Servizi

Vulnerability Assessment
& Penetration Test

È fondamentale valutare periodicamente i servizi esposti a internet. Il grado di criticità determina l’approccio giusto: controllare le vulnerabilità o verificarne lo sfruttamento reale.

Vulnerability Assessment o Penetration Test?

Perché testare le vulnerabilità informatiche

Effettuare un vulnerability assessment significa controllare che non ci siano falle nel software di un sistema informatico. Il grado di sensibilità, riservatezza e criticità dei servizi a contatto con internet determina l’approccio da utilizzare per scegliere il servizio giusto.

Vulnerability Assessment

Quando scegliere un vulnerability assessment

Applicazioni non business critical

Controllare periodicamente i servizi è importante anche quando non sono critici: è come una visita medica di routine. Isolamento del servizio e danno d’immagine concorrono a definire la giusta cadenza.

Panoramica sulla postura aziendale

È buona prassi iniziare da un vulnerability assessment, soprattutto senza una conoscenza approfondita degli stack applicativi: non si possono proteggere dai zero-day componenti che non si conoscono.

Budget ridotto

In mancanza di finanze adeguate, un controllo di routine può comunque rivelare vulnerabilità del framework applicativo. Usiamo strumenti automatizzati o assessment manuali in base alle necessità.

Tipologia di dati ospitati

Per i sistemi che ospitano dati sensibili consigliamo non solo un vulnerability assessment, ma anche un penetration test, che verifica in profondità la possibilità di sfruttare e concatenare i bug.

Penetration Test

Quando scegliere un penetration test

Vulnerability Assessment significa “controllare”, Penetration Test significa “verificare”. Mentre il VA è spesso automatizzato, un penetration test di qualità è svolto da persone qualificate.

Applicazioni business critical

Consigliamo sempre un penetration test dove sono presenti servizi business-critical, perché verifica realmente lo sfruttabilità delle falle anziché limitarsi a segnalarle.

Obblighi di compliance

Se sei tenuto a test di sicurezza o a figure come DPO/CISO, il penetration test offre maggiore visibilità sulle reali falle esposte, oltre i possibili falsi positivi di un semplice VA.

Rischi per clienti o fornitori

Il test verifica le falle in modalità black, grey o white box e fino a dove si propagano: da un sistema è possibile spostarsi nella rete e raggiungere dati sensibili di clienti e fornitori.

Stop aziendale in caso di attacco

Le giornate di fermo, mancato servizio e gestione esterna sono difficili da quantificare. Anche una PMI di 10 persone, dopo uno stop di due giorni, avrebbe interesse a valutare un penetration test.

Quanto costa

I fattori che influenzano il prezzo

Il costo di un vulnerability assessment o di un penetration test non è scontato: dipende da molti fattori, che proviamo a riassumere.

  • Dimensione dell’azienda che esegue il test — partner più grandi hanno costi maggiori, ma offrono servizi più standardizzati e concorrenziali.
  • Numero di certificazioni acquisite — richiedono investimenti in tempo e denaro, e il personale impiegato deve possederle per una consulenza adeguata.
  • Personale impiegato nel test — più ore/uomo significano un prezzo maggiore; chiedi sempre quante persone eseguono il test.
  • Strumenti utilizzati — i tool professionali hanno costi importanti ma maggiore accuratezza rispetto a soluzioni open source.
  • Uso di dati di intelligence — fonti terze, specialmente in modalità black-box, possono essere fondamentali; raramente sono gratuite.

SimplyIT sconsiglia test con un costo inferiore a 2.000 € per un vulnerability assessment e a 3.000 € per un penetration test, se si vuole la sicurezza di un risultato professionale e certificato.

Hai bisogno di aiuto?

Per maggiori informazioni, per avere una consulenza o prendere un appuntamento, apri un ticket, oppure contattaci: il nostro staff saprà aiutarti al più presto!

Aperti dal Lunedì al Venerdì dalle 09.00 alle 18:00

Torna in alto