Lo spazio online continua a crescere rapidamente, creando maggiori opportunità per attacchi informatici all'interno di un sistema, di una rete o di un'applicazione web. Per mitigare e prepararsi a tali rischi, i test di penetrazione sono un passo necessario per individuare le vulnerabilità della sicurezza utilizzabili da parte di un aggressore.
Un test di penetrazione, o "pen test", è un test di sicurezza eseguito per simulare un attacco informatico in azione. Un attacco informatico può includere un tentativo di phishing o una violazione di un sistema di sicurezza della rete. Esistono diversi tipi di test di penetrazione a disposizione di un'organizzazione, a seconda dei controlli di sicurezza necessari. Il test può essere eseguito manualmente o con strumenti automatici sulla base di una linea d'azione specifica o di una metodologia di pen test.
I termini "hacking etico" e "test di penetrazione" talvolta sono utilizzati in modo intercambiabile, ma c'è una differenza. L'hacking etico è un campo più ampio della cybersecurity" che include ogni uso possibile delle skill di hacking per migliorare la sicurezza della rete. I test di penetrazione sono solo uno dei metodi utilizzati dagli hacker etici. Gli hacker etici possono inoltre offrire analisi del malware, valutazione del rischio e altri strumenti e tecniche di hacking per scoprire e correggere i punti critici della sicurezza piuttosto che causare danni.
Il report Cost of a Data Breach Report 2023 di IBM ha rilevato che il costo medio globale di una violazione dei dati nel 2023 è stato di 4,45 milioni di dollari, con un aumento del 15% nell'arco di tre anni. Un modo per mitigare queste violazioni è l'esecuzione di test di penetrazione accurati e puntuali.
Le aziende assumono dei pen tester per lanciare attacchi simulati contro le loro app, reti e altri asset. Inscenando falsi attacchi, i penetration tester aiutano i team di sicurezza a scoprire le vulnerabilità critiche e a migliorare il livello di sicurezza in generale. Questi attacchi sono spesso eseguiti dai red team o da team di sicurezza offensivi. Il red team simula le tattiche, le tecniche e le procedure (TTP) di un aggressore reale contro i sistemi dell'organizzazione, al fine di valutarne il rischio di sicurezza.
Esistono diverse metodologie di test di penetrazione da considerare quando si entra in questo processo. La scelta dell'organizzazione dipenderà dalla categoria dell'organizzazione target, dall'obiettivo del pen test e dall'ambito del test di sicurezza. Non esiste un unico approccio adatto a tutti. È necessario che un'organizzazione comprenda i problemi e la policy di sicurezza che la caratterizzano affinché possa essere svolta un'analisi equa delle vulnerabilità prima del processo di pen test.
Uno dei primi passi nel processo di pen test è decidere quale metodologia seguire.
Di seguito, esamineremo cinque dei più diffusi framework di test di penetrazione e le metodologie di pen test per guidare gli stakeholder e le organizzazioni ad adottare il metodo migliore per le esigenze specifiche e per garantire che copra tutte le aree richieste.
Il manuale OSSTMM (Open-Source Security Testing Methodology Manual) è uno degli standard più popolari di test di penetrazione. Questa metodologia è sottoposta a revisione paritaria per i test di sicurezza ed è stata creata dall'Institute for Security and Open Methodologies (ISECOM).
Il metodo si basa su un approccio scientifico al pen test con guide accessibili e adattabili per i tester. L'OSSTMM include nella sua metodologia funzioni principali, come un focus operativo, dei test di canale, metriche e analisi della fiducia.
L'OSSTMM fornisce un framework per i test di penetrazione della rete e la valutazione delle vulnerabilità per i professionisti dei pen test. Si tratta di un framework per i provider che mira a individuare e risolvere le vulnerabilità, come i dati sensibili e i problemi legati all'autenticazione.
L'OWASP, l'abbreviazione di Open Web Application Security Project, è un'organizzazione open source dedicata alla sicurezza delle applicazioni web.
L'obiettivo dell'organizzazione senza scopo di lucro è rendere tutto il proprio materiale gratuito e facilmente accessibile a chiunque intenda migliorare la sicurezza delle proprie applicazioni web. OWASP ha la sua Top 10 (link esterno a ibm.com), ossia un report accurato che descrive i maggiori problemi e rischi per la sicurezza per le applicazioni web, come lo scripting tra siti, l'autenticazione non funzionante e la protezione da firewall. OWASP utilizza la Top 10 come base per la sua OWASP Testing Guide.
La guida è suddivisa in tre parti: framework di test OWASP per lo sviluppo di applicazioni web, metodologia di test di applicazioni web e reportistica. La metodologia dell'applicazione web può essere utilizzata separatamente o come parte integrante del framework di test web per i test di penetrazione delle applicazioni web, i test di penetrazione delle applicazioni mobili, i test di penetrazione delle API e i test di penetrazione dell'IoT.
Il PTES, o Penetration Testing Execution Standard, è un metodo completo di test di penetrazione.
PTES è stato progettato da un team di professionisti della sicurezza informatica ed è composto da sette sezioni principali che affrontano tutti gli aspetti del pen testing. Lo scopo del PTES è avere linee guida tecniche per definire quello che le organizzazioni possono aspettarsi da un test di penetrazione e guidarle lungo tutto il processo, a partire dalla fase di pre-coinvolgimento.
Il PTES mira a essere la base per i test di penetrazione e a fornire una metodologia standardizzata per i professionisti e le organizzazioni della sicurezza. La guida fornisce una serie di risorse, come le best practice in ogni fase del processo di test di penetrazione, dall'inizio alla fine. Alcune funzioni principali del PTES sono lo sfruttamento e il post sfruttamento. Lo sfruttamento si riferisce al processo di accesso a un sistema attraverso tecniche di penetrazione come l'ingegneria sociale e la violazione delle password. Il post sfruttamento si verifica quando i dati vengono estratti da un sistema compromesso e l'accesso viene mantenuto.
L'Information System Security Assessment Framework (ISSAF) è un framework di pen testing supportato dall'Information Systems Security Group (OISSG).
Questa metodologia non è più mantenuta e probabilmente non è la migliore fonte per le informazioni più aggiornate. Tuttavia, uno dei suoi principali punti di forza è che collega le singole fasi del pen test con strumenti specifici ad esso dedicati. Questo tipo di format può costituire una buona base per la creazione di una metodologia personalizzata.
Il NIST, l'abbreviazione di National Institute of Standards and Technology, è un framework di cybersecurity che fornisce una serie di standard per i test di penetrazione che il governo federale e le organizzazioni esterne devono seguire. Il NIST è un'agenzia all'interno del Dipartimento del Commercio degli Stati Uniti e dovrebbe essere considerato lo standard minimo da tenere presente.
I test di penetrazione del NIST sono in linea con le linee guida inviate dal NIST. Per conformarsi a tali linee guida, le organizzazioni devono eseguire dei test di penetrazione seguendo una serie di linee guida predeterminate.
Prima che inizi un pen test, il team di test e l’azienda stabiliscono l’ambito del test. L'ambito delinea quali sistemi verranno testati, quando avverrà il test e i metodi che i pen tester possono utilizzare. L'ambito determina anche la quantità di informazioni che i pen tester avranno in anticipo.
Il passo successivo consiste nel testare il piano di azione e valutarne le vulnerabilità e le funzionalità. In questa fase, è possibile eseguire la scansione della rete e delle vulnerabilità per ottenere una migliore comprensione dell'infrastruttura dell'organizzazione. I test interni e i test esterni possono essere eseguiti a seconda delle esigenze dell'organizzazione. I pen tester possono eseguire una serie di test, tra cui il test black box, il test white box e il test gray box. Ognuno di questi test fornisce livelli diversi di informazioni sul sistema target.
Una volta stabilita una panoramica della rete, i tester possono iniziare ad analizzare il sistema e le applicazioni nell'ambito indicato. In questa fase, i pen tester raccolgono quante più informazioni possibile per comprendere eventuali configurazioni errate.
Il passaggio finale consiste nel riferire e fare un resoconto. In questa fase, è importante sviluppare un report sui test di penetrazione con tutti i risultati del pen test che delineino le vulnerabilità identificate. Il report deve includere un piano di mitigazione e i rischi potenziali in caso la correzione non avvenisse.
Se cerchi di testare tutto sprecherai tempo, budget e risorse. Utilizzando una piattaforma di comunicazione e collaborazione con dati cronologici puoi centralizzare, gestire e assegnare priorità a reti, applicazioni, dispositivi e altri asset ad alto rischio per ottimizzare il programma di test di sicurezza. Il portale X-Force Red consente a tutte le persone coinvolte nella correzione di visualizzare immediatamente i risultati e di pianificare i test di sicurezza quando lo desiderano.
Guarda le demo di pen test di X-Force
Esplora i servizi di test di penetrazione della rete da X-Force