Cosa è il Penetration Testing

Cosa è il Penetration Testing? Chiamato anche in gergo “Pen Test”, è una operazione di analisi e valutazione della sicurezza di un sistema informativo, di una rete o di una applicazione (anche web).

Il Penetration Testing consiste nel verificare le vulnerabilità di un sistema, simulando gli attacchi di un malintenzionato e aiuta a determinare se il livello di difese dagli attacchi sono sufficienti.

A livello “culturale” la sicurezza informatica vede i suoi albori negli anni ’60 in America. Le prime conferenze della SDC (System Development Corporation), della RAND Corporation e della NSA (National Security Agency) mostravano i primi rischi di attacchi di malintenzionati intenti a penetrare i sistemi militari Americani con lo scopo di rubare dati. Si definiva anche “computer penetration”.

Con l’evoluzione dell’information technology e di internet, la sicurezza informatica si è adattata agli scenari. Oggi giorno ogni azienda ha il suo sistema informativo, banche dati e software di gestione. Tramite il web la penetrazione ai sistemi da parte di malintenzionati (hacker) è cresciuta a livello esponenziale anche perchè ogni azienda è connessa in rete. I rischi di attacchi sono quindi all’ordine del giorno.

Come funziona un Penetration Testing?

All’inizio dei lavori l’azienda può condividere con il consulente le informazioni (server e dispositivi di sicurezza) in un “white box”. Oppure si potrà non condividere nulla se non l’indirizzo internet del cliente e si parlerà di “black box”.

Troviamo generalmente cinque tipi di penetration testing:

  • Esterno
  • Interno
  • Targeted Testing
  • Blind Testing
  • Double Blind Testing

Il Penetration Testing interno consiste nel valutare come un hacker possa entrare nel sistema informativo dall’esterno. Questo tipo di test cerca tutto ciò che presente in rete e cerca punti di “accesso scoperti”. In questo scenario si valuta anche fino a che punto l’hacker può penetrare in profondità del sistema. Il pen tester simula gli attacchi senza conoscere l’infrastruttura dell’azienda iniziando semplicemente dal web.

Nell’Internal Testing si valuta la facilità di penetrazione al sistema simulando di essere qualcuno già presente nell’organizzazione aziendale. In questo caso il pen tester conosce già una password di accesso interno, verificando come e cosa si può penetrare una volta ottenuto un primo accesso. L’Internal Testing simula l’attacco proveniente da un malintenzionato interno all’azienda.

Il Target Testing è un test effettuato insieme al dipartimento IT aziendale. Serve per far capire all’area informatica la prospettiva di chi può attaccare e come nel caso migliorare la sicurezza dei sistemi stessi.

Il Blind Testing ed il Double Blind Testing consistono in una simulazione di attacchi senza conoscere alcuna informazione sui sistemi aziendali quindi “alla cieca”. Il penetration tester applicherà le più comuni tecniche di hacking conosciute.

Il Double Blind Testing consiste nel test alla cieca ma anche all’insaputa del dipartimento IT aziendale. In questo modo viene simulato un reale attacco di nascosto ai sistemi aziendali.

Un Pen Test può essere effettuato su:

  • applicazioni web
  • reti wireless
  • protocollo VoIP
  • accesso remoto

Il lavoro del Penetration Tester termina con il rilascio al cliente una sorta di report in cui il consulente (etichal hacker o security IT consultant) riporta le situazioni di rischio/vulnerabilità e come eventualmente intervenire per evitare manomissioni da malintenzionati.

Tra i vari strumenti per effettuare il Penetration Testing di applicazioni web (ormai sempre più diffuse) troviamo OWASP definito come “Open Web Application Security Project”. Si tratta di una sorta di guida principale per tutti i penetration tester che lavorano sulle applicazioni web. OWASP è oggi uno standard internazionale oltre ad essere un vero progetto supportato a livello mondiale.

(fonte1) (fonte2)

Questo articolo ha provato a rispondere alla domanda “Cosa è il Penetration Testing”?

Innovaformazione, scuola informatica specialistica promuove la cultura digitale nelle aziende.

Nell’offerta formativa trovate il Corso Owasp Sicurezza web App.

Per informazioni: info@innovaformazione.net – tel. 3471012275 (Dario Carrassi)

Vuoi essere ricontattato? Lasciaci il tuo numero telefonico e la tua email, ti richiameremo nelle 24h:

    Ti potrebbe interessare

    Articoli correlati