Diventa Autore per CoreTech | Scopri di più





Test di penetrazione vs scansione delle vulnerabilità

07/07/22 CoreTech Blog

Le aziende spesso percepiscono la scansione delle vulnerabilità come un'alternativa ai test di penetrazione. Questa percezione è sbagliata. Un'organizzazione consapevole della sicurezza informatica deve includere entrambe queste attività nei propri processi aziendali e assicurarsi che funzionino all'unisono. Perdere uno di questi riduce notevolmente la posizione di sicurezza, sia per la sicurezza delle applicazioni Web che per la sicurezza della rete. Anche i test di penetrazione e le scansioni di vulnerabilità sono percepiti separatamente come requisiti di conformità (ad esempio, per il Payment Card Industry Data Security Standard – PCI DSS, ISO 27001 o la conformità HIPAA). Diamo un'occhiata alle principali differenze tra test di penetrazione e scansione delle vulnerabilità e il loro posto nell'ecosistema della sicurezza informatica.

Banner

Che cos'è il test di penetrazione?

Durante un test di penetrazione, un professionista fidato imita le attività di un hacker black-hat del mondo reale e tenta di trovare potenziali vulnerabilità e configurazioni errate, sfruttare i punti deboli e infiltrarsi nelle risorse aziendali utilizzando test manuali. Tali test sono progettati per funzionare esattamente come gli attacchi informatici, ma sono accuratamente preparati per non influire sulla sicurezza delle informazioni. Questo professionista di fiducia, chiamato pentester, può far parte del team di sicurezza interna o essere assunto tramite una società esterna. Se il test di penetrazione determina una violazione della sicurezza, il professionista della sicurezza fornisce una valutazione dettagliata della vulnerabilità e rapporti sui test di penetrazione in modo che l'azienda possa eliminare la vulnerabilità che ha portato alla violazione.

Per molte ragioni, le aziende spesso scelgono di esternalizzare i test di penetrazione. Innanzitutto, un'entità esterna ha una percezione più oggettiva dei sistemi testati. In secondo luogo, non molte aziende possono trovare professionisti della sicurezza specializzati in test con la penna, impiegarli a tempo pieno e fornire loro lavoro sufficiente su base regolare. Terzo, un'azienda che fornisce servizi di sicurezza completi, inclusi servizi di valutazione del rischio e test di penetrazione, ha molta più esperienza e una base di esperti molto più ampia.

I tester di penetrazione non possono automatizzare il proprio lavoro. Usano alcuni strumenti di sicurezza come la valutazione manuale della vulnerabilità e gli strumenti di test di penetrazione per eseguire attacchi (ad esempio Metasploit). Possono anche utilizzare tecniche come l'ingegneria sociale (incluso il phishing) per valutare la posizione di sicurezza del personale dell'azienda.

I test di penetrazione sono talvolta considerati più accurati delle scansioni delle vulnerabilità, ma in realtà coprono un diverso ambito di vulnerabilità. Il test della penna si concentra su ciò, che non può essere scoperto automaticamente, ad esempio, sulle vulnerabilità della logica di business e sulle nuove vulnerabilità (zero-day). Non puoi aspettarti che una scansione di vulnerabilità faccia parte di un test di penetrazione.

Taglie vs test di penetrazione

Alcune aziende ritengono che le ricompense siano una buona alternativa ai normali test di sicurezza. Le taglie incoraggiano gli hacker etici freelance a tentare di violare i tuoi controlli di sicurezza in modo da ricevere un premio per un tentativo così riuscito. Tuttavia, non puoi garantire che i talentuosi hacker con cappello bianco sappiano della tua taglia o scelgano di perseguirla, quindi le taglie sono imprevedibili.

Le taglie non sono una valida alternativa ai test di penetrazione, ma sono un'aggiunta preziosa. Un'azienda attenta alla sicurezza dovrebbe avere una politica di divulgazione pubblica con ricompense adeguate. Tuttavia, devono comunque essere eseguiti anche test di penetrazione regolari.

Che cos'è la scansione delle vulnerabilità?

Una scansione di vulnerabilità è un'attività eseguita da uno strumento automatizzato con un'assistenza umana minima. In base alla progettazione, le scansioni delle vulnerabilità dovrebbero essere eseguite nei tempi previsti e automaticamente come parte del ciclo di vita dello sviluppo del software. Tale scansione di sicurezza è progettata per trovare problemi noti, sebbene l'ambito del test di vulnerabilità dipenda in larga misura dallo strumento di scansione delle vulnerabilità scelto.

Uno scanner di vulnerabilità scopre la struttura dell'asset scansionato (alcuni strumenti professionali scoprono anche gli asset esistenti) e quindi tenta una serie di test automatici su ciascun elemento di quella struttura. Gli strumenti semplici utilizzano solo la scansione basata sulle firme, ma gli strumenti più avanzati tentano attacchi simili a quelli eseguiti durante i test di penetrazione. Tale scansione delle vulnerabilità viene spesso definita test di penetrazione automatizzato.

Gli strumenti professionali includono anche funzionalità di valutazione e gestione delle vulnerabilità e funzionano con le prime tecnologie di mitigazione come i firewall delle applicazioni Web . Con tali strumenti, puoi decidere quali vulnerabilità devono essere affrontate per prime e puoi anche monitorare i processi di riparazione. In questo modo, puoi essere sicuro che i principali rischi per la sicurezza vengono eliminati in modo rapido ed efficace.

Con quale frequenza eseguire le valutazioni di sicurezza?

Una volta che un'azienda implementa una soluzione di scansione delle vulnerabilità, non c'è limite alla frequenza con cui tali scansioni possono essere eseguite. L'unica preoccupazione è che tali scansioni possono richiedere molte risorse e quindi le aziende spesso scelgono di eseguirle durante le ore di riposo per le risorse di produzione. Le soluzioni di scansione delle vulnerabilità professionali sono inoltre realizzate per essere integrate nel ciclo di vita dello sviluppo del software e pertanto tali test possono essere eseguiti dopo ogni modifica del codice sorgente utilizzando una soluzione di integrazione continua.

D'altra parte, i test di penetrazione sono molto lunghi, costosi e dispendiosi in termini di risorse. Ecco perché di solito vengono eseguiti una volta ogni pochi mesi o a intervalli più grandi.


Articoli su Sicurezza

Sicurezza aziendale: da cosa è minacciata e come proteggerla?Il threat modeling per la sicurezza delle applicazioniScanner di vulnerabilità: ecco come funzionanoWeb security: 5 motivi per cui è essenziale contro i ransomwareChe cos'è DevSecOps e come dovrebbe funzionare?Test di penetrazione vs scansione delle vulnerabilitàConsiderazioni sui test di correzione delle applicazioni WebQuattro modi in cui l'analisi AppSec aiuta i tuoi professionisti DevSecOpsQuattro modi per combattere il divario di competenze di sicurezza informaticaDove i framework di cybersecurity incontrano la sicurezza webCome costruire un piano di risposta agli incidenti informaticiRendi i tuoi utenti parte della soluzione di sicurezza webSei l'unico che può proteggere le tue applicazioni webNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaConvergenza Dev-Sec: i progressi e le sfide sulla strada per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?Sei l'unico che può proteggere le tue applicazioni webCos'è la sicurezza del sito Web: come proteggere il tuo sito Web dall'hackingRendi i tuoi utenti parte della soluzione di sicurezza webConvergenza Dev-Sec: la ricerca illustra i progressi per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?La differenza tra XSS e CSRFNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaPrevenzione e mitigazione XSSStop ai compromessi sulla sicurezza delle applicazioni webSfatare 5 miti sulla sicurezza informaticaBasta compromessi sulla sicurezza delle applicazioni webNozioni di base sulla sicurezza web: la tua applicazione web è sicura?Che cos'è l'iniezione dell’header HTTP?Fare shift left o no?Individuazione e correzione di falle di sicurezza in software di terze partiClassi di vulnerabilità Web nel contesto delle certificazioniScripting tra siti (XSS)Che cos'è un attacco CSRFChe cos'è una SQL Injection (SQLi) e come prevenirlaAttacchi di attraversamento di directoryChe cos'è la falsificazione delle richieste lato server (SSRF)?7 migliori pratiche per la sicurezza delle applicazioni WebBlack Hat 2021: la più grande minaccia alla sicurezza informaticaÈ ben fatto? Chiedi allo sviluppatore!Scegli la soluzione di sicurezza delle applicazioni web che fa per teSicurezza fai-da-te: lo stai facendo bene?Sulla sicurezza delle applicazioni web professionali per MSSPLa cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23