Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ESPERTO RISPONDE

Identificare le vulnerabilità nelle grandi infrastrutture informatiche: che differenza c’è tra Vulnerability Assessment e Penetration Test?

10 Ott 2018

Alessio Pennasilico

Information & Cyber Security Advisor presso Partners4Innovation


DOMANDA

Noto spesso utilizzare i termini “Vulnerability Assessment” e “Penetration Test” quasi come fossero intercambiabili e di pari significato. Qual è la vera differenza tra i due?

ST

RISPOSTA

Secondo la “letteratura classica” sul tema, il Vulnerability Assessment è la famiglia generica che contiene al suo interno tutti i possibili test (assessment) tesi a identificare vulnerabilità.

Il Penetration Test (PT) è uno di questi test, uno dei più completi, che prevede un attacco vero e proprio, condotto da esperti autorizzati, che si comportano come fossero veri e propri criminali.

Nel tempo il nome Vulnerability Assessment (VA) è diventato sinonimo, poiché quasi sempre utilizzato con questo significato, di Vulnerability Scan: vale a dire un test “superficiale ma ampio” teso a identificare tutte le problematiche gravi e note (ad esempio, mancanza di patch, errori di configurazione più diffusi, vulnerabilità macroscopiche ecc.). Il test viene svolto testando ad una ad una la presenza di “problemi” rispetto ad un database di “problemi noti”.

Il VA viene eseguito con software automatici che hanno il vantaggio di poter fare un enorme numero di verifiche su un enorme numero di macchine e servizi. Il contro è la scarsa accuratezza e la presenza nei risultati di molti falsi positivi (segnalazione di problemi inesistenti) e falsi negativi (mancata segnalazione di altri problemi gravi). È comunque una attività molto utile poiché permette, con costi/effort contenuti, di identificare le principali anomalie e di tenere costantemente sotto controllo lo stato di infrastrutture anche molto grandi. Proprio per questa ragione questa attività, oltre che sui servizi pubblicati su Internet, viene spesso svolta sui servizi interni.

Il PT, invece, è un’attività principalmente manuale che ha il grosso pro di essere molto accurata ed il contro di avere un più alto costo/effort e la necessità di personale altamente competente.

Quasi sempre il VA è attività propedeutica al PT poiché permette di ottenere il primo feedback sullo stato dei servizi oggetto di test, poi raffinati manualmente ed approfonditi manualmente da personale esperto.

Purtroppo, nel tempo, molti VA sono stati proposti utilizzando la nomenclatura PT, soprattutto da aziende in grado di utilizzare il software automatico ma prive delle competenze per l’esecuzione di un PT, creando molta confusione di nomenclatura dei servizi sul mercato.

Mandate i vostri quesiti ai nostri esperti

Quesiti legal: espertolegal@cybersecurity360.it

Quesiti tecnologici: espertotech@cybersecurity360.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5