PTaaS è un acronimo che sta per Penetration Test as a Service e indica il classico penetration test che tutti conosciamo, ma proposto come servizio da terze parti, o come piattaforma automatizzata disponibile per le aziende. E perché mai si dovrebbe affidare un’attività tanto delicata a un corpo estraneo all’azienda?
È un’ottima domanda e in UNGUESS riteniamo di aver trovato non solo una buona risposta, ma anche la soluzione a dubbi che il Penetration Test as a Service solleva sempre in chi ne sente parlare per le prime volte.
L’importanza del penetration test
Penetration Test as a Service significa, innanzitutto, avere a che fare con un vero e proprio penetration test. Si tratta di una serie di tecniche e procedure che, una volta rilevate delle vulnerabilità, cercano di sfruttarle attraverso l’applicazione di appositi exploit. In pratica, replicare passo dopo passo ciò che farebbe un criminale informatico, con la differenza che, in caso di successo,il risultato viene inserito in un report finale che ha lo scopo di individuare la forma di mitigazione più efficace e tempestiva per quella criticità.
Uno strumento per proteggersi come si deve
Il Penetration Test, per questa ragione, rientra nel campo della “Offensive Security”, a cui il Ponemon Institute, lo scorso anno, ha dedicato una ricerca.
Da una ricerca condotta su circa 700 professionisti e aziende coinvolti nella gestione IT di varie dimensioni, emerge che:
- il 64% ritiene che l’offensive security sia l’unico strumento con cui raggiungere gli obiettivi di sicurezza designati;
- il 59%, invece, considera il penetration test come una pratica essenziale nel test di architetture cloud.
E i risultati sono eccellenti:
- il 31% degli intervistati si considera soddisfatto dall’utilizzo di penetration test,
- il 33% sceglie la valutazione massima, ritenendosi molto soddisfatto.
Penetration as a Service: la soluzione senza compromessi
Il problema del Penetration Test, semmai, è iniziare a utilizzarlo. Da una parte c’è la diffidenza nell’assegnare un compito così delicato a professionisti o team esterni, mentre dall’altro c’è il timore di incorre in costi elevati a fronte di risultati incerti.
Esclusa l’ipotesi di creare un team interno dedicato all’offensive security, che richiederebbe risorse ingenti e aggiornamenti continui, la soluzione arriva proprio dal Penetration Test as a Service.
Una comunità di hacker etici a disposizione
Con questo termine spesso ci si riferisce a piattaforme che offrono strumenti automatizzati dai costi accessibili, ma dai risultati molto lontani da quelli che è lecito aspettarsi da un vero penetration test.
È per questo che UNGUESS, da qualche anno, ha creato e coltiva con dedizione una vera e propria comunità di hacker etici, pronti a dedicarsi al penetration test as a service di qualsiasi azienda che ne faccia richiesta.
Un attacco vero, ma etico
Il concetto è semplice: un’azienda sfrutta la piattaforma di UNGUESS per aprire una “campagna”, della quale specifica gli obiettivi, le modalità e ricompense. Gli hacker etici che accettano di partecipare iniziano fin da subito a rilevare le vulnerabilità del sistema da analizzare, per poi tracciare un piano di attacco basato su tecniche più o meno conosciute, e una moltitudine di exploit.
Il risultato? Un penetration test di qualità e un rapporto dettagliato, con tempi e costi più che ragionevoli. Del resto, questi sono i vantaggi di poter contare non su un hacker etico, ma su un’intera comunità di hacker selezionati per competenze, curriculum e integrità.
PTaaS UNGUESS: la perfetta via di mezzo
Ogni membro della comunità, infatti, viene scelto da UNGUESS non solo per la sua preparazione ma anche per la sua etica nel senso stretto del termine. E questo si traduce in un’analisi approfondita di curriculum, certificazioni e fedina penale.
Se è vero che “in medio stat virtus”, il Penetration as a Service offerto da UNGUESS è la perfetta via di mezzo tra l’affidabilità e sicurezza di un penetration test eseguito da un team interno, e la praticità e i costi di uno eseguito con una piattaforma automatizzata. Con in più i vantaggi di avere a che fare con una moltitudine di professionisti selezionati che decidono di aderire a una campagna lanciata da un’azienda, con l’obiettivo di scovare i punti deboli dei suoi sistemi informatici e proteggersi dalle principali minacce del dominio digitale.