Vulnerability Assesment e Web Application Security

Le minacce ai sistemi informatici ed i crimini ad esse correlati possono essere originate all’esterno, ma anche all’interno dei sistemi. Le minacce esterne possono essere arginate in gran parte dalle difese perimetrali (firewall, intrusion detection systems, antivirus), mentre le seconde, spesso sottovalutate, sono in realtà percentualmente le più rilevanti. Infatti, molti studi hanno dimostrato che oltre l’80% delle minacce proviene da fonti interne, ovvero da personale autorizzato nel 58% dei casi e da personale non autorizzato (24%). 

In Datamatic Sistemi & Servizi ci occupiamo di identificare le vulnerabilità critiche dei computer, dei dispositivi in rete o dei servizi pubblicati. Rileviamo e monitoriamo le risorse informatiche e segnaliamo i cambiamenti inaspettati nella rete. 

Per determinare l'efficacia dei sistemi di sicurezza o trovare eventuali falle, eseguiamo Vulnerability Assesment al fine di migliorare e, in particolare, prevenire gli attacchi basati su queste vulnerabilità. A causa dell'evoluzione tecnologica e dei relativi strumenti che potrebbero utilizzare nuove vulnerabilità, il procedimento va ripetuto più volte durante l'arco di un anno. Un’attività fondamentale in un processo di risk assesment, importante anche per stabilire le priorità in un piano di intervento teso ad incrementare il livello di sicurezza del sistema informativo aziendale 

Inoltre, realizziamo Penetration Test per dimostrare l’effettiva entità di un potenziale danno su Networks, dispositivi mobili o di rete, SCADA, Telco, Space & Air, Social, Cloud ecc.. I test sono effettuati dall'interno (Internal PT) e dall'esterno (External PT) con varie modalità di accesso alle infrastrutture ed alle risorse del committente (Black Box, Gray box, White Box), in modo da simulare scenari di attacco differenti. 

Seguiamo i principali standard e best practices internazionali per tutte le attività di verifica della sicurezza logica, in particolare l’Open Source Security Testing Methodology Manual (OSSTMM). I nostri test fanno riferimento al modello definito da OWASP (Open Web Application Security Project) e pertanto sono completi, accurati, verificabili e ripetibili.

Servizio di Vulnerability Assessment (VA): permette al cliente di avere una fotografia dello stato di esposizione dei propri sistemi a tutte le vulnerabilità note. A questo scopo, vengono utilizzati alcuni tool automatici che, attraverso una lunga serie di controlli su ogni singolo sistema o applicazione, permettono di conoscere i dettagli riguardanti la loro configurazione e l’eventuale presenza di vulnerabilità. 

La metodologia adottata per i servizi di VA prevede:

• Interviste con il personale del cliente per individuare le procedure ed i meccanismi di sicurezza implementati;
• Individuazione dei dati critici di business per ottenere una mappa dei sistemi dove risiedono;
• Attività tecniche per ricercare l’esistenza di vulnerabilità nei sistemi aziendali, avendo come riferimento le best practices di settore più diffuse e mature (come ISECOM e OWASP).

Servizio di Penetration Test: si effettuano delle vere e proprie simulazioni di intrusione, ipotizzando diversi scenari di attacco e combinando tecniche manuali all’utilizzo degli strumenti automatici. In questo modo è possibile analizzare l’esposizione a vulnerabilità non verificabili dai software automatici. 

Questo test ha l’obiettivo di fornire al cliente una dettagliata conoscenza sullo stato di sicurezza dei suoi sistemi e permette di verificare che:

• Le informazioni sulla rete del Cliente visibili da Internet siano minime;
• Non sia possibile ottenere accessi non autorizzati a sistemi ed ai dati aziendali;
• Per un utente interno sia possibile accedere ad informazioni per i quali non ha l'autorizzazione necessaria;
• Una Web Application non contenga vulnerabilità che permettano ad un attacco di ottenere accessi non autorizzati a dati riservati o di ottenere le credenziali di altri utenti.