Cos’è il Penetration Test (Pen Test), qual è il suo obiettivo e quali sono i benefici. In pratica si tratta di una vera e propria simulazione di attacco hacker che ha come obiettivo un determinato perimetro del sistema o della rete. … Le vulnerabilità di un sistema di protezione possono essere delle più variegate.

Un Penetration Test (o Pen Test) è uno strumento finalizzato a valutare il livello sicurezza di un’infrastruttura IT che sfrutta le vulnerabilità dei sistemi di protezione

In pratica si tratta di una vera e propria simulazione di attacco hacker ma “eticamente” effettuato che ha come obiettivo un determinato perimetro del sistema o della rete.

Niente paura: nonostante il nome, non c’è nulla di ambiguo.

Le vulnerabilità possono riguardare sistemi operativi, servizi, configurazioni, server, endpoint, applicazioni Web, reti wireless, dispositivi di rete, dispositivi mobili e molto altro.

Perché un’azienda dovrebbe eseguire un Penetration Test?
Prima di tutto perché comprendere quanto e dove si è vulnerabili è fondamentale per convalidare l’efficacia dei propri sistemi difensivi.

Inoltre, elemento da non sottovalutare, un Pen Test può risultare estremamente utile per capire quanto e in che modo i propri dipendenti rispettano le politiche di sicurezza aziendali: è infatti importante tenere a mente che il rischio non proviene solo dall’esterno bensì, spesso, è lo stesso comportamento inadeguato degli utenti che rende un sistema difensivo vulnerabile.

Le vulnerabilità di un sistema di protezione possono essere delle più variegate.

Ecco alcuni semplici esempi:

Configurazioni errate
Accessi non autorizzati
Cartelle non protette
Applicazioni date in gestione a terzi

Come viene eseguito un Penetration Test?

I Penetration Test vengono generalmente eseguiti utilizzando tecnologie manuali o automatizzate finalizzate a compromettere volutamente i sistemi difensivi.

Ma un Penetration Test ha successo solo quando rileva vulnerabilità?
Chiaramente no: l’esito negativo di un Pen Test dimostra solo che quel determinato perimetro è stato correttamente messo in sicurezza.

Oppure che l’IT specialist che lo esegue non è abbastanza bravo, ma questo è un altro discorso.

La modalità più idonea a eseguire un Penetration Test è infatti quella cosiddetta in Black Box: il tester, in questo caso, si identifica in un vero e proprio hacker esterno (per questo viene chiamato anche ethical hacker) che cerca di sfondare i sistemi di sicurezza di un’azienda, senza conoscerne nulla. È chiaro, quindi, che l’abilità di chi effettua il test conta molto in questo tipo di attività.

Chiariamo però un punto: abbiamo spesso detto, e non smetteremo mai di ripeterlo, che in ambito di sicurezza IT il rischio zero non esiste. Questo per molti motivi, primo fra tutti la velocità con cui si evolvono i sistemi di attacco.

“Rilassarsi” solo perché un Pen Test non ha rilevato anomalie, quindi, non è mai la scelta corretta: è invece auspicato eseguire Penetration Test periodici.

Quanto costa