Ethical Hacking:
L’obiettivo principale è quello di migliorare la sicurezza, anticipando le tecniche che potrebbero essere utilizzate da malintenzionati per accedere illegalmente a sistemi e dati.
Learn More
Vulnerability Assessment
Verifica delle vulnerabilità di infrastrutture e web application con relative proposte di remediation contestualizzate. L’attività di Vulnerability Assessment viene suddivisa tra una vulnerability scan perimetrale e dell’infrastruttura interna, quindi attività di scansione delle vulnerabilità degli asset esposti sul perimetro esterno della rete nonché attività di scansione delle vulnerabilità degli asset interni alla rete.
Security Audit
Un security audit è un’analisi sistematica e misurabile di come le politiche e procedure di sicurezza di un’organizzazione si confrontano con gli standard di sicurezza stabiliti.
L’obiettivo di un security audit è di identificare i punti deboli della sicurezza, verificare la conformità con gli standard di sicurezza stabiliti o le normative in vigore, e fornire raccomandazioni per migliorare la sicurezza.
Esistono diverse tipologie di security audit, tra cui:
- Audit interno: verifica la conformità dei sistemi con le politiche e procedure IT dell’azienda
- Audit esterno: simulazioni di attacchi esterni con lo scopo di acquisire informazioni sul sistema informatico
- Audit di conformità: è un processo di verifica che assicura che un’organizzazione rispetti le normative e le leggi applicabili. Questo tipo di audit è fondamentale per garantire che l’organizzazione sia in linea con le normative come la GDPR (Regolamento Generale sulla Protezione dei Dati) o nLPD (nuova Legge sulla Protezione dei Dati) che regolano il trattamento dei dati personali, o la PCI-DSS (Payment Card Industry Data Security Standard), che riguarda la sicurezza dei dati delle carte di pagamento.
- Audit tecnici / Penetration Test:
- Audit infrastrutturale: si concentra sulla valutazione delle infrastrutture fisiche e tecnologiche di un’organizzazione. Questo può includere l’hardware di rete, i server, i sistemi di storage e le installazioni fisiche. Le metodologie utilizzate in questo ambito possono includere l’analisi delle configurazioni, la valutazione della resilienza e la conformità agli standard di sicurezza.
- Audit applicativo: si focalizza sulle applicazioni software utilizzate all’interno di un’organizzazione. Questo tipo di audit valuta la sicurezza, la performance e la conformità delle applicazioni rispetto ai requisiti aziendali e normativi. Metodologie come l’OWASP (Open Web Application Security Project) per le applicazioni web e il MASVS/MSTG (Mobile Application Security Verification Standard/Mobile Security Testing Guide) per le applicazioni mobili sono spesso utilizzate
- Valutazione del rischio: identifica e valuta i rischi per la sicurezza. Si concentra sulla protezione dei dati e delle infrastrutture IT. L’obiettivo è garantire la riservatezza, l’integrità e la disponibilità delle informazioni (RID), considerando l’operatività e il ciclo di vita dei dati, che possono essere statici, in transito o in fase di elaborazione. Gli standard internazionali pertinenti includono ISO 31000:2018 sulla gestione del rischio e ISO 27001:2022 sulla sicurezza delle informazioni.
Le metodologie utilizzate in un security audit includono l’analisi dettagliata delle configurazioni, politiche, procedure e controlli di sicurezza implementati su reti, sistemi, applicazioni, dati e processi aziendali.
Questo processo di audit prevede diverse fasi, tra cui la pianificazione, la raccolta dei dati, l’analisi dei dati e la produzione di un report.
Un security audit dovrebbe essere un processo continuo, non un evento sporadico, ed ha lo scopo di mantenere un adeguato livello di sicurezza nel tempo.
Static Analysis (SAST)
L’Analisi statica del codice sorgente, nota anche come Static Application Security Testing (SAST), è una metodologia di test ripetibile utilizzata per ispezionare il codice sorgente di un’applicazione al fine di identificare vulnerabilità di sicurezza senza la necessità di eseguire il programma. Questo tipo di analisi richiede l’accesso al codice interno dell’applicazione.
Il SAST permette di rilevare le vulnerabilità di sicurezza nel codice sorgente all’inizio del ciclo di vita dello sviluppo software, prima del rilascio finale dell’applicazione riducendo notevolmente i rischi. Oltre a ciò, è possibile analizzare una grande quantità di codice sorgente bilanciando l’automazione con la verifica manuale dei risultati per ridurre il numero di falsi positivi e falsi negativi.
Dynamic Analysis (DAST)
Il DAST (Dynamic Application Security Testing), è una metodologia di test della sicurezza delle applicazioni che si concentra sull’analisi delle applicazioni in esecuzione per identificare vulnerabilità di sicurezza. A differenza del SAST (Static Application Security Testing), che analizza il codice sorgente statico, il DAST esamina l’applicazione durante il suo funzionamento, simulando attacchi esterni per scoprire problemi di sicurezza che si manifestano solo durante l’esecuzione dell’applicazione.
Il DAST viene utilizzato per testare applicazioni web dall’esterno, identificando vulnerabilità come problemi nelle interfacce, nelle richieste e nelle risposte, script, iniezioni di dati, problemi di sessione e autenticazione, configurazione e altro ancora. Questo tipo di test è particolarmente utile per rilevare vulnerabilità che non sono evidenti nell’analisi del codice sorgente ma che emergono quando l’applicazione è operativa e interagisce con altri sistemi o dati.
L’approccio dinamico del DAST è complementare ad altri metodi di test come il SAST, e spesso vengono utilizzati insieme per fornire una copertura di sicurezza più completa. Mentre il SAST può identificare vulnerabilità nel codice sorgente prima che l’applicazione venga eseguita, il DAST può rilevare problemi che si verificano solo a runtime o che sono legati all’interazione dell’applicazione con il suo ambiente operativo.
Verifica delle vulnerabilità di infrastrutture e web application con relative proposte di remediation contestualizzate. L’attività di Vulnerability Assessment viene suddivisa tra una vulnerability scan perimetrale e dell’infrastruttura interna, quindi attività di scansione delle vulnerabilità degli asset esposti sul perimetro esterno della rete nonché attività di scansione delle vulnerabilità degli asset interni alla rete.
Un security audit è un’analisi sistematica e misurabile di come le politiche e procedure di sicurezza di un’organizzazione si confrontano con gli standard di sicurezza stabiliti.
L’obiettivo di un security audit è di identificare i punti deboli della sicurezza, verificare la conformità con gli standard di sicurezza stabiliti o le normative in vigore, e fornire raccomandazioni per migliorare la sicurezza.
Esistono diverse tipologie di security audit, tra cui:
- Audit interno: verifica la conformità dei sistemi con le politiche e procedure IT dell’azienda
- Audit esterno: simulazioni di attacchi esterni con lo scopo di acquisire informazioni sul sistema informatico
- Audit di conformità: è un processo di verifica che assicura che un’organizzazione rispetti le normative e le leggi applicabili. Questo tipo di audit è fondamentale per garantire che l’organizzazione sia in linea con le normative come la GDPR (Regolamento Generale sulla Protezione dei Dati) o nLPD (nuova Legge sulla Protezione dei Dati) che regolano il trattamento dei dati personali, o la PCI-DSS (Payment Card Industry Data Security Standard), che riguarda la sicurezza dei dati delle carte di pagamento.
- Audit tecnici / Penetration Test:
- Audit infrastrutturale: si concentra sulla valutazione delle infrastrutture fisiche e tecnologiche di un’organizzazione. Questo può includere l’hardware di rete, i server, i sistemi di storage e le installazioni fisiche. Le metodologie utilizzate in questo ambito possono includere l’analisi delle configurazioni, la valutazione della resilienza e la conformità agli standard di sicurezza.
- Audit applicativo: si focalizza sulle applicazioni software utilizzate all’interno di un’organizzazione. Questo tipo di audit valuta la sicurezza, la performance e la conformità delle applicazioni rispetto ai requisiti aziendali e normativi. Metodologie come l’OWASP (Open Web Application Security Project) per le applicazioni web e il MASVS/MSTG (Mobile Application Security Verification Standard/Mobile Security Testing Guide) per le applicazioni mobili sono spesso utilizzate
- Valutazione del rischio: identifica e valuta i rischi per la sicurezza. Si concentra sulla protezione dei dati e delle infrastrutture IT. L’obiettivo è garantire la riservatezza, l’integrità e la disponibilità delle informazioni (RID), considerando l’operatività e il ciclo di vita dei dati, che possono essere statici, in transito o in fase di elaborazione. Gli standard internazionali pertinenti includono ISO 31000:2018 sulla gestione del rischio e ISO 27001:2022 sulla sicurezza delle informazioni.
Le metodologie utilizzate in un security audit includono l’analisi dettagliata delle configurazioni, politiche, procedure e controlli di sicurezza implementati su reti, sistemi, applicazioni, dati e processi aziendali.
Questo processo di audit prevede diverse fasi, tra cui la pianificazione, la raccolta dei dati, l’analisi dei dati e la produzione di un report.
Un security audit dovrebbe essere un processo continuo, non un evento sporadico, ed ha lo scopo di mantenere un adeguato livello di sicurezza nel tempo.
L’Analisi statica del codice sorgente, nota anche come Static Application Security Testing (SAST), è una metodologia di test ripetibile utilizzata per ispezionare il codice sorgente di un’applicazione al fine di identificare vulnerabilità di sicurezza senza la necessità di eseguire il programma. Questo tipo di analisi richiede l’accesso al codice interno dell’applicazione.
Il SAST permette di rilevare le vulnerabilità di sicurezza nel codice sorgente all’inizio del ciclo di vita dello sviluppo software, prima del rilascio finale dell’applicazione riducendo notevolmente i rischi. Oltre a ciò, è possibile analizzare una grande quantità di codice sorgente bilanciando l’automazione con la verifica manuale dei risultati per ridurre il numero di falsi positivi e falsi negativi.
Il DAST (Dynamic Application Security Testing), è una metodologia di test della sicurezza delle applicazioni che si concentra sull’analisi delle applicazioni in esecuzione per identificare vulnerabilità di sicurezza. A differenza del SAST (Static Application Security Testing), che analizza il codice sorgente statico, il DAST esamina l’applicazione durante il suo funzionamento, simulando attacchi esterni per scoprire problemi di sicurezza che si manifestano solo durante l’esecuzione dell’applicazione.
Il DAST viene utilizzato per testare applicazioni web dall’esterno, identificando vulnerabilità come problemi nelle interfacce, nelle richieste e nelle risposte, script, iniezioni di dati, problemi di sessione e autenticazione, configurazione e altro ancora. Questo tipo di test è particolarmente utile per rilevare vulnerabilità che non sono evidenti nell’analisi del codice sorgente ma che emergono quando l’applicazione è operativa e interagisce con altri sistemi o dati.
L’approccio dinamico del DAST è complementare ad altri metodi di test come il SAST, e spesso vengono utilizzati insieme per fornire una copertura di sicurezza più completa. Mentre il SAST può identificare vulnerabilità nel codice sorgente prima che l’applicazione venga eseguita, il DAST può rilevare problemi che si verificano solo a runtime o che sono legati all’interazione dell’applicazione con il suo ambiente operativo.
