Differenze fra Vulnerability Assessment e Penetration Test
Al giorno d’oggi avere un buon sistema di Sicurezza Informatica è di fondamentale importanza, visti gli innumerevoli attacchi fatti da Cyber Criminali sfruttando le vulnerabilità dei sistemi e delle applicazioni.
Per ovviare a seccature derivanti dal Data Breach di hacker, ci vengono in contro il Vulnerability Assessment e Penetration Test, due tipologie di analisi di sicurezza da apportare ai nostri sistemi.
Generalmente questi due sistemi vengono confusi o usati in modo intercambiabile, ma esistono grandi differenze.
Il Vulnerability Assessment (VA) è un’analisi di sicurezza che ha l’obiettivo di identificare tutti le vulnerabilità potenziali dei sistemi e delle applicazioni.
Quest’analisi viene fatta simulando sia “un’attaccante” che ha piena coscienza dei sistemi, sia “un’attaccante” che non ha alcuna coscienza dei sistemi, utilizzando o strumenti automatizzati o tecniche manuali più precise.
L’attività di VA è di fondamentale importanza poiché stabilisce delle priorità in un piano di intervento, atto a potenziare e a innalzare il livello della sicurezza informatica.
Il Penetration Test (PT) invece è una simulazione di un attacco autorizzato su un sistema o su una rete informatica, interpretando un hacker malintenzionato, per testare e stabilire la sicurezza del sistema rispetto agli attacchi ricevuti.
In parole povere, fa un “esame” dei punti deboli e, una volta scoperti, prova ad exploitarli in maniera sicura e controllata.
Di solito il PT viene utilizzato in casi particolarmente delicati dove ce bisogno di un grado maggiore di approfondimento.
Grazie a al Penetration test, è possibile individuare:
- punti deboli nella progettazione della rete;
- vulnerabilità, bug, security hole nel software presente;
- punti deboli di router, firewall e configurazione dei web-server;
- errori nella configurazione dei principali servizi.
Il test fornisce una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei confronti:
- delle vulnerabilità interne al sistema;
- delle vulnerabilità esterne al sistema;
- della sicurezza fisica.
L’obiettivo del PT è quello di individuare le vulnerabilità che gli hacker potrebbero sfruttare per accedere al sistema e ai servizi analizzati senza alcuna autorizzazione, causando gravi danni.
Se sei interessato ad approfondire l’argomento per il tuo business, contattaci qui sotto