VULNERABILITY ASSESSMENT

Il servizio di Vulnerability Assessment (VA) è il più richiesto e ci permette un approccio non invasivo per rilevare falle nella sicurezza informatica e di redigere un Report completo di Remediations.

Cos’è un Vulnerability Assessment

Il servizio di Vulnerability Assessment (VA) consiste nell’analizzare i sistemi informatici per ricercare e valutare le eventuali vulnerabilità presenti.

Modalità di esecuzione

È possibile condurre l’attività di Vulnerability Assessment con diverse modalità, ovvero:

  • simulando un attaccante che ha piena conoscenza dei sistemi (white box);
  • simulando un attaccante che non ha alcuna conoscenza dei sistemi (black box).

Questa attività può essere condotta mediante strumenti automatizzati (vulnerability scanner), o mediante tecniche manuali molto più fini e affidabili.
Gli strumenti automatizzati non sempre riescono a rilevare le vulnerabilità più difficili ed elaborate.
Per questo i nostri tecnici qualificati e certificati agiscono manualmente in questa fase di scansione delle vulnerabilità.

Soprattutto quando si analizzano i sistemi più importanti e critici nelle infrastrutture, è preferibile condurre test manuali.
Questo ci permette di garantire un maggior grado di profondità del Vulnerability Assessment.

Le fasi di un Vulnerability Assessment

L’attività di Vulnerability Assessment può essere scomposta nelle seguenti principali fasi di lavoro:

  1. INFORMATION GATHERING ED ENUMERAZIONE DEI SERVIZI:
    Tutti gli IP determinati vengono esaminati per scoprire quali porte risultino aperte e quindi quali servizi risultino essere in ascolto.
    Il network viene analizzato al fine di determinare i sistemi ed i servizi presenti. Ognuno di questi sistemi viene sottoposto a tecniche di fingerprinting attivo (inviando richieste ai sistemi stessi) e passivo (ottenendo le informazioni da server pubblici quali DNS o i database WHOIS). In questo modo è possibile determinare, con la massima precisione possibile, le versioni dei software installati.
  2. IDENTIFICAZIONE DELLE VULNERABILITÀ:
    Per ogni servizio rilevato si procede a verificarne l’eventuale presenza di vulnerabilità.

L’esecuzione di un Vulnerability Assessment si basa sull’individuazione delle vulnerabilità dei sistemi informatici, non prevede perciò lo sfruttamento delle stesse per “entrare” nel sistema.
Questa operazione rappresenta, invece, il cuore dei Penetration test.
I migliori test sulla sicurezza informatica vengono eseguiti manualmente da tecnici certificati e con esperienza nel settore hacking.

L’importanza del Vulnerability Assessment

In un processo di Risk Assessment l’attività di VA è di fondamentale importanza.
Il Vulnerability Assessment stabilisce delle priorità in un piano di intervento atto a potenziare e a innalzare il livello della sicurezza informatica.
Il Red Team di Vestudio realizza il servizio di VA professionale ponendo in primo piano la parte manuale dell’assessment.
Questo permette di sfruttare l’esperienza dei propri tecnici e di garantire un risultato più completo ed approfondito ai suoi clienti.

È importante che gli addetti all’assessment abbiamo un’ottima preparazione. Questo perché ogni falla nella sicurezza non individuata può rappresentare un’opportunità di attacco da parte di malintenzionati.

Pertanto, quando ci si affida a fornitori esterni bisogna prestare massima attenzione nella scelta degli stessi.
Infine, oltre al ricercare un’azienda con personale Certificato come il nostro, è necessario assicurarsi che le certificazioni di sicurezza informatica siano riconosciute. Le uniche riconosciute sono infatti ottenute mediante esami pratici costituiti da attacchi reali su macchine. Gli studi su attacchi teorici sono più rivolti ad una fascia manageriale e per commerciali.
Vestudio opera prevalentemente a Modena e in tutta Emilia Romagna offrendo servizi di sicurezza informatica e Test di Phishing per le aziende.

Dove

Vestudio opera a Sassuolo e nelle Province di Modena, Reggio Emilia e Bologna, eseguendo i migliori test di sicurezza informatica. I nostri tecnici certificati eseguono test manuali.

Scrivici

Sarai ricontattato in 24h.