Penetration Test

Testa la sicurezza dei tuoi sistemi aziendali
Contattaci

Il penetration test ha l'obiettivo di individuare il maggior numero di vulnerabilità esistenti sulle infrastrutture e i sistemi oggetto di analisi. Agiamo beneath the surface, non limitandoci a scansionare le vulnerabilità note, ma verificando criticità non rilevabili mediante scansioni automatiche. Si tratta di un'attività Ethical Hacking, dove si simula un vero e proprio attacco informatico, andando a testare tutti i sistemi del perimetro definito.

L'attuazione di un penetration test richiede un'azione coordinata e trasversale: ogni funzionalità, dispositivo o endpoint facente parte del perimetro di test viene manualmente analizzata nel dettaglio alla ricerca di vulnerabilità. L'esperienza e la capacità del team di pen test permettono di ottenere risultati irraggiungibili utilizzando i tool disponibili sul mercato.

Come funzionano i Penetration Test


Il nostro team di esperti esegue il penetration testing nel rispetto degli standard OWASP (The Open Web Application Security Project), progetto open-source che ha standardizzato le linee guida, gli strumenti e le metodologie necessari per migliorare la sicurezza delle applicazioni. Le norme OWASP rappresentano un punto di riferimento nel mondo della sicurezza informatica, con procedimenti efficaci dal punto di vista dell'individuazione, valutazione e categorizzazione delle vulnerabilità.
Una volta conclusi i test, viene dato un punteggio associato al rischio di attacchi informatici. Il calcolo del rischio viene effettuato usando il sistema CVSS (Common Vulnerability Scoring System). Il rischio associato ad una vulnerabilità è calcolato sulla base dell'impatto che avrebbe nell'ipotesi in cui venga sfruttata da un attaccante, tenendo conto anche della difficoltà necessaria per sfruttarla.

Metodologie di Pen Test

Esistono tre modalità di esecuzione per questa tipologia di test:

Black Box o Zero Knowledge

Come dice il nome stesso, in questa metodologia non si ha alcuna conoscenza del sistema target e si simula un reale attacco esterno. Ha l'intento di identificare quali siano le reali possibilità per un'attaccante di violare il target in questione. In questo caso il committente non condivide con il nostro team nessun dettaglio riguardo ai componenti in perimetro.

Quando è consigliata?

Dato che è necessario molto tempo per la profilazione e la raccolta di informazioni, questa modalità è consigliata quando c'è un concreto dubbio circa la sicurezza, ma non si sa identificarne l'origine e la finestra temporale è sufficientemente estesa.

Grey Box o Partial Knowledge

Una via di mezzo tra Black Box e White Box. In questo caso si ha una conoscenza parziale del target e delle tecnologie coinvolte. Si possono conoscere in maniera più o meno dettagliata le funzionalità da testare, le tecnologie coinvolte e le credenziali di accesso. La modalità Grey Box è quella più comune perché permette di ottenere un buon risultato riducendo le tempistiche rispetto ad un test Black Box.

White Box o Full Knowledge

Esattamente l'opposto della modalità Black Box, nella White Box il committente condivide tutta la documentazione dettagliata della piattaforma e delle funzionalità da testare, insieme a esempi di casi d'uso, il codice sorgente e altre informazioni utili ad avere una conoscenza completa dell'infrastruttura.

Quando è consigliata?

Questa modalità è consigliata per le fasi iniziali, quindi di sviluppo, di un nuovo applicativo, col fine di mettere a punto, sin da subito, un sistema di sicurezza efficiente oppure successivamente ad un'analisi grey/black box.

Pensi che la sicurezza della tua azienda sia a rischio.
Vuoi verificare che tutti i sistemi siano sicuri?

Prenota una call con il nostro team e richiedi una consulenza su misura per il tuo business.

Prenota una call
profile image
con Pierdomenico Bodda

Co-Founder e Co-CEO

Tipologie di Penetration Test

I Penetration test si differenziano in base alla tipologia di sistema target dell'analisi. Il team di Soter è specializzato nell'attuazione di diverse tipologie di test, in base alle esigenze aziendali.

Web application
penetration test

Per testare la sicurezza di un'applicazione web (sito o API applicative).

Scopri di più
Network penetration test

Per valutare il livello di sicurezza di una rete e del perimetro esposto in internet.

Scopri di più
Source code analysis

Per individuare vulnerabilità all'interno del codice sorgente di un software.

Scopri di più
Mobile application penetration test

Per indagare la sicurezza di applicazioni iOS o Android e, di solito, le relative API.

Scopri di più
Wifi penetration test

Per stabilire la sicurezza delle reti wireless messe a disposizione dall'azienda.

Scopri di più
IoT penetration
test

Per testare la sicurezza le eventuali vulnerabilità di uno o più dispositivi IoT.

Scopri di più

Come si svolge un Penetration Test?

  1. Pre-ingaggio

    In questa fase iniziale il team Soter supporta il cliente a definire quale servizio scegliere e il perimetro dell'intervento, tenendo conto delle esigenze e dell'obiettivo da raggiungere.

  2. Proposta

    Dopo un'attenta valutazione viene proposta una stima di giornate necessarie per effettuare il test e redigere il report. Insieme alla stima dei giorni sarà fornito il prezzo relativo all'attività.

  3. Accettazione e azioni preliminari

    Accettata la proposta viene fissata la data di inizio. Quindi vengono forniti ulteriori dettagli come l'indirizzo IP di provenienza e tutte le informazioni utili per eseguire il test, come eventuali credenziali e/o limitazioni del test.

  4. Attività di testing

    Il penetration test ha quindi inizio nella data concordata. Se richiesto, i test giornalieri saranno preceduti da una mail formale di inizio attività e una email di fine attività. Le vulnerabilità considerate critiche verranno comunicate prima della ricezione del report finale, in modo da favorire un immediato fix.

  5. Consegna del report

    Il report che verrà consegnato contiene descrizioni dettagliate delle vulnerabilità in modo che siano facilmente riproducibili dal reparto tecnico, corredate da suggerimenti utili per risolvere le problematiche identificate.

Soter: il tuo partner per la cybersecurity


Affidarsi a dei professionisti per la sicurezza informatica della propria azienda è fondamentale: il nostro team vanta un'esperienza pluriennale nell'esecuzione di penetration test. La nostra specializzazione è supportata dalle numerose certificazioni riconosciute a livello aziendale. Parla con un nostro esperto, scopri quale soluzione fa al caso tuo e valutiamo insieme la tua situazione.

Richiedi una consulenza

Vuoi prevenire attacchi informatici nella tua azienda e garantire un'infrastruttura protetta ai tuoi clienti? Contattaci per valutare la sicurezza dei sistemi informatici del tuo business.