Penetration Test: Cos’è, Tipologie e perchè è così importante

Data di pubblicazione: 10 Febbraio 2021

Lavorare con la rete significa, inevitabilmente, essere esposti a potenziali attacchi e intrusioni indesiderate, che potrebbero causare la perdita di dati sensibili o la compromissione del sistema.

Come prevenire i possibili attacchi e garantire maggiore sicurezza all’infrastruttura? Uno strumento essenziale è il penetration test: una risorsa che consente alle organizzazioni di testare i sistemi di difesa adottati e capire quanto l’infrastruttura IT è realmente protetta.

Indice dei contenuti

Cos’è il Penetration Test?

Il penetration test, conosciuto anche come pentest, è la simulazione realistica di uno dei tipi attacchi informatici. Questo test ha l’obiettivo di testare le vulnerabilità della rete o del sistema operativo.

Il team incaricato di attuare un penetration test si cala completamente nei panni di un vero hacker. Il pentest coinvolge la rete ma non solo: è infatti uno strumento utile anche per sistemi operativi, dispositivi mobili, server, web application, siti web e molto altro. Interessa qualsiasi sistema esposto a Internet e qualsiasi piattaforma legata a una rete.

Il penetration test è una pratica di sicurezza informatica svolta da un esperto hacker white hat, non scevra di problematiche e rischi: innanzitutto, infatti, il pentest deve essere effettuato solo se il proprietario del sistema ha dato il suo consenso esplicito. Prima di condurre un penetration test è fondamentale ottenere l’autorizzazione all’azione, per evitare che questa pratica possa violare normative e leggi.

È essenziale svolgere tale analisi poiché le vulnerabilità possono avere un impatto catastrofico per la sicurezza della rete, comportando:

una perdita dei dati e la compromissione dell’integrità e della riservatezza delle informazioni;
accessi non autorizzati;
interruzione dei servizi e quindi un grave danno a livello operativo;
la violazione delle normative e delle politiche di sicurezza, con conseguenti danni reputazionali e possibili sanzioni legali;
l’esecuzione di un codice malevolo e l’apertura di scenari di attacco più pericolosi.

Differenza tra penetration test e vulnerability assessment

Sulla base di quanto detto, la migliore soluzione è quella di inserire all’interno delle politiche di cyber security aziendale, sia il penetration test che il vulnerability assessment. Il campo d’azione, così come gli obiettivi dei due strumenti di analisi, presentano importanti differenze. Scopriamo quali sono i 5 tratti che distinguono penetration test e vulnerability assessment.

Quantità e profondità dell’analisi

La prima differenza tra pen test e VA, che è anche la più importante, è di tipo quantitativo. Il VA esegue un check-up completo del sistema, analizzando ogni criticità individuata e assegnando a ciascuna di esse un livello di pericolosità, sulla base del quale viene formulata una soluzione in grado di risolvere la falla. Il pen test, invece, si concentra su un unico punto debole del sistema, la falla più pericolosa ed evidente. Questo ethical hack attack non prende in considerazione tutte le altre criticità, ma solo la vulnerabilità considerata più pericolosa in caso di attacco hacker, con l’obiettivo di individuarne le cause e prevenirne le conseguenze.

Modalità di esecuzione

La seconda delle differenze tra penetration test e vulnerability assessment riguarda le modalità di esecuzione. Il VA è una procedura non invasiva, generalmente automatizzata e che non richiede un intervento manuale. La durata di un VA è pari circa a una settimana. Questo test può essere svolto durante qualsiasi ora della giornata ed è utile sia per piccole aziende che per studi professionali o imprese dalla struttura più articolata. Il pen test, invece, ha un impatto particolarmente aggressivo sul sistema informatico. Trattandosi di un attacco hacker, danneggia la stabilità della rete violando la cyber security, pur essendo un test di simulazione.

Frequenza del test

La terza differenza tra penetration test e vulnerability assessment riguarda la frequenza delle analisi. Mentre il VA può essere eseguito regolarmente, almeno una volta al mese, il pen test richiede particolari condizioni e non è possibile svolgere questo test frequentemente. La rete informatica, infatti, perderebbe continuamente stabilità provocando un danno economico piuttosto elevato.

Grado di automazione

La quarta differenza tra penetration test e vulnerability assessment riguarda il livello di automazione dei test. Mentre il VA è essenzialmente una procedura automatica (viene utilizzato uno scanner elettronico per eseguire una scansione globale dell’infrastruttura IT), il pen test prevede innanzitutto una fase di pianificazione e di raccolta informazioni. Solo successivamente si procede con il test, svolto manualmente in modo da simulare un vero attacco hacker.

Livello di rischio

L’ultima delle differenze tra penetration test e vulnerability assessment è il rispettivo livello di rischio. Il VA, essendo una scansione globale delle problematiche del sistema, non prevede alcuna controindicazione. Il pen test è invece molto più invasivo: potrebbe provocare il blocco, un fermo operativo o anche una violazione dei dati aziendali, con conseguente danno alle tecnologie. Un altro fattore da considerare, per quanto riguarda il pen test, è la tempistica: le attività risultano molto più lunghe a livello temporale. L’investimento economico, inoltre, è piuttosto alto.

Tabella riepilogativa:

DIFFERENZE	PENETRATION TEST	VULNERABILITY ASSESSMENT
Quantità e profondità analisi	Analisi di una sola vulnerabilità.	Scansione globale delle vulnerabilità.
Modalità di esecuzione	Impatto aggressivo sul sistema informatico. Danneggia la stabilità della rete violando la cyber security.	Procedura non invasiva, generalmente automatizzata e che non richiede un intervento manuale.
Frequenza dei test	Richiede particolari condizioni e non è possibile svolgere questo test frequentemente.	Può essere eseguito regolarmente, almeno una volta al mese.
Grado di automazione	Deve essere svolto manualmente.	Procedura automatica.
Livello di rischio	Rischio alto (blocco, fermo operativo o violazione dei dati aziendali, con conseguente danno alle tecnologie).	Nessuna controindicazione.

Come si esegue?

Il primo, fondamentale step per eseguire il penetration test prevede l’individuazione del professionista che dovrà occuparsi dell’analisi. A volte si sceglie il personale IT interno all’azienda, ma più comunemente ci si affida a consulenti esterni, gli ethical hacker. Ogni attività deve essere regolata da un preciso contratto e tutto ciò che non rientra nell’accordo è considerato illegale.

Successivamente si decide quanti e quali informazioni fornire e si concorda la modalità con la quale verrà svolto il test.

Esistono 3 diversi approcci:

black box testing: come un reale hacker, il tester non conosce i sistemi di difesa adottati o il codice sorgente e, quindi, procede alla cieca. I risultati del test sono strettamente connessi all’abilità del penetration tester;
gray box testing: il penetration tester ha una conoscenza parziale della situazione. Si focalizzerà sulle aree di cui si hanno maggiori informazioni;
white box testing: chi simula l’attacco ha una conoscenza approfondita della struttura da esaminare (dagli schemi di rete ai codici sorgente delle web application) e può così testare nel dettaglio ogni dispositivo senza limitarsi a un’analisi superficiale.

Tipologie ed esempi

Non esiste un solo tipo di penetration test: i fattori che entrano in gioco durante un attacco sono molteplici e per ogni situazione è stato delineato un determinato tipo di test con caratteristiche precise.

Le differenze più importanti riguardano il target e lo scenario analizzato. Per quanto riguarda il target, questa suddivisione tiene conto di cosa effettivamente si sta attaccando. Per ogni bersaglio specifico esiste infatti un diverso tipo di test:

network pentest: analizza sicurezza di rete, host e dispositivi. Questo test può essere esterno (e quindi passare attraverso i server o i dispositivi di rete raggiungibili tramite Internet) o interno (accedendo fisicamente o grazie a connessioni remote);
web application pentest: Esamina la sicurezza delle web application. Identifica i punti deboli dall’interno, il possibile errore umano o componenti non protette;
mobile app pentest: Valuta la sicurezza di applicazioni mobile. Focalizzato su comunicazioni, dati salvati e sicurezza server;
API pentest: Verifica la sicurezza delle API e permette di garantire il corretto funzionamento dei meccanismi di autenticazione e autorizzazione;
IoT Pentest: Esamina la sicurezza delle infrastrutture IoT. Analizza le vulnerabilità di password, servizi e aggiornamenti.

Quando si simula un attacco, inoltre, è importante capire qual è lo scenario da prendere in considerazione. Il grado di realismo e difficoltà del test può essere più o meno alto e influenzare profondamente il procedimento. Esistono 5 tipologie di scenario, ognuno con caratteristiche differenti:

external testing. Simula un attacco esterno privo di conoscenza dell’infrastruttura. Utilizza l’approccio black box;
internal testing. Viene eseguito internamente per valutare l’impatto di un attacco proveniente dall’interno dell’azienda, ricreando scenari in cui sono i dipendenti a forzare il sistema;
targeted testing. Viene svolto da consulenti esterni ed ethical hacker. Un’analisi che ha puramente uno scopo formativo in quanto mostra il classico modus operandi di un malintenzionato;
blind testing. Utilizza un approccio black box, vengono eseguiti avendo come informazione solo il nome dell’azienda. Sono molto realistici ma anche molto dispendiosi;
double blind testing. Simile al blind testing, ma in questo caso il reparto IT non è a conoscenza della simulazione. Pertanto, il test viene impiegato per valutare la preparazione e le reazioni del personale tecnico.

Alcuni esempi di penetration test includono pentest di:

rete, in grado di simulare un attacco esterno, identificare le vulnerabilità e i punti di ingresso non autorizzati nella rete;
applicazioni web, che individua le vulnerabilità e corregge iniezioni SQL, XSS e la gestione delle sessioni;
sistemi operativi, che simula un attacco interno individuando configurazioni errate e difese non adeguate;
applicazioni mobile, il quale identifica le vulnerabilità e le minacce specifiche delle app mobile;
reti wireless, che analizza la sicurezza delle reti wi-fi per poter individuare eventuali punti di accesso non autorizzati, rilevando configurazioni errate o password deboli;
infrastrutture cloud, che individua vulnerabilità specifiche e configurazioni errate;
social engineering, utile per testare la conoscenza e consapevolezza di utenti/dipendenti riguardo le tecniche di phishing e di ingegneria sociale.

Rischi tecnici per la sicurezza informatica

Nonostante il penetration test rappresenti un’attività essenziale per la mitigazione delle vulnerabilità, questo test comporta diversi rischi tecnici. Scopriamo i più importanti:

interruzione dei servizi. Le attività di scansione possono provocare un sovraccarico di risorse e una conseguente interruzione temporanea;
risposta inefficace alle emergenze. Durante l’esecuzione del penetration test potrebbero sorgere imprevisti ed eventi di sicurezza, contro i quali un’organizzazione può non essere adeguatamente preparata;
produzione di falsi positivi o falsi negativi, come rapporti di vulnerabilità erronei o il non rilevamento di vulnerabilità reali;
conseguenze sui dispositivi e sugli utenti, che potrebbero subire danni o problemi a seguito del test;
rischio di esposizione delle informazioni sensibili qualora le attività del pentest non vengano adeguatamente controllate;
condivisione involontaria di informazioni riservate con terze parti;
violazione delle normative e della compliance aziendale.

Sicurezza informatica e cybersecurity

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.