Pentest, o penetration test: di cosa parliamo? Nell’ambito della cybersecurity si parla di Security testing come di un processo progettato per identificare e risolvere le vulnerabilità e le debolezze in un sistema o in un'applicazione. Il penetration test è invece la simulazione di un attacco reale rivolto verso sistemi, servizi o applicazioni concordati con il cliente. Un processo fondamentale per garantire che le informazioni e i sistemi siano protetti da potenziali minacce.
In pratica, si emula un attaccante che sfrutta vulnerabilità esistenti per ottenere accessi non autorizzati, elevare i propri privilegi, alterare il comportamento delle applicazioni e muoversi lateralmente su altri sistemi.
L'obiettivo del penetration test è identificare, sfruttare e confermare l'esistenza di vulnerabilità nei target dell'attività, verificarne la resistenza agli attacchi e valutare la capacità dell'organizzazione di rilevare tali attacchi.
Pentest: black, grey o white box
Il pentest è uno strumento di security testing che può essere eseguito in tre modalità, che rappresentano diversi livelli di trasparenza e conoscenza del target da parte del penetration tester:
- black box - il penetration tester non ha alcuna conoscenza preliminare del sistema da testare;
- white box – il tester ha pieno accesso a tutte le informazioni sul sistema da testare, incluso il codice dell’applicazione o servizio oggetto del test;
- grey box – il tester ha accesso ad alcune informazioni sul sistema, ma non a tutte: ad esempio, ha a disposizione credenziali di accesso non privilegiato per un'applicazione o un sistema.
Le alternative: il Red teaming
Il Red teaming è un’attività che simula il comportamento di un avversario reale. Si tratta di un esercizio in cui un team di esperti di sicurezza tenta di violare un'organizzazione per valutare la sua postura di sicurezza. È simile al penetration testing, ma è più ampio e include tecniche come l'ingegneria sociale. Il Red teaming supera i limiti del vulnerability assessment (VA) e del pen test, che operano su perimetri precisi e in un periodo temporale di poche settimane.
Il Red teaming consente di comprendere quanto in profondità l’avversario si possa spingere nella serie di passi (kill chain) che compongono un attacco, e copre sia l’area tecnica, sia la logica applicativa.
Vulnerability Assessment (VA) Network & Web App
La valutazione della vulnerabilità è una scansione del sistema per identificare le vulnerabilità note. A differenza del penetration test, non tenta di sfruttare le vulnerabilità, ma si limita a rilevarle.
Verifica lo stato di vulnerabilità di infrastrutture, servizi e applicazioni, valuta la solidità dei meccanismi di sicurezza in essere, individuando le azioni correttive che consentono di mantenere il livello di rischio tecnologico entro limiti prestabiliti.
IoT e Industrial IoT Security Testing
Si tratta di un vulnerability assessment e pen test attivo a vantaggio dei produttori o degli utilizzatori di device IoT o Industrial IoT. Consente di individuare e valutare le problematiche che possono affliggere i diversi componenti di un ecosistema, proponendo le azioni di remediaton più adeguate a contenere i rischi di natura tecnologica. L’assessment può assumere varie declinazioni tecnologiche, come: analisi di hardware, firmware, comunicazioni wired e wireless, backend, cloud, Web e Mobile app.
L’ecosistema, il firmware e l’hardware IoT/IIoT sono molto eterogenei e variegati. È necessario valutare sia i singoli componenti, sia il loro operato nel contesto dell’ecosistema.
OT CyberSecurity Assessment
Questo security testing valuta lo stato di sicurezza dei sistemi OT, ossia di telecontrollo industriale, conosciuti anche come ICS o SCADA e delle infrastrutture critiche nazionali, ora interconnesse ad altre reti aziendali e quindi esposte a rischi cyber dei quali occorre essere consapevoli.
Questa attività è basata su due analisi complementari e convergenti:
- Il risk assessment, che ha lo scopo di scattare una fotografia dello stato di compliance rispetto agli standard applicabili: ISO 27001, best practices come NIST 800-82, NIST CyberSecurity Framework o IEC 62443.
- Il vulnerability assessment passivo, che si basa sull’osservazione di una copia del traffico delle reti OT, senza essere invasivo nei confronti dell’impianto industriale.