fbpx
Penetration Test

Mettiamo alla prova la sicurezza del tuo sistema:
trovando le vulnerabilità prima che lo facciano gli hacker

Richiedi maggiori informazioni per un Penetration Test

    Penetration test per reti e applicativi

    L’attività di penetration test (PT) consiste nel testare il livello di sicurezza del sistema target cercando di violarlo, sottoponendolo ad una grande varietà di attacchi informatici finalizzati ad individuare eventuali vulnerabilità sfruttabili da terzi per ottenere accessi non autorizzati ai servizi, ai dati e ai sistemi analizzati. Oltre ai problemi di sicurezza, vengono rilevati quali possibili punti deboli i problemi relativi alla configurazione, che incidono sulla robustezza e le performance del sistema, e gli errori di progettazione della rete.

    Come funziona?

    Obiettivo principale dell’attività di PT è rilevare il maggior numero di vulnerabilità presenti, al fine di individuare le adeguate contromisure per abbattere il più possibile il livello di vulnerabilità del sistema target del Cliente, ovvero il grado di esposizione al rischio. Per il raggiungimento di questo obiettivo si procede per step successivi:

    • il primo step consiste nel determinare il livello di sicurezza “globale” del sistema oggetto dell’analisi, ovvero il grado di immunità ad attacchi informatici. 
    • le informazioni ottenute a valle delle singole attività di analisi saranno tra di loro correlate per poter determinare il livello di vulnerabilità del sistema nel suo complesso. La correlazione delle informazioni è necessaria in quanto eventuali vulnerabilità applicative potrebbero essere sfruttate per condurre attacchi all’infrastruttura sottostante e viceversa. 
    • a valle di tale attività verranno proposte eventuali azioni correttive che consentano di rimediare alle falle individuate.

    Quali Penetration test poso effettuare?

    Penetration Test su Rete

    Il Penetration Test su rete è finalizzato a testare la robustezza delle reti aziendali, interne ed esterne. Verranno simulati tentativi di attacco su firewall, router, e altre difese di rete per valutare possibili vie di ingresso di un attaccante. Esempi di tecniche utilizzate includono port scanning, exploitation di vulnerabilità note e attacchi Man-in-the-Middle (MITM).

    Penetration Test su Applicazioni Web

    Simulazione di attacchi su applicazioni web critiche per l’azienda. Vengono testati problemi legati alla validazione degli input, gestione delle sessioni, e autenticazione, come SQL Injection, Cross-Site Scripting (XSS), e Cross-Site Request Forgery (CSRF).

    Penetration Test su API

    Le API sono spesso un bersaglio sensibile, dato che fungono da interfaccia tra diverse applicazioni e servizi. Il Penetration Test su API comprende:

    • Verifica di autenticazione e autorizzazione: per esempio, l’API potrebbe permettere a un utente non autenticato di accedere a risorse riservate.
    • Test di injection, come JSON/SQL/XML Injection, per verificare l’assenza di vulnerabilità legate alla gestione degli input.
    • Analisi della gestione degli errori e delle risposte API per evitare la fuga di informazioni sensibil

    Metodologia del lavoro

    Per portare a termine il PT, CyLock segue rigorosamente gli standard di riferimento internazionali OWASP Testing Guide, Penetration Testing Execution Standard e OSSTMM. Le fasi  di lavorazione previste per il PT sono le seguenti:

    1. Planning
    2. Information Gathering
    3. Vulnerability Scan and Analysis
    4. Attacco: Exploitation – Post Exploitation
    5. Analisi dei risultati e rapporto finale

    5 stelle in base alle recensioni dei clienti

    Partner, reseller e distributori