Perché esiste questa guida
Acquistare servizi di penetration testing per la prima volta, o anche per la quinta, può risultare disorientante. Il mercato è pieno di gergo tecnico, i prezzi variano enormemente ed è difficile capire se si sta ottenendo una valutazione approfondita o una semplice scansione automatizzata presentata in un rapporto professionale. Questa guida è pensata per i responsabili IT, i CISO e i titolari di azienda in Lussemburgo che devono prendere decisioni informate in materia di penetration testing.
Affronteremo che cos'è realmente un penetration test, i diversi tipi disponibili, i fattori che influenzano i costi, come definire correttamente il perimetro di un incarico e come preparare la propria organizzazione per ottenere il massimo valore dall'esercizio.
Cos'è un penetration test?
Un penetration test è un tentativo controllato e autorizzato di sfruttare le vulnerabilità dei vostri sistemi, reti o applicazioni simulando le tecniche utilizzate da attaccanti reali. A differenza di una scansione delle vulnerabilità , che identifica automaticamente le debolezze note, un penetration test coinvolge tester umani esperti che concatenano le vulnerabilità , percorrono vie di attacco creative e tentano di dimostrare un impatto concreto sul business.
Il risultato non è un elenco di CVE. È una narrazione che mostra come un attaccante potrebbe compromettere il vostro ambiente, a cosa potrebbe accedere e quali sarebbero le conseguenze per l'azienda.
Distinzione fondamentale: Una scansione delle vulnerabilità indica cosa potrebbe essere sfruttato. Un penetration test indica cosa può essere sfruttato e cosa succede di conseguenza.
Tipi di penetration test
Penetration test della rete esterna
Testa la vostra infrastruttura esposta su Internet: server web, gateway di posta elettronica, endpoint VPN, servizi cloud, DNS. Il tester opera da Internet senza accesso interno, simulando un attaccante esterno.
Durata tipica: 3–5 giorni
Quando utilizzarlo: Annualmente, o dopo modifiche significative alla vostra infrastruttura esposta su Internet.
Penetration test della rete interna
Simula un attaccante che ha già ottenuto accesso iniziale alla vostra rete interna, ad esempio attraverso una workstation di un dipendente compromessa, un'intrusione fisica o un dispositivo non autorizzato. Testa la sicurezza di Active Directory, la segmentazione della rete, i percorsi di movimento laterale e l'escalation dei privilegi.
Durata tipica: 5–10 giorni
Quando utilizzarlo: Annualmente. Fondamentale per le organizzazioni nei settori regolamentati (le entità supervisionate dal CSSF sono spesso tenute a condurre test interni).
Penetration test delle applicazioni web
Si concentra su una specifica applicazione web, testando le vulnerabilità della OWASP Top 10, i difetti della logica di business, i problemi di autenticazione e gestione delle sessioni e la sicurezza delle API. Va oltre la scansione automatizzata per testare scenari di attacco complessi e articolati in più fasi.
Durata tipica: 5–10 giorni per applicazione (a seconda della complessità )
Quando utilizzarlo: Prima dei rilasci principali, annualmente per le applicazioni in produzione e ogni volta che vengono distribuite modifiche significative.
Penetration test wireless
Testa la sicurezza delle vostre reti wireless: configurazione WPA2/WPA3, rilevamento di access point non autorizzati, isolamento della rete guest e pivoting dal wireless al cablato.
Durata tipica: 2–3 giorni (richiede la presenza in loco)
Quando utilizzarlo: Annualmente, in particolare se disponete di Wi-Fi per gli ospiti o di politiche BYOD.
Valutazione di social engineering
Testa il fattore umano: simulazioni di phishing, vishing (social engineering telefonico), social engineering fisico (tailgating, impersonazione). Non è un penetration test tradizionale, ma viene spesso combinato con i test tecnici per una visione completa.
Durata tipica: 5–10 giorni
Quando utilizzarlo: Annualmente, in particolare in preparazione agli aggiornamenti della formazione sulla security awareness.
Penetration test cloud
Testa la vostra infrastruttura cloud (AWS, Azure, GCP) per rilevare configurazioni errate, permessi eccessivi, storage non sicuro e vettori di attacco specifici del cloud. Richiede tester con competenze specifiche sulle piattaforme cloud.
Durata tipica: 5–8 giorni
Quando utilizzarlo: Annualmente, o dopo modifiche significative all'architettura cloud.
Comprendere la metodologia di test
I penetration tester professionisti seguono una metodologia strutturata. Sebbene gli approcci specifici varino, la maggior parte segue un modello basato su standard di settore come il PTES (Penetration Testing Execution Standard) o la OWASP Testing Guide:
- Ricognizione: Raccolta di informazioni sul target con tecniche passive (OSINT) e attive. Nomi di dominio, range IP, nomi dei dipendenti, stack tecnologico, credenziali compromesse.
- Scansione ed enumerazione: Identificazione degli host attivi, delle porte aperte, dei servizi in esecuzione e dei potenziali punti di accesso.
- Identificazione delle vulnerabilità : Individuazione delle debolezze che potrebbero essere sfruttate. Combina la scansione automatizzata con l'analisi manuale.
- Sfruttamento: Tentativo di sfruttare le vulnerabilità identificate per ottenere accesso. È qui che la competenza umana differenzia un penetration test da una scansione.
- Post-sfruttamento: Una volta ottenuto l'accesso, cosa può ottenere il tester? Escalation dei privilegi, movimento laterale, accesso ai dati, persistenza.
- Reportistica: Documentazione dei risultati con prove, valutazioni del rischio e raccomandazioni di rimediazione attuabili.
Quanto costa un penetration test in Lussemburgo?
I prezzi in Lussemburgo riflettono il costo locale dei professionisti qualificati e il contesto normativo. Di seguito le fasce di prezzo realistiche basate sulle tariffe di mercato attuali:
| Tipo di test |
Durata |
Fascia di prezzo (EUR) |
| Pentest rete esterna |
3–5 giorni |
4.000 – 10.000 |
| Pentest rete interna |
5–10 giorni |
8.000 – 20.000 |
| Pentest applicazione web |
5–10 giorni |
7.000 – 18.000 |
| Pentest wireless |
2–3 giorni |
3.000 – 7.000 |
| Social engineering |
5–10 giorni |
5.000 – 15.000 |
| Pentest cloud |
5–8 giorni |
8.000 – 18.000 |
| Completo (Esterno + Interno + Applicazione) |
15–25 giorni |
18.000 – 45.000 |
Cosa fa aumentare il costo: Perimetro ampio (molti IP, più applicazioni), ambienti complessi (cloud ibrido, sistemi legacy), requisiti di conformità (CSSF, PCI DSS), reportistica in più lingue, scadenze ravvicinate, retest dopo la rimediazione.
Cosa fa diminuire il costo: Definizione chiara del perimetro, buona documentazione fornita ai tester, accordi di retainer annuali, combinazione di più tipi di test in un unico incarico.
Segnali d'allarme sui prezzi: Se qualcuno offre un "penetration test completo" per 2.000 EUR, è probabile che si tratti di una scansione automatizzata delle vulnerabilità con un rapporto su template. Al contrario, se il preventivo supera i 50.000 EUR per un ambiente PMI standard, assicuratevi che il perimetro lo giustifichi.
Come definire il perimetro di un penetration test
Una definizione del perimetro inadeguata è la prima causa per cui i penetration test producono risultati deludenti. O il perimetro è troppo ampio (il tester trascorre tutto il tempo su obiettivi di scarso valore) o troppo ristretto (i sistemi critici sono esclusi).
Nella definizione del perimetro, preparate le seguenti informazioni:
- Obiettivi: Cosa volete scoprire? "Un attaccante può raggiungere il nostro database clienti?" è un obiettivo migliore di "testare tutto".
- Range IP e domini: Quali sistemi rientrano esattamente nel perimetro? Fornite un elenco completo degli indirizzi IP esterni, dei nomi di dominio e dei range di rete interna.
- Applicazioni: Per i test sulle applicazioni web, elencate ogni applicazione, il suo URL, i requisiti di autenticazione e i ruoli utente da testare.
- Esclusioni: Ci sono sistemi fuori perimetro? Sistemi di produzione che non possono tollerare interruzioni? Servizi ospitati da terze parti?
- Finestra di test: Quando possono svolgersi i test? Solo durante l'orario lavorativo? Nei weekend? Ci sono periodi di blocco?
- Regole di ingaggio: Il tester può tentare un denial-of-service? Social engineering? Accesso fisico? Cosa richiede un'approvazione preventiva?
- Contatti: Chi deve essere avvisato dal tester se viene scoperta una vulnerabilità critica durante i test? Chi è il contatto di emergenza in caso di problemi?
Come prepararsi: la checklist pre-incarico
Una buona preparazione massimizza il valore di ogni giornata di test. Ecco cosa fare prima dell'arrivo dei tester:
- Firmate la lettera di autorizzazione. È giuridicamente indispensabile. Autorizza esplicitamente la società di test a sondare i vostri sistemi. Senza di essa, i test potrebbero costituire un reato ai sensi della legge lussemburghese (articoli 509-1 fino a 509-7 del Codice penale).
- Informate i vostri fornitori di hosting e cloud. AWS, Azure e la maggior parte dei provider di hosting richiedono una comunicazione preventiva prima dei penetration test. La mancata notifica può comportare il blocco o la sospensione della vostra infrastruttura.
- Informate il vostro SOC o il fornitore di sicurezza gestita. Se disponete di un team di monitoraggio della sicurezza (interno o esterno), comunicategli che durante la finestra specificata si terranno dei test. Decidete se volete che rilevi e risponda normalmente (il che mette alla prova le vostre capacità di rilevamento) o che inserisca in whitelist gli indirizzi IP dei tester.
- Preparate account di test dedicati. Per i test autenticati (applicazioni web, reti interne), create account di test dedicati a ogni livello di privilegio. Non condividete le vostre credenziali personali.
- Documentate il vostro ambiente. Fornite diagrammi di rete, documentazione dell'architettura delle applicazioni e un elenco delle tecnologie utilizzate. Questo consente ai tester di dedicare il tempo a trovare vulnerabilità anziché a mappare il vostro ambiente.
- Stabilite il canale di comunicazione. Concordate le modalità di comunicazione del team di test durante l'incarico. Un canale Slack o Teams condiviso funziona bene per gli aggiornamenti in tempo reale.
- Definite il protocollo per i risultati critici. Cosa deve fare il tester se trova una vulnerabilità critica e attivamente sfruttabile? Concordate un processo di notifica immediata.
Come valutare un fornitore di penetration testing
Non tutti i fornitori di penetration testing sono uguali. Ecco cosa cercare:
- Certificazioni: Le certificazioni OSCP, OSCE, OSWE, GPEN, GXPN, CREST dimostrano competenze tecniche pratiche. Diffidate delle aziende che possiedono solo certificazioni manageriali (CISSP, CISM) senza credenziali tecniche di testing.
- Trasparenza della metodologia: Un'azienda seria spiegherà chiaramente la propria metodologia e la adatterà al vostro ambiente. Richiedete un rapporto campione per valutare la profondità e la qualità .
- Esperienza in Lussemburgo: La conoscenza locale è importante. Comprendere i requisiti del CSSF, i quadri giuridici lussemburghesi e il panorama delle minacce locali aggiunge valore.
- Assicurazione: L'assicurazione di responsabilità civile professionale è imprescindibile. I test comportano intrinsecamente rischi, e l'azienda deve essere assicurata contro i danni accidentali.
- Politica di retest: I buoni fornitori includono un retest dei risultati critici e ad alto rischio nell'incarico, o lo offrono a tariffa ridotta.
- Comunicazione durante i test: I migliori tester forniscono aggiornamenti quotidiani sullo stato e vi notificano immediatamente i risultati critici, non solo alla fine dell'incarico.
Cosa fare con il rapporto
Un rapporto di penetration test ha valore solo se viene messo in atto. Ecco un approccio strutturato alla rimediazione:
- Esaminate con i tester. Pianificate una riunione di presentazione dei risultati. Fate domande. Comprendete le catene di attacco, non solo le singole vulnerabilità .
- Prioritizzate in base al rischio per il business. Non tutti i risultati "critici" comportano lo stesso rischio per il business. Una vulnerabilità critica su un server di test isolato è meno urgente di una vulnerabilità media nel vostro sistema di elaborazione dei pagamenti.
- Create un piano di rimediazione con scadenze. Risultati critici: 30 giorni. Alti: 60 giorni. Medi: 90 giorni. Bassi: prossima finestra di manutenzione programmata.
- Eseguite un retest dopo la rimediazione. Verificate che le correzioni siano efficaci. Non date per scontato che applicare una patch risolva la vulnerabilità ; gli errori di configurazione e le correzioni incomplete sono frequenti.
- Monitorate le metriche nel tempo. Confrontate i risultati tra i test annuali. Gli stessi problemi si ripresentano? Il numero totale di risultati sta diminuendo? I risultati si stanno spostando da problemi di base a problemi più sofisticati? Questa traiettoria indica se il vostro programma di sicurezza sta maturando.
Penetration testing e normativa lussemburghese
Se siete soggetti alla vigilanza del CSSF, il penetration testing è di fatto obbligatorio. La Circolare CSSF 20/750 sulla gestione del rischio ICT richiede alle entità del settore finanziario di condurre test di sicurezza, inclusi i penetration test. Nell'ambito di DORA (Digital Operational Resilience Act), le entità finanziarie saranno obbligate a condurre penetration test guidati dalle minacce (TLPT) basati sul framework TIBER-EU per alcune istituzioni di rilevanza sistemica.
Anche al di fuori del settore finanziario, NIS2 richiede alle entità di testare l'efficacia delle proprie misure di gestione del rischio di cybersicurezza, il che include implicitamente attività di test di sicurezza come i penetration test.
Un penetration test non è una spesa. È un investimento per comprendere la vostra reale postura di sicurezza, non quella che pensavate di avere.
