Cos’è il Penetration Test?
Il servizio Penetration Test (PT) di SafeBreach consiste nel simulare un attacco reale contro tutto il sistema aziendale, esattamente come farebbe un criminale informatico, ovviamente senza arrecare disservizi all’infrastruttura.
Il nostro esperto che esegue il Penetration Test (detto Pentester) per prima cosa effettua un’analisi dell’infrastruttura con “occhi da attaccante” alla ricerca di “misconfiguration” e/o di vulnerabilità, infine realizza materialmente l’attacco sfruttando qualsiasi falla individuata nell’infrastruttura.
Alla fine del test, il Pentester fornisce al cliente diversi report dettagliati che illustrano le tipologie di vulnerabilità individuate, il danno che potrebbe subire l’azienda in caso di attacco ed infine come risolvere il problema (remediation plan).
Il PT si basa sul principio di dimostrare che le vulnerabilità siano effettivamente utilizzabili da un criminale informatico.
Essendo un’attività molto complessa richiede un tempo di gran lunga superiore a un semplice Vulnerability Assessment e, prima di metterla in atto, richiede la definizione col cliente delle regole di ingaggio (engagement & scope) nonché i vincoli da rispettare tramite un “Non Disclosure Agreement” (NDA) ovvero un accordo di riservatezza.
Il PT mostra in modo dettagliato i seguenti scenari:
Fasi del Penetration Test
Le fasi del Penetration Test SafeBreach sono attività critiche che richiedono competenze estreme e
un’etica indistruttibile da parte di chi effettua il test.
Per questo motivo il PT di SafeBreach è composto da quattro fasi chiare e irrinunciabili:
Dopo aver esaminato la situazione del cliente, il tipo di business e lo stato dell’arte della postura Cyber si concorda col cliente il punto di partenza e gli obiettivi di massima della proposta Safebreach.
È per noi la fase più importante. Il Cliente necessita di tutte le rassicurazioni e le garanzie del caso. Infatti, viene definito un contratto contenente le aspettative e gli obiettivi del cliente e i requisiti sia in termini tecnici che legali. Vengono stabilite le clausole di riservatezza, gli eventuali limiti e l’accordo di riservatezza (NDA). Dovranno essere definiti gli indirizzi IP da cui partiranno i test e le persone fisiche responsabili e operative durante l’attività. Possono essere definiti eventuali patti di non concorrenza e Memorandum of Understanding (MoU). Colui che effettua un test di un sistema (il Pentester) deve infine garantire la non interruzione delle attività e dei processi aziendali oltre alla non modifica e perdita dei dati. Tutte le attività non regolamentate da un contratto sono da considerarsi illegali.
In questa fase viene effettuato l’attacco reale contro tutto il sistema aziendale, partendo da un’analisi approfondita dei sistemi coinvolti fino all’effettiva exploitation delle vulnerabilità rilevate. L’attività è svolta attraverso la Cyber Kill Chain, un modello a fasi che consente di identificare i vari passaggi necessari all’esecuzione di un attacco informatico e quindi a renderlo “comprensibile” anche a personale meno tecnico che in questo modo avrà meno difficoltà nell’individuare le misure tecniche per contrastarlo.
È la fase finale del processo di PT in cui viene documentato e illustrato quanto effettuato, in particolare vengono forniti Executive Summary e Technical Report dettagliati.
Executive Summary, è un report sintetico del PT ed in genere è rivolto al consiglio direttivo. Technical Report, è il report tecnico dettagliato del PT con i relativi Proof of Concept (PoC), cioè la dimostrazione dei metodi utilizzati per identificare la presenza e/o lo sfruttamento di una vulnerabilità software o hardware. Infine, si illustrano i rischi e si fornisce il Remediation Plan che permette al cliente di organizzare il lavoro di miglioramento della sicurezza informatica, stabilendo delle priorità sulla base degli obiettivi da proteggere e della gravità delle falle da sistemare.
Come si svolge l’attacco simulato
Per realizzare la simulazione di un attacco reale, i nostri esperti utilizzano tutte le tecniche, tattiche e procedure (TTPs)
documentate dal framework MITRE ATT&CK. Queste TTPs consentono di replicare l’adversary emulation, ovvero testare realmente
la postura e la resilienza di un’azienda contro un advanced persistent threats (APTs) usando svariate TTPs quali:
Gli obiettivi del Penetration Test
Cookie | Durata | Descrizione |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |