Top 5 Tipi di Penetration Testing

La minaccia crescente degli hacker diventa ogni giorno più seria. Un sondaggio di TechRepublic su più di 400 professionisti della sicurezza IT ha scoperto che il 71% di loro ha visto un aumento delle minacce alla sicurezza o degli attacchi dall’inizio dell’epidemia di COVID-19. Se un hacker dovesse riuscire a violare le vostre difese, i danni – alla vostra reputazione, alla linea di fondo e alle capacità operative – potrebbero essere catastrofici.Per valutare le vostre difese di sicurezza informatica e individuare le vulnerabilità nei vostri sistemi IT critici, dovete considerare diversi tipi di test di penetrazione.

Che cosa sono i test di penetrazione? E quali sono necessari per la tua azienda?

Rivediamo.

Che cos’è un test di penetrazione?

Un test di penetrazione, chiamato anche pen test, coinvolge tipicamente un team di professionisti della sicurezza che lavorano per penetrare nelle reti o nei server della vostra azienda. Lo fanno identificando le vulnerabilità e poi sfruttandole. Per questo motivo, i pen test sono spesso indicati come un tipo di hacking etico.

I pen test sono un meccanismo di difesa efficace perché imitano gli attacchi del mondo reale. Ti permettono di vedere i punti deboli nel tuo perimetro di sicurezza informatica, che siano backdoor nel sistema operativo, difetti di progettazione non intenzionali nel codice o configurazioni software improprie.

I vantaggi di condurre test su base periodica includono:

  • Rivela le esposizioni nelle vostre configurazioni applicative e nell’infrastruttura di rete
  • Protegge l’IP e i dati sensibili e privati
  • Mostra i rischi reali di un hacker che riesce a violare le vostre difese
  • Misura le vostre capacità di cyberdifesa – la vostra capacità di rilevare gli attacchi e rispondere in modo tempestivo
  • .

  • Assicura che la tua rete e le tue operazioni funzionino senza problemi 24 ore su 24, 7 giorni su 7 e non subiscano interruzioni impreviste
  • Mantiene la conformità con i regolamenti e le certificazioni come PCI o ISO
  • Fornisce un parere obiettivo di terza parte sull’efficacia dei tuoi sforzi di cybersicurezza

I test di penetrazione sono progettati per essere intensi e invasivi. L’obiettivo è quello di testare l’intero perimetro per ottenere quante più informazioni utilizzabili possibile. Per SC Magazine

I test di penetrazione possono essere condotti su componenti hardware, software o firmware e possono applicare controlli di sicurezza fisici e tecnici. Spesso segue una sequenza di un’analisi preliminare basata sul sistema target, poi un’identificazione pretest di potenziali vulnerabilità basata su analisi precedenti. Una volta che questo è completo, un pretest può aiutare a determinare lo sfruttamento delle vulnerabilità identificate.

Entrambe le parti devono concordare l’insieme di regole prima di lanciare i test. Poi, i test devono essere applicati all’intera rete.

Hai bisogno di un Penetration Test? Per saperne di più.

Le tre forme di test di penetrazione

Ci sono tre modi principali per condurre un test di penetrazione:

  • Black-box test
  • White-box test
  • Gray-box test

Black-Box Test

Black-box test, conosciuto anche come external penetration test, simula un attacco dall’esterno della tua organizzazione.

Il pen tester inizia sullo stesso piano di un vero hacker. Questo significa che inizia con poche o nessuna informazione sull’infrastruttura IT e sulle difese di sicurezza. Non conosce il funzionamento interno di:

  • Le applicazioni web
  • L’architettura del software
  • Il codice sorgente

Questa forma di test vi dà un’idea di ciò che un esterno dovrebbe fare per violare le vostre difese. Ma il test non finisce solo a questo punto. C’è altro da imparare. Un tester vuole anche vedere quanti danni potrebbe infliggere una volta che è nel sistema. Secondo l’Infosec Institute:

Il test di penetrazione black-box si basa sull’analisi dinamica dei programmi e dei sistemi attualmente in esecuzione all’interno della rete di destinazione. Un black-box penetration tester deve avere familiarità con gli strumenti di scansione automatica e le metodologie per il test di penetrazione manuale. I tester di penetrazione black-box devono anche essere in grado di creare la propria mappa di una rete di destinazione sulla base delle loro osservazioni, dal momento che nessun diagramma di questo tipo viene fornito loro.

Tipicamente, un tester va da internet al router, cercando di aggirare le difese del firewall. Questo viene realizzato lanciando un attacco a forza bruta contro l’infrastruttura IT. Esegue una sorta di approccio per tentativi ed errori, in cui i processi automatizzati cercano indiscriminatamente le vulnerabilità sfruttabili.

Un test black-box può richiedere fino a sei settimane per essere completato completamente, anche se potrebbe durare ancora di più a seconda della portata del progetto e del rigore dei test.

White-Box Test

A volte indicato come clear box testing o test interno, questo tipo di pen test dà al tester accesso al codice sorgente e all’architettura del software fin dall’inizio. Imita un attacco di un impiegato o di un hacker che ha già ottenuto l’accesso al sistema.

Il pen tester inizia con gli stessi privilegi che avrebbe un utente autorizzato. Da lì, cerca di sfruttare la sicurezza a livello di sistema e le debolezze di configurazione. L’obiettivo di questo test è quello di eseguire una verifica approfondita dei vari sistemi e rispondere a due domande chiave:

  1. Quanto in profondità potrebbe andare un attaccante tramite l’escalation dei privilegi?
  2. Quanti danni potrebbe causare un attacco?

Un test interno può richiedere da due a tre settimane per finire.

Gray-Box Penetration Testing

Come implica il nome, il test gray-box è la via di mezzo tra un test interno e uno esterno. Il tester sta simulando un attacco dall’esterno, solo che in questo caso, l’hacker ha i livelli di conoscenza parziale di un utente.

Lo scopo è quello di cercare difetti nella struttura del codice o nell’applicazione, utilizzando una miscela di metodologie white-box e black-box. Il test ibrido misura gli input dell’utente per vedere quali output il software produce in risposta. Generalmente, il test sarà condotto attraverso una combinazione di processi manuali e programmi automatizzati.

Gli scenari comuni a cui è destinato un test gray-box includono:

  • L’hacker ha account utente o amministratore con cui può effettuare il login
  • L’hacker ha una profonda comprensione del flusso di dati e dell’architettura dell’applicazione
  • L’hacker ha accesso a parti del codice sorgente

Perché utilizza una miscela di entrambe le metodologie, alcuni lo considerano il miglior ROI per il vostro tempo e risorse. Offre molti dei benefici di un test interno ed esterno. Detto questo, un test gray-box fornisce solo una copertura limitata dell’applicazione e del codice sorgente. Per rendere le cose più complicate, i test non sono facili da progettare.

I 5 tipi di Pen Testing

Ora che abbiamo coperto i modi principali in cui un penetration test può essere eseguito, è possibile immergersi nei tipi più comuni di test. La maggior parte di essi utilizzerà una combinazione di metodologie di test white-box e black-box. Essi includono:

Network Service Penetration Testing

Un test di penetrazione della rete è utilizzato per identificare le debolezze sfruttabili all’interno del vostro:

  • Reti
  • Sistemi
  • Hosts
  • Dispositivi di rete

La vostra missione è quella di trovarli e chiuderli prima che un hacker possa trarne vantaggio. Se fatto correttamente, può dimostrare le vulnerabilità del mondo reale che un hacker potrebbe essere in grado di sfruttare per ottenere l’accesso a dati sensibili o prendere il controllo del sistema. Il processo di scoperta permette al vostro team di trovare modi migliori per proteggere i dati privati e prevenire le prese di controllo del sistema.

Cosa comporta?

La maggior parte dei test di penetrazione seguirà le 7 fasi del Penetration Testing Execution Standard (PTES):

  • Interazioni pre-impegno – Il team interno e il partner della sicurezza si incontrano per discutere e definire la portata dell’impegno.
  • Raccolta di informazioni – I tester cercano di scoprire tutti i sistemi accessibili e i loro vari servizi per ottenere più informazioni possibili.
  • Modellazione delle minacce – Il tester identifica le vulnerabilità sfruttabili all’interno del sistema, attraverso test manuali e scansioni automatizzate.
  • Analisi delle vulnerabilità – Il tester documenta e analizza le vulnerabilità più evidenti per formulare un piano di attacco.
  • Sfruttamento – Il tester esegue effettivamente dei test nel tentativo di sfruttare le vulnerabilità.
  • Post sfruttamento – Il tester cerca di determinare il valore della macchina compromessa e di mantenerne il controllo per poterla utilizzare in un secondo momento.
  • Reporting – Il tester compila i risultati, classificando e dando priorità alle vulnerabilità, fornendo prove e raccomandando misure di risposta.

Web Application Penetration Testing

L’espansione delle applicazioni web ha fatto sì che maggiori risorse internet debbano essere spese per sviluppare software e configurare le applicazioni per funzionare correttamente. Ma questo rappresenta anche un nuovo significativo vettore di attacco per gli hacker, soprattutto perché alcune applicazioni web possono contenere dati sensibili.

I test di penetrazione delle applicazioni web cercano di raccogliere informazioni sul sistema target, trovare vulnerabilità e poi sfruttarle. L’obiettivo finale è quello di compromettere completamente l’applicazione web.

Questo è anche conosciuto come Web Application Penetration Testing (WAPT). È in grado di testare i seguenti scenari:

  • Cross Site Scripting
  • SQL Injection
  • Broken authentication and session management
  • File Upload flaws
  • Caching Servers Attacks
  • Security Misconfigurations
  • Cross-Site Request Forgery
  • Password Cracking

Spesso visto come un test di “immersione più profonda”, un WAPT è molto più approfondito e dettagliato, in particolare quando si tratta di identificare vulnerabilità o debolezze nelle applicazioni basate sul web. Di conseguenza, una quantità significativa di tempo e risorse deve essere dedicata a testare adeguatamente la totalità di un’applicazione web.

Wireless Penetration Testing

Il test di penetrazione wireless mira a identificare e poi valutare le connessioni tra tutti i dispositivi collegati alla vostra rete wifi aziendale, compresi:

  • Laptop
  • Tablet
  • Dispositivi mobili
  • Dispositivi IoT

Il test viene condotto in loco poiché il pen tester deve essere nel raggio della rete wireless per accedervi. E l’obiettivo del test è relativamente semplice: trovare le vulnerabilità nei punti di accesso wifi.

Quali sono i passi coinvolti?

  • Ricognizione wireless – Le informazioni vengono raccolte tramite il wardriving, che consiste nel guidare intorno al luogo fisico per vedere se i segnali wifi compaiono.
  • Identificare le reti wireless – Il tester scansiona e identifica le reti wireless utilizzando la cattura dei pacchetti e il monitoraggio della scheda wireless.
  • Ricerca delle vulnerabilità – Dopo che il tester trova i punti di accesso wifi, cerca di identificare le vulnerabilità su quel punto di accesso.
  • Sfruttamento – Il tester tenta di sfruttare le vulnerabilità in uno dei tre modi seguenti:
    • De-autenticazione di un client legittimo
    • Cattura di un iniziale handshake a 4 vie
    • Esecuzione di un attacco offline a dizionario su una chiave di cattura
  • Reporting – Il tester documenta ogni passo del processo, includendo risultati dettagliati e raccomandazioni per la mitigazione.

Social Engineering Penetration Testing

Il rischio di sicurezza più significativo per la tua organizzazione – a parte tutto – sono i tuoi dipendenti. Secondo Security Magazine:

I criminali informatici prendono aggressivamente di mira le persone perché inviare email fraudolente, rubare credenziali e caricare allegati dannosi nelle applicazioni cloud è più facile e molto più redditizio che creare un exploit costoso, che richiede tempo e ha un’alta probabilità di fallimento. Più del 99% dei cyberattacchi si basa sull’interazione umana per funzionare, rendendo i singoli utenti l’ultima linea di difesa.

Se il vostro tentativo di migliorare la sicurezza non include i vostri dipendenti, allora tutti i vostri sforzi saranno vani. Dovrebbero essere la vostra principale preoccupazione.

Con un test di penetrazione di ingegneria sociale, il tester cerca di persuadere o ingannare i dipendenti a fornire informazioni sensibili, come un nome utente o una password.

Ci sono una varietà di attacchi di penetrazione di ingegneria sociale, tra cui:

  • Phishing
  • Vishing
  • Smishing
  • Impersonificazione
  • Tailgating
  • Gocce USB
  • Buco d’acqua
  • Attacco whaling
  • Pretesto
  • Attacco quid pro quo
  • Baiting
  • Dumperster diving

Migliorare la consapevolezza dei dipendenti e fornire formazione sui comuni attacchi di ingegneria sociale è uno dei modi migliori per evitare che un attacco si verifichi o abbia successo.

Physical Penetration Testing

Un test di penetrazione fisica simula il vecchio modo di violare la sicurezza.

Il pen tester cerca di superare le barriere fisiche di sicurezza e di accedere all’infrastruttura di sicurezza, agli edifici o ai sistemi della vostra azienda. Testa i vari controlli fisici che avete in atto, tra cui:

  • Barriere
  • Camere
  • Sensori
  • Serrature
  • Allarmi
  • Guardie di sicurezza

Anche se questo è spesso visto come un ripensamento, se un hacker è in grado di aggirare fisicamente la vostra sicurezza e quindi accedere alla sala server, potrebbe facilmente ottenere il controllo della vostra rete. Quindi, è fondamentale che la vostra posizione di sicurezza fisica sia rigorosamente protetta come il vostro perimetro di cybersecurity.

RSI Security – The Pen Testing Experts

I test di penna sono uno dei modi migliori per misurare l’efficacia della vostra cybersecurity e sicurezza fisica. Sia che usiate metodologie white-box, black-box o gray-box, ogni pen test cerca di simulare un attacco del mondo reale, solo senza le conseguenze.

Oggi ci sono cinque tipi essenziali di test di penetrazione, tra cui:

  1. Servizio di rete
  2. Applicazione web
  3. Wireless
  4. Ingegneria sociale
  5. Fisica

Eseguendo tutti questi test su base periodica, puoi assicurarti che le tue difese informatiche siano solide.

Ma su chi potete contare per eseguire adeguatamente questi vari test?

RSI Security è l’esperto di servizi di penetration testing. Grazie alla nostra decennale esperienza, sappiamo esattamente cosa serve per valutare le vostre difese di cybersecurity e quindi affrontare le vostre debolezze più evidenti.

Siete pronti per iniziare? Anche noi lo siamo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.