Non sai se sei vulnerabile finché qualcuno non ci prova
Firewall configurato, antivirus aggiornato, MFA abilitato. Tutto a posto — almeno sulla carta. Ma quanto sei sicuro che un attaccante reale non riesca comunque a entrare?
Il penetration testing risponde esattamente a questa domanda. Non è una scansione automatica di vulnerabilità note, non è un audit documentale. È un tentativo controllato e autorizzato di violare la sicurezza di un sistema, condotto da professionisti che ragionano e agiscono come un attaccante reale. La differenza tra sapere di avere un problema e scoprirlo quando è troppo tardi.
Pentest e vulnerability assessment: non sono la stessa cosa
La confusione tra i due è comune, ma la distinzione è importante.
Un vulnerability assessment identifica le vulnerabilità note in un sistema — configurazioni errate, software non aggiornato, porte aperte non necessarie. È in gran parte automatizzabile con strumenti come Nessus o OpenVAS, è relativamente economico, e produce una lista di problemi da correggere. È utile, ma non dice se quelle vulnerabilità sono effettivamente sfruttabili né quali sono le conseguenze reali di un exploit.
Un penetration test va oltre: un professionista usa quelle vulnerabilità — e cerca quelle non automaticamente rilevabili — per dimostrare un compromesso reale. Non si ferma alla lista dei problemi: mostra il percorso che un attaccante farebbe, quanto in profondità potrebbe arrivare, e cosa potrebbe fare una volta dentro.
Il vulnerability assessment dice "questa porta è aperta". Il pentest dice "da questa porta sono entrato, ho escalato i privilegi, e ho raggiunto il database di produzione".
Cosa viene testato
Il perimetro di un pentest si definisce prima dell'attività e dipende dagli obiettivi. Le tipologie principali sono:
- Pentest esterno: si attacca l'infrastruttura esposta su internet — sito web, VPN, email server, applicazioni pubbliche. Il punto di partenza è quello di un attaccante che non ha accesso alla rete interna.
- Pentest interno: si simula un attaccante che ha già accesso alla rete — un dipendente malintenzionato, un dispositivo compromesso, una postazione fisica non presidiata. Spesso rivela problemi di segmentazione di rete e privilegi eccessivi.
- Web application pentest: focus specifico su un'applicazione web — autenticazione, autorizzazione, injection, logica applicativa. Segue tipicamente la metodologia OWASP.
- Social engineering: si testa la resistenza umana — phishing simulato, vishing, pretexting. Spesso il vettore più efficace e il più sottovalutato.
Black box, grey box, white box
Oltre al perimetro, si definisce anche il livello di informazioni fornite al tester:
- Black box: il tester non ha informazioni preliminari. Simula un attaccante esterno che parte da zero. Più realistico, ma più lento e costoso perché buona parte del tempo va in ricognizione.
- White box: il tester ha accesso completo — documentazione, codice sorgente, credenziali. Permette un'analisi più approfondita in meno tempo. Utile per applicazioni critiche dove si vuole la massima copertura.
- Grey box: via di mezzo. Il tester ha alcune informazioni — tipicamente credenziali di un utente standard — ma non accesso completo. Il più comune per i pentest aziendali: bilanciamento tra realismo e profondità.
Il report: cosa aspettarsi
Il deliverable finale di un pentest è un report strutturato. Un report serio contiene almeno:
- Executive summary: una sintesi in linguaggio non tecnico per il management — rischio complessivo, finding principali, priorità di intervento.
- Metodologia: come è stato condotto il test, cosa è stato incluso e cosa no.
- Finding dettagliati: per ogni vulnerabilità trovata — descrizione, impatto, evidenza (screenshot, log, proof of concept), e raccomandazione di remediation.
- Risk rating: ogni finding ha una severity — critica, alta, media, bassa — basata su impatto e sfruttabilità reale, non solo teorica.
Con quale frequenza farlo
Una volta l'anno è il minimo ragionevole per la maggior parte delle PMI. Non perché l'infrastruttura cambi necessariamente molto, ma perché cambiano le tecniche di attacco, cambiano le vulnerabilità nei software che usi, e cambiano le configurazioni man mano che il sistema evolve.
Ci sono situazioni che richiedono un pentest indipendentemente dalla cadenza annuale:
- Prima del go-live di una nuova applicazione pubblica
- Dopo una migrazione significativa dell'infrastruttura
- Dopo un incidente di sicurezza, per capire come è avvenuto e se ci sono vettori ancora aperti
- Prima di una certificazione o audit di conformità che lo richiede esplicitamente
Quanto costa
Il costo di un pentest dipende dal perimetro, dalla durata, e dalla seniority del team. Per una PMI con un'infrastruttura di dimensioni medie, un pentest esterno di qualità si posiziona tipicamente tra i 2.000 e i 10.000 euro. Un web application pentest su un'applicazione complessa può costare di più.
È una cifra che fa alzare un sopracciglio a molti titolari. Vale la pena metterla in prospettiva: il costo medio di un data breach per una PMI italiana è nell'ordine delle decine di migliaia di euro — tra blocco operativo, notifiche obbligatorie, consulenza legale, e danno reputazionale. Un pentest annuale è un'assicurazione relativamente economica contro uno scenario molto più costoso.
Come scegliere il fornitore
Il mercato del pentest è popolato da professionisti seri e da chi vende scansioni automatiche riconfezionate come pentest manuali. Alcune cose da verificare:
- Il tester ha certificazioni riconosciute? OSCP, CEH, GPEN sono le più comuni nel settore.
- Fornisce un report campione o referenze di clienti precedenti?
- Il perimetro e le regole di ingaggio vengono definiti per iscritto prima dell'attività?
- Esiste un processo di remediation support — cioè supporto dopo il report per capire come correggere i finding?