Penetration Testing
Il Penetration Test, o Pen Test, valuta la sicurezza delle soluzioni e delle applicazioni di un sistema o di una rete, quando sottoposte ad attacco di un malintenzionato.
Questa attività di Assessment volontario permette ad organizzazioni ed aziende di individuare le vulnerabilità del proprio sistema, generando un report contenente le azioni correttive necessarie a sanare la sicurezza.
Il Penetration Test, detto anche informalmente Pen test, che simula l’approccio di un potenziale attaccante (attacco hacker), consiste nell’uso di strumenti commerciali combinati con l’azione di professionisti informatici, impegnati ad aggirare la logica di utilizzo del software per accedere indebitamente al sistema.
Il penetration test, facente parte delle attività di Assessment ICT offerte da DNV, fornisce quindi agli utenti una stima chiara sulle capacità difensive del proprio sistema in relazione a diversi livelli di sicurezza:
- interna al sistema;
- esterna al sistema;
- sicurezza fisica.
I test di sicurezza proposti da DNV, eseguibili sia prima del rilascio del sistema sia durante il suo utilizzo effettivo, si distinguono a seconda della tipologia in White Box Test o Black Box Test. Entrambi, pur partendo da basi informative estremamente diverse, consentono di testare l’infrastruttura di sicurezza del committente, individuandone le vulnerabilità in un ambiente controllato. Alla fine dell’attività, per entrambi viene generato un Report con le azioni necessarie a sanare le falle della sicurezza, ma ciascuno di essi possiede caratteristiche e vantaggi unici.
Penetration Test - White Box
Il test prevede che l’attaccante esterno sia informato dal committente riguardo all’infrastruttura ed ai servizi attivi ed in uso nel sistema, riducendo di molto i tempi di esecuzione del test. Il test stesso è molto più preciso, poiché nella fase di attacco l’operatore pòtrà concentrarsi meglio sul target specificato. Questa maggiore precisione nelle fasi di testing permetterà al committente di ottenere maggiori insights su input, output e logiche di processo interne.
Penetration Test - Black box
Molto più verosimile a un attacco esterno vero e proprio effettuato da un hacker malintenzionato. In questo caso, infatti, l’esperto non avrà informazioni né dell’infrastruttura (servizi, software, firewall) né del target da analizzare. Il test richiederà quindi una maggiore quantità di tempo all’esperto ed il report generato sarà da considerarsi più verosimile rispetto ad un caso di attacco reale ma, pur riportando in un test le criticità individuate, potrebbero non venirne individuate altrettante, data l’iniziale mancanza di informazioni sull’esatta composizione dell’infrastruttura software e hardware.DNV pone particolare attenzione nel non divulgare le informazioni individuate e non provocare interruzioni ai servizi durante il Penetration Test utilizzando una vasta gamma di strumenti commerciali quali strumenti di scansione e strumenti per la post elaborazione manuale.