PENETRATION TESTING



Un Penetration Testing, spesso abbrieviato con "Pen-test", è un'attività informatica che mette alla prova sistemi, web applications e infrastrutture di rete, per trovare vulnerabilità che un hacker malevolo potrebbe sfruttare a proprio vantaggio.

Il principale obiettivo è di identificare falle di sicurezza e può essere utilizzato per testare la policy di sicurezza di un'azienda, la sua aderenza agli standard di compliance, la consapevolezza del rischio dei suoi dipendenti e l'abilità di identificare e rispondere ad eventuali incidenti.

Penetration Testing Stages

I - Agreement Phase

In questa fase vi è una stipula tra le parti in gioco, l'accordo copre i metodi dettagliati di tutta la procedura.
Il pentester non può compromettere la continuità del server anche se il test non è effettuato durante orari di picco di carico.
Un non-disclosure agreement deve essere firmato da entrambe le parti prima dell'avvio del pen-test.

II - Planning & Reconnaissance

In questa fase raccoglie più informazioni possibili riguardo i target da testare. Le informazioni possono riguardare indirizzi IP, dettagli sul dominio, mail servers, topologia di rete ecc...

III - Scanning

L'attaccante interagisce con i target per identificare le vulnerabilità. Questa fase inlude uno scanning approfondito della rete, identificazione di unità condivise aperte, portali FTP aperti, servizi attivi e molto altro.

IV - Gaining Access

Una volta che le vulnerabilità sono state identificate, il passo successivo sarà quello di sfruttarle per ottenere l'accesso al target.

V - Mantaining Access

Il passo successivo sarà quello di fare in modo che l'accesso al target venga mantenuto, anche se questo dovesse essere modificato, riavviato o resettato.

VI - Exploitation

Questa fase è dove il danno all'infrastruttura e una o più delle sue componenti è potenzialmente maggiore. Un attaccante cercherà di rubare dati sensibili, compromettere il sistema, lanciare attacchi di DoS, ecc...
In un pen-test questa fase è controllata per assicurare che il caos nella rete risulti minimo.

VII - Raccolta Prove e Report

Una volta che il pen-test è completato, l'obiettivo finale è quello di raccogliere le prove delle vulnerabilità sfruttate e scrivere un report che verrà consegnato all'area di competenza.

Perché fare un Penetration Test?

Per un'organizzazione, la cosa più importante è la business continuity. La seconda cosa più importante è che i servizi di supporto al core business funzionino perfettamente. Detto ciò, per essere sicuri che venga riposta la giusta attenzione, il penetration tester deve porre l'accento laddove il rischio è più alto per l'attività aziendale.

Un penetration testing identificherà le debolezze dell'infrastruttura telematica dell'azienda in modo che vengano riparate prima che un hacker malevolo possa sfruttarle a suo vantaggio; oltre a questo l'attività fungerà da "eye-opener" per il security team adibito a proteggere gli asset aziendali.


La nostra divisione di Cyber Security è più che preparata a soddisfare le richieste di servizi di Pen-Test.
Chiedi appuntamento al nostro team di esperti, scrivici un messaggio!
Contattaci qui compilando il form.