Vulnerability Assessment vs Penetration Test
tutte le differenze

Qual è il test di sicurezza informatica adatto per la mia azienda?
La risposta è una soltanto!

What’s the difference between vulnerability assessment and penetration testing?

Ogni giorno riceviamo decine di richieste per effettuare dei security penetration test all’interno delle aziende.
La richiesta parte sempre dall’IT Manager o dall’imprenditore stesso, il quale ci contatta fondamentalmente per 4 motivi:

  • Vorrebbe conoscere lo stato di sicurezza della sua azienda;
  • L’azienda cliente deve quotarsi in borsa e ha bisogno di fare un check cyber security.

Di fronte a ciascuna di queste richieste, il nostro team organizza sempre un incontro conoscitivo pre test di sicurezza nel quale affronta insieme al cliente la problematica e risponde consigliando il servizio che meglio si adatta alle necessità.
Tuttavia, uno dei concetti che ci ritroviamo spesso a dover spiegare al nostro interlocutore è proprio quali sono le differenze tra le attività di pen test e vulnerability assessment.

Oggi tenteremo di fare lo stesso, in un breve articolo.

Differenze tra Vulnerability Assessment
e Penetration Test

Partiamo da un presupposto fondamentale. Esistono due tipi di test in grado di valutare il livello di rischio informatico al quale è esposta l’azienda e sono:

  • Penetration Testing
  • Vulnerability Assessment

Sfortunatamente, ancora nel 2021, questi due termini vengono inconsciamente confusi non solo dagli imprenditori ma anche da tecnici IT.
In realtà si tratta di due servizi molto diversi tra loro, sia a livello tecnico che per obiettivi finali.
Prima di spiegarvi in modo approfondito quali sono le differenze vi daremo una definizione breve di Vulnerability Assessment e una definizione facile di Pentest.

Il Test di Vulnerabilità (o Vulnerability Assessment) è ironicamente paragonabile un’analisi del sangue del sistema informatico. Ciò significa che un test di vulnerabilità sarà in grado di indentificare tutti i piccoli problemi (o vulnerabilità informatiche) che sono contenuti nel vostro sistema informatico. Non solo, il test indicherà per ciascuna vulnerabilità il relativo livello di gravità ma anche la migliore soluzione per correggerla.

Parallelamente, il Pen Test (o penetration testing) è sì un test di sicurezza informatica, ma un test che ricerca una sola vulnerabilità del sistema: la più lampante, la più pericolosa e la più sfruttabile per eseguire un attacco informatico verso la rete.
In altre parole, in questo caso parliamo di una simulazione di attacco hacker. L’obiettivo di questo test sarà invece quello di imitare il comportamento di un hacker che si trovi di fronte al nostro sistema informatico aziendale.

Alla luce di questa breve introduzione, continuiamo a parlare di Penetration Test vs. Vulnerability Scan.

pentest vulnerability assessment differenze

Immagine sulla differenza tra Vulnerability Assessment e Penetration Test presa dal sito web di Sciente Soft.

Quali sono le differenze tra Penetration Test e Vulnerability Assessment?

In quanto imprenditore o IT Manager devi sapere che esistono due opzioni per il test sulla sicurezza delle reti e la scelta su quale dei due implementare dipende dalle informazioni che leggerai nei prossimi paragrafi del nostro articolo.

1. Uno (nessuno) e centomila vulnerabilità

Quante e quali vulnerabilità sei interessato a scoprire?

Pen Test e Vulnerability Assessment si distinguono per obiettivi diametralmente opposti. Ed è necessario conoscerli prima di acquistare qualunque dei due servizi.

Il Pen Test è un vero e proprio ethical hack attack al sistema informatico ovvero un attacco informatico controllato. Un penetration test sfrutta una sola vulnerabilità di sistema, la più efficace e diretta per riuscire a bucare la rete. L’esito positivo del test si verifica non appena si dimostra che l’attacco va a buon fine: tutti gli altri possibili scenari di attacco non vengono considerati. Ovvero, tutte le altre vulnerabilità presenti in rete (software e hardware) non vengono portate alla luce.

Il Vulnerability Assessment, al contrario, dà la possibilità all’imprenditore e all’IT Manager di avere un check-up completo, una fotografia di tutte le vulnerabilità che sono presenti nella rete aziendale. In altre parole, presenta una situazione complessiva delle centomila vulnerabilità presenti nel sistema. Anche se noi ci auguriamo di trovarne il meno possibili.

Non solo, un Vulnerability Assessment non si limita soltanto a portare alla luce le vulnerabilità: le analizza una ad una, ne estrapola le informazioni, assegna loro il livello di rischio e ti spiega anche come sistemarle (passaggio dopo passaggio, come le istruzioni di Ikea).

Quindi la prima differenza è quantitativa.

cosa cambia tra vulnerability assessment e penetration test

2. Dove e Quanto vuoi

Come si differenzia l’esecuzione dei test

Un Vulnerability Assessment si svolge secondo un procedimento meno invasivo e impattante rispetto ad un Pen Test. Il processo per eseguire un Test di Vulnerabilità non ha bisogno di interventi manuali. Un test di Vulnerabilità si svolge in poco più di 7 giorni lavorativi e gran parte dei procedimenti è automatizzata.

Qualsiasi azienda può (e deve) richiedere un Vulnerability Assessment.
Un Test di vulnerabilità (sia della rete che di un applicazione web-based) può essere eseguita in qualsiasi momento della giornata. Noi di Onorato Informatica consigliamo alle aziende clienti di avviare il test durante le ore maggiormente produttive per l’azienda, quando l’attività in rete è al massimo delle performance.

Un Vulnerability Assessment è anche un investimento accessibile per qualunque soggetto. Utile alle piccole imprese o studi di professionisti ma anche per le realtà imprenditoriali più strutturate.

Parlando di impatto, un Penetration Test è un test estremamente violento per le strutture informatiche.

Parliamo di una simulazione d’attacco mirata a violare il sistema informatico di un’azienda: un’operazione che deve raggiungere l’obiettivo a qualsiasi costo e che da contratto pen test può arrivare ad avere conseguenze sulla stabilità della rete. Tra i rischi calcolati (e sottoscritti dall’imprenditore) di un penetration testing ci sono:

  • blocco del sistema
  • fermo operativo
  • violazione dei dati e delle tecnologie

Parliamo invece della strumentazione tecnologica impiegata per condurre un Penetration Testing.
Un security pen test richiede l’utilizzo di tecniche di attacco complesse nonché tempi più lunghi per il raggiungimento dei risultati.
Senza contare lo sforzo economico, che possiamo definire accessibile a poche e selezionate realtà. Nella maggior parte dei casi, un pentest viene richiesto dalle aziende che desiderano quotarsi in borsa e devono eseguire regolari e certificati check della loro infrastruttura informatica (già fortemente sicura).

Che cosa fare dopo un Vulnerability Assessment o dopo un Penetration Test?

Dopo aver concluso un Vulnerability Assessment, l’azienda cliente riceve dei report e indicazioni direttamente dall’azienda che ha effettuato i test, non solo. L’azienda ha l’opportunità di intraprendere un cammino di messa in sicurezza della propria rete informatica, sempre monitorata dall’efficienza di un Vulnerability Assessment continuativo.

In questo modo, sia l’imprenditore che l’IT Manager restano sempre informati su quello che accade all’interno della loro rete.

Mentre, nel caso di un Penetration Test. Una volta concluso l’accatto hacker simulato, l’azienda riceve ache in questo caso un libretto di Penetration Test nel quale viene spiegato quali sono stati gli step che hanno permesso al fino hacker di entrare nel sistema informatico. Alla luce dei risultati i reparto IT dell’azienda potrà mettere in sicurezza il problema rilevato.

In conclusione, diciamo che Penetration Testing vs Vulnerability Assessment sono entrambi modi etici per identificare e valutare i punti deboli del sistema informatico aziendale

Il macro-obiettivo di entrambi è:

  1. prevenire le infezioni da virus informatici e gli attacchi hacker
  2. mantenere un livello di protezione dei dati alto.

Prima di scegliere quale dei due servizi richiedere ti consigliamo di porti queste due domande:

Qual è la strada più breve per violare il mio sistema informatico aziendale?

Security Penetration Test

Quali e quante vulnerabilità ha il mio sistema informatico? Come posso risolverle?

Vulnerability Assessment