Un test di intrusione, o pentest, è una valutazione di sicurezza che consiste nel simulare un attacco reale su un sistema informatico, una rete o un'applicazione, al fine di identificarne le vulnerabilità sfruttabili. L'obiettivo è rilevare le falle prima che un attaccante le scopra e fornire raccomandazioni concrete per rafforzare la sicurezza.
A differenza degli audit puramente documentali, il pentest si basa su tecniche offensive, simili a quelle utilizzate dagli hacker. Può includere lo sfruttamento di falle software, la compromissione di account o l'attraversamento di firewall. Viene spesso eseguito in aggiunta a una scansione automatizzata, per valutare non solo la presenza di falle, ma anche la loro effettiva sfruttabilità nel contesto di riferimento.
La differenza principale tra i test black box, gray box e white box risiede nel livello di informazione fornito al tester prima di iniziare l’attacco simulato.
Ogni approccio ha i suoi vantaggi, e la scelta dipende dagli obiettivi del test e dal livello di rischio da coprire.
Una scansione di vulnerabilità è un'analisi automatizzata realizzata da uno strumento che esamina un sistema o un'applicazione alla ricerca di falle note, generalmente confrontando le versioni software o testando configurazioni. È rapida, poco costosa, ma produce spesso risultati grezzi o incompleti, con falsi positivi.
Un pentest, al contrario, va oltre la semplice rilevazione: cerca di sfruttare realmente le falle per dimostrare il loro impatto concreto. Si tratta di un processo manuale e metodico, che convalida le vulnerabilità rilevate, ne identifica di nuove e fornisce scenari di attacco realistici. Il pentest è quindi molto più approfondito e contestuale, ma necessita di tempo, competenza e pianificazione.
Sì, un penetration test può potenzialmente disturbare la produzione, ma ciò dipende fortemente dalla metodologia utilizzata, dal livello di aggressività autorizzato e dalla maturità dell'infrastruttura testata. Ad esempio, lo sfruttamento di alcune vulnerabilità può causare riavvii di servizi, blocchi di accesso o un degrado delle prestazioni.
Per questo motivo, è essenziale definire un quadro chiaro prima di qualsiasi test, includendo le fasce orarie autorizzate, i sistemi da escludere (o da duplicare in ambiente di test) e le misure di backup. I pentesters professionisti applicano tecniche non distruttive, ma una comunicazione stretta con il team IT rimane indispensabile per anticipare e gestire gli impatti eventuali.
Un pentest può occasionalmente rivelare una zero-day, ma non è garantito. I pentesters si basano principalmente su vulnerabilità note (CVE, configurazioni errate, pratiche rischiose), ma può accadere che un test manuale, una logica di attacco particolare o un'intuizione permetta di scoprire una vulnerabilità inedita.
Tuttavia, la scoperta di zero-day nell'ambito di un pentest rimane rara e dipende dal livello di profondità dell'analisi, dall'esperienza dei tester e dalla complessità del sistema testato. Per questa ragione, alcuni pentest molto avanzati includono fasi di fuzzing o di audit del codice specifici per la ricerca di zero-day, soprattutto in contesti ad alto rischio (settore difesa, finanza, infrastrutture critiche).