Differenze fra Vulnerability Assessment e Penetration Test

Differenze fra Vulnerability Assessment e Penetration Test

Al giorno d’oggi avere un buon sistema di Sicurezza Informatica è di fondamentale importanza, visti gli innumerevoli attacchi fatti da Cyber Criminali sfruttando le vulnerabilità dei sistemi e delle applicazioni.

Per ovviare a seccature derivanti dal Data Breach di hacker, ci vengono in contro il Vulnerability Assessment e Penetration Test, due tipologie di analisi di sicurezza da apportare ai nostri sistemi.

Generalmente questi due sistemi vengono confusi o usati in modo intercambiabile, ma esistono grandi differenze.

Il Vulnerability Assessment (VA) è un’analisi di sicurezza che ha l’obiettivo di identificare tutti le vulnerabilità potenziali dei sistemi e delle applicazioni.

Quest’analisi viene fatta simulando sia “un’attaccante” che ha piena coscienza dei sistemi, sia “un’attaccante” che non ha alcuna coscienza dei sistemi, utilizzando o strumenti automatizzati o tecniche manuali più precise.

L’attività di VA è di fondamentale importanza poiché stabilisce delle priorità in un piano di intervento, atto a potenziare e a innalzare il livello della sicurezza informatica.

Il Penetration Test (PT) invece è una simulazione di un attacco autorizzato su un sistema o su una rete informatica, interpretando un hacker malintenzionato, per testare e stabilire la sicurezza del sistema rispetto agli attacchi ricevuti.

In parole povere, fa un “esame” dei punti deboli e, una volta scoperti, prova ad exploitarli in maniera sicura e controllata.

Di solito il PT viene utilizzato in casi particolarmente delicati dove ce bisogno di un grado maggiore di approfondimento.

Grazie a al Penetration test, è possibile individuare:

  • punti deboli nella progettazione della rete;
  • vulnerabilità, bug, security hole nel software presente;
  • punti deboli di router, firewall e configurazione dei web-server;
  • errori nella configurazione dei principali servizi.

Il test fornisce una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei confronti:

  • delle vulnerabilità interne al sistema;
  • delle vulnerabilità esterne al sistema;
  • della sicurezza fisica.

L’obiettivo del PT è quello di individuare le vulnerabilità che gli hacker potrebbero sfruttare per accedere al sistema e ai servizi analizzati senza alcuna autorizzazione, causando gravi danni.

Se sei interessato ad approfondire l’argomento per il tuo business, contattaci qui sotto