Vulnerability Assessment & Penetration Test

La gestione della sicurezza informatica di un’azienda è composta da una serie di processi specializzati che affrontano ambiti specifici come, ad esempio, la protezione perimetrale, la protezione dai virus e dallo spam, la protezione dai tentativi di intrusione e la protezione delle informazioni di proprietà dell’azienda. L’efficacia delle misure di sicurezza applicate devono essere continuamente verificate per individuare nuove minacce o mancate conformità dovute a nuove esigenze di business, ad evoluzioni tecnologiche o ad evoluzioni di nuovi strumenti malevoli a disposizione di utenti malintenzionati.
Uno dei processi fondamentali che un’azienda deve implementare per la verifica continua dell’efficacia delle misure di sicurezza tecnologiche applicate, è quello che permette di gestire le vulnerabilità a cui è soggetto ogni sistema informatico (tramite Vulnerability Assessment e Penetration Test).
Gli strumenti messi in campo a tale scopo sono molteplici, in particolare:

Vulnerability Assessment (VA)

Consente di ottenere una lista delle proprie vulnerabilità più immediatamente identificabili (vulnerabilità del software, password di default, etc.) al fine di porvi poi rimedio assegnando loro delle priorità e strutturando gli interventi correttivi in una unità di tempo relativamente breve.

Il processo di VA viene condotto con soluzioni tecnologiche che hanno lo scopo di analizzare le reti aziendale, rilevare ogni apparato connesso ad esse, riconoscerlo, classificarlo, ricercare potenziali vulnerabilità note (software non aggiornato, certificati non validi, porte/servizi non indispensabili aperti, etc.), verificare la criticità associata ad ogni singola vulnerabilità in funzione dell’importanza del sistema afflitto (valore dell’asset) e dell’impatto potenziale (minaccia), valutare la necessità di eseguire interventi correttivi che eliminino le vulnerabilità individuate in modo da ricondurre il sistema ad un livello di sicurezza accettabile e, infine, verificare l’efficacia dell’intervento eseguito.

Gli strumenti utilizzati per il VA, effettuano in modalità semi-automatica ricerche di vulnerabilità che rilevano una quota esigua delle falle potenzialmente presenti. Pertanto, tale attività deve essere realizzata tramite attività specialistiche di organizzazioni interne o esterne con elevata competenza tecnica di sicurezza, in grado di tradurre i risultati ed individuare falsi positivi.

Penetration Test (PT)

Il Penetration Test (eventualmente integrato da un Vulnerability Assessment) consiste invece in una verifica sistematica sul campo tramite l’attività di emulazione di un attacco informatico al sistema informativo aziendale al fine di valutarne l’effettivo livello di sicurezza. In concreto, attraverso l’uso di numerosi tool, tecniche sofisticate e attività completamente manuali, si cerca di accedere in modo non autorizzato ad uno o più sistemi/reti con il massimo dei privilegi, analizzando, inoltre, tutte quelle problematiche legate alle logiche applicative o a eventuali falle di processo, non verificabili altrimenti senza una simulazione reale di utenti malintenzionati (Ethical Hacking).

Diversamente dal Vulnerability Assessment, il Penetration Test non si focalizza necessariamente sull’individuazione, l’analisi e la descrizione di ogni vulnerabilità presente su un sistema, ma anche sullo sfruttamento effettivo di ogni sua problematica di sicurezza. I due strumenti sono quindi molto diversi tra di loro ma concorrono, ciascuno nella propria misura, a delineare un quadro del reale stato della sicurezza nel momento in cui vengono eseguiti.