Previeni gli attacchi informatici
con il nostro servizio di Ethical Hacking

Un corretto processo di sicurezza informatica deve necessariamente porre fondamento nella filosofia "Hack Yourself First”.
Se non si pensa come un Hacker è difficile garantire la migliore protezione delle informazioni aziendali.
La disciplina della sicurezza proattiva comprende tutte le attività finalizzate a rilevare e valutare il grado di efficacia, efficienza e robustezza delle contromisure di sicurezza tecnologiche o organizzative adottate all’interno di un ambito definito.



Vulnerability Assessment



Prevede l’esecuzione di scansioni automatizzate o semiautomatizzate non invasive, condotte avvalendosi di strumenti automatici e verifiche manuali, al fine di rilevare la presenza di vulnerabilità note



Penetration Test



Si basa su tecniche di attacco inferenziali finalizzate all’identificazione delle criticità non note o comunque non rilevabili tramite i soli strumenti di scansione ed analisi automatizzata.


Scenari

Scenari



Dall’esterno, verificando i servizi esposti attraverso internet


All’interno della rete aziendale del Cliente

Metodologia

Metodologia


White Box



Questa modalità prevede che l’attaccante, il tester, sia informato dalla Committente riguardo all’infrastruttura ed ai servizi esistenti. L’attaccante, quindi, non eseguirà la prima fase di Information Gathering, ma conoscerà già il sistema, i software e i servizi in essere. Con questa modalità di test si riducono i tempi necessari all’esecuzione del test di ricerca delle vulnerabilità o del pen test. Inoltre, il test stesso è molto più preciso, poiché nella fase di attacco l’operatore può concentrarsi meglio sul target specificato.


Gray Box



L’approccio grey box è un approccio intermedio, in pratica si ha una conoscenza a grandi line di come la funzionalità sia stata implementata e delle strutture dati utilizzate. In questo modo si riescono ad eseguire dei test più mirati rispetto all’approccio Black Box, ovviamente però, non conoscendo per intero il codice, i test saranno meno effecaci rispetto alla tecnica White Box.


Black Box



La modalità Black Box è molto più verosimile a un attacco vero e proprio apportato da un attaccante esterno, in quanto il tester non ha informazioni né dell’infrastruttura né del target da analizzare. In pratica è l’esatta simulazione di un hacker malintenzionato che, da zero, dovrà impegnarsi a conoscere l’infrastruttura (servizi, software, firewall ecc…). La modalità di esecuzione Black Box richiede più tempo al tester proprio a causa della non conoscenza dell’infrastruttura.

Prenota il Tuo VA & PT


Fasi

Fasi




Raccolta delle

informazioni





Scanning delle

vulnerabilità





Analisi delle

vulnerabilità





Attacco al

sistema





Privilege

Escalation





Raccolta delle

evidenze





Individuazione delle

contromisure





Stesura dei

report


Reportistica

Reportistica

Executive Summary

Destinato allo staff dirigenziale del Cliente, che fornisce indicazioni strategiche e di facile lettura sullo stato complessivo della sicurezza riscontrato a seguito delle attività di analisi.

Technical Report

Costituisce la documentazione formale dei test eseguiti e riporta in modo particolareggiato i risultati emersi dalle attività svolte, i dettagli tecnici e le evidenze più significative.

Remediation Plan

Documento atto a formalizzare tutte le vulnerabilità rilevate durante la fase di Ethical Hacking fornendo allo stesso tempo uno strumento utile ai fini della risoluzione delle criticità.