Quando si configura un nuovo sistema di sicurezza, è necessario assicurarsi che funzioni correttamente con il minor numero di vulnerabilità possibile. Laddove sono coinvolte risorse digitali per un valore di migliaia di dollari, non puoi permetterti di imparare dai tuoi errori e colmare solo le lacune nella tua sicurezza che gli hacker hanno precedentemente sfruttato.

Il modo migliore per migliorare e garantire la sicurezza della tua rete è testarla continuamente, alla ricerca di difetti da correggere.

Cos'è il Penetration Test?

Allora cos'è un pen test?

Il test di penetrazione, noto anche come test di penna, è un attacco alla sicurezza informatica in fasi che imita un vero incidente di sicurezza. L'attacco simulato può prendere di mira una o più parti del sistema di sicurezza, alla ricerca di punti deboli che un hacker dannoso potrebbe sfruttare.

Ciò che lo distingue da un vero e proprio attacco informatico è che la persona che lo esegue è un hacker white hat, o etico, che assumi. Hanno le capacità per penetrare le tue difese senza l'intento malizioso delle loro controparti black-hat.

instagram viewer

Tipi di pentesti

Esistono vari esempi di pentest a seconda del tipo di attacco lanciato dall'hacker etico, delle informazioni ottenute in anticipo e dei limiti impostati dal dipendente.

Un singolo pentest può essere uno o una combinazione dei tipi di pentest primari, che includono:

Insider Pentest

Un insider o un pentest interno simula un attacco informatico interno, in cui un hacker malintenzionato si atteggia a dipendente legittimo e ottiene l'accesso alla rete interna dell'azienda.

Ciò si basa sulla ricerca di difetti di sicurezza interni come i privilegi di accesso e il monitoraggio della rete, piuttosto che quelli esterni come firewall, antivirus e protezione degli endpoint.

Outsider Pentest

Come suggerisce il nome, questo tipo di pentest non offre all'hacker alcun accesso alla rete interna dell'azienda o ai dipendenti. Lascia loro la possibilità di hackerare attraverso la tecnologia esterna dell'azienda come siti web pubblici e porte di comunicazione aperte.

I pentest degli outsider possono sovrapporsi ai pentest dell'ingegneria sociale, dove l'hacker inganna e manipola un dipendente per consentirgli di accedere alla rete interna dell'azienda, oltre a quella esterna protezione.

Pentest basato sui dati

Con un pentest basato sui dati, all'hacker vengono fornite informazioni di sicurezza e dati sul suo obiettivo. Questo simula un attacco di un ex dipendente o qualcuno che ha ottenuto dati di sicurezza trapelati.

Blind Pentest

Contrariamente a un test basato sui dati, un test cieco significa che l'hacker non ottiene alcuna informazione sul proprio obiettivo se non il nome e ciò che è pubblicamente disponibile.

Pentest in doppio cieco

Oltre a testare le misure di sicurezza digitale dell'azienda (hardware e software), questo test include anche il suo personale di sicurezza e IT. In questo attacco in fasi, nessuno in azienda è a conoscenza del pentest, costringendolo a reagire come se stesse subendo un attacco informatico dannoso.

Ciò fornisce dati preziosi sulla sicurezza complessiva dell'azienda, sulla disponibilità del personale e sul modo in cui interagiscono.

Come funzionano i Penetration Test

Analogamente agli attacchi dannosi, l'hacking etico richiede un'attenta pianificazione. Ci sono più passaggi che l'hacker etico deve seguire per garantire un pentest di successo che produca informazioni preziose. Ecco una panoramica della metodologia pentest.

1. Raccolta di informazioni e pianificazione

Che si tratti di un pentest cieco o basato sui dati, l'hacker deve prima raccogliere informazioni sul suo obiettivo in un unico luogo e pianificare il punto di attacco attorno ad esso.

2. Valutazione delle vulnerabilità

Il secondo passo è analizzare la loro via di attacco, alla ricerca di lacune e vulnerabilità da sfruttare. L'hacker cerca punti di accesso, quindi esegue più test su piccola scala per vedere come reagisce il sistema di sicurezza.

3. Sfruttare le vulnerabilità

Dopo aver trovato i giusti punti di ingresso, l'hacker proverà a penetrare nella sua sicurezza e ad accedere alla rete.

Questo è l'effettivo passaggio di "hacking" in cui utilizzano ogni modo possibile per aggirare i protocolli di sicurezza, i firewall e i sistemi di monitoraggio. Potrebbero usare metodi come SQL injection, attacchi di ingegneria socialeo cross-site scripting.

Cos'è l'ingegneria sociale? Ecco come potresti essere hackerato

Scopri come l'ingegneria sociale può influire su di te, oltre a esempi comuni per aiutarti a identificare e stare al sicuro da questi schemi.

4. Mantenere l'accesso nascosto

La maggior parte dei moderni sistemi di difesa della sicurezza informatica si basa sul rilevamento tanto quanto sulla protezione. Affinché l'attacco abbia successo, l'hacker deve rimanere a lungo all'interno della rete inosservato abbastanza per raggiungere il loro obiettivo, che si tratti di fuga di dati, danneggiamento di sistemi o file o installazione malware.

5. Segnalazione, analisi e riparazione

Dopo che l'attacco si è concluso, con successo o meno, l'hacker riferirà al proprio datore di lavoro con le sue scoperte. I professionisti della sicurezza quindi analizzano i dati dell'attacco, li confrontano con quanto riportato dai loro sistemi di monitoraggio e implementano le modifiche appropriate per migliorare la loro sicurezza.

6. Risciacqua e ripeti

C'è spesso un sesto passaggio in cui le aziende testano i miglioramenti che hanno apportato al loro sistema di sicurezza organizzando un altro test di penetrazione. Possono assumere lo stesso hacker etico se vogliono testare attacchi basati sui dati o un altro per un blind pentest.

L'hacking etico non è una professione esclusivamente professionale. La maggior parte degli hacker etici utilizza sistemi operativi e software specializzati per semplificare il proprio lavoro ed evitare errori manuali, dando a ogni pentest il massimo.

Quindi cosa usano gli hacker di test di penna? Ecco alcuni esempi.

Parrot Security è un sistema operativo basato su Linux progettato per i test di penetrazione e le valutazioni delle vulnerabilità. È cloud-friendly, facile da usare e supporta vari software pentest open source.

Anche un sistema operativo Linux, Live Hacking è un must per i pentester in quanto è leggero e non ha requisiti hardware elevati. Inoltre viene fornito preconfezionato con strumenti e software per i test di penetrazione e l'hacking etico.

Nmap è un file strumento di intelligenza open source (OSINT) che monitora una rete e raccoglie e analizza i dati sugli host e i server dei dispositivi, rendendoli preziosi per gli hacker neri, grigi e bianchi allo stesso modo.

È anche multipiattaforma e funziona con Linux, Windows e macOS, quindi è l'ideale per gli hacker etici principianti.

WebShag è anche uno strumento OSINT. È uno strumento di controllo del sistema che analizza i protocolli HTTPS e HTTP e raccoglie i dati e le informazioni relativi. Viene utilizzato da hacker etici che eseguono pentest esterni attraverso siti Web pubblici.

Dove andare per i test di penetrazione

Testare con la penna la tua rete non è la tua migliore opzione in quanto probabilmente ne hai una conoscenza approfondita, rendendo più difficile pensare fuori dagli schemi e trovare vulnerabilità nascoste. Dovresti assumere un hacker etico indipendente oi servizi di una società che offre test di penna.

Tuttavia, assumere un estraneo per hackerare la tua rete può essere molto rischioso, soprattutto se fornisci loro informazioni di sicurezza o accesso privilegiato. Questo è il motivo per cui dovresti attenersi a fornitori di terze parti affidabili. Ecco un piccolo esempio di quelli disponibili.

HackerOne è una società con sede a San Francisco che fornisce servizi di test di penetrazione, valutazione delle vulnerabilità e test di conformità dei protocolli.

Con sede in Texas, ScienceSoft offre valutazioni delle vulnerabilità, test penne, test di conformità e servizi di audit dell'infrastruttura.

Con sede ad Atlanta, in Georgia, Raxis offre preziosi servizi di test della penna e revisione del codice di sicurezza alla formazione sulla risposta agli incidenti, alla valutazione della vulnerabilità e alla formazione preventiva di ingegneria sociale.

Ottenere il massimo dai Penetration Test

Sebbene sia ancora relativamente nuovo, il test della penna offre approfondimenti unici sul funzionamento del cervello di un hacker quando sta attaccando. Sono informazioni preziose che anche i professionisti della sicurezza informatica più esperti non possono fornire lavorando in superficie.

Il test della penna può essere l'unico modo per evitare di essere presi di mira da hacker black-hat e di subirne le conseguenze.

Credito immagine: Unsplash.

E-mail
Perché l'hacking etico è legale e perché ne abbiamo bisogno

L'hacking etico è un modo per combattere i rischi per la sicurezza posti dal crimine informatico. L'hacking etico è legale? Perché ne abbiamo anche bisogno?

Argomenti correlati
  • Sicurezza
  • Sicurezza in linea
Circa l'autore
Anina Ot (16 articoli pubblicati)

Anina è una scrittrice freelance di tecnologia e sicurezza Internet presso MakeUseOf. Ha iniziato a scrivere nel campo della sicurezza informatica 3 anni fa nella speranza di renderlo più accessibile alla persona media. Appassionato di imparare cose nuove e un grande nerd dell'astronomia.

Altro di Anina Ot

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Ancora un passo…!

Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.

.