Penetration test – Risk analisys

Un Penetration Test consiste nel testare la sicurezza di una infrastruttura IT sottoponendola a svariati tipi di attacchi informatici e di ingegneria sociale.
Le attività di Penetration Test offerte hanno l’obiettivo di fornire al Cliente una conoscenza dettagliata sulle vulnerabilità sfruttabili, da terze parti, per ottenere accessi non autorizzati ai servizi/sistemi analizzati.

I vari test attuabili riguardano:

  • bug, vulnerabilità e security holes nel software presente;
  • punti deboli nella progettazione della rete;
  • punti deboli di firewall e router;
  • punti deboli negli script dei web‐server;
  • errori nella configurazione dei principali servizi in esecuzione;
  • problemi relativi l’accesso fisico alle macchine;
  • eventuale impreparazione di dipendenti e addetti.

Tipologie di test realizzabili

Si distinguono tre grandi categorie tipi di Penetration Test:

a) Zero knowledge (black box): si effettuano i test senza conoscere niente dell’host bersaglio, il tester si mette nelle stesse condizioni dell’attaccante.

b) Partial knowledge: vengono fornite dal committente alcune informazioni per indirizzare l’attacco verso un bersaglio preciso o anche per diminuire i tempi di testing. Le informazioni fornite riguardano in genere la topologia della rete, le politiche di sicurezza adottate, etc.

c) Full knowledge (white box): in questo caso chi esegue il test ha a disposizione tutte, o quasi, le informazioni possibili. In questo caso, in genere, si simula il comportamento di un “attaccante interno”, ad esempio un dipendente. Oltre a testare le macchine un Penetration Test può essere utile anche per valutare le persone addette a tali macchine. Per questa tematica si distinguono due tipi di interventi:

Overt o evidente (Blue team):

Gli impiegati dell’organizzazione, e in particolare lo staff IT, sono a conoscenza del Penetration Test in atto;

Covert o nascosto (Red team):

Si esegue il Penetration Test con il permesso delle “alte cariche”, e all’insaputa dello staff IT. Questo tipo di test è utile per testare, oltre alla sicurezza della rete, anche le capacità e l’affidabilità degli addetti alla sicurezza durante una emergenza e la reale validità delle politiche di sicurezza dell’azienda.

Le nostre metodologie di analisi si allineano alle linee guide presenti nelle direttive OSSTMM e OWASP riconosciute a livello mondiale.

Soluzioni personalizzate

Hai esigenze particolari?
Non esitare a contattarci direttamente per richiedere un colloquio dedicato.
Il nostro team progetta soluzioni adatte alle necessità della tua azienda!