Penetration Test

Sicurezza Informatica


Rilevare le Vulnerabilità

Per controllare il livello di cyber security le aziende si affidano ad esperti della sicurezza informatica. Sono loro le persone deputate a monitorare i sistemi tramite test e strumenti per la cyber security.  Uno dei primi test in assoluto per verificare l’efficienza di un sistema di sicurezza è il Penetration Test.

Cos’è un penetration test? In poche parole, si tratta di un’analisi che valuta lo stato delle infrastrutture e cerca di evidenziare i punti deboli.  Tramite questo test è possibile per gli addetti IT rilevare le vulnerabilità:

  1. backdoor nel sistema operativo
  2. la errata configurazione del software e via dicendo.

Il Penetration Testing è possibile effettuarlo in due modi:automaticamente e manualmente.

In entrambi i casi, l’attenzione viene focalizzata su diversi punti. Ad esempio sui server (penetration testing server), il network security device, i dispositivi mobile e le altre aree potenzialmente esposte.  Puoi rivolgerti ad una buona agenzia di penetration testing in Roma o Milano per richiedere servizi di penetration testing e altre consulenze in materia di cyber security.

Il Penetration Test vuole evidenziare e trovare tutte le debolezze del proprio sistema, in modo da identificare chiaramente le possibili vulnerabilità in fatto di cybersecurity e correggerle nel minor tempo. Durante questa analisi, è possibile fare un controllo approfondito anche sulla consapevolezza dello staff che si occupa della sicurezza online oltre a verificare come una società possa affrontare un caso di security breach.

PENETRATION TEST

Il Penetration Test può essere effettuato con diverse metodologie:
Black Box Testing: solitamente un hacker non è a conoscenza di tutta l’infrastruttura IT aziendale, ed è per questo motivo che un cyber attacco viene scagliato su larga scala sull’intera rete della società. Questo test viene eseguito in modo da trovare qualche possibile punto debole nell’infrastruttura. Il Black Box Testing si basa sul concetto di “trial and error”: il Pen Tester, ovvero la figura che effettua queste analisi, non avrà nessuna informazione sul funzionamento delle applicazioni o del codice da analizzare. Per questo è un test molto lungo e che si basa sull’utilizzo di numerosi tool automatizzati.

White Box Testing: a differenza del metodo precedente, qui il Pen Tester è a conoscenza del codice sorgente e di tutta l’architettura del software e quindi richiede molto meno tempo. L’analisi ha diversi pro e contro. E’ sicuramente vantaggioso per effettuare dei test più completi, dall’altra parte potrebbe creare portare confusione su cosa focalizzare prima l’attenzione. In più per effettuare il White Box Testing si necessita di migliori strumenti.

Gray Box Testing: come può far intendere il nome, è il mix tra le precedenti tipologie di Penetration Test. In questo caso il Pen Tester ha solo informazioni parziali sul codice sorgente. Colui che esegue i test si sofferma inizialmente sulle aree su cui ha delle informazioni, cercando di exploitare i punti deboli e le varie falle di sicurezza.

Il Penetration Test si può dividere in varie tipologie: web application, servizi network, client side, wireless e social engineering. Per quanto riguarda il primo, si tratta di un’analisi estremamente dettagliata dove si osservano tutte le componenti, tra cui anche le API, Silvelight e via dicendo. Essendo un test legato alle applicazioni web, può richiedere molto tempo. Le attività del Penetration Test dei servizi network si focalizzano sulle possibili pecche dell’infrastruttura network aziendale o del cliente, ed è il test più comune. Il test sul Client Side si concentra sull’identificare possibili falle nelle workstation, ovvero nei software presenti sul computer, partendo dai browser di navigazione fino ai contenuti multimediali.

L’analisi sul wireless prende in esame ogni dispositivo senza fili all’interno dell’azienda, come gli smartphone e i tablet. Vengono generalmente effettuati in loco e vicino ai segnali del network wireless. Grazie ad esso si possono verificare possibili punti deboli su access point, credenziali di admin e protocolli. Per ottenere importanti informazioni sensibili dell’azienda si ricorre al penetration test più complicato, il social engineering. Qui si prova in vari modi ad “ingannare” un dipendente. Si possono usare metodi fisici come effettuare delle chiamate telefoniche per estorcere le info, fino a delle email di phishing. Puoi rivolgerti ad una web agency e software house per programmare strumenti per il penetration test (penetration test tool) personalizzati in base alle tue esigenze.

Il Penetration Test nella Cyber Security

 

Contatti
Syrus Industry

Via del Fontanile Anagnino 173
00118, Roma (RM)

info@syrusindustry.com

www.syrusindustry.com

vai a contatti