La figura professionale del pentester
Dato che la sicurezza informatica è ormai un must e non un’opzione, il pentesting è diventata un’attività irrinunciabile. Per tale ragione, figure come quella del pentester ad oggi sono molto ricercate.
L’attività, che è alla base della cybersecurity, consiste nell’avviare dei penetration test, ossia dei falsi attacchi informatici. In sostanza, l’esperto interpellato si accerta dell’effettiva sicurezza informatica simulando un attacco informatico. In questo modo, è possibile valutare l’effettivo livello di cybersecurity aziendale. Inoltre, in caso di lacune e debolezze, queste vengono individuate e corrette, in modo da prevenire possibili attacchi da parte dei cybercriminali.
Abbiamo semplicemente introdotto l’argomento, ed è già chiaro che il pentesting rappresenta un’attività cruciale. Per la sua importanza, in questa guida ne esploreremo ogni sfaccettatura, analizzando anche la figura del pentester e le diverse tipologie di test.
Cos’è il pentesting
Abbiamo già introdotto il pentesting, forma contratta di penetration testing, affermando che si tratta di un’attività ormai necessaria. Le aziende che intendono accertarsi della sicurezza dei propri sistemi informatici devono assolutamente avviare questi test preventivi, in modo da individuare eventuali falle nei sistemi stessi.
Il pentester, o penetration tester, ossia l’esperto in materia, avvierà un finto attacco informatico. La simulazione permetterà di scoprire quali sono gli aspetti critici che possono minare la sicurezza dei dati. In questo modo, sarà possibile porre rimedio e potenziare i sistemi di sicurezza.
Sebbene possa sembrare un’attività piuttosto recente, quella del penetration tester è una professione abbastanza datata. Infatti, già dagli Anni Sessanta vennero condotti i primi test di sicurezza e le prime simulazioni di attacco.
Dagli Anni Sessanta ad oggi, ovviamente, sono stati fatti enormi passi avanti, e ad oggi i test sono diventati sofisticatissimi. Inoltre, prima di immettere sul mercato un dispositivo elettronico, che si tratti di un pc o di una lavatrice, è necessario effettuare test per dimostrarne la sicurezza.
Il ruolo del pentester
Proprio perché il pentesting è un’attività tanto fondamentale, la figura del pentester è ad oggi molto ricercata.
Per svolgere questa professione, è necessario specializzarsi in sicurezza informatica e conoscere molto bene il cosiddetto hacking. Inoltre, il penetration tester deve necessariamente aggiornarsi costantemente. Le minacce informatiche sono in continua evoluzione: per svolgere questa professione, quindi, è fondamentale una formazione continua.
Il lavoro di questo professionista, in sostanza, consiste nell’individuare le criticità, portando avanti dei test e delle simulazioni. Il pentester ricrea una situazione tipo, ossia quella di un attacco da parte di hacker. In questo modo, può effettivamente testare il sistema e la sua resistenza agli attacchi.
Dopo la simulazione di pentesting, il penetration tester crea un report dettagliato, dove dovrà indicare le criticità da risolvere.
Come si diventa penetration tester?
Chi ha intenzione di lavorare nell’ambito del pentesting ha diverse opportunità. La formazione del pentester non è infatti prestabilita, dato che non esiste un corso di laurea in penetration testing.
Tuttavia, esistono diversi corsi specifici atti a formare il futuro professionista, e varie certificazioni da acquisire per formarsi al meglio.
Dopo aver acquisito le basi della cybersecurity con apposito corso, è possibile valutare le seguenti certificazioni:
- eJPT (Junior Penetration Tester)
- CEH (Certified Ethical Hacker)
- OSCP (Offensive Security Certified Professional)
- CISSP (Certified Information Systems Security Professional).
L’eJPT rappresenta il corso base per chi intende trovare impiego nell’ambito del pentesting. Le altre certificazioni, invece, permettono di acquisire conoscenze avanzate in ambito.
Pentesting, i vari livelli di analisi
Condurre un penetration test non è un’operazione facile, in quanto gli aspetti da considerare sono moltissimi. Il pentester dovrà cioè valutare vari livelli di analisi, in quanto il test potrà essere condotto variando sia l’oggetto del test stesso, sia modificandone le modalità di esecuzione.
Innanzitutto, il pentester potrà rivolgere la sua analisi verso differenti oggetti che hanno a che fare con la sicurezza informatica. È possibile effettuare test per applicazioni web, reti wireless, ma anche per eventuali accessi da remoto. Quest’ultimo aspetto è diventato di fondamentale importanza soprattutto recentemente, con l’aumento dello smart working.
Accedere al lavoro da remoto, purtroppo, potrebbe esporre a diversi tipi di violazione. Il compito del penetration tester, in questo caso, è evitare possibili accessi indesiderati o fughe di dati.
Quali sono le diverse tipologie di penetration test
Ma le diverse tipologie di pentesting non variano solamente in base all’oggetto dell’analisi. Quando conduce dei penetration test, il pentester può decidere se utilizzare informazioni aziendali a sua disposizione o se agire senza averne nessuna. In quest’ultimo caso siamo di fronte al black box testing, ossia la situazione per cui il penetration tester non sfrutta le informazioni relative all’IT aziendale, ma agisce all’oscuro di esse, come farebbe un vero e proprio cybercriminale. Si tratta forse della tipologia di pentest più vantaggiosa, in quanto è la più vicina ad in attacco alla sicurezza reale.
Quando, invece, il pentester utilizza alcune informazioni sulla sicurezza aziendale, si parla di grey box testing. Questa tipologia di test è atta a valutare i danni che un eventuale utente in possesso dei dati potrebbe causare. È, insomma, una tipologia di test utile a prevenire attacchi interni.
Infine, il white box testing viene condotto sfruttando la piena conoscenza del sistema di sicurezza aziendale.
Altre tipologie di pentesting
Quella appena analizzata, comunque, non è l’unica classificazione disponibile. Esistono altri tipi di pentesting che un pentester può decidere di condurre, quali:
- External Penetration Testing: si tratta di una simulazione condotta dall’esterno. In questo modo, si potrà scoprire come hacker e criminali potrebbero introdursi all’interno del sistema;
- Internal Penetration Testing: in questo caso, si valutano i possibili danni provocati da un ipotetico hacker in possesso di credenziali di accesso;
- Targeted Testing: questo test viene condotto con l’ausilio dell’intero reparto IT aziendale. In tal modo, il pentester mostra ai dipendenti cosa accade durante un attacco, così da addestrare il reparto ad agire per evitare danni;
- Blind pentesting: al pari del black box testing, si tratta di un test alla cieca. Il pentester, cioè, lo conduce senza informazioni, conoscendo solamente il nome dell’azienda. Si tratta anche in questo caso di un test molto realistico e della simulazione che si avvicina maggiormente ad un reale attacco;
- Double Blind Penetration Testing: molto simile al test precedente, si differenzia dal semplice test Blind in quanto il reparto IT non viene avvisato della simulazione.