Studio Legale Carozzi

Cyber Security - Penetration Test

Cos’è il Penetration Test?

Il servizio Penetration Test (PT) di SafeBreach consiste nel simulare un attacco reale contro tutto il sistema aziendale, esattamente come farebbe un criminale informatico, ovviamente senza arrecare disservizi all’infrastruttura.

Il nostro esperto che esegue il Penetration Test (detto Pentester) per prima cosa effettua un’analisi dell’infrastruttura con “occhi da attaccante” alla ricerca di “misconfiguration” e/o di vulnerabilità, infine realizza materialmente l’attacco sfruttando qualsiasi falla individuata nell’infrastruttura.

Alla fine del test, il Pentester fornisce al cliente diversi report dettagliati che illustrano le tipologie di vulnerabilità individuate, il danno che potrebbe subire l’azienda in caso di attacco ed infine come risolvere il problema (remediation plan).

Il PT si basa sul principio di dimostrare che le vulnerabilità siano effettivamente utilizzabili da un criminale informatico.

Essendo un’attività molto complessa richiede un tempo di gran lunga superiore a un semplice Vulnerability Assessment e, prima di metterla in atto, richiede la definizione col cliente delle regole di ingaggio (engagement & scope) nonché i vincoli da rispettare tramite un “Non Disclosure Agreement” (NDA) ovvero un accordo di riservatezza.

Il PT mostra in modo dettagliato i seguenti scenari:

  • quali vulnerabilità vengono sfruttate
  • quali possano essere le conseguenze di un attacco informatico
  • permette una verifica della consapevolezza dello staff che si occupa della sicurezza IT
  • offre la possibilità di correggere tutte le vulnerabilità nel minor tempo
  • verifica come l’azienda possa affrontare un caso di data breach

Fasi del Penetration Test

Le fasi del Penetration Test SafeBreach sono attività critiche che richiedono competenze estreme e
un’etica indistruttibile da parte di chi effettua il test.

Per questo motivo il PT di SafeBreach è composto da quattro fasi chiare e irrinunciabili:

  1. Pre Engagement

Dopo aver esaminato la situazione del cliente, il tipo di business e lo stato dell’arte della postura Cyber si concorda col cliente il punto di partenza e gli obiettivi di massima della proposta Safebreach.


 

  1. Engagement

È per noi la fase più importante. Il Cliente necessita di tutte le rassicurazioni e le garanzie del caso. Infatti, viene definito un contratto contenente le aspettative e gli obiettivi del cliente e i requisiti sia in termini tecnici che legali. Vengono stabilite le clausole di riservatezza, gli eventuali limiti e l’accordo di riservatezza (NDA). Dovranno essere definiti gli indirizzi IP da cui partiranno i test e le persone fisiche responsabili e operative durante l’attività. Possono essere definiti eventuali patti di non concorrenza e Memorandum of Understanding (MoU). Colui che effettua un test di un sistema (il Pentester) deve infine garantire la non interruzione delle attività e dei processi aziendali oltre alla non modifica e perdita dei dati. Tutte le attività non regolamentate da un contratto sono da considerarsi illegali.


  1. Testing

In questa fase viene effettuato l’attacco reale contro tutto il sistema aziendale, partendo da un’analisi approfondita dei sistemi coinvolti fino all’effettiva exploitation delle vulnerabilità rilevate. L’attività è svolta attraverso la Cyber Kill Chain, un modello a fasi che consente di identificare i vari passaggi necessari all’esecuzione di un attacco informatico e quindi a renderlo “comprensibile” anche a personale meno tecnico che in questo modo avrà meno difficoltà nell’individuare le misure tecniche per contrastarlo.


  1. Debriefing

È la fase finale del processo di PT in cui viene documentato e illustrato quanto effettuato, in particolare vengono forniti Executive Summary e Technical Report dettagliati.
Executive Summary, è un report sintetico del PT ed in genere è rivolto al consiglio direttivo. Technical Report, è il report tecnico dettagliato del PT con i relativi Proof of Concept (PoC), cioè la dimostrazione dei metodi utilizzati per identificare la presenza e/o lo sfruttamento di una vulnerabilità software o hardware. Infine, si illustrano i rischi e si fornisce il Remediation Plan che permette al cliente di organizzare il lavoro di miglioramento della sicurezza informatica, stabilendo delle priorità sulla base degli obiettivi da proteggere e della gravità delle falle da sistemare.

Come si svolge l’attacco simulato

Per realizzare la simulazione di un attacco reale, i nostri esperti utilizzano tutte le tecniche, tattiche e procedure (TTPs)
documentate dal framework MITRE ATT&CK. Queste TTPs consentono di replicare l’adversary emulation, ovvero testare realmente
la postura e la resilienza di un’azienda contro un advanced persistent threats (APTs) usando svariate TTPs quali:

  • Abuse AD misconfiguration
  • Exploit noti per determinate vulnerabilità
  • Attività di social engineering e OSINT
  • Bypassing firewalls & IPS/IDS
  • AV/EDR evasion
  • Wireless hacking
  • Attacchi ad applicazioni & servizi
  • Attacchi a Web Application
  • Attacchi indiretti tramite client violati
  • Lateral Movement
  • Privilege escalation
  • Brute forcing & password replay/spray
  • Data exfiltration
  • Persistence

 

Gli obiettivi del Penetration Test

  • Identificare, controllare e contenere eventuali vulnerabilità critiche dell’infrastruttura informatica
  • Garantire la sicurezza di nuove applicazioni o protezione in caso di cambiamenti significativi ai processi aziendali
  • Valutare il rischio di compromissione di informazioni o sistemi critici dell’operatività aziendale
  • Valutare il potenziale impatto di un attacco riuscito sulle attività aziendali e sui processi di business
  • Testare la capacità di difesa di una rete nel rilevare e reagire a un attacco
  • Giustificare un maggiore investimento in personale e tecnologie per la sicurezza
  • Rispettare le normative europee riguardati il GPDR evitando le possibili sanzioni