VA-PT

La crescente diffusione e fruibilità dei servizi in ambito informatico pone nuove sfide riguardo la tutela e la protezione dei dati e degli assets in ambito aziendale,  i tentativi di intrusione sono ai massimi storici ed il trend si incrementa di anno in anno.
Proteggersi efficamente è oggi una necessità.
 
I servizi offerti da 4Shiva sono mirati ad offrire una overview del sistema informatico del cliente, eseguendo test specialistici e mirati denominati rispettivamente:
 
Vulnerability Assessment e Penetration Testing che possono essere anche contestualizzate in modo da aderire alle più disparate normative e standard il cui rispetto agevola e guida anche il lavoro dei tecnici e degli auditor 
che devono verificare e valutare una procedura di analisi che deve garantire esaustività e completezza dei test.
 
Con il termine
Vulnerability Assessment, si intende l'insieme di attività svolte al fine di individuare il maggior numero possibile di
vulnerabilità di un sistema informatico o di una singola applicazione. 
 Le procedura di VA, si differenziano in relazione all'oggetto di interesse; si può sottoporre a VA qualsiasi device digitale dotato di sistema operativo, connesso in rete locale o esposto in internet.
Tale attività può essere svolta sia dall’interno del perimetro aziendale (internal vulnerability assessment), sia totalmente dall'esterno(internet faced vulnerability assessment), con la visibilità che avrebbe un attaccante.
Questo ultimo fattore è di particolare interesse in quanto sempre più spesso, il vedere un'azienda con gli occhi di un attaccante,
consentendo di simulare diversi scenari di attacco e verificare il grado di capacità di reazione dell'azienda.
La procedura Vulnerability Assessment, come già detto, è finalizzata ad adattarsi al sistema di cui si vuole rilevare le vulnerabilità informatiche, e per il suo svolgimento pratico
solitamente si considerano metodologie standard (quali ad esempio OWASP o OSSTMM etc...) ,consolidate, condivise e interpretabili dalla comunità informatica che si occupa di cybersecurity.
I tecnici possono svolgere i vulnerability assessment come se il sistema oggetto di interesse fosse una scatola nera "black box",
senza previa conoscenza delle specifiche infrastrutturali della rete/applicazione del cliente, oppure in modalità "white box", con un accesso completo alle specifiche tecniche dell'oggetto in esame.
Grazie alle suddette metodologie, è possibile effettuare le analisi della vulnerabilità dei sistemi che talvolta richiedono specificatamente
l'uso di un determinato standard per essere compliant alle normative vigenti.

 
Con il termine
Penetration Testing si intende un insieme di procedure e test atti a rivelare la penetrabilità di una infrastruttura di rete o di una web application.
In particolare il workflow, a seconda della metodologia di testing scelta tende a simulare le varie fasi di un effettivo attacco da parte di un utente malevolo.
- Information gathering
- Network scanning
- Exploitation
sono appunto le fasi cruciali di un attività di pentest.
Molteplici pratiche anche non prettamente tecniche, come la "social engineering" sono spesso adottate al fine di conseguire un accesso al sistema e possono essere replicate ed adottate dal personale tecnico 
col fine di dimostrare la permeabilità di una infrastruttura informatica.
Anche qui come per il Vulnerability Assessment l'adozione metodologie standard e consolidate viene utilizzata in modo da rendere il tutto comprensibile alla community di riferimento operante nel campo infosec.
Anche lo scenario di attacco e lo starting point (internal o external) del Penetration Testing e del Vulnerability Assessment dividono caratteristiche e denominazione comune variando appunto dalla 
modalità black box in cui viene simulato in tutto e per tutto il workflow di un hacker, sostanzialmente un blind test, il grey box in cui si hanno parziali informazioni sulla rete bersaglio, fino al white box 
 in cui si ha piena conoscenza delle caratteristiche tecniche del bersaglio in oggetto 

Alcune delle diverse aree tematiche concorrono a definire diversi ambiti per le attività di VA & PT
VA & PT infrastrutturali: in questo caso, si parla di verifiche delle vulnerabilità delle reti cablate, sia server che client.
VA & PT applicativi: si prendono in considerazione tramite verifiche puntuali i punti "esposti" online e le pagine di login,
amministrazione e utente di applicazioni mobili, software, portali web, CRM...
VA & PT wireless: il cui obiettivo sono gli access point di un particolare bersaglio
 
IDENTIFICA LE MINACCE PRIMA CHE DIVENTINO TALI… 

Share by: