vulnerability-assessment-NEGATIVO

PENETRATION TEST

METTI ALLA PROVA IL LIVELLO DI SICUREZZA INFORMATICA DELLA TUA AZIENDA

Il penetration test è un’attività di verifica intrusiva che simula un attacco informatico reale, con l’obiettivo di individuare le vulnerabilità di software e sistemi.

Trickster è il team Linkspirit specializzato nello svolgimento di attività intrusive (Red Team).

Utilizzando gli stessi strumenti e metodologie utilizzate dagli attaccanti nel corso delle reali intrusioni informatiche, il team Trickster individua uno o più percorsi per accedere abusivamente al sistema informativo oggetto di verifica, con l’obiettivo di portare a termine l’intrusione, violando le misure a protezione di dati e sistemi, al fine di rilevarne le debolezze.

Il Penetration Test può simulare l’attacco di un soggetto estraneo all’organizzazione, che agisce dall’esterno del perimetro aziendale, oppure di un soggetto interno, come ad esempio un dipendente, un consulente, un agente o altro collaboratore.

PERCHÈ FARE UN PENETRATION TEST

01.

Verificare la sicurezza dei dati e dei sistemi informativi aziendali

02.

Valutare le procedure di sicurezza e la capacità di reazione del servizio IT aziendale interno o esterno

03.

Verificare l’impatto che un attacco potrebbe avere sull’operatività aziendale

04.

Valutare l’efficacia delle misure di sicurezza implementate

05.

Supportare la conformità aziendale rispetto a specifiche norme (GDPR, ISO 27001, etc)

06.

Portare all’accreditamento un software o servizio prodotto dall’azienda (CSA STAR, AGID)

CARATTERISTICHE DEL SERVIZIO

AMBITO DI ANALISI

Nell’ambito delle attività di verifica possono essere inclusi:

  • un software o l’ambiente per l’erogazione di Software as a Service (SaaS)
  • un applicazione web o mobile application e l’infrastruttura a supporto di questa
  • un sistema per il commercio elettronico
  • una parte o l’intera rete informatica aziendale
  • l’intera azienda, incluse eventualmente le persone

SCENARI

Un penetration test può essere svolto simulando due differenti scenari:

PenTest Esterno: simula l’attacco di un soggetto esterno che agisce dall’esterno della rete aziendale, senza accesso preventivo a software e sistemi

PenTest Interno: simula l’attacco di un soggetto interno all’organizzazione, ad esempio un dipendente, consulente o agente, con accesso limitato a dati e sistemi

METODOLOGIE

Black Box: solitamente rivolti verso tutta l’azienda, i test black box vengono effettuati senza alcuna informazione preliminare circa la rete, i software e sistemi oggetto di analisi.
Si tratta di attività complesse, che simulano in modo più realistico un attacco esterno.

Grey Box: solitamente rivolti verso specifici software, sistemi o infrastrutture, i test grey box vengono svolti avendo a disposizione alcune informazioni circa le tecnologie impiegate e le loro configurazioni.
Si tratta di attività che simulano in modo realistico un attacco interno e sono un ottimo compromesso per ottimizzare tempi e costi di attuazione

White Box: nello svolgimento di test white box gli analisti dispongono di ogni informazione ed accesso a software e sistemi oggetto di analisi. Quando svolti verso software sviluppati dall’azienda, comprendono solitamente la revisione del codice sorgente (code review) dell’applicativo.
Si tratta di attività simulano un attacco interno o che, comunque, permettono un livello di verifica estremamente granulare.

REPORT

Le attività di verifica si concludono con la presentazione di un report che descrive e classifica le vulnerabilità rilevate, indicando quali asset ne sono afflitti e le correzioni necessarie per la loro risoluzione.

Ciascuna vulnerabilità è classificata in relazione al relativo livello di rischio, calcolato sulla base delle circostanze tecniche che determinano la probabilità che questa venga rilevata e sfruttatanel corso di un attacco informatico o di un’infezione da virus, oltre che dalla gravità degli impatti tecnici o sulla continuità operativa aziendale cui potrebbe portare il suo sfruttamento.

Il livello di rischio così valutato determina la priorità da assegnare alle azioni correttive da porre in essere nelle successive attività di rimedio.

La relazione contiene inoltre indicazioni utili per la mitigazione dei rischi rilevati fintanto che l’azienda non porrà in essere le azioni correttive necessarie alla risoluzione delle vulnerabilità evidenziate.

standard-sicurezza-informatica-600
01

STANDARD OPERATIVI

Il Penetration Test può essere svolto in conformità ai principali standard di settore, fra i quali:

  • OWASP: Open Web Application Security Project Testing Guide
  • OSSTMM: Open Source Security Testing Methodology Manual
  • PTES: Penetration Testing Execution Standard

A supporto della certificazione ISO 27001 oppure per l’accreditamento presso l’Agenzia per l’Italia Digitale (AGID) quali provider di soluzioni Software as a Service (SaaS) alla Pubblica Amministrazione.

In alternativa, possono essere impiegati metodi di verifica più snelli, sviluppati internamente dal team Trickster sulla base dell’esperienza nell’esecuzione di attività di penetration test.

INIZIA SUBITO A PROTEGGERE IL TUO BUSINESS DAI RISCHI INFORMATICI

Compila il form per essere ricontattato e ricevere tutte le informazioni di cui hai bisogno.