Wikipedia

Penetration test: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Descrizione delle differenze tra penetration test e vulnerability assessment
m Annullata la modifica di Faustin81 (discussione), riportata alla versione precedente di Antonino Faro
Etichetta: Rollback
Riga 121:
 
Contestualmente il Red Teaming è un'attività svolta in una finestra temporale molto estesa (solitamente nell'ordine dei mesi) dove non è presente un vero e proprio perimetro di intervento. L'obiettivo è di penetrare all'interno dell'azienda per verificare l'efficacia dei sistemi di sicurezza, ma soprattutto i tempi di risposta del personale posto alla difesa dell'infrastruttura (blue team<ref>{{Cita web|url=https://csrc.nist.gov/glossary/term/blue_team|titolo=Blue Team}}</ref>).
 
== Differenze con il vulnerability assessment ==
Il penetration test e il vulnerability assessment sono due attività complementari nel campo della sicurezza informatica, ma con obiettivi e metodologie differenti.<ref>{{Cita web|lingua=it-IT|url=https://fdrk.it/vulnerability-assessment-nis-2/|titolo=Vulnerability Assessment come funziona e a cosa serve|data=2024-10-02|accesso=2025-05-22}}</ref>
 
Il vulnerability assessment si concentra sull'individuazione sistematica e automatizzata delle vulnerabilità presenti in un sistema, rete o applicazione. Questo processo produce un elenco dettagliato di punti deboli ordinati per livello di rischio, ma non include una verifica attiva della loro sfruttabilità.
 
Il penetration test, invece, mira a simulare un attacco informatico reale, cercando di sfruttare attivamente le vulnerabilità per valutare il reale impatto di una violazione. Questo tipo di test richiede competenze tecniche avanzate, è spesso svolto manualmente e può includere tecniche di social engineering.
 
== Strumenti utilizzati ==
Gli strumenti impiegati nei penetration test variano a seconda del contesto, ma tra i più comuni si trovano:
 
* **Metasploit Framework** – per la creazione e l'esecuzione di exploit;
* **Burp Suite** – per l'analisi e la manipolazione del traffico web;
* **Kali Linux** – distribuzione Linux con un'ampia suite di tool preinstallati;
* **Nmap** – per la scansione e l'enumerazione delle reti;
* **John the Ripper** – per il cracking di password.
 
La scelta degli strumenti dipende dalla natura del target e dagli obiettivi del test.
 
== Fonti ==
 
* [https://owasp.org/www-community/Vulnerability_Scanning OWASP – Vulnerability Scanning (EN)]
* [https://www.fdrk.it/vulnerability-assessment-nis-2/ Vulnerability Assessment – FDRK.it]
 
== Note ==
Estratto da "https://it.wikipedia.org/wiki/Penetration_test"