Penetration Test

I Penetration Test (PT) di Wideside consistono nel testare la sicurezza di una infrastruttura IT cercando di violarla sottoponendola ad una grande varietà di attacchi informatici e non. Le attività di PT offerte da Wideside hanno l’obiettivo di fornire al cliente una conoscenza dettagliata sulle vulnerabilità sfruttabili da terzi per ottenere accessi non autorizzati ai loro servizi/sistemi analizzati.

Le tematiche per le quali Wideside sviluppa i test sono:

  • Bug, vulnerabilità e security hole nel software presente;
  • Punti deboli nella progettazione della rete;
  • Punti deboli di firewall e router;
  • Punti deboli negli script dei web‐server;
  • Errori nella configurazione dei principali servizi in esecuzione;
  • Problemi relativi l’accesso fisico alle macchine.

 

Tipologie PT realizzabili

Si distinguono vari livelli tecnici dei test in funzione delle tipologie di test che si vogliono effettuare. Wideside distingue tre grandi categorie tipi di PT:

a) Zero knowledge (black box): si effettuano i test senza conoscere niente dell’host bersaglio, iltester si mette in pratica nelle stesse condizioni dell’attaccante. In questo caso il primo passo è la raccolta di informazioni.

b) Partial knowledge: vengono fornite dal committente alcune informazioni per indirizzare l’attacco verso un bersaglio preciso o anche per diminuire i tempi di testing e quindi le spese. Le informazioni fornite riguardano in genere la topologia della rete, le politiche di sicurezza adottate, etc.

c) Full knowledge (white box): in questo caso chi esegue il PT ha a disposizione tutte, o quasi, le informazioni possibili. In questo caso, in genere, si simula il comportamento di un “attaccante interno”, ad esempio un dipendente. Oltre a testare le macchine un PT può essere utile anche per valutare le persone addette a tali macchine. Per questa tematica Wideside distingue due tipi di interventi:

Overt o evidente (Blue team):

Gli impiegati dell’organizzazione, e in particolare lo staff IT, sono a conoscenza del PT.

Covert o nascosto (Red team):

Si esegue il PT con il permesso delle “alte cariche”, e all’insaputa dello staff IT. Questo tipo di test è utile per testare, oltre alla sicurezza della rete, anche le capacità e l’affidabilità degli addetti alla sicurezza durante una emergenza e la reale validità delle politiche di sicurezza dell’azienda.