Metodologie per Vulnerability Assessment & Penetration Test

Il Dottor Domenico Cuoccio discute di Metodologie per Vulnerability Assessment e Penetration Test

Una corretta gestione della sicurezza si basa innanzitutto su un’adeguata conoscenza dell’attuale livello di protezione dei propri sistemi. Partendo da questo presupposto, un programma di sicurezza e di audit deve prevedere l'attività combinata di Vulnerability Assessment (VA) e Penetration Testing (PT) che aiutino a comprendere il reale livello di sicurezza dei propri processi di business.

Il VA consente di ottenere una lista delle proprie vulnerabilità più immediatamente identificabili al fine di porvi poi rimedio assegnando loro delle priorità e strutturando gli interventi correttivi in una unità di tempo relativamente breve. E' basato su un’analisi semi-automatica volta a rilevare potenziali vulnerabilità note.

Il PT consente di sapere come è stato eventualmente violato il nostro sistema e con quali rischi conseguenti per il suo business, al fine di porvi rimedio alla radice agendo su tutte le componenti sfruttate dall’attaccante  mettendo alla prova la propria postura esponendosi ad un attacco mirato da parte di un agente di minaccia simulato. Il Penetration Test (eventualmente integrato da un Vulnerability Assessment) permette di verificare sul campo in modo sistematico, consistente e ripetibile (se condotto in funzione di una metodologia), tramite molteplici vettori di attacco, se e come le vulnerabilità riscontrate siano sfruttabili da parte di un attaccante esperto (ethical hacker).

Il seminario ha come obiettivi quelli di fornire i concetti e le definizioni di base di VA e PT basandosi sulle metodologie di riferimento OSSTMM e OWASP, di presentare i principali tools utilizzabili (su distribuzione kali linux) e di utilizzarli in base all'ambiente (laboratorio) a disposizione.