Il test di penetrazione è una tecnica fondamentale utilizzata dai fornitori di servizi gestiti (MSP) che cercano di fornire ulteriore sicurezza informatica ai propri clienti. Secondo alcune stime, negli Stati Uniti si prevede che si verifichi un attacco informatico ogni 14 secondi , con perdite totali stimate che raggiungeranno i 21,5 miliardi di dollari. I servizi di test di penetrazione possono aiutare un’organizzazione a prepararsi ad attacchi di hacker, malware e altro controllando continuamente e regolarmente i punti deboli, le vulnerabilità e il cattivo comportamento degli utenti su app, servizi e reti. Continua a leggere per un’analisi dettagliata delle fasi dei test di penetrazione, dei servizi, di cosa aspettarsi e degli strumenti di test di penetrazione che gli MSP devono conoscere quest’anno.

Che cosa sono i test di penetrazione nella sicurezza informatica?

Il test di penetrazione è un modo per “sottoporre a stress test” la sicurezza dell’infrastruttura IT. Le tecniche di penetrazione vengono utilizzate per valutare la sicurezza e la protezione della rete in modo controllato. I sistemi operativi, i servizi, le applicazioni e persino il comportamento dell’utente finale vengono valutati per convalidare i meccanismi di difesa esistenti e l’efficacia delle politiche di sicurezza dell’utente finale.

Ci sono alcuni motivi per eseguire regolarmente test di penetrazione (o “pen test”). Innanzitutto, i test di penetrazione possono aiutare a garantire la sicurezza dei dati degli utenti, identificare le vulnerabilità della sicurezza , scoprire le lacune nel sistema e valutare la forza complessiva dei meccanismi di difesa esistenti. Inoltre, i test di penetrazione possono aiutare un’azienda a rimanere aggiornata con ogni nuova versione del software. Con l’evolversi delle minacce, i dati finanziari e di PI devono essere protetti in modo iterativo: quando vengono aggiunti nuovi dispositivi a un sistema, il trasferimento dei dati tra diversi endpoint richiede un monitoraggio e una valutazione costanti per la conformità della sicurezza.

Allo stesso modo, i test di penetrazione hanno alcuni vantaggi chiave. Consente a un MSP di mostrare in modo proattivo la propria esperienza e gestire abilmente le vulnerabilità. Consente di risparmiare denaro consentendo alle organizzazioni di evitare tempi di inattività della rete. I metodi di test di penetrazione possono aiutare i clienti di un MSP a soddisfare i requisiti normativi ed evitare multe. Alla fine della giornata, è anche uno strumento importante per preservare l’immagine, la reputazione e la fedeltà dei clienti di un MSP.

Il penetration test può sembrare simile a una valutazione della vulnerabilità, ma le due misure di sicurezza informatica non sono le stesse.

  • Una valutazione delle vulnerabilità si concentra sull’identificazione dei problemi di sicurezza all’interno di un’organizzazione. Un elenco di vulnerabilità viene prodotto da una valutazione della sicurezza informatica e delle vulnerabilità di archiviazione dei dati.
  • Un penetration test, tuttavia, utilizza scenari simulati dagli attacchi in un approccio alla sicurezza informatica orientato agli obiettiviIl test è progettato per raggiungere obiettivi specifici, come un database, un metodo di archiviazione o un file designato. Il risultato di un pen test non è solo un elenco, ma una metodologia e una mappa di specifici punti di debolezza.

Quali sono i tipi di test di penetrazione?

Gli esperti del settore generalmente dividono i test di penetrazione in tre categorie: test black box, test white box e test gray box. Le categorie corrispondono a diversi tipi di attacchi o minacce alla sicurezza informatica.

  • test black box – Il test della scatola nera riguarda un attacco di forza bruta. In questo scenario, la simulazione è quella di un hacker che non conosce la complessità e la struttura dell’infrastruttura IT di un’azienda. Pertanto, l’hacker lancerà un attacco totale per cercare di identificare e sfruttare un punto debole. Il penetration test non fornisce al tester alcuna informazione su un’applicazione web, il suo codice sorgente o qualsiasi architettura software. Il tester utilizza un approccio di “prova ed errore” per vedere dove esistono le vulnerabilità nell’infrastruttura IT. Questo tipo di test di penetrazione riproduce più fedelmente uno scenario del mondo reale, ma può richiedere molto tempo per essere completato.
  • test white box – Il test di penetrazione della scatola bianca è l’opposto di questa prima tecnica. Nel white box testing, il tester ha piena conoscenza dell’infrastruttura IT, con accesso al codice sorgente e all’architettura software di un’applicazione web. Questo dà loro la possibilità di concentrarsi su parti specifiche del sistema ed eseguire test e analisi mirati dei componenti. È un metodo più veloce del test della scatola nera. Tuttavia, il test di penetrazione white box utilizza strumenti di test della penna più sofisticati, come analizzatori di codice software o programmi di debug.
  • test gray box – Infine, il test della scatola grigia utilizza processi di test sia manuali che automatici in uno scenario in cui il tester ha una conoscenza parziale dell’infrastruttura IT interna. Il tester potrebbe ricevere il codice software, ad esempio, ma non i dettagli dell’architettura del sistema. Questo test è un ibrido di test di scatola bianca e scatola nera, che consente a un utente di utilizzare strumenti automatizzati sull’assalto totale, concentrando il proprio sforzo manuale sull’individuazione di “falle di sicurezza”.

Questi tipi generali di metodi di test di penetrazione possono essere ulteriormente suddivisi in categorie specifiche. Altri tipi di test di penetrazione includono:

  • Test di ingegneria sociale : lo scenario del test di penna cerca di convincere un dipendente o una terza parte a rivelare informazioni sensibili, come una password, dati aziendali o altri dati utente. Questo può essere fatto mirando agli help desk o ai rappresentanti di vendita tramite telefono o Internet.
  • Test delle applicazioni Web : il test penna utilizza il software per valutare la vulnerabilità di sicurezza delle app Web e dei programmi software.
  • Pen test fisici : utilizzato principalmente in siti governativi o altre strutture protette, il pen test cerca di accedere a dispositivi di rete fisici e punti di accesso in una finta violazione della sicurezza.
  • Test dei servizi di rete : questo è lo scenario di test della penna più comune, in cui un utente cerca di identificare localmente o in remoto le aperture nella rete.
  • Test lato client : si verifica quando un MSP tenta di sfruttare le vulnerabilità nei programmi software lato client.
  • Test di sicurezza wireless : il test della penna identifica hotspot e reti WiFi aperti, non autorizzati oa bassa sicurezza e cerca di infiltrarsi attraverso di essi.

Tutti i tipi di test di penetrazione dovrebbero considerare sia i componenti interni che quelli esterni di un’infrastruttura IT. Esistono diverse fasi di un penetration test che garantiranno un approccio olistico e regolarmente aggiornato alla sicurezza informatica di un’organizzazione.

Quali sono le fasi di un penetration test?

Esistono sei passaggi di test di penetrazione generalmente accettati. Stanno progettando; ricognizione e raccolta di informazioni; scansione e scoperta; attaccare e ottenere l’accesso; mantenere l’accesso e la penetrazione; e analisi e reporting dei rischi. A seconda della frequenza e del tipo di test di penetrazione che si desidera eseguire, queste fasi possono variare leggermente da MSP a MSP.

1) Pianificazione per test di penetrazione

La prima fase del test di penetrazione prevede la determinazione dell’ambito e degli obiettivi del test. Gli MSP devono lavorare con i loro clienti per capire la logistica, le aspettative, gli obiettivi, gli obiettivi e i sistemi da affrontare. La fase di pianificazione stabilirà se si sta utilizzando un metodo di test di penetrazione a scatola nera, scatola bianca o scatola grigia.

2) Ricognizione e raccolta di informazioni

In questa fase, l’hacker o il penetration tester cerca di scoprire quante più informazioni possibili sul proprio target. Raccoglieranno informazioni su usi finali, sistemi, applicazioni e altro ancora. Le informazioni verranno utilizzate per essere precisi nel penetration test, utilizzando una carrellata completa e dettagliata dei sistemi per capire cosa, esattamente, deve essere affrontato e valutato. Alcuni dei metodi utilizzati durante questa fase possono includere query sui motori di ricerca, ricerche di nomi di dominio, impronta Internet, ingegneria sociale e persino la ricerca di documenti fiscali per trovare informazioni personali.

3) Scansione e rilevamento

La fase di scansione e rilevamento è progettata per scoprire come il sistema di destinazione risponderà ai vari tentativi di intrusione. Il penetration tester utilizzerà molto probabilmente strumenti di penetration test automatizzati per cercare le vulnerabilità iniziali. L’analisi statica e l’analisi dinamica sono due tipi di approcci utilizzati dal penetration tester. L’analisi statica ispeziona il codice di un’applicazione nel tentativo di prevedere come reagirà a un’incursione. L’analisi dinamica esamina il codice di un’applicazione mentre viene eseguita, fornendo una visione in tempo reale delle sue prestazioni. Altri aspetti che un tester della penna scoprirà includono sistemi di rete, server e dispositivi, nonché host di rete.

4) Attaccare e ottenere l’accesso

Una volta che il tester della penna ha acquisito una comprensione completa dell’ambito e dei componenti da testare, attaccherà in un ambiente simulato e controllato. Imitando un vero e proprio attacco informatico, il tester può assumere il controllo di un dispositivo per estrarre i dati; eseguire un attacco all’applicazione web, come cross-site scripting o SQL injection; o eseguire un attacco fisico, come accennato in precedenza. L’obiettivo di questa fase è vedere fino a che punto il tester può arrivare in un ambiente IT senza essere rilevato. Lo scopo del progetto dovrebbe determinare dove dovrebbero finire i limiti del test per proteggere PI e altri dati sensibili.

5) Mantenere l’accesso e la penetrazione

Una volta che un pen tester ha compromesso con successo il proprio obiettivo, dovrebbe cercare di espandere il proprio accesso e mantenere la propria presenza il più a lungo possibile. Ancora una volta, l’obiettivo è imitare il più possibile un cattivo attore del mondo reale. Il penetration tester in questa fase tenterà di espandere le proprie autorizzazioni, trovare i dati degli utenti e rimanere nascosto mentre esegue i propri programmi più in profondità nell’infrastruttura IT. Ad esempio, il pen tester può tentare di aumentare i propri privilegi al ruolo di amministratore. L’obiettivo qui è quello di rimanere inosservati nel sistema il più a lungo possibile e cercare di ottenere i dati più sensibili (in base all’ambito e agli obiettivi del progetto).

6) Analisi e reporting dei rischi

L’ultima fase del test di penetrazione è la fase di valutazione e reporting. Una volta che il pen tester è stato “scoperto” o la sequenza temporale per il progetto è stata completata, verrà generato un report finale. Il report dovrebbe fornire un riepilogo del test, i dettagli di ogni passaggio eseguito dal pen tester per infiltrarsi nei sistemi e nei processi, i dettagli di tutte le vulnerabilità, come sono state eliminate dopo lo stress test e suggerimenti per le correzioni di sicurezza. Un buon tester sarà anche in grado di determinare il valore dei sistemi compromessi, ovvero qual è l’impatto finanziario della loro incursione? Per fare ciò, un penetration tester utilizza alcuni strumenti di penetration test.

Quanto dura un pen test?

L’esecuzione di un test di penetrazione può richiedere da una a tre settimane. Il tempo necessario per completare un penetration test dipende dal tipo di test, dal tipo e dal numero di sistemi valutati e dalla forza della sicurezza informatica esistente. Non è un processo che dovresti cercare di affrettare, poiché il punto è fornire un rapporto approfondito di eventuali vulnerabilità.

Come vengono eseguiti i test di penetrazione?

Gli strumenti di test di penetrazione possono fornire il feedback necessario per completare la valutazione complessiva della sicurezza informatica. Gli strumenti di penetration test verificano le falle nella sicurezza analizzando le tecniche di crittografia dei dati e testando gli accessi e le password. Assomigliano ad alcuni degli strumenti che un vero hacker userebbe per cercare di infiltrarsi nel sistema. Gli strumenti automatizzati sono utili nei test di penetrazione Black Box e Gray Box.

Esistono alcune categorie di strumenti di test di penetrazione:

  • I port scanner lavorano in remoto per raccogliere informazioni e dati personali su un obiettivo.
  • Gli scanner di vulnerabilità cercano le vulnerabilità note sia negli host di rete che nelle reti in generale.
  • Gli scanner delle applicazioni verificano i punti deboli nelle applicazioni basate sul Web.

Sebbene sia possibile eseguire i propri test di penetrazione, questa non è la strada più efficace da seguire poiché richiede tempo, è difficile da eseguire e richiede competenze e conoscenze di sicurezza approfondite. Ma se desideri utilizzare uno strumento di penetrazione, ci sono alcune caratteristiche chiave da valutare quando selezioni il tuo software o programma.

Quando si seleziona uno strumento di penetrazione, occorre assicurarsi che lo strumento sia facile da distribuire e configurare in base alle proprie esigenze specifiche. Lo strumento di penetrazione dovrebbe scansionare facilmente il tuo sistema ed essere in grado di verificare nuovamente eventuali bandiere rosse precedenti. Lo strumento dovrebbe essere in grado di classificare e classificare le vulnerabilità in base alla loro gravità, dando la priorità a ciò che deve essere risolto immediatamente. Dovrebbe esserci un aspetto di automazione che verifica le vulnerabilità per te, generando log dettagliati.

Se vuoi approfondire l’argomento contattaci: commerciale@n4b.it

FONTE: SolarWinds MSP BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP