Reading Time: 2 minutes

Definizione di Penetration Testing

Affidarsi ad un penetration tester (o pentester) è diventato più importante nel mondo di oggi in quanto le organizzazioni hanno dovuto e devono costantemente esaminare le loro policy di sicurezza e come migliorarle.

Numerosi incidenti di alto profilo come quelli che hanno coinvolto il gigante della vendita al dettaglio Target e il colosso dell’intrattenimento Sony, hanno attirato l’attenzione sulla necessità di professionisti della sicurezza più preparati e qualificati che comprendano e individuino le debolezze dei sistemi.

Attraverso un programma che combina misure tecnologiche, amministrative e fisiche, molte organizzazioni hanno imparato a gestire le loro vulnerabilità.

  • Controlli tecnologici come reti private virtuali (VPN), protocolli crittografici, sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione delle intrusioni (IPS), elenchi di controllo degli accessi (ACL), biometria, smart card e altri dispositivi hanno contribuito alla sicurezza.
  • Controlli amministrativi, politiche, procedure e altre regole sono stati rafforzati e implementati nell’ultimo decennio.
  • Controlli fisici includono dispositivi come blocchi di cavi, blocchi di dispositivi, sistemi di allarme e sorveglianza.

Un pentester, deve essere pronto a testare ambienti che includono una o tutte le tecnologie elencate, nonché un numero quasi infinito di casistiche e scenari.
Quindi, cos’è un Penetration Tester?

Cosa fa un Penetration Tester

Un penetration tester, è impiegato da un’organizzazione come dipendente interno o come entità esterna, come un appaltatore assunto per lavoro o per progetto.

In entrambi i casi, i pentester conducono un penetration test, nel senso che rilevano, valutano e testano la sicurezza di una determinata organizzazione utilizzando le stesse tecniche, tattiche e strumenti che userebbe un hacker malintenzionato.

La differenza principale tra un hacker malintenzionato e un pentester è nell’intenzione e nelle autorizzazioni che ottengono, sia legali che di altro tipo, dal proprietario del sistema che verrà valutato.

Un penetration tester non dovrebbe mai rivelare i risultati di un test a nessuno, tranne al personale designato all’inizio dal cliente.

A tutela di entrambe le parti, viene firmato di solito un accordo di non divulgazione sia dalla società che dal pentester.

Questo serve a protegge la proprietà dell’azienda e consente al pentester l’accesso alle risorse interne.

Infine, il pentester lavora sotto contratto per una società e il contratto specifica cosa è vietato e cosa il pentester dovrebbe consegnare alla fine del test. Tutti i dettagli contrattuali dipendono dalle esigenze specifiche di una determinata organizzazione.

Alcuni altri termini che vengono usati per identificare un penetration tester sono Ethical Hacker e White Hat Hacker.

Tutti e tre i termini sono corretti e descrivono lo stesso tipo di individuo, tipicamente il nome più usato è semplicemente pentester.

error: Content is protected !!

La maggior parte dei contenuti del blog ComputerSec vengono pubblicati a beneficio di tutti e in modo completamente gratuito.
Tuttavia per supportare il blog, e per avere ulteriori vantaggi, puoi decidere di abbonarti e sfruttare al 100% tutti i contenuti!
Abbonati Ora!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.