Che cos’è un controllo di sicurezza?


I controlli di sicurezza rappresentano un complemento dei Penetration Test poiché permettono di aggiungere un ulteriore livello di valutazione su aspetti tecnici quali codice sorgente, configurazione di rete e di sistema, e altra documentazione a cui in genere gli utenti malintenzionati non hanno accesso. Tali servizi permettono di rilevare lacune di sicurezza dal forte e duraturo impatto ma che sono difficili da identificare in modalità “black box”.




I risultati di questi servizi consentono a SSL247® di fornire suggerimenti specifici (e, se necessario, una patch correttiva per il controllo di un codice sorgente) e informazioni sullo stato delle applicazioni, del sistema e della rete testati.



SSL247® offre i seguenti controlli di sicurezza:



Verifica della configurazione

Un approfondito controlli di sicurezza di switch, router e altri dispositivi critici nella rete.

Verifica del codice sorgente

Il controllo più completo che consente di identificare le vulnerabilità nel codice dell’applicazione.

Verifica dell’architettura di sicurezza

Controllo che permette di identificare i punti forti e i punti critici dell’architettura e della sicurezza del sistema informativo.



Qual è la soluzione più adatta per la Sua azienda?

I nostri esperti di PenTest hanno creato un questionario personalizzato che consente di individuare i servizi più idonei a risolvere gli eventuali problemi riscontrati e soddisfare le Sue esigenze.



Controlli di sicurezza proposti da SSL247

Verifica della configurazione


Una revisione della configurazione consente di valutare la sicurezza di uno o più dispositivi specifici sulla rete e la relativa configurazione/integrazione.

I nostri consulenti specializzati mirano a identificare eventuali differenze tra la configurazione di sicurezza dei componenti (ad esempio il server, la workstation, il database, applicazioni specifiche ecc.) e le best practice di sicurezza esistenti.

Questa verifica comprende i seguenti passaggi:

42x42

Identificazione completa e mirata delle incongruenze e anomalie che espongono la piattaforma a un rischio per la sicurezza.

42x42

Identificazione dei punti critici e valutazione dei rischi associati (ad esempio i rischi e l’impatto sulla sicurezza oppure la complessità degli attacchi).

42x42

Creazione di un piano di risoluzione dei problemi per aggiornare il livello di protezione e la configurazione dei componenti, comprese proposte precise e mirate personalizzate in base alle esigenze del cliente.

La metodologia di una verifica della configurazione può essere adattata a qualsiasi tipo di ambiente, tra cui server/workstation (Windows, Unix ecc.), server di database, server di applicazioni, apparecchiature di rete (regole di filtraggio), attrezzature telefoniche (PABX, IPBX, SVI ecc.) e terminali mobili. I nostri consulenti sono in grado di produrre guide di miglioramento della sicurezza e offrire al cliente risorse che consentono di adottare best practice per qualsiasi tecnologia gestita da SSL247®.

Possiamo inoltre sviluppare script di verifica periodici (“controlli di conformità”) che coprono un vasto ambito di applicazione e garantiscono la sicurezza delle configurazioni sul lungo termine.

Le nostre verifiche della configurazione offrono una gamma completa di servizi al cliente, dalle procedure di gestione all’implementazione tecnica.

Il servizio è composto da due fasi:

Fase 1: comprensione del contesto e utilità di ogni elemento

  • Offre una comprensione globale all’addetto ai controlli, fornendo risultati specifici del contesto.
  • Questa fase può includere l’analisi della documentazione e colloqui con i team tecnici per una verifica più completa.

Fase 2: analisi delle vulnerabilità, in cui vengono verificati tutti i servizi delle apparecchiature e ogni elemento della configurazione viene analizzato

  • Gli aggiornamenti per ciascun servizio vengono verificati sistematicamente..
  • Particolare attenzione viene prestata a tutti i meccanismi di sicurezza, che siano in azione o meno (crittografia dei dati, analisi del sistema antivirus ecc.)
 

Verifica del codice sorgente


Una verifica del codice sorgente è il servizio più completo che è possibile svolgere su un’applicazione, poiché è in grado di rilevare tutte le vulnerabilità che interessano le applicazioni esaminando il codice sorgente.

42x42
Requisiti preliminari

Questo tipo di verifica richiede che il cliente fornisca il codice sorgente e ulteriore documentazione correlata. In questa fase, è possibile che siano previsti colloqui con gli sviluppatori e gli architetti al fine di svolgere un testo più completo.

42x42
Approfondita ricerca nelle applicazioni

Una verifica del codice sorgente consente di andare al di là delle vulnerabilità rilevabili tramite un test in modalità “black box” (specialmente durante l’esecuzione di un Penetration Test delle applicazioni), poiché grazie a questa verifica è possibile individuare i punti critici nei meccanismi interni, ad esempio l’assenza di crittografia e best practice di sviluppo, nonché i punti critici nei processi di autenticazione, tracciabilità e registrazione. La possibilità di rilevare e correggere tali punti critici può aumentare notevolmente il livello di sicurezza complessivo dell’applicazione.

42x42
Conformità alle normative

Se necessario, possiamo anche convalidare la conformità con le normative in vigore (regole imposte da PCI-DSS [crittografia ecc.], requisiti delle autorità normative, conformità con i requisiti di legge per i siti web pubblici e così via).

42x42
Penetration Test complementari

Con questo tipo di verifica, è possibile eseguire un Penetration Test delle applicazioni complementare al fine di combinare i due approcci e ottenere risultati quanto più completi possibilele.


 

Verifica dell’architettura di sicurezza


Questa verifica tecnica prevede un’analisi accelerata dell’architettura tecnica mirata, in base alle informazioni e agli elementi forniti. Non prevede l’utilizzo di controlli tecnici sui sistemi ma tiene conto degli aspetti tecnici più importanti e delle procedure di pianificazione delle azioni iniziali.

Questa verifica comprende i seguenti passaggi:
42x42

Identificazione delle esigenze e analisi della situazione esistente: in genere, prevede colloqui con i team aziendali, tecnici (produzione e ingegneria) e organizzativi (sicurezza). Grazie a questi incontri, è possibile stabilire i requisiti di ciascun reparto, al fine di analizzarli a fronte della progettazione della sicurezza e dei meccanismi di protezione esistenti.

42x42

Inventario dei risultati: analisi dei risultati dei test (inclusi i Penetration Test) e identificazione dei principali rischi associati all’architettura corrente.

42x42

Presentazione delle best practice e feedback: organizzazione (processo, strategia), funzionamento, amministrazione e architettura, documentazione e procedure.

 


Report dettagliati e completi

I nostri report non si limitano a segnalare un mero elenco di vulnerabilità generate con l’ausilio di uno strumento automatizzato. Dalla metodologia alle strategie utilizzate per monitorare i dati, i nostri report offrono informazioni estremamente dettagliate, che Le consentono di comprendere e replicare lo sfruttamento o la verifica di tutte le vulnerabilità identificate.


 

SSL247 Security Audit Report




Offriamo un altro servizio che potrebbe essere di Suo interesse:

Ingegneria sociale
Red Team
Risposta agli incidenti


Perché scegliere SSL247®?

SSL247® vanta oltre 15 anni di esperienza e un solido know-how nel settore della sicurezza del web e numerosi accreditamenti quali EMEA Symantec Champion Award 2017. Siamo specializzati in Online Business Continuity e possiamo vantarci di essere:

Reattivi e flessibili

I nostri accreditati consulenti esperti di sicurezza ed esperti di PenTest certificati sono a Sua disposizione per suggerirLe l’approccio più appropriato da adottare.

Competenti da un punto di vista tecnico

I nostri consulenti e revisori seguono periodicamente corsi organizzati da terzi per essere sempre aggiornati sulle ultime vulnerabilità e tecniche di attacco.

Esperti certificati

I nostri consulenti hanno conseguito numerose certificazioni, tra cui:OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert) and OPST (OSSTMM Professional Security Tester).



Ci contatti

Per ulteriori informazioni su come trarre vantaggio dalle nostre valutazioni della sicurezza, non esiti a contattare uno dei nostri consulenti accreditati:

0454 580501
sales@ssl247.it

Symantec

I sigilli Norton sono visualizzati fino a 800 milioni di volte al giorno su oltre 100.000 siti Web in 170 Paesi, nei risultati di ricerca su browser abilitati, sui siti partner di shopping e pagine di recensione del prodotto. Quando i visitatori del sito Web vedono il Sigillo Trust di Norton, sono meno propensi ad annullare una transazione e più disposti a fare affari con te online.

Le nostre partnership

Our Accreditations

Our Trust Seal

Mappa del sito | Cookie | Legale | Privacy Policy ( FR / EN )

© 2018 SSL247 SARL. Tutti i diritti riservati. SSL247 SARL est enregistrée au Registre du Commerce de Roubaix-Tourcoing - RCS 508308 079. | Tel.: 0454 580501