La sicurezza di un sistema informatico può essere verificata con il Penetration Testing. Questa tecnica, che spesso viene chiamata “Pen Test”, consiste in un insieme di passi/ procedure che cercano di compromettere il sistema di controllo accessi o di aggirarlo. L’obiettivo è quello di valutare la sicurezza dei sistemi e di evidenziare eventuali carenze. Viene richiesto dalla direzione aziendale ad aziende specializzate in sicurezza. Non sempre il personale tecnico viene coinvolto direttamente, anche perchè attraverso questi test è facile evidenziare “falle” non solo nei sistemi informatici ma negli utenti che li utilizzano.

Un Penetration Test dovrebbe avere le seguenti caratteristiche:

  • Le richieste da parte del committente dovrebbero essere le più precise possibili
  • I test devono essere eseguiti in un periodo temporale preciso, in modo da simulare il più possibile un attacco reale
  • I test devono essere approvati dalla direzione aziendale perché eventuali crash del sistema potrebbero compromettere la produttività dell’azienda
  • I test devono avere come scopo la valutazione dei sistemi di sicurezza ed eventualmente proporre contromisure: tecniche, amministrative o fisiche

Il Penetration Test verifica le seguenti aree:

  • Sicurezza delle applicazioni: vengono testate le applicazioni con tecniche di buffer overflow, verificato l’utilizzo della cifratura, verificata l’autenticazione utente e l’integrità delle connessioni alla rete. Inoltre viene verificata la compatibilità delle applicazioni con eventuali firewall e sistemi di sicurezza utilizzati in azienda.
  • DOS (Denial of service): vengono verificati tutti i sistemi e la loro resistenza ad attacchi che puntano a compromettere l’erogazione dei servizi
  • War dialing: è una tecnica che utilizza l’uso di chiamate sequenziali ai numeri di telefono aziendali e che ha come obiettivo l’identificazione di modem o fax utilizzati in azienda
  • Wireless: Vengono verificati e testati tutti gli access point aziendali o presenti nell’area di competenza dell’azienda. I test cercano di verificare se i protocolli di sicurezza utilizzati resistono ad eventuali attacchi che hanno l’obiettivo di permettere l’accesso alla rete aziendale
  • Ingegneria sociale: Questi test verificano eventuali perdite di informazioni sensibili oppure utili per progettare un attacco tramite i sistemi di comunicazione come email, chat o social network, utilizzati dai dipendenti aziendali.
  • PBX e Telefonia IP: I test cercano falle di sicurezza nei Centralini telefonici o nella rete VOIP. Un eventuale attaccante potrebbe carpire informazioni sensibili oppure commettere delle frodi telefoniche, utilizzando le linee telefoniche aziendali

Esistono diversi metodi per effettuare i Penetration Test:

  • Prospettiva dell’attacco: i test possono essere effettuati internamente all’azienda oppure dall’esterno.
  • Strategie:
    • Black Box: il team di penetration testing  non riceve alcuna informazione relativa ai sistemi aziendali.
    • Conoscenza parziale: il team di penetration testing riceve solo alcune informazioni relative ai sistemi
    • White Box: Viene fornita documentazione completa al team di penetration testing: tecnologie, credenziali per l’accesso, diagrammi di rete, ecc…
    • Mirato: i test sono focalizzati su un particolare sistema o server. tutti gli altri sistemi devono essere esclusi dai test
  • Double Blind: in alcuni casi la direzione può decidere di non avvisare il personale tecnico aziendale, in modo da verificare eventuali reazioni a tentativi di accesso al sistema

Le fasi che caratterizzano un penetration test sono:

  • Raccolta informazioni
  • Analisi informazioni
  • Ricerca di eventuali vulnerabilità applicabili ai sistemi analizzati
  • Applicazione delle vulnerabilità (exploitation)

Il test si conclude con la realizzazione della documentazione che deve relazionare tutte le fasi del test e le eventuali vulnerabilità riscontrate. Inoltre il team di penetration testing, propone miglioramenti dei sistemi di sicurezza aziendali o contromisure che eliminano le vulnerabilità. Le vulnerabilità e le contromisure vengono valutate utilizzando i KPI. Per un approfondimento sul sistema di valutazione tramite KPI fare riferimento al sito web del CVE

Author