Test sicurezza informatica: scegli il partner giusto

In gergo vengono chiamati penetration test o “pentest”. Al di là del termine usato, i test di sicurezza rappresentano uno degli architravi nella progettazione di un sistema di cyber security efficace. Il loro scopo è quello di passare ai raggi X l’infrastruttura IT per individuare eventuali vulnerabilità che potrebbero essere sfruttate dai cyber criminali per fare breccia nei sistemi. Un’attività preziosissima, che richiede veri specialisti e un approccio che consenta di battere sul tempo i pirati informatici.


Gli specialisti dei test di sicurezza informatica

Per eseguire un test di sicurezza informatica veramente efficace, non è sufficiente rivolgersi a un tecnico specializzato e nemmeno a un esperto di sicurezza. È necessario avvalersi di professionisti in grado di pensare “fuori dagli schemi”, che siano dotati di quell’inventiva che permetta loro di riprodurre attacchi con le stesse caratteristiche di veri pirati informatici. Stiamo parlando dei cosiddetti “hacker etici” o “white hat”, veri fenomeni dell’hacking che sono in grado di individuare tutti i possibili anelli deboli e consentire così di rinforzare le protezioni a livello informatico prima che qualcun altro possa approfittarne. La loro attività si svolge attraverso una vera e propria simulazione di attacco, in cui gli è consentito utilizzare qualsiasi tecnica (rigorosamente non distruttiva) per violare il network o i computer aziendali. La logica, insomma, è simile a quella di chi assolda un ladro professionista per mettere alla prova il sistema antifurto di un edificio.


Non è solo una questione tecnica

L’obiettivo di un test di sicurezza informatica non è solo quello di individuare vulnerabilità in senso stretto, come componenti software non aggiornati o impostazioni inadeguate degli strumenti digitali. L’ambito di analisi, in realtà, è molto più ampio e comprende, per esempio, le procedure e le policy adottate in azienda. L’arma principale nelle mani dei pirati (che gli hacker etici non esiteranno a usare) è in questo caso chiamata social engineering (ingegneria sociale) e consiste in quei “trucchetti” che non hanno nulla a che fare con software e righe di codice, ma consentono ai pirati informatici di avere una posizione di vantaggio. La più banale (ma è solo un esempio) è quella di contattare telefonicamente un impiegato spacciandosi per un addetto all’amministrazione IT e carpirgli le credenziali di accesso ai servizi o, comunque, informazioni utili per violare i sistemi dell’azienda. Anche un attacco che prenda di mira il dispositivo personale di un dipendente, strategia spesso adottata dai pirati informatici, rappresenta un ambito “lecito” per l’attività della squadra rossa. In alcuni casi, e a seconda di quanto concordato con l’azienda in fase di pianificazione del test di sicurezza informatica, agli hacker etici può anche essere concesso di tentare di violare fisicamente gli uffici. D’altra parte, la distinzione tra sicurezza fisica e sicurezza informatica, nel panorama attuale, è diventata qualcosa di estremamente sfumato. Insomma: più ampio sarà il margine d’azione concesso loro, più efficace (e produttivo) sarà il test.


La logica della squadra rossa

In questa specie di gioco di ruolo, gli hacker etici interpretano la parte del red team, ossia la parte dei “cattivi”. E lo fanno sfruttando qualsiasi strumento trovino a loro disposizione. Affinché la simulazione sia utile, i pentester devono quindi essere aggiornati su tutte le nuove tecniche di attacco e, in molti casi, essere addirittura un passo avanti ai cyber criminali. Per questo motivo gli hacker etici sono una figura in cui la formazione continua, che avviene anche attraverso attività di intelligence sui forum dedicati all’hacking e sul dark web, ha un’importanza fondamentale. Insomma: gli addetti ai test di sicurezza informatica devono saper agire anche come “infiltrati” per individuare le nuove tendenze e conoscere le strategie più avanzate disponibili nei bassifondi di Internet. Un valore aggiunto per muoversi più facilmente in questi luoghi, sono anche le competenze linguistiche (in particolare la conoscenza della lingua russa, in quanti moltissimi forum “underground” sono in lingua cirillica) per potersi muovere con disinvoltura nei bassifondi di Internet. Cyberoo, per il suo servizio di Cyber Security Suite si appoggia a una struttura con sede a Kiev, animata da un team di “white hat” con una specifica formazione universitaria e un’esperienza sviluppata sul campo che viene aggiornata costantemente attraverso un processo di formazione continua.


New call-to-action