Lo spazio online continua a crescere rapidamente, aprendo maggiori opportunità per gli attacchi informatici all’interno di un sistema informatico, di una rete o di un’applicazione web. Per mitigare e prepararsi a tali rischi, i test di penetrazione sono un passaggio necessario per individuare le vulnerabilità della sicurezza che un utente malintenzionato potrebbe sfruttare.
Cos'è il test di penetrazione?
A test di penetrazione, o "pen test", è un test di sicurezza eseguito per simulare un attacco informatico in azione. UN attacco informatico potrebbe includere un tentativo di phishing o una violazione del sistema di sicurezza della rete. Esistono diversi tipi di test di penetrazione a disposizione di un'organizzazione a seconda dei controlli di sicurezza necessari. Il test può essere eseguito manualmente o con strumenti automatizzati attraverso la lente di una specifica linea d'azione o una metodologia di pen test.
Perché i test di penetrazione e chi è coinvolto?
I termini "hacking etico" e "test di penetrazione" sono talvolta usati in modo intercambiabile, ma c'è una differenza. L'hacking etico è una questione più ampia sicurezza informatica campo che include qualsiasi utilizzo di competenze di hacking per migliorare la sicurezza della rete. I test di penetrazione sono solo uno dei metodi utilizzati dagli hacker etici. Gli hacker etici possono anche fornire analisi del malware, valutazione del rischio e altri strumenti e tecniche di hacking per scoprire e correggere i punti deboli della sicurezza anziché causare danni.
IBM Costo di un rapporto sulla violazione dei dati Secondo il rapporto 2023, il costo medio globale di una violazione dei dati nel 2023 è pari a 4.45 milioni di dollari, con un aumento del 15% in 3 anni. Un modo per mitigare queste violazioni è eseguire test di penetrazione accurati e mirati.
Le aziende assumono pen tester per lanciare attacchi simulati contro le loro app, reti e altre risorse. Organizzando attacchi falsi, i penetration tester aiutano squadre di sicurezza scoprire vulnerabilità critiche della sicurezza e migliorare il livello di sicurezza generale. Questi attacchi vengono spesso eseguiti da team rossi o team di sicurezza offensivi. IL squadra rossa simula tattiche, tecniche e procedure (TTP) reali degli aggressori contro il sistema dell'organizzazione come modo per valutare il rischio per la sicurezza.
Esistono diverse metodologie di test di penetrazione da considerare quando si entra nel processo di test della penna. La scelta dell'organizzazione dipenderà dalla categoria dell'organizzazione target, dall'obiettivo del pen test e dall'ambito del test di sicurezza. Non esiste un approccio valido per tutti. È necessario che un'organizzazione comprenda i propri problemi di sicurezza e la propria politica di sicurezza affinché venga effettuata un'analisi corretta delle vulnerabilità prima del processo di pen test.
Guarda le demo dei test con penna di X-Force
Le 5 migliori metodologie di test di penetrazione
Uno dei primi passi nel processo di pen testing è decidere quale metodologia seguire.
Di seguito, approfondiremo cinque dei framework di penetration testing e delle metodologie di pen test più popolari per aiutare le parti interessate e le organizzazioni a scegliere il metodo migliore per le loro esigenze specifiche e garantire che copra tutte le aree richieste.
1. Manuale della metodologia di test della sicurezza open source
Il Manuale della metodologia di test di sicurezza open source (OSSTMM) è uno degli standard più popolari di test di penetrazione. Questa metodologia è sottoposta a revisione paritaria per i test di sicurezza ed è stata creata dall'Institute for Security and Open Methodologies (ISECOM).
Il metodo si basa su un approccio scientifico al pen testing con guide accessibili e adattabili per i tester. L'OSSTMM include caratteristiche chiave, come un focus operativo, test del canale, metriche e analisi della fiducia nella sua metodologia.
OSSTMM fornisce un framework per i test di penetrazione della rete e la valutazione della vulnerabilità per i professionisti del pen testing. Vuole essere un quadro di riferimento per i provider per individuare e risolvere le vulnerabilità, come dati sensibili e problemi relativi all'autenticazione.
2. Aprire Progetto di sicurezza dell'applicazione Web
OWASP, abbreviazione di Open Web Application Security Project, è un'organizzazione open source dedicata alla sicurezza delle applicazioni web.
L'obiettivo dell'organizzazione no-profit è quello di rendere tutto il suo materiale gratuito e facilmente accessibile per chiunque voglia migliorare la sicurezza della propria applicazione web. OWASP ha il suo Top 10 (il collegamento risiede all'esterno di ibm.com), che è un rapporto ben gestito che delinea le maggiori preoccupazioni e rischi per la sicurezza delle applicazioni web, come scripting cross-site, autenticazione non riuscita e protezione da firewall. OWASP utilizza l'elenco dei primi 10 come base per la sua OWASP Testing Guide.
La guida è divisa in tre parti: framework di test OWASP per lo sviluppo di applicazioni web, metodologia di test di applicazioni web e reporting. La metodologia dell'applicazione Web può essere utilizzata separatamente o come parte del framework di test Web per i test di penetrazione delle applicazioni Web, i test di penetrazione delle applicazioni mobili, i test di penetrazione delle API e i test di penetrazione dell'IoT.
3. Standard di esecuzione dei test di penetrazione
PTES, o Penetration Testing Execution Standard, è un metodo completo di penetration test.
PTES è stato progettato da un team di professionisti della sicurezza informatica ed è composto da sette sezioni principali che coprono tutti gli aspetti del pen testing. Lo scopo di PTES è quello di disporre di linee guida tecniche per delineare ciò che le organizzazioni dovrebbero aspettarsi da un test di penetrazione e guidarle durante tutto il processo, a partire dalla fase di pre-engagement.
Il PTES mira a costituire la base per i test di penetrazione e a fornire una metodologia standardizzata per i professionisti e le organizzazioni della sicurezza. La guida fornisce una serie di risorse, ad esempio le migliori pratiche in ogni fase del processo di test di penetrazione, dall'inizio alla fine. Alcune caratteristiche chiave di PTES sono lo sfruttamento e il post sfruttamento. Lo sfruttamento si riferisce al processo di accesso a un sistema attraverso tecniche di penetrazione come Ingegneria sociale e violazione delle password. Il post-sfruttamento avviene quando i dati vengono estratti da un sistema compromesso e l'accesso viene mantenuto.
4. Quadro di valutazione della sicurezza del sistema informativo
Information System Security Assessment Framework (ISSAF) è un framework di pen testing supportato dall'Information Systems Security Group (OISSG).
Questa metodologia non viene più mantenuta e probabilmente non è la migliore fonte per le informazioni più aggiornate. Tuttavia, uno dei suoi principali punti di forza è che collega le singole fasi del test della penna con strumenti specifici di test della penna. Questo tipo di formato può essere una buona base per creare una metodologia personalizzata.
5. Istituto Nazionale di Standard e Tecnologia
Il NIST, abbreviazione di National Institute of Standards and Technology, è un framework di sicurezza informatica che fornisce una serie di standard di pen test che il governo federale e le organizzazioni esterne devono seguire. Il NIST è un'agenzia del Dipartimento del Commercio degli Stati Uniti e dovrebbe essere considerato lo standard minimo da seguire.
I test di penetrazione NIST sono in linea con le linee guida inviate dal NIST. Per conformarsi a tali linee guida, le organizzazioni devono eseguire test di penetrazione seguendo una serie di linee guida predeterminate.
Fasi di test della penna
Imposta un ambito
Prima che inizi un pen test, il team di test e l’azienda stabiliscono l’ambito del test. L'ambito delinea quali sistemi verranno testati, quando avrà luogo il test e i metodi che i pen tester possono utilizzare. L'ambito determina anche la quantità di informazioni che i pen tester avranno in anticipo.
Inizia il test
Il passo successivo sarebbe testare il piano di scoping e valutare vulnerabilità e funzionalità. In questa fase è possibile eseguire la scansione della rete e delle vulnerabilità per comprendere meglio l'infrastruttura dell'organizzazione. È possibile eseguire test interni ed esterni a seconda delle esigenze dell'organizzazione. Esistono numerosi test che i pen tester possono eseguire, tra cui un test della scatola nera, un test della scatola bianca e un test della scatola grigia. Ciascuno fornisce diversi gradi di informazioni sul sistema di destinazione.
Una volta stabilita una panoramica della rete, i tester possono iniziare ad analizzare il sistema e le applicazioni nell'ambito indicato. In questa fase, i pen tester raccolgono quante più informazioni possibili per comprendere eventuali errori di configurazione.
Rapporto sui risultati
Il passo finale è il reporting e il debriefing. In questa fase, è importante sviluppare un rapporto sul test di penetrazione con tutti i risultati del pen test che delineano le vulnerabilità identificate. La relazione dovrebbe includere un piano di mitigazione e i rischi potenziali se la riparazione non viene effettuata.
Test della penna e IBM
Se provi a testare tutto, sprecherai tempo, budget e risorse. Utilizzando una piattaforma di comunicazione e collaborazione con dati storici, puoi centralizzare, gestire e dare priorità a reti, applicazioni, dispositivi e altre risorse ad alto rischio per ottimizzare il tuo programma di test di sicurezza. Il portale X-Force® Red consente a tutti coloro che sono coinvolti nella riparazione di visualizzare i risultati dei test immediatamente dopo la scoperta delle vulnerabilità e di pianificare i test di sicurezza a loro piacimento.
Esplora i servizi di test di penetrazione della rete di X-Force
questo articolo è stato utile?
SìNon
Altro da Trasformazione aziendale
Newsletter IBM
Ricevi le nostre newsletter e aggiornamenti sugli argomenti che forniscono la leadership di pensiero più recente e approfondimenti sulle tendenze emergenti.
Iscriviti ora
Altre newsletter
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.ibm.com/blog/pen-testing-methodology/
- :ha
- :È
- :non
- :Dove
- $ SU
- 1
- 10
- 15%
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- 35%
- 39
- 40
- 400
- 7
- 80
- 9
- 95%
- a
- Chi siamo
- accesso
- accessibile
- preciso
- Action
- aggiunto
- avanzamenti
- Pubblicità
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- agenzia
- avanti
- mira
- Allinea
- Tutti
- già
- anche
- amp
- an
- .
- analitica
- l'analisi
- ed
- in qualsiasi
- chiunque
- api
- Applicazioni
- Sviluppo di applicazioni
- sicurezza delle applicazioni
- applicazioni
- approccio
- applicazioni
- SONO
- aree
- articolo
- AS
- aspetti
- valutare
- valutazione
- Attività
- At
- attacchi
- tentativo
- Autenticazione
- autore
- Automatizzata
- disponibile
- media
- precedente
- Settore bancario
- basato
- Linea di base
- base
- BE
- dietro
- MIGLIORE
- best practice
- Meglio
- Maggiore
- Scatola nera
- Blog
- blog
- Blu
- Parte inferiore
- marche
- violazione
- violazioni
- Porta
- Rotto
- budget limitato.
- costruire
- affari
- donna d'affari
- ma
- pulsante
- by
- Materiale
- Ultra-Grande
- capitale
- Mercati capitali
- carbonio
- carta
- Carte
- attentamente
- trasporto
- CAT
- Categoria
- Causare
- centralizzare
- il cambiamento
- Modifiche
- canale
- dai un'occhiata
- Procedi all'acquisto
- scegliere
- cerchi
- CIS
- classe
- collaborazione
- colleghi
- colore
- arrivo
- Commercio
- Comunicazione
- Aziende
- azienda
- confrontare
- competitivo
- complessità
- conformità
- ottemperare
- globale
- Compromissione
- computer
- preoccupazioni
- Prendere in considerazione
- considerato
- Consumatori
- Contenitore
- continua
- continua
- continuamente
- contratto
- di controllo
- controlli
- comodità
- Costo
- contatore
- corso
- copertura
- copre
- screpolatura
- creato
- Creazione
- critico
- CSS
- costume
- cliente
- aspettative del cliente
- esperienza del cliente
- Fedeltà del cliente
- Clienti
- CX
- Attacco informatico
- attacchi informatici
- Cybersecurity
- dati
- violazione di dati
- la sicurezza dei dati
- Data
- debriefing
- Decidere
- decrescente
- dedicato
- Predefinito
- definizioni
- consegnare
- consegna
- Richiesta
- Demos
- Shirts Department
- dipartimenti
- dipendere
- Dipendente
- descrizione
- progettato
- determina
- sviluppare
- in via di sviluppo
- Mercato
- dispositivi
- differenza
- diverso
- scopri
- immersione
- Diviso
- do
- effettua
- fatto
- ogni
- facilmente
- bordo
- emergenti del mondo
- Abilita
- sforzarsi
- garantire
- entrare
- particolarmente
- sviluppate
- Etere (ETH)
- etico
- Anche
- eventi
- EVER
- tutti
- qualunque cosa
- Eccellenza
- esecuzione
- uscita
- attenderti
- le aspettative
- esperienza
- spiegando
- sfruttamento
- Esplorare
- esterno
- fabbrica
- fiera
- falso
- falso
- Caratteristiche
- Federale
- Governo federale
- campo
- Compila il
- finale
- finanziare
- finanziario
- servizi finanziari
- Trovare
- ricerca
- I risultati
- finire
- firewall
- Nome
- primi passi
- cinque
- Fissare
- Focus
- seguire
- i seguenti
- font
- Nel
- formato
- via
- essere trovato
- Fondazione
- Contesto
- quadri
- Gratis
- da
- function
- funzionalità
- futuro
- guadagnando
- raccolta
- generatore
- ottenere
- ottenere
- dato
- globali
- scopo
- buono
- merce
- la governance
- Enti Pubblici
- Griglia
- Gruppo
- Crescere
- guida
- guida
- linee guida
- Guide
- hacker
- pirateria informatica
- accadere
- nuocere
- Avere
- Titolo
- altezza
- Aiuto
- utile
- Alta
- alto rischio
- assumere
- storico
- olistica
- Come
- Tutorial
- Tuttavia
- HTTPS
- IBM
- ICO
- ICON
- identificato
- identificazione
- if
- Immagine
- subito
- Impact
- importante
- competenze
- miglioramento
- in
- disponibile
- includere
- inclusi
- Compreso
- Aumento
- incrementale
- Index
- individuale
- industria
- inflazione
- informazioni
- informazioni di sicurezza
- Sistemi di informazione
- Infrastruttura
- intuizioni
- Istituto
- interazioni
- interesse
- Tassi di interesse
- interno
- ai miglioramenti
- coinvolto
- IoT
- sicurezza
- IT
- SUO
- Gennaio
- jpg
- ad appena
- solo uno
- Le
- paesaggio
- grandi
- con i più recenti
- lanciare
- Leadership
- lente
- meno
- probabile
- linea
- LINK
- Collegamento
- Lista
- locale
- località
- più a lungo
- lealtà
- fatto
- Principale
- mantenere
- maggiore
- make
- il malware
- gestire
- gestione
- Manuale
- manualmente
- molti
- Rappresentanza
- mercato
- Mercati
- materiale
- Matters
- max-width
- Maggio..
- significava
- metodo
- metodologie
- Metodologia
- metodi
- Metrica
- forza
- milione
- verbale
- ordine
- verbale
- Ridurre la perdita dienergia con una
- attenuazione
- Mobile
- Scopri di più
- maggior parte
- Più popolare
- molti
- devono obbligatoriamente:
- il
- Navigazione
- necessaria
- di applicazione
- esigenze
- Rete
- Sicurezza di rete
- reti
- New
- Capodanno
- Newsletter
- GENERAZIONE
- nista
- no
- senza scopo di lucro
- Niente
- adesso
- verificarsi
- of
- MENO
- offensivo
- Office
- di frequente
- on
- ONE
- online
- aprire
- open source
- apertura
- operativa
- Operazioni
- Opportunità
- OTTIMIZZA
- ottimizzati
- ottimizzazione
- or
- organizzazione
- organizzazioni
- Altro
- nostro
- risultati
- contorno
- lineamenti
- delineando
- al di fuori
- ancora
- complessivo
- panoramica
- proprio
- proprietario
- ritmo
- pagina
- Dolore
- Punti di dolore
- parte
- Ricambi
- Password
- peer-reviewed
- penetrazione
- eseguire
- eseguita
- esecuzione
- Pharmaceutical
- phishing
- telefono
- PHP
- piano
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- plug-in
- punti
- politica
- Popolare
- Portale
- posizione
- possibile
- Post
- potenziale
- pratiche
- Preparare
- pressione
- primario
- Precedente
- Dare priorità
- procedure
- processi
- i processi
- appalti
- Prodotto
- sviluppo del prodotto
- Qualità del prodotto
- Prodotti
- Scelto dai professionisti
- Programma
- progetto
- fornire
- fornitori
- fornisce
- scopo
- ricerca
- qualità
- Domande
- gamma
- rapidamente
- piuttosto
- Lettura
- di rose
- tempo reale
- Rosso
- riduzione
- si riferisce
- rimanere
- bonifica
- rapporto
- Reportistica
- necessario
- richiede
- risiede
- risolvere
- Risorse
- di risposta
- conservare
- Rischio
- valutazione del rischio
- rischi
- robot
- Prenotazione sale
- Correre
- s
- vendite
- Risparmio
- scansione
- programma
- scientifico
- portata
- Scopo
- allo
- script
- sezioni
- Settori
- problemi di
- test di sicurezza
- delicata
- inviato
- SEO
- server
- servizio
- Servizi
- set
- Sette
- alcuni
- Corti
- dovrebbero
- mostrare attraverso le sue creazioni
- Spettacoli
- lato
- Signal
- site
- abilità
- piccole
- smart
- So
- Soluzione
- alcuni
- a volte
- Fonte
- lo spazio
- specifico
- spendere
- Sponsored
- piazze
- Stage
- messa in scena
- stakeholder
- Standard
- standardizzato
- standard
- inizia a
- Di partenza
- soggiorno
- step
- Passi
- Tornare al suo account
- Strategia
- punti di forza
- forte
- Studio
- sottoscrivi
- di successo
- tale
- supportato
- sorprendente
- Circostante
- SVG
- sistema
- SISTEMI DI TRATTAMENTO
- tattica
- Target
- team
- le squadre
- Consulenza
- tecniche
- tecnologico
- Tecnologia
- Tendono
- condizioni
- terziario
- test
- testato
- tester
- Testing
- test
- di
- Grazie
- che
- I
- le informazioni
- loro
- Li
- tema
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- think
- questo
- quelli
- pensiero
- leadership di pensiero
- tre
- Attraverso
- per tutto
- tempo
- Titolo
- a
- di oggi
- insieme
- pure
- strumenti
- top
- Top 10
- argomento
- Trasformazione
- tendenze
- Affidati ad
- prova
- turbolento
- Digitare
- Tipi di
- noi
- scoprire
- scoperto
- per
- capire
- e una comprensione reciproca
- imprevisto
- up-to-date
- Aggiornamenti
- URL
- USD
- uso
- utilizzato
- usa
- utilizzando
- varietà
- variando
- Visualizza
- visibile
- vulnerabilità
- vulnerabilità
- valutazione di vulnerabilità
- scansione delle vulnerabilità
- W
- vuole
- Prima
- Rifiuto
- Modo..
- we
- debolezza
- Tempo
- sito web
- applicazione web
- applicazioni web
- Che
- quando
- se
- quale
- while
- OMS
- perché
- volere
- con
- entro
- WordPress
- lavoratori
- lavoro
- degno
- sarebbe
- scrittore
- scritto
- XML
- anno
- anni
- Tu
- giovane
- Trasferimento da aeroporto a Sharm
- zefiro