In ambito cybersecurity, il vulnerability assessment e il penetration test sono due processi differenti tra loro ma che molto spesso vengono confusi: non aiuta nemmeno la proposta di parecchi professionisti del settore che utilizzano i due termini come se fossero sinonimi, oppure le aziende stesse, che credono di aver bisogno di effettuare un pen test e ciò che cercano è, invece, un vulnerability assessment – oppure il contrario.

Per quanto abbiano finalità e particolarità simili, ecco una piccola guida che spiega una volta per tutte le differenze tra i due processi per proteggere al meglio l’infrastruttura IT della tua azienda.

Vulnerability assessment: definizione

Con questo termine si identifica il processo di rilevazione delle minacce e delle vulnerabilità che possono colpire un preciso obiettivo della propria infrastruttura IT (dal server aziendale fino alle app di servizio) utilizzando degli scanner automatizzati.

Alcune volte, l’analisi viene integrata con dei test manuali effettuati con ulteriori strumenti di valutazione per avere una certezza in più sulla sicurezza della rete aziendale o delle applicazioni sottoposte all’assessment.

I risultati ottenuti, ossia le vulnerabilità rilevate dallo scanner automatizzato, andranno inseriti nel report finale senza essere effettivamente confutati direttamente: questo significa che, in alcuni casi, l’automazione può riportare dei risultati fallaci oppure omettere delle vulnerabilità creando dei falsi positivi.

Penetration test: definizione

Un pen test identifica le vulnerabilità di un particolare strumento o network e, a differenza del vulnerability assessment, si avvale di queste debolezze dell’infrastruttura per penetrare nel sistema aziendale proprio come farebbe un cybercriminale.

Il fine di questo tipo di test, e dell’ethical hacker stesso che lo svolge, è quello di riuscire ad accedere senza autorizzazione all’obiettivo prefissato proprio grazie alle vulnerabilità scoperte per capire se quest’ultime sono davvero un problema per il sistema.

Paradossalmente, trovare più di una debolezza nell’infrastruttura diventa un fattore positivo perché segnala apertamente il problema e dà la possibilità a chi effettua il test di giocare d’anticipo e rendere la rete inattaccabile.

Le principali differenze tra i due processi

Entrambi i test vengono svolti per capire qual è il livello di sicurezza dei sistemi IT aziendali, ma con modalità e obiettivi leggermente diversi.

Generale contro specifico

Il tipo di copertura che offrono i due test non è la stessa: se il vulnerability assessment viene effettuato per scoprire il maggior numero di punti deboli possibile dell’infrastruttura, il penetration test viene fatto quando si sa già che il sistema è ampiamente protetto ma ci si vuole accertare che sia a prova di un particolare attacco hacker.

Il primo dovrebbe essere svolto in modo regolare per capire se il sistema è ancora generalmente protetto, soprattutto nel caso in cui qualche dispositivo sia stato sostituito, mentre il secondo è da fare per accertarsi che l’infrastruttura IT non lasci nessuno spiraglio per uno specifico attacco hacker.

Automatizzato contro manuale

Il vulnerability assessment viene svolto in modo quasi completamente automatizzato da uno scanner elettronico che consente di rilevare in modo massivo della rete senza fare distinzioni.

Il pen test viene effettuato manualmente per simulare il comportamento di un vero hacker che vuole penetrare all’interno del sistema IT aziendale quindi non è solamente una semplice rilevazione delle vulnerabilità di un determinato dispositivo, è anche capire il pensiero dell’hacker per anticipare le sue mosse.

In conclusione

Il vulnerability assessment:

• ha come obiettivo quello di fornire una lista di vulnerabilità del sistema da consegnare al reparto IT per procedere con gli interventi necessari
• si focalizza sull’insieme generale dei punti deboli dell’infrastruttura senza andare sullo specifico
  dovrebbe essere svolto con cadenza ripetuta per tenere sempre sotto controllo le performance di sicurezza
• può essere effettuato senza disporre di specifiche qualifiche

Il penetration test:

• viene svolto per capire se un sistema già tarato e sicuro può fronteggiare il tentativo di intrusione di un hacker esterno che vuole rubare i dati aziendali
• viene effettuato per simulare uno specifico attacco e non prende in considerazione le altre possibili minacce
• essendo un test manuale, richiede che sia svolto da personale qualificato ed esperto