L'ottimizzazione delle prestazioni, la riduzione delle vulnerabilità e la continuità del servizio. In questo modo si dispone di una rete affidabile ed evolutiva.
Sì, un penetration test può potenzialmente disturbare la produzione, ma ciò dipende fortemente dalla metodologia utilizzata, dal livello di aggressività autorizzato e dalla maturità dell'infrastruttura testata. Ad esempio, lo sfruttamento di alcune vulnerabilità può causare riavvii di servizi, blocchi di accesso o un degrado delle prestazioni.
Per questo motivo, è essenziale definire un quadro chiaro prima di qualsiasi test, includendo le fasce orarie autorizzate, i sistemi da escludere (o da duplicare in ambiente di test) e le misure di backup. I pentesters professionisti applicano tecniche non distruttive, ma una comunicazione stretta con il team IT rimane indispensabile per anticipare e gestire gli impatti eventuali.
Un pentest può occasionalmente rivelare una zero-day, ma non è garantito. I pentesters si basano principalmente su vulnerabilità note (CVE, configurazioni errate, pratiche rischiose), ma può accadere che un test manuale, una logica di attacco particolare o un'intuizione permetta di scoprire una vulnerabilità inedita.
Tuttavia, la scoperta di zero-day nell'ambito di un pentest rimane rara e dipende dal livello di profondità dell'analisi, dall'esperienza dei tester e dalla complessità del sistema testato. Per questa ragione, alcuni pentest molto avanzati includono fasi di fuzzing o di audit del codice specifici per la ricerca di zero-day, soprattutto in contesti ad alto rischio (settore difesa, finanza, infrastrutture critiche).
No, l'esistenza di una CVE non garantisce che sia disponibile una patch. Una CVE può essere pubblicata prima che un fornitore abbia sviluppato una patch, o anche in casi in cui non è prevista alcuna patch (ad esempio, per software obsoleti o non più supportati). In queste situazioni, gli utenti devono implementare misure di mitigazione o disabilitare determinate funzionalità vulnerabili.
È quindi essenziale non solo consultare le CVE, ma anche verificare le raccomandazioni dei fornitori e database come l'NVD o il database KEV, che possono indicare se esiste una patch e entro quali tempistiche è prevista. Una buona gestione dei rischi tiene conto sia della gravità della vulnerabilità sia della disponibilità di soluzioni.