penetration test Piergiorgio Venuti

Penetration test vs. Breach Attack Simulation: differenze e vantaggi per una sicurezza informatica completa

Estimated reading time: 8 minuti

Negli ultimi anni, la sicurezza informatica è diventata una preoccupazione sempre più importante per le aziende di ogni dimensione. Le minacce informatiche sono sempre in aumento e gli hacker hanno sviluppato tecniche sempre più sofisticate per violare la sicurezza delle aziende. In questo contesto, due approcci alla sicurezza informatica che sono diventati sempre più popolari sono il penetration test e la breach attack simulation (BAS).

In questo articolo, esploreremo le differenze tra queste due tecniche, discuteremo le loro relative utilità e determineremo se ha ancora senso eseguire i penetration test.

Cos’è un penetration test?

Un penetration test (o pen test) è un test di sicurezza informatica che viene eseguito per identificare i punti vulnerabili in un sistema informatico. Il test viene eseguito da un team di esperti in sicurezza informatica che cercano di penetrare nel sistema utilizzando tecniche di hacking simili a quelle utilizzate dagli hacker reali.

Il penetration test viene eseguito in modo approfondito e prende in considerazione tutte le possibili vulnerabilità del sistema. Ciò include la valutazione della sicurezza delle applicazioni web, dei server, delle reti, dei dispositivi mobili e delle infrastrutture cloud. L’obiettivo del penetration test è quello di identificare i punti deboli del sistema e fornire raccomandazioni per migliorare la sicurezza.

Cos’è una breach attack simulation?

Una breach attack simulation (BAS) è un test di sicurezza informatica che simula un attacco informatico dal punto di vista dell’hacker. Invece di cercare di penetrare nel sistema utilizzando tecniche di hacking, il team di esperti in sicurezza informatica simula un attacco informatico utilizzando strumenti e tecniche che gli hacker reali utilizzano comunemente.

La BAS simula un attacco informatico in modo completo e realistico, valutando la sicurezza del sistema in modo simile a quello che farebbe un hacker reale. Ciò include la valutazione della sicurezza delle applicazioni web, dei server, delle reti, dei dispositivi mobili e delle infrastrutture cloud. L’obiettivo della BAS è quello di identificare i punti deboli del sistema e fornire raccomandazioni per migliorare la sicurezza.

Qual è la differenza tra un penetration test e una breach attack simulation?

Il penetration test e la BAS hanno obiettivi simili, ma differiscono nella loro metodologia di esecuzione. Il penetration test utilizza tecniche di hacking reali per cercare di penetrare nel sistema, mentre la BAS utilizza strumenti e tecniche simili a quelle utilizzate dagli hacker reali per simulare un attacco informatico.

Inoltre, il penetration test è più approfondito e prende in considerazione tutte le possibili vulnerabilità del sistema, mentre la BAS si concentra su un attacco specifico e simula solo quelle tecniche utilizzate in quell’attacco.

Qual è più utile, un penetration test o una breach attack simulation?

Sia il penetration test che la BAS sono utili per identificare i punti deboli del sistema e fornire raccomandazioni per migliorare la sicurezza. Tuttavia, la BAS è più utile quando si vuole simulare un attacco specifico o quando si vuole testare la capacità di risposta dell’azienda in caso di attacco informatico.

Il penetration test è più utile quando si vuole identificare tutte le possibili vulnerabilità del sistema e quando si vuole testare la sicurezza del sistema in modo approfondito.

Ha ancora senso eseguire i penetration test?

Nonostante l’aumento della popolarità della BAS, i penetration test sono ancora importanti per garantire la sicurezza informatica delle aziende. Il penetration test offre una valutazione più approfondita della sicurezza del sistema, identificando tutte le possibili vulnerabilità del sistema.

Inoltre, il penetration test è più utile per identificare le vulnerabilità che potrebbero non essere state prese in considerazione durante la valutazione della BAS. Ciò include le vulnerabilità che si verificano a livello di applicazione o che coinvolgono l’interazione tra più componenti del sistema.

Quali sono le differenze tra le vulnerabilità identificate da un penetration test e quelle identificate da una breach attack simulation?

breach attack simulation

Le vulnerabilità identificate da un penetration test e quelle identificate da una breach attack simulation possono differire per diversi motivi.

In un penetration test, l’obiettivo principale è quello di individuare tutte le vulnerabilità del sistema, indipendentemente dal fatto che siano sfruttabili o meno. Questo significa che il team di esperti in sicurezza informatica cerca di identificare tutte le possibili falle di sicurezza, anche se non sono facilmente sfruttabili dagli hacker reali. Ciò include vulnerabilità a livello di sistema, vulnerabilità a livello di applicazione, vulnerabilità di configurazione, vulnerabilità di rete e così via.

D’altra parte, in una breach attack simulation, il team di esperti in sicurezza informatica si concentra sull’identificazione di vulnerabilità che potrebbero essere utilizzate da un hacker reale per compromettere il sistema. Ciò significa che il team si concentra su tecniche di attacco specifiche, come phishing, exploitation di vulnerabilità note, attacchi a password e così via.

Inoltre, durante una breach attack simulation, il team di esperti in sicurezza informatica può anche cercare di identificare le vulnerabilità che potrebbero essere utilizzate per eseguire un attacco laterale o per ottenere l’accesso a un sistema diverso da quello iniziale. Questo tipo di vulnerabilità potrebbe non essere identificato durante un penetration test tradizionale, poiché richiede una comprensione più approfondita dell’architettura del sistema.

Infine, le vulnerabilità identificate durante una breach attack simulation possono essere più realistiche e rilevanti per l’azienda, poiché si basano su tecniche di attacco reali e possono essere utilizzate dagli hacker reali per compromettere il sistema.

In sintesi, le vulnerabilità identificate durante un penetration test e una breach attack simulation possono differire per diversi motivi. Tuttavia, entrambe le tecniche sono utili per garantire la sicurezza informatica dell’azienda e dovrebbero essere utilizzate in modo complementare per identificare tutte le possibili vulnerabilità del sistema.

Quali sono i vantaggi di utilizzare entrambe le tecniche?

Utilizzare entrambe le tecniche, ovvero il penetration test e la breach attack simulation (BAS), può offrire numerosi vantaggi per garantire una sicurezza informatica completa e robusta. Di seguito sono elencati alcuni dei principali vantaggi dell’utilizzo combinato di queste tecniche:

  1. Identificare tutte le vulnerabilità del sistema: il penetration test e la BAS si concentrano su diversi tipi di vulnerabilità e tecniche di attacco. Utilizzando entrambe le tecniche, si possono identificare più vulnerabilità del sistema, inclusi quelli che potrebbero essere stati trascurati da una sola tecnica.
  2. Valutazione della sicurezza in modo approfondito: il penetration test fornisce una valutazione più approfondita della sicurezza del sistema, individuando tutte le possibili vulnerabilità del sistema. D’altra parte, la BAS si concentra su un singolo tipo di attacco e fornisce una valutazione più specifica sulla preparazione dell’azienda per affrontare quel tipo di attacco.
  3. Simulazione di attacchi realistici: la BAS simula un attacco informatico dal punto di vista dell’hacker e può offrire una valutazione realistica della preparazione dell’azienda per affrontare un attacco. Ciò significa che l’azienda può testare i suoi processi di sicurezza, la capacità di rilevare e rispondere ad un attacco e la preparazione del personale.
  4. Miglioramento della sicurezza informatica: utilizzando sia il penetration test che la BAS, l’azienda può ottenere una visione completa della sicurezza informatica e delle aree che richiedono miglioramenti. Ciò può aiutare l’azienda a sviluppare un piano di miglioramento della sicurezza informatica efficace e indirizzare le risorse ai problemi più critici.
  5. Conformità alle normative di sicurezza: molte normative richiedono alle aziende di eseguire test di sicurezza informatica regolari e di dimostrare di avere misure di sicurezza adeguate in atto. Utilizzando entrambe le tecniche, l’azienda può dimostrare di avere una rigorosa approccio alla sicurezza informatica e di essere conforme alle normative di sicurezza.

In conclusione, utilizzare sia il penetration test che la breach attack simulation può offrire numerosi vantaggi per garantire una sicurezza informatica completa e robusta. Queste tecniche possono essere utilizzate in modo complementare per identificare tutte le possibili vulnerabilità del sistema e valutare la preparazione dell’azienda per affrontare gli attacchi informatici.

Come si può garantire che le vulnerabilità identificate siano corrette?

Garantire che le vulnerabilità identificate durante un penetration test o una breach attack simulation siano corrette è essenziale per garantire che l’azienda adotti le misure di sicurezza corrette per proteggere il sistema. Di seguito sono elencati alcuni dei metodi utilizzati per verificare l’accuratezza delle vulnerabilità identificate:

  1. Confronto con fonti di sicurezza: il team di esperti in sicurezza informatica può confrontare le vulnerabilità identificate con fonti di sicurezza pubbliche, come CVE (Common Vulnerabilities and Exposures) o NIST (National Institute of Standards and Technology), per verificare se le vulnerabilità identificate sono note e sono state documentate.
  2. Verifica manuale: il team di esperti in sicurezza informatica può eseguire una verifica manuale delle vulnerabilità identificate per verificare se sono effettivamente presenti. Ciò può includere l’esecuzione di test aggiuntivi o la verifica dei log del sistema per verificare se sono stati registrati tentativi di attacco.
  3. Utilizzo di strumenti di scansione: il team di esperti in sicurezza informatica può utilizzare strumenti di scansione automatici per verificare la presenza delle vulnerabilità identificate. Questi strumenti possono eseguire una scansione completa del sistema e identificare le vulnerabilità che potrebbero essere state trascurate durante il test manuale.
  4. Verifica incrociata: il team di esperti in sicurezza informatica può utilizzare una combinazione di metodi per verificare l’accuratezza delle vulnerabilità identificate. Ciò può includere la verifica manuale, l’utilizzo di strumenti di scansione e il confronto con fonti di sicurezza.
  5. Utilizzo di esperti esterni: l’azienda può utilizzare esperti esterni per verificare l’accuratezza delle vulnerabilità identificate. Ciò può includere la revisione dei rapporti di test da parte di esperti in sicurezza informatica indipendenti o l’assunzione di un secondo team di esperti in sicurezza informatica per eseguire un test indipendente.

In sintesi, garantire che le vulnerabilità identificate siano corrette è essenziale per garantire la sicurezza informatica dell’azienda. Il team di esperti in sicurezza informatica può utilizzare una combinazione di metodi per verificare l’accuratezza delle vulnerabilità identificate, inclusi il confronto con fonti di sicurezza, la verifica manuale, l’utilizzo di strumenti di scansione, la verifica incrociata e l’utilizzo di esperti esterni.

Conclusioni

In conclusione, sia il penetration test che la breach attack simulation sono tecniche utili per garantire la sicurezza informatica delle aziende. Tuttavia, il penetration test è ancora importante per identificare tutte le possibili vulnerabilità del sistema e per garantire la sicurezza del sistema in modo approfondito.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

  • Oracle: rilevato lo sfruttamento in rete della CVE-2024-21287 (AL02/241119/CSIRT-ITA) Novembre 21, 2024
    Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-21287 che interessa il prodotto Agile Product Lifecycle Management (PLM), soluzione progettata per la gestione del ciclo di vita dei prodotti, dalla concezione iniziale fino alla dismissione. Tale vulnerabilità, con score cvss v3.x pari a 7.5, potrebbe permettere la divulgazione di file contenenti informazioni sensibili presenti sui […]
  • Aggiornamenti Drupal (AL02/241121/CSIRT-ITA) Novembre 21, 2024
    Aggiornamenti di sicurezza risolvono diverse vulnerabilità, in Drupal. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato l'esecuzione di codice da remoto e/o il bypass dei meccanismi di sicurezza sui sistemi target.
  • Rilevate vulnerabilità in Needrestart (AL03/241121/CSIRT-ITA) Novembre 21, 2024
    Rilevate 5 vulnerabilità di sicurezza, di cui 4 con gravità “alta”, in Needrestart, utilità installata di default nei server Ubuntu, utilizzata per determinare se è necessario un riavvio del sistema o dei suoi servizi. Tali vulnerabilità, qualora sfruttate, potrebbero consentire l’esecuzione di comandi arbitrari sui sistemi interessati.
  • Rilevata vulnerabilità in prodotti Atlassian (AL01/241121/CSIRT-ITA) Novembre 21, 2024
    Aggiornamenti di sicurezza sanano molteplici vulnerabilità in vari prodotti. Tra queste se ne evidenzia una con gravità “alta” presente nel prodotto Sourcetree, client gratuito per Git e Mercurial sviluppato da Atlassian, che offre un'interfaccia grafica per gestire i repository di codice. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto l’esecuzione di codice […]
  • Aggiornamenti per prodotti Zyxel (AL03/240903/CSIRT-ITA) - Aggiornamento Novembre 20, 2024
    Zyxel rilascia aggiornamenti di sicurezza per sanare varie vulnerabilità presenti in diverse tipologie di dispositivi di rete e firewall.
  • Citrix: PoC pubblico per lo sfruttamento della CVE-2024-8069 (AL02/241114/CSIRT-ITA) - Aggiornamento Novembre 20, 2024
    Disponibile un Proof of Concept (PoC) per la CVE-2024-8069 – già sanata dal vendor – presente in Citrix Session Recording, funzionalità di sicurezza che consente di registrare l’attività su schermo delle sessioni utente ospitate su Citrix Virtual Apps and Desktops. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un utente remoto malintenzionato l’esecuzione di codice arbitrario […]
  • Risolte vulnerabilità in Google Chrome (AL04/241120/CSIRT-ITA) Novembre 20, 2024
    Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 3 vulnerabilità di sicurezza, di cui una con gravità “alta”.
  • Rilevata nuova campagna di smishing a tema INPS (AL03/241120/CSIRT-ITA) Novembre 20, 2024
    È stato rilevato il riacutizzarsi di una campagna di smishing che sfrutta nomi e loghi riferibili ai servizi erogati dall’Istituto Nazionale della Previdenza Sociale.
  • Apple: rilevato sfruttamento in rete delle vulnerabilità CVE-2024-44308 e CVE-2024-44309 (AL01/241120/CSIRT-ITA) Novembre 20, 2024
    Rilevato lo sfruttamento attivo in rete di 2 vulnerabilità che interessano vari prodotti Apple. Tali vulnerabilità potrebbero permettere di eseguire codice da remoto e di perpetrare attacchi di tipo Cross Site Scripting (XSS) tramite risorse web opportunamente predisposte.
  • Vulnerabilità in prodotti Trend Micro (AL02/241120/CSIRT-ITA) Novembre 20, 2024
    Sanata una vulnerabilità di gravità “alta” realtiva a Deep Security Agent e Deep Security Notifier on DSVA di Trend Micro. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi target.

RSS darkreading

RSS Full Disclosure

  • SEC Consult SA-20241112-0 :: Multiple vulnerabilities in Siemens Energy Omnivise T3000 (CVE-2024-38876, CVE-2024-38877, CVE-2024-38878, CVE-2024-38879) Novembre 13, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Nov 12SEC Consult Vulnerability Lab Security Advisory < 20241112-0 > ======================================================================= title: Multiple vulnerabilities product: Siemens Energy Omnivise T3000 vulnerable version: >=8.2 SP3 fixed version: see solution section CVE number: CVE-2024-38876, CVE-2024-38877, CVE-2024-38878, CVE-2024-38879 impact: High...
  • Security issue in the TX Text Control .NET Server for ASP.NET. Novembre 13, 2024
    Posted by Filip Palian on Nov 12Hej, Let&apos;s keep it short ... ===== Intro ===== A "sudo make me a sandwich" security issue has been identified in the TX Text Control .NET Server for ASP.NET[1]. According to the vendor[2], "the most powerful, MS Word compatible document editor that runs in all browsers". Likely all versions […]
  • SEC Consult SA-20241107-0 :: Multiple Vulnerabilities in HASOMED Elefant and Elefant Software Updater Novembre 10, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Nov 09SEC Consult Vulnerability Lab Security Advisory < 20241107-0 > ======================================================================= title: Multiple Vulnerabilities product: HASOMED Elefant and Elefant Software Updater vulnerable version:
  • Unsafe eval() in TestRail CLI Novembre 7, 2024
    Posted by Devin Cook on Nov 06This is not a very exciting vulnerability, but I had already publicly disclosed it on GitHub at the request of the vendor. Since that report has disappeared, the link I had provided to MITRE was invalid, so here it is again. -Devin --- # Unsafe `eval()` in TestRail CLI […]
  • 4 vulnerabilities in ibmsecurity Novembre 3, 2024
    Posted by Pierre Kim on Nov 03## Advisory Information Title: 4 vulnerabilities in ibmsecurity Advisory URL: https://pierrekim.github.io/advisories/2024-ibmsecurity.txt Blog URL: https://pierrekim.github.io/blog/2024-11-01-ibmsecurity-4-vulnerabilities.html Date published: 2024-11-01 Vendors contacted: IBM Release mode: Released CVE: CVE-2024-31871, CVE-2024-31872, CVE-2024-31873, CVE-2024-31874 ## Product description ## Vulnerability Summary Vulnerable versions:...
  • 32 vulnerabilities in IBM Security Verify Access Novembre 3, 2024
    Posted by Pierre Kim on Nov 03## Advisory Information Title: 32 vulnerabilities in IBM Security Verify Access Advisory URL: https://pierrekim.github.io/advisories/2024-ibm-security-verify-access.txt Blog URL: https://pierrekim.github.io/blog/2024-11-01-ibm-security-verify-access-32-vulnerabilities.html Date published: 2024-11-01 Vendors contacted: IBM Release mode: Released CVE: CVE-2022-2068, CVE-2023-30997, CVE-2023-30998, CVE-2023-31001, CVE-2023-31004, CVE-2023-31005,...
  • xlibre Xnest security advisory & bugfix releases Ottobre 31, 2024
    Posted by Enrico Weigelt, metux IT consult on Oct 31XLibre project security advisory --------------------------------- As Xlibre Xnest is based on Xorg, it is affected by some security issues which recently became known in Xorg: CVE-2024-9632: can be triggered by providing a modified bitmap to the X.Org server. CVE-2024-9632: Heap-based buffer overflow privilege escalation in _XkbSetCompatMap […]
  • APPLE-SA-10-29-2024-1 Safari 18.1 Ottobre 31, 2024
    Posted by Apple Product Security via Fulldisclosure on Oct 31APPLE-SA-10-29-2024-1 Safari 18.1 Safari 18.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121571. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. Safari Downloads Available for: macOS Ventura and macOS Sonoma Impact: An […]
  • SEC Consult SA-20241030-0 :: Query Filter Injection in Ping Identity PingIDM (formerly known as ForgeRock Identity Management) (CVE-2024-23600) Ottobre 31, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Oct 31SEC Consult Vulnerability Lab Security Advisory < 20241030-0 > ======================================================================= title: Query Filter Injection product: Ping Identity PingIDM (formerly known as ForgeRock Identity Management) vulnerable version: v7.0.0 - v7.5.0 (and older unsupported versions) fixed version: various patches; v8.0 CVE number:...
  • SEC Consult SA-20241023-0 :: Authenticated Remote Code Execution in Multiple Xerox printers (CVE-2024-6333) Ottobre 29, 2024
    Posted by SEC Consult Vulnerability Lab via Fulldisclosure on Oct 28SEC Consult Vulnerability Lab Security Advisory < 20241023-0 > ======================================================================= title: Authenticated Remote Code Execution product: Multiple Xerox printers (EC80xx, AltaLink, VersaLink, WorkCentre)  vulnerable version: see vulnerable versions below fixed version: see solution section below CVE number: CVE-2024-6333...

Customers

Newsletter

{subscription_form_2}