Ciclo di vita di un Penetration Test

Pubblicato da Mattia Felici il

Reading Time: 2 minutes

Le 4 Fasi di un Penetration Test

La maggior parte delle persone presume che tutto ciò che un penetration tester, o un hacker, debba fare è sedersi di fronte a un computer, iniziare a digitare una misteriosa serie di comandi e stringhe di codice e voilà qualsiasi computer al mondo viene immediatamente controllato.

Questo stereotipo basato sulla leggenda di alcuni film di Hollywood è tutt’altro che vero.

I professionisti in questo campo sono molto meticolosi nell’approccio utilizzato per scoprire e sfruttare le vulnerabilità nei sistemi informatici.

Nel tempo è emerso un framework comprovato che viene utilizzato dagli ethical hacker professionisti.

Le quattro fasi di questo framework guidano il penetration tester, attraverso il processo di sfruttamento empirico del sistema informativo in modo da produrre un report ben documentato che può essere utilizzato, se necessario per ripetere parti delle verifiche effettuate durante il test.

Questo processo non solo fornisce una struttura e una linea guida per i professionisti, ma è anche utilizzato per sviluppare piani di alto livello per le attività di penetration testing.

Ogni fase si basa sul passaggio precedente e fornisce dettagli sul passaggio che segue, come in una catena di montaggio.

Sebbene il processo sia sequenziale, molti penetration testers tornano alle fasi precedenti anche durante la procedura, sia per documentare nel dettaglio le vulnerabilità già trovate sia per convalidare le fasi di lavoro già effettuate.

I primi quattro passaggi del processo sono: Ricognizione (Reconnaissance), Scansione (Scanning), Sfruttamento delle Vulnerabilità (Exploitation) e Mantenimento dell’Accesso (Maintaining Access).
Questi passaggi sono stati chiaramente definiti da Patrick Engebretson nel libro “The Basics of Hacking and Penetration Testing”.

C’è anche un altro passo nel processo: i rapporti (Reporting).

Una visione di base di ciascuna delle fasi sarà disegnata nei prossimi articoli.

Illustreremo, oltre ad una descrizione più dettagliata di ogni singolo step, alcuni dei tool più utilizzati per ogni fase di lavoro.

In questo modo il lettore non solo capirà le fasi del ciclo di vita, ma avrà anche una visione dettagliata di quali strumenti sono più diffusi tra i professionisti in questo campo della sicurezza informatica.

Categorie: Penetration Testing
Tags:

Articoli correlati

Penetration Testing

Penetration Testing

Definizione di Penetration Testing Affidarsi ad un penetration tester (o pentester) è diventato più importante nel mondo di oggi in quanto le organizzazioni hanno dovuto e devono costantemente esaminare le loro policy di sicurezza e Leggi tutto…

Penetration Testing

Raccolta Informazioni

Raccolta delle informazioni in un Penetration Test Durante il processo di penetration test, è importante tenere tracce complete di ogni azione o attività svolta, nonché i risultati e le motivazioni di ciascuna. Nel corso del Leggi tutto…

Penetration Testing

Scansione della rete

Controllare i sistemi attivi sulla rete Se siamo stati abbastanza fortunati da scoprire intervalli IP nella fase di raccolta di informazioni, allora avremo un elenco di obiettivi potenzialmente validi per questo primo passo. Affinché la Leggi tutto…

error: Content is protected !!

La maggior parte dei contenuti del blog ComputerSec vengono pubblicati a beneficio di tutti e in modo completamente gratuito.
Tuttavia per supportare il blog, e per avere ulteriori vantaggi, puoi decidere di abbonarti e sfruttare al 100% tutti i contenuti!
Abbonati Ora!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.