Skip to main content

Vulnerability Assessment & Penetration Test

Per difendersi efficacemente dagli attacchi, è necessario pensare come un criminal hacker e utilizzare le sue strategie contro di te per scovare le tue vulnerabilità e testare i tuoi sistemi.

La tua azienda è al sicuro da attacchi informatici?

Il rischio di un attacco hacker fa parte del ciclo di vita di ogni attività aziendale. Per ogni impresa è sempre più difficile proteggersi senza un’adeguata pianificazione della sicurezza.

«PERCHÉ DOVREBBERO ATTACCARE PROPRIO ME?
TANTO NON È MAI SUCCESSO!»

Pensare in questo modo mette a rischio l’azienda. Il cyber crime colpisce tutti indistintamente in modo massivo e le aziende, come le persone, sono quotidianamente vittime di attacchi.

1 Mio
Attacchi di spear phishing nel 2022 in Italia, di cui il 20% con conseguenze significative per le aziende coinvolte.
73 %
Incidenti interni di sicurezza provocati da vulnerabilità software e azioni non corrette degli utenti.

+52 %

Aumento degli attacchi di phishing e social engineering nel 2022 (vs. 2021).

+4,5 %

Aumento degli attacchi DDoS nel primo semestre 2022 (vs Q1 2021).

VA/PT solutions

È possibile avere una visione quanto più completa dello stato di rischio cyber della propria azienda grazie al servizio di Security Assessment, che prevede due differenti attività di Offensive Security o Red Team:

VULNERABILITY ASSESSMENT
Scanning per identificare e far emergere le vulnerabilità dell’infrastruttura e della rete IT.

PENETRATION TEST
Simulazione reale di un attacco da parte di un ethical hacker verso l’obiettivo potenzialmente vulnerabile.

Vulnerability assessment

Garantisce un duplice vantaggio: permette al cliente di avere una fotografia dello stato di esposizione dei propri sistemi interni ed esterni a tutte le vulnerabilità note; inoltre, verifica quali rischi corre il cliente nel caso in cui le protezioni di cui si è dotato dovessero essere bypassate.

1

80% DI ATTIVITÀ AUTOMATIZZATA DEI SISTEMI
Per conoscere dettagli riguardanti la loro configurazione e l’eventuale presenza di vulnerabilità.

2

VISIONE DI NOTEVOLE DETTAGLIO
Le verifiche sono effettuate in breve tempo su un perimetro molto ampio.

3

ATTIVITÀ ORIZZONTALE
Identifica e classifica quanti più rischi e vulnerabilità possibili su un vasto numero di sistemi e dispositivi aziendali.

4

20% DI ATTIVITÀ MANUALE
Gli ethical hacker di CYBEROO controllano i risultati prodotti dalla scansione e svolgono un’attività di approfondimento e radicamento di falsi positivi.

5

MODALITÀ «SAFE CHECK»
L’attività ha un impatto quasi nullo sull’operatività dei sistemi in analisi e può rilevare informazioni vitali per la postura di sicurezza delle società.

APPROACHES

INTERNAL
L’analisi della rete interna viene effettuata on premise o tramite macchina virtuale
sull’infrastruttura locale del Cliente, nonché sui servizi erogati sulla rete interna.

EXTERNAL
L’analisi sul perimetro esterno consiste nell’effettuare un’attività volta a identificare tutte le vulnerabilità presenti sulle appliance e sui servizi esposti in Internet afferenti alla rete del Cliente.

METODOLOGIA APPLICATA

La metodologia adottata per l’attività è denominata «SafeCheck» ed è conforme all’Open Source Security Testing MethodologyManual (OSSTMM) di ISECOM e a quanto definito dalla Open Web Application Security Project (OWASP) in tema di Security Assessment.

  • Utilizzo dell’indicatore di rischio calcolato secondo il framework CVSS (Common Vulnerability Scoring System) di FIRST (Forum of Incident Response and Security Teams).
  • Quando possibile, nella descrizione delle vulnerabilità viene riportato anche il codice CVE (Common Vulnerabilities and Exposures).

Penetration Test

Il Penetration Test è un’analisi approfondita di una specifica applicazione o servizio con lo scopo di identificare funzionalità che, se sfruttate da un agente malevolo, possono portare ad una violazione di sicurezza.

1

80% DI ATTIVITÀ MANUALE
Viene analizzato l’impatto dell’esposizione a vulnerabilità non verificabili dai software automatici ed in particolare i risultati ottenibili dall’interazione simultanea delle singole vulnerabilità.

2

COMPETENZE DEL CYBER SECURITY TEAM
Gli ethical hacker svolgono vere e proprie simulazioni di intrusione a più livelli, ipotizzano diversi scenari di attacco e combinano sofisticate tecniche manuali all’utilizzo di complessi strumenti automatici.

3

ATTIVITÀ VERTICALE
Si concentra principalmente su servizi specifici e identificati con il Cliente analizzandone approfonditamente e in modo preciso tutte le sue funzionalità.

4

PREVENZIONE
Previene incidenti di sicurezza potenzialmente distruttivi andando a risolvere e quindi mitigare il rischio di una compromissione.

Our PT activities

WEB APPLICATION PENERATION TEST
Attività volta ad individuare vulnerabilità all’interno di applicativi web che può focalizzarsi su tutte le aree dell’applicativo.

MOBILE PENETRATION TEST
Attività per testare la sicurezza delle applicazioni Mobile, dei servizi di Backend e dei sistemi Mobile.

PT INFRASTRUTTURALE
Attività che ha lo scopo di individuare vulnerabilità all’interno di un’infrastruttura definita.

PT WIFI
Attività volta a testare la bontà della configurazione della rete WiFi in ottica di un possibile attacco.

PT AMBIENTI SCADA/OT
Attività specifica per ambienti industriali e di produzione, che ha l’obiettivo di individuare tutte le possibili vulnerabilità con particolare attenzione alla business continuity.

PT BLACK BOX
L’attività viene eseguita simulando un attaccante che approccia la realtà aziendale ed effettua una compromissione di sicurezza.

CODE REVIEW
Attività volta ad identificare vulnerabilità tramite lo studio diretto del codice sorgente dell’applicazione/servizio oggetto di analisi.

BENEFITS

CYBEROO VA/PT STEPS

1

Pre engagement Interactions

2

Open Source Intelligence

3

Threat Modelling & Vulnerability Identification

4

Exploitation

5

Post Exploitation, Analysis & Recommendations

6

Reporting

PERCHÉ SCEGLIERE CYBEROO DOCETZ?

Personale altamente
competente

con conoscenze tecniche e una vasta esperienza nel campo della sicurezza informatica.

Metodologia analitica
e approfondita

per individuare e valutare con precisione i rischi e le minacce informatiche.

Approccio
personalizzato

alle specifiche esigenze del cliente, garantendo la massima qualità e affidabilità del servizio.