Metodologie e standard dei test di penetrazione – Blog IBM

Lo spazio online continua a crescere rapidamente, aprendo maggiori opportunità per gli attacchi informatici all’interno di un sistema informatico, di una rete o di un’applicazione web. Per mitigare e prepararsi a tali rischi, i test di penetrazione sono un passaggio necessario per individuare le vulnerabilità della sicurezza che un utente malintenzionato potrebbe sfruttare.

Cos'è il test di penetrazione?

A test di penetrazione, o "pen test", è un test di sicurezza eseguito per simulare un attacco informatico in azione. UN attacco informatico potrebbe includere un tentativo di phishing o una violazione del sistema di sicurezza della rete. Esistono diversi tipi di test di penetrazione a disposizione di un'organizzazione a seconda dei controlli di sicurezza necessari. Il test può essere eseguito manualmente o con strumenti automatizzati attraverso la lente di una specifica linea d'azione o una metodologia di pen test.

Perché i test di penetrazione e chi è coinvolto?

I termini "hacking etico" e "test di penetrazione" sono talvolta usati in modo intercambiabile, ma c'è una differenza. L'hacking etico è una questione più ampia sicurezza informatica campo che include qualsiasi utilizzo di competenze di hacking per migliorare la sicurezza della rete. I test di penetrazione sono solo uno dei metodi utilizzati dagli hacker etici. Gli hacker etici possono anche fornire analisi del malware, valutazione del rischio e altri strumenti e tecniche di hacking per scoprire e correggere i punti deboli della sicurezza anziché causare danni.

IBM Costo di un rapporto sulla violazione dei dati Secondo il rapporto 2023, il costo medio globale di una violazione dei dati nel 2023 è pari a 4.45 milioni di dollari, con un aumento del 15% in 3 anni. Un modo per mitigare queste violazioni è eseguire test di penetrazione accurati e mirati.

Le aziende assumono pen tester per lanciare attacchi simulati contro le loro app, reti e altre risorse. Organizzando attacchi falsi, i penetration tester aiutano squadre di sicurezza scoprire vulnerabilità critiche della sicurezza e migliorare il livello di sicurezza generale. Questi attacchi vengono spesso eseguiti da team rossi o team di sicurezza offensivi. IL squadra rossa simula tattiche, tecniche e procedure (TTP) reali degli aggressori contro il sistema dell'organizzazione come modo per valutare il rischio per la sicurezza.

Esistono diverse metodologie di test di penetrazione da considerare quando si entra nel processo di test della penna. La scelta dell'organizzazione dipenderà dalla categoria dell'organizzazione target, dall'obiettivo del pen test e dall'ambito del test di sicurezza. Non esiste un approccio valido per tutti. È necessario che un'organizzazione comprenda i propri problemi di sicurezza e la propria politica di sicurezza affinché venga effettuata un'analisi corretta delle vulnerabilità prima del processo di pen test.

Guarda le demo dei test con penna di X-Force

Le 5 migliori metodologie di test di penetrazione

Uno dei primi passi nel processo di pen testing è decidere quale metodologia seguire.

Di seguito, approfondiremo cinque dei framework di penetration testing e delle metodologie di pen test più popolari per aiutare le parti interessate e le organizzazioni a scegliere il metodo migliore per le loro esigenze specifiche e garantire che copra tutte le aree richieste.

1. Manuale della metodologia di test della sicurezza open source

Il Manuale della metodologia di test di sicurezza open source (OSSTMM) è uno degli standard più popolari di test di penetrazione. Questa metodologia è sottoposta a revisione paritaria per i test di sicurezza ed è stata creata dall'Institute for Security and Open Methodologies (ISECOM).

Il metodo si basa su un approccio scientifico al pen testing con guide accessibili e adattabili per i tester. L'OSSTMM include caratteristiche chiave, come un focus operativo, test del canale, metriche e analisi della fiducia nella sua metodologia.

OSSTMM fornisce un framework per i test di penetrazione della rete e la valutazione della vulnerabilità per i professionisti del pen testing. Vuole essere un quadro di riferimento per i provider per individuare e risolvere le vulnerabilità, come dati sensibili e problemi relativi all'autenticazione.

2. Aprire Progetto di sicurezza dell'applicazione Web

OWASP, abbreviazione di Open Web Application Security Project, è un'organizzazione open source dedicata alla sicurezza delle applicazioni web.

L'obiettivo dell'organizzazione no-profit è quello di rendere tutto il suo materiale gratuito e facilmente accessibile per chiunque voglia migliorare la sicurezza della propria applicazione web. OWASP ha il suo Top 10 (il collegamento risiede all'esterno di ibm.com), che è un rapporto ben gestito che delinea le maggiori preoccupazioni e rischi per la sicurezza delle applicazioni web, come scripting cross-site, autenticazione non riuscita e protezione da firewall. OWASP utilizza l'elenco dei primi 10 come base per la sua OWASP Testing Guide. 

La guida è divisa in tre parti: framework di test OWASP per lo sviluppo di applicazioni web, metodologia di test di applicazioni web e reporting. La metodologia dell'applicazione Web può essere utilizzata separatamente o come parte del framework di test Web per i test di penetrazione delle applicazioni Web, i test di penetrazione delle applicazioni mobili, i test di penetrazione delle API e i test di penetrazione dell'IoT.

3. Standard di esecuzione dei test di penetrazione

PTES, o Penetration Testing Execution Standard, è un metodo completo di penetration test.

PTES è stato progettato da un team di professionisti della sicurezza informatica ed è composto da sette sezioni principali che coprono tutti gli aspetti del pen testing. Lo scopo di PTES è quello di disporre di linee guida tecniche per delineare ciò che le organizzazioni dovrebbero aspettarsi da un test di penetrazione e guidarle durante tutto il processo, a partire dalla fase di pre-engagement.

Il PTES mira a costituire la base per i test di penetrazione e a fornire una metodologia standardizzata per i professionisti e le organizzazioni della sicurezza. La guida fornisce una serie di risorse, ad esempio le migliori pratiche in ogni fase del processo di test di penetrazione, dall'inizio alla fine. Alcune caratteristiche chiave di PTES sono lo sfruttamento e il post sfruttamento. Lo sfruttamento si riferisce al processo di accesso a un sistema attraverso tecniche di penetrazione come Ingegneria sociale e violazione delle password. Il post-sfruttamento avviene quando i dati vengono estratti da un sistema compromesso e l'accesso viene mantenuto.

4. Quadro di valutazione della sicurezza del sistema informativo

Information System Security Assessment Framework (ISSAF) è un framework di pen testing supportato dall'Information Systems Security Group (OISSG).

Questa metodologia non viene più mantenuta e probabilmente non è la migliore fonte per le informazioni più aggiornate. Tuttavia, uno dei suoi principali punti di forza è che collega le singole fasi del test della penna con strumenti specifici di test della penna. Questo tipo di formato può essere una buona base per creare una metodologia personalizzata.

5. Istituto Nazionale di Standard e Tecnologia  

Il NIST, abbreviazione di National Institute of Standards and Technology, è un framework di sicurezza informatica che fornisce una serie di standard di pen test che il governo federale e le organizzazioni esterne devono seguire. Il NIST è un'agenzia del Dipartimento del Commercio degli Stati Uniti e dovrebbe essere considerato lo standard minimo da seguire.

I test di penetrazione NIST sono in linea con le linee guida inviate dal NIST. Per conformarsi a tali linee guida, le organizzazioni devono eseguire test di penetrazione seguendo una serie di linee guida predeterminate.

Fasi di test della penna

Imposta un ambito

Prima che inizi un pen test, il team di test e l’azienda stabiliscono l’ambito del test. L'ambito delinea quali sistemi verranno testati, quando avrà luogo il test e i metodi che i pen tester possono utilizzare. L'ambito determina anche la quantità di informazioni che i pen tester avranno in anticipo.

Inizia il test

Il passo successivo sarebbe testare il piano di scoping e valutare vulnerabilità e funzionalità. In questa fase è possibile eseguire la scansione della rete e delle vulnerabilità per comprendere meglio l'infrastruttura dell'organizzazione. È possibile eseguire test interni ed esterni a seconda delle esigenze dell'organizzazione. Esistono numerosi test che i pen tester possono eseguire, tra cui un test della scatola nera, un test della scatola bianca e un test della scatola grigia. Ciascuno fornisce diversi gradi di informazioni sul sistema di destinazione.

Una volta stabilita una panoramica della rete, i tester possono iniziare ad analizzare il sistema e le applicazioni nell'ambito indicato. In questa fase, i pen tester raccolgono quante più informazioni possibili per comprendere eventuali errori di configurazione.

Rapporto sui risultati

Il passo finale è il reporting e il debriefing. In questa fase, è importante sviluppare un rapporto sul test di penetrazione con tutti i risultati del pen test che delineano le vulnerabilità identificate. La relazione dovrebbe includere un piano di mitigazione e i rischi potenziali se la riparazione non viene effettuata.

Test della penna e IBM

Se provi a testare tutto, sprecherai tempo, budget e risorse. Utilizzando una piattaforma di comunicazione e collaborazione con dati storici, puoi centralizzare, gestire e dare priorità a reti, applicazioni, dispositivi e altre risorse ad alto rischio per ottimizzare il tuo programma di test di sicurezza. Il portale X-Force® Red consente a tutti coloro che sono coinvolti nella riparazione di visualizzare i risultati dei test immediatamente dopo la scoperta delle vulnerabilità e di pianificare i test di sicurezza a loro piacimento.

Esplora i servizi di test di penetrazione della rete di X-Force