Il penetration test, comunemente chiamato pen test, sta ottenendo evidenza sempre maggiore nel circolo dei test da fare a livello aziendale. Il motivo non è difficile da dedurre, considerando il cambiamento portato dalla digitalizzazione, dai sistemi computerizzati e dalla necessità di tutelarsi a livello aziendale e industriale da tutte le minacce che provengono dalla Rete. Chiaramente le aziende sono pienamente consapevoli che nessun sistema può essere sicuro al 100%, ma sono estremamente interessate a sapere esattamente quali sono le criticità in termini di security dei propri sistemi informatici e digitali. Ed è proprio per questa funzione molto importante che il pen-test è divenuto uno strumento molto utile nell’ambito delle tecniche di Ethical Hacking.
L’Ethical Hacker è quella risorsa aziendale che ha il compito di tutelare la sicurezza aziendale utilizzando gli stessi strumenti utilizzati dagli hackers malevoli, che considera la sicurezza dal punto di vista dell’attaccante, che pensa come un hacker e comprende il mondo da cui possono provenire gli attacchi. Solo conoscendo il loro punto di vista e facendo esami su situazioni di vita reali e concrete si può avere un quadro di tutela della sicurezza vicino all’ideale. Il pentest è una di queste procedure che si utilizza in termini di Ethical hacking. Vediamo questo test di che cosa tratta nel dettaglio:
Cos’è un pen-test?
È un test di valutazione della sicurezza dove le aree di debolezza di un sistema informatico vengono evidenziate e messe alla prova con la simulazione di un attacco malevolo per comprendere se questi punti deboli possono essere superati e aggirati oppure no, e in che modo ciò può verificarsi. Solitamente, quindi, ad essere posti sotto esame sono siti web, reti e server.
Come viene eseguito?
Fase1. In primis si parte con una lista di aree di vulnerabilità e potenziali problemi che potrebbero causare una violazione della sicurezza per i propri sistemi informativi.
Fase2. Se possibile questa lista di elementi possono essere ordinati in ordine di priorità e criticità.
Fase3. Elaborare pen-test che andranno ad agire (attaccando la tua Rete) sia all’interno della Rete che all’esterno per determinare se vi sono accessi non autorizzati ai dati, alla Rete, al server e ai siti web.
Fase4. Se gli accessi non autorizzati sono possibili, il sistema dovrà essere corretto e tutta la serie di passaggi dovranno essere rieseguiti fino a che le criticità non verranno risolte.
Chi può effettuare il pen-test?
Possono eseguirlo i tester, specialisti delle reti e consulenti ed esperti della sicurezza.
L’importante è che il pen-testing non sia lo stesso del vulnerability testing. Quest’ultimo serve per identificare i potenziali problemi, mentre lo scopo del pen-test è di attaccare queste aree problematiche per testarne resistenza e vulnerabilità.
