Il Vulnerability Assessment ti dice dove sono le crepe nel muro. Il Penetration Test dimostra che un ladro può effettivamente passarci attraverso. In un panorama di minacce dove il 67% delle PMI italiane è bersaglio di ransomware, testare le proprie difese con un attacco simulato non è più un lusso: è una necessità. Questa guida spiega cos'è un Penetration Test, come funziona, quanto costa e quando serve alla tua azienda.
Indice dei Contenuti
- 1. Cos'è un Penetration Test
- 2. Tipi di Pentest: Black Box, Gray Box, White Box
- 3. Penetration Test vs Vulnerability Assessment
- 4. Le 5 Fasi di un Penetration Test
- 5. Web App, Network e Social Engineering Pentest
- 6. NIS2 e Obbligo di Test Periodici
- 7. Come Scegliere un Provider di Pentest
- 8. Costi per PMI
- 9. Domande Frequenti
Cos'è un Penetration Test
Un Penetration Test (abbreviato Pentest, noto anche come "test di penetrazione" o "ethical hacking") è una simulazione controllata e autorizzata di un attacco informatico reale alla tua infrastruttura IT. Un team di esperti di sicurezza (i penetration tester o ethical hacker) utilizza le stesse tecniche, strumenti e metodologie degli attaccanti reali per cercare di compromettere i tuoi sistemi, reti e applicazioni.
L'obiettivo non è solo trovare le vulnerabilità (quello lo fa il Vulnerability Assessment), ma dimostrare concretamente l'impatto di un attacco: fino a dove può arrivare un attaccante? Quali dati può esfiltrare? Quali sistemi può compromettere? Il Pentest risponde a queste domande con prove concrete, non con stime teoriche.
Cosa dimostra un Penetration Test:
- Se un attaccante esterno può entrare nella tua rete partendo da Internet
- Fino a dove può spingersi una volta dentro (lateral movement)
- Quali dati sensibili può leggere, modificare o esfiltrare
- Se può ottenere privilegi di amministratore di dominio
- Se i tuoi sistemi di detection (SOC, SIEM, EDR) rilevano l’attacco
- Quanto tempo impiega per compromettere gli asset critici
- Se il tuo piano di incident response funziona nella pratica
Il risultato finale è un report dettagliato che include: le vulnerabilità sfruttate con le relative prove (screenshot, log, dati estratti), il percorso di attacco completo (attack chain), la classificazione del rischio per l'azienda e raccomandazioni di remediation prioritizzate. Questo report è fondamentale sia per migliorare la sicurezza sia per dimostrare la due diligence alle autorità di regolamentazione.
Tipi di Pentest: Black Box, Gray Box, White Box
I Penetration Test si distinguono per il livello di informazioni e accessi forniti al tester prima dell'inizio del test. Ogni approccio simula uno scenario di attacco diverso:
Black Box — L’attaccante cieco
Simula un attaccante esterno che non ha alcuna informazione sull’azienda
Il tester riceve solo il nome dell’azienda e il dominio. Deve scoprire da solo l’infrastruttura, i servizi esposti, le tecnologie utilizzate e le vulnerabilità da sfruttare. È lo scenario più realistico ma anche il più costoso (in termini di tempo) e con la copertura più limitata. Ideale per: verificare la resilienza del perimetro esterno e testare le capacità di detection del SOC.
Gray Box — L’insider limitato
Simula un attaccante con accesso parziale (dipendente, fornitore, credenziali rubate)
Il tester riceve informazioni parziali: una mappa di rete di alto livello, credenziali di un utente standard, documentazione delle applicazioni. Questo permette di concentrare il tempo sullo sfruttamento delle vulnerabilità anziché sulla fase di discovery. Offre il miglior equilibrio tra realismo e profondità dell’analisi. Ideale per: la maggior parte delle PMI che vogliono il massimo valore dal budget disponibile.
White Box — L’analisi completa
Simula un’analisi con pieno accesso a documentazione, codice e credenziali
Il tester riceve tutto: documentazione di rete completa, diagrammi, codice sorgente delle applicazioni, credenziali di amministratore. Permette l’analisi più profonda possibile, inclusa la code review di sicurezza. Identifica vulnerabilità che un black box o gray box non troverebbe mai. Ideale per: applicazioni web critiche, software custom, sistemi che gestiscono dati altamente sensibili.
Per una PMI italiana, raccomandiamo il Gray Box come scelta predefinita. Offre una copertura significativamente migliore del Black Box a un costo inferiore, e simula lo scenario più probabile di attacco (un attaccante che ha ottenuto un punto d'appoggio iniziale tramite phishing o credenziali compromesse). Il Black Box è utile come esercizio aggiuntivo per testare il SOC; il White Box è consigliato per le applicazioni web critiche.
Penetration Test vs Vulnerability Assessment
La differenza fondamentale è semplice: il Vulnerability Assessment identifica le vulnerabilità, il Penetration Test le sfrutta. Il VA è come un ispettore che controlla tutte le serrature e ti dice quali sono difettose. Il Pentest è come un ladro professionista che cerca di aprire quelle serrature e ti mostra esattamente come è entrato e cosa avrebbe potuto rubare.
Non sono alternativi: sono complementari. La strategia ottimale per una PMI è:
Vulnerability Assessment trimestrale/semestrale
Mappa sistematicamente tutte le vulnerabilità e monitora il trend nel tempo. Costo contenuto, copertura ampia.
Penetration Test annuale
Verifica se le vulnerabilità più critiche sono effettivamente sfruttabili e testa le difese in profondità.
Remediation continua
Correggi le vulnerabilità trovate, partendo dalle critiche. Verifica le correzioni nel VA successivo.
Per un approfondimento completo sul Vulnerability Assessment, consulta la nostra guida dedicata al VA.
Le 5 Fasi di un Penetration Test Professionale
Un Pentest professionale segue una metodologia strutturata, tipicamente basata su framework riconosciuti come OWASP, PTES (Penetration Testing Execution Standard) o OSSTMM. Le fasi sono le seguenti:
Reconnaissance — Raccolta informazioni
Il tester raccoglie tutte le informazioni disponibili sul target: domini, sottodomini, indirizzi IP, tecnologie web (OSINT), dipendenti (LinkedIn, social), email aziendali, documenti pubblici con metadati, record DNS, certificati SSL. Questa fase è cruciale: un buon reconnaissance può rivelare credenziali esposte in data breach precedenti, server dimenticati, o informazioni che facilitano il social engineering. Strumenti tipici: Maltego, theHarvester, Shodan, Recon-ng, Google Dorks.
Scanning — Mappatura e scansione
Con le informazioni raccolte, il tester mappa la superficie di attacco: porte aperte, servizi in ascolto, versioni software, sistemi operativi, applicazioni web. Si eseguono sia scansioni automatizzate (Nmap, Nessus, Burp Suite) sia analisi manuali per identificare le vulnerabilità più promettenti. La fase di scanning nel Pentest è più mirata e aggressiva rispetto a quella del VA: il tester cerca attivamente i punti deboli più sfruttabili.
Exploitation — Sfruttamento delle vulnerabilità
La fase che distingue il Pentest dal VA. Il tester tenta attivamente di sfruttare le vulnerabilità trovate per ottenere accesso non autorizzato. Questo include: exploit di vulnerabilità software (buffer overflow, SQL injection, RCE), attacchi alle credenziali (brute force, credential stuffing, password spraying), social engineering (phishing mirato, pretexting), e bypass dei controlli di sicurezza. Ogni compromissione viene documentata con prove: screenshot, log, hash delle password estratte, file esfiltràti.
Post-exploitation — Escalation e movimento laterale
Dopo l’accesso iniziale, il tester simula ciò che un attaccante farebbe nella realtà: privilege escalation (da utente base ad amministratore), lateral movement (muoversi tra i sistemi della rete), data exfiltration (identificare e ‘rubare’ dati sensibili), persistence (installare backdoor per mantenere l’accesso). L’obiettivo è dimostrare l’impatto massimo: compromissione del domain controller, accesso ai backup, lettura dei dati finanziari. Questa fase rivela quanto i sistemi interni siano segmentati e protetti.
Reporting — Documentazione e raccomandazioni
Il report finale è il deliverable più importante del Pentest. Include: executive summary per il management (rischio complessivo, impatto business), dettaglio tecnico di ogni vulnerabilità sfruttata (con prove), attack chain completa (come l’attaccante è passato dal punto A al punto Z), classificazione del rischio (CVSS + contesto aziendale), raccomandazioni di remediation prioritizzate, e timeline della remediation consigliata. Un buon report trasforma i risultati tecnici in decisioni di business.
Metti alla Prova le Difese della Tua Azienda
BullTech esegue Penetration Test professionali per PMI in Lombardia. Scopri cosa vedrebbe un attaccante reale e rafforza le tue difese.
Richiedi un Pentest per la Tua AziendaWeb App, Network e Social Engineering Pentest
Oltre alla classificazione per livello di informazioni (black/gray/white box), i Penetration Test si distinguono anche per il target dell'attacco. I tre tipi più comuni sono:
Web Application Pentest
Si concentra sulle applicazioni web (sito aziendale, portale clienti, e-commerce, web app interne). Verifica le vulnerabilità OWASP Top 10: injection, broken access control, XSS, CSRF, autenticazione debole. Utilizza strumenti come Burp Suite, OWASP ZAP, SQLMap. Fondamentale se hai applicazioni web esposte su Internet.
Network Pentest
Attacca l’infrastruttura di rete: firewall, server, Active Directory, VPN, Wi-Fi, sistemi di virtualizzazione. L’obiettivo è compromettere il dominio, accedere a dati critici, dimostrare il lateral movement. Include sia il perimetro esterno (IP pubblici) che la rete interna (LAN). Il tipo più richiesto dalle PMI.
Social Engineering Pentest
Testa il fattore umano: phishing mirato (spear phishing), vishing (telefonate), pretexting (impersonificazione), USB drop. Misura la percentuale di dipendenti che cadono nell’inganno e la velocità di segnalazione. Spesso combinato con il network pentest per simulare un attacco end-to-end realistico.
Per una PMI, il network pentest è quasi sempre il punto di partenza consigliato: testa l'intera infrastruttura, dalla rete esterna all'Active Directory. Se hai applicazioni web esposte, aggiungere un web application pentest è fortemente raccomandato. Il social engineering è un complemento eccellente per testare l'efficacia della formazione cybersecurity dei dipendenti.
NIS2 e Obbligo di Test Periodici
La direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) ha cambiato radicalmente il panorama normativo per la cybersecurity aziendale. Tra le 10 misure di sicurezza obbligatorie per i soggetti essenziali e importanti, l'Art. 21 prevede espressamente:
NIS2: Requisiti rilevanti per il Pentest
Le linee guida ENISA e ACN raccomandano esplicitamente il Penetration Testing come metodo di verifica. In caso di incidente, le autorità verificheranno se l'azienda aveva un programma di testing attivo e documentato. Avere un report di Pentest recente è una delle migliori difese legali in caso di data breach. Per approfondire gli obblighi NIS2, leggi la nostra guida completa NIS2 per aziende.
Come Scegliere un Provider di Penetration Test
La qualità di un Pentest dipende interamente dalla competenza del team che lo esegue. Ecco i criteri fondamentali per scegliere un provider affidabile:
Certificazioni riconosciute
Cerca team con certificazioni come OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester), eWPT (Web Application Penetration Tester). L’OSCP è considerata la certificazione gold standard nel settore.
Metodologia documentata
Il provider deve seguire una metodologia riconosciuta (OWASP, PTES, OSSTMM) e documentarla nel contratto. Chiedi una descrizione delle fasi e degli strumenti che utilizzerà.
Report di esempio
Chiedi un report di esempio (anonimizzato). Un buon report include executive summary, dettagli tecnici con prove, attack chain, classificazione CVSS e raccomandazioni di remediation con priorità.
Assicurazione professionale
Il provider deve avere un’assicurazione di responsabilità professionale. Un Pentest è per natura un’attività con rischio residuo: l’assicurazione protegge entrambe le parti.
Rules of Engagement chiare
Prima del test deve essere firmato un documento che definisce: scope (cosa è incluso/escluso), orari, tecniche permesse/vietate, contatti di emergenza, procedure di escalation.
Supporto post-test
Un buon provider offre supporto nella fase di remediation: spiega le vulnerabilità al team IT, suggerisce soluzioni pratiche e può eseguire un retest per verificare le correzioni.
Attenzione ai prezzi troppo bassi: un Pentest a €1.000-2.000 è quasi certamente solo una scansione automatica con Nessus rinominata "Pentest". Un Pentest reale richiede giorni di lavoro manuale da parte di professionisti altamente qualificati. Per i servizi di testing della sicurezza, scopri il nostro servizio SOC/MDR che include attività di testing periodiche.
Costi per PMI: Quanto Costa un Penetration Test
I costi di un Pentest dipendono dallo scope (cosa si testa), dalla profondità (black/gray/white box) e dalla dimensione dell'infrastruttura. Ecco una panoramica realistica per le PMI italiane:
| Tipo di Pentest | Costo indicativo | Durata |
|---|---|---|
| Network Pentest esterno | € 5.000 - 12.000 | 3-5 giorni |
| Network Pentest interno | € 8.000 - 18.000 | 5-10 giorni |
| Web Application Pentest (singola app) | € 4.000 - 10.000 | 3-7 giorni |
| Social Engineering (phishing + vishing) | € 3.000 - 8.000 | 2-5 giorni |
| Pentest completo (esterno + interno + web) | € 15.000 - 30.000 | 10-20 giorni |
| Retest post-remediation | € 1.500 - 3.000 | 1-2 giorni |
Il nostro consiglio per le PMI con budget limitato: inizia con un Vulnerability Assessment completo (€3.000-8.000) per avere una mappa di tutte le vulnerabilità. Poi, con i risultati del VA, pianifica un Pentest mirato sugli asset più critici (€5.000-12.000). Questo approccio graduale massimizza il valore di ogni euro investito.
Domande Frequenti
Cos'è un Penetration Test in parole semplici?
Un Penetration Test (o Pentest) è un attacco informatico simulato e autorizzato alla tua azienda, condotto da esperti di sicurezza (ethical hacker). L'obiettivo è dimostrare concretamente cosa potrebbe fare un criminale informatico se attaccasse la tua rete, i tuoi server o le tue applicazioni. A differenza di una scansione automatica, il Pentest utilizza le stesse tecniche, strumenti e creatività di un vero attaccante, ma in modo controllato e senza causare danni. Il risultato è un report con le prove delle vulnerabilità sfruttate e l'impatto reale che un attacco avrebbe sulla tua azienda.
Qual è la differenza tra black box, gray box e white box?
La differenza sta nel livello di informazioni fornite al tester prima dell'attacco. Nel Black Box, il tester non riceve alcuna informazione sull'infrastruttura: simula un attaccante esterno che parte da zero. Nel Gray Box, il tester riceve informazioni parziali (ad esempio credenziali di un utente base, documentazione di rete): simula un dipendente malevolo o un attaccante che ha già un punto d'appoggio. Nel White Box, il tester riceve accesso completo a documentazione, codice sorgente e credenziali: permette l'analisi più profonda possibile. Per una PMI, il Gray Box offre il miglior rapporto tra copertura e costo.
Il Penetration Test può causare problemi ai sistemi aziendali?
Un Pentest condotto da professionisti qualificati ha un rischio molto basso di causare disservizi. Prima del test viene concordato un 'Rules of Engagement' che definisce: orari di esecuzione (preferibilmente fuori dall'orario lavorativo per i test più aggressivi), sistemi esclusi (ad esempio sistemi produttivi critici), tecniche vietate (ad esempio denial of service), e procedure di escalation in caso di problemi. Detto questo, il Pentest è per natura più invasivo di un Vulnerability Assessment: un rischio residuo minimo esiste. Per questo è fondamentale affidarsi a professionisti certificati con esperienza su infrastrutture simili alla tua.
Ogni quanto va eseguito un Penetration Test?
La frequenza raccomandata per un Penetration Test completo è almeno annuale per la maggior parte delle PMI. Per le aziende soggette a NIS2, PCI DSS o che gestiscono dati particolarmente sensibili, la frequenza può essere semestrale. È fondamentale eseguire un Pentest anche dopo cambiamenti significativi: lancio di nuove applicazioni web, migrazione cloud, fusioni aziendali, o dopo aver subito un incidente di sicurezza. Il Pentest annuale va integrato con Vulnerability Assessment trimestrali o semestrali per un monitoraggio continuo.
Quanto costa un Penetration Test per una PMI?
I costi variano significativamente in base allo scope e alla complessità. Un Pentest esterno di rete per una PMI costa tra €5.000 e €12.000. Un Pentest di applicazione web singola costa €4.000-10.000. Un Pentest interno completo (rete + Active Directory) costa €8.000-20.000. Un Pentest completo (esterno + interno + web + social engineering) costa €15.000-30.000. Per una PMI con budget limitato, il consiglio è iniziare con un VA completo (€3.000-8.000) e poi fare un Pentest mirato sugli asset più critici (€5.000-12.000).
Il Penetration Test è obbligatorio con la NIS2?
La direttiva NIS2 non menziona esplicitamente il termine 'penetration test', ma richiede la 'gestione delle vulnerabilità' e 'politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi'. Un programma di testing che includa VA regolari e Pentest periodici è il modo più diretto per dimostrare la compliance a questi requisiti. Inoltre, le linee guida ENISA e ACN raccomandano esplicitamente il penetration testing come parte delle misure di verifica. Di fatto, in caso di audit o incidente, dimostrare di aver eseguito Pentest periodici rafforza enormemente la posizione dell'azienda.
Il Penetration Test è lo strumento più efficace per verificare la reale resilienza della tua azienda di fronte a un attacco informatico. Non aspettare che sia un criminale a trovare le tue debolezze: contattaci per pianificare un Pentest professionale. BullTech opera in tutta la Lombardia dalla sede di Vimercate (Monza Brianza), con team certificati e metodologie conformi agli standard internazionali.