Con le attività di Vulnerability Assessment (per brevità V.A.) e Penetration Test (per brevità P.T.) si sottopongono a verifica le misure di sicurezza logiche e organizzative predisposte dal cliente al fine di prevenire i reati informatici e divulgazione di informazioni sensibili.
La metodologia utilizzata vuole misurare la sicurezza informatica aziendale mediante quattro macro step:
1) Internal Vulnerability Assessment (1° Step).
Punto di partenza per valutare la sicurezza informatica della rete “interna”. Con questo punto sarà possibile ottenere un indice sullo stato di sicurezza della LAN (Local Area Network), tale indice sarà poi utilizzato per proporre contro-misure/metodologie al fine di irrobustire il livello di security.
2) External Vulnerability Assessment (2° Step).
Vulnerability Assessment condotto dall’esterno nei confronti dei sistemi informativi dell’area perimetrale.
Tale fase sebbene possa essere condotta in maniera indipendente ed isolata rispetto al Vulnerability Assessment interno è preferibile eseguirla successivamente alla prima al fine di poter confrontare i risultati globalmente ottenuti ed essere più mirati nelle osservazioni di sicurezza.
3) Internal Penetration Test (3° Step).
Un Penetration Test tenta di sfruttare le vulnerabilità emerse dalle analisi precedenti per violare i sistemi informatici oggetto del target. L’Internal Penetration Test è un PT eseguito dall’interno della rete aziendale nei confronti dei sistemi interni e di perimetro.
Per tale attività diventano propedeutiche le prime due.
4) External Penetration Test (4° Step).
Simile al punto precedente con la fonte di attacco localizzata all’esterno del perimetro aziendale.