Penetration Test: tecniche, tools ma anche setting mentale. I 5 segreti dell'approccio vincente

Dici Penetration Test e pensi subito alla tecnologia, alle reti, ai geni dell'informatica. Se però sei un responsabile IT pensi anche ai rischi, all'imprevedibilità degli attacchi, alla distruttività di un'intrusione.

Esatto, "pensi". È proprio a questo livello che inizia la sicurezza, a livello di pensiero, cioè di mente, di atteggiamento. Ed è sull'atteggiamento mentale che è possibile innalzare ai massimi livelli possibili la sicurezza di una rete.

 

La storia del Penetration Test inizia dalla psicologia

In realtà l'idea di Penetration Test è precedente alle discipline psicologiche, è stata sviluppata come un'arte bellica dagli eserciti di tutto il mondo. L'esigenza era quella di comprendere in anticipo le possibili mosse del nemico per poter avere un vantaggio strategico. Nel corso dei secoli gli strumenti adottati, oltre all'introspezione ("Cosa farei se fossi il nemico?"), sono stati giochi di simulazione, mappe con sagome mobili, brainstorming, confronto di esperienze. Il Penetration Test aveva quindi il compito di simulare le tattiche nemiche, predisporre le contromosse e minimizzare le debolezze difensive.

L'applicazione ai sistemi tecnologici iniziò a essere elaborata negli anni Sessanta e portò alla formazione del cosiddetto "Tiger Team" (1970). Il primo vero atto che possiamo chiamare Penetration Test risale al 1972 e fu elaborato da una squadra capitanata da James P. Anderson su incarico, conferito l'anno precedente, dall'US Air Force. Altre pietre miliari sono: 1984, quando venne emanata la Computer Fraud and Abuse Act  e soprattutto in funzione dei test di "Hacking Etico" ordinati dalla US Navy per saggiare la sicurezza delle basi navali; 2 dicembre 1993 quando fu pubblicato il documento di Dan Farmer e Wietse Venema dal titolo "Migliora la sicurezza del tuo sito tentando di violarlo".

 

I 5 segreti mentali per un Penetration Test vincente. N°1: impara dalla storia

"Chi controlla il passato controlla il futuro" ricordava George Orwell ed è proprio questo il primo atteggiamento da adottare. Ci sono situazioni che si ripetono in maniera ciclica, ci sono ondate di pericolo prevedibili in relazione ad eventi importanti, ci sono condizioni di vulnerabilità eccezionali che si verificano a seguito di fatti non ordinari. Devi essere consapevole di tutto questo.

Cerchiamo di andare sul concreto con qualche esempio.

Situazioni che si ripetono in maniera ciclica: basta pensare alla crisi economica di una decina d'anni fa, mediamente ogni 40 anni accade una crisi economica, in quelle situazioni gli attacchi si moltiplicano, diventano sempre più pericolosi e arrivano anche da aree del mondo insospettate.

Ondate di pericolo prevedibili legate a eventi importanti: qualsiasi grande evento, come un'olimpiade o il campionato mondiale di calcio, è veicolo di infezioni, che si propagano sfruttando nomi, loghi e interesse per gli eventi stessi.

Condizioni di vulnerabilità eccezionali che si verificano a seguito di fatti non ordinari: la sconfitta di Napoleone a Waterloo? Determinata da un evento accaduto un paio di mesi prima a decine di migliaia di km di distanza. Il 5 aprile 1815 accadde infatti una gigantesca eruzione del vulcano Tambora in Indonesia, a seguito delle polveri e degli ossidi rilasciati in atmosfera, si verificarono piogge ovunque. Il fango abbondante a Waterloo impedì ai francesi di esprimersi al meglio e di usare la tecnica del tiro di cannone "Ricochet", cioè il tiro che devastava le linee nemiche dopo aver rimbalzato sul terreno. La lezione è chiara e impone di studiare il passato per individuare quando accade qualcosa che non si lega alla sicurezza informatica ma che può creare le condizioni per un attacco.

 

I 5 segreti mentali per un Penetration Test vincente. N°2: Comprendi la logica della guerriglia

A illuminare l'occidente sulle tecniche di guerriglia fu Lawrence d'Arabia (Thomas Edward Lawrence), che nelle sue teorizzazioni le portò all'estremo. Per Lawrence non esistono più la guerra frontale (a "una fase") e l'attacco massiccio ma esiste un lavoro continuo, imprevedibile, non convenzionale, apparentemente inefficace e che affonda anche nella comunicazione. Ebbene, è possibile che un hacker sia (e ragioni) un guerrigliero poco abituato a pensare in termini di strategia ma sia un tattico non ortodosso che mette in crisi le analisi del comportamento; se però è abile sotto il profilo tecnico, può aprire varchi letali. Lawrence stesso ci ricorda che "La virtù degli irregolari sta nella profondità, non nella linea". È allora indispensabile prevedere la difesa anche per attacchi che non sembrano attacchi perché appaiono disorganizzati e poco intelligenti.

 

I 5 segreti mentali per un Penetration Test vincente. N°3: Impara l'arte della guerra

Un classico che ogni IT Manager dovrebbe leggere per cogliere l'atteggiamento necessario a vincere le battaglie. Fra le massime di Sun Tzu, citiamo le 5 circostanze in cui la vittoria può essere prevista:

  1. Chi è in grado di distinguere quando è il momento di dare battaglia, e quando non lo è, riuscirà vittorioso
  2. Chi è in grado di stabilire quando deve usare forze minori, e quando maggiori, riuscirà vittorioso
  3. Chi ha creato un esercito compatto, con ufficiali e soldati che combattono uniti per un unico fine, sarà vittorioso
  4. Chi è prudente e preparato, e resta in attesa delle mosse del nemico temerario e impreparato, sarà vittorioso
  5. Chi dispone di generali esperti non vincolati da funzionari di corte, sarà vittorioso.

La lezione, in questo caso, è quella di mantenere calma e lucidità, facendo forza sulla coesione e sulla prontezza non solo di sé stessi ma delle buone pratiche condivise da un gruppo coeso. La battaglia per la sicurezza la combattono tutti i dipendenti e collaboratori dell'azienda, non solo l'IT manager.

 

I 5 segreti mentali per un Penetration Test vincente. N°4: Be zen, be happy

Prova a vedere tutto da una prospettiva diversa, non lavorare solo sul nemico, lavora su di te affinché non si diano le condizioni per il conflitto. Sii zen, quindi, e parti dal tuo nemico interno: amplia le tue conoscenze, togli i limiti all'orizzonte della tua immaginazione, non limitare i tuoi pensieri, non indulgere sulla certezza di essere il top. Consapevolezza e autocontrollo sono l'arma migliore per neutralizzare le strategie di attacco ed evitare il problema, servono inoltre a non sopravvalutare strumenti e atteggiamenti. Sii zen, cerca di sconfiggere le tue debolezze. Sii felice, concepisci la protezione della tua rete come un mezzo per farti vivere una vita tranquilla e felice: uscendo dal lavoro hai diritto alla serenità.

 

I 5 segreti mentali per un Penetration Test vincente. N°5: Incarna l'archetipo del guerriero

Coraggio, disciplina, determinazione, concentrazione, competenza, aggressività, distacco, lealtà e antifragilità sono le caratteristiche positive dell'archetipo del guerriero. Scoprile, conoscile e incarnale. Abbi sempre il coraggio e la responsabilità per le tue decisioni, applica sempre la disciplina in tutto ciò che fai, rimani assertivo e volitivo, reagisci (quando necessario) con prontezza e forza, non perdere mai la lucidità, sii moralmente impeccabile, fa' sì che ogni tuo errore ti renda più forte, allenati alle difficoltà.

 

Questo il setting mentale che ti serve per predisporre Penetration Test efficaci.
Se invece vuoi conoscere tecniche e strumenti per far sì che i test siano veramente utili e affidabili, ti aspettiamo martedì 25 al Grand Hotel Palazzo di Livorno per Cloudia IT Academy Roadshow. Partecipazione gratuita, posti limitati: https://cloudia.pcsystem.it.

share