Non c’è dubbio che il Penetration test rappresenti una delle best practice per scovare i punti deboli della propria organizzazione dal punto di vista della Cyber Security.
In breve, un Penetration test è una simulazione di un attacco Criminal Hacker il cui fine è quello di raccogliere quante più informazioni sul bersaglio scelto, individuando i punti di accesso più probabili, ma anche i più nascosti e insospettabili, tentando di violarli e analizzandone i risultati forniti sotto forma di reportistica.
Exploitation: questa è la prima fase del Penetration Test. Dove, sulla base dei risultati ottenuti, a seguito di Vulnerablity Assessment e Network Scan, l’attività si concentra nello stabilire un accesso al sistema, aggirando gli eventuali controlli di sicurezza presenti.
Post Exploitation: nella fase di post exploitation si valuta il valore dell’asset che si è riusciti a compromettere, lavorando nel contempo per garantirsi l’accesso anche per possibili usi futuri. Il valore viene determinato essenzialmente delle informazioni presenti e dalla facilità della propagazione della loro compromissione
Reporting: al termine dell’attività di Penetration Test (PT) il cliente riceverà report strutturati affinché sia chiaro quali azioni sono state intraprese, con quali motivazioni e con quali risultati.
Metodologia Penetration test: tutte le metriche di riferimento
Di seguito tutti gli standard di riferimento per i Penetration Test
CWE : il sistema Common Weakness Enumeration (CWE) è una lista formale delle tipologie di debolezze che affliggono il software, ed il suo scopo è: essere utilizzato come “linguaggio comune” per descrivere le debolezze delle architetture, della progettiazione e del codice del software; essere utilizzato dai software di sicurezza che “cercano” queste debolezze,
CVE: il Common Vulnerabilities and Exposures (CVE) è un dizionario che fornisce le definizioni di vulnerabilità note e di cattive conzioni di software, che possono compromettere la confidenzialità, l’integrità e la disponibilità delle informazioni memorizzate nel sistema in cui quel software è installato.
CVSS : Il Common Vulnerability Scoring System (CVSS) è uno standard di settore libero e aperto per la valutazione della gravità delle vulnerabilità della sicurezza del sistema informatico. Il CVSS tenta di assegnare punteggi che misurino la gravità delle vulnerabilità, permettendo, in questo modo, di dare priorità alle risposte e alle risorse da mettere in campo, in base alla gravità della minaccia.
Avere un sistema per la valutazione dei rischi farà risparmiare tempo ed eliminerà la discussione sulle priorità. Questo sistema contribuisce a garantire che l’attività non venga distratta da rischi minori, ignorando i rischi più gravi che sono meno ben compresi.
Quando è necessario effettuare un PT?
L’azienda ha libertà di scelta se svolgere un Penetration Test a seguito di un’attività di Vulnerability Assessment.e Network Scan.
Tuttavia, l’attività in essere è invasiva, costosa e dispendiosa per tutti i soggetti in causa, quindi ci teniamo a consigliarla prioritariamente se occorre almeno uno dei seguenti casi:
- Adempimento di una normativa nazionale e/o europea cui il cliente ha obbligato di rispettare;
- A seguito di una violazione delle informazioni subita (p.e. Data breach);
- A seguito di una scoperta di una vulnerabilità di uno strumento essenziale per l’attività del cliente che può minare la sicurezza dell’intero sistema.