Il Penetration test è diventato parte integrante di una robusta strategia di difesa della sicurezza informatica. In parole povere, il penetration test, detto anche pen test, è un attacco simulato alla cybersecurity del tuo sistema.
Perché il Penetration Test è importante?
L’obiettivo del penetration test è quello di scovare le vulnerabilità prima che siano pirati informatici (anche detti "cracker") a farlo. Si tratta essenzialmente di un test della sicurezza che aiuta a determinare se le security policy sono in grado fermare efficacemente un attacco informatico (o cyberattacco) in atto. In più, identificando i punti deboli nel tuo sistema di difesa, diventerai consapevole di tutti i modi in cui gli hacker possono fare accesso non autorizzato ai tuoi dati sensibili.
Gli attacchi informatici di successo e la violazione dei dati personali (data breach) possono avere un costo estremamente alto per le organizzazioni, sia da un punto di vista finanziario che di reputazione. Secondo IBM, il costo medio di un data breach nel 2020 è stato 3.86mln$, una cifra sorprendente1. Se riesci a trovare i tuoi punti deboli prima che lo faccia un hacker, puoi compiere passi importanti per proteggere i tuoi sistemi.
Gli hacker, però, non sono tutti i uguali. Ci sono quelli che possono lavorare per te, invece che contro di te.
Come funzionano i Penetration test?
Gli Ethical hacker testano un sistema, un network, una web app per trovare i punti deboli che un pirata informatico potrebbe sfruttare. Lo fanno, però, negli interessi dell’organizzazione.
Come agiscono gli ethical hacker dipende da diversi fattori. Per esempio, se l’organizzazione sta cercando di testare l’efficacia del suo network, il penetration test può iniziare esaminando le interfacce del network, interfacce utente e API. Se le interfacce sono state disegnate impropriamente, gli ethical hacker possono trovare una falla che gli permette di accedere. Se testano una singola applicazione, possono concentrarsi sul livello di sicurezza (protocolli di autenticazione e autenticazione a due fattori), chi ha accesso e come i dati confluiscono nell’applicazione.
Il tipo di test può anche dipendere dall’obiettivo che l’organizzazione sta cercando di raggiungere. Se ad esempio lo scopo è confermare la robustezza delle policy di sicurezza interne o la vulnerability assessment, l’ethical hacker potrebbe puntare sul Whitebox testing. Si tratta di un tipo di test in cui i tester hanno a disposizione l’informazione completa sul sistema da “attaccare”. Al contrario, nel blackbox testing non viene condivisa nessuna informazione, il che rende questa tipologia di test più vicina ad un autentico attacco alla cybersecurity.
Il Penetration test tipicamente viene svolto con tool di test automation specifici, vista la natura del lavoro. Alcuni esempi di questi tool sono Kali Linux, nmap, Wireshark e Metasploit.
L’elemento umano del Penetration test
I tool automatizzati di penetration test sono essenziali, ma le persone dietro ai tool sono ugualmente critici. Una chiave fondamentale del penetration test è quella di pensare come un hacker, che è qualcosa che agli ethical hacker riesce benissimo. Possono mettersi nei panni di un pirata informatico e utilizzare le tecniche che userebbe per accedere al tuo sistema.
È anche importante ricordare che, mentre hackerare quasi sempre coinvolge tool, alla fine dei conti dietro c’è (quasi) sempre l’essere umano. Infatti, ricerche dimostrano che il 95% delle violazioni dei dati sono causate da errori umani1. In più, in molti casi gli attacchi alla cybersicurezza includono o iniziano con il social engineering, ovvero attività malevole portate a termine attraverso interazioni umane. Ad esempio, quando un hacker finge di essere una persona fidata per convincere un dipendente a fornire informazioni sensibili come le credenziali del login.
Il miglior test di penetrazione è quello che utilizza sia tool automatizzati ed ethical hacker abili, qualificati ed empatici.
White Jar è il primo servizio di Cybersecurity tutto italiano motorizzato da una comunità di Ethical Hacker certificati. Il suo punto forte è quello di attuare pen test costanti facendo leva sulla piattaforma di collaboration tra aziende ed Ethical Hacker. Quest'anno, anche per influenza della pandemia, il mercato della cybersecurity ha visto formarsi un gap tra le competenze richieste dalle corporate e l'effettiva disponibilità del mercato. In più, le minacce alla cybersicurezza sono in aumento. È per questi motivi che l'elemento umano rappresenta un fattore determinante.
Penetration test classico vs Ethical Hacker
Come dicevamo, il punto forte di un servizio "umano" è la possibilità di avere progetti estesi nel tempo che permettono test costanti. Al contrario, il penetration test classico ha delle costrizioni temporali più brevi.
Altro punto che menzionavamo è il gap tra competenze richieste e l'offerta. Nel caso della cybersecurity con un crowd di ethical hacker, questo problema non si pone, perché c'è già una base solida di esperti provenienti da tutto il mondo. In più, avendo a disposizione una rete di ethical hacker, cade il problema dell'incertezza sulle skill individuali, che possono essere compensate dalla rete.
Se con il penetration test classico si possono creare difficoltà nel tenere traccia dei risultati, WhiteJar permette di avere una dashboard che si aggiorna in tempo reale. In più, è integrabile con sistemi di bug tracking come Jira, per far arrivare le problematiche direttamente in mano agli sviluppatori.
Attenzione: il penetration test più classico e quello crowdsourced sono diversi, ma sono entrambi validi e vantaggiosi. Nel prossimo articolo di questa rubrica approfondiremo le differenze tra le due metodologie.
Fonti
[1] Varonis
[2] CybintSolutions