

Penetration Testing
Per penetration test o genericamente pen test si intende il meccanismo mediante cui una definita superficie aziendale, totale o parziale, viene messa alla prova per poter rilevare percorsi di attacco, sfruttando le vulnerabilità riscontrate, che un attaccante potrebbe sfruttare per portare a compimento un attacco. È una dimostrazione empirica del rischio associato a una data vulnerabilità che consiste nel simulare un attacco reale contro il sistema.
Un test di penetrazione inizia con il professionista della sicurezza che effettua un inventario della rete di destinazione per trovare sistemi e/o account vulnerabili. Per fare ciò, in ogni sistema della rete viene controllata la presenza di porte aperte su cui sono in esecuzione i servizi. È estremamente raro che tutti i servizi su una rete siano configurati correttamente, adeguatamente protetti da password e completamente aggiornati. Una volta che il penetration tester ha compreso adeguatamente la rete e le vulnerabilità esistenti, viene utilizzato uno strumento di penetration test per sfruttare una vulnerabilità e ottenere così un accesso non autorizzato. Tuttavia, gli esperti di sicurezza non esaminano solo i sistemi. I pentester attaccano spesso gli utenti di una rete inviando e-mail di phishing o tentando di manipolare gli obiettivi a loro piacimento per telefono o in Internet/Intranet (pre-SMS o ingegneria sociale).
Gli utenti di un’organizzazione rappresentano un ulteriore fattore di rischio. Gli attacchi a una rete tramite errore umano o credenziali compromesse non sono una novità. Se i costanti attacchi informatici e i casi di furto di dati ci hanno insegnato qualcosa, è che il modo più semplice per un hacker di entrare in una rete e rubare dati o denaro è attraverso gli utenti della rete.
Le credenziali compromesse rappresentano il vettore di attacco più comune tra tutte le violazioni dei dati segnalate, come dimostra anno dopo anno il Verizon Data Breach Report. Parte del compito di un penetration tester è affrontare le minacce alla sicurezza causate dagli errori degli utenti. Un pen tester tenterà di utilizzare un attacco di forza bruta (brute force) per indovinare le password degli account scoperti per ottenere l’accesso a sistemi e applicazioni. Sebbene la compromissione di un dispositivo possa comportare una violazione della sicurezza, in uno scenario reale un utente malintenzionato utilizzerà in genere il movimento laterale per raggiungere una risorsa critica.
La simulazione di attacchi di phishing è un altro modo comune per testare la sicurezza degli utenti della rete. Gli attacchi di phishing utilizzano metodi di comunicazione personalizzati per persuadere la vittima a fare qualcosa che non è nel suo interesse. Ad esempio, un attacco di phishing potrebbe convincere un utente che è giunto il momento di “reimpostare la password obbligatoria” e quindi di fare clic su un collegamento e-mail incorporato. Sia che facendo clic sul collegamento dannoso venga rilasciato malware o semplicemente si apra la porta agli aggressori per rubare credenziali per un utilizzo futuro, un attacco di phishing è uno dei modi più semplici per sfruttare gli utenti della rete. È infatti importare usare strumenti di test di penetrazione che dispongano di queste funzionalità.