In questo articolo cercheremo quindi di spiegarvi le principali differenze tra Vulnerability Assessment e Penetration Test (chiamato anche Pen Test), quali sono i vantaggi e i benefici che comportano per un’azienda e perché sono entrambi fondamentali al fine di garantire la sicurezza dei sistemi informatici.
Il Penetration Test e il Vulnerability Assessment, ad sono entrambi richiesti dal Payment Card Industry Data Security Standard (PCI DSS), ma spesso c’è confusione sulle differenze tra i due servizi. Spesso i due termini vengono confusi uno con l’altro, sebbene in realtà si tratti di due servizi molto diversi tra loro, sia a livello di modalità tecnica di esecuzione, che per obiettivo finale.
Tipicamente le motivazioni che spingono le aziende alla richiesta di questi tipi di servizi sono:
- L’azienda è stata oggetto di un attacco informatico;
- L’azienda conoscere lo stato di sicurezza della sua azienda in modo da pianificare gli interventi di remediation in ambito sicurezza.
Quali sono le differenze tra Penetration Test e Vulnerability Assessment?
Il Vulnerability Assessment è una vera e propria scansione che si pone l’obiettivo di evidenziare le vulnerabilità presenti o rilevate all’interno dell’infrastruttura e della rete IT.
Nelle attività di Penetration Test, invece, una volta conosciuto l’obiettivo potenzialmente vulnerabile, si cerca di sfruttare la falla evidenziata, al fine di portare a termine l’attacco ed analizzarne i risultati.
Anche gli scopi quindi sono diversi: quello del Vulnerability Assessment è di identificare quali parti del sistema risultano deboli a livello di sicurezza, mentre quello del Penetration Test, è dimostrare l’esistenza di una particolare vulnerabilità e sfruttare ciò che viene reso disponibile da quest’ultima.
Vulnerability Assessment
Il VA tipicamente ha procedimenti ed impatti meno invasivi e rispetto ad un Pen Test. Tutte le aziende (di qualsiasi dimensione) possono richiedere un Vulnerability Assessment; tecnicamente quest’ultimo non richiede fermi operativi e quindi lo si può schedulare anche in normale orario lavorativo.
Penetration Test
Al contrario, un Penetration Test è un test estremamente più impattante per le organizzazioni e relative strutture informatiche. Il PT è a tutti gli effetti una simulazione di attacco verso uno spefico obiettivo e con il fine di violare il sistema informatico di un’azienda. Questo tipo di attività potrebbe anche avere delle ripercussioni sulla normale operatività ed è quindi necessario valutare attentamente tempi e modi del test.
Cosa dovrebbe quindi scegliere un’azienda per aumentare il livello di sicurezza dei sistemi? La risposta è semplice: entrambi.
Sia il Vulnerability Assessment sia il Penetration Test, infatti, dovrebbero essere inseriti all’interno di in una politica più ampia di sicurezza aziendale. Come singoli strumenti non sono sufficienti a garantire la Sicurezza. Quest’ultima infatti la dobbiamo vedere come un processo continuo e non un prodotto o una singola attività. E’ quindi importante che nelle aziende quindi si crei una cultura della sicurezza, all’interno della quale inserire attività programmate quali il Vulnerability Assessment e il Penetration Test, al fine di testare le soglie e i livelli di sicurezza raggiunti ed adottati.