Il Regolamento Europeo per la protezione dei dati impone a tutti coloro che li trattano agli articoli 5 e 32 di adottare misure tecnico organizzative adeguate alla loro protezione. In un mondo in cui l’attività degli hacker è in costante aumento questa richiesta può essere qualcosa di altamente impegnativo.
Jaera attraverso tecnici altamente specializzati in sicurezza informatica permette di svolgere alcune attività cruciali alla salvaguardia dei dati.
Information gathering
La fase di Information Gathering sarà finalizzata alla ricerca, e alla relativa catalogazione, di tutte le informazioni accessibili, sia in modalità passiva che attiva, riguardanti l’architettura, la configurazione dei sistemi, i servizi offerti, le tecnologie utilizzate all’interno del perimetro di analisi indicato. Le attività che verranno svolte sono:
- Host Identification
Ogni host scoperto nell’attività precedente dovrà essere sottoposto a tecniche di fingerprinting attivo e passivo, in modo da determinarne la versione del Sistema Operativo. - Service Enumeration
Tutti gli host attivi dovranno essere esaminati per scoprire quali porte risultano essere non filtrate, e quindi quali servizi sono attivi.
Vulnerability Assessment
La VA ha l’obiettivo di effettuare una verifica dinamica dei servizi della LAN o dei programmi o delle piattaforme web, allo scopo di identificare eventuali vulnerabilità dovute a configurazioni di sicurezza errate, carenze sui livelli di protezione attivi, parti di software non aggiornate, etc. che espongano il tutto a rischi di violazioni.
La VA sarà effettuata tramite l’ausilio di software per la scansione automatica aggiornati con le informazioni relative a vulnerabilità e minacce più recenti.
Le attività saranno:
- Vulnerability checking (Vulnerability Identification) al fine di identificare le vulnerabilità sui sistemi target;
- Vulnerability Differential Analysis al fine di analizzare i risultati ottenuti ed individuare eventuali falsi positivi.
Penetration test
Il PT verificherà la effettiva possibilità di sfruttare le vulnerabilità riscontrate nel corso della Vulnerability Assessment svolta in precedenza per accedere alle risorse del sistema senza disporre delle appropriate autorizzazioni.
Saranno eseguite attività di Exploiting ovvero l’esecuzione di tentativi di intrusione da Internet sui sistemi sfruttando le vulnerabilità identificate nella fase precedente, quali ad esempio utenze o password deboli, uso improprio di script, bug software ed errate configurazioni mediante anche test di fuzzing e bruteforce.
Nel caso in cui la società affidataria identifichi una vulnerabilità che permetta di violare l’accesso sul target, dovranno essere svolti ulteriori test di:
- Privilege Escalation con lo scopo di individuare falle che permettano all’attaccante di elevare i propri privilegi sulle macchine compromesse;
- Pivoting con lo scopo di individuare ulteriori dispositivi vulnerabili non raggiungibili.
Code reviewing
Il CR è l’attività volta a controllare che il codice di un’applicazione sia essa per il web, per uno smartphone o un tablet o un computer gestisca il flusso informativo in maniera ottimizzata e non ci siano improprie trasmissioni di dati a terze parti che configurerebbero un databreach.
Questa attività verrà svolta in parte in maniera automatizzata e in parte da personale qualificato che analizzerà direttamente il codice sorgente per individuare eventuali falle di sicurezza.
Hai bisogno di maggiori informazioni?
Consulta la nostra sezione dedicata alle domande frequenti!
Contattaci per avere
una consulenza dedicata
Compila il form oppure scrivi a info@jaera.it, ti risponderemo al più presto!