5 tipologie di Penetration Test
Il Penetration Testing, noto anche come pen testing, è una pratica essenziale nel campo della sicurezza informatica. Si tratta di un processo in cui uno specialista in Cyber Security utilizza le proprie competenze e strumenti specializzati per simulare un attacco intenzionale su una rete o un’applicazione. L’obiettivo primario è valutare i confini di sicurezza del cliente, identificando configurazioni errate e vulnerabilità che potrebbero aumentare il rischio di attacchi o causare altri problemi.
Le tipologie più applicate di Penetration test sono 5: vediamo cosa comportano
Cloud
La crescente popolarità del cloud computing rende questa tipologia di pen test sempre rilevante. Il miglioramento della sicurezza è sicuramente uno dei fattori che più influenzano la decisione del passaggio, ma il cloud da solo non garantisce un ambiente più sicuro.
Impostazioni errate, permessi e accessi dati con noncuranza, credenziali deboli e software datati sono solo alcuni esempi dei numerosi fattori che possono alzare il livello di rischio nel cloud. Le tecniche di penetration testing nel cloud aiutano le aziende a migliorare le difese dai cyber attacchi, sfruttando al massimo tutte le caratteristiche principali del cloud stesso.
Molti cloud provider, però, hanno delle regole specifiche su come eseguire un pen testing: ad esempio, AWS e Microsoft Azure vietano la simulazione di attacchi tipo denial of service (DoS) o distributed denial of service (DDoS).
On-Premises Networks
Questa tipologia di pen test era quella tradizionalmente usata prima che il cloud diventasse più diffuso, ma viene vastamente applicata ancora oggi: dopotutto, molte aziende hanno sia risorse on-premises, sia nel cloud.
Durante la valutazione di una rete on-premises, il pen tester potrebbe assumere il ruolo di una persona esterna che non possiede nessuna conoscenza sull’infrastruttura o delle applicazioni utilizzate dall’azienda. Si potrebbe anche decidere che sia più vantaggioso, ai fini del test, che il pen tester conosca qualcosina riguardo le impostazioni di sicurezza dell’azienda, proprio come sarebbe se ad esempio l’esecutore dell’attacco fosse un dipendente scontento.
Il controllo della sicurezza di rete on-premises potrebbe anche includere alcuni aspetti di social engineering. Si potrebbe testare, ad esempio, quanto è facile passare per qualcuno che ha bisogno di accedere alla server room.
Web Apps
Questa tipologia di penetration test esamina il design, l’architettura e la configurazione di app web. Possiamo notare qualche sovrapposizione nelle tecniche di pen test su applicazioni web e sul cloud: molte applicazioni raccolgono dati che poi mandano offsite. In ogni caso, questo tipo di pen test valuta principalmente l’uso dei cookie, la criptazione delle credenziali, i form web e altri aspetti critici.
In un recente report di Globalization Partners si stima che entro il 2025 il 75% dei dipendenti delle aziende lavoreranno in modalità smart working almeno 5 giorni al mese. L’utilizzo di app di collaborazione e strumenti condivisi per la gestione di progetti e ticket tecnici si amplierà enormemente. Le aziende spesso sono anche in possesso di web app personalizzate per venire meglio incontro alle esigenze di business, di team o di progetto.
La valutazione delle web app è altrettanto critica per tutti quei settori, ad esempio quelli bancario e sanitario, che fanno affidamento sul fatto che le app criptino e mandino in modo sicuro e protetto informazioni sensibili.
Reti Wireless
Questi pen test valutano la sicurezza di una rete wireless aziendale e i protocolli ad essa associati. I pen tester, in questo caso, determinano quanto sia facile per qualcuno o qualcosa monitorare il traffico della rete.
Un errore comune è pensare che il pen testing e le tecniche di threat hunting siano equivalenti: al contrario, mentre un penetration tester cerca di capire come un futuro attacco potrebbe ottenere l’accesso ad una rete wireless, il threat hunter cerca di identificare chi o cosa è già riuscito ad accedere nonostante non fosse autorizzato ed ha superato le misure di sicurezza.
Le tecniche di pen testing per le reti wireless esaminano i vari metodi di criptazione utilizzati nella rete. Documentano inoltre quali devices sono connessi alla rete wireless: come più persone utilizzano la rete aziendale e spesso connettono altri devices, anche personali, individuarne di non autorizzati diventa sempre più sfidante.
IoT e sistemi integrati
Questi penetration test cercano difetti e vulnerabilità in hardware o prodotti con device integrati. I device IoT, come ad esempio le telecamere di sicurezza e gli smart speakers, rientrano in questa categoria.
L’obiettivo è trovare delle vulnerabilità nelle misure impiegate per mantenere un alto livello di sicurezza. Ad esempio, è stato un penetration tester che ha hackerato una Jeep, riuscendo a prendere il controllo di freni, motore e altre componenti essenziali (https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/).
Sfortunatamente, molti produttori di smart devices trattano la sicurezza come una funzionalità accessoria, invece che come una priorità: l’obiettivo principale è per loro quello di lanciare sul mercato un prodotto il più velocemente possibile. Qualche volta, in ogni caso, figure come gli ethical hacker scoprono problemi e vulnerabilità e avvisano i produttori. Chiaramente eseguire dei penetration test prima che il prodotto sia lanciato sul mercato non solo previene queste situazioni spiacevoli, ma dovrebbe essere considerato parte del processo di sviluppo del prodotto stesso.
Questi sono le principali categorie di penetration test utilizzati. Ma come la sicurezza informatica è un processo, allo stesso modo un pen test non è un impegno che si affronta una volta sola. Si dovrebbero eseguire penetration test di frequente e ogni volta che vengono apportate grosse modifiche al codice o viene rilasciato un aggiornamento importante. Oggi le grandi aziende sono riuscite a automatizzare parzialmente il processo, in modo da supportare il lavoro dei pen tester. Se ti interessa la carriera di Pentration Tester puoi iniziare da questo corso.
Vuoi certificare le tue competenze da Pen Tester? Puoi considerare la certificazione CompTIA PenTest+: valuta e certifica sia le conoscenze teoriche, sia le competenze tecniche in tutte le tipologie di pen test citate qui sopra.
