Penetration Test
I Penetration Tests (tradotto Test di intrusione, ed abbreviato in pen tests) consistono nel provare i mezzi di protezione di un sistema di informazione cercando di introdursi nel sistema in situazioni reali. Si distinguono generalmente due metodi distinti:
Il metodo black box («scatola nera») consiste nel cercare di infiltrare la rete senza nessuna conoscenza del sistema, per effettuare un test in situazione reale;
Il metodo white box («scatola bianca») consiste nel tentare di introdursi nel sistema avendo delle conoscenze sull'insieme del sistema, per provare al massimo la sicurezza della rete.
Una simile procedura deve necessariamente essere realizzata con l'accordo (scritto di preferenza) dell'alta gerarchia aziendale, dato che potrebbe portare a degli eventuali danni e considerato che i metodi posti in essere sono vietati dalla legge in mancanza di autorizzazione del proprietario del sistema.
Quando un test di intrusione mette in evidenza una falla lo si può utilizzare come un buon mezzo per sensibilizzare gli attori di un progetto. Esso non permette invece di garantire la sicurezza del sistema dato che le vulnerabilità possono essere passate inosservate ai tester. Gli audit di sicurezza permettono di ottenere un livello nettamente migliore di fiducia nella sicurezza del sistema dato che considerano degli aspetti organizzativi e umani e che la sicurezza è analizzata dall'interno.
Foto: © Martial Red – Shutterstock.com
Il documento intitolato « Penetration Test » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.