Penetration Test: Se un hacker attaccasse oggi, sareste pronti?

Quanto realisticamente è possibile simulare un attacco informatico e quali vulnerabilità di sicurezza si riscontrano più spesso nelle aziende? I nostri esperti di sicurezza spiegano perché i Penetration Test regolari rappresentano una componente fondamentale della moderna sicurezza IT.

Oggi i sistemi IT sono la spina dorsale di quasi ogni azienda – e allo stesso tempo un obiettivo sempre più interessante per i cyberattacchi. Per individuare tempestivamente le vulnerabilità e ridurre i rischi, molte aziende si affidano ai Penetration Test. 

Un Penetration Test aiuta a identificare queste debolezze prima che possano essere sfruttate da un attaccante. Ne abbiamo parlato con i nostri esperti di sicurezza Paolo Prem e Michele Fiorese.

 

 

Che cos’è esattamente un Penetration Test?

---

Michele Fiorese: Un Penetration Test è un'attività autorizzata e controllata che va a simulare un attacco informatico compiuto da un attore malevolo al fine di identificare vulnerabilità, configurazioni errate o falle di sicurezza, all'interno di un applicativo web o mobile, sul perimetro esterno o all'interno della rete aziendale. Il fine è anche andare a mostrare l'impatto che può avere un incidente di sicurezza sui processi interni e sul business di un'azienda.

 

Quali vulnerabilità di sicurezza scoprite più frequentemente nelle aziende tramite i Penetration Test?

---

Paolo Prem: La maggior parte delle vulnerabilità che individuiamo fanno riferimento a software o sistemi operativi non aggiornati anche se un'altra tipologia che merita una menzione sono configurazioni errate che permettono ad un attaccante di sfruttare eventuali falle di sicurezza per ottenere accessi non autorizzati a risorse o account privilegiati. Altri ritrovamenti comuni sono sistemi dimenticati e quindi non adeguatamanete protetti e credenziali deboli o riutilizzate.

 

Quanto realisticamente un Penetration Test può simulare un vero attacco informatico?

---

Michele Fiorese: Un Penetration Test va a simulare in modo molto realistico le metodologie adoperate da un possibile attore malevolo, copiandone gli strumenti utilizzati e le tipologie di attacchi. La differenza principale è che in un Penetration Test si hanno delle regole di ingaggio ben definite, volte a non danneggiare permanentemente i sistemi coinvolti, mentre un attaccante non si fa riguardo in merito a possibili danni e ha lassi di tempo molto più estesi rispetto ad un'attività concordata.

 

Quando è il momento giusto per effettuare un Penetration Test e per quali aziende è particolarmente consigliato?

---

Paolo Prem: Ci sono delle situazioni in cui è particolarmente consigliato eseguire un Penetration Test, per esempio quando si sta per rilasciare un nuovo applicativo oppure se sono state fatte delle modifiche strutturali all'infrastruttura. Inoltre, è consigliato per qualsiasi tipo di azienda, a prescindere che abbia fatto o meno un percorso di hardening interno o esterno. Il Penetration Test è uno strumento utile alla stessa per individuare i punti deboli su cui concentrare poi le proprie risorse.

 

Perché le aziende dovrebbero eseguire regolarmente un Penetration Test?

---

Michele Fiorese: Il mondo informatico è in continua evoluzione, nuovi strumenti e software vengono rilasciati quotidianamente, per non parlare delle modifiche a quelli esistenti. Nuovi attacchi o vulnerabilità individuate su software esistenti si muovono di pari passo.

È perciò opportuno fare periodicamente dei Penetration Test per verificare che la postura di sicurezza nel tempo non sia stata alterata come spesso viene anche imposto dalle varie normative a riguardo.