Sia il vulnerability scanning che il penetration testing hanno pro e contro. Ognuno è valido a modo suo e, se il budget lo consente, è sicuramente una buona pratica impiegare una combinazione di entrambi. Ma qual è la principale differenza tra vulnerability scanning e penetration testing? vediamo più nello specifico in cosa differiscono:
- il penetration testing è un controllo manuale della sicurezza in base alla quale un professionista della cybersecurity tenta di trovare un modo per entrare nei sistemi. Si tratta di un test approfondito che valuta i controlli di sicurezza su una varietà di sistemi, tra cui applicazioni Web, reti e cloud. Questo tipo di test potrebbe richiedere diverse settimane per essere completato e, a causa della sua complessità e del suo costo, viene di solito eseguito solo su base annuale;
- il vulnerability scanning, invece, è automatizzato ed eseguito da strumenti che possono essere installati direttamente sulla rete o accessibili online. I vulnerability scanner eseguono migliaia di controlli di sicurezza sui sistemi, fornendo un elenco di tutte le vulnerabilità con i relativi consigli per correggerle. Stando così le cose, è possibile effettuare costantemente controlli di sicurezza anche senza avere nel team un esperto di cybersecurity a tempo pieno.
Cos’è meglio, un pen-testing una tantum o un vulnerability scanning costante?
I penetration test sono stati a lungo parte essenziale della strategia di molte aziende per proteggersi e proteggere i clienti dagli attacchi informatici e un ottimo modo per rilevare i bug in uno specifico momento. Ma il solo uso di questi test può spesso lasciare indifese tali aziende per lunghi periodi di tempo.
Effettuare penetration test annuali come difesa principale contro gli aggressori, negli anni passati, ha guadagnato popolarità, per buone ragioni, ed è comune ancora oggi nel settore della sicurezza informatica. Sicuramente questa strategia è meglio che non fare nulla, ma ha uno svantaggio abbastanza critico.
Ad esempio, cosa succede se, durante quel lungo anno compreso fra un pen-test e l’altro:
- viene scoperta una nuova vulnerabilità critica nel server Apache che gestisce un portale clienti sensibile?
- uno sviluppatore junior introduce un’errata configurazione della sicurezza?
- un tecnico di rete apre temporaneamente una porta su un firewall esponendo un database a Internet e poi si dimentica di chiuderlo?
Se non controllati, questi problemi potrebbero causare un data breach.
Senza un monitoraggio continuo di vulnerabilità come queste, diventa molto difficile identificarle e risolvere prima che gli aggressori abbiano la possibilità di trarne vantaggio.
I locali fisici che necessitano di una solida sicurezza spesso vantano soluzioni automatizzate 24 ore su 24, 7 giorni su 7 per scoraggiare potenziali aggressori. Allora perché alcune aziende trattano la sicurezza informatica in modo diverso? Soprattutto quando ogni giorno vengono scoperte in media 20 nuove vulnerabilità!
Per concludere
Credo tu stia iniziando a capire perché fare un pen-testing una volta ogni tanto, da solo, non è sufficiente. È l’equivalente informatico del controllare le serrature del tuo edificio ad alta sicurezza una volta l’anno, per poi lasciarlo senza personale e senza più controllare se rimane sicuro fino all’anno seguente. Suona un po’ folle, vero?
La scansione regolare delle vulnerabilità aiuta a integrare i test manuali, poiché fornisce alle aziende un buon livello costante di copertura della sicurezza tra un pen-test e l’altro.
Molte aziende utilizzano ancora oggi i penetration testing annuali come unica linea di difesa, ma poiché si sta iniziando a comprendere quanto sia elevata la frequenza con cui compaiono nuovi bug nella sicurezza, credo che le soluzioni automatizzate di vulnerability scanning saranno presto il primo punto di riferimento per tutte le aziende, integrate al pen-test e a un potente piano di backup.
Per fortuna, sta aumentando la consapevolezza della necessità di una strategia che fornisca protezione tutto l’anno, ma c’è ancora molta strada da fare.
Se vuoi capire qual è la principale differenza tra vulnerability scanning e penetration testing e stai cercando di proteggere la tua attività per la prima volta, consiglio di iniziare con il vulnerability scanner e di testare regolarmente la superficie di attacco esposta.
Contattaci per una consulenza, attraverso i nostri servizi di Vulnerability Assessment e Vulnerability Scanner siamo in grado di offrirti gli strumenti adatti.