Vulnerability Assessment e Penetration Test

Vulnerability Assessment

Con il servizio di Vulnerability Assessment (VA) effettueremo un’analisi di sicurezza della vostra infrastruttura IT con l’obiettivo di identificare le potenziali vulnerabilità note presenti e fornire le misure rimediali utili a mitigare i rischi che derivano da queste. Il VA viene svolto per mezzo di tool professionali automatizzati che, tramite l’applicazione di una moltitudine di controlli, rilevano il tipo di servizio, la sua configurazione e quindi l’eventuale vulnerabilità nel sistema. Questa attività porterà alla luce le problematiche riportate qui di seguito (a titolo esemplificativo e non esaustivo):
• Servizi configurati in modo non sicuro;
• Applicativi obsoleti vulnerabili;
• Sistemi operativi obsoleti.

Il VA è di fondamentale importanza per il processo di Risk Assessment in quanto permette di definire le priorità delle azioni rimediali di un piano di intervento atto a potenziare, e ad innalzare, il livello di sicurezza della propria infrastruttura IT. È necessario svolgere questa attività periodicamente durante l’anno al fine di riscontrare se la vostra infrastruttura IT mantiene un livello di sicurezza adeguato considerato che le tecnologie sono in continua evoluzione ed il VA fotografa lo stato di sicurezza dell’infrastruttura nel momento in cui viene svolto.

Penetration Testing

Un Penetration Test (PT) consiste nella simulazione di un attacco informatico utile a valutare l’adeguatezza delle misure di sicurezza tecniche ed organizzative messe in atto dalla vostra azienda. Infatti, a differenza di quanto avviene con un Vulnerability Assessment, il tester non si limita a riscontrare eventuali vulnerabilità presenti ma proseguirà con le successive fasi di un reale attacco informatico in base agli obiettivi prefissati insieme al cliente. È possibile eseguire il test nelle modalità “penetration test interno” e “penetration test esterno”. In un penetration test interno, al tester viene fornito l’accesso alla rete aziendale ed un account di dominio per simulare un attaccante che è riuscito a fare breccia nelle misure di sicurezza perimetrali della vostra azienda. L’obiettivo di questa modalità è verificare la resilienza dell’infrastruttura IT e la possibilità di fare escalation dei privilegi all’interno del dominio aziendale per esfiltrare dati critici per il business aziendale. Un penetration test esterno, invece, simula un vero e proprio attacco informatico in quanto l’obiettivo del tester è di fare breccia nell’infrastruttura IT della vostra azienda a partire dai servizi esposti. È possibile svolgere il penetration test esterno nelle metodologie whitebox, greybox e blackbox, che si differenziano per la quantità di informazioni fornite al tester ed al personale dell’azienda.

Entrambe le attività prevedono la stesura e la condivisione Al termine dell’attività saranno forniti due report differenti:
• Executive Summary: un report breve, con indicazioni di carattere non tecnico utile a comprendere i rischi a cui è esposta l’infrastruttura IT;
• Technical Report: un report esteso destinato al personale tecnico dell’organizzazione. L’obiettivo del report è esporre in modo completo e chiaro le criticità individuate oltre che fornire anche informazioni su come risolvere tali problematiche.