Un Penetration Test (o Pen Test) è uno strumento finalizzato a valutare il livello sicurezza di un’infrastruttura IT che sfrutta le vulnerabilità dei sistemi di protezione

 

In pratica si tratta di una vera e propria simulazione di attacco hacker che ha come obiettivo un determinato perimetro del sistema o della rete.

Niente paura: nonostante il nome, non c’è nulla di pornografico.

Le vulnerabilità possono riguardare sistemi operativi, servizi, configurazioni, server, endpoint, applicazioni Web, reti wireless, dispositivi di rete, dispositivi mobili e molto altro.

Perché un’azienda dovrebbe eseguire un Penetration Test? Prima di tutto perché comprendere quanto e dove si è vulnerabili è fondamentale per convalidare l’efficacia dei propri sistemi difensivi.

Inoltre, elemento da non sottovalutare, un Pen Test può risultare estremamente utile per capire quanto e in che modo i propri dipendenti rispettano le politiche di sicurezza aziendali: è infatti importante tenere a mente che il rischio non proviene solo dall’esterno bensì, spesso, è lo stesso comportamento inadeguato degli utenti che rende un sistema difensivo vulnerabile.

Le vulnerabilità di un sistema di protezione possono essere delle più variegate:

  • Configurazioni errate
  • Accessi non autorizzati
  • Cartelle non protette
  • Applicazioni date in gestione a terzi

Echi più ne ha più ne metta.

Come viene eseguito un Penetration Test?

I Penetration Test  vengono generalmente eseguiti utilizzando tecnologie manuali o automatizzate finalizzate a compromettere volutamente i sistemi difensivi.

Ma un Penetration Test ha successo solo quando rileva vulnerabilità? Chiaramente no: l’esito negativo di un Pen Test sta solo a dimostrare che quel determinato perimetro è stato correttamente messo in sicurezza, oppure che l’IT specialist che lo esegue non è abbastanza bravo, ma questo è un altro discorso.
La modalità più idonea a eseguire un Penetration Test è infatti quella cosiddetta in Black Box: il tester, in questo caso, si identifica in un vero e proprio hacker esterno (per questo viene chiamato anche ethical hacker) che cerca di sfondare i sistemi di sicurezza di un’azienda, senza conoscerne nulla. È chiaro, quindi, che l’abilità di chi effettua il test conta molto in questo tipo di attività.

Chiariamo però un punto: abbiamo spesso detto, e non smetteremo mai di ripeterlo, che in ambito di sicurezza IT il rischio zero non esiste. Questo per molti motivi, primo fra tutti la velocità con cui si evolvono i sistemi di attacco.

“Rilassarsi” solo perché un Pen Test non ha rilevato anomalie, quindi, non è mai la scelta adatta: è invece auspicato eseguire Penetration Test periodici.

 

 

Come sviluppare una politica di sicurezza aziendale

Scarica l’infografica gratuita!

Cosa fare dopo un Penetration Test?

A seguito del Penetration Test viene normalmente consegnato un report che riporta le vulnerabilità rilevate.
A questo punto, se il Penetration Test ha scovato punti deboli, è chiaro che l’azienda deve adottare tutte le misure necessarie a risolverli.

 

Quali sono i vantaggi del Penetration Test?

Abbiamo già detto che grazie a un Penetration Test è possibile scovare eventuali punti deboli dei sistemi informativi aziendali. Non solo: i Pen Test forniscono informazioni dettagliate sulle minacce alla sicurezza reali e sfruttabili.
Ma quali sono, nella pratica i reali vantaggi? Eccone alcuni:

  • Gestire in modo intelligente le vulnerabilità
  • Adottare una politica di sicurezza aziendale che includa anche l’educazione dei dipendenti
  • Evitare il costo dei tempi di inattività della rete
  • Soddisfare i requisiti normativi ed evitare sanzioni
  • Conservare la reputation aziendale e la fedeltà dei clienti

Le violazioni della sicurezza e le conseguenti interruzioni del servizio possono infatti risultare estremamente onerose per un’azienda, non solo in termini economici: possono infatti provocare perdite finanziarie dirette ma anche minacciare l’immagine delle aziende, compromettere la fedeltà dei clienti, attirare una stampa negativa e innescare multe e sanzioni significative.

 

Con quale frequenza eseguire un Pen-Test?

Abbiamo detto che un singolo Pen Test è certamente utile ma non sufficiente per garantire la sicurezza di un’azienda.
I Penetration Test devono essere eseguiti regolarmente per garantire una gestione più coerente della sicurezza IT e di rete.
In particolare i test dovrebbero essere eseguiti ogni volta che:

  • Sono state aggiunte nuove infrastrutture o applicazioni di rete
  • Sono state apportate modifiche significative a infrastrutture o applicazioni
  • Sono stati creati nuovi uffici
  • Vengono applicate patch di sicurezza
  • Le politiche dell’utente finale sono state modificate

Anche il Penetration Test, quindi, come il Back-up o il Vulnerability Assessment, fa parte di quella politica di prevenzione che ogni azienda dovrebbe adottare.
Grazie a una corretta politica di sicurezza è possibile identificare i rischi, gerarchizzarli secondo le priorità del business e, soprattutto, intervenire in modo preventivo e proattivo.

Share This