Vulnerability Assessment vs Penetration Test, elenchiamo le differenze
What’s the difference between Vulnerability Assessment and Penetration Testing?
Ogni giorno riceviamo decine di richieste per effettuare dei security penetration test all’interno delle aziende.
La richiesta parte sempre dall’IT Manager o dall’imprenditore stesso, il quale ci contatta fondamentalmente per 4 motivi:
- Il cliente/fornitore con cui vuole instaurare un rapporto, tratta solo con aziende certificate cyber security;
- La sua azienda o l’azienda per cui lavora è stata attaccata da un virus informatico;
- Vorrebbe conoscere lo stato di sicurezza della sua azienda;
- L’azienda cliente deve quotarsi in borsa e ha bisogno di fare un check cyber security.
Di fronte a ciascuna di queste richieste, il nostro team organizza sempre un incontro conoscitivo pre test di sicurezza nel quale affronta insieme al cliente la problematica e risponde consigliando il servizio che meglio si adatta alle necessità.
Tuttavia, uno dei concetti che ci ritroviamo spesso a dover spiegare al nostro interlocutore è proprio quali sono le differenze tra le attività di penetration test e vulnerability assessment. Oggi tenteremo di fare lo stesso, in un breve articolo.
Differenze principali tra Vulnerability Assessment e Pentest
Partiamo da un presupposto fondamentale.
Esistono due tipi di test in grado di valutare il livello di rischio informatico al quale è esposta l’azienda e sono:
- Penetration Testing
- Vulnerability Assessment
Sfortunatamente, ancora nel 2021, questi due termini vengono inconsciamente confusi non solo dagli imprenditori ma anche da tecnici IT.
In realtà si tratta di due servizi molto diversi tra loro, sia a livello tecnico che per obiettivi finali.
Prima di spiegarvi in modo approfondito quali sono le differenze vi daremo una definizione breve di Vulnerability Assessment e una definizione facile di Pentest.
Il Test di Vulnerabilità (o Vulnerability Assessment) è ironicamente paragonabile un’analisi del sangue del sistema informatico. Ciò significa che un test di vulnerabilità sarà in grado di indentificare tutti i piccoli problemi (o vulnerabilità informatiche) che sono contenuti nel vostro sistema informatico. Non solo, il test indicherà per ciascuna vulnerabilità il relativo livello di gravità ma anche la migliore soluzione per correggerla.
Parallelamente, il Pen Test (o penetration testing) è sì un test di sicurezza informatica, ma un test che ricerca una sola vulnerabilità del sistema: la più lampante, la più pericolosa e la più sfruttabile per eseguire un attacco informatico verso la rete.
In altre parole, in questo caso parliamo di una simulazione di attacco hacker. L’obiettivo di questo test sarà invece quello di imitare il comportamento di un hacker che si trovi di fronte al nostro sistema informatico aziendale.
Alla luce di questa breve introduzione, continuiamo a parlare di Penetration Test vs. Vulnerability Scan.

Quali sono le differenze tra Penetration Test e Vulnerability Assessment?
In quanto imprenditore o IT Manager devi sapere che esistono due opzioni per il test sulla sicurezza delle reti e la scelta su quale dei due implementare dipende dalle informazioni che leggerai nei prossimi paragrafi del nostro articolo.
1. Uno (nessuno) e centomila vulnerabilità
Quante e quali vulnerabilità sei interessato a scoprire?
Pen Test e Vulnerability Assessment si distinguono per obiettivi diametralmente opposti. Ed è necessario conoscerli prima di acquistare qualunque dei due servizi.
Il Pen Test è un vero e proprio ethical hack attack al sistema informatico ovvero un attacco informatico controllato. Un penetration test sfrutta una sola vulnerabilità di sistema, la più efficace e diretta per riuscire a bucare la rete. L’esito positivo del test si verifica non appena si dimostra che l’attacco va a buon fine: tutti gli altri possibili scenari di attacco non vengono considerati. Ovvero, tutte le altre vulnerabilità presenti in rete (software e hardware) non vengono portate alla luce.
Il Vulnerability Assessment, al contrario, dà la possibilità all’imprenditore e all’IT Manager di avere un check-up completo, una fotografia di tutte le vulnerabilità che sono presenti nella rete aziendale. In altre parole, presenta una situazione complessiva di tutte le vulnerabilità presenti nel sistema. Anche se noi ci auguriamo di trovarne il meno possibili.
Non solo, un Vulnerability Assessment non si limita soltanto a portare alla luce le vulnerabilità: le analizza una ad una, ne estrapola le informazioni, assegna loro il livello di rischio e ti spiega anche come sistemarle (passaggio dopo passaggio, come le istruzioni di Ikea).
Quindi la prima differenza è quantitativa.

2. Dove e Quanto vuoi
Come vengono eseguiti Vulnerability Assessment e Penetration Test
Un Vulnerability Assessment si svolge secondo un procedimento meno invasivo e impattante rispetto ad un Pen Test. Il processo per eseguire un Test di Vulnerabilità non ha bisogno di interventi manuali. Un test di Vulnerabilità si svolge in poco più di 7 giorni lavorativi e gran parte dei procedimenti è automatizzata.
Qualsiasi azienda può (e deve) richiedere un Vulnerability Assessment.
Un Test di vulnerabilità (sia della rete che di un applicazione web-based) può essere eseguita in qualsiasi momento della giornata. Noi di Onorato Informatica consigliamo alle aziende clienti di eseguire il test durante le ore maggiormente produttive per l’azienda, quando l’attività in rete è al massimo delle performance.
Un Vulnerability Assessment è anche un investimento accessibile per qualunque soggetto. Utile alle piccole imprese o studi di professionisti ma anche per le realtà imprenditoriali più strutturate.
Parlando di impatto, un Penetration Test è un test estremamente più impattante e “stressante” per le strutture informatiche.
Parliamo di una simulazione d’attacco informatico controllato che vuole violare il sistema informatico di un’azienda: un’operazione che deve raggiungere l’obiettivo a qualsiasi costo e che da contratto pen test può arrivare ad avere conseguenze sulla stabilità della rete. Tra i rischi calcolati (e sottoscritti dall’imprenditore) di un penetration testing ci sono:
- blocco del sistema
- fermo operativo
- violazione dei dati e delle tecnologie
Parliamo invece della strumentazione tecnologica impiegata per condurre un Penetration Testing.
Un security pen test richiede l’utilizzo di tecniche di attacco complesse nonché tempi più lunghi per il raggiungimento dei risultati.
Senza contare lo sforzo economico, che possiamo definire accessibile (e utile) a poche e selezionate realtà. Nella maggior parte dei casi, un pentest viene richiesto dalle aziende che desiderano quotarsi in borsa e devono eseguire regolari e certificati check della loro infrastruttura informatica (già fortemente sicura).
Che cosa fare dopo un Vulnerability Assessment o un Penetration Test?
Dopo aver concluso un Vulnerability Assessment, l’azienda cliente riceve dei report e indicazioni direttamente dall’azienda che ha effettuato i test, non solo. L’azienda ha l’opportunità di intraprendere un cammino di messa in sicurezza della propria rete informatica, sempre monitorata dall’efficienza di un Vulnerability Assessment continuativo.
In questo modo, sia l’imprenditore che l’IT Manager restano sempre informati su quello che accade all’interno della loro rete.
Mentre, nel caso di un Penetration Test. Una volta concluso l’attacco hacker simulato, l’azienda riceve anche in questo caso un libretto di Penetration Test nel quale viene spiegato quali sono stati gli step che hanno permesso al fino hacker di entrare nel sistema informatico. Alla luce dei risultati i reparto IT dell’azienda potrà mettere in sicurezza il problema rilevato.
In conclusione, diciamo che Penetration Testing vs Vulnerability Assessment sono entrambi modi etici per identificare e valutare le vulnerabilità di sicurezza del sistema informatico aziendale.
Il macro-obiettivo di entrambi i cyber security test è:
- prevenire le infezioni da virus informatici e gli attacchi hacker
- mantenere un livello di protezione dei dati alto.
Prima di scegliere quale dei due servizi richiedere ti consigliamo di porti queste due domande:
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.