semplicemente, per causare un disservizio. Per questo tipo di test non si fornisce alcun dettaglio tecnico.
• Gray box: costituisce una via di mezzo tra le precedenti; generalmente vengono forniti gli indirizzi IP bersaglio (ed eventualmente la parte di schema di rete per raggiungerli) e le credenziali di un utente senza permessi.

È auspicabile che le attività di VA e PT vengano effettuate insieme e con periodicità, almeno annuale, allo scopo di determinare il livello di vulnerabilità delle componenti di rete esposte al pubblico ed assicurarsi che le misure di difesa siano adeguate nell’individuare e contrastare tutte le possibili azioni illecite.