Il penetration test ha l'obiettivo di individuare il maggior numero di vulnerabilità esistenti sulle infrastrutture e i sistemi oggetto di analisi. Agiamo beneath the surface, non limitandoci a scansionare le vulnerabilità note, ma verificando criticità non rilevabili mediante scansioni automatiche. Si tratta di un'attività Ethical Hacking, dove si simula un vero e proprio attacco informatico, andando a testare tutti i sistemi del perimetro definito.
L'attuazione di un penetration test richiede un'azione coordinata e trasversale: ogni funzionalità, dispositivo o endpoint facente parte del perimetro di test viene manualmente analizzata nel dettaglio alla ricerca di vulnerabilità. L'esperienza e la capacità del team di pen test permettono di ottenere risultati irraggiungibili utilizzando i tool disponibili sul mercato.
Il nostro team di esperti esegue il penetration testing nel rispetto degli standard OWASP (The Open Web Application Security Project), progetto open-source che ha standardizzato le linee guida, gli strumenti e le metodologie necessari per migliorare la sicurezza delle applicazioni. Le norme OWASP rappresentano un punto di riferimento nel mondo della sicurezza informatica, con procedimenti efficaci dal punto di vista dell'individuazione, valutazione e categorizzazione delle vulnerabilità.
Una volta conclusi i test, viene dato un punteggio associato al rischio di attacchi informatici. Il calcolo del rischio viene effettuato usando il sistema CVSS (Common Vulnerability Scoring System). Il rischio associato ad una vulnerabilità è calcolato sulla base dell'impatto che avrebbe nell'ipotesi in cui venga sfruttata da un attaccante, tenendo conto anche della difficoltà necessaria per sfruttarla.
Esistono tre modalità di esecuzione per questa tipologia di test:
Come dice il nome stesso, in questa metodologia non si ha alcuna conoscenza del sistema target e si simula un reale attacco esterno. Ha l'intento di identificare quali siano le reali possibilità per un'attaccante di violare il target in questione. In questo caso il committente non condivide con il nostro team nessun dettaglio riguardo ai componenti in perimetro.
Dato che è necessario molto tempo per la profilazione e la raccolta di informazioni, questa modalità è consigliata quando c'è un concreto dubbio circa la sicurezza, ma non si sa identificarne l'origine e la finestra temporale è sufficientemente estesa.
Una via di mezzo tra Black Box e White Box. In questo caso si ha una conoscenza parziale del target e delle tecnologie coinvolte. Si possono conoscere in maniera più o meno dettagliata le funzionalità da testare, le tecnologie coinvolte e le credenziali di accesso. La modalità Grey Box è quella più comune perché permette di ottenere un buon risultato riducendo le tempistiche rispetto ad un test Black Box.
Esattamente l'opposto della modalità Black Box, nella White Box il committente condivide tutta la documentazione dettagliata della piattaforma e delle funzionalità da testare, insieme a esempi di casi d'uso, il codice sorgente e altre informazioni utili ad avere una conoscenza completa dell'infrastruttura.
Questa modalità è consigliata per le fasi iniziali, quindi di sviluppo, di un nuovo applicativo, col fine di mettere a punto, sin da subito, un sistema di sicurezza efficiente oppure successivamente ad un'analisi grey/black box.
Prenota una call con il nostro team e richiedi una consulenza su misura per il tuo business.
Prenota una callCo-Founder e Co-CEO
I Penetration test si differenziano in base alla tipologia di sistema target dell'analisi. Il team di Soter è specializzato nell'attuazione di diverse tipologie di test, in base alle esigenze aziendali.
Per testare la sicurezza di un'applicazione web (sito o API applicative).
Scopri di piùPer valutare il livello di sicurezza di una rete e del perimetro esposto in internet.
Scopri di piùPer individuare vulnerabilità all'interno del codice sorgente di un software.
Scopri di piùPer indagare la sicurezza di applicazioni iOS o Android e, di solito, le relative API.
Scopri di piùPer stabilire la sicurezza delle reti wireless messe a disposizione dall'azienda.
Scopri di piùPer testare la sicurezza le eventuali vulnerabilità di uno o più dispositivi IoT.
Scopri di piùIn questa fase iniziale il team Soter supporta il cliente a definire quale servizio scegliere e il perimetro dell'intervento, tenendo conto delle esigenze e dell'obiettivo da raggiungere.
Dopo un'attenta valutazione viene proposta una stima di giornate necessarie per effettuare il test e redigere il report. Insieme alla stima dei giorni sarà fornito il prezzo relativo all'attività.
Accettata la proposta viene fissata la data di inizio. Quindi vengono forniti ulteriori dettagli come l'indirizzo IP di provenienza e tutte le informazioni utili per eseguire il test, come eventuali credenziali e/o limitazioni del test.
Il penetration test ha quindi inizio nella data concordata. Se richiesto, i test giornalieri saranno preceduti da una mail formale di inizio attività e una email di fine attività. Le vulnerabilità considerate critiche verranno comunicate prima della ricezione del report finale, in modo da favorire un immediato fix.
Il report che verrà consegnato contiene descrizioni dettagliate delle vulnerabilità in modo che siano facilmente riproducibili dal reparto tecnico, corredate da suggerimenti utili per risolvere le problematiche identificate.
Affidarsi a dei professionisti per la sicurezza informatica della propria azienda è fondamentale: il nostro team vanta un'esperienza pluriennale nell'esecuzione di penetration test. La nostra specializzazione è supportata dalle numerose certificazioni riconosciute a livello aziendale. Parla con un nostro esperto, scopri quale soluzione fa al caso tuo e valutiamo insieme la tua situazione.
Vuoi prevenire attacchi informatici nella tua azienda e garantire un'infrastruttura protetta ai tuoi clienti? Contattaci per valutare la sicurezza dei sistemi informatici del tuo business.