vulnerability scan vs vulnerability assessemnt

Vulnerability scan vs vulnerability assessment: le differenze che devi sapere

Molto spesso la tendenza comune nel mondo della cyber security è quella di identificare il vulnerability scan con il vulnerability assessment.

Ma in realtà la differenza tra i due non è solo formale, ma sostanziale. Spesso si è convinti che un test per scovare la presenza o meno di una vulnerabilità in un dato momento, sia sufficiente ad assicurarsi la tutela verso le cyber minacce

Ma, nella sostanza, quello che si sta facendo è una scansione isolata che non è in grado di effettuare una valutazione complessiva dei rischi cyber verso l’infrastruttura IT o il proprio sito web e dominio nel suo insieme. 

Avere consapevolezza di ciò che si cerca permette di sfruttare realmente un tool di vulnerability scan per lo scopo per il quale è stato creato. Lo stesso vale per l’uso di soluzioni in grado di effettuare un vulnerability assessment completo sui propri sistemi IT.

Che cos’è il vulnerability scan? 

Il vulnerability scan è definibile come una scansione di sicurezza di un sito Web, un programma basato sul Web, una rete o un file system alla ricerca di vulnerabilità o modifiche indesiderate ai file.

Più che un software, è un tool che consente di effettuare un security scanner. Quando la scansione di sicurezza ha ad oggetto la ricerca di una vulnerabilità in una web application, si parla di web app vulnerability scan. Quando la scansione di sicurezza ha ad oggetto la ricerca di vulnerabilità in un sistema di reti ed infrastrutture, si parla di network vulnerability scan.

Per cui il vulnerability scan, web o network, è un processo di individuazione di difetti di sicurezza nei sistemi, dispositivi di rete ed applicazioni software. Questo processo può essere automatizzato o manuale. Durante la scansione automatica, lo scanner cercherà automaticamente i problemi di sicurezza noti con i dispositivi. La scansione manuale comporta l’esame manuale di ciascun dispositivo e il controllo manuale delle vulnerabilità.

Tutto sommato però, sono dei test ampi ma superficiali, usati per identificare tutte le problematiche gravi ma note. Come ad esempio, mancanza di patch, errori di configurazione più diffusi, vulnerabilità macroscopiche ecc. Il test verifica la presenza di “problemi” rispetto ad un database di “problemi noti”.

Che cos’è il vulnerability assessment?

Il vulnerability assessement, invece, più che un mero test è un vero e proprio checkup informatico. Uno screening dettagliato delle vulnerabilità di una applicazione o dell’intera infrastruttura dell’organizzazione. Il vulnerability assessment (VA) consente di definire, identificare, classificare e rispondere alle minacce informatiche che orbitano attorno a tutto l’ecosistema dell’organizzazione.

I due elementi chiave per ridurre i rischi cyber con il VA sono: comprendere le vulnerabilità presenti nell’ambiente e rispondere di conseguenza.

Il VA segue un percorso tecnico:

  1.  Raccolta e scoperta delle informazioni, al fine di comprendere tutti gli hardware ed i software presenti nell’azienda. Ciò comporta spesso la scansione della rete per individuare gli host, la scansione delle porte per individuare i servizi e i protocolli che potrebbero essere vulnerabili e una revisione delle informazioni del servizio directory e del DNS per capire quali host potrebbero essere presi di mira dagli aggressori.
  2. Revisione ed enumerazione,  individuati tutti gli host presenti nell’ambiente, la revisione ed enumerazione approfondita di sistemi operativi, applicazioni, porte, protocolli e servizi determina l’intera estensione della superficie di attacco vulnerabile agli aggressori. Particolarmente importante in questa fase è determinare le informazioni sulla versione delle risorse dell’organizzazione poiché le versioni successive spesso correggono le vecchie vulnerabilità e ne introducono di nuove.
  3. Rilevamento e segnalazione, è in questa fase che sono effettivamente rilevate, segnalate e indicate tutte le vulnerabilità con il relativo livello di criticità e pericolosità. Il passaggio finale della fase consiste nell’utilizzare gli strumenti di correzione per applicare patch, configurare o eseguire il debug delle risorse in base alle esigenze per ridurre o eliminare i rischi per la sicurezza presenti a causa delle vulnerabilità rilevate.

Vulnerability Scan vs Vulnerability Assessement, quale scegliere?

Il primo passo per stabilire la differenza tra vulnerability scan e vulnerability assessment è acquisire consapevolezza sulla risposta che si vuole ricevere. Per cui le differenze vulnerability scan vs vulnerability assessment dipendono anche da ciò che si ricerca dai risultati degli scanning.

Innegabile è che, mentre il vulnerability scan si limita a fare una fotografia dell’istante in cui è eseguito il test. Il VA è in grado di dare un quadro complessivo di tutte le debolezze che affliggono l’organizzazione e che la espongono ad un cyber attacco.

Il vulnerability assessement è in grado di dare un’overview aggiornata del livello di sicurezza di tutti gli asset IT, ed è considerato per questo il punto di partenza per la creazione di una strategia di cyber security proattiva


Web application scan Cerbeyra - Scarica il White Paper: Come effettuare un Vulnerability Assessment