Una domanda che viene fatta in continuazione ai nostri sales è <<quanto costa un penetration test?>>
Cominciamo col dire che un Penetration Test (o Pen Test) ha l’obiettivo di valutare il livello sicurezza di un’infrastruttura IT che sfrutta le vulnerabilità dei sistemi di protezione. Tale verifica avviene utilizzando dei tool ad hoc e molta esperienza.
In pratica si tratta di una vera e propria simulazione di attacco hacker che ha come obiettivo un determinato perimetro del sistema o della rete.
Le vulnerabilità possono riguardare sistemi operativi, servizi, configurazioni, server, endpoint, applicazioni Web, reti wireless, dispositivi di rete, dispositivi mobili e molto altro.
Nel 2021 molte aziende si sono convinte a fare Pen Testing per comprendere quanto e dove i loro sistemi sono vulnerabili e per convalidare l’efficacia dei propri sistemi di difesa cyber.
Inoltre, elemento da non sottovalutare, è che un Pen Test può risultare estremamente utile per capire quanto e in che modo i propri dipendenti rispettano le politiche di sicurezza aziendali: è infatti importante tenere a mente che il rischio non proviene solo dall’esterno bensì, spesso, è lo stesso comportamento inadeguato degli utenti che rende un sistema difensivo vulnerabile.
Le vulnerabilità di un sistema possono essere di vario genere, ecco qualche esempio:
- Configurazioni errate
- Accessi non gestiti correttamente
- Cartelle condivise non protette adeguatamente
- Applicazioni gestite da terzi
Quali sono i vantaggi del Penetration Test?
Grazie a un Penetration Test è possibile conoscere eventuali punti deboli dei sistemi IT dell’azienda. Non solo: i Pen Test forniscono informazioni dettagliate sulle minacce alla sicurezza reali e utilizzabili da malintenzionati.
Le violazioni della sicurezza e le conseguenti interruzioni del servizio possono risultare estremamente onerose per un’azienda, non solo in termini economici: possono infatti provocare perdite finanziarie dirette, minacce alla reputazione dell’azienda, compromettere la fedeltà dei clienti, attirare una stampa negativa e ricevere sanzioni dalle autorità.
Ma quanto costa?
Ogni anno spendiamo diverse M/h per rilasciare quotazioni ai nostri prospect perchè la domanda riccorrente, di cui sopra, è sempre “quanto costa”? Come avviene per i servizi a valore aggiunto, come può essere quello di un PEN TEST, forse la domanda giusta è “quanto vale per la mia azienda un servizio del genere”?
Si, un servizio andrebbe pagato in relazione al valore genera per la nostra organizzazione, in base alla difficoltà di esecuzione e alla qualità offerta da chi lo esegue. Scegliete quindi con cura a cui affidarvi e non stabilite preliminarmente un budget se non siete esperti in materia. Chiedete una stima e cercate di capire quali sono i razionali stanno dietro un preventivo che, a voi, sembra troppo alto.
Concludendo
Un PEN TEST completo, di qualità alta e professionale è, mediamente, compreso tra i 10 e i 40 k eur. Come con qualsiasi servizio di business, il costo varia in base a una serie di variabili che influenzano i costi. Ne elenchiamo di seguito qualcuna:
Complessità: le dimensioni e la complessità dell’ambiente da testare e dei dispositivi in rete sono probabilmente i più grandi fattori che influenzano un preventivo di PEN TEST. Un ambiente più complesso richiede più lavoro: ovvio.
Metodologia: ogni operatore ha un modo diverso di condurre i test di penetrazione. Alcuni usano tool più costosi di altri, che potrebbero aumentare i costi. E’ anche vero che tools più costosi potrebbero ridurre il tempo dei test e produrre risultati di qualità superiore.
Esperienza: gli operatori con più esperienza saranno più esosi. La cosa migliore è affidarsi a operatori con credenziali “personali” come CISSP, GIAC, CEH, OSCP etc..
On Site: la maggior parte dei test di penetrazione può essere effettuata da remoto, tuttavia nei casi in cui ci sono ambienti molto grandi/complessi, una sessione on-site potrebbe essere necessaria per testare adeguatamente la sicurezza generale.
Mitigazione: alcuni operatori includono nel servizio l’assistenza per mitigare o, meglio ancora, sanare le vulnerabilità rilevate. Altri invece forniscono i risultati del test e scompaiono.
A te la scelta!