Penetration Test

Penetration Test

Dai primi passi, allo sviluppo capillare dell’Information Technology, tutelare i sistemi informativi da attacchi esterni è sempre stata una delle priorità. Gli sforzi e gli investimenti, infatti, non sono stati solo indirizzati verso il miglioramento e l’efficacia delle funzioni digitali, ma anche mirati a rafforzare i livelli di sicurezza. D’altronde, l’enorme volume di dati e informazioni gestiti dai sistemi informativi è tale da richiedere la massima sicurezza per tutelare tutti gli utenti da eventuali attacchi di diversa natura. Sarebbe una follia oggi, più di ieri, non continuare a destinare risorse umane e finanziarie a una tematica così importante come quella della sicurezza informatica. È sufficiente pensare ai carichi di lavoro delle Pubbliche Amministrazioni e delle imprese che passano attraverso le nuove tecnologie. In uno scenario del genere, il processo di analisi dei Penetration Test è fondamentale ai fini della valutazione della sicurezza di un sistema informatico. Di seguito allora vediamo cosa sono i Penetration Test, come funzionano, le differenze e gli obiettivi.

Il Penetration Test è una tipologia di analisi con lo scopo di valutare la sicurezza di un intero sistema informatico di un’organizzazione. In tal senso, a titolo di esempio, l’analisi dei siti web interessa le varie funzionalità, i meccanismi di autenticazioni, l’interazione con i database e la configurazione dei server. Un’analisi a 360 gradi deve riguardare tutto il sistema informatico di un’organizzazione e non solamente parte di esso. Una maniera opportuna per scoprire eventuali criticità, per rilevare eventuali vulnerabilità e capire se le difese in termini di sicurezza sono o meno sufficienti. Il test ha quindi come fine principale la ricerca delle debolezze di una determinata piattaforma, utile per fornire attendibili informazioni sul numero delle vulnerabilità, a cui risalire attraverso la simulazione di un attacco informatico. Un controllo assolutamente necessario per accertare il soddisfacimento dei requisiti di sicurezza da parte del sistema. Il Penetration Test è quindi un’analisi capace di fornire un risultato chiaro sulle capacità di difesa di un sistema riguardo alle vulnerabilità interne ed esterne. Scoperte la natura e le reali funzioni del Penetration Test, passiamo di seguito a vedere come funziona e come si sviluppa un’analisi del genere.

La procedura dell’analisi è dunque finalizzata all’individuazione dei punti di debolezza di un determinato sistema. Il Penetration Test va fatto per scoprire vulnerabilità e problemi tecnici che possono derivare dalla progettazione o gestione di un sistema, punti deboli che potrebbero essere sfruttati per mettere a serio rischio la sicurezza di un sistema informatico. Una volta individuati i limiti di sicurezza, gli stessi saranno presentati al proprietario del sistema attraverso un report, insieme alla possibile risoluzione tecnica oppure, quanto meno, insieme a un rimedio per attenuare i punti critici. Lo scopo è scongiurare i rischi di eventuali attacchi di malintenzionati o relativi all’instabilità di un sistema. Rischi che potrebbero sensibilmente compromettere la disponibilità e l’integrità delle risorse informatiche. Ai fini dell’effettuazione delle analisi su sistemi informatici che non si posseggono, i test necessitano di una specifica autorizzazione contrattuale, utile anche per prevedere obiettivi, tempi di realizzazione e le risorse da controllare. Formalizzare l’operatività di un test significa anche regolarizzare l’analisi dal punto di vista della riservatezza e specificare le persone responsabili dell’attività di verifica. Appare chiaro, inoltre, che nel corso del Penetration Test di un sistema vanno garantite la continuità dell’attività e la non modifica e perdita delle informazioni.

In fase contrattuale, il proprietario del sistema concorda con l’analista gli obiettivi da raggiungere e stabilisce quali informazioni condividere. Solitamente vengono condivise molte informazioni inerenti ai server e ai dispositivi di sicurezza, per dare al responsabile dell’analisi una visione generale del sistema interessato al test. Un test efficace e affidabile avviene quando l’attività si concentrerà non sul funzionamento generale ma sui singoli dispositivi. Un’analisi approfondita e condotta in maniera corretta naturalmente, al di là degli accordi contrattuali tra il proprietario del sistema e l’analista, richiede una grande professionalità ed esperienza. La responsabilità di un processo come questo è altissima, per tale ragione i test vanno fatti esclusivamente da veri e proprio professionisti del settore. In fondo, soprattutto nel campo dell’informatica, non si improvvisa niente ma serve una grande preparazione di base per svolgere certi compiti.

Le finalità dei pentest esterni sono relative alla comprensione di un’eventuale entrata dall’esterno nel sistema informatico da parte di un hacker. Con tali analisi si ricercano eventuali criticità: punti di accesso scoperti (es: errori nel sistema, bug, etc.) che potrebbero consentire agli hacker di entrare pericolosamente nei sistemi informatici. Generalmente si tratta di analisi che iniziano direttamente dal web e dalle ricerche sui motori di ricerca. Invece, un’analisi interna, viene generalmente fatta da qualcuno interno all’organizzazione. A volte è successo, e succederà sicuramente ancora, che password di accesso degli impiegati di un’organizzazione di lavoro sono finite nelle mani di qualche malintenzionato, deciso a fare accesso ai sistemi interni. Un rischio enorme che potrebbe provocare gravi conseguenze per la funzionalità di un’intera azienda. Cose che chiaramente non dovrebbero accadere perché i dati di accesso ai sistemi interni di un’impresa dovrebbero essere gelosamente custoditi da parte dei detentori, ma che non di rado si verificano. In queste circostanze, un Penetration Test interno è utile proprio all’analisi di questa tipologia di accadimenti.

In ogni caso, esistono test delle applicazioni web, analisi mirate alla scoperta di hacker che potrebbero compromettere le applicazioni web dall’esterno o dall’interno. In tale logica vengono studiate le app con lo scopo di individuare le falle nei sistemi informativi, colpevoli della vulnerabilità delle applicazioni stesse. Poi ci sono i Penetration Test per indagare sulle reti wireless, per valutare e difendere i punti critici con la simulazione di un attacco, le analisi per valutare la vulnerabilità di una infrastruttura VoIP e per sventare le frodi telefoniche, e i test riguardanti gli accessi in remoto per evidenziare le vulnerabilità riconducibili al lavoro a distanza. Differenti test ma tutti destinati a scoprire i punti critici dei sistemi informativi, per proteggerli e garantire la massima funzionalità degli stessi.

In un mondo come quello attuale votato sempre più alle nuove tecnologie digitali, la sicurezza informatica è di estrema importanza. Ignorare un concetto simile alla luce dei numerosi attacchi da parte dei cyber criminali e degli hacker sarebbe una leggerezza incredibile. Un rischio da non correre da parte di nessuno ma, per comprensibili motivi, soprattutto dalle aziende. Un’impresa ha tutto l’interesse di tutelare la propria operatività, la produzione e le vendite. Tutte attività da proteggere nel migliore dei modi perché un’eventuale perdita di dati e informazioni potrebbe portare a ingenti danni economici. Il passato ha dimostrato che eventi del genere si sono manifestati e hanno notevolmente compromesso l’operatività delle organizzazioni di lavoro. Per limitare i rischi dei sistemi informatici, analizzarli attraverso precise procedure per identificare le criticità è una buonissima regola. I Penetration Test in quest’ottica sono molto indicati e sempre più diffusi.

Info sull'autore

Andrea Masella author