Vulnerability Assessment e Penetration Test

Vediamo le differenze che passano tra un Penetration Test e un Vulnerability Assessment, e quali sono le analogie. Entrambi rientrano nel grande tema della cybersecurity, eppure, nonostante i punti in comune, gli obiettivi e le modalità sono diversi.

Penetration Test e Vulnerability Assessment: due aspetti della cybersecurity


Molti specialisti IT conoscono già i termini Vulnerability Assessment e Penetration Test, temi entrambi già affrontati.

Eppure, anche nel mondo IT, esiste ancora molta confusione tra le due attività.

Nel seguente post cercheremo quindi di spiegarvi le differenze principali tra Vulnerability Assessment e Penetration Test (chiamato anche Pen Test), quali sono i vantaggi e i benefici che comportano per un’azienda. Inoltre vedremo perché sono entrambi fondamentali per garantire la sicurezza dei sistemi informatici.

Iniziamo con una breve definizione che già circoscrive in sintesi le differenze tra Penetration Test e Vulnerability Assessment.

Vulnerability Assessment

Il Vulnerability Assessment è un vero e proprio check-up dei sistemi informatici. Una sorta di scanning che mira a far emergere possibili vulnerabilità dell’infrastruttura e della rete IT.

Con il Pen Test, invece, si conosce già l’obiettivo potenzialmente vulnerabile da andare a colpire. Si tratta perciò di una simulazione di attacco verso quel determinato obiettivo.

Vulnerability Assessment e penetration test

Lo scopo del Vulnerability Assessment è quindi quello di identificare quali parti del sistema risultano deboli a livello di sicurezza.

Penetration Test

Il Penetration Test, invece, è una dimostrazione pratica dell’esistenza e delle conseguenze di una particolare vulnerabilità.

Punti di incontro nell’ambito della cybersecurity

Ora che abbiamo sintetizzato in cosa differisce un Penetration Test da una scansione delle vulnerabilità, andiamo ad approfondire l’argomento per delineare ulteriori elementi distintivi e i punti di incontro.

Un’attività di Vulnerability Assessment si conclude normalmente con un report che elenca i possibili punti deboli di un sistema difensivo. Il report dovrebbe quindi riportare:

  • le vulnerabilità rilevate
  • la gravità delle vulnerabilità sulla base delle esigenze e delle criticità specifiche dell’azienda

Da un lato è importante comprendere che un solo VA non basta a un’azienda per garantire la sicurezza dei suoi sistemi informatici. Il VA può essere paragonato a un esame del sangue: se si rilevano anomalie, è importante procedere con una cura (quindi un Remediation Plan) e ripetere gli esami per verificare l’efficacia della cura stessa.

Dall’altro dev’essere chiaro che i risultati che un Vulnerability Assessment fa emergere non sono di per sé verificati. Alcuni di questi, perciò, potrebbero equivalere a dei falsi positivi.

Il Penetration Test, come già accennato, ha già valutato specifici obiettivi o scenari di attacco. Lo scopo è quello di testare l’efficacia delle difese che un hacker potrebbe voler bypassare: un Pen Tester è quindi una sorta di “hacker buono” che esegue un attacco a scopo dimostrativo, per verificare che una vulnerabilità sia effettivamente autentica e quali conseguenze comporta.

Cybersecurity: cosa scegliere per la propria azienda?

Ecco cosa deve considerare un’azienda nel decidere se eseguire un’attività di Penetration Test e/o di Vulnerability Assessment

Ampiezza e profondità

Penetration Test e Vulnerability Assessment si differenziano per la copertura della vulnerabilità: il primo ha un approccio alla profondità perché mira proprio ad approfondire una vulnerabilità specifica. Il secondo, invece, mira a scoprire quanti più possibili punti di vulnerabilità attraverso un metodo, quindi, orientato all’ampiezza.

Automazione

Un’altra differenza tra Vulnerability Assessment e Penetration Test è dovuta agli strumenti e alle modalità con cui vengono eseguiti. Il Vulnerability Assessment è un’attività sostanzialmente automatizzata, mentre il Pen Test combina automazione e tecniche manuali, proprio per il suo mirare a un obiettivo specifico: l’abilità del Penetration Tester risulta infatti fondamentale per l’esito del test stesso.

Rischio

Abbiamo detto che il Vulnerability Assessment è una scansione dei sistemi finalizzata a rilevarne i possibili punti deboli. Di per sé, quindi, non implica nessun rischio per l’azienda.
Il Pen Test, al contrario, in quanto simulazione di attacco, potrebbe colpire la funzionalità dei sistemi: questo tipo di attività si addice perciò maggiormente alle aziende più “mature” a livello di sicurezza informatica, quindi quando si ritiene che le difese del bersaglio siano forti.

La valutazione della vulnerabilità, d’altra parte, è particolarmente adatta in situazioni in cui sono noti problemi di sicurezza o quando un’organizzazione sta iniziando a impostare la sua strategia di protezione. A ogni modo, il Vulnerability Assessment è una metodologia ideale per le tutte le aziende, in quanto è essenziale mantenere il proprio livello di sicurezza alto.

Frequenza

Proprio per la natura dei rispettivi obiettivi, la frequenza con la quale eseguire le attività di Vulnerability Assessment e di Penetration Test non sono le medesime. La scansione delle vulnerabilità è un’attività che va ripetuta nel tempo con cadenza regolare, idealmente una volta al mese, per verificare lo stato di salute dei nostri sistemi di sicurezza.
Il Penetration Test, al contrario, è qualcosa che si svolge ad hoc, sulla base di particolari esigenze.

Conclusioni

Arrivati a questo punto, quindi, cosa deve scegliere un’azienda per aumentare il livello di sicurezza dei sistemi? La risposta è semplice: entrambi.

Sia il Vulnerability Assessment sia il Penetration Test, infatti, devono essere inseriti in una politica più ampia di sicurezza aziendale. Da soli, infatti, non bastano: nelle aziende deve instaurarsi una vera e propria cultura della sicurezza, che si traduca in un progetto integrato, nel quale comprendere attività di prevenzione delle minacce come il Vulnerability Assessment e il Penetration Test.

contattaci