{"id":7743,"date":"2018-09-19T07:30:10","date_gmt":"2018-09-19T05:30:10","guid":{"rendered":"http:\/\/www.unilab.eu\/?p=7743"},"modified":"2021-04-14T20:54:51","modified_gmt":"2021-04-14T18:54:51","slug":"pen-test","status":"publish","type":"post","link":"https:\/\/www.unilab.eu\/it\/articoli\/coffee-break-it\/pen-test\/","title":{"rendered":"Sicurezza informatica: cos\u2019\u00e8 il Pen Test?"},"content":{"rendered":"<p><strong>Cos\u2019\u00e8 il Pen Test e quando si esegue<\/strong><\/p>\n<p>Il <strong>Pen Test, o penetration test<\/strong> rappresenta un attacco informatico che serve per valutare il livello di sicurezza di un sistema o di una rete. Il suo scopo primario \u00e8 quello di individuare e segnalare la presenza di eventuali falle in grado di generare vulnerabilit\u00e0.<\/p>\n<p>Il Pen Test viene di fatto effettuato con la metodologia Open Source Security Testing Methodology Manual (OSSTMM) di Institute for Security and Open Methodologies (ISECOM) e consente di <strong>accertare la capacit\u00e0 di difesa di una rete interna o esterna<\/strong>.<\/p>\n<p>Le <strong>principali fasi del Pen Test<\/strong> sono la definizione del target, la raccolta delle informazioni, l\u2019enumerazione del target, la mappatura delle vulnerabilit\u00e0, lo sfruttamento delle falle, l\u2019escalation dei privilegi, il mantenimento dell\u2019accesso e la redazione della documentazione.<\/p>\n<p><strong>Pen tester e hacker etici<\/strong><\/p>\n<p>I pen tester (o gli hacker etici) sono le <strong>figure professionali<\/strong> che vengono ingaggiate dalle aziende per testare il livello di sicurezza dei device e dei sistemi utilizzati: se esse riescono a superare le difese, si mettono a disposizione del cliente per eliminare le falle e rendere invalicabili i propri confini.<\/p>\n<p>Organizzazioni come SANS, CREST, EC-Council e McAfee Foundstone danno agli hacker etici pi\u00f9 abili delle vere e proprie <strong>certificazioni<\/strong>, che permettono loro di offrire a chi li assume un quantitativo maggiore di garanzie.<\/p>\n<p>In buona parte dei casi, i migliori pen tester <strong>scrivono personalmente il codice<\/strong> degli strumenti di hacking adoperati, cos\u00ec da non rischiare che quanto scritto da altri possa contenere malware progettati apposta per hackerare gli hacker.<\/p>\n<p>L\u2019hacker etico deve adoperare le informazioni ottenute nella cosiddetta fase di scoperta per sfruttare le <strong>vulnerabilit\u00e0 dei sistemi<\/strong> e accedere agli stessi senza avere alcuna autorizzazione (nel caso non riuscisse a entrare in una risorsa, dovrebbe provare con le risorse di altri ambiti).<\/p>\n<p>In linea generica va detto che il pen tester pi\u00f9 abile non \u00e8 tanto quello dotato di particolare genio, ma \u00e8 piuttosto quello dotato di grande <strong>pazienza e accuratezza<\/strong>. Caratteristiche fondamentali che in questo settore permettono di raggiungere risultati effettivi.<\/p>\n<p><strong>Black Box e White Box: i diversi approcci del Pen Test<\/strong><\/p>\n<p>Se per ogni Penetration Test possono essere seguite diverse regole esecutive, gli approcci metodologici sono essenzialmente due: quello del <strong>Black Box<\/strong> (chiamato anche Scatola Oscura) e quello del <strong>White Box<\/strong>.<\/p>\n<p><strong>Nel primo caso<\/strong> coloro i quali effettuano il Pen Test non conoscono le tecnologie implementate nell\u2019organizzazione target. Qui, oltre a dover sfruttate tutte le tecniche di hacking conosciute, bisogna anche saper classificare le vulnerabilit\u00e0 a seconda del grado di rischio.<\/p>\n<p><strong>Nel secondo caso<\/strong>, invece, ci si riferisce a un Penetration Test in cui chi attacca conosce l\u2019intero ambiente da testare. Qui si valutano solo i rischi esterni a cui l\u2019impresa pu\u00f2 andare incontro, escludendo le vulnerabilit\u00e0 interne.<\/p>\n<p>La metodologia del Black Box costa di pi\u00f9 dal punto di vista del tempo e delle risorse impiegate. L\u2019<strong>approccio<\/strong> White Box \u00e8 simile all\u2019altro, ma pu\u00f2 meglio essere integrato nei cicli di vita di implementazioni software &#8211; hardware per eliminare sul nascere le problematiche di un attacco.<\/p>\n<p><strong>Differenze tra Vulnerability Assessment e Penetration testing<\/strong><\/p>\n<p>Un discorso a parte va poi fatto sulla <strong>differenza tra Vulnerability Assessment e Penetration testing<\/strong>:<\/p>\n<ul>\n<li>nella Vulnerability Assessment si evidenziano tutte le ipotetiche vulnerabilit\u00e0, valutandone il possibile impatto;<\/li>\n<li>nel Penetration Test si identificano tutte le vulnerabilit\u00e0, si sfruttano i possibili exploit pubblici e si punta al mantenimento dell\u2019accesso ai sistemi target.<\/li>\n<\/ul>\n<p>Questo tutto ci\u00f2 che c\u2019\u00e8 da sapere sul Penetration Test: un processo che consente di analizzare la <strong>sicurezza dei sistemi aziendali<\/strong>, per individuare la presenza di eventuali punti deboli e potenziare l\u2019intero comparto dell\u2019infrastruttura IT.<\/p>\n<!--themify_builder_content-->\n<div id=\"themify_builder_content-7743\" data-postid=\"7743\" class=\"themify_builder_content themify_builder_content-7743 themify_builder tf_clear\">\n    <\/div>\n<!--\/themify_builder_content-->\n","protected":false},"excerpt":{"rendered":"<p>Il Pen Test rappresenta un attacco informatico che serve per valutare il livello di sicurezza di un sistema o di una rete.<\/p>\n","protected":false},"author":10,"featured_media":7745,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"%%title%% %%page%% %%sep%% %%sitename%%","_seopress_titles_desc":"Il Pen Test rappresenta un attacco informatico che serve per valutare il livello di sicurezza di un sistema o di una rete.","_seopress_robots_index":"","_seopress_analysis_target_kw":"pen test","footnotes":""},"categories":[46],"tags":[],"class_list":["post-7743","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-coffee-break-it","has-post-title","has-post-date","has-post-category","has-post-tag","has-post-comment","has-post-author",""],"builder_content":"","_links":{"self":[{"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/posts\/7743","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/comments?post=7743"}],"version-history":[{"count":0,"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/posts\/7743\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/media\/7745"}],"wp:attachment":[{"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/media?parent=7743"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/categories?post=7743"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.unilab.eu\/it\/wp-json\/wp\/v2\/tags?post=7743"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}