Sembra controintuitivo pagare (e ringraziare!) un hacker esperto per infiltrarsi nei sistemi informatici della tua azienda. La tecnologia di sicurezza che stai utilizzando è appunto progettata per tenerlo alla larga, ma conosci effettivamente l’efficacia della soluzione che hai scelto? A volte non c’è niente di meglio di un’esercitazione pratica per mettere alla prova la tua protezione online e rilevare ogni potenziale vulnerabilità prima che lo faccia un vero malintenzionato. Ti diamo il benvenuto nel mondo dei penetration test, o “pen test”, dove i ninja digitali (parleremo di più di questi hacker etici e white hat più avanti) trovano falle nella tua protezione online e le sfruttano legalmente.
Che cos’è il penetration test o pen test?
Il National Cyber Security Centre paragona i penetration test a un audit finanziario. Nel settore finanziario, infatti, i responsabili della contabilità tengono traccia delle entrate e delle uscite e poi un team esterno effettua un audit per esaminare e valutare i processi del team interno. Il pen test fa lo stesso per l’IT: aiuta a testare e garantire che i processi tecnici siano sufficienti a offrire una protezione efficace. In pratica: è un attacco simulato e reale a una rete, un’applicazione o un sistema per identificare eventuali punti deboli. Non si tratta (solo) di esperti digitali che mettono in mostra le proprie capacità di hackeraggio, ma di un approccio riconosciuto dal settore alla quantificazione e alla gestione dei rischi. Un buon pen test aiuta a mettere in luce le vulnerabilità dell’infrastruttura e delle applicazioni IT di un’azienda e, cosa importante, anche dei processi e delle persone coinvolti. Neppure la tecnologia di sicurezza migliore al mondo impedirà al signor Rossi del reparto contabilità di aprire gli allegati infetti. Oltre ad aiutare a identificare le falle nella sicurezza, i servizi di penetration test più affidabili sono anche in grado di fornire un contesto alle violazioni. Come avvengono e qual è il loro probabile impatto?
Fase uno del penetration test: pianificazione e strumenti di penetration test
Tutti gli attacchi di hacking, siano essi etici o meno, richiedono un’attenta pianificazione e una serie di strumenti di penetration test. Non si può semplicemente scegliere un obiettivo e lanciare un attacco con qualsiasi cosa si abbia nel proprio arsenale malware. La tempistica è importante quanto la selezione degli strumenti giusti, ed entrambi devono essere adattati all’organizzazione in questione. Tutto questo richiede per prima cosa una missione di ricognizione precisa e dettagliata. L’obiettivo utilizza un’infrastruttura on-premise o un servizio cloud di terzi? Quanti dipendenti ci sono? Usano i propri dispositivi? Quanti dipendenti lavorano da casa e a quali sistemi hanno accesso e come? Tutte queste informazioni possono essere fondamentali e aiutano il pentester a sviluppare un progetto preciso del suo attacco. Tutto inizia con due step fondamentali.
- Raccolta di informazioni. L’azienda da testare fornisce al pentester informazioni generali sull’IT e sull’azienda, nonché dettagli sugli obiettivi da includere nell’ambito dell’indagine.
- Penetration test. Di solito si utilizzano penetration test passivi, ossia innocue missioni di ricognizione (immagina 007 con in mano solo un Martini) che non comportano interazioni dirette con i sistemi di destinazione. Gli hacker, invece, utilizzano le risorse pubbliche per spiare e conoscere i dipendenti e la tecnologia utilizzata. Strumenti comuni come Wget possono analizzare un sito Web offline e rivelare dettagli come sistemi operativi e hardware utilizzati. Il tester può anche condurre ricerche avanzate su Internet per estrarre informazioni come nomi utente, password, pagine Web nascoste e file contenenti metadati. Uno strumento molto conosciuto tra gli hacker, etici e non, è Google Hacking Database. I veri criminali informatici talvolta esaminano i dispositivi aziendali dismessi e possono addirittura impersonare gli utenti!
A volte i penetration test sono attivi. Questo approccio è più diretto (stile Rambo) poiché gli hacker interagiscono direttamente sui sistemi. Cercano di individuare le vulnerabilità, tentando di ottenere un accesso non autorizzato ai dati riservati e infiltrandosi in firewall o router. Una volta entrati, mappano l’infrastruttura di rete e utilizzano strumenti come open-source Nmap per identificare gli host e andare più a fondo.
Fase due del penetration test: scansione
Ora che sono state ottenute informazioni dettagliate sull’azienda e sulla sua infrastruttura, è il momento di valutare come le applicazioni target risponderanno ai tentativi di intrusione. Di solito si procede in due modi:
- Analisi statica. Il tester ispeziona il codice di un’applicazione per valutare come si comporta durante l’esecuzione. Gli strumenti possono scansionare l’intero codice in un unico passaggio.
- Analisi dinamica. Il tester ispeziona il codice di un’applicazione mentre è in esecuzione. È un approccio più utile, in quanto fornisce una visione in tempo reale delle prestazioni di un’applicazione.
Al termine di questa fase, il penetration tester avrà terminato la valutazione iniziale delle vulnerabilità. Avrà identificato tutti i potenziali punti deboli della sicurezza che potrebbero consentire a un aggressore esterno di entrare nel sistema da testare. Ora è il momento di passare all’azione vera e propria, in cui i pentester possono liberare il ninja (digitale) che è in loro.
Fase tre del penetration test: exploitation
Sulla base dei risultati della valutazione delle vulnerabilità, i penetration tester esperti utilizzano una serie di tecniche per attaccare i sistemi target, dal cross-site scripting all’SQL injection e agli attacchi backdoor. Rubano dati, intercettano il traffico e, in generale, cercano di capire quanti danni possono causare. Questa fase deve essere estremamente soddisfacente per coloro che si divertono a creare scompiglio virtuale o che hanno semplicemente uno spiccato senso dell’umorismo. Il personale di uno studio medico di una piccola città inglese, ad esempio, è rimasto perplesso dalla comparsa di un paziente misterioso nei propri sistemi: la signora Penny Test.
L’obiettivo di questa fase è anche quello di determinare per quanto tempo gli hacker possono mantenere la loro presenza nel sistema target. Un vero hacker avrebbe abbastanza tempo per accedere in profondità? Si tratta di un aspetto importante, perché le minacce persistenti avanzate possono rimanere in un sistema per mesi, rubando i dati più sensibili di un’organizzazione.
Fase quattro del penetration test: analisi e utilizzo
Ora è il momento di raccogliere tutti i risultati delle fasi precedenti e di redigere un report dettagliato, che di solito include: le vulnerabilità specifiche che sono state sfruttate con successo e le metodologie utilizzate, i dati sensibili a cui si è avuto accesso, e per quanto tempo il pentester è riuscito a non farsi scoprire nel sistema. Descrive inoltre la portata dei test e formula eventuali raccomandazioni per apportare miglioramenti.
Infine, e forse questa è la cosa più importante, l’organizzazione deve utilizzare questi risultati per comprendere le proprie vulnerabilità e analizzarne il potenziale impatto. È fondamentale che determini le strategie di rimedio e le porti avanti.
Ecco un caso in cui bianco o nero fa la differenza: ti presentiamo i diversi servizi di penetration test
Ai tester vengono fornite diverse informazioni sul sistema di destinazione. Il livello di informazioni dettagliate che ricevono determina il tipo di test di penetrazione da utilizzare, e ci sono pro e contro per ciascuno di essi.
White-Box: in questo tipo di test, i tester ricevono informazioni complete sull’obiettivo, in modo da avere la massima visibilità. Questo test può far risparmiare tempo e ridurre i costi del test stesso. Inoltre, aiuta l’organizzazione a gestire le vulnerabilità del software più note e le comuni configurazioni errate, oltre a essere utile per simulare un attacco mirato a un sistema specifico o per provare il maggior numero possibile di modalità di attacco.
Black-Box: i tester sono letteralmente tenuti all’oscuro, poiché con loro non viene condivisa in anticipo alcuna informazione sul sistema di destinazione. Questo tipo di test viene eseguito da una prospettiva esterna e cerca di identificare i modi in cui un hacker potrebbe accedere alle risorse IT interne di un’organizzazione. Può richiedere più tempo e i costi possono essere più elevati, ma permette di tracciare un profilo più accurato dei rischi di attacchi da parte di hacker sconosciuti.
Grey-Box: è una combinazione di entrambi gli approcci sopra descritti, in cui vengono condivise informazioni limitate con il tester, solitamente le credenziali di accesso. I test Grey-Box sono utili per comprendere l’accesso che un utente privilegiato potrebbe ottenere e i potenziali danni che potrebbe causare. Viene scelto spesso come soluzione ideale poiché offre l’equilibrio perfetto tra profondità, efficienza e risparmio di costi e tempo.
Prevenire è meglio che curare: i vantaggi del pen test
Gli attacchi informatici sono incessanti e sempre più sofisticati. Una violazione può causare alle organizzazioni l’inosservanza delle leggi RGPD (o GDPR) e danneggiare le loro attività e reputazione. È comprensibile che le aziende si affidino sempre più ai penetration test per comprendere e risolvere le proprie vulnerabilità informatiche, prima di subire un attacco. Sono come esercitazioni antincendio, ma digitali. Il pen test aiuta anche i team IT a investire negli strumenti di sicurezza di cui hanno realmente bisogno e nei protocolli che loro e tutti gli utenti dovrebbero seguire. Inoltre, i report dei penetration test possono aiutare gli sviluppatori a capire esattamente in che modo un’entità dannosa ha sferrato un attacco al software che hanno contribuito a sviluppare, consentendo loro di essere più attenti alla sicurezza in futuro.
L’affidabilità è fondamentale: scegli il tipo di penetration test più adatto alle tue esigenze
Indipendentemente dal tipo di test scelto, è fondamentale ricordare che stai affidando la struttura IT e i dati critici della tua azienda a terzi. Prima di rivolgerti a una società di servizi di penetration test poniti le seguenti domande: È una società affidabile con comprovata esperienza e accreditamenti in termini di sicurezza? Come gestirà e archivierà in modo sicuro i dati, prima, durante e dopo il test? Le informazioni sui penetration test vengono cancellate completamente al termine del progetto? Alcuni fornitori evidenziano solo le vulnerabilità. È utile identificare quelli che aiuteranno la tua azienda anche a risolvere le eventuali falle di sicurezza che troveranno.
Sei pronto per iniziare? Ti auguriamo buona fortuna con i cosiddetti hacker “white hat“: hacker etici che lavorano per proteggere la tua azienda dai “black hat” in agguato dall’altra parte…