Il Penetration Test invece ha lo scopo di evidenziare le eventuali vulnerabilità e problematiche di sicurezza e di indicare contromisure tecnologiche, organizzative e procedurali. Le attività sono effettuate secondo metodologie di riferimento come OWASP testing guide, penetration testing execution standard, e OSSTMM (Open Source Security Testing Methodology Manual).

Tipologie di Penetration Test:

Penetration Test infrastrutturale: verifica il livello di sicurezza dei sistemi e degli elementi infrastrutturali, sia da segmenti di rete interni che esterni. Può simulare scenari di attacco da parte di utenti malintenzionati o dipendenti infedeli.
Penetration Test sito web & applicativo: valuta la sicurezza degli applicativi, inclusi quelli basati su tecnologie non web. Può simulare scenari di attacco variabili.
Penetration Test WiFi: verifica la sicurezza delle infrastrutture wireless, come WiFi e Bluetooth.
Penetration Test Mobile App: Valuta la sicurezza delle applicazioni mobili e dei relativi sistemi di backend.
Penetration Test ICS/SCADA: Verifica la sicurezza delle infrastrutture industriali ICS/SCADA, anche in ambiente di laboratorio.

Report del Penetration Test:

Executive summary report: fornisce una visione complessiva dei risultati del test, descrivendo le attività, la metodologia impiegata, e le vulnerabilità identificate.
Information gathering report: elenca e contestualizza le informazioni utili per determinare le potenziali superfici di attacco.
Vulnerability scan report: contiene dettagli sulle vulnerabilità identificate, la loro severità e la probabilità di accadimento.
Vulnerability analysis report: include le verifiche manuali eseguite per eliminare i falsi positivi introdotti dagli strumenti di analisi automatica.
Exploitation report: descrive le tecniche usate per sfruttare le vulnerabilità e stabilire un accesso ai sistemi.
Post-exploitation report: dettaglia le tecniche utilizzate per mantenere l'accesso ai sistemi compromessi e valutare il valore degli asset compromessi.
Action plan report: fornisce i piani di remediation per mitigare le vulnerabilità, con indicazioni sulle modalità di attuazione degli interventi correttivi.
Full report: raccoglie tutte le evidenze delle fasi identificate e descritte.

Uno dei punti chiave della Direttiva NIS 2 è la gestione del rischio. Vodafone Business, grazie alla collaborazione con Swascan, offre soluzioni complete per la sicurezza informatica attraverso servizi proprio come il Penetration Test (PT) e il Vulnerability Assessment (VA), forniti in modalità consulenziale. Questo approccio garantisce che le aziende ricevano il supporto necessario per comprendere e utilizzare al meglio tali strumenti, migliorando la loro resilienza e conformità alle normative. Con Vodafone Business, le aziende possono affrontare le sfide della sicurezza informatica con fiducia, proteggendo efficacemente i propri asset digitali e garantendo una continuità operativa senza interruzioni.