Un Vulnerability Assessment non è un Penetration Test!



Non è insolito che un black hacker scansioni migliaia di pagine al giorno alla ricerca di un bersaglio appetibile, in termini di #azienda, #obiettivo, facilità di #exploit e tempo di #attacco.


Questa prima ricognizione la possiamo paragonare ad un #Vulnerability #Assessment (#VA), ovvero verificare che la prima #vulnerabilità sfruttabile possa garantire una facile penetrazione del sistema.


Poi si passa all'attacco manuale, ovvero sfruttare quella potenziale (nel senso che non sempre funziona) vulnerabilità attraverso un #exploit pubblico (primo gate di attacco), per poi entrare nel sistema, ed elevare i privilegi con altri exploit (secondo gate di attacco), e via discorrendo, per poi effettuare movimenti laterali, ovvero accedere a macchine adiacenti per rilevare potenziali dati appetibili e quindi accedere alla base dati, ricercare i dati come ad esempio i dati sensibili (superando la cifratura) e completare lo scenario di attacco esfiltrandoli su un #server di appoggio.


Il Vulnerability assessment è la ricognizione, il potenziale "primo gate di attacco", tutto quello che viene dopo si chiama penetration test (#PT).


I #databreach ancora oggi e per molto tempo, si faranno con le mani.


#redhotcyber #cybersecurity

Iscriviti al canale Youtube

unnamed.png

Red Hot Cyber: conosci il rischio per starne lontano

Per richieste di supporto scrivi a: redhotcyber@hotmail.com

  • YouTube Icona sociale
  • Facebook Icona sociale
  • Twitter Icon sociale
  • LinkedIn Icona sociale
  • Instagram Icona sociale
  • Tumblr Icona sociale
This site was designed with the
.com
website builder. Create your website today.
Start Now