Qualsiasi azienda decida seriamente di affrontare il tema della cyber security dovrebbe, come prima cosa, predisporre un penetration test. Quando si comincia a ragionare sul livello di sicurezza dei sistemi aziendali, infatti, il primo passo è quello di “fotografare” la situazione attuale. Da qui si può muovere oltre per mettere in campo tutti i sistemi di protezione necessari per garantire l’integrità dei dati e dei sistemi aziendali. Ma che caratteristiche ha e come funziona esattamente un penetration test?
Mettere alla prova le proprie difese con il penetration test
La logica di un penetration test è quella di effettuare una simulazione di attacco per verificare l’efficacia dei sistemi di difesa contro i cyber attacchi in azienda. Gli esperti di sicurezza HWG, che in questo caso agiscono come red team simulando un attacco hacker, mettono in campo tutte le loro competenze per provare a violare il perimetro aziendale e individuare eventuali anelli deboli che possano rappresentare una vulnerabilità dei sistemi. La logica, in altri termini, è quella di eseguire una valutazione complessiva dei sistemi di sicurezza per evidenziare quelli che gli esperti definiscono come “soft point” che potrebbero essere utilizzati dai cyber criminali per accedere a informazioni riservate.
Come un gioco di ruolo
Nell’ambito di un penetration test, in pratica, gli esperti di sicurezza interpretano il ruolo dei “cattivi” per verificare quante e quali vulnerabilità siano presenti nell’ecosistema IT dell’azienda. Il cosiddetto “red team” ha il compito di cercare di violare i sistemi sulla base di una serie di regole che vengono definite al momento della stipula del contratto tra l’azienda e la società di sicurezza. Queste regole possono determinare quale sia il bersaglio che deve essere compromesso, per esempio uno specifico server, e le modalità che possono essere utilizzate per portare l’attacco informatico. Normalmente, lasciare la massima libertà agli esperti rappresenta il modus operandi migliore per eseguire un test realmente efficace.
Penetration test: sicurezza a livello digitale e a livello fisico
Nell’ottica della cyber security, i controlli degli accessi negli ambienti aziendali hanno un’importanza fondamentale. Spesso i pirati informatici sfruttano, infatti, la possibilità di introdursi nelle aziende per garantirsi un vantaggio attraverso azioni che possono comprendere semplici tentativi di intrusione per ottenere informazioni (come le credenziali di accesso) o l’installazione di dispositivi funzionali alla violazione dei sistemi. Proprio per questo motivo uno dei discrimini fondamentali è quello che riguarda la possibilità di portare attacchi “fisici” nel corso di un penetration test, che in alcuni casi può anche essere intrinseco all’obiettivo del test, come nel caso in cui questo sia rappresentato dalla compromissione di un server protetto dal cosiddetto “air gap”, cioè privo di una connessione alla rete.
Dal penetration test al miglioramento delle protezioni
La fase conclusiva dell’attività di penetration testing prevede un’analisi delle vulnerabilità individuate dagli esperti nel corso della loro simulazione di attacco e la definizione delle misure necessarie per correggere le falle di sicurezza. Le soluzioni variano a seconda del quadro delineato. Se le più ovvie riguardano la correzione di eventuali errori nelle impostazioni dei sistemi, può rendersi necessaria l’implementazione di strumenti tecnici (per esempio il monitoraggio delle caselle di posta elettronica o un sistema SIEM) in grado di mitigare il rischio che i punti deboli rilevati possano aprire la strada a “veri” cyber criminali. La valutazione, però, non comprende solo aspetti squisitamente tecnici, ma anche le procedure e le policy utilizzate nell’azienda, che spesso rappresentano uno degli aspetti su cui intervenire per mitigare il rischio di truffe e violazione dell’integrità dei dati. L’analisi delle strategie usate dal red team, infine, permette anche di valutare il livello di preparazione degli impiegati e l’opportunità di pianificare eventuali corsi di formazione e awareness per migliorare il livello di sicurezza complessivo dei sistemi e la resilienza agli attacchi basati su tecniche di ingegneria sociale.
