Pen tester: ecco perché il penetration test è importante per le aziende

Il penetration test, conosciuto anche come pen test, è una prova di vulnerabilità di un sistema e delle applicazioni, che viene messo sotto stress simulando un attacco hacker da parte di un team di esperti, i pen tester. Proviamo a capire meglio insieme di cosa si tratta e perché può essere così importante per le aziende.

Perché effettuare un pen test

Un pen test è molto utile alle aziende che vogliono tutelare i propri dati dai pirati della Rete. Va sottolineato, a tal proposito, che si tratta di un settore in continua evoluzione e per quanto il reparto Information Technology di un’azienda sia preparato a sopperire a situazioni critiche, non potrà mai sentirsi all’avanguardia, poiché le sgradite novità in questo ambito sono all’ordine del giorno.

Insomma, il rischio che gli hacker siano sempre un passo avanti rispetto ai livelli di sicurezza è più che concreto e per questo un penetration testing, effettuato di tanto in tanto, è un’ottima strada per garantire l’impermeabilità del sistema.

Tre modalità per effettuare il penetration test

Il penetration test può essere effettuato in tre modalità che simulano diverse tipologie di attacco. Queste differiscono tra loro per la disponibilità o meno di informazioni di sicurezza del sistema da parte del presunto hacker (e quindi da parte dei pen tester).

1. Black Box Testing: detto anche “Trial and error”, è un test che dura molto a lungo poiché i pen tester non hanno indicazione alcuna rispetto a codice sorgente e web application. Essi dunque navigano nel buio più totale e vanno alla ricerca di punti deboli del sistema. 
2. White Box Testing: detto anche “Clear Box Testing”, è condotto da personale che conosce informazioni di sicurezza del sistema. Per questo dura meno tempo rispetto al black box testing, risulta più efficace, ma per essere davvero credibile deve essere condotto in maniera automatizzata, facendo uso di pentest tools complessi. 
3. Grey Box Testing: in questo caso i tester sono solo parzialmente a conoscenza dei sistemi di sicurezza. Il Penetration Test è condotto sia manualmente che con il supporto dell’automazione. 

Come si effettua un penetration test

Nel corso del penetration test si gioca una sorta di partita, in cui si affrontano una squadra rossa, una squadra blu e una squadra viola.

• La squadra rossa conduce l’attacco
• La squadra blu difende la sicurezza del sistema
• La squadra viola, neutrale, è una sorta di arbitro con compiti di supervisione

Tipologie di penetration test

Esistono vari tipi di penetration test che differiscono in base al servizio e all’area analizzati. Ecco quali vengono effettuati in genere:

• Web Application: si tratta di un’analisi complessiva e dettagliata e che per questo può richiedere diverso tempo. Permette di verificare il rischio di penetrazione connesso a ogni applicazione web.
• Wireless: si occupa di verificare il livello di sicurezza di ogni dispositivo wireless presente in azienda
• Servizi Network: questa tipologia è molto usata e interessa i servizi network dell’azienda 
• Test ai dipendenti: con questo test si cerca di carpire ai dipendenti informazioni sensibili relative all’azienda, sia fisicamente che da remoto (tramite, ad esempio, campagne phishing).

Vulnerability assessment e penetration test

Vulnerability assessment e penetration test vengono spesso utilizzati come sinonimi; in realtà si tratta di pratiche simili, ma non uguali. Ecco le differenze: 

1. Intervento automatizzato o manuale: il vulnerability assessment viene condotto esclusivamente per mezzo di un’attività automatizzata, mentre il pen test è condotto sia attraverso l’automazione che tramite interventi manuali. 
2. Profondità di ricerca della vulnerabilità: Come indica la parola stessa, un penetration test è un security test che mira alla profondità rispetto a una specifica criticità, mentre il vulnerability assessment va alla ricerca di punti di vulnerabilità.
3. Frequenza: l’ideale è eseguire il vulnerability assessment a scadenze regolari, ad esempio una decina di volte ogni anno (una volta al mese sarebbe l’ideale), mentre il pen test può essere effettuato di tanto in tanto, a seconda di esigenze specifiche. 
4. Rischi: il vulnerability assessment viene eseguito senza che il sistema subisca danni, il pen test è un attacco sì simulato, ma pur sempre un hackeraggio e come tale comporta rischi che possono essere anche elevati. Ecco perché il pen test è consigliato solo a quelle aziende capaci di gestire la criticità. 

Vulnerability assessment tools

Abbiamo parlato di test condotti attraverso l’automazione. In questo paragrafo ci occupiamo di indicare quali sono gli strumenti più performanti.

1. Netsparker: Si tratta di uno scanner automatico estremamente preciso e in grado di verificare vulnerabilità come Sql Injection e Cross-Site Scripting in applicazioni Web. Netsparker dimostra che le vulnerabilità rintracciate sono reali e non falsi positivi. Disponibile come software Windows e come servizio on line.
   
2. Acunetix: è un vulnerability scanner capace di segnalare oltre 4500 criticità in applicazioni web, incluse tutte le varianti di SQL Injection e XSS. Del tutto automatizzato, è l’ideale per accompagnare l’attività di un tester. Evita falsi positivi e lavora a velocità sostenuta riducendo i tempi.
3. Core Impact: 20 anni di esperienza per questo programma che automatizza molti processi di penetration test. Ultimamente il servizio è offerto a un prezzo più basso rispetto al passato. Ideale sia per le aziende che per le società che si occupano di consulenza sulla sicurezza.
4. Probely: esegue la scansione delle web application individuando vulnerabilità o problemi di sicurezza. Fornisce indicazioni su come superare le criticità tenendo conto delle esigenze degli sviluppatori. Dotato di un’interfaccia elegante e intuitiva. 
5. Immuniweb: è un tool molto conosciuto, nonché pluripremiato. Non a caso gli analisti di Idc l’hanno giudicata piattaforma “efficace e innovativa”.

Immuniweb offre essenzialmente quattro prodotti:

• Rilevamento degli asset e classificazione dei rischi
• Web Penetration Testing (web, API, cloud, AWS)
• Mobile Penetration Testing (iOS and Android App, Backend API)
• Monitoraggio continuativo, 24 ore su 24 e 7 giorni su 7 (web, API, cloud, AWS).

Immuniweb offre inoltre:

• SSL Security Test
• Website Security Test
• Mobile App Security Test
• Phishing Test

Hai trovato interessante questo articolo? Condividilo sui social!