Il primo passo per innalzare il livello di sicurezza della propria organizzazione deve basarsi su un Penetration Test, cioè il processo operativo di analisi o valutazione della sicurezza di un sistema informatico o di una rete.
Il Penetration Test viene condotto su più fasi dal punto di vista di un potenziale attaccante e simula l’attacco informatico di un utente malintenzionato. Il test sfrutta le vulnerabilità conosciute o rilevate, aiutando così a determinare se le difese del sistema sono sufficienti o se invece sono presenti altre vulnerabilità, elencando in questo caso in un report quali difese il test ha sconfitto. Il test ha dunque come obiettivo quello di evidenziare le debolezze della piattaforma fornendo il maggior numero di informazioni sulle vulnerabilità che ne hanno permesso l’accesso non autorizzato, fornendo una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei confronti delle:
- Vulnerabilità interne al sistema;
- Vulnerabilità esterne al sistema;
- Sicurezza fisica.
Tutti i problemi di sicurezza rilevati vengono quindi presentati al cliente assieme a una valutazione del loro impatto nel sistema e nello scenario del business aziendale, fornendo inoltre una soluzione tecnica o proposta di mitigazione o migrazione del sistema.
In linea con la valutazione degli asset critici aziendali, August Solution svolge attività formative e diagnostiche in grado di verificare attraverso approcci metodologici internazionalmente condivisi come la Vulnerability Assessment ed il Penetration test.
Vulnerability Assessment ha come scopo l’individuazione di vulnerabilità presenti su:
- Postazioni di lavoro
- Server/Dispositivi di rete
- Applicazioni/servizi esposti
- Applicazioni industriali
In base alle necessità effettive del Cliente il Penetration Test può essere eseguito in tre differenti modalità:
Penetration test: Black box
Ai tester non viene fornita nessuna informazione riguardo l’infrastruttura da attaccare.
Il Penetration Tester vestirà il ruolo di un attaccante che tenta di compromettere la sicurezza dell’infrastruttura dall’esterno. Questo genere di testing è utile a modellare un attacco esterno e quindi il più plausibile e comune.
Il Penetration Testing Black Box richiederà la valutazione dei vettori di attacco raggiungibili dall’esterno. È da tenere a mente che sebbene questo attacco possa modellare situazioni specifiche, non offre una panoramica completa della sicurezza perché il tester non avrà la possibilità di esaminare tutti i vettori di attacco possibili.
RISULTATO: Report comprensivo di tutti i vettori d’attacco individuabili dall’esterno e ricerca di vulnerabilità.
Penetration test: White box
Il Penetration Tester ha ricevuto informazioni approfondite sul target e sull’infrastruttura come una mappa della rete e credenziali di accesso utili ad effettuare i test.
Il Penetration Testing di tipo White Box è una modalità assistita di simulazione di scenari. Grazie alle informazioni che vengono fornite al tester, come ad esempio la documentazione, il disegno dell’architettura, il codice sorgente, permette una copertura maggiore e fornisce una panoramica estensiva di ogni possibile vettore di attacco.
Sebbene il Penetration Testing White Box permetta di risparmiare tempo inizialmente (perchè non sarà necessario effettuare una fase di reconnaissance), potrebbe comunque essere molto dispendioso in termini di tempo a causa dei numerosissimi vettori d’attacco che i Penetration Tester dovranno valutare e testare.
RISULTATO: Report comprensivo di tutti i possibili vettori d’attacco evidenziando le vulnerabilità a tutti gli aspetti dell’infrastruttura.
Penetration test: Grey box
In questo scenario ai Penetration Tester vengono fornite solamente informazioni parziali, solitamente le credenziali per il login. Il Penetration Testing Grey Box permette di modellare situazioni in cui un hacker, dall’esterno ha ottenuto accesso alla rete interna, oppure per simulare una Insider Threat. Il Penetration Testing Grey Box è una via di mezzo tra il White Box e il Black Box, di conseguenza è utile a testare in maniera realistica la sicurezza, senza però entrare nel merito di test troppo approfonditi.
Solitamente il Grey Box testing è la scelta preferibile se non si hanno particolari esigenze e se si desidera avere una panoramica sufficientemente completa della sicurezza.
RISULTATO: Report comprensivo di un eventuale Insider Threat o di un hacker che ha fatto breccia nella sicurezza dall’esterno.
Il report è un documento semplice e dettagliato che riassume i risultati dell’attività di test: richiedilo ora!
