Vulnerability Assessment
& Penetration Test
È fondamentale valutare periodicamente i servizi esposti a internet. Il grado di criticità determina l’approccio giusto: controllare le vulnerabilità o verificarne lo sfruttamento reale.
Perché testare le vulnerabilità informatiche
Effettuare un vulnerability assessment significa controllare che non ci siano falle nel software di un sistema informatico. Il grado di sensibilità, riservatezza e criticità dei servizi a contatto con internet determina l’approccio da utilizzare per scegliere il servizio giusto.
Quando scegliere un vulnerability assessment
Applicazioni non business critical
Controllare periodicamente i servizi è importante anche quando non sono critici: è come una visita medica di routine. Isolamento del servizio e danno d’immagine concorrono a definire la giusta cadenza.
Panoramica sulla postura aziendale
È buona prassi iniziare da un vulnerability assessment, soprattutto senza una conoscenza approfondita degli stack applicativi: non si possono proteggere dai zero-day componenti che non si conoscono.
Budget ridotto
In mancanza di finanze adeguate, un controllo di routine può comunque rivelare vulnerabilità del framework applicativo. Usiamo strumenti automatizzati o assessment manuali in base alle necessità.
Tipologia di dati ospitati
Per i sistemi che ospitano dati sensibili consigliamo non solo un vulnerability assessment, ma anche un penetration test, che verifica in profondità la possibilità di sfruttare e concatenare i bug.
Quando scegliere un penetration test
Vulnerability Assessment significa “controllare”, Penetration Test significa “verificare”. Mentre il VA è spesso automatizzato, un penetration test di qualità è svolto da persone qualificate.
Applicazioni business critical
Consigliamo sempre un penetration test dove sono presenti servizi business-critical, perché verifica realmente lo sfruttabilità delle falle anziché limitarsi a segnalarle.
Obblighi di compliance
Se sei tenuto a test di sicurezza o a figure come DPO/CISO, il penetration test offre maggiore visibilità sulle reali falle esposte, oltre i possibili falsi positivi di un semplice VA.
Rischi per clienti o fornitori
Il test verifica le falle in modalità black, grey o white box e fino a dove si propagano: da un sistema è possibile spostarsi nella rete e raggiungere dati sensibili di clienti e fornitori.
Stop aziendale in caso di attacco
Le giornate di fermo, mancato servizio e gestione esterna sono difficili da quantificare. Anche una PMI di 10 persone, dopo uno stop di due giorni, avrebbe interesse a valutare un penetration test.
I fattori che influenzano il prezzo
Il costo di un vulnerability assessment o di un penetration test non è scontato: dipende da molti fattori, che proviamo a riassumere.
- Dimensione dell’azienda che esegue il test — partner più grandi hanno costi maggiori, ma offrono servizi più standardizzati e concorrenziali.
- Numero di certificazioni acquisite — richiedono investimenti in tempo e denaro, e il personale impiegato deve possederle per una consulenza adeguata.
- Personale impiegato nel test — più ore/uomo significano un prezzo maggiore; chiedi sempre quante persone eseguono il test.
- Strumenti utilizzati — i tool professionali hanno costi importanti ma maggiore accuratezza rispetto a soluzioni open source.
- Uso di dati di intelligence — fonti terze, specialmente in modalità black-box, possono essere fondamentali; raramente sono gratuite.
SimplyIT sconsiglia test con un costo inferiore a 2.000 € per un vulnerability assessment e a 3.000 € per un penetration test, se si vuole la sicurezza di un risultato professionale e certificato.
