Vulnerability assessment

Lo scopo del vulnerability assessment (VA) è individuare tutte le vulnerabilità che affliggono un sistema informativo, analizzandone tutti i componenti, siano essi dispositivi di rete, sistemi di difesa perimetrale, workstation o server, con particolare attenzione per questi ultimi alle applicazioni e ai servizi esposti.

È un’attività fondamentale in un processo di risk assessment e per stabilire priorità in un piano di intervento per incrementare il livello di sicurezza del sistema informativo aziendale.

 L’accuratezza e la completezza dei risultati forniti assumono un ruolo chiave all’interno dell’approccio di CryptoNet: la combinazione di scansioni automatizzate, attività di verifica e revisione manuali, condotte utilizzando i migliori tool presenti sia in ambito commerciale sia nel mondo opensource.

Ciò consente di offrire esaustività nei test effettuati per ampiezza, coprendo l’intera superficie di attacco, e profondità, aumentando il numero e le tipologie di “test case”.

 

La metodologia adottata per eseguire i servizi di VA è composta di due tipologie di interventi:

  • Analisi della criticità dei dati, per individuare i dati critici, siano essi di business o legati all'adempimento delle normative cogenti, e ottenere una "mappa" dei sistemi su cui risiedono. Tale attività è utile per contestualizzare il livello di rischio delle vulnerabilità riscontrate, ma non è vincolante per lo step successivo.
  • Attività tecniche, per ricercare l’esistenza di vulnerabilità nei sistemi aziendali, avendo come riferimento le best practices di settore più diffuse e mature (come ISECOM e OWASP).
  • Analisi di procedure e meccanismi di sicurezza esistenti, tramite interviste con il personale del cliente, per integrare i risultati dei test e precisare meglio il piano di intervento proposto.

Il focus dei VA offerti da CryptoNet non si limita al solo livello network, perché le applicazioni sono la modalità di accesso ai dati più semplice e privilegiata: tramite loro un malintenzionato può alterare integrità, confidenzialità o disponibilità dei dati stessi.

Versione stampabile
Torna su