Un penetration test è una procedura che consente di misurare la sicurezza informatica di un’infrastruttura, di un applicativo o di una rete: si tratta di un insieme di tecniche di hacking finalizzate a verificare l’adeguatezza dei controlli di sicurezza di un sistema informatico.
In un pen test viene simulata l’azione di un attaccante per misurare la resistenza agli attacchi informatici.
Quali sono le fasi di un penetration test?
Dopo le prime fasi di footprinting aziendale per visualizzare l’esposizione di un’azienda in rete e osservarne il perimetro e di vulnerability assessment per individuare le vulnerabilità note senza procedere allo sfruttamento pratico delle stesse, il pen test rappresenta un audit fondamentale nella forma di hacking etico per identificare e valutare le vulnerabilità nei sistemi informatici prima che vengano identificate e sfruttate da criminali.
La pianificazione di attività pen testing con cadenza regolare fornisce all’IT e al management aziendale la consapevolezza riguardo ai livelli di sicurezza informatica rispetto ad attacchi informatici rivolti ai sistemi IT, della rete e delle applicazioni dell’organizzazione.
La regolare esecuzione di test per verificare lo stato della cyber security fornisce garanzie anche ai clienti finali, migliorando la reputazione del brand della tua azienda: rivolgersi a un fornitore affidabile che tratta adeguatamente i propri dati è ormai un requisito imprescindibile anche alla luce del GDPR e può rientrare in un data breach prevention plan.
Un pen test è inoltre un requisito fondamentale per valutare l’efficacia delle policy di sicurezza dell’azienda. Il penetration testing è anche essenziale per la conformità ad alcune certificazioni, ad esempio la certificazione PCI-DSS per i pagamento onlin o la certificazione ISO 27001.
I penetration test offerti da BIT4LAW
BIT4LAW offre diversi servizi di penetration testing:
- Network penetration test: è un pen test condotto dall’esterno per identificare le vulnerabilità dei sistemi informatici attraverso la loro esposizione su Internet; questo genere di test andrebbe programmato almeno su base semestrale su dispositivi e sistemi quali DNS server, Web server, Firewall, IDS/IPS, Mail server, Intranet, FTP server e VPN server
- Web Application penetration test: è un pen test condotto sulle applicazioni web-based. Le web application vengono verificate per individuare le vulnerabilità legate a SQL injection, cross-site scripting (XSS), cross-site request forgery (CSRF), information disclosure, bypass dell’autenticazione ed altro ancora. Tutti i test verranno condotti seguendo la metodologia OWASP (Open Web Application Security Project)
- Mobile penetration test: è un pen test condotto sulle applicazioni che operano sui dispositivi mobili. Le app che operano su dispositivi mobile sono vulnerabili al pari delle applicazioni web poiché si compongono principalmente di due parti: l’applicazione vera e propria installabile sui device mobili e i servizi web con i quali l’app comunica. Il pen test mobile esamina in maniera approfondita entrambi gli elementi. Le vulnerabilità testate includono test sulla validazione degli input, presenza di dati sensibili e/o password embedded, esecuzione di comandi malevoli sfruttando il protocollo NFC/Bluetooth
Perché affidarsi a BIT4LAW per un pen test
BIT4LAW dispone di un team di esperti di penetration test di comprovata esperienza.
I membri del team che si occupano di pen test hanno anni di esperienza nell’ambito della cyber security, fanno parte del team dei SANS facilitators e sono certificati tra gli altri eCPPT, eWAPT e GCFA.
In cosa ci differenziamo: oltre alla fase di penetration testing, BIT4LAW dispone di profonde competenze nel settore dell’incident response e della digital forensics, consentendo così di svolgere immediatamente anche indagini legate a eventuali violazioni rinvenute durante i test. Questo aspetto rappresenta un significativo vantaggio rispetto ai nostri competitors, consentendo al nostro cliente di anticipare le minacce informatiche e di agire prontamente per contenere il danno e contestualmente acquisire eventuali prove informatiche da utilizzare in ambito processuale.
Contattaci per usufruire dei servizi di penetration testing di BIT4LAW. Solo così potrai contribuire a misurare i livelli di sicurezza informatica della tua azienda.