Sia il Penetration Test (PenTest) che il Vulnerability Assessment (V.A.) hanno lo scopo di cercare eventuali vulnerabilità presenti in quel preciso momento nell’infrastruttura aziendale.
Per comprenderne la profonda differenza, è bene analizzare queste attività singolarmente.
L’obiettivo di un PenTest è quello di tentare di sfruttare delle vulnerabilità (note o non note) per verificare se sia possibile ottenere l’accesso ad una risorsa e/o eseguire attività dannose all’interno della rete.
A seconda delle necessità espresse dall’Azienda, vengono organizzate delle modalità di lavoro “customizzate” che contemplano numerose attività come, ad esempio: eseguire una scansione delle vulnerabilità fino a trovarne una utilizzabile e sfruttarla; nel caso non se ne trovassero, ingegnerizzare degli exploit per riuscire ad accedere all’infrastruttura; eseguire un’attività di “ethical phishing” per verificare se qualche dipendente abbia lasciato aperta o apra delle vie di accesso; eccetera.
È molto importante valutare anche un PenTest interno alla rete in quanto alcune anomalie possono trovarsi dentro il perimetro.
È facile, quindi, immaginare come il PenTest sia un’attività principalmente manuale e molto mirata: ha il vantaggio di essere accuratissima e richiede specifiche competenze e consistenti effort in termini di tempo.
Per questo motivo, in genere, il PenTest è consigliato a chi abbia un preciso obbiettivo (es. verifica delle vulnerabilità di accesso all’e-commerce, analisi delle vulnerabilità legati ad un’applicazione, ecc…).
PenTest su tutta la rete? Possibile, sì ma va considerato che, se alcuni IP possono essere analizzati in soli 15 minuti, per altri sono necessarie giornate intere di lavoro: visti i costi, sarebbe bene agire su una rete già ottimizzata dalle remediation scaturite da un V.A. preventivo.
Un’attività di V.A. va ad individuare solo le vulnerabilità note e le classifica in base alla loro criticità ed impatto in modo che vengano “rimediate” prima che possano essere sfruttate da qualche malintenzionato.
Il V.A. viene eseguito con il supporto di strumenti tecnologici (sonde) che offrono numerosi vantaggi come ad esempio: sapere cosa sia presente nell’infrastruttura di rete; analizzare il comportamento degli asset; verificare velocemente enormi quantità di bersagli considerando anche il fatto che potrebbero verificarsi falsi positivi.
Ad ogni macchina e ad ogni servizio vengono “chieste” tutte le informazioni che questo possa produrre; ad esempio, potrebbe emergere che un server non sia vulnerabile ma che lo sia il servizio che ospita.
Al termine dell’analisi, viene generato un report anonimo, privo di falsi positivi e, soprattutto, comprensibile al cliente; il report suggerisce in che ordine ed in che modo rimediare alle criticità riscontrate.
Vuoi che i rimedi apportati alla tua infrastruttura seguano l’evoluzione aziendale? Chiedici del Servizio di Vulnerability Management.
MEAD, con 30 anni di esperienza, oltre 100 System Engineer ed una rete di prevendita tecnico/commerciale che copre tutto il territorio nazionale è in grado di consigliarti e di accompagnarti nel tuo percorso volto alla Business Continuity aziendale.