PENETRATION TEST
METTI ALLA PROVA LA SICUREZZA INFORMATICA DELLA TUA AZIENDA
Il Penetration Test è un attacco informatico reale, realizzato da un attaccante “amico”.
L’obiettivo è portare a termine l’intrusione, violando le misure di sicurezza, per dimostrare le vulnerabilità di software e sistemi in un contesto sicuro.
PERCHÈ FARE UN PENETRATION TEST
STANDARD E CERTIFICAZIONI
- OWASP: Open Web Application Security Project Testing Guide
- OSSTMM: Open Source Security Testing Methodology Manual
- PTES: Penetration Testing Execution Standard
Il Penetration Test può essere realizzato a supporto della certificazione ISO 27001 oppure per l’accreditamento presso AGID (Agenzia per l’Italia Digitale) quali provider di soluzioni Software as a Service (SaaS) alla Pubblica Amministrazione.
In alternativa, possiamo utilizzare anche metodi di verifica più snelli, sviluppati internamente dal nostro team sulla base dell’esperienza pluriennale nell’esecuzione di penetration test.
COME SI SVOLGE UN PENETRATION TEST
Il Penetration Test è un attacco informatico vero e proprio, effettuato dal Red Team Linkspirit, altamente specializzato nelle attività intrusive.
Utilizzando gli stessi strumenti e metodologie che utilizzano gli attaccanti nelle reali intrusioni informatiche, individuiamo uno o più percorsi per accedere abusivamente al sistema informativo da verificare.
L’obiettivo è portare a termine l’intrusione, violando le misure a protezione di dati e sistemi, al fine di rilevarne le debolezze.
Il Penetration Test può simulare l’attacco di un soggetto estraneo all’organizzazione, che agisce dall’esterno del perimetro aziendale, oppure di un soggetto interno, come un dipendente, un consulente, un agente o altro collaboratore.
AMBITO DI ANALISI
Nell’ambito delle attività di verifica possono essere inclusi:
- un software o l’ambiente per l’erogazione di Software as a Service (SaaS)
- un applicazione web o mobile application e l’infrastruttura a supporto di questa
- un sistema per il commercio elettronico
- una parte o l’intera rete informatica aziendale
- l’intera azienda, incluse eventualmente le persone
SCENARI
Un penetration test può essere svolto simulando due differenti scenari:
PenTest Esterno: simula l’attacco di un soggetto esterno che agisce dall’esterno della rete aziendale, senza accesso preventivo a software e sistemi
PenTest Interno: simula l’attacco di un soggetto interno all’organizzazione, ad esempio un dipendente, consulente o agente, con accesso limitato a dati e sistemi
REPORT
Classifichiamo la priorità delle vulnerabilità secondo il livello di rischio che vengano sfruttate per un attacco informatico e la gravità degli impatti tecnici e operativi che potrebbe provocare il loro sfruttamento.
La relazione contiene anche indicazioni utili per la mitigazione dei rischi rilevati in attesa che l’azienda metta in atto le azioni correttive necessarie a risolvere le vulnerabilità evidenziate.