Vulnerability assessment
Individua e classifica potenziali vulnerabilità attraverso scansioni, verifiche tecniche, validazione dei risultati e priorità di correzione.
Offensive Security
Vulnerability assessment e penetration test valutano reti, applicazioni e servizi digitali entro un perimetro autorizzato e concordato.
Vulnerability assessment e penetration test rispondono a domande differenti e non vengono presentati come equivalenti.
Individua e classifica potenziali vulnerabilità attraverso scansioni, verifiche tecniche, validazione dei risultati e priorità di correzione.
Approfondisce vulnerabilità selezionate e ne verifica, entro limiti concordati, l’effettiva sfruttabilità e il possibile impatto.
Ogni attività viene progettata sul perimetro concordato e svolta esclusivamente con autorizzazione del cliente.
Sistemi, servizi esposti, configurazioni, segmentazione e controlli di accesso.
Autenticazione, autorizzazioni, sessioni, input, esposizione dei dati e logiche applicative.
Domini, sottodomini, servizi esposti e informazioni pubbliche che potrebbero agevolare un attacco.
Campagne autorizzate e controllate per individuare aree formative, non per punire le persone.
03 / Metodo autorizzato
Le verifiche vengono effettuate esclusivamente con autorizzazione e all’interno di un perimetro concordato.
04 / Report
Il report contiene una sintesi per il management e una parte tecnica con descrizione, rischio, evidenze, impatto, indicazioni di correzione e priorità.
Esposizione, impatti, priorità e decisioni necessarie spiegati senza tecnicismi superflui.
Evidenze riproducibili, rischio, indicazioni di correzione e ordine di priorità.
Il vulnerability assessment individua e classifica potenziali vulnerabilità. Il penetration test approfondisce vulnerabilità selezionate per verificarne, entro limiti concordati, sfruttabilità e impatto.
Il rischio operativo viene valutato prima dell’attività e gestito attraverso perimetro, orari, esclusioni e regole concordate. Modalità e precauzioni dipendono dai sistemi e dalla complessità del test.
La frequenza dipende da esposizione, modifiche ai sistemi, criticità dei servizi, requisiti e rischio dell’organizzazione. Non esiste un intervallo valido per ogni contesto.
Sì, quando previsto nell’incarico. Il retest controlla le vulnerabilità concordate dopo le correzioni; perimetro, tempi e profondità dipendono dai risultati iniziali e dalle modifiche effettuate.
Perimetro e autorizzazione
Il confronto iniziale serve a comprendere sistemi, obiettivi, vincoli operativi e profondità del test.
Definisci il perimetro da verificare