In questo articolo cercheremo quindi di spiegarvi le principali differenze tra Vulnerability Assessment e Penetration Test (chiamato anche Pen Test), quali sono i vantaggi e i benefici che comportano per un’azienda e perché sono entrambi fondamentali al fine di garantire la sicurezza dei sistemi informatici.

Il Penetration Test e il Vulnerability Assessment, ad sono entrambi richiesti dal Payment Card Industry Data Security Standard (PCI DSS), ma spesso c’è confusione sulle differenze tra i due servizi. Spesso i due termini vengono confusi uno con l’altro, sebbene in realtà si tratti di due servizi molto diversi tra loro, sia a livello di modalità tecnica di esecuzione, che per obiettivo finale.

Tipicamente le motivazioni che spingono le aziende alla richiesta di questi tipi di servizi sono:

  • L’azienda è stata oggetto di un attacco informatico;
  • L’azienda conoscere lo stato di sicurezza della sua azienda in modo da pianificare gli interventi di remediation in ambito sicurezza.

Vulnerability Assessment vs Pen Test

Quali sono le differenze tra Penetration Test e Vulnerability Assessment?

Il Vulnerability Assessment è una vera e propria scansione che si pone l’obiettivo di evidenziare le vulnerabilità presenti o rilevate all’interno dell’infrastruttura e della rete IT.

Nelle attività di Penetration Test, invece, una volta conosciuto l’obiettivo potenzialmente vulnerabile, si cerca di sfruttare la falla evidenziata, al fine di portare a termine l’attacco ed analizzarne i risultati.

Anche gli scopi quindi sono diversi: quello del Vulnerability Assessment è di identificare quali parti del sistema risultano deboli a livello di sicurezza, mentre quello del Penetration Test, è dimostrare  l’esistenza di una particolare vulnerabilità e sfruttare ciò che viene reso disponibile da quest’ultima.

penetration test vs vulnerability assessment

Vulnerability Assessment

Il VA tipicamente ha procedimenti ed impatti meno invasivi e rispetto ad un Pen Test. Tutte le aziende (di qualsiasi dimensione) possono richiedere un Vulnerability Assessmenttecnicamente quest’ultimo non richiede fermi operativi e quindi lo si può schedulare anche in normale orario lavorativo.

 

Penetration Test

Al contrario, un Penetration Test è un test estremamente più impattante per le organizzazioni e relative strutture informatiche. Il PT è a tutti gli effetti una simulazione di attacco verso uno spefico obiettivo e con il fine di violare il sistema informatico di un’azienda. Questo tipo di attività potrebbe anche avere delle ripercussioni sulla normale operatività ed è quindi necessario valutare attentamente tempi e modi del test.

Arrivati a questo punto, quindi, cosa deve scegliere un’azienda per aumentare il livello di sicurezza dei sistemi? La risposta è semplice: entrambi.  Sia il Vulnerability Assessment sia il Penetration Test, infatti, devono essere inseriti in una politica più ampia di sicurezza aziendale. Da soli, infatti, non bastano: nelle aziende deve instaurarsi una vera e propria cultura della sicurezza, che si traduca in un progetto integrato, nel quale comprendere attività di prevenzione delle minacce come il Vulnerability Assessment e il Penetration Test

Cosa dovrebbe quindi scegliere un’azienda per aumentare il livello di sicurezza dei sistemi? La risposta è semplice: entrambi.

Sia il Vulnerability Assessment sia il Penetration Test, infatti, dovrebbero essere inseriti all’interno di in una politica più ampia di sicurezza aziendale. Come singoli strumenti non sono sufficienti a garantire la Sicurezza. Quest’ultima infatti la dobbiamo vedere come un processo continuo e non un prodotto o una singola attività. E’ quindi importante che nelle aziende quindi si crei una cultura della sicurezza, all’interno della quale inserire attività programmate quali il Vulnerability Assessment e il Penetration Test, al fine di testare le soglie e i livelli di sicurezza raggiunti ed adottati.