Penetration test, che cos’è

servizi per le aziende

Penetration test

I penetration test tentano di sfruttare punti deboli o vulnerabilità in sistemi, reti, risorse umane o risorse fisiche per testare l’efficacia dei controlli di sicurezza. I diversi tipi di penetration test includono servizi di rete, applicazioni, lato client, wireless, ingegneria sociale e fisici. Un penetration test può essere eseguito esternamente o internamente per simulare diversi vettori di attacco. A seconda degli obiettivi di ciascun test, un tester di penetrazione può avere o meno una conoscenza preliminare dell’ambiente e dei sistemi che sta tentando di violare. Questo è classificato come penetration test scatola nera, scatola bianca e scatola grigia.

Che cos’è un penetration test?

Un penetration test coinvolge un team di professionisti della sicurezza che tentano attivamente di entrare nella rete della tua azienda sfruttando le debolezze e le vulnerabilità dei tuoi sistemi .

I penetration test possono includere uno dei seguenti metodi:

  • Utilizzo di tecniche di ingegneria sociale per accedere ai sistemi e ai relativi database.
  • Invio di email di phishing per accedere ad account critici.
  • Utilizzo di password non crittografate condivise in rete per accedere a database sensibili.

Questi tentativi possono essere molto più intrusivi di una scansione delle vulnerabilità e possono causare una negazione del servizio o un maggiore utilizzo del sistema, che può ridurre la produttività e danneggiare le macchine.

In alcuni casi, puoi programmare penetration test e informare il personale in anticipo dell’esercizio. Tuttavia, questo non sarebbe applicabile se si desidera testare il modo in cui il proprio team di sicurezza interno risponde a una minaccia “live”. Ad esempio, gli esercizi della squadra rossa vengono spesso eseguiti senza informare il personale per testare scenari di minaccia del mondo reale.

In questo caso, è importante informare dell’esercizio il responsabile della squadra blu, il CISO o la direzione di livello superiore. Ciò garantisce che lo scenario di risposta sia ancora testato, ma con un controllo più stretto quando/se la situazione si aggrava.

Indipendentemente dallo scenario, dovresti condurre un penetration test con un intento specifico e definire chiaramente i tuoi desideri e le tue esigenze con il team di penetration test.

Ad esempio, potresti semplicemente completare l’implementazione di un nuovo programma di sicurezza per la tua azienda e volerne testare l’efficacia.

Se vuoi effettuare anche tu un test del genere, ti consigliamo di rivolgerti alla ditta LAN & WAN. Sapranno darti le offerte migliori ai prezzi più competitivi sul mercato.