Italiano
  • English
  • Info:
    +39 080 5442048

    SER&Practices

    Vulnerability Assessment & Penetration Test

    Servizi

    VA-PT

    Il Vulnerability Assessment (VA) è il processo di misurazione e prioritizzazione dei rischi associati all’infrastruttura IT per consentire una pianificazione razionale delle tecnologie e delle attività che gestiscono i rischi aziendali.

    Il Vulnerability Assessment effettua una fotografia della infrastruttura e verifica eventuali falle nella sua configurazione, ciò consente una valutazione della situazione dei sistemi di sicurezza implementati su reti, macchine o applicazioni aziendali, ove presenti, con l’obiettivo di rilevare eventuali carenze di protezione rispetto ad elenchi di vulnerabilità tecnologiche note.

    Gli Assessment vengono condotti tramite l’utilizzo di tool di scansione, che forniscono una profondità di rilevazione ed una granularità completamente configurabili, in base alle esigenze del sistema informatico oggetto dell’analisi. Gli strumenti di valutazione delle vulnerabilità consentono una personalizzazione della politica di sicurezza, l’analisi automatizzata delle vulnerabilità e la creazione di report che comunichino in modo efficace le scoperte delle vulnerabilità di sicurezza e le azioni correttive da intraprendere a tutti i livelli di un’organizzazione.

    I principali obiettivi di un Vulnerability Assessment sono quelli di:

     

    Tipicamente si distingue tra:

    • VA network-based. Assessment realizzati tramite l’uso di scanner di rete. Gli scanner di rete sono in grado di rilevare le porte aperte, identificare i servizi in esecuzione su queste porte e rivelare eventuali vulnerabilità associate a questi servizi.
    • VA host-based. Assessment che vengono eseguiti tramite scanner residenti sugli host o scanner che hanno la possibilità di accedere da remoto agli stessi host. Gli scanner host-based sono in grado di riconoscere le vulnerabilità a livello di sistema tra cui autorizzazioni errate su file, directory e registro di sistema e errori di configurazione del software. Questo tipo di assessment, inoltre, assicura che i sistemi siano conformi alle politiche di sicurezza aziendali predefinite. A differenza degli scanner network-based, è necessario che un account amministratore o un agente si trovi sul sistema di destinazione per consentirne l’accesso con i privilegi necessari.

    Il vulnerability Assessment può prevedere una successiva fase di Penetration Test (PT) e di Risk Assessment.

    Tecnologie

    Nessus
    Nessus
    Rapid7 Nexpose
    Rapid7 Nexpose
    OpenVAS
    OpenVAS
    Burp Suite
    Burp Suite
    Metasploit
    Metasploit
    SQLmap
    SQLmap
    OSWAP ZAP
    OSWAP ZAP
    Wireshark
    Wireshark
    Aircrack-NG
    Aircrack-NG