ITALIANO
- Code review
- Penetration test
- Servizi
Metodologia operativa
Descrizione della metodologia applicativa in relazione ai vettori di test per il servizio di code review Report del test
Risultato del test: la documentazione prodotta può comprendere le soluzioni tecnologiche da adottare ed il processo di formazione alla programmazione "sicura" Report del test
Risultato del test di sicurezza: spiegazione dettagliata dei riscontri, lista delle cause e possibilli conseguenze. Descrizione finale delle patch da applicare.
Obiettivi
Effettuiamo controlli di sicurezza a vari livelli di penetrazione. Il servizio si sviluppa nel Penetration Test e a seguire in corsi di formazione alla cultura della sicurezza informatica
Consulenza e soluzioni
Consulenza per individuare le soluzioni alle problematiche ricontrate, formazione alla sicurezza informatica e alla programmazione avanzata
Metodologia operativa
Il Penetration test si sviluppa in un analisi passiva volta a raccogliere informazioni sull?applicazione del cliente e sul contesto. A seguire il tester verifica punto punto i vari elementi critici della sicurezza.
Progettazione avanzata
Proponiamo corsi di progettazione per rendere autonomi i soggetti nella realizzazione di progetti complessi a partire dalle scelte iniziali, alla struttura del DB fino alla realizzazione del codice
Servizi
- SEO
- Marketing e promozione
- Verifica della sicurezza
- Creazione contenuti per il web
- Formazione SEO e sicurezza web
Descrizione generale
|
Analizziamo assieme
Siamo sempre disponibili a realizzare preventivi gratuiti, consulenza e tariffe personalizzate.Informazioni generali del servizio
L'analisi viene svolta a fronte di un accordo commerciale/tecnico. Chi svolge questa attività è chiamato penetration tester o auditor e oggi anche con il più moderno nome ethical hacker, visto che si tenta di aggredire il sistema con le stesse logiche utilizzate da un hacker. Un gruppo di penetration tester è chiamato anche tiger team.I processi di penetration test possono essere effettuati in diverse modalità. La differenza consiste sulla quantità e qualità delle informazioni disponibili agli analisti riguardo i sistemi analizzati. I test Black Box non presuppongono precedente conoscenza dell'infrastruttura oggetto di analisi e gli esaminatori necessitano di determinare architettura e servizi dei sistemi prima di iniziare l'analisi.
Nei test White Box sono invece fornite conoscenze dettagliate dell'infrastruttura da esaminare, spesso comprensive di schemi di rete, liste di indirizzi IP presenti nella rete. Esistono anche varianti a queste metodologie definibili Grey Box.
I processi di analisi che vengono condotti in un penetration test hanno diversi tempi di azione in cui sono alternate fasi manuali e fasi automatiche. Vengono acquisite inizialmente le informazioni principali sull'architettura della piattaforma e sui servizi offerti. Dall'analisi di questi dati deriva la scelta di come condurre il passo successivo, consistente in una enumerazione dei principali errori e problemi. Software automatizzati uniti all'esperienza manuale dell'analista permettono quindi di evidenziare tutte le possibili vulnerabilità, incluse quelle più recenti e alcune ancora non di pubblico dominio. I problemi riscontrati sono quindi manualmente verificati e sono prese le evidenze, o prove, che certificano l'esistenza delle problematiche stesse.
L'attività si conclude nello sviluppo della reportistica composta dal report di analisi sommaria dedicato al management o executive summary, contenente l'analisi dell'impatto di rischio di quanto riscontrato e tempistiche per l'azione di rientro o mitigazione delle problematiche riscontrate, e dal report tecnico, contenente l'analisi dettagliata dei problemi e la soluzione tecnica. Il penetration test va effettuato su sistemi esposti su Internet e comunque sulle piattaforme sensibili collegate a grosse reti, prima di entrare in esercizio, per avere una prova pratica della sicurezza di ciò che si espone.
