Diventa Autore per CoreTech | Scopri di più
07/07/22 CoreTech Blog
Le aziende spesso percepiscono la scansione delle vulnerabilità come un'alternativa ai test di penetrazione. Questa percezione è sbagliata. Un'organizzazione consapevole della sicurezza informatica deve includere entrambe queste attività nei propri processi aziendali e assicurarsi che funzionino all'unisono. Perdere uno di questi riduce notevolmente la posizione di sicurezza, sia per la sicurezza delle applicazioni Web che per la sicurezza della rete. Anche i test di penetrazione e le scansioni di vulnerabilità sono percepiti separatamente come requisiti di conformità (ad esempio, per il Payment Card Industry Data Security Standard – PCI DSS, ISO 27001 o la conformità HIPAA). Diamo un'occhiata alle principali differenze tra test di penetrazione e scansione delle vulnerabilità e il loro posto nell'ecosistema della sicurezza informatica.
Durante un test di penetrazione, un professionista fidato imita le attività di un hacker black-hat del mondo reale e tenta di trovare potenziali vulnerabilità e configurazioni errate, sfruttare i punti deboli e infiltrarsi nelle risorse aziendali utilizzando test manuali. Tali test sono progettati per funzionare esattamente come gli attacchi informatici, ma sono accuratamente preparati per non influire sulla sicurezza delle informazioni. Questo professionista di fiducia, chiamato pentester, può far parte del team di sicurezza interna o essere assunto tramite una società esterna. Se il test di penetrazione determina una violazione della sicurezza, il professionista della sicurezza fornisce una valutazione dettagliata della vulnerabilità e rapporti sui test di penetrazione in modo che l'azienda possa eliminare la vulnerabilità che ha portato alla violazione.
Per molte ragioni, le aziende spesso scelgono di esternalizzare i test di penetrazione. Innanzitutto, un'entità esterna ha una percezione più oggettiva dei sistemi testati. In secondo luogo, non molte aziende possono trovare professionisti della sicurezza specializzati in test con la penna, impiegarli a tempo pieno e fornire loro lavoro sufficiente su base regolare. Terzo, un'azienda che fornisce servizi di sicurezza completi, inclusi servizi di valutazione del rischio e test di penetrazione, ha molta più esperienza e una base di esperti molto più ampia.
I tester di penetrazione non possono automatizzare il proprio lavoro. Usano alcuni strumenti di sicurezza come la valutazione manuale della vulnerabilità e gli strumenti di test di penetrazione per eseguire attacchi (ad esempio Metasploit). Possono anche utilizzare tecniche come l'ingegneria sociale (incluso il phishing) per valutare la posizione di sicurezza del personale dell'azienda.
I test di penetrazione sono talvolta considerati più accurati delle scansioni delle vulnerabilità, ma in realtà coprono un diverso ambito di vulnerabilità. Il test della penna si concentra su ciò, che non può essere scoperto automaticamente, ad esempio, sulle vulnerabilità della logica di business e sulle nuove vulnerabilità (zero-day). Non puoi aspettarti che una scansione di vulnerabilità faccia parte di un test di penetrazione.
Alcune aziende ritengono che le ricompense siano una buona alternativa ai normali test di sicurezza. Le taglie incoraggiano gli hacker etici freelance a tentare di violare i tuoi controlli di sicurezza in modo da ricevere un premio per un tentativo così riuscito. Tuttavia, non puoi garantire che i talentuosi hacker con cappello bianco sappiano della tua taglia o scelgano di perseguirla, quindi le taglie sono imprevedibili.
Le taglie non sono una valida alternativa ai test di penetrazione, ma sono un'aggiunta preziosa. Un'azienda attenta alla sicurezza dovrebbe avere una politica di divulgazione pubblica con ricompense adeguate. Tuttavia, devono comunque essere eseguiti anche test di penetrazione regolari.
Una scansione di vulnerabilità è un'attività eseguita da uno strumento automatizzato con un'assistenza umana minima. In base alla progettazione, le scansioni delle vulnerabilità dovrebbero essere eseguite nei tempi previsti e automaticamente come parte del ciclo di vita dello sviluppo del software. Tale scansione di sicurezza è progettata per trovare problemi noti, sebbene l'ambito del test di vulnerabilità dipenda in larga misura dallo strumento di scansione delle vulnerabilità scelto.
Uno scanner di vulnerabilità scopre la struttura dell'asset scansionato (alcuni strumenti professionali scoprono anche gli asset esistenti) e quindi tenta una serie di test automatici su ciascun elemento di quella struttura. Gli strumenti semplici utilizzano solo la scansione basata sulle firme, ma gli strumenti più avanzati tentano attacchi simili a quelli eseguiti durante i test di penetrazione. Tale scansione delle vulnerabilità viene spesso definita test di penetrazione automatizzato.
Gli strumenti professionali includono anche funzionalità di valutazione e gestione delle vulnerabilità e funzionano con le prime tecnologie di mitigazione come i firewall delle applicazioni Web . Con tali strumenti, puoi decidere quali vulnerabilità devono essere affrontate per prime e puoi anche monitorare i processi di riparazione. In questo modo, puoi essere sicuro che i principali rischi per la sicurezza vengono eliminati in modo rapido ed efficace.
Una volta che un'azienda implementa una soluzione di scansione delle vulnerabilità, non c'è limite alla frequenza con cui tali scansioni possono essere eseguite. L'unica preoccupazione è che tali scansioni possono richiedere molte risorse e quindi le aziende spesso scelgono di eseguirle durante le ore di riposo per le risorse di produzione. Le soluzioni di scansione delle vulnerabilità professionali sono inoltre realizzate per essere integrate nel ciclo di vita dello sviluppo del software e pertanto tali test possono essere eseguiti dopo ogni modifica del codice sorgente utilizzando una soluzione di integrazione continua.
D'altra parte, i test di penetrazione sono molto lunghi, costosi e dispendiosi in termini di risorse. Ecco perché di solito vengono eseguiti una volta ogni pochi mesi o a intervalli più grandi.