Penetration Test

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )
Uno dei maggiori rischi aziendali è oggi relativo a tutto ciò che concerne l’Information Technology
(IT). Solo negli ultimi anni si è iniziato a fare attenzione a questo aspetto, grazie a una crescente
consapevolezza che la sicurezza delle proprie informazioni è essenziale per evitare i rischi correlati
nel mondo imprenditoriale.
In termini generali, il rischio può essere definito come il prodotto della probabilità di un evento
per l'impatto dello stesso, come definito nella formula
Rischio = Probabilità * Impatto
Secondo l’international Organization for Standardization (ISO), il rischio IT è definito come la
possibilità che un malintenzionato o un software malevolo possano sfruttare le vulnerabilità della
rete informatica aziendale, causando danni al business. Considerando l’Information Technology, è
necessario prendere in considerazione aspetti di rischio quali la rilevanza di una minaccia, umana o
informatica, la sicurezza del sistema, e la preparazione del personale addetto alla sicurezza. Inoltre
è necessario considerare quale impatto può avere nel concreto il verificarsi di una problematica di
sicurezza non solo nei confronti dell’azienda, ma anche nei confronti di clienti, fornitori,
finanziatori.
La probabilità del verificarsi di un incidente di sicurezza è quindi una funzione della probabilità che
una minaccia sia presente e che possa sfruttare con successo le vulnerabilità del sistema in
questione.
Le conseguenze del verificarsi di un incidente di sicurezza sono inoltre una funzione del probabile
impatto che l'incidente avrà sull’organizzazione stessa. Infatti lo stesso bene può avere valori
diversi a seconda delle diverse organizzazioni.
1
Il tutto può essere quindi riassunto nella formula:
Rischio = Minaccia x Vulnerabilità × Valore Aziendale
Anche OWASP, comunità online dedicata alla sicurezza delle web application, propone una linea
guida di misurazione del rischio concreto, prendendo in esame aspetti quali la stima del rischio, i
fattori di vulnerabilità, e l’impatto sul business.
Rischio complessivo
ALTA
Medio
Alto
Critico
Rilevanza
MEDIA
Basso
Medio
Alto
impatto
BASSA
Lieve
Basso
Medio
BASSA
MEDIA
ALTA
Probabilità
Penetration test
Il “penetration test”, in breve anche “pentest”, è una procedura che consiste in un attacco lecito a
un sistema informatico, effettuato con l’obiettivo di trovare eventuali debolezze di sicurezza che
possano portare ad ottenere l'accesso ai dati o al sistema stesso da parte di malintenzionati, che
possono inoltre minarne la funzionalità al punto di compromettere seriamente il business
aziendale.
Il processo prevede inizialmente la messa a fuoco degli obiettivi, prendendo di mira le
informazioni disponibili e i mezzi necessari per raggiungerli. Un penetration test può essere svolto
nella modalità “white box”, quando vengono fornite tutte le informazioni di base relative al
sistema, o nella modalità “black box”, ove non viene fornita alcuna informazione tranne il nome
della società. Possono anche essere svolti con modalità intermedie, definite “gray box”. Inoltre per
entrambe le modalità è possibile operare sia dall’interno dell’organizzazione, che dall’esterno della
stessa, simulando quindi differenti scenari di attacco.
2
Ad esempio un penetration test esterno di tipo black box può essere utile ad identificare quale
danno possa essere causato da un attaccante casuale esterno all'organizzazione, mentre un test
interno di tipo gray box simula l’operato un dipendente malintenzionato. In entrambi i casi, sarà
possibile restituire informazioni sul sistema, sulla vulnerabilità agli attacchi, se le difese fornite
erano sufficienti e, in caso, quali sono state efficaci e quali no.
E’ necessario differenziare le generiche valutazioni di vulnerabilità dai reali penetration test. Nel
primo caso, l’analisi di un sistema andrà a scovare quali sono le possibili vie di accesso per un
malintenzionato, attraverso quali vie i dati possono uscire dal sistema, e le debolezze dello stesso
in generale, compresa la fragilità del sistema in caso di problematiche hardware o software. Nel
secondo caso, invece, l’obiettivo è quello di sfruttare effettivamente le debolezze che vengono
rilevate al fine di ottenere l’accesso al sistema o ai dati dello stesso.
In breve, valutare la vulnerabilità è osservare una cassaforte e decidere, sulla base delle proprie
conoscenze, se è sicura o meno; effettuare un penetration test significa provare ad aprirla senza
averne la combinazione.
A obiettivo raggiunto, sarà presentato un report al committente delle problematiche presenti nel
sistema informatico. A partire da questo, sarà possibile delineare l'impatto delle stesse per
l’organizzazione e una serie di contromisure, tecniche e procedurali, atte a ridurre i rischi al
minimo.
Obiettivi del penetration test
• Determinare la fattibilità di eventuali attacchi informatici
• Identificare le vulnerabilità ad alto rischio, comprese quelle che derivano da una
combinazione di vulnerabilità a basso rischio
• Identificare le vulnerabilità mediante procedure automatiche e mediante procedure che
richiedono conoscenze specifiche, al di là delle possibilità di software di scansione
automatizzati
• Valutare l'entità del danno in caso di reale attacco
• Verificare l’efficacia delle difese, sia in termini di rilevazione che di risposta agli attacchi
• Permettere di valutare, a fronte di risultati oggettivi, l’entità dei necessari investimenti in
termini di conoscenze del personale e tecnologie di difesa
3
Procedure di penetration test
I pentest vengono svolti ricercando inizialmente, dall'esterno o dall'interno, eventuali vulnerabilità
nei sistemi maggiormente esposti. Quelle esterne vengono poi sfruttate al fine di violare il
perimetro della rete, mentre i sistemi interni vengono ispezionati alla ricerca di altre vulnerabilità
che permettano di ottenere ulteriore accesso ai dati e alle infrastrutture. In particolare:
• Internal Pentest
I test vengono effettuati posizionandosi all'interno della rete aziendale.
• External Pentest
I test vengono effettuati posizionandosi all'esterno della rete aziendale.
Come già specificato, è inoltre possibile differenziare tra test Black Box, Gray Box e White Box, a
seconda delle informazioni fornite sui sistemi da attaccare. Ecco alcuni esempi e scenari:
• External Pentest Black Box
Simula un attacco da parte di un soggetto casuale o esterno (ad esempio un hacker
generico, o uno al servizio di una azienda concorrente) ma comunque senza accesso ad
informazioni e credenziali di accesso dell'azienda.
• Internal Pentest Black Box
Simula un attacco da parte di un soggetto che abbia accesso fisico (ad esempio un
consulente esterno o un visitatore in una sala riunioni) o remoto alla rete aziendale (ad
esempio un computer di una segretaria compromesso).
• External Pentest White Box
Simula la compromissione di una componente esposta all'esterno per capire che livello di
accesso un soggetto malintenzionato possa ottenere alle altre parti dell'infrastruttura
aziendale.
• Internal Pentest White Box
Simula un attacco proveniente dall’interno all'organizzazione da parte di un soggetto in
possesso di informazioni ed accesso ad alcune parti dell'infrastruttura per capire che livello
di accesso alle componenti critiche sia possibile ottenere.
4
• Wireless Penetration Test
Cerca di compromettere l'infrastruttura wireless, simulando un attacco da parte di una
persona fisicamente prossima ad uno degli edifici dell'azienda in cui sia installata una rete
wireless.
• Social Engineering
Invece di attaccare la componente informatica viene attaccata quella umana. Mediante
tecniche di manipolazione si cerca di indurre le persone a compiere azioni informatiche
atte a dare accesso ai sistemi (ad esempio phishing) o a rivelare informazioni.
Il report
Il report è un documento che viene scritto al termine dell’attività e che permette di riassumere in
modo semplice e dettagliato tecniche utilizzate, vulnerabilità riscontrate, risultati del test e
proposte di rimedio. Lo stesso è suddiviso in aree tematiche sulla base del destinatario dei singoli
paragrafi.
• Sommario
Comprende l’introduzione e un riassunto di alto livello, destinato alla direzione aziendale.
• Tecniche utilizzate
Parte tecnica che descrive nel dettaglio strumenti, attività e modalità di test.
• Vulnerabilità e risultati del pentest
Parte tecnica che descrive nel dettaglio le vulnerabilità riscontrate e il loro impatto,
dedicata al responsabile del sistema informatico.
• Rimedi
Sezione tecnica con istruzioni e consigli su come risolvere le problematiche identificate,
dedicata al responsabile del sistema informatico, al responsabile delle risorse umane, e alla
direzione aziendale.
5

Download Report