fore2

PENETRATION TESTING

Il modo migliore per prevedere le mosse di un criminale è ragionare come un criminale.
I
CEO oggi sanno che la Cybersecurity è importante, ma l’unico modo per sapere quanto il vostro business può soffrire un aHacco informaEco è me1erlo alla prova, per individuare falle che hacker malintenziona2 possano sfru1are nei processi, nei soWware u2lizza2,
nelle policy in uso, nelle persone che collaborano con noi e anche negli asset da proteggere.

Il Penetration Testing è una pratica che perme1e all’azienda di provare sul campo le debolezze dei sistemi e dei processi, prima che un criminale o un malintenzionato lo scopra.

Storyline offre i servizi di Penetration Testing, Wargaming e Red Team/Blue Team con lo standard PTES (PenetraEon TesEng ExecuEon Standard) che prevede i seguenti  passaggi:

Definire lo scopo del Penetration Test è il primo passo. Quali sono gli asset da testare, quale è il loro peso nel business, se sono missioncritical o meno. Le regole d’ingaggio sono le successive: ossia i motivi per i quali si sta eseguendo un test, le modalità con cui deve essere condo1o e quando deve considerarsi concluso, quali tipologie di a1acco sono consentite e quale superficie è coinvolta nel test.

Il test inizia con la fase di intelligence, la raccolta di informazioni che può essere disposta su 3 livelli, dalla normale interrogazione di fonti pubbliche fino al Red Teaming, passando per le tecniche di OSINT o le più tradizionali tecniche d’indagine.

La modellazione delle minacce possibili è la fase successiva, molto simile all’analisi SWOT da cui eredita molte informazioni. Viene condo1a una analisi delle vulnerabilità degli asset individuati.

I risultati dell’analisi saranno usati nella successiva fase di exploitation, ossia lo sfru1amento delle vulnerabilità per o1enere l’accesso ai sistemi.

La fase di Post Exploitation determina il valore dell’asset compromesso e ne mantiene il controllo per accessi futuri. Il valore dell’asset è determinato sulla base di quali tipologie di dati consente l’accesso e quanto è utilizzabile per propagare l penetrazione all’interno del network.

Il Penetration Test si conclude con la fase di reporting, in cui si riassume la valutazione dell’operato e delle problematiche riscontrate.

Fasi del processo:

  • Definizione delle regole d’ingaggio
  • Intelligence
  • Threat Modeling
  • Vulnerability Analysis
  • Exploitation
  • Post Exploitation
  • Reporting
Contattaci per una Demo o Informazioni sul prodotto