Wikipedia

Penetration test: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedente
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Descrizione delle differenze tra penetration test e vulnerability assessment
m clean up, replaced: |Dipartimento della Difesa → |Dipartimento della difesa, Dipartimento della Difesa degli Stati Uniti d'America → Dipartimento della difesa degli Stati Uniti d'America
 
(2 versioni intermedie di 2 utenti non mostrate)
Riga 13:
Alla Spring 1967 Joint Computer Conference, molti specialisti del computer si riuniscono di nuovo per discutere della sicurezza dei sistemi informatici. Durante questa conferenza, gli esperti di sicurezza informatica [[Willis Ware]], Harold Petersen, Rein Tern, Bernard Peters della [[National Security Agency]] (NSA) e tutta la [[RAND Corporation]] utilizzano il termine "penetrazione" per descrivere un attacco contro un sistema informatico. In un documento, Ware avvertì che era importante eseguire dei tentativi di penetrazione sui sistemi informatici, riferendosi ai sistemi time-sharing militari. I suoi colleghi Petersen e Turn condivisero lo stesso concetto, osservando che i sistemi di comunicazione on-line "... sono vulnerabili alle minacce riguardanti la privacy". Bernard Peters dell'NSA rimarcò lo stesso punto, insistendo che l'input e l'output di un computer "... potrebbero fornire grandi quantità di informazioni a seguito di una penetrazione." Nel corso della conferenza, la computer penetration viene formalmente identificata come una grave minaccia per i sistemi informatici on-line.<ref name="Hunt 8">Hunt (2012), p. 8</ref>
 
La minaccia della computer penetration fu sottolineata in un importante rapporto organizzato dal [[Dipartimento della Difesadifesa degli Stati Uniti d'America|Dipartimento della Difesadifesa statunitense]] (DoD) alla fine del 1967. In sostanza, i funzionari del Dipartimento della Difesa si rivolsero a Willis Ware per condurre una [[task force]] di esperti proveniente da NSA, [[CIA]], DoD, mondo accademico e industria per valutare formalmente la sicurezza dei sistemi informatici time-sharing. Facendo affidamento su molti documenti presentati nel corso dello Spring 1967 Joint Computer Conference, la task force confermò largamente che la computer penetration era una minaccia alla sicurezza del sistema informatico. Il rapporto di Ware era inizialmente classificato, ma molti dei maggiori esperti informatici del paese identificarono lo studio come documento decisivo sulla sicurezza informatica.<ref name="Hunt 8"/> Jeffrey R. Yost del [[Charles Babbage Institute]] ha più recentemente descritto il rapporto di Ware come "... di gran lunga lo studio più importante e approfondito su questioni tecniche e operative in materia di sicurezza dei sistemi informatici del suo tempo".<ref>Yost (2007), p. 602</ref> In effetti, il rapporto Ware ha ribadito la grave minaccia rappresentata dalla computer penetration per i nuovi sistemi time-sharing online.
 
Per capire meglio le debolezze del sistema, il governo federale e dei suoi finanziatori ben presto cominciarono a organizzare squadre di penetratori, conosciute come [[tiger team]]s, per usare la computer penetration come test della sicurezza dei sistemi. Deborah Russell e G.T. Gangemi hanno dichiarato che nel corso del 1970 nacquero i primi tiger teams: squadre di crackers finanziati dal governo e dalle industrie per tentare di abbattere le difese dei sistemi informatici nel tentativo di scoprire, ed eventualmente correggere, buchi di sicurezza ".<ref>Russell and Gangemi, Sr. (1991), p. 29</ref>
Riga 21:
Le azioni dei primi tiger team e gli sforzi della RAND Corporation hanno dimostrato l'utilità dei penetration test come strumento per la valutazione della sicurezza del sistema. A quel tempo, un analista RAND notò che i test avevano "... dimostrato la praticità della system-penetration come strumento per valutare l'efficacia e l'adeguatezza delle difese per la sicurezza dei dati." Inoltre, un certo numero di analisti RAND affermarono che gli esercizi di penetration test offrivano diversi vantaggi che erano sufficienti per giustificarne l’uso.<ref name="Hunt 9">Hunt (2012), p. 9</ref>
 
Forse il principale esperto di computer penetration durante questi primi anni è stato James P. Anderson, che ha lavorato per NSA, RAND e altre agenzie governative per studiare la sicurezza dei sistemi informatici. All’inizio del 1971, la [[United States Air Force|U.S. Air Force]] assume la società privata di Anderson per studiare la sicurezza del suo sistema di time-sharing al Pentagono. Nel suo studio, Anderson ha delineato una serie di importanti fattori coinvolti nella computer penetration. Anderson ha descritto un attacco generale come sequenza dei seguenti passi:
 
# Trovare una vulnerabilità sfruttabile
Riga 43:
Nei test ''[[White Box]]'' sono invece fornite conoscenze dettagliate dell'infrastruttura da esaminare, spesso comprensive di schemi di rete, [[codice sorgente]] delle applicazioni e liste di indirizzi IP presenti nella rete. Esistono anche varianti a queste metodologie definibili ''[[Grey Box]]''.<ref name="SANS Institute">{{Cita web|url=http://www.sans.org/reading-room/whitepapers/bestprac/writing-penetration-testing-report-33343|titolo=Writing a Penetration Testing Report|accesso=10 dicembre 2016|data=6 aprile 2010|editore=[[SANS]]|formato=pdf|lingua=en}}</ref> I risultati dei penetration test possono valutare gli impatti di un attacco e suggerire contromisure per ridurre i rischi.<ref name="SANS Institute"/>
 
I processi di analisi che vengono condotti in un penetration test hanno diversi tempi di azione in cui sono alternate fasi manuali e fasi automatiche. Vengono acquisite inizialmente le informazioni principali sull'[[Architettura (computer)|architettura]] della piattaforma e sui servizi offerti. Dall'analisi di questi dati deriva la scelta di come condurre il passo successivo, consistente in un'enumerazione dei principali errori e problemi. Software automatizzati uniti all'esperienza manuale dell'analista permettono quindi di evidenziare tutte le possibili vulnerabilità, incluse quelle più recenti e alcune ancora non di [[pubblico dominio]]. I problemi riscontrati sono quindi manualmente verificati e sono prese le evidenze, o prove, che certificano l'esistenza delle problematiche stesse.
 
L'attività si conclude nello sviluppo della reportistica composta dal report di analisi sommaria dedicato al [[management]] o ''executive summary'', contenente l'analisi dell'impatto di rischio di quanto riscontrato e tempistiche per l'azione di rientro o mitigazione delle problematiche riscontrate, e dal report tecnico, contenente l'analisi dettagliata dei problemi e la soluzione tecnica. Il penetration test va effettuato su sistemi esposti su [[Internet]] e comunque sulle piattaforme sensibili collegate a grosse reti, prima di entrare in esercizio, per avere una prova pratica della sicurezza di ciò che si espone.
Riga 121:
 
Contestualmente il Red Teaming è un'attività svolta in una finestra temporale molto estesa (solitamente nell'ordine dei mesi) dove non è presente un vero e proprio perimetro di intervento. L'obiettivo è di penetrare all'interno dell'azienda per verificare l'efficacia dei sistemi di sicurezza, ma soprattutto i tempi di risposta del personale posto alla difesa dell'infrastruttura (blue team<ref>{{Cita web|url=https://csrc.nist.gov/glossary/term/blue_team|titolo=Blue Team}}</ref>).
 
== Differenze con il vulnerability assessment ==
Il penetration test e il vulnerability assessment sono due attività complementari nel campo della sicurezza informatica, ma con obiettivi e metodologie differenti.<ref>{{Cita web|lingua=it-IT|url=https://fdrk.it/vulnerability-assessment-nis-2/|titolo=Vulnerability Assessment come funziona e a cosa serve|data=2024-10-02|accesso=2025-05-22}}</ref>
 
Il vulnerability assessment si concentra sull'individuazione sistematica e automatizzata delle vulnerabilità presenti in un sistema, rete o applicazione. Questo processo produce un elenco dettagliato di punti deboli ordinati per livello di rischio, ma non include una verifica attiva della loro sfruttabilità.
 
Il penetration test, invece, mira a simulare un attacco informatico reale, cercando di sfruttare attivamente le vulnerabilità per valutare il reale impatto di una violazione. Questo tipo di test richiede competenze tecniche avanzate, è spesso svolto manualmente e può includere tecniche di social engineering.
 
== Strumenti utilizzati ==
Gli strumenti impiegati nei penetration test variano a seconda del contesto, ma tra i più comuni si trovano:
 
* **Metasploit Framework** – per la creazione e l'esecuzione di exploit;
* **Burp Suite** – per l'analisi e la manipolazione del traffico web;
* **Kali Linux** – distribuzione Linux con un'ampia suite di tool preinstallati;
* **Nmap** – per la scansione e l'enumerazione delle reti;
* **John the Ripper** – per il cracking di password.
 
La scelta degli strumenti dipende dalla natura del target e dagli obiettivi del test.
 
== Fonti ==
 
* [https://owasp.org/www-community/Vulnerability_Scanning OWASP – Vulnerability Scanning (EN)]
* [https://www.fdrk.it/vulnerability-assessment-nis-2/ Vulnerability Assessment – FDRK.it]
 
== Note ==
Riga 156 ⟶ 133:
* Russell, Deborah and G. T. Gangemi, Sr. (1991). [http://books.google.com/books?id=BtB1aBmLuLEC ''Computer Security Basics'']. [[O'Reilly Media]]
* Yost, Jeffrey R. (2007)."A History of Computer Security Standards," in ''The History of Information Security: A Comprehensive Handbook'', [[Elsevier]]
* Stephen Northcutt, Jerry Shenk, Dave Shackleford, Tim Rosenberg, Raul Siles, and Steve Mancini, giugno 2006, [https://www.sans.org/reading-room/whitepapers/analyst/penetration-testing-assessing-security-attackers-34635 Penetration Testing: Assessing Your Overall Security Before Attackers Do] {{Webarchive|url=https://web.archive.org/web/20161012223734/https://www.sans.org/reading-room/whitepapers/analyst/penetration-testing-assessing-security-attackers-34635 |datedata=12 ottobre 2016 }}, SANS
 
== Voci correlate ==
Estratto da "https://it.wikipedia.org/wiki/Penetration_test"