Immagina di assumere un ladro professionista per testare la sicurezza della tua casa. Gli dai carta bianca per tentare di entrare, e poi ti dice esattamente dove sei vulnerabile. E esattamente quello che fa un penetration test (pentest) per la tua infrastruttura informatica.
La NIS2 non menziona esplicitamente il penetration test, ma richiede misure di sicurezza basate su un risk assessment aggiornato — e un pentest e lo strumento migliore per verificare se le difese funzionano davvero. E molto diverso da un vulnerability scan automatico: il pentest simula un attaccante reale, con creativita e persistenza.
Tipi di penetration test
| Tipo | Cosa testa | Quando usarlo |
|---|---|---|
| External pentest | Perimetro esterno: firewall, servizi esposti, web app | Almeno annuale per tutti |
| Internal pentest | Rete interna: movimento laterale, escalation | Annuale per soggetti NIS2 |
| Web application pentest | Vulnerabilita applicative: SQL injection, XSS, auth | Per ogni app critica |
| Social engineering | Fattore umano: phishing, pretexting, tailgating | Semestrale o annuale |
| Red team | Simulazione attacco completo multi-vettore | Annuale per organizzazioni mature |
| OT/ICS pentest | Sistemi industriali: SCADA, PLC, reti OT | Per aziende manifatturiere |
Pentest vs Vulnerability Assessment
Molti confondono i due termini, ma sono servizi diversi. Il vulnerability assessment e un'analisi automatica che identifica le vulnerabilita note (software non aggiornato, configurazioni deboli, porte aperte). Il penetration test va oltre: un ethical hacker tenta attivamente di sfruttare le vulnerabilita per verificare se portano a una compromissione reale. Il VA ti dice dove sei debole, il pentest ti dimostra cosa puo succedere se qualcuno sfrutta quelle debolezze.
Cosa aspettarsi da un pentest
Un pentest professionale dura tipicamente da 5 a 20 giorni lavorativi, a seconda del perimetro. Il risultato e un report dettagliato che include: le vulnerabilita trovate classificate per severita, le prove di compromissione (screenshot, dati esfiltrati), il percorso di attacco seguito, e le raccomandazioni per la remediation.
Un buon report non si limita a elencare vulnerabilita — racconta la storia dell'attacco: "Partendo da un'email di phishing, abbiamo ottenuto le credenziali di un utente. Da li, sfruttando un server non patchato, abbiamo raggiunto il database clienti e esfiltrato 50.000 record." Questo tipo di narrazione e molto piu efficace per convincere il management a investire nella sicurezza.
Come scegliere il provider di pentest
- Certificazioni — cerca professionisti con OSCP, OSCE, CREST, CEH. L'OSCP e il gold standard
- Esperienza nel tuo settore — un pentester che conosce il manifatturiero testa cose diverse da uno specializzato in fintech
- Metodologia — deve seguire standard riconosciuti (OWASP, PTES, OSSTMM)
- Assicurazione — il provider deve avere un'assicurazione professionale adeguata
- Report di qualita — chiedi un esempio di report (anonimizzato) prima di ingaggiare
- Non solo automatici — diffidate di chi fa solo scan automatici spacciandoli per pentest
Costi e frequenza
Un pentest esterno per una PMI costa tra 3.000 e 10.000 euro. Un pentest interno aggiunge 5.000-15.000 euro. Un web application pentest va da 3.000 a 20.000 euro a seconda della complessita. Un red team completo per una grande organizzazione puo costare 30.000-100.000 euro. La frequenza consigliata per la NIS2 e almeno annuale, con test aggiuntivi dopo cambiamenti significativi dell'infrastruttura.