![\"I](\"https:\/\/www.m-q.ch\/wp-content\/uploads\/2021\/02\/Penetrationstests-decken-IT-Sicherheitsluecken-rechtzeitig-auf.jpg\")
<\/p>\n<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
C<\/strong><\/em>ybersecurity e sicurezza informatica continuano ad essere tra i temi digitali pi\u00f9 importanti nel 2016, e giustamente, come mostra un recente sondaggio dell'associazione di settore Bitkom (www. bitkom.org). Pi\u00f9 di due terzi delle aziende industriali intervistate hanno dichiarato di essere state vittime di furto di dati, spionaggio industriale o sabotaggio negli ultimi due anni.<\/p>\n <\/p>\n Ma quanto \u00e8 vulnerabile la vostra azienda? Per valutarlo realisticamente e per poter prendere le contromisure in tempo utile, \u00e8 consigliabile effettuare un test di penetrazione. Simile a un'esercitazione antincendio, questa simula un'emergenza, in questo caso un attacco ai dati e ai sistemi informatici dell'azienda. L'obiettivo \u00e8 quello di identificare preventivamente le vulnerabilit\u00e0 nei sistemi informatici, nel software o nella loro configurazione. In caso di un attacco effettivo, queste vulnerabilit\u00e0 potrebbero essere sfruttate dagli hacker per accedere ai sistemi, ottenere informazioni sensibili o limitare la disponibilit\u00e0 di sistemi e applicazioni.<\/p>\n L'emergenza \u00e8 simulata<\/strong><\/p>\n <\/p>\n Di regola, i fornitori di servizi esterni specializzati in test di sicurezza sono incaricati dell'esecuzione professionale di un test di penetrazione basato su scenari realistici. La loro procedura segue un certo schema, proprio come quella dei veri aggressori: all'inizio, le informazioni vengono raccolte valutando le informazioni pubblicamente disponibili sui sistemi bersaglio, ad esempio dalle banche dati DNS e WHOIS e dalle tecniche di hacking di Google, cos\u00ec come dallo sniffing del traffico di rete. I Portscan sono quindi utilizzati per identificare le porte TCP e UDP aperte. Le impronte digitali dei banner e del software possono essere utilizzate per determinare quale sistema operativo e quali versioni di software sono utilizzate nell'azienda. I servizi di rete e le versioni del sistema operativo identificati in questo modo sono poi controllati per le vulnerabilit\u00e0 conosciute utilizzando scanner di vulnerabilit\u00e0 automatizzati. I risultati di queste scansioni sono poi verificati da controlli manuali - per eliminare i falsi positivi, ma anche per identificare possibili vulnerabilit\u00e0 aggiuntive.<\/p>\n Che cosa bisogna prendere in considerazione quando si commissiona a un fornitore di servizi esterno un test di penetrazione?<\/strong><\/p>\n <\/p>\n Prima di tutto, il contenuto e gli obiettivi del test dovrebbero essere specificati nel modo pi\u00f9 concreto possibile. Tali specifiche potrebbero essere:<\/p>\n Identificare e minimizzare i rischi<\/strong><\/p>\n L'ultimo punto chiarisce che i test di penetrazione sono sempre associati a dei rischi. In pratica, gli attacchi denial-of-service vengono eseguiti solo se il cliente lo richiede esplicitamente. Ma anche senza questi attacchi ad alto rischio, un test di penetrazione pu\u00f2 portare alla perdita di disponibilit\u00e0 del sistema se, per esempio, il sistema colpito deve prima essere riavviato manualmente da un amministratore locale dopo un crash. Un'altra conseguenza indesiderata di un test di penetrazione pu\u00f2 essere la perdita di dati.<\/p>\n <\/p>\n A seconda dell'ambiente di destinazione, questi pericoli possono rappresentare un rischio inaccettabile. Questo \u00e8 particolarmente vero per i sistemi di produzione. Questi sistemi possono quindi essere esclusi dai test rischiosi. Tuttavia, questo riduce sempre la significativit\u00e0 del test, perch\u00e9 i veri attaccanti non si fermano ai sistemi di produzione. Le vulnerabilit\u00e0 critiche potrebbero essere trascurate. Un'alternativa \u00e8 quella di effettuare il test fuori dall'orario di lavoro o in un ambiente di test identico che replichi l'ambiente produttivo 1:1. I potenziali danni ai sistemi produttivi in caso di guasto possono quindi essere evitati o almeno ridotti.<\/p>\n <\/p>\n Tuttavia, poich\u00e9 un rischio residuo per i sistemi e i dati esaminati non pu\u00f2 mai essere completamente escluso, \u00e8 essenziale che i test di penetrazione siano pianificati molto accuratamente in anticipo dal dipartimento IT del cliente e dal penetration tester insieme. Durante l'esecuzione, una persona di contatto tecnico dovrebbe essere disponibile per il coordinamento in ogni momento.<\/p>\n Combinare correttamente le opzioni di implementazione<\/strong><\/p>\n <\/p>\n I test di penetrazione possono essere eseguiti in diversi modi, di solito combinando le opzioni possibili.<\/p>\n Scatola nera contro scatola bianca<\/strong><\/p>\n <\/p>\n Prima di tutto, si pu\u00f2 fare una distinzione tra i test \"scatola nera\" e \"scatola bianca\". Nel caso di test in scatola nera, al fornitore di servizi esterno vengono fornite solo le informazioni pi\u00f9 necessarie, come il nome della rete IT da testare - al fine di simulare le possibilit\u00e0 di un attaccante esterno nel modo pi\u00f9 realistico possibile. L'aggressore cerca poi la gamma di indirizzi IP e i possibili \"gateway\". Controllare il funzionamento dei sistemi IDS\/IPS e il comportamento e la velocit\u00e0 di reazione dei dipendenti dell'azienda pu\u00f2 anche essere un obiettivo parziale di un test BlackBox.<\/p>\n <\/p>\n Tuttavia, questo approccio richiede molto tempo e quindi \u00e8 molto costoso. Nel caso dell'aggressore vero e proprio, si pu\u00f2 presumere che si sarebbe preso il tempo necessario per la pianificazione e la preparazione. I loro attacchi stanno diventando sempre pi\u00f9 complessi e tecnicamente sofisticati, e i metodi di ingegneria sociale sono di solito utilizzati anche per raccogliere informazioni. Questi metodi non sono sempre facili da individuare: ad esempio, vengono falsificati gli indirizzi del mittente di e-mail di altre aziende e vengono inviate e-mail di pishing fatte su misura per il destinatario, i suoi interessi e la sua cerchia di conoscenze (spear pishing) per iniettare malware. Il malware iniettato viene utilizzato per ottenere tutte le informazioni necessarie dalla rete informatica attaccata.<\/p>\n <\/p>\n Per compensare questo \"vantaggio\" dei potenziali hacker rispetto al fornitore di servizi IT che agisce in un lasso di tempo limitato, si ricorre al metodo della scatola bianca quando si eseguono i test di penetrazione. Qui, al penetration tester vengono fornite informazioni dettagliate sui sistemi da testare e sull'infrastruttura di rete. Cos\u00ec, all'inizio dei test di penetrazione, il tester \u00e8 al livello di informazione di un vero attaccante dopo settimane di lavoro. Questo permette anche di trovare vulnerabilit\u00e0 che potrebbero altrimenti non essere rilevate in un test di pura scatola nera. In pratica, di solito si usa un mix di test di penetrazione black-box e white-box.<\/p>\n On-site vs. off-site<\/strong><\/p>\n <\/p>\n La seconda distinzione riguarda il punto da cui vengono effettuati i test\/attacchi. I test di penetrazione possono essere eseguiti fuori sede via Internet o sul posto all'interno della rete aziendale stessa.<\/p>\n <\/p>\n I test di penetrazione off-site hanno il vantaggio di essere molto convenienti e di corrispondere al vettore di attacco di un potenziale attaccante da Internet. Tuttavia, il loro messaggio \u00e8 limitato: un servizio vulnerabile, per esempio, che \u00e8 stato bloccato da un firewall a monte durante il test non verrebbe identificato.<\/p>\n <\/p>\n Un test in loco dalla zona demilitarizzata (DMZ), d'altra parte, pu\u00f2 simulare che un attaccante abbia gi\u00e0 preso il controllo di un sistema, ad esempio un server web. Nel caso di una sicurezza a pi\u00f9 livelli, con un firewall tra Internet e DMZ e tra DMZ e ufficio, la sicurezza pu\u00f2 essere testata in modo molto pi\u00f9 completo. Una sicurezza di difesa in profondit\u00e0 verificata in questo modo offre ancora una protezione sufficiente per respingere un aggressore anche se un sistema della catena di sicurezza \u00e8 compromesso. Inoltre, i test in loco possono essere utilizzati anche per verificare le minacce provenienti da autori interni o insider - un rischio che non deve essere sottovalutato: secondo l'indagine Bitkom menzionata all'inizio, gli attuali o ex dipendenti erano dietro gli attacchi nel 65% dei casi.<\/p>\n <\/p>\n In definitiva, l'approccio pi\u00f9 efficace e completo \u00e8 una combinazione delle diverse opzioni: Black-\/white-box, test off-site\/on-site per coprire tutti gli scenari di minaccia, e integrare gli scanner automatici con metodi manuali. Un test di penetrazione attentamente pianificato \u00e8 quindi una misura efficace per salvaguardarsi da potenziali minacce ed \u00e8 anche pi\u00f9 efficiente e conveniente a questo scopo di un audit completo del sistema - a condizione, naturalmente, che le vulnerabilit\u00e0 identificate vengano successivamente corrette.<\/p>","protected":false},"excerpt":{"rendered":" Cybersecurity und IT-Sicherheit geh\u00f6ren nach wie vor zu den wichtigsten Digitalthemen 2016. Zu Recht, wie auch eine aktuelle Umfrage des Branchenverbandes Bitkom (www. bitkom.org) zeigt. \u00dcber zwei Drittel der befragten Industrieunternehmen gaben darin an, in den letzten zwei Jahren Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden zu sein. Wie gef\u00e4hrdet aber […]<\/p>\n","protected":false},"author":66,"featured_media":12134,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[4],"tags":[4791],"class_list":["post-12132","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-risikomanagement","tag-11-2016"],"acf":[],"yoast_head":"\n\n