Il vulnerability scanning non è l’unico modo per scoprire quali vulnerabilità influiscono sui sistemi dell’azienda del tuo cliente: anche il penetration testing è comunemente usato per verificarne la presenza.
Spesso questi due servizi vengono confusi e il motivo è comprensibile: entrambi si occupano di rilevare i punti deboli di un’infrastruttura IT esaminando i sistemi in modo simile a come farebbe un vero hacker.
Tuttavia, i due metodi differiscono in modo abbastanza significativo in ciò che hanno da offrire e nel costo, quindi è ragionevole chiedersi quale dei due è più appropriato per il tuo cliente e con quale frequenza dovrebbe essere eseguito.
Qual è la principale differenza tra vulnerability scanning e penetration testing?
Sia il vulnerability scanning che il penetration testing hanno pro e contro. Ognuno è valido a modo suo e, se il budget lo consente, è sicuramente una buona pratica impiegare una combinazione di entrambi. Ma vediamo più nello specifico in cosa differiscono:
- il penetration testing è un controllo manuale della sicurezza in base alla quale un professionista della cybersecurity tenta di trovare un modo per entrare nei sistemi. Si tratta di un test approfondito che valuta i controlli di sicurezza su una varietà di sistemi, tra cui applicazioni Web, reti e cloud. Questo tipo di test potrebbe richiedere diverse settimane per essere completato e, a causa della sua complessità e del suo costo, viene di solito eseguito solo su base annuale;
- il vulnerability scanning, invece, è automatizzato ed eseguito da strumenti che possono essere installati direttamente sulla rete o accessibili online. I vulnerability scanner eseguono migliaia di controlli di sicurezza sui sistemi, fornendo un elenco di tutte le vulnerabilità con i relativi consigli per correggerle. Stando così le cose, è possibile effettuare costantemente controlli di sicurezza anche senza avere nel team un esperto di cybersecurity a tempo pieno.
Cos’è meglio, un pen-testing una tantum o un vulnerability scanning costante?
I penetration test sono stati a lungo parte essenziale della strategia di molte aziende per proteggersi e proteggere i clienti dagli attacchi informatici e un ottimo modo per rilevare i bug in uno specifico momento. Ma il solo uso di questi test può spesso lasciare indifese tali aziende per lunghi periodi di tempo.
Effettuare penetration test annuali come difesa principale contro gli aggressori, negli anni passati, ha guadagnato popolarità, per buone ragioni, ed è comune ancora oggi nel settore della sicurezza informatica. Sicuramente questa strategia è meglio che non fare nulla, ma ha uno svantaggio abbastanza critico.
Ad esempio, cosa succede se, durante quel lungo anno compreso fra un pen-test e l’altro:
- viene scoperta una nuova vulnerabilità critica nel server Apache che gestisce un portale clienti sensibile?
- uno sviluppatore junior introduce un’errata configurazione della sicurezza?
- un tecnico di rete apre temporaneamente una porta su un firewall esponendo un database a Internet e poi si dimentica di chiuderlo?
Se non controllati, questi problemi potrebbero causare un data breach.
Senza un monitoraggio continuo di vulnerabilità come queste, diventa molto difficile identificarle e risolvere prima che gli aggressori abbiano la possibilità di trarne vantaggio.
I locali fisici che necessitano di una solida sicurezza spesso vantano soluzioni automatizzate 24 ore su 24, 7 giorni su 7 per scoraggiare potenziali aggressori. Allora perché alcune aziende trattano la sicurezza informatica in modo diverso? Soprattutto quando ogni giorno vengono scoperte in media 20 nuove vulnerabilità!
Per concludere
Credo tu stia iniziando a capire perché fare un pen-testing una volta ogni tanto, da solo, non è sufficiente. È l’equivalente informatico del controllare le serrature del tuo edificio ad alta sicurezza una volta l’anno, per poi lasciarlo senza personale e senza più controllare se rimane sicuro fino all’anno seguente. Suona un po’ folle, vero?
La scansione regolare delle vulnerabilità aiuta a integrare i test manuali, poiché fornisce alle aziende un buon livello costante di copertura della sicurezza tra un pen-test e l’altro.
Molte aziende utilizzano ancora oggi i penetration testing annuali come unica linea di difesa, ma poiché si sta iniziando a comprendere quanto sia elevata la frequenza con cui compaiono nuovi bug nella sicurezza, credo che le soluzioni automatizzate di vulnerability scanning saranno presto il primo punto di riferimento per tutte le aziende, integrate al pen-test e a un potente piano di backup.
Per fortuna, sta aumentando la consapevolezza della necessità di una strategia che fornisca protezione tutto l’anno, ma c’è ancora molta strada da fare.
Se il tuo cliente sta cercando di proteggere la propria attività per la prima volta, consiglio di iniziare con il vulnerability scanner e di testare regolarmente la superficie di attacco esposta.
Una buona soluzione di vulnerability assessment è ConnectSecure Vulnerability Management, piattaforma cloud che ti permette di rilevare, gestire e proteggere gli asset e le reti dei tuoi clienti. Grazie a dashboard e report puoi sapere quali sono le criticità e come intervenire.
Per approfondire il suo funzionamento e scoprire come fare un vulnerability assessment in modo semplice e profittevole, abbiamo preparato un webinar on demand che fa al caso tuo.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. Stimato da colleghi e clienti per la schiettezza e l’onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.