Il Penetration Test è appunto un test della sicurezza dell’infrastruttura IT condotto da un team di specialisti, detti ethical hacker, che evidenzia le criticità del sistema e verifica l’entità dell’impatto di un attacco reale.
A cosa serve il Penetration Test?
Attraverso il servizio di Penetration Test identifichiamo e classifichiamo le vulnerabilità dell’infrastruttura IT aziendale, l’adeguatezza delle policies di sicurezza e il loro effettivo rispetto.
Come si svolge il Penetration Test?
Eseguiamo il Penetration Test sulla tua infrastruttura IT avvalendoci di metodologie consolidate e riconosciute a livello internazionale (OSSTMM, OWASP, ISO/IEC 15408, ITSEC, TCSEC) e conformi ai più recenti standard internazionali (ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC 27005:2008, ITIL, COBIT, NIST Best Practices).
Il Penetration Test sarà eseguito da un nostro team di specialisti in base alle specifiche esigenze della tua azienda e delle specificità dell’infrastruttura IT. Le modalità di esecuzione sono due:
- White-box: nel Penetration Test in modalità White Box il team IT Impresa, che ricopre il ruolo di tester, riceverà tutte le informazioni riguardanti l’infrastruttura IT in esame, quindi su software, hardware, servizi attivi e quelli in uso in quel preciso momento.
Rispetto alla modalità Black Box, in questo modo si riesce a ottenere una maggiore precisione del test, in quanto durante la simulazione dell’attacco, il tecnico saprà già con certezza i punti sui quali concentrarsi e restituire un report accurato. Tutto questo fa sì, inoltre, che i tempi di esecuzione del White Box Penetration Test siano ridotti, così come il costo dell’operazione contenuto.
- Black-box: il nostro team di specialisti esegue il Penetration Test in autonomia, senza essere a conoscenza dei dettagli del target. Questa modalità d’esecuzione avvicina nettamente il Black Box Penetration Test a un vero e proprio attacco all’infrastruttura proveniente dall’esterno. Il tester non avrà a disposizione alcuna informazione preventiva dell’infrastruttura IT e, di conseguenza, dovrà impegnarsi a studiarla approfonditamente per riuscire a scovarne i punti deboli. I dati restituiti dal report saranno il risultato della simulazione di un effettivo attacco, tuttavia, proprio per il fatto che il tester non ha studiato preventivamente il sistema, le criticità dell’infrastruttura IT potrebbero non essere del tutto evidenziate. I tempi d’esecuzione e costi sono maggiori rispetto alla modalità White Box.
I Report del Penetration Test
Alla conclusione del Penetration Test ti saranno restituiti due diversi report:
- Executive Summary: report destinato al manager decisore che contiene l’elenco delle attività consigliate per aumentare il livello di protezione dell’infrastruttura IT aziendale.
- Technical Report: report tecnico dettagliato dedicato ai tecnici che dovranno materialmente occuparsi di eseguire gli upgrade dell’infrastruttura.
Penetration test automatizzato
Consigliamo soluzioni di penetration test automatizzato per poter ridurre il rischio cyber in maniera costante nel tempo.
Non hai ancora messo alla prova la tua infrastruttura IT contro le minacce di un attacco? Contattaci e pianifica insieme a IT Impresa il Penetration Test più adatto per la tua infrastruttura!
