Cos'è un test di penetrazione? | Cos'è il test di penetrazione

I test di penetrazione coinvolgono hacker etici che dimensionano gli attacchi pianificati contro l'infrastruttura di sicurezza di un'azienda per dare la caccia alle vulnerabilità della sicurezza che devono essere riparate. I test di penetrazione fanno parte di una strategia di sicurezza olistica.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire i test di penetrazione (pen test)
  • Descrivere il processo di un pen test
  • Descrivere come vengono utilizzati i pen test per suggerire nuove funzionalità di sicurezza

Argomenti correlati

Sicurezza delle applicazioni Web

Cos'è TLS?

Attacco di interposizione

Attacco brute-force

Attacco di buffer overflow

Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è un test di penetrazione?

I test di penetrazione (o pen test) sono un esercizio di sicurezza in cui un esperto di sicurezza informatica tenta di trovare e sfruttare le vulnerabilità in un sistema informatico. Lo scopo di questo attacco simulato è identificare eventuali punti deboli nelle difese di un sistema che gli autori di attacchi potrebbero sfruttare.

È come una banca che assume qualcuno per travestirsi da ladro e cercare di entrare nel loro edificio e ottenere l'accesso al caveau. Se il "ladro" riesce ad accedere alla banca o al caveau, la banca otterrà informazioni preziose su come rafforzare le misure di sicurezza.

Perché i test di penetrazione sono importanti?

I test di penetrazione aiutano un'organizzazione a scoprire vulnerabilità e difetti nei propri sistemi che altrimenti non sarebbe stato possibile individuare. Questo può contribuire a mettere un freno agli attacchi prima che vengano sferrati, poiché le organizzazioni possono risolvere queste vulnerabilità una volta identificate.

Pen test e conformità

I test di penetrazione possono aiutare le organizzazioni a rispettare le normative sulla sicurezza e sulla privacy dei dati trovando modi in cui i dati sensibili potrebbero essere esposti. In questo modo, possono garantire la sicurezza e la riservatezza dei dati, evitando che altri possano accedere a dati sensibili a cui non dovrebbero essere in grado di accedere.

I test di penetrazione sono richiesti anche da alcune normative sui dati. Ad esempio, PCI DSS versione 4.0, sezione 11.4, richiede alle organizzazioni di utilizzare i test di penetrazione.

Migliora la sicurezza
Difenditi dalle tecniche di attacco "Top 10"
Ulteriori informazioni

Chi esegue i pen test?

È preferibile far eseguire un pen test da una persona con una conoscenza preliminare minima o nulla di come è protetto il sistema perché potrebbe essere in grado di esporre i punti ciechi non rilevati dagli sviluppatori che lo hanno creato. Per questo motivo, per eseguire i test vengono solitamente chiamati appaltatori esterni. Questi appaltatori vengono spesso definiti "hacker etici" poiché vengono assunti per violare un sistema con autorizzazione e allo scopo di aumentare la sicurezza.

Molti hacker etici sono sviluppatori esperti con titoli di studio avanzati e una certificazione per i pen test. Tuttavia, alcuni dei migliori hacker etici sono autodidatti. In effetti, alcuni sono hacker criminali "pentiti" che ora sfruttano l'esperienza che hanno maturato per contribuire a correggere le falle di sicurezza anziché sfruttarle. Il miglior candidato per eseguire un pen test può variare notevolmente a seconda dell'azienda di destinazione e del tipo di pen test che si desidera avviare.

Whitepaper
Un approccio strategico per PCI DSS 4.0
Leggi il whitepaper

Quali sono i tipi di pen test?

  • Pen test open-box: in un test open-box, all'hacker verranno fornite in anticipo alcune informazioni relative alle informazioni di sicurezza dell'azienda target.
  • Pen test closed-box: conosciuto anche come test "single-blind", si tratta di un test in cui all'hacker non vengono fornite informazioni di base a parte il nome dell'azienda di destinazione.
  • Pen test segreto: conosciuto anche come pen test "double-blind", si tratta di una situazione in cui quasi nessuno in azienda è a conoscenza del pen test, compresi i professionisti IT e della sicurezza che risponderanno all'attacco. Per i test segreti, è particolarmente importante che l'hacker conosca l'ambito e altri dettagli del test per iscritto in anticipo per evitare problemi con le forze dell'ordine.
  • Pen test esterno: in un test esterno, l'hacker etico si scontra con la tecnologia esterna dell'azienda, come il suo sito Web e i server di rete esterni. In alcuni casi, all'hacker potrebbe non essere nemmeno permesso di entrare nell'edificio dell'azienda. Questo può significare che l'attacco deve essere sferrato da una località remota o da un camion o un furgone parcheggiato nelle vicinanze.
  • Pen test interno: in un test interno, l'hacker etico esegue il test dalla rete interna dell'azienda. Questo tipo di test è utile per determinare quanti danni può causare un dipendente insoddisfatto dietro il firewall dell'azienda.

Come viene eseguito un pen test tipico?

I pen test iniziano con una fase di ricognizione, durante la quale un hacker etico trascorre del tempo a raccogliere dati e informazioni che utilizzerà per pianificare il proprio attacco simulato. Successivamente, l'obiettivo è quello di ottenere e mantenere l'accesso al sistema di destinazione, il che richiede una vasta serie di strumenti.

Gli strumenti di attacco includono software progettato per produrre tentativi di violazione della password con metodo forza bruta o SQL injection. Esiste anche hardware progettato specificamente per i pen test, come piccole scatole poco appariscenti che possono essere collegate a un computer sulla rete per fornire all'hacker l'accesso remoto alla rete interessata. Inoltre, un hacker etico può utilizzare tecniche di social engineering per trovare le vulnerabilità. Ad esempio, può inviare e-mail di phishing ai dipendenti dell'azienda o persino travestirsi da addetto alle consegne per ottenere l'accesso fisico all'edificio.

L'hacker conclude il test coprendo le sue tracce; questo implica la rimozione qualsiasi hardware integrato. Deve inoltre fare tutto il possibile per evitare il rilevamento e lasciare il sistema di destinazione esattamente come l'ha trovato.

Cosa accade dopo un pen test?

Dopo aver completato un pen test, l'hacker etico condividerà le proprie scoperte con il team di sicurezza dell'azienda di destinazione. Queste informazioni possono quindi essere utilizzate per implementare aggiornamenti di sicurezza al fine di correggere eventuali vulnerabilità scoperte durante il test.

Per le applicazioni Web, questi aggiornamenti possono includere la limitazione della frequenza, nuove regole WAF e mitigazione degli attacchi DDoS, nonché convalide e bonifica dei moduli più rigorose. Per le reti interne, tali aggiornamenti potrebbero includere un Secure Web Gateway o il passaggio a un modello di sicurezza Zero Trust. Se l'hacker etico ha utilizzato tattiche di social engineering per violare il sistema, l'azienda potrebbe prendere in considerazione la possibilità di istruire meglio i propri dipendenti o di esaminare e aggiornare i loro sistemi di controllo degli accessi per impedire lo spostamento laterale.

Cloudflare protegge le applicazioni, le reti e il personale delle aziende con una combinazione di soluzioni di sicurezza per le applicazioni Web e una piattaforma di sicurezza Zero Trust.

Introduzione

Informazioni sulla sicurezza delle applicazioni Web

Minacce comuni

Risorse VPN

Glossario della sicurezza

Navigazione nel Centro di apprendimento

© 2025 Cloudflare, Inc.Informativa sulla privacyCondizioni per l’utilizzoReport Problemi di sicurezzaAttendibilità e sicurezzaMarchio registrato