Il Vulnerability assessment permette di effettuare una valutazione dei meccanismi di sicurezza implementati su reti, macchine o applicazioni aziendali, con l’obiettivo di rilevare eventuali carenze di protezione rispetto ad elenchi di vulnerabilità tecnologiche note (es. CERT).

Gli assessment devono essere condotti tramite l’utilizzo di prodotti specifici ad elevata affidabilità che garantiscano una profondità di rilevazione ed una granularità di scansione completamente configurabile sulle esigenze del sistema informatico oggetto dell’assessment.

La “Valutazione” dei sistemi informatici, si divide in due sottoinsiemi, quella di Vulnerabilità e quella degli Applicativi.

Il VA (Vulnerability Assessment) è un Penetration test.

In pratica vengono fatti tutti i tentativi noti per infrangere le difese di una macchina affacciata in internet. Per effettuare a questo test vengono utilizzati gli strumenti descritti precedentemente.

L’AA (Application Assessment) è il tentativo di scovare tutti i punti deboli di un applicativo, forzandolo e tentando di fermarlo o di prenderne il controllo. Di fatto questa parte si basa su strumenti realizzati ad-hoc.