Strategie di penetration testing : La via migliore per proteggersi.

White Hat Attacks – penetration testing 

Il Penetration testing, chiamato anche pen-testing o hacking etico, è la pratica di testare un sistema informatico, una rete o un’applicazione web per trovare le vulnerabilità di sicurezza che un aggressore potrebbe sfruttare. I test di penetrazione possono essere automatizzati con applicazioni software o eseguiti manualmente. In entrambi i casi, il processo comporta la raccolta di informazioni sul bersaglio prima del test, l’identificazione di possibili punti di ingresso, il tentativo di penetrare – virtualmente o per davvero – e la segnalazione dei risultati.

L’obiettivo principale del penetration test è quello di identificare i punti deboli della sicurezza. I test di penetrazione possono anche essere utilizzati per testare la politica di sicurezza di un’organizzazione, la sua aderenza ai requisiti di conformità, la consapevolezza della sicurezza dei suoi dipendenti e la capacità dell’organizzazione di identificare e di valutare la risposta ad un problema di sicurezza o attacco palese.

In genere, le informazioni sulle debolezze della sicurezza che vengono identificate o sfruttate attraverso il pen testing vengono aggregate e fornite ai responsabili IT e dei sistemi di rete dell’organizzazione, consentendo loro di prendere decisioni strategiche.

I test di penetrazione sono a volte chiamati anche white hat attacks perché in un pen-test, i buoni stanno tentando di entrare.

penetration testing
penetration testing



 

Strategie di penetration testing

Un aspetto importante di ogni programma di test di penetrazione è la definizione dello scopo entro il quale i pen testers devono operare. Di solito, il campo di applicazione definisce quali sistemi, luoghi, tecniche e strumenti possono essere utilizzati in un penetration test. Limitare la portata del penetration test aiuta a focalizzare i membri del team – e i difensori – sui sistemi sui quali l’organizzazione ha il controllo.

Vediamo le tipologie

Ecco alcune delle principali strategie di pen-test utilizzate dai professionisti della sicurezza:

I test mirati vengono eseguiti dal team IT dell’organizzazione e dal team di penetration testing che lavorano insieme. A volte viene chiamato approccio “lights turned on” perché tutti possono vedere il test in corso.

I test esterni si rivolgono a server o dispositivi visibili esternamente di un’azienda, inclusi server di nomi di dominio, server di posta elettronica, server web o firewall. L’obiettivo è quello di scoprire se un aggressore esterno può entrare e fino a che punto può arrivare una volta ottenuto l’accesso.

Il test interno imita un attacco interno dietro il firewall da parte di un utente autorizzato con privilegi di accesso standard. Questo genere di prova è utile per valutare quanti danni potrebbe causare un dipendente scontento.

La prova cieca – blind testing – simula le azioni e le procedure di un aggressore reale limitando severamente le informazioni fornite alla persona o alla squadra che esegue la prova in anticipo. In genere, ai pen tester può essere dato solo il nome dell’azienda. Poiché questo tipo di test può richiedere una notevole quantità di tempo per le ricognizioni, può essere costoso.

Il test in doppio cieco – double-blind testing – prende il test in cieco e lo porta ad un ulteriore passo avanti. In questo tipo di test, solo una o due persone all’interno dell’organizzazione potrebbero essere a conoscenza dell’esecuzione di un test. I test in doppio cieco possono essere utili per testare il monitoraggio della sicurezza di un’organizzazione, l’identificazione degli incidenti e le sue procedure di risposta.

Black box testing  i tester del  pen test devono trovare la loro strada nel sistema.

White box testing fornisce ai penetration tester informazioni sulla rete di destinazione prima di iniziare il loro lavoro. Queste informazioni possono includere dettagli come gli indirizzi IP, gli schemi dell’infrastruttura di rete, i protocolli utilizzati e il codice sorgente.

L’utilizzo di diverse strategie di pen testing aiuta i team di test a focalizzarsi sui sistemi desiderati e ad avere un’idea dei tipi di attacchi più minacciosi.



 

Per gli Hacker Etici alle prime armi.

Prima di iniziare un Pen-Testing, mi raccomando firmate un regolare contratto con l’azienda che vuole essere testata. Non dimenticate mai di inserire gli indirizzi ip pubblici che utilizzerete e qualora in corso del test dovessero cambiare, comunicate i nuovi ip a chi vi ha commissionato il test. Inoltre il DDOS non è un test da fare, mai!