Cybersecurity – Quali sono le differenze tra Vulnerability Assessment e Penetration Testing
Analizziamo le differenze tra la valutazione della vulnerabilità (Vulnerability Assessment) e i Test di penetrazione (Pentest)
Molti professionisti della cybersecurity conoscono bene i termini “Valutazione della vulnerabilità” e “test di penetrazione” .
Purtroppo, in molti casi, questi due termini sono usati erroneamente. Questo post mira a chiarire le differenze tra la valutazione della vulnerabilità e i test di penetrazione e a dimostrare che entrambi sono componenti integranti di un programma completo di gestione della vulnerabilità e a capire quando e dove ciascuno di essi è più appropriato.
Cosa è “Vulnerability Assessment”
Una valutazione della vulnerabilità è il processo di individuazione e misurazione della gravità delle vulnerabilità in un certo sistema. Le valutazioni della vulnerabilità forniscono elenchi di vulnerabilità, spesso con priorità in base alla gravità e/o alla criticità aziendale.
Le valutazioni della vulnerabilità implicano in genere l’ uso di strumenti di test automatizzati come gli scanner di sicurezza web e di rete, i cui risultati vengono generalmente valutati e portati a team di sviluppo e operativi. In altre parole, le valutazioni della vulnerabilità implicano una valutazione approfondita di una “security posture” progettata per individuare le debolezze e raccomandare misure correttive o di attenuazione adeguate per eliminare o ridurre il rischio.
Analizziamo il “Test di penetrazione”
Un “pentest” ha meno a che fare con la scoperta delle vulnerabilità, ed è piuttosto più focalizzato sulla simulazione di un attacco reale, testando difese e tracciati di mappatura che un vero aggressore potrebbe prendere per raggiungere un obiettivo del mondo reale. In altre parole, un test di penetrazione riguarda solitamente il modo in cui un aggressore è in grado di infrangere le difese e meno le vulnerabilità specifiche.
I test di penetrazione, come la valutazione della vulnerabilità, implicano anche l’ uso di scanner automatizzati di vulnerabilità e altri strumenti manuali per individuare le vulnerabilità nelle applicazioni web e nell’infrastruttura di rete. Anche se può essere più comune nel “pentesting a catena” e sfruttare le vulnerabilità per raggiungere l’obiettivo, questo può anche essere una caratteristica della valutazione della vulnerabilità. Al contrario, non tutti i elements exploitation includono lo sfruttamento di elementi tali da dimostrare che un attacco può essere sufficiente.
In tal senso, la differenza fondamentale tra la “valutazione della vulnerabilità” e i “test di penetrazione” è data dal fatto che il primo è list-oriented mentre il secondo è goal-oriented.
Quindi, dato che la valutazione della vulnerabilità e i test di penetrazione tipicamente sfruttano molti degli stessi strumenti e tecniche, quale metodologia si dovrebbe scegliere, quando e perché?
I “test di penetrazione” testano le difese di sicurezza attraverso un percorso atto a raggiungere un obiettivo (goal-oriented), è quindi generalmente più utile quando il livello di maturità di sicurezza del target è elevato – cioè quando le difese di sicurezza del target sono ritenute forti. La prova di penetrazione è una metodologia efficace per testare le affermazioni relative alle difese dei sistemi con obiettivi specifici. Ciò significa che la prova di penetrazione è particolarmente adatta nelle situazioni in cui si preferisce agire più in “profondità” depth over breadth.
La “valutazione della vulnerabilità”, d’altro canto, è particolarmente adatta in situazioni in cui esistono problemi di sicurezza noti (list-oriented), o quando un’organizzazione che non è così matura vorrebbe iniziare o investire in cybersecurity. In alternativa, la valutazione della vulnerabilità è una metodologia ideale per le organizzazioni che hanno una maturità di sicurezza medio-alta e vorrebbero mantenere la loro posizione di sicurezza attraverso una valutazione continua della vulnerabilità, particolarmente efficace quando si fa leva sui test di sicurezza automatizzati.
La valutazione della vulnerabilità è quindi una metodologia che si concentra sulla fornitura alle aziende ed organizzazioni che hanno soffrono di una lista di vulnerabilità che devono essere risolte, senza valutare specifici obiettivi o scenari di attacco. Ciò rende la valutazione della vulnerabilità più adatta a determinate situazioni in cui si preferisce a differenza dei test di penetrazione un’ ampiezza superiore a discapito della profondità (breadth over depth).
Questo sito Web utilizza i cookie in modo da poterti offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser e svolgono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web ritieni più interessanti e utili.
Puoi modificare le tue preferenze in qualsiasi momento tramite il pannello delle impostazioni.
Cookie strettamente necessari
I cookie strettamente necessari rimangono essere sempre attivati per poter salvare le tue preferenze (come ad esempio i carrelli) per fornire funzionalità ed erogare servizi di sicurezza e qualità.
Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.
Cookie di terze parti
Questo sito utilizza Google Analytics e Facebook Pixel per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari. Mantenere abilitato questo cookie ci aiuta a migliorare il nostro sito web per fornire funzionalità ed erogare servizi di sicurezza e qualità, fornire, monitorare e gestire i servizi, proteggerti da spam, attività fraudolente e illeciti misurando il coinvolgimento e le statistiche.
Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!
Cookie & Privacy Policy
Consulta la nostra Policy sulla Privacy e sui Cookie qui