Penetration Test: Analisi delle Vulnerabilità.

Cyber Advising si occupa di Sicurezza Informatica offrendo servizi per prevenire attacchi informatici, Cyber Security, Consulenza di Sicurezza Informatica.

  • Home   /  
  • Penetration Test: Analisi delle Vulnerabilità.

Penetration Test

Con Penetration Test o Pen Test si fà riferimento all’esecuzione di attacchi controllati di una rete o di un’applicazione per identificare tutte le potenziali vulnerabilità di sicurezza che un utente malintenzionato potrebbe sfruttare.

Il Penetration Test può essere eseguito in modo automatizzato e manuale, in entrambi i casi il processo prevede la raccolta di informazioni sull’obiettivo, eseguendo come prima fase il vulnerability assessment che permette di valutare tutte le potenziali vulnerabilità dei sistemi e delle applicazioni per poi analizzarle e sfruttarle per accedere a informazioni riservate, e in certi casi ottenere il totale controllo dell’infrastruttura.

L’obiettivo principale del Penetration Test è l’identificazione di punti deboli della sicurezza, inoltre può essere eseguito per convalidare le policy di sicurezza di un’organizzazione e i requisiti di conformità normativi.

Le informazioni sulle vulnerabilità identificate o sfruttate attraverso il Penetration Test, vengono divulgate al personale tecnico dell’organizzazione, consentendo di prendere decisioni strategiche e dare priorità alle attività di risanamento.

Il Penetration test esamina l’efficacia reale dei controlli di sicurezza esistenti, i regolari test automatizzati e manuali possono determinare le debolezze dell’infrastrutture, software, fisiche e persino del personale e aiutare l’azienda a sviluppare controlli efficaci.

L’importanza del Penetration Test è ancora più evidente ora che il regolamento generale sulla protezione dei dati (GDPR, anche conosciuto come RGPD) è entrato in pieno vigore. Il Penetration Test è una delle misure menzionate dall’articolo 32 del Regolamento, articolo che delinea l’esigenza di istituire “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” eseguendo analisi delle vulnerabilità (Penetration Test) e valutazione di rischi. La valutazione dei rischi è strettamente necessaria sugli asset infomatici, in molti casi è proprio quest’ultimo a contenere un flusso maggiore di dati.

 

Scopo del Penetration Test

  • Convalida le policy di sicurezza se soddisfano i requisiti di conformità.
  • Evidenzia le vulnerabilità impossibili da rilevare con sistemi automatizzati o software di scansione.
  • Determina la fattibilità di un particolare insieme di vettori di attacco.
  • Identifica le vulnerabilità a rischio più elevato risultanti da vulnerabilità a rischio più basso.
  • Convalida il reale impatto di rischio operativo derivato da attacchi di successo.
  • Testa la capacità di difesa della rete di rilevare e rispondere con successo all’attacco.
  • Implementa e valida nuovi controlli di sicurezza messi in atto.

 

Modalità di esecuzione del Penetration Test

BLACK-BOX:
L’esaminatore non ha precedente conoscenza dell’infrastruttura oggetto di analisi e  quindi deve determinare architettura e servizi dei sistemi accessibili in remoto.

WHITE-BOX:
Il cliente condivide con l’esaminatore le informazioni di dettaglio relative ai processi di business ed ai flussi applicativi di interesse.

 

Metodologia del Penetration Test (Pen Test)

La valutazione e l’esecuzione del Penetration Test è condotta in conformità con i consigli descritti nel documento NIST SP 800-1151 e seguendo quanto definito nell’Open Source Security Testing Methodology OSSTMM, inoltre la valutazione per l’identificazione di vulnerabilità delle applicazioni web è basata su metodologia OWASP TOP 10.

metodologia Penetration Test

Report Vulnerability Assessment e Penetration TestPenetration Test Report:

Report di sintesi, descrizione vulnerabilità individuate .

Documentazione tecnica da divulgare al personale tecnico , fornisce dettagli tecnici delle vulnerabilità individuate .

Analisi dei rischi basata sui fatti per convalidare i risultati.

Raccomandazioni tattiche e strategiche per un miglioramento immediato.

 

Verifica se le misure che hai preso per proteggere la tua organizzazione sono realmente efficaci nella pratica.

I nostri hacker etici eseguono un attacco realistico che mette alla prova tutti gli aspetti della tua organizzazione:

  • Hai preso le giuste misure organizzative per proteggere i tuoi asset aziendali o ci sono ancora misure mancanti che causano debolezze di sicurezza?
  • Esistono vulnerabilità tecniche che gli hacker possono sfruttare? Le tue misure di monitoraggio e rilevamento funzionano correttamente? Sono state adottate misure di sicurezza sufficienti per garantire la protezione dei dati nel rispetto delle normative vigenti?
  • I tuoi dipendenti sono sufficentemente formati per riconoscere un email di phishing e/o attacco di social engineering? I tuoi dipendenti rispondono correttamente quando riconoscono una minaccia?

Parla con uno dei nostri esperti contattaci.

Il nostro personale certificato è a tua completa disposizione per aiutarti a trovare la soluzione ideale per mettere in sicurezza il tuo business, richiedi il Penetration Test certificato.

    Nome

    Email

    Messaggio

    Ultime Vulnerabilità

    Caricamento vulnerabilità...

    Consulenza di Sicurezza Informatica
    Panoramica privacy

    This website uses cookies so that we can provide you with the best experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website, helping our team to understand which sections of the website you find most interesting and useful.