vulnerability-assessment-NEGATIVO

PENETRATION TEST

METTI ALLA PROVA IL LIVELLO DI SICUREZZA INFORMATICA DELLA TUA AZIENDA

Il Penetration Test simula un attacco informatico reale per individuare le vulnerabilità di sicurezza in software e sistemi.

Il Penetration Test viene effettuato dal Red Team Linkspirit, altamente specializzato nelle attività intrusive.

Utilizzando gli stessi strumenti e metodologie che utilizzano gli attaccanti nelle reali intrusioni informatiche, individuiamo uno o più percorsi per accedere abusivamente al sistema informativo da verificare.

L’obiettivo è portare a termine l’intrusione, violando le misure a protezione di dati e sistemi, al fine di rilevarne le debolezze.

Il Penetration Test può simulare l’attacco di un soggetto estraneo all’organizzazione, che agisce dall’esterno del perimetro aziendale, oppure di un soggetto interno, come un dipendente, un consulente, un agente o altro collaboratore.

Stai cercando un penetration test per la tua azienda o hai bisogno di maggiori informazioni?

PERCHÈ FARE UN PENETRATION TEST

01.

Verificare la sicurezza dei dati e dei sistemi informativi aziendali

02.

Valutare le procedure di sicurezza e la capacità di reazione del servizio IT aziendale interno o esterno

03.

Verificare l’impatto che un attacco potrebbe avere sull’operatività aziendale

04.

Valutare l’efficacia delle misure di sicurezza implementate

05.

Supportare la conformità aziendale rispetto a specifiche norme (GDPR, ISO 27001, etc)

06.

Portare all’accreditamento un software o servizio prodotto dall’azienda (CSA STAR, AGID)

CARATTERISTICHE DEL SERVIZIO

AMBITO DI ANALISI

Nell’ambito delle attività di verifica possono essere inclusi:

  • un software o l’ambiente per l’erogazione di Software as a Service (SaaS)
  • un applicazione web o mobile application e l’infrastruttura a supporto di questa
  • un sistema per il commercio elettronico
  • una parte o l’intera rete informatica aziendale
  • l’intera azienda, incluse eventualmente le persone

SCENARI

Un penetration test può essere svolto simulando due differenti scenari:

PenTest Esterno: simula l’attacco di un soggetto esterno che agisce dall’esterno della rete aziendale, senza accesso preventivo a software e sistemi

PenTest Interno: simula l’attacco di un soggetto interno all’organizzazione, ad esempio un dipendente, consulente o agente, con accesso limitato a dati e sistemi

METODOLOGIE

Black Box

Il test riguarda l’intera azienda e si svolge senza alcuna informazione preliminare circa la rete, i software e sistemi.

Il Test Black Box è efficace per simulare in modo realistico un attacco esterno.

Grey Box

Gli analisti hanno a disposizione alcune informazioni circa le tecnologie impiegate e le loro configurazioni.
Il Test Grey Box simula in modo realistico un attacco interno solitamente verso specifici software, sistemi o infrastrutture.
È un ottimo compromesso per ottimizzare tempi e costi di attuazione.

White Box

Gli analisti dispongono di ogni informazione ed accesso a software e sistemi oggetto di analisi.
Il testo White Box può simulare un attacco interno o permettere un livello di verifica estremamente granulare.

Se l’obiettivo del test sono software sviluppati dall’azienda, solitamente comprende anche la revisione del codice sorgente (code review).

REPORT

Le attività di verifica si concludono con la presentazione di un report che descrive e classifica le vulnerabilità rilevate, indicando quali asset ne sono afflitti e le correzioni necessarie per la loro risoluzione.

Ciascuna vulnerabilità è classificata in relazione al relativo livello di rischio, calcolato sulla base delle circostanze tecniche che determinano la probabilità che questa venga rilevata e sfruttatanel corso di un attacco informatico o di un’infezione da virus, oltre che dalla gravità degli impatti tecnici o sulla continuità operativa aziendale cui potrebbe portare il suo sfruttamento.

Il livello di rischio così valutato determina la priorità da assegnare alle azioni correttive da porre in essere nelle successive attività di rimedio.

La relazione contiene inoltre indicazioni utili per la mitigazione dei rischi rilevati fintanto che l’azienda non porrà in essere le azioni correttive necessarie alla risoluzione delle vulnerabilità evidenziate.

standard-sicurezza-informatica-600
01

STANDARD OPERATIVI

Il Penetration Test può essere svolto in conformità ai principali standard di settore, fra i quali:

  • OWASP: Open Web Application Security Project Testing Guide
  • OSSTMM: Open Source Security Testing Methodology Manual
  • PTES: Penetration Testing Execution Standard

A supporto della certificazione ISO 27001 oppure per l’accreditamento presso l’Agenzia per l’Italia Digitale (AGID) quali provider di soluzioni Software as a Service (SaaS) alla Pubblica Amministrazione.

In alternativa, possono essere impiegati metodi di verifica più snelli, sviluppati internamente dal team Trickster sulla base dell’esperienza nell’esecuzione di attività di penetration test.

INIZIA SUBITO A PROTEGGERE IL TUO BUSINESS DAI RISCHI INFORMATICI

Compila il form per essere ricontattato e ricevere tutte le informazioni di cui hai bisogno.