I penetration test, noti anche come “pentesting”, sono utilizzati dai professionisti della sicurezza informatica e dai fornitori di servizi gestiti per identificare le vulnerabilità presenti in un sistema prima che si verifichi un incidente di sicurezza informatica. Ti capiterà spesso di imbatterti in clienti che ti chiedono di eseguire penetration test, soprattutto perché le nuove normative governative stanno iniziando a rendere obbligatoria questa pratica.
I penetration test sono un campo di specializzazione complesso, fondamentale per l’erogazione efficace di servizi di sicurezza informatica e di conformità. Anche gli MSP che non eseguono i propri pen-test molto probabilmente si troveranno a dover collaborare con un altro fornitore in grado di garantire questo prezioso servizio ai clienti.
Che cos’è il penetration test (pen test)?
Il metodo chiamato penetration test valuta, misura e migliora le reti e i sistemi di un’organizzazione in termini di sicurezza, mettendoli alla prova con le stesse tattiche e tecniche che utilizzerebbe un criminale informatico.
I pen-test consentono alle organizzazioni di testare i propri sistemi IT, le reti e le applicazioni web alla ricerca di potenziali vulnerabilità di sicurezza che potrebbero essere sfruttate da un malintenzionato. I penetration tester hanno il compito di raccogliere informazioni chiave sul sistema che stanno valutando. Devono identificare i potenziali punti di ingresso e simulare un attacco per valutare la presenza di vulnerabilità che possono diventare vettori di minacce come malware e ransomware.
I penetration test fanno parte, e talvolta vi sono integrati, di altri audit chiave che riguardano i criteri di sicurezza, la conformità ai requisiti normativi sui dati e sulla privacy, il monitoraggio e la pianificazione della risposta/risoluzione.
Vantaggi dei penetration test e perché i pen-test sono necessari
Le informazioni ottenute attraverso un penetration test aiutano i responsabili IT a comprendere i punti deboli della sicurezza e a prendere decisioni strategiche per porvi rimedio. Un rapporto di pen-test fornisce a un’organizzazione indicazioni su come organizzare le priorità nella propria strategia di sicurezza informatica e su come valutare correttamente l’utilizzo di vari strumenti e tecniche su diversi livelli per ottenere una copertura ottimale.
I pen-test mettono alla prova anche le capacità di risposta agli incidenti di un’organizzazione, in termini di preparazione ad affrontare un attacco reale. La pratica rende perfetti, come si suol dire, e l’esecuzione regolare di pen-test aiuta un’organizzazione o un team di sicurezza informatica a mantenersi pronti e preparati.
Quali sono i tipi di penetration test?
Esistono tre metodi per simulare gli attacchi informatici in un penetration test:
Black box
Una valutazione black-box viene solitamente eseguita durante la fase iniziale di un penetration test. Al pen tester, che agisce come un hacker malintenzionato, non vengono fornite informazioni sul funzionamento interno o sull’architettura del sistema di destinazione. Il suo compito è quello di violare il sistema armato solo delle conoscenze che chiunque altro potrebbe avere.
Come si può immaginare, questo serve a simulare il rischio reale di una minaccia esterna che mappi il sistema e cerchi eventuali vulnerabilità.
Grey box
Il livello successivo del test simula un attacco da parte di una minaccia prodotta da qualcuno che ha almeno una certa conoscenza del sistema di sicurezza interno. I tester Gray-box di solito assumono il ruolo di una persona con accesso e privilegi all’interno di un sistema. E a loro vengono fonite informazioni di base sull’architettura e sulle protezioni del sistema di destinazione.
Questo approccio consente di ottenere una valutazione più precisa e mirata della sicurezza di una rete. Nei test black-box, il tester passa molto tempo a cercare le vulnerabilità. Un test gray-box simula un attacco in cui la minaccia sa cosa sta cercando e ha un’idea di dove accedere.
White box
Conosciuto anche come “logic-driven testing“, “auxiliary testing”, “open-box testing” e “clear-box testing”, il white-box simula una situazione in cui i criminali informatici hanno accesso totale a tutto il codice sorgente e alla documentazione sull’architettura. Il pen tester può passare al setaccio ogni bit di codice e documentazione per trovare le vulnerabilità, trovandosi quindi a lavorare allo stesso livello dello sviluppatore del software o della rete.
Sebbene richieda molto tempo, è anche la forma più approfondita di penetration test, in grado di rivelare le vulnerabilità interne ed esterne.
Categorie di penetration test
Come hai potuto capire, non tutti i penetration test vengono eseguiti allo stesso modo. Oltre ai tre tipi di pen-testing citati, esistono almeno cinque servizi generali di pen-testing che i professionisti IT di solito offrono:
Test esterni
Un penetration test esterno viene effettuato su risorse facilmente visibili, come siti web, applicazioni web, domain name server (DNS) e account di posta elettronica. Questi test servono a determinare se gli aggressori che provano a penetrare da fuori possono utilizzare sistemi esterni per accedere alla rete o ai dati.
Test interni
I penetration test interni simulano un attacco da parte di un insider malintenzionato invece che di una minaccia esterna. Questo viene fatto per esporre le vulnerabilità che potrebbero essere sfruttate da qualcuno che abbia un accesso al di là del livello di protezione offerto dal firewall dell’organizzazione. Le vulnerabilità legate all’ingegneria sociale o al phishing di cui può essere vittima un dipendente vengono talvolta testate qui.
Blind testing
Quanto è vulnerabile un sistema a un hacker con informazioni molto limitate? In un blind pen test, per accedere a un sistema vengono utilizzate solo informazioni accessibili al pubblico. Mentre il penetration tester si muove “alla cieca” in un test di questo tipo, all’obiettivo viene invece comunicato quale sarà l’obiettivo dell’hacker white hat, come lo attaccherà e quando.
Double-blind testing
In un penetration test bouble-blind, né il pen tester né l’obiettivo sono informati dell’obiettivo e delle modalità dell’attacco simulato. Il bersaglio non conosce in anticipo la natura dell’attacco, quindi non ha il tempo di prepararsi e di falsare i risultati del test. Con questo metodo le vulnerabilità sono esposte in modo più affidabile, poiché il piano di sicurezza viene spinto fino ai suoi veri limiti in modo più realistico.
Test mirati
I test mirati sono uno sforzo collaborativo in cui l’hacker e i difensori si tengono reciprocamente informati sulle loro azioni. Quasi come se stessero “giocando” con un attacco in tempo reale, sia i pen-tester che l’organizzazione target ottengono preziose informazioni sulle migliori strategie di sicurezza informatica da implementare.
Fasi o stadi del penetration test
I penetration test vengono generalmente eseguiti in cinque fasi:
- Pianificazione. Questa è la fase di raccolta delle informazioni e di preparazione del test. I tester inizieranno a condurre una ricognizione dell’obiettivo e a creare un piano di attacco. In questa fase si svolge spesso l’ingegneria sociale per raccogliere le risorse (informazioni e dati) necessarie per portare a termine l’attacco.
- Scansione. Il tester “scansionerà” il sistema di destinazione per trovare le vulnerabilità e per capire come l’obiettivo risponderà all’attacco. È come controllare tutte le porte e le finestre esterne di un edificio per verificare che siano chiuse a chiave.
- Violazione. Il tester utilizzerà strategie come il cross-site scripting, l’SQL injection o le backdoor per aggirare il firewall ed entrare nel sistema. Una volta penetrati nel sistema, i tester prenderanno il controllo della rete, dei dispositivi e/o dei dati.
- Scavo. L’obiettivo successivo del penetration tester è scoprire quanto tempo può rimanere nel sistema e quanto in profondità può scavare. Installerà dei rootkit e delle backdoor per assicurarsi che rimanere nel sistema, o tornarci in seguito, sia semplice. Un tester simulerà anche il modo in cui un criminale informatico coprirebbe le proprie tracce per eliminare le prove dell’intrusione.
- Analisi. Questo è il momento per il white hat di dare seguito al test. Il tester in questa fase crea un prospetto dettagliato della configurazione e riferisce i risultati dell’attacco simulato. Le informazioni ottenute sulle vulnerabilità sfruttabili e sulle lacune di sicurezza possono ora essere utilizzate per rivalutare la strategia di sicurezza e iniziare a implementare le correzioni e ad effettuare l’hardening del sistema.
Strumenti di pen-testing utilizzati da MSP e professionisti IT
I penetration test sono un’attività complessa e tecnica che richiede diversi strumenti specifici, uguali o simili a quelli utilizzati dai criminali informatici in una situazione reale.
Strumenti di ricognizione
Gli strumenti di ricognizione vengono utilizzati nella prima fase del test, quando il white hat raccoglie informazioni sull’applicazione o sulla rete presa di mira. Questi strumenti includono scanner di porte TCP, strumenti di analisi di servizi Web, di ricerca di domini e scanner di vulnerabilità di rete.
Strumenti proxy
Gli strumenti proxy vengono utilizzati per intercettare il traffico tra un browser Web e un server Web di destinazione. Permettono di identificare e sfruttare le vulnerabilità delle applicazioni con tecniche come XSS e server-side request forgery (SSRF).
Scanner di vulnerabilità
Gli scanner di vulnerabilità web e di rete aiutano i pen-tester a identificare le applicazioni con vulnerabilità note o con errori di configurazione. Questi vengono utilizzati nella seconda fase dell’attacco per trovare un modo per muoversi all’interno del sistema.
Strumenti di exploitation
Gli strumenti exploit vengono utilizzati per eseguire la parte di “attacco” del penetration test. Questi strumenti consentono di utilizzare varie modalità di attacco, come gli attacchi brute-force o le SQL injection. Alcuni hardware progettati specificamente per i pen-test, come le scatole di interfaccia che si collegano a un dispositivo e forniscono accesso remoto alle reti, sono anche utili strumenti exploit.
Strumenti di post-exploitation
Gli strumenti di post-exploitation sono utilizzati per coprire le tracce del tester dopo la conclusione dell’attacco. Gli strumenti di questa categoria consentono ai white hat di evitare di essere rilevati e di lasciare il sistema come l’hanno trovato.
Collaborare con NinjaOne
Offrendo servizi e prodotti di penetration test, il tuo MSP può conoscere la rete di ogni cliente, il che a sua volta ti permetterà di vendergli i servizi personalizzati di sicurezza informatica di cui ha bisogno. Si tratta di un passo importante per offrire ai tuoi clienti il massimo livello di sicurezza per le loro reti.
NinjaOne è qui per aiutarti a rendere il tuo MSP il più efficiente e reattivo possibile. Migliaia di utenti si affidano alla nostra piattaforma RMM all’avanguardia per affrontare le complessità della gestione IT moderna.
Non sei ancora un partner Ninja? Desideriamo comunque aiutarti a semplificare le tue operazioni di servizi gestiti! Visita il nostro blog per trovare risorse e guide utili per gli MSP, iscriviti a Bento per ricevere importanti indicazioni nella tua casella di posta elettronica e partecipa alle nostre Live Chat per discutere a tu per tu con gli esperti del canale.
Se sei pronto a diventare partner di NinjaOne, programma una demo o inizia una prova di 14 giorni per scoprire perché gli MSP scelgono NinjaOne come partner RMM.