{"id":8621,"date":"2020-06-01T07:00:28","date_gmt":"2020-06-01T05:00:28","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=8621"},"modified":"2023-01-06T00:18:45","modified_gmt":"2023-01-05T23:18:45","slug":"sicurezza-pentest-e-verifica-delle-vulnerabilita","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/sicurezza-pentest-e-verifica-delle-vulnerabilita\/","title":{"rendered":"Sicurezza: pentest e verifica delle vulnerabilita’"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t
Tempo di lettura: 4 min<\/pre>
\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t
La sicurezza informatica di un sistema e’ molto importante per evitare spiacevoli inconvenienti dovuti ad attacchi malevoli. In linea di massima, non e’ sufficiente impostare un sistema di sicurezza<\/a><\/strong> completo, bisogna anche verificare che i suddetti sistemi funzionino<\/strong>. Per farlo ci si rivolge ai professionisti<\/a> che possono svolgere dei pentest<\/em> (penetration test) e fare una verifica della vulnerabilita’<\/em>.<\/p>
Per verificare la sicurezza di un sistema, si utilizzano due procedimenti specifici. Il primo, la verifica delle vulnerabilita’, si occupa di ricercare ed elencare le possibili brecce<\/strong> nell’infrastruttura. La seconda, il Penetration Test (PenTest), cerca di sfruttare le debolezze individuate<\/strong> per guadagnare l’accesso a un sistema chiuso.\u00a0<\/p>
In sostanza si tratta di fare quello che farebbe un malintenzionato: usare i suoi strumenti verificando la loro efficacia o meno sul sistema di sicurezza. Se queste operazioni vengono effettuate in ambiente controllato, sara’ possibile prendere provvedimenti prima che avvenga una reale intrusione dannosa.<\/p>
Verifica delle vulnerabilita’<\/h2>
Noto come vulnerability assessment<\/em> oppure VA<\/em>, e’ il processo di identificazione delle minacce e delle vulnerabilita’<\/strong> su una macchina specifica o una rete.<\/p>
Il processo avviene tendenzialmente nelle seguenti fasi:<\/p>
Analisi delle caratteristiche<\/dt>
Utilizzando software automatici per velocizzare il processo, si individuano quali sono le caratteristiche generali di un obiettivo.<\/dd>
Identificazione dei punti deboli<\/dt>
Si individuano quali siano i punti deboli che potrebbero essere sfruttati per colpire l’obiettivo.<\/dd>
Test manuali specifici<\/dt>
Talvolta si effettuano una serie di test manuali con strumenti specifici. Questo per valutare ulteriormente la sicurezza di specifiche applicazioni o reti e per verificare le vulnerabilita’ rilevate in precedenza.<\/dd>
Redazione di un report<\/dt>
Dopo aver individuato quali siano i punti deboli di un obiettivo, viene redatto un documento in cui si dichiarano i risultati.<\/dd><\/dl>
Una verifica delle vulnerabilita’ ha importanza se intesa come verifica proattiva svolta ciclicamente<\/strong>. Scoprire le vulnerabilita’ per poter poi riparare i problemi individuati, e’ fondamentale nell’ambito di un programma di gestione della sicurezza.<\/p>
Un serio programma di gestione della sicurezza, include anche i penetration test<\/em>. Tuttavia, questi ultimi saranno richiesti meno frequentemente rispetto al VA. La verifica delle vulnerabilita’ dovrebbe essere eseguita di frequente. Solo in questo modo si e’ certi di identificare immediatamente i punti deboli di un sistema e ridurre le possibilita’ di attacco riuscito.<\/p>
Pentest<\/h2>
Un test di penetrazione, o PenTest<\/em><\/a>, si compone di una serie di processi manuali<\/strong>. In generale, l’obiettivo finale di un hacker etico che compie un test di questo tipo, e’ ottenere l’accesso non autorizzato a un obiettivo. Per farlo, vengono utilizzate anche le vulnerabilita’ scoperte nella fase di verifica.<\/p>
Un pentest e’ spesso richiesto in vari scenari che possono includere:<\/p>