Penetration Testing
COSA È UN PENETRATION TEST?
Sai quali sono i punti deboli della tua infrastruttura IT?
Il penetration test è un processo che permette di rispondere a questa domanda,
valutando l’effettivo grado di sicurezza di un sistema informatico attraverso la simulazione dell’attacco di un
malintenzionato.
Il penetration test non è una scienza esatta, ma un insieme di tecniche che possono risultare più o meno
appropriate a seconda del contesto: l’obiettivo finale è quello evidenziare chiaramente le vulnerabilità di sicurezza
COME SI EFFETTUA IL PENETRATION TEST ?
L’analisi viene condotta sfruttando l’intelletto umano e diversi software dedicati, lo scopo è quello di evidenziare le
debolezze del sistema fornendo il maggio numero di informazioni sulle vulnerabilità che hanno permesso l’accesso
non autorizzato.
Il penetration test non è un processo statico e replicabile senza modifiche; viene difatti adattato di volta in volta
all’infrastruttura e alle esigenze del cliente. Ogni attività di penetration testing è comunque standardizzabile nella
metodologia.
IambOO adotta i seguenti standard tecnologici:
OSSTMM – manuale dell’Institute for Security and Open Methodologies che descrive una metodologia per
l’esecuzione di test di sicurezza in differenti ambiti. Prevede anche elementi relativi alla pianificazione e alle regole
di ingaggio. Si utilizza di solito per i Network Penetration test e i Wireless Penetration Test
OWASP – organizzazione indipendente dedicata alla creazione e alla diffusione di una “cultura della sicurezza
delle applicazioni WEB”. Ha redatto la Testing Guide, una guida per la valutazione della sicurezza delle web app utilizzata di solito per i web penetration test
NIST – istituto del Ministero del commercio Usa che si occupa di standard e tecnologie. La SP 800-115 del NIST
descrive le raccomandazioni per il testing e l’assessment. Si utilizza di solito per i vulnerability assessment e per
stabilire un programma dei test
La metodologia adottata da Iamboo è quella relativa allo schema PTES (PENETRATION TESTING EXECUTION
STANDARD)
Al termine del processo di testing, al cliente viene consegnato un report dettagliato nel quale vengano messe in
evidenza tutte le attività effettuate dal penetration tester, le vulnerabilità rilevate ed i passi necessari per mitigarle o eliminarle.
altre soluzioni che ti potrebbero interessare
-
Consulenza Software
La tua azienda utilizza gli strumenti informatici adeguati? I nostri consulenti analizzano la situazione e individuano la soluzione ottimale per il tuo business
-
Mobile Payments
Progettiamo e realizziamo soluzioni per l'autenticazione sicura e i pagamenti da mobile.
Sviluppiamo app mobile per i pagamenti di prossimità