Penetration Test vs Vulnerability Assessment

In ambito sicurezza informatica, i termini “penetration test” e “vulnerability assessment” vengono spesso usati in modo intercambiabile, ma rappresentano due attività molto diverse.
Capire queste differenze è cruciale per scegliere l’approccio giusto, in quanto si tratta di procedure necessarie a valutare la sicurezza dei sistemi informatici.

Cos’è un Vulnerability Assessment?

Un Vulnerability Assessment è una procedura – prevalentemente condotta con strumenti automatizzati – che mira a identificare, classificare e valutare il iivello di gravità delle vulnerabilità presenti in un sistema informatico o in un device elettronico.
Questa valutazione fornisce una panoramica completa delle falle di sicurezza, in genere senza testarne lo sfruttamento.

• Scopo: Identificare il maggior numero possibile di vulnerabilità in infrastrutture, applicazioni o dispositivi.
• Metodologie comuni: OWASP, OSSTM, NIST.
• Automatizzazione: La maggior parte delle VA utilizza strumenti automatizzati che eseguono scansioni regolari, come gli scanner di vulnerabilità.
• Risultati: Report con elenco delle vulnerabilità classificate per criticità (alta, media, bassa).

Esempio pratico: Durante una VA, uno scanner potrebbe rilevare che un server web non è aggiornato con l’ultima patch di sicurezza o che un protocollo di cifratura adottato sia obsoleto e pertanto deprecato.

Cos’è un Penetration Test?

Un Penetration Test è ben diverso dall’identificazione delle vulnerabilità: si tratta di simulare un vero attacco – verso uno specifico target – per testare la resilienza di un servizio o applicativo, oppure testare se le vulnerabilità riscontrate siano effettivamente sfruttabili da malintenzionati.

• Scopo: Simulare attacchi reali per verificare se le protezioni applicate siano resilienti o le vulnerabilità rilevate possono essere effettivamente sfruttate.
• Tipologie: White-box (con accesso alle informazioni), Black-box (senza accesso) e Gray-box (accesso parziale).
• Manualità: Un PT richiede una componente manuale degli operatori molto più rilevante rispetto a una VA, poiché i pen-tester debbono cercare attivamente di penetrare i sistemi target.
• Risultati: Report dettagliato che descrive quali vulnerabilità sono sfruttabili e quali dati o sistemi potrebbero essere compromessi.

Esempio pratico: Nel PT, un pen-tester potrebbe sfruttare la vulnerabilità del server web non aggiornato e ottenere l’accesso al database sottostante, oppure superare una misura di sicurezza applicata come un firewall perimetrale.

Differenze tra Penetration Test e Vulnerability Assessment

• Obiettivi:
  • VA: Identificare tutte le vulnerabilità nella infrastruttura informatica in esame.
  • PT: Sfruttare le vulnerabilità per simulare un attacco reale.
• Approccio:
  • VA: Generalmente automatizzato e focalizzato sulla scoperta di vulnerabilità note.
  • PT: Maggiormente determinante la competenza e la bravura del pen-tester, con l’obiettivo di capire l’effettiva sfruttabilità delle vulnerabilità o la resistenza della misura oggetto di test.
• Copertura:
  • VA: Ampia copertura di sistemi e dispositivi.
  • PT: Focalizzato su asset specifici (es. webserver, firewall, DB, VPN, WiFI, ecc.).
• Periodicità:
  • VA: Effettuato regolarmente per mantenere una visione aggiornata delle vulnerabilità.
  • PT: Realizzato in momenti specifici, spesso una tantum, per testare l’efficacia delle difese.

Quale adottare?

Entrambi i controlli sono importanti, ma dipendono dal contesto:

• Vulnerability Assessment: Ideale e necessario per monitorare regolarmente lo stato di sicurezza e identificare rapidamente nuove vulnerabilità nei sistemi e devices.
• Penetration Test: Utile quando si desidera testare la resilienza di sistemi critici contro attacchi reali o quando un VA ha già individuato potenziali falle che si vogliono verificare nel dettaglio.

Conclusione

Sebbene spesso confusi, le attività di Penetration Test e Vulnerability Assessment hanno scopi diversi, pur facenti parte delle “procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento“, prescritte all’art.32.d del GDPR.
Mentre un Vulnerability Assessment fornisce una panoramica delle vulnerabilità esistenti, un Penetration Test ne testa l’effettiva gravità. Per un piano di sicurezza completo, è consigliabile combinare entrambe le attività.

GLI APPROFONDIMENTI IN TEMA PENETRATION TEST & VULNERABILITY ASSESSMENT