Perché serve un nuovo approccio al penetration testing? Il Continuous Penetration Testing

Dai primi esperimenti dei “Tiger Teams” negli anni ‘60 ai moderni ethical hacker, il penetration testing si è evoluto per rispondere a minacce sempre più sofisticate. Tuttavia, il modello tradizionale, eseguito a intervalli periodici, non è più sufficiente: tra un test e l’altro emergono nuove vulnerabilità, mentre gli attaccanti affinano le loro tecniche.

In questo articolo ripercorreremo la storia del penetration testing e analizzeremo il passaggio a un nuovo paradigma: il Continuous Penetration Testing (CPT), un approccio dinamico che garantisce una valutazione continua della sicurezza, adattandosi in tempo reale alle minacce e ai cambiamenti infrastrutturali.

Evoluzione del penetration testing

Breve storia del penetration test

Il penetration testing ha origini che risalgono agli anni ’60, con l’ascesa dell’informatica e delle tecnologie digitali, in mabito governativo militare.
Fu nel 1965, durante una conferenza di esperti di sicurezza informatica degli Stati Uniti organizzata dalla System Development Corporation, che si registrò la prima discussione seria sul rischio di condividere informazioni attraverso le reti di comunicazione. Non è lontano dal momento in cui Allen Scherr stava già superando un sistema protetto da password per ottenere più ore su un sistema di calcolo a condivisione del tempo.
Nel 1967, gli esperti di sicurezza informatica si incontrarono alla Joint Computer Conference. Qui gli esperti di sicurezza informatica della RAND Corporation Willis Ware, Harold Petersen, Rein Turn e Bernard Peters della National Security Agency degli Stati Uniti lavorarono su un rapporto che venne pubblicato successivamente quell’anno. Questo rapporto venne chiamato il Willis Report. Il rapporto dichiarava che i canali di comunicazione tra i computer erano facilmente penetrabili (in effetti, è proprio allora che venne coniato il termine “penetration” per indicare la violazione della sicurezza informatica, con ogni probabilità).
La Guerra Fredda tra gli Stati Uniti e l’URSS di allora stava dando inizio alla prima guerra informatica del mondo moderno. Anche la Guerra del Vietnam era in corso. Il Dipartimento della Difesa degli Stati Uniti (DOD), l’esercito e la NSA decisero di creare i “Tiger Teams” sotto la supervisione di Willis Ware. Il compito dei Tiger Teams era esaminare le reti informatiche per individuare le vulnerabilità di sicurezza.
Ecco quindi i primi penetration test e i primi pen tester, precursori dei moderni ethical hacker.

Le azioni dei primi tiger team e gli sforzi della RAND Corporation hanno dimostrato l’utilità dei penetration test come strumento per la valutazione della sicurezza del sistema. Ma i Tiger Teams non ebbero il successo che ci si aspettava. Furono facilmente sopraffatti dagli hacker e, sebbene i loro metodi fossero pionieristici all’epoca, non furono sufficienti.
Nel 1972, J.P. Anderson scrisse un rapporto che forniva linee guida passo dopo passo per i Tiger Teams. L’approccio di Anderson prevedeva innanzitutto l’identificazione della vulnerabilità e la progettazione di un attacco su di essa, per poi trovare la debolezza nell’attacco stesso e i modi per neutralizzare la sua minaccia. Anderson ha descritto un attacco generale come sequenza dei seguenti passi:

1. Trovare una vulnerabilità sfruttabile
2. Progettare un attacco intorno a essa
3. Testare l’attacco
4. Impadronirsi di una linea in uso
5. Eseguire l’attacco
6. Sfruttare ingresso per recupero delle informazioni

Il lavoro svolto all’epoca fu innovativo, e molti dei suoi metodi fanno ancora parte della protezione standard dei sistemi oggi.

Verso un nuovo modello di penetration testing

Oggi il penetration testing è utilizzato da organizzazioni di ogni dimensione per individuare e vulnerabilità e ottenere un piano di mitigazione dei propri sistemi. Un attacco informatico simulato autorizzato  è un elemento fondamentale di qualsiasi strategia di sicurezza.
Secondo un approccio tradizionale viene condotto come un’attività una tantum, programmata su base annuale, semestrale o dopo significativi aggiornamenti infrastrutturali, per fornire un’istantanea della postura di sicurezza di un’organizzazione in un dato momento.

Tuttavia, con l’accelerazione dello sviluppo tecnologico da un lato, il mutare continuo delle minacce informatiche dall’altro, e i requisiti di compliance di normative e standard sempre più stringenti, questo approccio si è rivelato sempre meno efficace, lasciando ampi spazi di esposizione tra un test e l’altro.

Vediamo perché.

Sviluppo tecnologico delle infrastrutture e del software

Le organizzazioni introducono regolarmente nuovi asset digitali, come domini, sottodomini e servizi esposti su Internet, aumentando così il rischio di attacchi informatici.
L’introduzione di tecnologie come Cloud, IoT, Edge Computing, Blockchain, 5G e Intelligenza Artificiale ha trasformato il panorama della cybersecurity, aumentando la superficie d’attacco, la complessità delle infrastrutture e la velocità con cui emergono nuove vulnerabilità. Le nuove tecnologie hanno espanso la superficie d’attacco, introdotto nuove vulnerabilità.
I penetration test tradizionali, eseguiti una tantum, non sono più sufficienti per garantire una protezione efficace. Vediamo qualche esempio.

Le infrastrutture cloud e i servizi basati su API si evolvono rapidamente, con nuove applicazioni, servizi e configurazioni che cambiano su base giornaliera. Un penetration test annuale non riesce a tenere il passo con queste modifiche, lasciando scoperti potenziali punti deboli che gli hacker potrebbero sfruttare.
Il numero di dispositivi IoT è in crescita esponenziale ed è legata allo sviluppo di nuovi sensori e alla capacità di collegarne alla rete un numero sempre maggiore. Ogni mese vengono aggiunti nuovi dispositivi alle reti aziendali e domestiche. Un penetration test annuale non tiene conto dei dispositivi connessi dopo il test, lasciandoli vulnerabili. Molti di questi dispositivi hanno infatti configurazioni insicure, firmware non aggiornabili e protocolli di comunicazione vulnerabili. Per questo gli hacker sfruttano gli IoT come punto di ingresso per attacchi su larga scala.
L’Edge Computing decentralizza l’elaborazione dei dati, spostandola più vicino ai dispositivi e agli utenti. Questo modello migliora velocità e efficienza, ma introduce anche nuove sfide di sicurezza. Un penetration test tradizionale, eseguito una volta all’anno, potrebbe non essere sufficiente perché non valuterebbe i nuovi nodi, aggiunti per esempio nei mesi successivi, creando potenziali vulnerabilità.

La sicurezza deve procedere alla stessa velocità dello sviluppo tecnologico.
Serve un modello di penetration testing in grado di adattandosi in tempo reale ai cambiamenti dell’infrastruttura, all’implementazione delle nuove tecnologie e agli aggiornamenti del software: ogni nuova implementazione, aggiornamento o modifica deve poter essere testata immediatamente, riducendo drasticamente le finestre di esposizione alle minacce e abilitando una difesa proattiva e resiliente.

Evoluzione delle minacce informatiche

Gli attaccanti sfruttano tecnologie avanzate come Intelligenza Artificiale, ransomware-as-a-service (RaaS), attacchi supply chain e malware polimorfico per eludere le difese tradizionali. I metodi di attacco cambiano continuamente, rendendo obsoleto un test di sicurezza condotto solo una volta all’anno. Di seguito mostriamo alcuni dei principali trend nell’evoluzione degli attacchi informatici.

Attacchi Zero-Day

Gli attacchi zero-day sfruttano falle di sicurezza non ancora note o per le quali non esiste ancora una patch. Queste vulnerabilità possono essere scoperte e sfruttate dagli hacker nel giro di poche ore, rendendo inefficace un penetration test eseguito solo una volta all’anno.

Ransomware più veloci

Le nuove varianti di ransomware si diffondono rapidamente, con tempi di infezione che sono passati da giorni a poche ore. Nel 2023, il ransomware Black Basta ha compromesso intere infrastrutture in meno di 12 ore per esempio.

Attacchi basati su Intelligenza Artificiale (AI)

I cybercriminali stanno sfruttando AI e Machine Learning per automatizzare attacchi di phishing, evasione dei controlli di sicurezza e generazione di malware. Le tecniche di attacco sono diventate più adattive e personalizzate, rendendo inefficaci le difese statiche.

Attacchi persistenti avanzati (APT)

Gli attacchi APT sono operazioni prolungate e altamente sofisticate, in cui gli hacker penetrano nella rete e rimangono nascosti per mesi, raccogliendo dati e spostandosi lateralmente. Un penetration test una tantum potrebbe non rilevare la presenza di attori malevoli per un lungo periodo.

In un panorama di minacce in continua evoluzione, affidarsi esclusivamente a penetration test periodici può lasciare l’azienda esposta a vulnerabilità emergenti e attacchi sofisticati. Serve quindi un approccio al security testing in grado di adattarsi rapidamente alle nuove minacce, garantendo una protezione continua ed effettivamente robusta.

Normative e requisiti di sicurezza più complessi

Il penetration testing e le normative di sicurezza informatica sono in un rapporto di interdipendenza. Le normative guidano l’adozione del penetration testing come misura obbligatoria o come strumento di valutazione del rischio informatico, mentre l’evoluzione delle minacce e delle tecnologie spinge le normative ad aggiornarsi costantemente. Alcuni esempi:

• GDPR (Regolamento Generale sulla Protezione dei Dati – UE) Richiede alle aziende di garantire la sicurezza dei dati personali e di testare regolarmente i propri sistemi per prevenire violazioni.
• ISO/IEC 27001. Standard internazionale sulla gestione della sicurezza delle informazioni che include il penetration testing come pratica consigliata per la valutazione del rischio.
• PCI DSS (Payment Card Industry Data Security Standard) Impone alle aziende che elaborano pagamenti con carte di credito di eseguire penetration test per proteggere i dati sensibili delle transazioni.
• Direttiva NIS2 (Decreto Legislativo n. 138, pubblicato nella Gazzetta Ufficiale del 1° ottobre 2024). Introduce nuove misure e obblighi per le aziende che operano in settori critici e infrastrutture essenziali, tra cui quello di testare legolarmente le proprie infrastrutture digitali.
• DORA (Digital Operational Resilience Act – UE) Prevede stress test e penetration testing avanzati per garantire la resilienza operativa delle aziende del settore finanziario.

Queste normative spingono le aziende ad adottare penetration test non solo per migliorare la sicurezza, ma anche per evitare sanzioni e rispettare gli standard internazionali.

L’introduzione di nuove tecnologie porta alla creazione di nuove superfici di attacco, che a loro volta richiedono aggiornamenti normativi per coprire i nuovi rischi.
La crescita del mercato IoT, per esempio, ha spinto normative come il Cyber Resilience Act (UE) a includere requisiti di sicurezza per dispositivi connessi e test di penetrazione mirati.

Le nuove normative non si limitano più a chiedere l’implementazione di misure di sicurezza, ma impongono una verifica continua e documentata della loro efficacia. Il modello di Continuous Penetration Testing è la risposta ideale a questi requisiti, perché garantisce un monitoraggio costante della sicurezza aziendale e permette di dimostrare la conformità in modo dinamico e proattivo.

Un nuovo paradgma: il Continuous Penetration Testing (CPT)

Abbiamo visto come l’aumento della sofisticazione, velocità e complessità degli attacchi informatici, l’espansione tecnologica e l’introduzione di normative sempre più rigorose, rende insufficiente il penetration testing tradizionale.

Il Continuous Penetration Testing – abbreviato CPT – non è solo una versione più frequente di un pentest tradizionale: cambia completamente il paradigma.
Possiamo definirlo come un approccio avanzato alla cybersecurity che prevede una valutazione continua, adattiva ed in tempo reale della postura di sicurezza di un’organizzazione. A differenza dei penetration test tradizionali, condotti periodicamente, su base annuale o semestrale, il continuous penetration testing garantisce un’identificazione e mitigazione proattiva e costante delle vulnerabilità.

• Il pentester non lavora più a spot, ma integra i test nei processi aziendali che cambiano in base al business e alle richieste di mercato.
• I test non sono più solo “snapshot” ma continui e adattivi
• Il focus non è solo scoprire vulnerabilità, ma testare anche la risposta agli attacchi e fornire un piano di remediation costantemente aggiornati

Nella seconda parte dell’articolo approfondiremo il modello del continuous penetration testing, analizzandone i componenti, i benefici e le migliori pratiche.