Penetration test

Cosa si intende per penetration testing?

Il penetration testing (anche detto ethical hacking) è un processo sistematico di ricerca delle vulnerabilità presenti nelle applicazioni e nelle reti. È sostanzialmente una forma di pirateria informatica controllata (o hacking) con la quale gli ethical hacker che operano per conto dell 'azienda cliente, cercano e testano i punti deboli che potrebbero essere sfruttati dai veri criminali, come ad esempio:

  • Configurazioni errate o inadeguate;
  • Difetti hardware, noti e non;
  • Debolezze operative nei processi o nelle contromisure tecniche.

Un esperto di penetration test (o penetration tester) imita e riproduce a tutti gli effetti le tecniche di attacco usate dagli hacker, senza però causare alcun danno. Ciò permetterà di individuare e risolvere i punti deboli che lasciano l’azienda vulnerabile ad attacchi esterni.

Migliora la sicurezza della tua azienda con il penetration testing

Scarica la guida gratuita per scoprire come mantenere la tua azienda sicura e protetta dagli attacchi informatici grazie al penetration testing.

Scarica ora

Perché è importante eseguire penetration test?

Ogni settimana, nuove vulnerabilità vengono identificate e sfruttate dagli hacker. Essere in grado di identificarle è essenziale per la sicurezza e sopravvivenza della tua azienda.

Solo un penetration test eseguito da un professionista qualificato può darti una visione completa e puntuale delle falle alla sicurezza da risolvere.

Per proteggere la tua azienda, è necessario eseguire penetration test con regolarità, in modo da:

  • Identificare falle alla sicurezza e successivamente risolverle.
  • Assicurarsi che i controlli di sicurezza esistenti siano efficaci.
  • Testare nuovi software e sistemi alla ricerca di vulnerabilità.
  • Identificare vulnerabilità nei software esistenti.
  • Supportare la conformità della tua azienda al GDPR (Regolamento Generale sulla Protezione dei Dati) e ad altre leggi o regolamenti sulla privacy.
  • Abilitare la conformità dell‘azienda a standard come PCI DSS (Payment Card Industry Data Security Standard).
  • Assicurare i clienti e gli stakeholder che i loro dati sono protetti in modo adeguato.

Le tipologie di penetration test

Esistono diversi tipi di penetration test (o test di sicurezza), ognuno dei quali è incentrato su un particolare aspetto del perimetro logico di un’azienda.

Penetration test della rete esterna

L’obiettivo di un penetration test della rete esterna è identificare le vulnerabilità presenti nelle modalità con cui un’organizzazione si connette ad Internet e ad altri sistemi esterni. Ciò include server, host, dispositivi e servizi di rete. Se le interfacce di

un’organizzazione non sono progettate correttamente, gli hacker saranno in grado di entrare nella rete senza problemi.

Maggiori informazioni sul penetration test della rete esterna

Penetration test della rete interna

Identifica le vulnerabilità che permetterebbero l’accesso di utenti interni (autorizzati e non autorizzati) alla rete, in particolare:

  • Testa scenari di accesso da parte di utenti autorizzati e non.
  • Ricerca vulnerabilità nel sistema tali da renderlo accessibile da utenti autorizzati o che risiedono all’interno della rete;
  • Verifica la presenza di configurazioni errate che consentirebbero ai dipendenti l’accesso e la condivisione di informazioni all’esterno.

Maggiori informazioni sul penetration test della rete interna

Penetration test della rete wireless

Il test della rete wireless ha l’obiettivo di:

  • Identificare le reti Wi-Wi;
  • Determinare i punti deboli nella crittografia, come encryption cracking, wireless sniffing e session hijacking;
  • Identificare i punti di accesso ad una rete tramite tecnologia wireless o elundendo le misure di controllo del WLAN; e
  • Identificare le credenziali di accesso degli utenti autorizzati per accedere a reti e servizi privati.

Maggiori informazioni sul penetration test della rete wireless

Penetration test delle applicazioni web

L’obiettivo del penetration test delle applicazioni web è quello di ricercare vulnerabilità come errori di codice o di risposta, per esempio:

  • Testa l’autenticazione dell’utente e verifica che gli utenti non possano compromettere i dati;
  • Testa le applicazioni web alla ricerca di difetti e vulnerabilita’, come XSS (cross-site scripting) o SQL injection;
  • Testa la configurazione sicura dei web browser e identifica le funzionalita’ che possono causare falle; e
  • Testa le protezioni di sicurezza dei web server.

Maggiori informazioni sul penetration test delle applicazioni web

Penetration test per accesso remoto

L’accesso ai sistemi aziendali da parte di dipendenti che lavorano da remoto (da casa o da qualsiasi altra parte essi siano) aumenta i rischi alla sicurezza aziendale. L’uso di password deboli o il ri-uso di password per molteplici account, il collegamento tramite reti wi-fi pubbliche o l’uso di device personali, tutto ciò comporta seri rischi per l’azienda. Eseguire periodicamente penetration test atti ad analizzare l’accesso all’azienda da remoto aiuta a ridurre tali rischi.

Maggiori informazioni sui Remote Access Penetration Test

Come si esegue un penetration test

In base al penetration test scelto, i nostri penetration tester applicheranno determinate metodologie di lavoro in modo da fornire una valutazione accurata della tua sicurezza e delle vulnerabilità identificate che dovranno poi essere risolte.

I report che produciamo e consegniamo a fine lavoro sono studiati per essere pratici e di facile comprensione, e forniscono le informazioni necessarie per la risoluzione dei problemi e delle vulnerabilità scoperte nel modo più efficiente ed economico possibile.

Disponibili in lingua italiana o inglese, i report finali forniscono una descrizione dettagliata della nostra analisi e spiegano il danno potenziale, la riproducibilità, la sfruttabilità, il numero di utenti interessati e la reperibilità di ciascuna vulnerabilità identificata. Esse sono riportate in base alla gravità del rischio associato, in modo da facilitarti nella definizione di un programma volto alla loro risoluzione.

Scopri la nostra gamma di penetration test

I penetration test di IT Governance sono accreditati da CREST (Council of Registered Ethical Security Testers), un organismo indipendente di accreditamento e certificazione a garanzia della corretta esecuzione dei test di sicurezza secondo gli standard stabiliti.

I penetration test di livello 1 sono adatti per le organizzazioni che desiderano identificare le vulnerabilità piu’ sfruttate dai criminali ed utilizzano strumenti di attacco automatizzati e facilmente reperibili.

I penetration test di livello 2, invece, sono pensati per le aziende con obiettivi e ambienti più complessi o che richiedono un’analisi più dettagliata da parte del nostro team di penetration tester.

Vedi tutti i test disponibili

Parla con un esperto

Contattaci per discutere insieme a noi le esigenze specifiche della tua azienda.

 

su