Sicurezza  »  Articoli  »  Tecniche di sicurezza 

I Penetration Test sono metodologie di analisi che consentono di mettere alla prova la propria infrastruttura di rete contro gli attacchi informatici. Nel nostro articolo impareremo a pianificare questi test e a capire di cosa abbiamo bisogno per fornire un servizio professionale al nostro cliente finale o alla nostra rete.

Penetration Test, cosa sono?

Letteralmente tradotti i "test di penetrazione" lasciano ben poco spazio all'immaginazione e forniscono un quadro ben preciso dei loro possibili utilizzi in ambito aziendale e non. Un penetration test è una procedura spesso richiesta dalle grandi, medie e piccole aziende per testare fino in fondo il grado di sicurezza della propria rete. Essi, in media, vengono effettuati su base annuale e sono pianificati da personale esterno all'azienda. Questo per avere un quadro generale della sicurezza informatica aziendale chiaro e obiettivo.

Esistono molte società specializzate in questo tipo di attività, a livello mondiale. In Italia, purtroppo, le società in grado di fornire un alto grado di professionalità in queste delicate operazioni sono ancora troppo poche. A dire il vero il penetration test è un'operazione non molto richiesta e conosciuta nel nostro paese. Speriamo che in futuro le cose cambino e che una volta per tutte ci si accorga che la sicurezza informatica gioca un ruolo importante in tutte le società, grandi o piccole che esse siano. Altrimenti saremo costretti a darla vinta ai tanti script-kiddie presenti in giro sulle reti nostrane.

Valutazione della sicurezza

Prima di procedere con le vere e proprie attività di testing della sicurezza di una rete di computer è necessario pianificare quest'ultime. Prima di tutto c'è bisogno di una "valutazione della sicurezza". Ecco i vari tipi di valutazione che è necessario pianificare:

• Valutazione delle vulnerabilità interne e della penetrazione
• Valutazione della penetrazione esterna e delle vulnerabilità
• Valutazione della sicurezza fisica

Concentreremo, per semplicità, il nostro articolo sull'analisi di questi tre tipi di valutazione.

Un argomento che è necessario non tralasciare è il lato "legale" che un penetration test comporta. Di norma, le società che si occupano di questo genere di operazioni rilasciano ai propri clienti una dichiarazione da approvare. Il cliente è portato, cioè, ad "autorizzzare" la società e i suoi specialisti ad introdursi nei propri sistemi, cioè tramite lo sfruttamento di eventuali falle di sicurezza, vulnerabilità e configurazioni non perfette. È opportuno per entrambe le parti chiarire a priori questo tipo di regole. In questo senso, una valutazione della sicurezza "non compresa" può causare danni irreparabili.

Siamo ora pronti per affrontare, uno per uno, i vari tipi di valutazione della sicurezza.

Altri articoli

Altre guide

Altre newsletter