Hacking etico - Pen Testing

Il Penetration Testing è un metodo che molte aziende seguono per ridurre al minimo le violazioni della sicurezza. Questo è un modo controllato per assumere un professionista che proverà ad hackerare il tuo sistema e mostrarti le scappatoie che dovresti correggere.

Prima di fare un penetration test, è obbligatorio avere un accordo che menziona esplicitamente i seguenti parametri:

  • quale sarà il tempo del test di penetrazione,

  • dove sarà l'origine IP dell'attacco e

  • quali saranno i campi di penetrazione del sistema.

I test di penetrazione sono condotti da hacker etici professionisti che utilizzano principalmente strumenti commerciali e open source, strumenti di automazione e controlli manuali. Non ci sono restrizioni; l'obiettivo più importante qui è scoprire il maggior numero possibile di falle di sicurezza.

Tipi di test di penetrazione

Abbiamo cinque tipi di test di penetrazione:

  • Black Box- Qui, l'hacker etico non ha alcuna informazione sull'infrastruttura o sulla rete dell'organizzazione che sta cercando di penetrare. Nei test di penetrazione della scatola nera, l'hacker cerca di trovare le informazioni con i propri mezzi.

  • Grey Box - È un tipo di test di penetrazione in cui l'hacker etico ha una conoscenza parziale dell'infrastruttura, come il suo server dei nomi di dominio.

  • White Box - Nel test di penetrazione white-box, all'hacker etico vengono fornite tutte le informazioni necessarie sull'infrastruttura e sulla rete dell'organizzazione che deve penetrare.

  • External Penetration Testing- Questo tipo di test di penetrazione si concentra principalmente sull'infrastruttura o sui server di rete e sul relativo software che opera sotto l'infrastruttura. In questo caso, l'hacker etico tenta l'attacco utilizzando reti pubbliche tramite Internet. L'hacker tenta di hackerare l'infrastruttura aziendale attaccando le loro pagine web, server web, server DNS pubblici, ecc.

  • Internal Penetration Testing - In questo tipo di test di penetrazione, l'hacker etico è all'interno della rete dell'azienda e conduce i suoi test da lì.

I test di penetrazione possono anche causare problemi come malfunzionamento del sistema, arresto anomalo del sistema o perdita di dati. Pertanto, un'azienda dovrebbe assumersi dei rischi calcolati prima di procedere con i test di penetrazione. Il rischio è calcolato come segue ed è un rischio gestionale.

RISK = Threat × Vulnerability

Esempio

Hai un sito di e-commerce online in produzione. Vuoi fare un test di penetrazione prima di renderlo attivo. Qui, devi prima valutare i pro ei contro. Se procedi con il test di penetrazione, potrebbe causare l'interruzione del servizio. Al contrario, se non desideri eseguire un test di penetrazione, puoi correre il rischio di avere una vulnerabilità priva di patch che rimarrà sempre una minaccia.

Prima di eseguire un penetration test, si consiglia di mettere per iscritto lo scopo del progetto. Dovresti essere chiaro su cosa verrà testato. Ad esempio:

  • La tua azienda ha una VPN o qualsiasi altra tecnica di accesso remoto e vuoi testare quel particolare punto.

  • La tua applicazione ha server web con database, quindi potresti volerla testare per attacchi SQL injection, che è uno dei test più cruciali su un server web. Inoltre, puoi verificare se il tuo server web è immune agli attacchi DoS.

Consigli veloci

Prima di procedere con un test di penetrazione, dovresti tenere a mente i seguenti punti:

  • Per prima cosa comprendi le tue esigenze e valuta tutti i rischi.

  • Assumere una persona certificata per condurre test di penetrazione perché è addestrata ad applicare tutti i metodi e le tecniche possibili per scoprire possibili lacune in una rete o in un'applicazione web.

  • Firma sempre un accordo prima di eseguire un penetration test.