Il compito di un test di penetrazione è quello di condurre una vera e propria simulazione di attacco ( ovviamente all'interno di precise "Regole di Ingaggio" concordate con il cliente ) per testare in modo concreto la reale condizione di esposizione
ad un attacco informatico e contestualmente anche il grado di reazione del target ad una tale evenienza. Naturalmente, il livello di dettaglio ed il grado di realismo del test possono variare anche molto a seconda delle reali necessità del cliente opportunamente
evidenziate attraverso precedenti fasi di Auditing e di Risk Assessment.
Infatti, possono essere concepiti penetration test con differenti gradi di asimmetria informativa tra la difesa ( il team di Incident Response interno )
e l'attacco ( il team di Pentesters ) in modo tale da realizzare condizioni di stress il più possibile vicine a quelle che si verificherebbero durante un reale scenario di attacco. Il test di penetrazione non è da considerarsi alternativo al Vulnerability Assessment
ma anzi a questo complementare nel sondare fino in fondo l'impatto reale che una vulnerabilità sfruttata produrrebbe sull'intera struttura informatica del target.
In conclusione, il Penetration Test porterà in primo piano quali siano gli eventuali anelli deboli presenti ed attraverso
la presentazione di una reportistica differenziata per livello analitico e gradiente tecnico potrà guidare i responsabili delle decisioni aziendali nella scelta delle priorità su cui investire per conseguire la massimizzazione del ROSI ( Return On Security Investment ).
|