Il Penetration Test (PT), conosciuto anche come Pen-Test, è una simulazione di attacco su infrastruttura e applicazioni aziendali per verificare in dettaglio le vulnerabilità.

Il PT consiste di fatto in un processo operativo che simula l’attacco di un utente malintenzionato; si tratta di un’attività di verifica che viene eseguita esclusivamente da personale altamente qualificato (“ethical hacking”).

Il Penetration Test può essere condotto su una moltitudine di target (web, rete wireless, VOIP, scada etc.) e su una parte - o tutta - l’infrastruttura IT dell'azienda.

Gli Obiettivi di un Penetration Test

L’obiettivo della fase di Penetration Testing è quello di evidenziare le debolezze dei diversi sistemi IT, fornendo il maggior numero di informazioni sulle vulnerabilità che hanno consentito l’accesso non autorizzato.

I problemi di sicurezza riscontrati vengono quindi classificati assieme ad una valutazione del loro impatto nel sistema; il Penetration Test fornisce infatti una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei confronti delle vulnerabilità interne ed esterne al sistema.

Software Utili per Penetration Testing

Per l’esecuzione di attività di Penetration Test, i colleghi dell'area Cyber Security di Florence Consulting utilizzano tool, sia open source che commerciali, oltre a sviluppare codice ad-hoc per le specifiche esigenze del singolo cliente, andando quindi a simulare uno scenario più attinente possibile ad un reale attacco su una specifica infrastruttura informatica.

Indichiamo di seguito alcuni di questi strumenti utilizzati dal nostro team di specialisti.

  • Information Gathering: motori di ricerca tra cui Maltego, FOCA, DNSEnum, DNSMap, TheHarvester;
  • Scanning e Service Enumeration: Nmap, Hping, P0f, ARPing, DirBuster, Metasploit, etc;
  • Vulnerability Discovery: NeXpose, OpenVAS, WPScan, BurpSuite, SqlMap, Metasploit, Nikto, Beef, W3af scanner, etc;
  • Exploitation: Ettercap, Bettercap, SSLStrip, AirCrack, Metasploit, BurpSuite, etc;
  • Escalation Privileges: Metasploit, John the Ripper, Ophcrack.

Hai bisogno di un consiglio o di maggiori informazioni?

Dubbi, Domande, Curiosità, Maggiori Informazioni su quello che hai appena letto? Per maggiori informazioni sui sistemi di Vulnerability Assessment e Penetration Testing, visita la pagina dei servizi di Cyber Security.

Puoi contattare in ogni momento il team di CIO Italia scrivendo a cio@florence-consulting.it o chiamando il numero (055) 538-3250

Se hai una domanda veloce, puoi anche scriverla qui sotto e ti risponderemo subito!