pentesting

Pentesting - Test di intrusione avanzati

Analizzare le minacce cibernetiche materializzate dai rischi cibernetici

Contatto
Obiettivi del pentesting

Obiettivi del pentesting

Il test d'intrusione o pentesting consiste in una prova di sicurezza offensiva che simula un attacco cibernetico reale in un ambiente controllato. L'obiettivo è identificare le debolezze che potrebbero essere utilizzate da un attaccante e completare, così, minacce tipo furto di informazioni, accesso indebito, provocare caduta di servizi, installazione di malware, eccetera.

Il pentesting è la disciplina che include questo tipo di esercizio. Lo staff di Cibersicurezza si occupa dell'esecuzione del pentesting con i parametri accordati, limiti, obiettivi, modalità e profondità necessaria.

Modalità di Pentest

Scatola nera pentesting

Scatola nera

Negli esercizi di scatola nera si parte dalla mancata conoscenza delle infrastrutture del cliente, lo staff non ha alcuna informazione previa in merito ad attivi o utenti.

Scatola bianca penetration testing

Scatola bianca

In questa modalità, si dispone di informazioni dettagliate delle tecnologie, codice fonte, account utente, mappe di rete, architettura, etc, previamente all'inizio del lavoro.

Scatola grigia penetration testing

Scatola grigia

In un test di intrusione di scatola grigia, lo staff incaricato dell'esecuzione dispone di informazioni parziali circa l'obiettivo, account legittimi di utenti, informazioni delle tecnologie da valutare, inventario di IP, domini o altre informazioni.

Prospettiva del Pentest

  • Interni

    I test di intrusione interni si sviluppano dalla prospettiva di un attaccante con accesso alla rete interna dell'azienda con cavi o wireless, inclusi gli accessi alla rete interna remoti VPN.

  • Perimetro

    Il perimetro dell'azienda comprende tutti gli attivi accessibili tramite internet, incluse IP pubbliche, pagine web, domini e qualsiasi servizio esposto.

Prospettiva del Pentest

Metodologia del test di intrusione

  • Riconoscimento

    Fase iniziale in cui si ottengono il maggior numero di informazioni possibile facendo uso di diverse tecniche.

  • Identificazione

    L'identificazione si concentra sull'analisi delle informazioni raccolte in una fase anteriore, così come sulla scoperta delle debolezze.

  • Sfruttamento

    Nel lavoro di sfruttamento, si valuta la vulnerabilità identificata, con il riconoscimento dell'accesso ai sistemi che saranno successivamente utilizzati per obiettivi di post-sfruttamento.

  • Post-sfruttamento

    In questa fase, possono essere definiti diversi obiettivi: persistenza, movimento laterale o filtrazione di informazioni sono alcuni esempi.

  • Report di Pentest

    I report contengono informazioni relative a com'è stato svolto il test di intrusione, ambito del lavoro, debolezze trovate, evidenze e raccomandazioni di sicurezza per i dipartimenti incaricati di trovare le contromisure.

Profondità del Pentest

Profondità del Pentest

  • Automatizzato

    Test di intrusione interno con l’aiuto di tecnologia che consenta di ottenere una visione delle vulnerabilità più rilevanti ed una mappa delle minacce. Questo lavoro si completa con lo sfruttamento manuale e da supporto a esercizi di intrusione esterni.

  • In profondità

    Test di intrusione realizzato manualmente da pentester esperti e familiarizzati con le tattiche e procedimenti abitualmente utilizzati dai ciber attaccanti.

  • Ibrido

    I pentesting ibridi combinano le proprietà anteriori in un servizio periodico e continuativo. Gli obiettivi si definiscono e valutano congiuntamente tra lo staff di pentesting e il cliente.

Domande frequenti sul pentesting

Cos’è un servizio di penetration test?

I nostri penetration test sono revisioni tecniche di sicurezza dove vengono analizzati uno o più asset, dall’esterno o dall’interno della rete aziendale. L’obiettivo è identificare i punti deboli che possono consentire di raggiungere gli obiettivi predefiniti, alcuni dei quali possono essere:

  • verifica dell’efficacia delle misure di sicurezza a difesa della rete aziendale
  • identificazione e successivo exploit delle vulnerabilità, per una valutazione oggettiva della sicurezza
  • identificazione di errori di configurazione o mancanza di controlli di sicurezza che permettano l’elevazione di privilegi dell’utente utilizzato per i test.
  • Compromissione di sistemi obiettivo per attività di post exploit, come ad esempio: persistenza, movimento laterale, manomissione log, ecc.

I test di penetrazione hanno una portata definita, così come la dedicazione di tempo necessario alla esecuzione dei test e l’elaborazione del documento dei risultati.

Il risultato di un test di penetrazione è un rapporto tecnico che contiene le evidenze dei problemi di sicurezza identificati, e le nostre raccomandazioni per la mitigazione e la correzione delle stesse.

Che tipi di pentest esistono?

Gli esercizi di pentest possono essere classificati nei seguenti tre tipi:

  • Black box pentest: questo tipo di esercizio inizia con una mancanza totale di informazioni riguardanti l’infrastruttura o l’asset da analizzare. Il team non dispone di alcun tipo di informazione sulle tecnologie utilizzate, sul codice sorgente delle applicazioni, sulle mappe di rete né sugli utenti.
  • White box pentest: Il team ha a sua disposizione informazioni dettagliate sull’asset obiettivo, messe a disposizione dai suoi operatori o utenti. Le informazioni che possono essere condivise possono essere ad esempio: le tecnologie utilizzate dall’azienda, il codice sorgente delle applicazioni, gli account aziendali degli utenti, le mappe di rete o l’architettura aziendale.
  • Gray box pentest: tali esercizi si basano sulla fornitura di informazioni parziali sul target, come account aziendali di utenti legittimi, informazioni parziali sulle tecnologie utilizzate, inventari IP dell’azienda, informazioni di dominio o altre informazioni utili per l’analisi.

A parte di queste tre tipologie, i pentest possono avere diverse prospettive:

  • Pentest interni: vengono eseguiti dal punto di vista di un attaccante con accesso alla rete interna cablata o wireless dell’azienda, includendo gli accessi VPN o di desktop remoto.
  • Pentest esterno: La superfice di attacco per questi test include tutto il perimetro aziendale esposto a Internet: IP pubblici, siti Web, DNS e tutti i servizi esposti a cui un utente malintenzionato potrebbe accedere.

Quali sono le tecnologie più avanzate per il support alla esecuzione dei pentest?

È comune che tra gli strumenti di un pentester ci sia Kali Linux, una distribuzione di Linux sviluppata specificamente per eseguire questo tipo di attività, e che già include molti strumenti per pentest.

A seconda della fase, dell’obiettivo o del tipo di test di intrusione, possiamo avvalerci di strumenti come i seguenti:

  • Identificazione di segmenti di rete associati all’organizzazione: strumenti sviluppati da Tarlogic per l’analisi dei RIR (RIPE NCC, ARIN, APNIC, AFRINIC, LACNIC).
  • Ricognizione dell’infrastruttura: enumerazione e riconoscimento
  • Strumenti di bruteforcing dei sottodomini: shuffledns, puredns
  • Identificazione di porte e servizi: nmap, masscan, naabu
  • Riconoscimento delle applicazioni web: Aquatone, httpx, WaybackMachine, Waybackurls, gau
  • Identificazione delle tecnologie web: wappalyzergo
  • Analisi delle vulnerabilità delle applicazioni web: Suite Burp, OWASP ZAP, Nuclei, w3af, Acunetix, Nikto
  • Scansione per identificare vulnerabilità di autenticazione/autorizzazione: Authorize (estensione Burp)
  • Strumenti di interazione out-of-band: BurpCollaborator, interactsh
  • Rilevamento WAF/Analisi bypass WAF: wafw00f, cloudfail, hakoriginfinder
  • Analisi dei metadati dei documenti: FOCA, Exiftool, Scanner Exiftool
  • Scoperta di risorse web: gobuster, dirbuster, wfuzz
  • Strumenti per l’analisi della sicurezza dei CMS: CMSMap, WPScan
  • Scansione automatica delle vulnerabilità di SQL Injection: sqlmap, sqlninja
  • Scansione della vulnerabilità XSS: XSSer
  • Verifica delle vulnerabilità DoS nei server Web: Slowloris, SlowHTTPTest
  • Scansione di vulnerabilità: Nessus
  • Exploit delle vulnerabilità: Metasploit
  • Cracking delle credenziali: hashcat
  • Attacchi di password-spray: Hydra

Strumenti di pentesting specifici per Windows:

  • Sysinternals Suite
  • PowerView
  • PowerUP
  • Get-GPPPassword
  • Bloodhound
  • WinPeas
  • CrackMapExec
  • Responder
  • Impacket
  • Kerbrute
  • Rubeus
  • Mimikatz
  • Network Monitor
  • API Monitor

Strumenti di Pentesting specifici per Linux:

  • LinPeas
  • Lynis
  • Impacket
  • LinuxSmartEnumeration
  • py
  • Sudo Killer

Analisi delle comunicazioni e attacchi di rete:

  • Wireshark
  • Yersinia
  • Vlan_Hopper
  • Netdiscover
  • Scapy

Analisi della sicurezza in ambienti cloud:

  • Azure: ROADtools, Stormspotter, microBurst, adconnectdump, scoutite, API e strumenti della console di comando di Azure.
  • AWS: strumenti SkyArk, BucketFinder, Boto3, Cloudspaining, Pacu, enumerate-iam, aws_consoler e AWS CLI
  • Piattaforma Google Cloud: ScoutSuite, GCP IAM Collector, GCP Firewall Enum, GCPBucketBrute, Hayat

Quanto costa un pentest?

Il costo di un test di intrusione è variabile e viene calcolato in base all’obiettivo, al volume di risorse da analizzare, alla complessità del test, all’approccio richiesto e al fatto che si svolga principalmente in modalità white box o black box. Una fascia di prezzo indicativa potrebbe variare da 4.500 euro per un test di intrusione limitato a un numero ridotto di asset, a 30.000 euro per un test di intrusione con obiettivi molto più ampi. Il prezzo è anche influenzato dal fatto che il lavoro sia eseguito una tantum o che sia richiesto un servizio continuativo.

Altre caratteristiche ed esigenze particolari richiedono uno studio preliminare congiunto con il cliente per definire meglio l’ambito e gli obiettivi del lavoro, pertanto vi consigliamo di contattarci affinché i nostri specialisti possano consigliarvi l’approccio migliore per realizzare il lavoro e raggiungere i vostri obiettivi.