Penetration Test: tipologie e fasi dell’attività

Il penetration test (comunemente abbreviato in pen test) è un’attività essenziale nel campo della sicurezza informatica, progettata per valutare la sicurezza di un sistema, rete o applicazione simulando attacchi reali da parte di cyber criminali. L’obiettivo principale è quello di identificare e sfruttare le vulnerabilità all’interno del sistema per fornire un feedback dettagliato sulla sicurezza e suggerire misure correttive.

Fasi del penetration test

• Raccolta delle informazioni (reconnaissance o intelligence gathering): Prima di attaccare un sistema, un attaccante, reale o simulato, deve raccogliere quante più informazioni possibili sulla rete o sull’applicazione. Questa fase è nota come “ricognizione” e può essere attiva o passiva. Nella modalità passiva, i tester raccolgono informazioni pubblicamente disponibili (ad esempio, DNS, indirizzi IP, dettagli sulla tecnologia utilizzata, etc.). Nella modalità attiva, vengono effettuate interazioni dirette con il sistema, come l’invio di pacchetti per ottenere informazioni su porte aperte, servizi attivi e altre caratteristiche tecniche.
• Scansione: In questa fase, i tester utilizzano strumenti per eseguire una scansione delle porte, individuare servizi vulnerabili e ottenere informazioni dettagliate sulle vulnerabilità. Durante la scansione, vengono anche valutati i punti deboli del sistema operativo, le versioni obsolete di software, o eventuali configurazioni non sicure.
• Enumerazione e analisi delle vulnerabilità: Dopo aver ottenuto una panoramica dei servizi e delle risorse esposte, i tester cercano vulnerabilità note. Questo processo coinvolge l’uso di database di vulnerabilità, come il National Vulnerability Database (NVD), per identificare vulnerabilità che possono essere sfruttate in un contesto specifico. Questa fase è spesso supportata da strumenti come Metasploit.
• Sfruttamento delle vulnerabilità (exploitation): Questa è la fase in cui il penetration tester tenta di sfruttare attivamente le vulnerabilità identificate. L’obiettivo è ottenere accesso non autorizzato o compromissione del sistema, dimostrando così che una vulnerabilità può essere sfruttata in modo pratico.
• Mantenimento dell’accesso: Una volta ottenuto l’accesso al sistema, il penetration tester potrebbe tentare di mantenere l’accesso  utilizzando tecniche di persistenza. Questo è simile a ciò che farebbe un attaccante reale, per garantirsi un punto di ritorno nel caso in cui la vulnerabilità venga scoperta e chiusa.
• Pulizia e reporting: Dopo aver completato il test, il penetration tester rimuove qualsiasi modifica o exploit utilizzato, ripristinando il sistema allo stato originale. La parte più importante del test è il report dettagliato che segue. Questo documento descrive le vulnerabilità trovate, i metodi utilizzati per sfruttarle e le raccomandazioni per correggerle.

Tipi di penetration test

Esistono diversi tipi di penetration test, a seconda degli obiettivi e dell’ambiente che si desidera testare:

• Penetration test della rete: Si concentra sull’infrastruttura di rete, cercando vulnerabilità nei router, firewall, switch, e altri componenti di rete.
• Penetration test delle applicazioni: Si concentra sulle applicazioni software, come quelle web o mobile.
• Penetration test fisico: Mira a valutare la sicurezza fisica degli edifici o delle strutture aziendali, tentando di ottenere accesso fisico non autorizzato.
• Penetration test sociale: Include tecniche di ingegneria sociale, come il phishing, per testare la consapevolezza dei dipendenti e la sicurezza delle informazioni.

Il penetration test è uno strumento indispensabile nella cassetta degli attrezzi della sicurezza informatica e può essere eseguito con approcci differenti, in base allo scopo ed alle necessità.

1. White Box (Approccio a Scatola Bianca)

L’approccio white box è anche noto come approccio a visibilità completa. In questo contesto, il penetration tester ha accesso totale a tutte le informazioni riguardanti l’infrastruttura, il codice sorgente, la rete, le configurazioni e altre risorse critiche

2. Black Box (Approccio a Scatola Nera)

L’approccio black box, o scatola nera, è l’opposto del white box: il penetration tester non ha alcuna informazione interna sul sistema. Questo approccio simula un attacco da parte di un hacker esterno che non dispone di informazioni privilegiate e si basa solo su ciò che può

3. Grey Box (Approccio a Scatola Grigia)

L’approccio grey box è una combinazione dei due approcci precedenti. In un penetration test grey box, il tester ha accesso parziale a informazioni sul sistema, come ad esempio alcune credenziali di accesso, configurazioni di rete o schemi dell’architettura. Questo approccio simula un attacco da parte di un insider con limitate autorizzazioni, come un dipendente con privilegi ridotti, o di un attaccante che ha compromesso parzialmente il sistema.

Concludendo, il Penetration Test è uno strumento essenziale per le aziende e le organizzazioni, in modo che possano tutelarsi da eventuali perdite di dati sensibili, eventuali danni finanziari, ma soprattutto per mantenere la fiducia del pubblico e rispettare le normative legali. Senza un adeguato sistema di difesa, le conseguenze possono essere disastrose.

Scopri di più sul nostro servizio di Penetration Testing.