Un Penetration Test professionale deve seguire un processo metodico, organizzato e controllato per essere efficiente, raggiungere gli obiettivi del cliente e mantenere in sicurezza le conseguenze delle attività.
Sicuramente la fase iniziale, engagement, permette di fornire un piano iniziale per il Penetration Test ma la fase più importante in assoluto è quella di Information gathering, anche chiamata footprinting.
Contattaci subito e senza impegno per scoprire tutte le informazioni che esponi.
Cosa si fa nella fase di Information Gathering
In questa fase l’Ethical Hacker si concerta su due aspetti principali di tutti i target: il Business e l’Infrastruttura.
Nell’ambito del Business, l’Ethical Hacker cerca informazioni sul tipo di business, sui partner, sugli asset, sui prodotti, sui servizi, sui dipendenti ed in linea generale su tutte le informazioni che non sono tecniche. Potrebbe sembrare poco utile ma in realtà è proprio grazie alla parte non tecnica che è possibile trovare alcune vulnerabilità in ambito organizzativo, per es. la mail del CFO e dei suoi collaboratori, oppure di un’azienda partner strategica e così via.
Nell’ambito dell’Infrastruttura, l’Ethical Hacker inizia la parte tecnica e quindi cerca informazioni sulle reti, sui sistemi, sui domini, sugli indirizzi IP, sui router, sui provider, sui fornitori di software e materiale tecnico e così via.
Per avere tutte queste informazioni l’Ethical Hacker utilizza tecniche passive e attive: passive quando le informazioni sono pubbliche ed occorre solo trovarle, nell’intelligence si può chiamare Open Source Intelligence (OSINT); attive quando le informazioni vanno estratte dai sistemi disponibili, in pratica è investigazione attraverso tecniche avanzate.
Se la fase di Information Gathering viene fatta in maniera professionale, profonda, dettagliata, guardando nei particolari, allora le successive fasi saranno più semplici e porteranno al successo del Penetration Test.
Contattaci subito e senza impegno per scoprire tutte le informazioni che esponi.
Glue Labs ed il Penetration Test
Ti supportiamo nel garantire al sicurezza del tuo codice sorgente, delle tue applicazioni, dei tuoi sistemi e dei tuoi dati ovunque siano, on premise ed in Cloud, grazie ai nostri Ethical Hacker che hanno certificazioni di livello internazionale ai massimi livelli. Contattaci subito e senza impegno per un preventivo gratuito.
