In questo articolo cercheremo quindi di spiegarvi le principali differenze tra Vulnerability Assessment (chiamato anche in gergo VA) e Penetration Test (chiamato anche Pen Test), quali sono i vantaggi e i benefici che comportano per un’azienda e perché sono entrambi fondamentali al fine di garantire la sicurezza dei sistemi informatici.
Il Penetration Test e il Vulnerability Assessment, ad esempio, sono entrambi richiesti dal Payment Card Industry Data Security Standard (PCI DSS), ma spesso c’è confusione sulle differenze tra i due servizi. Spesso i due termini vengono confusi uno con l’altro, sebbene in realtà si tratti di due servizi molto diversi tra loro, sia a livello di modalità tecnica di esecuzione, che per obiettivo finale.
Tipicamente le motivazioni che spingono le aziende alla richiesta di questi tipi di servizi sono:
- L’azienda è stata oggetto di un attacco informatico;
- L’azienda conoscere lo stato di sicurezza della sua azienda in modo da pianificare gli interventi di remediation in ambito sicurezza.
Quali sono le differenze tra Penetration Test e Vulnerability Assessment?
Il Vulnerability Assessment è una vera e propria scansione che si pone l’obiettivo di evidenziare le vulnerabilità presenti o rilevate all’interno dell’infrastruttura e della rete IT. Nelle attività di Penetration Test, invece, una volta conosciuto l’obiettivo potenzialmente vulnerabile, si cerca di sfruttare la falla evidenziata, al fine di portare a termine l’attacco ed analizzarne i risultati.
Anche gli scopi quindi sono diversi: quello del Vulnerability Assessment è di identificare quali parti del sistema risultano deboli a livello di sicurezza, mentre quello del Penetration Test, è dimostrare l’esistenza di una particolare vulnerabilità e sfruttare ciò che viene reso disponibile da quest’ultima.
Tipicamente, infatti, un Vulnerability Assessment si pone gli obiettivi di:
- Riconoscere ed identificare un ampio numero di differenti vulnerabilità, come ad esempio la presenza di possibili SQL injection, il Cross-site Scripting e specifiche vulnerabilità.
- Gestire la Compliance. Questo è un fattore chiave, ad esempio in ottica GDPR, al fine di evitare sanzioni salate e la perdita di reputazione.
- Generare un Report chiaro ed accessibile, fornendo un’esposizione chiara delle informazioni, combinata ad una buona profondità della scansione.
Gli obiettivi di un Penetration Test invece sono quelli di effettuare una prova di sicurezza offensiva che simula effettivamente quello che potrebbe realmente fare un attacco informatico, ma all’interno di un ambiente controllato; quindi evidenziare le debolezze che potrebbero essere utilizzate da un attaccante e completare, così, minacce tipo furto di informazioni, accesso non autorizzato, interruzione di servizi aziendali, installazione di malware, etc.
Vulnerability Assessment
Il Vulnerability Assessment tipicamente ha procedimenti ed impatti meno invasivi e rispetto ad un Pen Test. Tutte le aziende (di qualsiasi dimensione) possono richiedere un VA; tecnicamente quest’ultimo non richiede fermi operativi e quindi lo si può schedulare anche in normale orario lavorativo in quanto vengono analizzate le diverse vulnerabilità tramite il check di signature / script / funzioni empiriche per evidenziare le possibili problematiche a livello di sicurezza.
Penetration Test
Al contrario, un Penetration Test è un test estremamente più impattante per le organizzazioni e relative strutture informatiche. Il PT è a tutti gli effetti una simulazione di attacco verso uno spefico obiettivo e con il fine di violare il sistema informatico di un’azienda. Questo tipo di attività potrebbe anche avere delle ripercussioni sulla normale operatività ed è quindi necessario valutare attentamente tempi e modi del test.
Differenza 1. Velocità di esecuzione
La velocità è uno dei principali vantaggi della scansione delle vulnerabilità. Il completamento di una scansione delle vulnerabilità richiede da pochi minuti a qualche ora.
Il test di penetrazione è una procedura significativamente più lunga. Il processo pentest è suddiviso in fasi come pianificazione, ricognizione, scansione, exploit, post-exploit, reporting e correzione. Possono essere necessarie fino a un paio di settimane per completare un test di penetrazione e avrai bisogno di più tempo per eseguire nuove scansioni dopo aver risolto i problemi.
Differenza 2. Profondità dei test
Sebbene un buon scanner di vulnerabilità possa condurre oltre 3000 test e scansionare migliaia di vulnerabilità comuni che coprono i CVE elencati da comunità di sicurezza come OWASP e SANS. Ha dei limiti. Uno scanner di vulnerabilità automatizzato non è in grado di identificare gli errori della logica aziendale tra le altre difficili vulnerabilità specifiche dell’ambiente. E, naturalmente, c’è il problema dei falsi positivi (segnalazione di vulnerabilità che in realtà non esistono).
I PENTEST sono specificamente orientati a trovare vulnerabilità difficili. Non solo coinvolge potenti strumenti di ricognizione, scanner e strumenti di exploit, ma anche l’esperienza di esperti di sicurezza.
Differenza 3. Analisi dei rischi
L’analisi del rischio delle vulnerabilità è molto più importante di quanto si creda. Ti consente di concentrarti sulle aree che richiedono la massima attenzione in termini di bonifica e allocazione delle risorse. Un rapporto di valutazione della vulnerabilità ti informa sui punteggi CVSS per ciascuna vulnerabilità per contrassegnarne la gravità.
I test di penetrazione hanno un chiaro vantaggio in questa categoria. I pentester tentano di sfruttare le vulnerabilità presenti nel tuo sistema. Possono capire quanto accesso alle risorse sensibili può concedere una certa vulnerabilità, fino a che punto e quanto velocemente l’hacker può aumentare i privilegi ed esattamente quanta perdita può subire un certo exploit.
Differenza 4. Supporto alla riparazione
Un rapporto di valutazione della vulnerabilità viene fornito con suggerimenti per risolvere i problemi rilevati. Ma non va troppo lontano da lì. I tuoi sviluppatori sono lasciati a fare la maggior parte della ricerca e dell’esecuzione.
Un pentest report contiene guide dettagliate dettagliate per riprodurre e correggere le vulnerabilità.
Cosa dovrebbe quindi scegliere un’azienda per aumentare il livello di sicurezza dei sistemi?
La risposta è semplice: entrambi. Sia il Vulnerability Assessment sia il Penetration Test, infatti, dovrebbero essere inseriti all’interno di in una politica più ampia di sicurezza aziendale. Come singoli strumenti non sono sufficienti a garantire la Sicurezza. Quest’ultima infatti la dobbiamo vedere come un processo continuo e non un prodotto o una singola attività. E’ quindi importante che nelle aziende quindi si crei una cultura della sicurezza, all’interno della quale inserire attività programmate quali il Vulnerability Assessment e il Penetration Test, al fine di testare le soglie e i livelli di sicurezza raggiunti ed adottati.