Con Vulnerability Assessment si intende quel processo finalizzato ad individuare tutte le potenziali vulnerabilità dei sistemi e delle applicazioni di una rete, eseguendo l'identificazione e valutazione dei potenziali danni che l'attaccante potrebbe causare all'attività produttiva.
L'attività di Vulnerability Assessment può essere eseguita sia all'interno che all'esterno della rete aziendale, permettendo di simulare diversi scenari che potrebbero verificarsi e valutare il reale impatto sull'organizzazione.
Eseguire un test sulle vulnerabilità di un sistema è estremamente importante per un'azienda e può persino risultare fondamentale per la sopravvivenza del business: scoprire in anticipo i propri punti deboli permette di adottare le opportune contromisure.
La valutazione del rischio informatico (Risk Assessment) ti permette di valutare i reali rischi informatici e adottare le dovute contromisure strategiche.
Identificare le vulnerabilità non è sufficiente senza un'adeguata valutazione del contesto operativo. Il Risk Assessment quantifica l'impatto potenziale che una minaccia potrebbe avere sull'attività produttiva.
Questo approccio permette di assegnare le giuste priorità di risanamento, ottimizzando le risorse IT sulle reali minacce per il business e garantendo la sopravvivenza dell'azienda in caso di attacco.
La valutazione e l'esecuzione del Vulnerability Assessment è condotta in conformità con i consigli descritti nel documento NIST SP 800-115 e seguendo quanto definito nell'Open Source Security Testing Methodology Manual (OSSTMM). L'identificazione delle vulnerabilità delle applicazioni web è basata su metodologia OWASP TOP 10.
Al termine dell'attività viene redatto un report completo che illustra in modo chiaro e dettagliato tutte le vulnerabilità individuate, il livello di rischio associato e le raccomandazioni tattiche e strategiche per un miglioramento immediato della sicurezza.
Il report include un'analisi dei rischi basata sui fatti per convalidare i risultati, fornendo sia un documento di sintesi per il management che documentazione tecnica approfondita da divulgare al personale IT.