Il Penetration Testing è una buona pratica da implementare in azienda che consiste nel testare un software aziendale, un hardware, un network o un’applicazione web per trovare tutte le possibili vulnerabilità che un cybercriminale potrebbe sfruttare per fare breccia nei dispositivi tecnologici.
Un pen test è, in pratica, una simulazione di un vero e proprio attacco hacker il cui fine è quello di raccogliere quante più informazioni sul bersaglio scelto, individuando i punti di accesso più probabili (ma anche in più nascosti), tentando di violarli e analizzando i risultati.
Perché è così utile che un esperto in cybersecurity faccia un test di questo tipo? Per diversi motivi:
- perché aiuta a capire il livello di sicurezza dell’azienda e quello di formazione dei tuoi colleghi sull’argomento “sicurezza informatica”
- perché fornisce al reparto IT informazioni dettagliate sullo stato di tutela delle strutture digitali con cui verranno prese decisioni strategiche per concentrare gli sforzi di sicurezza dei posti giusti.
Come fare un Penetration Test
Gli stadi di un Penetration Test si possono suddividere in 5 fasi:
- n.1, la definizione degli obiettivi del test, quindi quali bersagli colpire (inclusa ogni informazione sul loro funzionamento e sulle potenziali vulnerabilità), gli strumenti da utilizzare e il metodo da applicare.
- n.2, l’individuazione della modalità di risposta del bersaglio ai diversi tentativi di violazione attraverso un’analisi del codice per capire la reazione all’attacco.
- n.3, l’incursione vera e propria per ottenere l’accesso. In questa fase vengono utilizzati vari tipi di attacco, come il cross-site scripting e SQL injection con cui vincere le barriere di sicurezza e capire quanto oltre ci si può spingere, prendendo possesso di dati, privilegi particolari o intercettando il traffico tra i diversi sistemi.
- n.4, il mantenimento dell’accesso guadagnato per capire quanto a lungo è possibile rimanere all’interno del sistema senza essere scoperti. Questa fase è particolarmente importante perché permette di capire quanto oltre può spingersi un criminale informatico malintenzionato prima di venire espulso dalla rete aziendale ma solamente dopo aver rubato dati sensibili per l’organizzazione.
- n.5, l’analisi dei risultati. Nel rapporto finale vengono riportati tutti i dettagli dell’attacco, dal tipo di violazione utilizzata, al tipo di dati sottratti fino a quanto tempo l’”hacker” è rimasto indisturbato all’interno della rete.
Le cause che creano delle vulnerabilità
I motivi per cui alcuni dispositivi aziendali sono meno protetti di altri si possono ricondurre a diverse cause:
- l’errore umano in primis. Non è poi così raro che un proprio collega non utilizzi una password per accedere al computer di lavoro, che utilizzi il proprio smartphone per rispondere a email e conversazioni professionali oppure che inserisca le sue credenziali in un sito di phishing. Tutto questo può essere veicolo per nuove violazioni da parte di un hacker.
- le password. Il loro scopo è appunto quello di difendere la rete da accessi non autorizzati, quindi scegliere una password sicura è una priorità.
Altre volte, invece, le password vengono diffuse dagli utenti con leggerezza, oppure scritte in qualche foglietto volante, o ancora sono molto semplici da indovinare e quindi non svolgono più la loro funzione. - l’investimento nell’IT. Nonostante il pericolo di essere attaccati aumenti ogni anno, molte organizzazioni non hanno ancora un’infrastruttura tecnologica adatta per difendere la propria rete aziendale, generando delle gravi vulnerabilità.
- complessità dell’infrastruttura. Una rete aziendale molto complessa diventa a sua volta più complicata da difendere alla perfezione, e rappresenta una ghiotta occasione per gli hacker che si aggirano sul web.
- errori di sviluppo e di design del codice. I difetti di programmazione possono generare dei bug nel design dell’hardware o del software aziendale che potrebbero portare ad un’esposizione pericolosa di dati e informazioni preziose per l’azienda.
- la comunicazione in azienda. L’utilizzo di smartphone, chat da desktop, la condivisione in cloud di file e altre comunicazioni è un punto di forza perché semplifica il passaggio di informazioni e velocizza i processi, però è anche veicolo per nuove minacce che sfruttano la rete internet per collegarsi ai dispositivi utilizzati.
- La mancata formazione dello staff. Collegato alla prima voce, l’errore umano, un dipendente che non conosce i pericoli informatici non si preoccupa di proteggere le informazioni con cui entra in contatto oppure sottovaluta semplicemente il problema.
Diventare un Penetration Tester
Come riporta Cybersecurity360, l’attività di testing non è automatizzata e deve essere fatta manualmente: effettuare una simulazione di attacco di questo tipo non è replicabile e quindi non si può rendere standard grazie ad una procedura uguale per tutti, perché richiede una conoscenza di base dei processi svolti in azienda e delle regole che li governano.
Ci sono, però, alcune certificazioni specifiche per l’attività di pen testing, per acquisire le caratteristiche tecniche e una metodologia efficace con cui valutare il proprio modus operandi e analizzarlo nel tempo, tra cui:
- CEH (Certified Ethical Hacker): il corso per diventare hacker etico professionista per utilizzare le conoscenze e gli strumenti di un vero hacker in modo lecito;
- eCPPT (eLearnSecurity Certified Professional Penetration Tester): una certificazione pratica di ethical hacking per valutare la capacità tecniche ma anche quelle professionali per la creazione successiva di un report completo;
- OPST (OSSTMM Professional Security Tester): questa certificazione viene erogata da ISECOM e propone esercitazioni pratiche di sicurezza e l’apprendimento della metodologia scientifica OSSTMM, Open Source Security Testing Methodology Manual
- ECSA (EC-Council Certified Security Analyst): da svolgere solamente dopo aver passato l’esame CEH, questo corso completa la formazione dell’ethical hacker attraverso laboratori ed esercitazioni per scoprire e risolvere le vulnerabilità di rete.