Quali sono le differenze tra penetration test e vulnerability assessment?
I professionisti della sicurezza informatica hanno familiarità sia con i test di penetrazione che con il vulnerability assessment. Entrambi sono preziosi strumenti di cui può beneficiare qualsiasi programma di sicurezza informatica e sono entrambi componenti integranti di un efficace Threat Management aziendale. Questi due termini sono, però, spesso usati erroneamente in modo intercambiabile, a causa di una cattiva informazione che ha creato confusione e spreco di risorse per molte imprese. Al fine di chiarire meglio questa distinzione tra penetration test e vulnerability assessment proviamo ad elencarne le caratteristiche salienti.
Che cosa è un vulnerability assessment?
Il vulnerability assessment è il processo di identificazione e quantificazione di quanto un ambiente informatico sia vulnerabile in termini di sicurezza. Si tratta di una valutazione approfondita della sicurezza delle informazioni, affiancata ad un valore che ne indica gli elementi di debolezza, che, oltre a fornire le necessarie procedure di mitigazione appropriate, consente di eliminare quelle stesse debolezze o ridurle ad un livello accettabile di rischio. In particolar modo essa si occupa di:
- Elencare le attività e le risorse di catalogo in un sistema informatico
- Assegnare un valore quantificabile in base all’importanza alle risorse
- Identificare le vulnerabilità nella sicurezza informatica o le potenziali minacce per ogni risorsa
- Attenuare o eliminare le più gravi vulnerabilità per le risorse più preziose
Che cosa è un test di penetrazione?
Il penetration testing simula le azioni di un attaccante cyber esterno e/o interno all’organizzazione che mira a violare la sicurezza delle informazioni dell’azienda stessa. Usando molti strumenti e tecniche, il tester di penetrazione (Ethical Hacker) tenta di sfruttare i sistemi critici e di ottenere l’accesso a dati sensibili. A seconda del campo di applicazione, un test di penetrazione può espandersi oltre la rete, per includere attacchi di ingegneria sociale o prove di sicurezza fisica.
Inoltre, ci sono due tipi principali di penetration test: il “white box”, che utilizza la valutazione della vulnerabilità sulla base di precedenti informazioni sull’infrastruttura della rete e la cosiddetta “scatola nera”, che viene eseguita con scarsa conoscenza degli schemi di rete e lascia al tester il compito di svolgere la propria ricognizione. In particolare questo tipo di testing prevede i seguenti passaggi:
- Determinazione del campo di applicazione
- Raccolta di informazioni mirate o di ricognizione
- Sfruttare i tentativi di accesso
- Test di raccolta dei dati sensibili
- Pulizia e relazione finale
Quale Servizio di sicurezza informatica è migliore per la mia organizzazione?
La risposta a questa domanda deve essere determinata sulla base dell’analisi della posizione di sicurezza corrente. A meno che la leadership aziendale non sia molto fiduciosa nei confronti dell’approccio alla sicurezza garantito dal personale tecnico ed abbia già avviato un processo di valutazione della vulnerabilità utilizzando questa risorsa interna, molte aziende potrebbero ottenere un servizio più accurato rivolgendosi a terze parti per condurre un vulnerability assessment.
Qui subentra la necessità di rispondere ad una fondamentale domanda su cui si basa la differenza tra i due approcci. Una valutazione della vulnerabilità risponde alla domanda: “Quali sono le nostre debolezze e come le possiamo risolvere?” Un penetration test, invece, risponde alla questione: “Può qualcuno violare i nostri database o attaccare applicazioni, reti e sistemi operativi aziandali?” Un vulnerability assessment lavora per migliorare l’attuale situazione di sicurezza e permette lo sviluppo un programma di sicurezza più maturo, integrato, mentre un penetration test scatta un’istantanea dell’efficacia del proprio attuale programma di sicurezza.
Prendendo in considerazione tutto ciò, la maggior parte delle organizzazioni dovrebbero iniziare con una valutazione delle vulnerabilità, agire sui suoi risultati al meglio delle proprie capacità e quindi optare per un penetration test del tipo “scatola bianca” se si è fiduciosi della propria posizione di sicurezza. Una volta che l’organizzazione è passata attraverso questi passaggi con successo, si dovrebbe quindi considerare l’approccio del penetration test secondo il modello della “scatola nera”, eseguito da un produttore di terze parti, scelto sulla base delle più adeguate competenze.
Una volta completati questi step, è probabile che la posizione di protezione dell’organizzazione sia migliorata notevolmente ma, come per tutto ciò che riguarda la sicurezza informatica, l’attenzione deve sempre rimanere alta su queste questioni. E’ necessario sviluppare un programma a lungo termine per la gestione delle minacce e delle vulnerabilità, sia attraverso vulnerability assessment che tramite penetration testing, che devono essere eseguiti periodicamente, se si vuole garantire il miglioramento continuo dell’approccio alla sicurezza aziendale.
Questo articolo è stato suggerito da Partner Data, che da oltre 30 anni si occupa di sicurezza informatica. Per saperne di più sui servizi di penetration testing e vulnerability assessment offerti da Partner Data, visita il sito: www.partnerdata.it/vulnerability