Penetration Testing ecco come un’analisi di sicurezza può rendere il sistema informatico sicuro e stabile!
Penetration Testing significa testare un sistema informatico, una rete o un’applicazione web per individuare le vulnerabilità che potrebbero essere sfruttate da un hacker attraverso la simulazione di un attacco contro gli asset informatici di un’organizzazione.
I nostri esperti in Penetration Testing, esaminano i sistemi informatici alla ricerca di punti deboli che potrebbero essere sfruttati in caso di attacco per violare la riservatezza, la disponibilità o l’integrità di una rete e delle relative informazioni.
Metodologia Penetration Testing
Per portare a termine il Penetration Testing, innovazionedigitale segue rigorosamente gli standard di riferimento internazionali:
- OWASP Testing Guide
- Penetration Testing Execution Standard
- OSSTMM
Descrizione attività
External Testing (Penetration Test esterni)
I Penetration Testing esterni hanno come obiettivo quello di capire se un hacker può entrare nel sistema informatico (dall’esterno appunto), e quanto in profondità può entrare nel sistema colpito.
Con questi test si cerca tutto ciò che è visibile in rete (ad esempio con le Google dork) per provare a trovare punti di accesso “scoperti” (backdoor, bug ed errori nel sistema informatico, etc) che possano permettere all’hacker di entrare (o meglio, “penetrare“) nel sistema.
Questi attacchi di solito vengono effettuati dal penetration tester, senza conoscere l’infrastruttura dell’azienda, partendo da internet e dalle ricerche sui motori di ricerca. Alcune cose che possono essere analizzate e testate in questi test esterni sono: DNS (Domain Name Servers), Sito web e altri.
Classificazione dei rischi tramite Penetration Testing
Ogni problematica identificata è categorizzata secondo i criteri di valutazione di metodologie standard, soppesando sia fattori di tipo tecnico, sia di business, al fine di valutare al meglio l’effettivo impatto sul target delle analisi.
Il valore di rischio finale è ottenuto combinando il possibile impatto con una valutazione della probabilità che la vulnerabilità sia effettivamente sfruttata da un aggressore, considerando, per esempio, il livello di accesso necessario, l’estensione della problematica, la conoscenza necessaria per sfruttarla.
- Banale: indica un attacco che richiede bassi livelli di capacità, poco tempo e/o l’utilizzo di strumenti pubblicamente disponibili;
- Moderato: indica un attacco che richiede livelli di capacità intermedi, nonché, per esempio, la capacità di creare o modificare semplici script e programmi;
- Sofisticato: indica un attacco che richiede l’impegno di un aggressore con capacità avanzate e/o la capacità di creare nuovi tipi di exploit.
Sulla base delle informazioni raccolte viene, inoltre, attribuito un valore al business impact di ogni problematica identificata:
- Basso: per quanto prevedibile, l’attacco non ha risvolti finanziari o di danno, ma questo potrebbe variare in base alla combinazione con ulteriori problematiche;
- Medio: impatto finanziario medio o comunque quantificabile, possibile esposizione negativa in termini di pubbliche relazioni, furto o distruzione di dati recuperabili senza conseguenze a lungo termine;
- Alto: impatto finanziario alto o non direttamente quantificabile, danni notevoli alla reputazione aziendale, distruzione o sottrazione di informazioni riservate e critiche con conseguenze non rimediabili.
Queste considerazioni vengono affiancate alle tradizionali definizioni di severità, per riflettere al meglio il rischio che ogni singola problematica crea a uno specifico cliente.
Adottiamo le seguenti metodologie standard per stimare il rischio associato alle vulnerabilità identificate durante la security Assessment:
- Assessment applicativi: si utilizza il modello OWASP Risk Rating Methodology – hiips://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology;
- Assessment infrastruttural: si utilizza il modello Common Vulnerability Scoring System (CVSS) – hiips://www.first.org/cvss.
Perché effettuare un Penetration Testing?
Un’organizzazione dovrebbe effettuare Penetration Testing di sicurezza:
- In risposta alle conseguenze vissute da un’organizzazione simile in seguito ad una violazione o attacco;
- Rispettare una normativa o uno standard, come PCI DSS (Payment Card Industry Data Security Standard) o il GDPR (Regolamento generale sulla protezione dei dati);
- Garantire la sicurezza di nuove applicazioni o in caso di cambiamenti significativi ai processi aziendali;
- Per gestire i rischi legati all’utilizzo di molti servizi esternalizzati (outsourcing) in vari ambiti;
- Per valutare il rischio di compromissione di informazioni o sistemi critici all’operatività aziendale.
Conclusioni
Un’organizzazione deve investire per incrementare l’attenzione alle tematiche di sicurezza, e inserendo il Penetration Testing nel processo di auditing continuo per rendere sicura e stabile l’intera struttura informatica.
