L2.S22 – Penetration testing

Le attività presenti nel servizio “L2.S22 – Penetration testing” hanno l’obiettivo di fornire alle Amministrazioni un processo operativo di analisi e valutazione dei punti deboli relativi all’infrastruttura IT attraverso la simulazione di un attacco informatico al sistema al fine di rilevare la presenza di eventuali falle e vulnerabilità al suo interno. In particolare, il servizio prevede almeno le seguenti attività:

• Information gathering: l’obiettivo di questa fase è la raccolta di informazioni sugli asset dell’Amministrazione utili per determinare le potenziali superfici di attacco (es. la scansione delle porte, l’enumerazione di servizi, delle applicazioni, degli utenti, un elenco di e-mail per attacchi di tipo Social Engineering);
  
• Exploitation: l’obiettivo di questa fase è stabilire un accesso al sistema, aggirando gli eventuali sistemi e controlli di sicurezza presenti. In questa fase il servizio potrà anche identificare nuove vulnerabilità e codificarne gli exploit;
  
• Post Exploitation: l’obiettivo di questa fase consiste nella raccolta delle informazioni ottenute (comprese le password) e dei privilegi acquisiti durante la fase di Exploitation;
  
• Reporting: l’obiettivo di questa fase è la preparazione di report, affinché sia evidente quali azioni sono state intraprese all’interno del perimetro definito, con quali motivazioni e con quali risultati allegando le evidenze per cui sia possibile ricostruire e ripercorrere i percorsi intrapresi per sfruttare le vulnerabilità rilevate.