Tra gli strumenti di analisi più importanti per la tua azienda (ma, spesso, troppo sottovalutati!) c’è sicuramente il penetration test, o pen test. Uno strumento davvero fondamentale per poter valutare la sicurezza del tuo sistema informatico, andando a comprendere se la tua organizzazione sta adottando delle misure di difesa realmente efficaci in temi di sicurezza informatica, o meno.
Cerchiamo allora di condividere alcune informazioni basilari sul pen test, al termine delle quali – ci auguriamo – dovresti avere tutte le conoscenze più utili per poter prendere in carico tale esigenza analitica, e inglobarla all’interno del tuo business.
Cos’è il penetration test
Naturalmente, un approfondimento pur sintetico sul penetration test non può che iniziare con il tentativo di comprenderne una rapida definizione.
Possiamo pertanto definire il penetration test come una procedura di analisi che serve a valutare la sicurezza di un’applicazione web (ovvero, di un software che si interfaccia con la rete aziendale e con la rete Internet), e – più in generale – l’intero sistema informatico di un’organizzazione privata o pubblica.
Per esempio, il penetration test su un sito web potrebbe essere effettuato mediante il test di:
- funzionalità offerte agli utenti presso il portale;
- procedure di autenticazione e di identificazione degli utenti;
- interazioni con il database;
- configurazioni del server;
- conservazione dei dati.
Insomma, si tratta di una verifica davvero indispensabile per poter accertare che il sistema informatico aziendale possa o meno soddisfare i requisiti di sicurezza. È evidente, infatti, che nel caso in cui il penetration test fornisse dei risultati non particolarmente brillanti, il responsabile della sicurezza informatica aziendale dovrebbe assumere immediate contromisure per poter tornare a livelli auspicati di protezione.
Come avviene il penetration test
Ma come si fa il penetration test? Quali sono le procedure con cui viene effettuato il pen test?
Il processo del test di penetrazione avviene mediante delle analisi del sistema informatico al fine di individuarne i punti deboli, i bug, i difetti e le altre vulnerabilità. Si tratta di problemi di varia natura, che possono poi essere corretti intervenendo sulla progettazione delle reti e sull’implementazione del sistema, o ancora sulla sua gestione.
L’obiettivo del test è evidentemente quello di far emergere i problemi… prima che accorgersi delle falle di sicurezza siano altri soggetti peggio intenzionati!
Chi effettua il penetration test e che risultati si ottengono
Il penetration test avviene con una serie di applicazioni e di procedure spesso piuttosto complesse, integrate e sinergiche, che non possono essere gestite e realizzate dalla stragrande maggioranza delle organizzazioni, piccole o grandi che siano.
È proprio per questo motivo che generalmente ci si rivolge a un penetration tester, ovvero ad un professionista o a un’agenzia di assistenza informatica specifica in questo genere di attività, che possa aiutare l’azienda a comprendere se vi siano delle falle nel proprio sistema di sicurezza e, dunque, come poterle risolvere.
I problemi di sicurezza che vengono riscontrati all’interno del penetration test vengono infatti presentati al proprietario del sistema in un report completo, nel quale vengono descritte le attività che sono state svolte, e nel quale vengono individuati quali sono i potenziali rischi a cui il sistema è attualmente sottoposto.
Naturalmente, nel report verranno anche offerte delle possibili soluzioni per poter rimuovere o attenuare le criticità, con conseguenti indicazioni sui tempi, sui costi e sui risultati che potrebbero essere ottenuti da queste implementazioni.
Sottovalutare l’importanza del penetration test e delle operazioni di verifica della sicurezza del sistema informatico aziendale potrebbero mettere a durissima prova la salvaguardia del patrimonio aziendale. Raccomandiamo dunque di programmare periodici audit in tal senso: costituiranno senza alcuna ombra di dubbio degli investimenti fondamentali per poter costruire un percorso finalizzato alla ricerca e all’implementazione di una migliore condizione di sicurezza aziendale, a beneficio proprio e dei propri stakeholder.
Cos’è il Software Penetration Test
Il software penetration test, comunemente chiamato “pen test”, è una delle metodologie più efficaci per valutare la sicurezza informatica di un’azienda. Si tratta di un processo strutturato attraverso il quale degli esperti di sicurezza, chiamati ethical hacker o hacker white hat, simulano degli attacchi informatici reali per identificare vulnerabilità nei sistemi aziendali.
Immaginiamo di voler testare la sicurezza di una casa: un penetration tester farebbe esattamente quello che farebbe un ladro, ma con il permesso e con l’obiettivo di aiutare a migliorare le difese. Nel mondo digitale, questo significa tentare di accedere illegalmente ai sistemi informatici per scoprire punti deboli che potrebbero essere sfruttati da veri criminali informatici.
Come funziona il processo di testing
Il software penetration test non è un’attività improvvisata, ma segue una metodologia ben precisa che si sviluppa attraverso diverse fasi consecutive. Il processo inizia sempre con una fase preliminare dove vengono definiti gli obiettivi del test, le tempistiche e le modalità operative, stabilendo chiaramente cosa può e cosa non può essere fatto durante l’analisi.
La seconda fase, chiamata information gathering, prevede la raccolta di tutte le informazioni possibili sui sistemi da testare. Gli esperti utilizzano tecniche simili a quelle dei criminali informatici per mappare la rete aziendale, identificare i servizi attivi e scoprire potenziali punti di ingresso.
Successivamente si procede con la vulnerability assessment, dove vengono utilizzati strumenti automatizzati per scansionare i sistemi alla ricerca di vulnerabilità note.
Perché i report sono importanti nel penetration test
Il valore di un penetration test non sta solo nell’esecuzione delle procedure, ma soprattutto nella capacità di trasformare i risultati tecnici in informazioni comprensibili e funzionali per il management aziendale. Il report finale deve parlare sia agli esperti tecnici che ai decisori aziendali.
Un buon report include sempre un executive summary che presenta i risultati principali in modo comprensibile anche a chi non ha competenze tecniche approfondite.
Quando e quanto spesso fare i test
La risposta dipende da diversi fattori, ma in generale è consigliabile effettuare questi test almeno una volta all’anno, aumentando la frequenza in base al livello di esposizione al rischio dell’azienda.
È particolarmente importante eseguire un nuovo test ogni volta che vengono apportate modifiche significative all’infrastruttura IT, quando si implementano nuove applicazioni o quando si cambia la configurazione di sicurezza. Anche l’installazione di patch di sicurezza può richiedere una nuova valutazione per verificare che non abbiano introdotto nuove vulnerabilità.