loader image

VA & PT

va-vs-pt

VULNERABILITY ASSESSMENT

Il vulnerability assessment è il processo di individuazione e classificazione delle vulnerabilità nel sistema target e viene eseguito in modo automatico attraverso software specifici. Viene eseguito con cadenza anche mensile per identificare eventuali vulnerabilità note.

\

Viene eseguito in maniera automatica

\

Può essere eseguito con cadenza mensile

\

Costa meno di un PT

\

Non sfrutta le vulnerabilità, ma si ferma alla sua identificazione

\

Analizza sia i software che i sistemi operativi

\

Normalmente viene eseguito prima di un PT

\

Non comporta nessun problema per la rete target

PENETRATION TEST

Durante un Penetration Test infrastrutturale vengono effettuate delle vere e proprie simulazioni di intrusione, ipotizzando diversi scenari di attacco e combinando tecniche manuali all’utilizzo degli strumenti automatici.

Un PT infrastrutturale è mirato alla verifica della rete e della configurazione delle macchine host e server che la compongono.

In questo modo è possibile analizzare l’esposizione a vulnerabilità non verificabili dai software automatici. Ancora più importante è la possibilità di mostrare come, in presenza di criticità se considerate singolarmente non portino ad una reale situazione di rischio, ma un loro sfruttamento combinato possa invece esporre a conseguenze di notevole impatto.

Operando manualmente su sistemi ed applicazioni, è anche possibile sfruttare le vulnerabilità riscontrate, portando a termine la simulazione di attacco, così da mostrare quali siano le reali conseguenze sulla propria infrastruttura.

Modalità di attacco:

\

White box: l’ethical hacker ottiene dal cliente informazioni come schema della rete o credenziali di accesso

\

Black box: l’ethical hacker ha a disposizione come unica informazione l’indirizzo IP o il nome del dominio dell’applicazione da testare

Modalità di esecuzione:

\

Information Gathering (raccolta informazioni sull’obiettivo/target dei test)

\

Footprinting and Scanning (individuazione dei servizi e dei sistemi operativi in esecuzione sul target)

\

Vulnerability Assessment (scansione, individuazione e classificazione delle vulnerabilità note)

\

Assessment manuale (individuazione e classificazione delle vulnerabilità non note)

\

Exploitation (dimostrazione di abuso delle vulnerabilità rilevate)

\

Report (resoconto dettagliato destinato al cliente dell’esito del test con consigli di mitigazione delle vulnerabilità rilevate)

Desideri maggiori informazioni? Non esitare a contattarci senza impegno

Chiama Ora