Get In Touch
Piazza Borgo Pila, 40/56
16129 Genova
info@gmgnet.com
comunicazioni@pec.gmgnet.com
Back
Cyber Security
7 min read

Che cos’è il Penetration Test?

  • Michele
  • Author Michele
  • Published Luglio 19, 2022

La sicurezza informatica o cybersecurity si avvale di tanti strumenti idonei a salvaguardare i sistemi informatici dalle offensive degli hacker.

Uno di questi tool è il Penetration Test, anche detto Pen Test.

In questo articolo vedremo che cos’è il Penetration Test, come funziona e le principali tipologie esistenti.

Spesso il Penetration Test viene svolto in combinazione con il Vulnerability Assessment.

Per saperne di più, leggi l’articolo: “Che cos’è il Vulnerability Assessment?

Che cos’è il Penetration Test?

Il Penetration Test, anche detto Pen Test, è un attacco informatico simulato contro il proprio sistema, svolto al fine di verificare la presenza di vulnerabilità sfruttabili da malintenzionati del web.

In sostanza, il sistema informatico viene preso di mira da attacchi portati con tecniche e metodologie tipiche degli hacker, al fine di scovare delle vulnerabilità.

Questo lavoro, solitamente, viene svolto da un Ethical Hacker, ovvero da un professionista esperto di informatica in grado di riprodurre l’attività di un cybercriminale, allo scopo di tutelare la sicurezza informatica di un sistema.

cybersecurity penetration test

Come funziona il Penetration Test?

Il Penetration Test solitamente inizia con una fase di definizione degli scopi e degli obiettivi del procedimento; insieme al committente, vengono stabiliti anche i limiti oltre i quali l’autore del test non può spingersi.

Successivamente, viene fatta una scansione dei software e delle reti che compongono il sistema informatico oggetto del test.

A questo punto vengono elencate le eventuali vulnerabilità e i punti deboli del sistema, che potrebbero essere utilizzati da un cybercriminale per accedere ai dati più importanti della realtà esaminata.

Nella fase che segue l’ethical hacker, sfruttando le vulnerabilità suddette, tenta di accedere al sistema, per capire sino a che punto sia possibile penetrare, quali danni si possano arrecare e quali dati sottrarre.

Il Penetration Test si conclude con la produzione di un report dettagliato con l’analisi dell’impatto di rischio di quanto riscontrato, ma anche con le tempistiche per l’azione di rientro o di mitigazione delle problematiche riscontrate.

Viene prodotto anche un report tecnico, contenente l’analisi dettagliata dei problemi, con le possibili soluzioni.

Leggi anche “Perché anche le piccole aziende devono preoccuparsi della cybersecurity?”

Quali sono i tipi di Penetration Test?

Non esiste un solo tipo di Penetration Test. In base alle modalità con cui viene effettuato, è possibile distinguere varie tipologie di Pen Test.

Tendenzialmente le diverse tipologie si differenziano sulla base del grado di consapevolezza che il tester ha nei confronti del sistema da attaccare.

Test esterno

Una prima tipologia è il Test Esterno.

In questo scenario l’ethical hacker cerca di penetrare nel sistema informatico dall’esterno, in modo da capire se sia possibile farlo e a quale profondità di penetrazione si possa arrivare.

Il tester inizia a lavorare a partire da tutte le risorse inerenti all’obiettivo disponibili su internet.

Test Interno

La seconda tipologia in esame è il Test interno.

In tal caso, solitamente, l’ethical hacker è interno alla realtà oggetto del test.

Il Penetration Test in tal caso serve a mettere in luce delle falle del sistema sfruttabili da cybercriminali per esempio attraverso l’utilizzo di tecniche di phishing.

Blind Test

Un terzo tipo di esame è il Test alla cieca (Blind Test).

Si tratta di un Pen Test molto particolare. Chi si occupa di realizzarlo ha in mano una sola informazione: il nome dell’azienda, oggetto di indagine.

Il tester dovrà quindi fare affidamento sul proprio ingegno per penetrare nei sistemi IT dell’azienda: si tratta di una tipologia che ricalca in modo piuttosto accurato ciò che potrebbe succedere nella realtà.

Double Blind Test

Oltre ai test mirati – che coinvolgono tester e personale di sicurezza aziendale, in modo da mettere in evidenza quale potrebbe essere la prospettiva di chi sta attaccando i sistemi informatici – vi è, infine, il test in doppio cieco.

Questo test, conosciuto anche come Double Blind Test, prevede che anche il personale dedicato alla sicurezza dei sistemi informatici sia all’oscuro del tentativo di attacco.

In tal modo il Penetration Test risulta ancora più aderente ad un caso reale.

Sei preoccupato per la sicurezza informatica della tua azienda?

Scarica la guida per proteggerti dagli attacchi hacker

Tagged with:
Next Post
Video Marketing: perché è importante per la tua azienda

Related Posts

direttiva NIS 2
  • Deborah
  • Posted by Deborah
Aprile 22, 2024
3 min read

Direttiva NIS 2: guida completa alla Sicurezza Informatica

La Direttiva NIS 2, acronimo di Network and Information Security Directive, è… Continue Reading Direttiva NIS 2: guida completa alla Sicurezza Informatica

Cyber Security News
Read More
cyber security genova conferenza CSET
  • Deborah
  • Posted by Deborah
Settembre 11, 2023
3 min read

Genova capitale della Cyber Security con il IX convegno internazionale CSET

Il conflitto tra Russia e Ucraina non si limita al fronte militare,… Continue Reading Genova capitale della Cyber Security con il IX convegno internazionale CSET

Cyber Security News
Read More
smishing
  • Deborah
  • Posted by Deborah
Febbraio 8, 2023
4 min read

Attenzione allo Smishing!

Gli attacchi alla sicurezza dei dati sensibili sono in continuo aumento e… Continue Reading Attenzione allo Smishing!

Cyber Security
Read More