Caratteristiche e differenza tra Test di sicurezza e Pentesting in informatica

Caratteristiche e differenza tra Test di sicurezza e Pentesting in informatica

Test di sicurezza

Prima di tutto, la sicurezza deve essere considerata dalla progettazione. Solo progettando un sistema pensando alla sicurezza, potremmo creare un sistema sensibile alla sicurezza. Ma non tutti i progetti esistenti sono stati progettati in questo modo e spesso la sicurezza viene trattata come un’ottimizzazione da eseguire in seguito. Per costruire un sistema sicuro dobbiamo sapere qual è il profilo dei nostri nemici. Chi è l’attaccante?
Un attaccante non è necessariamente una persona, ma è un’entità che sta cercando di ottenere illegittimamente un bene. Per capire la frase precedente dobbiamo definire alcune concezioni.

  1. Entità: in generale, un sistema può essere attaccato direttamente da una persona o da un altro sistema o software, magari guidato da un essere umano o attivato da una qualche interazione dell’utente
  2. Asset: rappresenta tutto il tipo di risorse che vogliamo proteggere. Potrebbe trattarsi di informazioni sull’utente, denaro, dati aziendali sensibili

Per adottare misure efficaci, dobbiamo capire come operano gli aggressori, analizzare i passaggi eseguiti e provare a scoprire tutte le vulnerabilità nel nostro sistema prima di essere scoperte e sfruttate da un’entità esterna. Come accennato in precedenza, dobbiamo agire in tutti i livelli coinvolti in un’azienda per ottenere un livello più elevato di sicurezza, dalla protezione dell’hardware fino all’adozione della soluzione di rete di sicurezza, dalla protezione del backup fino all’implementazione di un SDL (Security Development Life-cycle) pianificare, classificare le informazioni trattate dall’azienda, standardizzare tutto il processo in cui sono coinvolte le informazioni sensibili, istruire tutte le persone ad adottare il processo progettato. Dopodiché, dobbiamo testare la sicurezza del sistema da interno, eseguendo la scansione della rete interna, l’analizzatore di codice statico, la scansione della vulnerabilità dell’applicazione e adottando una soluzione prima che il nostro sistema raggiunga l’ambiente di produzione, quindi prima di essere esposto all’esterno. Dopo aver implementato determinati processi, dobbiamo valutare se i processi sono stati ben adottati sia nel sistema che nei fattori delle persone. Al fine di eseguire un test di sicurezza, di solito la società deve assumere un team esterno che emulerà il comportamento di un utente malintenzionato. Questo tipo di simulazione, si chiama Penetration Testing, in breve PenTest. Include una vasta serie di test, di solito eseguiti da una società esterna autorizzata, per simulare le operazioni di un ipotetico aggressore nel tentativo di penetrare in un sistema aziendale. In questa prospettiva, il team incaricato di eseguire il test, cercherà di compromettere il sistema aziendale di destinazione, raccogliendo informazioni ed eludendo i processi di sicurezza adottati.

Pentesting

Caratteristiche e differenza tra Test di sicurezza e Pentesting in informatica

Il test di penetrazione (in inglese Pentesting) consiste in una serie di procedure sistematiche eseguite per ottenere l’accesso ai beni aziendali. Può essere semplicemente applicato su un sistema informatico, ma il termine di solito si riferisce alla verifica della correttezza delle procedure di sicurezza implementate da un’azienda. Il Penetration Test, in breve PenTesting, implica la simulazione di attacchi reali per valutare il rischio associato a potenziali violazioni della sicurezza. Su un PenTest (al contrario di una valutazione della vulnerabilità), i tester non solo scoprono le vulnerabilità che potrebbero essere utilizzate dagli aggressori, ma sfruttano anche le vulnerabilità, ove possibile, per valutare ciò che gli aggressori potrebbero ottenere dopo uno sfruttamento riuscito. Come definito dalla divisione di sicurezza informatica del NIST, (National Institute of Standards and Technology):

I test di penetrazione sono test di sicurezza in cui i valutatori tentano di eludere le funzionalità di sicurezza di un sistema in base alla loro comprensione della progettazione e dell’implementazione del sistema. Lo scopo dei test di penetrazione è identificare i metodi per ottenere l’accesso a un sistema utilizzando strumenti e tecniche comuni utilizzati dagli aggressori. I test di penetrazione devono essere eseguiti dopo attenta considerazione, notifica e pianificazione.

Quindi i test di penetrazione dovrebbero essere eseguiti da team esterni, dal momento che quelli interni potrebbero avere una conoscenza più approfondita delle reti e delle procedure di sicurezza in atto. Implica l’utilizzo degli stessi strumenti che verrebbero utilizzati dai veri aggressori. Viene utilizzato per simulare il comportamento di un team malintenzionato esterno che tenta di accedere, con autorizzazione, ai beni aziendali e per verificare che la società sia in grado di difendersi in tale situazione.
Usando parole più semplici, il test di penetrazione è il processo di tentativo di ottenere l’accesso alle risorse senza la conoscenza di nomi utente, password e altri normali mezzi di accesso. Per sottolineare l’importanza di utilizzare e seguire una metodologia, è spesso utile descrivere uno scenario che aiuti a dimostrare sia l’importanza di questo passaggio sia il valore di seguire una metodologia completa quando si esegue un test di penetrazione.

L’unica cosa che differenzia un pentester rispetto da un attaccante è l’autorizzazione. Dal momento che la simulazione potrebbe includere l’uso di strumenti soggetti a restrizioni di legge, è necessario disporre di un’autorizzazione formale per lo svolgimento del test in cui sono dettagliate tutte le attività che verranno eseguite. L’autorizzazione formale dovrebbe includere:

  • Indirizzi IP da testare
  • Host da non testare
  • Elenco di tecniche e strumenti accettabili
  • Tempo in cui verrà eseguito il test
  • Indirizzo IP delle macchine che eseguiranno il test per differenziare l’attacco simulato da uno reale
  • Gestione delle informazioni raccolte durante il test

Obiettivi

L’obiettivo del Penetration Test è avere una prospettiva completa del livello di sicurezza implementato da un’azienda e verificare la sua risposta a determinati eventi come intrusione o corruzione dei dati. In particolare i suoi principali vantaggi sono:

  • identificare le principali vulnerabilità di un sistema, in modo che un’organizzazione possa implementare un piano d’azione per attuare le difese in base alla priorità dei difetti identificati
  • migliorare i componenti IT di un’organizzazione poiché è possibile identificare sia i difetti di rete che quelli del software
  • migliorare la parte non informatica di un’azienda, coinvolgendo anche le persone, al fine di limitare la divulgazione delle informazioni per ciascun livello gerarchico
  • ridurre le possibili perdite finanziarie derivanti da un incidente e, in un certo modo, essere preparato in tal caso, adottando misure correttive o reazioni.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *