Penetration test: cos’è, a cosa serve, quando va fatto

Niccolò Ellena

28 Dicembre 2022 - 10:00

Il penetration test, anche noto come «pentest», prevede che degli hacker etici provino a forzare un sistema IT con l’obiettivo di individuarne le vulnerabilità, ecco come funziona.

Penetration test: cos’è, a cosa serve, quando va fatto

Se il sistema IT dell’azienda per cui lavorate è solido è perché probabilmente ha superato un penetration test (o pentest), che ne ha messo in luce le vulnerabilità, cosicché un team di esperti potesse porvi rimedio. Ma esattamente cos’è un penetration test? Il penetration test fa parte di quei test che un’azienda deve fare per essere al sicuro dagli attacchi informatici. Tradotto letteralmente, il termine penetration test significa test di penetrazione, poiché un gruppo di hacker etici, ossia hacker senza cattive intenzioni, deve provare con ogni mezzo a sua disposizione a entrare in un sistema IT chiuso, violandone la sicurezza.

Cos’è un penetration test

Un penetration test è un test condotto da degli hacker etici esperti con l’obiettivo di violare il sistema di sicurezza di un’infrastruttura IT. Per riuscirci questi possono utilizzare ogni metodo a loro disposizione. Nei penetration test, gli hacker etici vanno oltre l’identificazione delle vulnerabilità, ma cercano anche di sfruttarle per determinare la forza delle configurazioni di sicurezza. Per fare ciò utilizzano una serie di tecniche di hacking, così da poter osservare la reazione del sistema di sicurezza quando è sotto attacco. Per effettuare un penetration test è necessario prima di tutto definire lo scenario e successivamente lo stile con cui lo si vuole effettuare.

Penetration test: gli scenari

Una delle prime cose da considerare quando si fa un penetration test è lo scenario in cui può avvenire:

  • External penetration test: questo test prevede che un tester provi a entrare dall’esterno all’interno di un sistema IT. Per farlo egli deve cercare ciò che è disponibile in rete e usarlo a proprio vantaggio per portare a termine il suo obiettivo. In questi casi uno dei metodi più utilizzato è quello di mettersi alla ricerca di bug del sistema rimasti irrisolti che, se sufficientemente grandi, permettono all’hacker di entrare.
  • Internal penetration test: questo tipo di test funziona in maniera opposta al precedente. In questo caso si verifica il grado di facilità con cui un hacker esterno che magari è entrato in possesso delle credenziali di accesso di un dipendente, può manipolare o danneggiare l’infrastruttura IT aziendale.
  • Targeted penetration test: in questo scenario degli hacker etici mostrano al dipartimento IT di un’azienda come si verifica un attacco hacker da parte di un malintenzionato. Questo tipo di simulazione ha l’obiettivo di mostrare ai tecnici interni all’azienda quale è il modus operandi di un malintenzionato.
  • Blind penetration: questo test avviene secondo lo stile black box, quindi chi lo effettua non ha alcuna informazione sulla struttura. Può essere molto costoso e talvolta richiedere molto tempo.
  • Double blind penetration test: in questo caso, infine, il dipartimento IT dell’azienda non sa che un hacker etico sta per attaccare il sistema, le dinamiche che si configurano quindi sono quelle di un attacco vero e proprio. Grazie ad esso è possibile misurare la capacità di reazione del personale dipendente dell’azienda responsabile della sua sicurezza informatica.

Penetration test: gli stili

Dopo lo scenario, è necessario prendere in considerazione lo stile di penetrazione. Quelli principali sono tre:

  • White box penetration testing: questo tipo di test di penetrazione comporta la condivisione di tutte le informazioni di rete e di sistema con il team di tester, comprese le mappe di rete e le credenziali. Questo aiuta a risparmiare tempo e ridurre il costo complessivo dell’operazione.
  • Black box penetration testing: questo stile di test prevede che il tester non abbia a disposizione nessuna informazione sul sistema. In questo caso l’operazione è sicuramente più lunga e costosa, perché sta al tester procurarsi tutte le informazioni, il che può richiedere molto tempo; tuttavia questo stile è sicuramente più realistico per mostrare quelli che sono gli scenari più plausibili quando si verifica un attacco da un hacker estraneo.
  • Grey box penetration test: questo stile di test è considerabile come un giusto compromesso tra efficacia e costo dell’operazione. In questo caso le informazioni fornite al tester sono limitate, generalmente si tratta delle credenziali di accesso al sistema. Questo scenario è utile soprattutto per simulare i danni che un hacker malintenzionato potrebbe fare se riuscisse a entrare in possesso delle credenziali di un dipendente, per esempio.

Penetration test: i target

È necessario infine considerare quali sono generalmente i target dei penetration test, questi sono i principali.

  • Network penetration test: questo test misura la sicurezza di una rete, prendendo di mira sia gli host che i dispositivi. È molto importante monitorare con attenzione lo stato della rete poiché attorno ad essa ruotano molti degli aspetti legati alla sicurezza aziendale. Ciò è confermato anche dal fatto che è proprio la rete spesso ad essere vittima di attacchi da parte degli hacker.
  • Web application penetration test: questo test ha l’obiettivo di trovare eventuali vulnerabilità all’interno di un’applicazione web che, se colpita, potrebbe mettere in pericolo la sicurezza dell’intera infrastruttura.
  • Mobile application penetration test: Questo test si concentra sulla sicurezza delle comunicazioni e dei dati salvati su un dispositivo, sulla bontà dell’architettura implementata e sulla sicurezza della piattaforma server.
  • API penetration test: questo test, come si può desumere dal nome, verifica la sicurezza delle API (application programming interface). In particolare, ha l’obiettivo di verificare che i meccanismi di autenticazione e autorizzazione funzionino correttamente.
  • IoT penetration test: questo tipo di penetration test esamina la vulnerabilità delle password scelte, dei servizi pubblici e dell’ecosistema IoT, come scarse autorizzazioni e autenticazioni. Inoltre si accerta che gli aggiornamenti avvengano in sicurezza e i dispositivi non siano esposti a pericoli fisici.

A cosa serve il penetration test

La finalità del penetration test è evitare che degli hacker malintenzionati riescano a violare un sistema IT contro la volontà del suo proprietario. Grazie a questo tipo di test e ad altri come il vulnerability scan, le infrastrutture online delle aziende sono al sicuro dagli attacchi di hacker che potrebbero cercare di rubare loro dati o informazioni sensibili.

Perché e quando fare un penetration test

La ragione per cui ogni azienda dovrebbe fare un penetration test è piuttosto semplice: questo permette di mettere al sicuro l’infrastruttura online di un’azienda o di un privato, in modo che i malintenzionati che vogliono attaccarla non abbiano vita facile. I costi da sostenere per fare un penetration test efficacie non sono bassi, tuttavia, il prezzo delle informazioni potenzialmente in pericolo a causa degli hacker potrebbe essere molto più alto. Per la frequenza dei test, gli esperti di sicurezza informatica consigliano di farli periodicamente, in modo da rilevare periodicamente eventuali falle nel sistema di sicurezza.

Argomenti

# Hacker

Iscriviti a Money.it