Penetration Test

I crimini informatici sono all’ordine del giorno ed il numero di attacchi hacker è in costante aumento. Aziende ed enti sono target attivi dei cyber criminali (cosiddetti “Hacker Black Hat”), che mirano principalmente a recare danni all’infrastruttura, estorcere denaro o rubare dati sensibili per poi rivenderli sul mercato nero (Dark Web) o renderli pubblici.

Per prevenire tutto ciò, è necessario agire d’anticipo ed è qui che entra in gioco la figura dell’Ethical Hacker (“White Hat” o “pentester”), il cui compito è pensare come un cyber criminale, agendo, però, in maniera del tutto legale, analizzando, rilevando e testando, in accordo con il cliente, le falle che potrebbero essere sfruttate ai fini di un attacco informatico, andando ad eliminarle o a limitare la superficie di un potenziale attacco.

Il Penetration Test (PT) è un’attività che consiste nell’identificare e testare le eventuali vulnerabilità presenti sul perimetro concordato con il cliente, nonché nel verificare l’effettiva efficacia dei controlli di sicurezza eventualmente presenti nell’infrastruttura. Al termine dell’attività si avrà una fotografia completa sul livello di stabilità e sicurezza dei sistemi e sarà possibile proporre al cliente eventuali rimedi e workaround mirati, al fine di mettere in totale sicurezza la struttura.

L’attività di PT si suddivide in tre metodologie differenti che vengono concordate con il cliente durante la fase di ingaggio.

White-Box – Il penetration tester avrà a disposizione informazioni precise circa l’infrastruttura su cui andrà ad eseguire i test, come, ad esempio, i dettagli delle reti e le credenziali di accesso. In questo modo, il tester avrà immediato accesso all’infrastruttura e a tutti i possibili vettori d’attacco direttamente dall’interno.

Black-Box – Il penetration tester non ha alcuna conoscenza interna del sistema target. Si tratta, quindi, dell’attività più vicina ad un vero e proprio attacco hacker. Il tester dovrà analizzare e studiare il perimetro esterno per poter trovare eventuali vettori d’attacco e, quindi, una via d’accesso. Questo genere di attività, a differenza del White-Box, non consente un immediato campo d’attacco sul quale eseguire i test, in quanto si concentra principalmente sul valutare l’effettiva impenetrabilità dall’esterno da parte di utenti malintenzionati.

Grey-Box – Si tratta di una via di mezzo tra il White-Box ed il Black-box. Al penetration tester vengono fornite informazioni minime (generalmente le credenziali di login) utili a simulare un attacco in cui l’attaccante è riuscito ad ottenere le credenziali e, successivamente, l’accesso al sistema. In questo modo sarà possibile concentrarsi principalmente sulla valutazione della sicurezza all’interno del perimetro, sia quello relativo all’ host o al server su cui ci si trova, sia alle share di rete alle quali è collegato.

Spesso si tende a confondere le due attività: sebbene, infatti, entrambe consentano di migliorare il livello di sicurezza delle infrastrutture IT aziendali, Vulnerability Assessment e Penetration Test non sono la stessa cosa.

Il Vulnerability Assessment (VA) consiste nell’utilizzare dei tool, automatici e non, per identificare e classificare tutte le potenziali vulnerabilità presenti nel sistema, sia a livello web sia a livello di network, al fine di avere una fotografia complessiva e dettagliata sulle falle identificate.

Il Penetration Test (PT), invece, consiste nella simulazione di un vero e proprio attacco hacker, puntando a sfruttare (in gergo “exploitare”) le vulnerabilità rilevate. Per poter riuscire nel suo compito, il penetration tester deve analizzare le informazioni raccolte durante il VA e scegliere gli strumenti e le tecniche più adatte per poter eseguire l’attacco che gli consentirà di avere accesso al sistema. Per poter eseguire con successo un Penetration Test, quindi, è necessario svolgere precedentemente un buon Vulnerability Assessment.

Le attività di VA-PT possono essere eseguite su qualsiasi ambiente con parametri di rete configurati, sia per l’accesso ad Internet, sia per le reti locali.

Tra queste si possono distinguere quattro principali categorie:

• Web Application
• Infrastructure
• IoT (Internet of Things)
• SCADA

Il WAPT – Web Application Penetration Test riguarda le Web Application, ossia tutte quelle applicazioni software esposte su una rete (Internet, intranet o extranet), alle quali l’utente finale può accedere tramite un browser (sito web, form di login per l’accesso ad una piattaforma, web server, sito internet di un social network, etc.).

La parte Infrastructure va ad identificare quegli ambienti su cui è presente un’infrastruttura, più o meno complessa, nella quale sono presenti dei pc o dei server collegati in rete/i locale/i. Si pensi ad una grossa azienda con diverse reti LAN o ad ambienti virtuali come le VLAN o a un piccolo ufficio con poche unità di host. Anche le reti Wi-Fi rientrano in questo contesto, ma la procedura di approccio per un VA-PT è differente.

L’IoT - Internet of Things (Internet delle cose) comprende tutti quei devices che sfruttano le funzionalità di rete e che fanno parte della vita quotidiana. Smartphone, tablet, sistemi di Intelligenza Artificiale (IA), dispositivi medici, smart wearable devices (es. smartwatch) e sistemi di videosorveglianza sono alcuni dei devices che fanno parte di questa categoria.

Anche nel campo industriale sono presenti dei dispositivi sui quali è possibile eseguire le attività di VA-PT e vengono definiti sistemi SCADA (Supervisory Control And Data Acquisition) ed hanno il compito di monitorare il corretto funzionamento dei macchinari sui quali sono installati, siano essi parte di un’azienda con linee di produzione con dei sistemi PLC, i sistemi di misurazione di una centrale idroelettrica, etc.

Come è facile intuire, l’attività del Penetration Tester comprende un raggio d’azione molto ampio e vario sul quale poter svolgere le attività di VA-PT, ma si tratta degli stessi ambienti presi di mira dagli hackers e per questo è necessario essere sempre aggiornati sulle ultime vulnerabilità trovate dai researchers e su tutto ciò che potrebbe compromettere i sistemi o le infrastrutture.

Studio costante e formazione consentono di non farsi trovare impreparati. La pratica, però, è il fulcro fondamentale per poter operare in questo campo e, per questo motivo, il White Hat sfrutta delle piattaforme online che mettono a disposizione dei laboratori in cui è possibile eseguire e simulare le varie tecniche d’attacco e imparare le tattiche di difesa, il tutto in totale sicurezza, trattandosi di ambienti creati a scopo educativo. Alcuni di questi laboratori sono destinati all’apprendimento, altri hanno come scopo finale il raggiungimento di uno o più obiettivi e sono conosciuti come CFT - Capture the Flag.

Considerare la propria infrastruttura come una “fortezza inespugnabile” potrebbe essere un grave errore da non sottovalutare. I vettori d’attacco possono essere molteplici e di diversa natura ed un’errata configurazione dei sistemi basata sull’errore umano è piuttosto comune.

È, perciò, opportuno mantenere sempre i sistemi aggiornati, installando periodicamente le patch sugli stessi ed eseguendo attività di update e upgrade delle applicazioni utilizzate.

Le attività di Vulnerability Assessment e Penetration Test costituiscono un’ottima soluzione per avere una fotografia generale sul livello di sicurezza presente nella propria infrastruttura. A fronte dei rimedi apportati successivamente all’analisi, inoltre, sarebbe opportuno svolgere periodicamente nuovi test per verificare l’effettiva efficacia delle soluzioni applicate nonché per sondare la presenza di nuove vulnerabilità.

Contatta i consulenti Lutech per verificare la resilienza dei tuoi sistemi