Efficienza e risparmio nei test di sicurezza: Automazione e progettazione dei VAPT con Esseca

Questa tesi analizza e applica la metodologia Esseca (Enterprise Security Scenario Automation) al contesto del Vulnerability Assessment e del Penetration Testing (VAPT) con l’obiettivo di automatizzare il processo e ridurre tempi e costi rispetto agli approcci manuali tradizionali. Esseca consente la generazione automatica di un Penetration Test Plan (PTP) partendo da modelli di minaccia, cataloghi di attacco e una mappatura di tool compatibili. Dopo una panoramica teorica sui VAPT e sulla struttura della metodologia, viene condotta un’applicazione pratica su un caso reale: una web application aziendale nella quale sono state riscontrate vulnerabilità comuni, tra cui XSS, upload arbitrario, disclosure di versione, clickjacking, e gestione errata dei cookie di sessione. La metodologia è stata applicata generando automaticamente le quadruple per il PTP. I risultati evidenziano un risparmio di tempo e di costo mantenendo un’elevata copertura e qualità nel rilevamento delle vulnerabilità. Si analizza il ruolo che potrebbe avere una AI nel supportare tale processo e si discute infine le criticità dell’approccio Esseca, tra cui rigidità, scalabilità in ambienti complessi e non applicabilità a vulnerabilità zero-day suggerendo soluzioni e futuri sviluppi.