VA - Vulnerability Assessment

Una delle principali attività nell'ambito della CyberSecurity preventiva che forniamo è il Vulnerability Assessment, attività volta ad individuare possibili vulnerabilità all’interno di protocolli, algoritmi di cifratura, certificati, software, software di terze parti, ecc.

Effettuare correttamente un Vulnerability Assessment significa dunque proteggere i vostri dati e la vostra privacy.

L’esecuzione è effettuata tramite un apposito scanner che, inviando molteplici payload appositamente creati verso il target, valuta le risposte dai servizi e dalle applicazioni confrontandole con un vastissimo database interno di vulnerabilità note per evidenziarne quelle riscontrate.

Il valore aggiunto da noi offerto è volto al controllo e alla verifica dell’output, escludendo i falsi positivi presenti, verificando minuziosamente la presenza effettiva delle vulnerabilità riscontrate e consigliando scenari di mitigation/remediations da applicare.

I risultati del Vulnerability Assessment vengono raccolti all’interno di un report personalizzato nel quale viene riportato sia un executive summary descrittivo volto al management, sia un summary tecnico specifico inclusivo di descrizioni, screenshots, dimostrazioni, CVSS Score, suggerimenti di mitigations/remediations e link a risorse esterne volto agli sviluppatori per supportarli nella correzione degli errori.

STAST-Static Analysis

Una delle principali attività che forniamo in ambito "Sviluppo Sicuro"/ CyberSecurity Services è il test statico delle applicazioni (SAST), una metodologia AppSec che testa le applicazioni dall’interno verso l’esterno, esaminandone il codice sorgente e senza mandarle in esecuzione.

La SAST interagendo con il codice sorgente agisce in una fase iniziale dell’sSDLC (secure Software Development Life Cycle), di modo che gli sviluppatori possano trovare eventuali problemi di sicurezza prima che l’applicazione venga completata.

La SAST fornisce feedback di sicurezza in tempo reale durante la codifica, rendendola un metodo più proattivo per correggere rapidamente le falle e per risolvere problematiche al costo più basso.

L’attività consiste nell’analizzare il codice sorgente di un'applicazione mediante strumenti ad hoc, verificare eventuali falsi positivi e infine valutare le singole vulnerabilità riscontrate.

Il risultato finale è racchiuso in un report completo di tutte le informazioni utili per identificare le modifiche necessarie per rendere il codice sicuro.

PT – Penetration Test

Il Penetration Test è un’altra attività chiave in ambito CyberSecurity.

Per rendere un Penetration Test efficace non basta semplicemente identificare i punti deboli dei target ma sarà fondamentale contestualizzare queste debolezze per comprenderne il reale rischio per l'organizzazione.

Risulta molto importante condurre Penetration Test completi, evidenziando tutti i problemi riscontrati, l'impatto di ognuno, il rischio connesso e, dove possibile, cercare di identificare la causa principale del problema e di fornire raccomandazioni a livello di processo e di policy.

I nostri Penetration Test consentono all'organizzazione di intraprendere azioni immediate ed efficaci per ridurre le possibilità di un’intrusione e di fornire una base di sicurezza cosi da tenere traccia dell'evoluzione della sicurezza IT all'interno dell'organizzazione.

I risultati del Penetration Test vengono raccolti all’interno di un report personalizzato nel quale viene riportato sia un executive summary descrittivo volto al management, sia un summary tecnico specifico inclusivo di descrizioni, screenshots, dimostrazioni, CVSS Score, suggerimenti di mitigations/remediations e link a risorse esterne volto agli sviluppatori per supportarli nella correzione degli errori.

DAST-Dynamic Analysis

Un’altra attività che forniamo in ambito "Sviluppo Sicuro"/ CyberSecurity Services è il test dinamico delle applicazioni (DAST), un approccio AppSec che permette di osservare in dettaglio come si comporta l’applicazione quando è in esecuzione, per scovarne imperfezioni o vulnerabilità prima che si prosegua con le fasi successive del ciclo di vita del software.

I risultati della scansione dinamica aiutano a dare priorità alla correzione delle vulnerabilità sfruttabili e a ridurre immediatamente il rischio man mano che vengono risolte. Tuttavia, può essere difficile individuare esattamente il codice su cui agire usando solamente la DAST e pertanto, nella maggior parte dei casi viene associata ad un’attività di SAST.

L’attività consiste nell’analizzare il codice sorgente di un'applicazione mediante strumenti ad hoc, verificare eventuali falsi positivi e infine valutare le singole vulnerabilità riscontrate.

Il risultato finale è racchiuso in un report completo di tutte le informazioni utili per le modifiche necessarie a correggere le vulnerabilità individuate.