Cybersecurity – Quali sono le differenze tra Vulnerability Assessment e Penetration Testing
Analizziamo le differenze tra la valutazione della vulnerabilità (Vulnerability Assessment) e i Test di penetrazione (Pentest)
Molti professionisti della cybersecurity conoscono bene i termini “Valutazione della vulnerabilità” e “test di penetrazione” .
Purtroppo, in molti casi, questi due termini sono usati erroneamente. Questo post mira a chiarire le differenze tra la valutazione della vulnerabilità e i test di penetrazione e a dimostrare che entrambi sono componenti integranti di un programma completo di gestione della vulnerabilità e a capire quando e dove ciascuno di essi è più appropriato.
Cosa è “Vulnerability Assessment”
Una valutazione della vulnerabilità è il processo di individuazione e misurazione della gravità delle vulnerabilità in un certo sistema. Le valutazioni della vulnerabilità forniscono elenchi di vulnerabilità, spesso con priorità in base alla gravità e/o alla criticità aziendale.
Le valutazioni della vulnerabilità implicano in genere l’ uso di strumenti di test automatizzati come gli scanner di sicurezza web e di rete, i cui risultati vengono generalmente valutati e portati a team di sviluppo e operativi. In altre parole, le valutazioni della vulnerabilità implicano una valutazione approfondita di una “security posture” progettata per individuare le debolezze e raccomandare misure correttive o di attenuazione adeguate per eliminare o ridurre il rischio.
Analizziamo il “Test di penetrazione”
Un “pentest” ha meno a che fare con la scoperta delle vulnerabilità, ed è piuttosto più focalizzato sulla simulazione di un attacco reale, testando difese e tracciati di mappatura che un vero aggressore potrebbe prendere per raggiungere un obiettivo del mondo reale. In altre parole, un test di penetrazione riguarda solitamente il modo in cui un aggressore è in grado di infrangere le difese e meno le vulnerabilità specifiche.
I test di penetrazione, come la valutazione della vulnerabilità, implicano anche l’ uso di scanner automatizzati di vulnerabilità e altri strumenti manuali per individuare le vulnerabilità nelle applicazioni web e nell’infrastruttura di rete. Anche se può essere più comune nel “pentesting a catena” e sfruttare le vulnerabilità per raggiungere l’obiettivo, questo può anche essere una caratteristica della valutazione della vulnerabilità. Al contrario, non tutti i elements exploitation includono lo sfruttamento di elementi tali da dimostrare che un attacco può essere sufficiente.
In tal senso, la differenza fondamentale tra la “valutazione della vulnerabilità” e i “test di penetrazione” è data dal fatto che il primo è list-oriented mentre il secondo è goal-oriented.
Quindi, dato che la valutazione della vulnerabilità e i test di penetrazione tipicamente sfruttano molti degli stessi strumenti e tecniche, quale metodologia si dovrebbe scegliere, quando e perché?
I “test di penetrazione” testano le difese di sicurezza attraverso un percorso atto a raggiungere un obiettivo (goal-oriented), è quindi generalmente più utile quando il livello di maturità di sicurezza del target è elevato – cioè quando le difese di sicurezza del target sono ritenute forti. La prova di penetrazione è una metodologia efficace per testare le affermazioni relative alle difese dei sistemi con obiettivi specifici. Ciò significa che la prova di penetrazione è particolarmente adatta nelle situazioni in cui si preferisce agire più in “profondità” depth over breadth.
La “valutazione della vulnerabilità”, d’altro canto, è particolarmente adatta in situazioni in cui esistono problemi di sicurezza noti (list-oriented), o quando un’organizzazione che non è così matura vorrebbe iniziare o investire in cybersecurity. In alternativa, la valutazione della vulnerabilità è una metodologia ideale per le organizzazioni che hanno una maturità di sicurezza medio-alta e vorrebbero mantenere la loro posizione di sicurezza attraverso una valutazione continua della vulnerabilità, particolarmente efficace quando si fa leva sui test di sicurezza automatizzati.
La valutazione della vulnerabilità è quindi una metodologia che si concentra sulla fornitura alle aziende ed organizzazioni che hanno soffrono di una lista di vulnerabilità che devono essere risolte, senza valutare specifici obiettivi o scenari di attacco. Ciò rende la valutazione della vulnerabilità più adatta a determinate situazioni in cui si preferisce a differenza dei test di penetrazione un’ ampiezza superiore a discapito della profondità (breadth over depth).
