Mostra tutti

Cybersecurity – Quali sono le differenze tra Vulnerability Assessment e Penetration Testing

Analizziamo le differenze tra la valutazione della vulnerabilità (Vulnerability Assessment) e i Test di penetrazione (Pentest)

Molti professionisti della cybersecurity conoscono bene i termini “Valutazione della vulnerabilità” e “test di penetrazione” .

Purtroppo, in molti casi, questi due termini sono usati erroneamente. Questo post mira a chiarire le differenze tra la valutazione della vulnerabilità e i test di penetrazione e a dimostrare che entrambi sono componenti integranti di un programma completo di gestione della vulnerabilità e a capire quando e dove ciascuno di essi è più appropriato.

Cosa è “Vulnerability Assessment”

Una valutazione della vulnerabilità è il processo di individuazione e misurazione della gravità delle vulnerabilità in un certo sistema. Le valutazioni della vulnerabilità forniscono elenchi di vulnerabilità, spesso con priorità in base alla gravità e/o alla criticità aziendale.

Le valutazioni della vulnerabilità implicano in genere l’ uso di strumenti di test automatizzati come gli scanner di sicurezza web e di rete, i cui risultati vengono generalmente valutati e portati a team di sviluppo e operativi. In altre parole, le valutazioni della vulnerabilità implicano una valutazione approfondita di una “security posture” progettata per individuare le debolezze e raccomandare misure correttive o di attenuazione adeguate per eliminare o ridurre il rischio.

Vulnerability Assessment, Penetration Testing, Pentest, valutazione delle vulnerabilità, cybersecurity,

Analizziamo il “Test di penetrazione”

Un “pentest” ha meno a che fare con la scoperta delle vulnerabilità, ed è piuttosto più focalizzato sulla simulazione di un attacco reale, testando difese e tracciati di mappatura che un vero aggressore potrebbe prendere per raggiungere un obiettivo del mondo reale. In altre parole, un test di penetrazione riguarda solitamente il modo in cui un aggressore è in grado di infrangere le difese e meno le vulnerabilità specifiche.

I test di penetrazione, come la valutazione della vulnerabilità, implicano anche l’ uso di scanner automatizzati di vulnerabilità e altri strumenti manuali per individuare le vulnerabilità nelle applicazioni web e nell’infrastruttura di rete. Anche se può essere più comune nel “pentesting a catena” e sfruttare le vulnerabilità per raggiungere l’obiettivo, questo può anche essere una caratteristica della valutazione della vulnerabilità. Al contrario, non tutti i elements exploitation includono lo sfruttamento di elementi tali da dimostrare che un attacco può essere sufficiente.

In tal senso, la differenza fondamentale tra la “valutazione della vulnerabilità” e i “test di penetrazione” è data dal fatto che il primo è list-oriented mentre il secondo è goal-oriented.

Quindi, dato che la valutazione della vulnerabilità e i test di penetrazione tipicamente sfruttano molti degli stessi strumenti e tecniche, quale metodologia si dovrebbe scegliere, quando e perché?

I “test di penetrazione” testano le difese di sicurezza attraverso un percorso atto a raggiungere un obiettivo (goal-oriented), è quindi generalmente più utile quando il livello di maturità di sicurezza del target è elevato – cioè quando le difese di sicurezza del target sono ritenute forti. La prova di penetrazione è una metodologia efficace per testare le affermazioni relative alle difese dei sistemi con obiettivi specifici. Ciò significa che la prova di penetrazione è particolarmente adatta nelle situazioni in cui si preferisce agire più in “profondità” depth over breadth.

La “valutazione della vulnerabilità”, d’altro canto, è particolarmente adatta in situazioni in cui esistono problemi di sicurezza noti (list-oriented), o quando un’organizzazione che non è così matura vorrebbe iniziare o investire in cybersecurity. In alternativa, la valutazione della vulnerabilità è una metodologia ideale per le organizzazioni che hanno una maturità di sicurezza medio-alta e vorrebbero mantenere la loro posizione di sicurezza attraverso una valutazione continua della vulnerabilità, particolarmente efficace quando si fa leva sui test di sicurezza automatizzati.

La valutazione della vulnerabilità è quindi una metodologia che si concentra sulla fornitura alle aziende ed organizzazioni che hanno soffrono  di una lista di vulnerabilità che devono essere risolte, senza valutare specifici obiettivi o scenari di attacco. Ciò rende la valutazione della vulnerabilità più adatta a determinate situazioni in cui si preferisce a differenza dei test di penetrazione un’ ampiezza superiore a discapito della profondità (breadth over depth).

Scopri come possiamo proteggere la tua Azienda e la tua Casa

 

libro vita da hacker

Ti potrebbero interessare

5 Febbraio 2024

EU AI ACT: la nuova normativa Europea sull’Intelligenza Artificiale

Continua
29 Gennaio 2024

Essere un imprenditore digitale nel 2024: strategie e sfide

Continua
8 Gennaio 2024

Hacker: mito e realtà nelle profondità della rete

Continua
5 Gennaio 2024

Tesla Optimus Gen 2: un nuovo capitolo nell’Innovazione dei robot umanoidi

Continua
22 Dicembre 2023

Vita da Hacker: Dal Commodore 64 all’Intelligenza Artificiale

Continua
26 Gennaio 2020

Email temporanea senza registrazione: naviga in sicurezza e sfrutta al meglio il Web

Continua
18 Gennaio 2020

Microsoft Browser Edge – Il nuovo aggiornamento basato sul motore Chromium

Continua
14 Gennaio 2020

Vulnerabilità critiche nei sistemi operativi Microsoft Windows – AA20-014A

Continua
10 Ottobre 2019

Cybersecurity Awareness Month 2019 – Più responsabilità individuale per la sicurezza informatica

Continua
9 Ottobre 2019

IOCTA 2019 – Valutazione annuale delle minacce alla criminalità organizzata su Internet

Continua
29 Settembre 2019

Sicurezza e cittadinanza digitale – Come utilizzare la tecnologia con buon senso

Continua
22 Settembre 2019

Come proteggere la tua azienda dai malware gratuitamente

Continua
17 Settembre 2019

Simjacker – Ecco come spiare i telefoni cellulari

Continua
14 Settembre 2019

DIGITAL BODYGUARD SERVICE – Guardia del corpo digitale per la tua privacy e reputazione online

Continua
11 Settembre 2019

Opzioni e valutazione delle impostazioni di sicurezza del browser Web

Continua
11 Settembre 2019

Cosa sono ed a cosa servono i cookie ed il contenuto attivo

Continua
30 Agosto 2019

Come proteggersi dai rischi legati all’uso dei social network

Continua
24 Agosto 2019

Cyber Health Check – Controllo dello stato cibernetico privato ed aziendale

Continua
21 Agosto 2019

Off-Facebook Activity – Il nuovo strumento per la privacy di Facebook

Continua
5 Agosto 2019

Come proteggere la Smart TV dalle minacce della rete

Continua
25 Luglio 2019

Privacy: Stop allo spam per i titolari delle fidelity card

Continua
16 Luglio 2019

Come difendersi dalle truffe online ed acquistare in sicurezza

Continua
2 Maggio 2019

Come mandare messaggi WhastApp multipli a tutti i contatti da pc

Continua
9 Aprile 2019

SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
11 Marzo 2019

Servizio di Scambio File in ambito eBay

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
27 Febbraio 2019

Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

Continua
9 Febbraio 2019

Password Checkup – Lo strumento di Google che controlla le credenziali compromesse

Continua
8 Febbraio 2019

Consulenti del lavoro – Quando sono responsabili del trattamento dei dati

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
4 Gennaio 2019

Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

Continua