{"id":8068,"date":"2023-08-21T13:00:35","date_gmt":"2023-08-21T10:00:35","guid":{"rendered":"https:\/\/cyberone.bg\/?page_id=8068"},"modified":"2023-08-21T16:35:19","modified_gmt":"2023-08-21T13:35:19","slug":"penetration-tests","status":"publish","type":"page","link":"https:\/\/cyberone.bg\/it\/penetration-tests","title":{"rendered":"Penetration Test"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\r\n\t \t \/\/ TEST DI SICUREZZA PROATTIVA<\/span>\r\n\t

Penetration Tests<\/h2>\t <\/div>\r\n\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\tLa nostra azienda ha molti anni di esperienza nella conduzione di Penetration Test. Questo servizio si divide in pi\u00f9 categorie, in base all'ambito del test (scope) e in base ai vettori di attacco utilizzati.<\/span>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\t\t
\r\n\t\t\t<\/a>\t\t\t
\r\n\t\t \t\t\t \t\t <\/span>\t <\/div>\r\n\t
\r\n\t
Web Application Penetration Test<\/h5>\r\n\t \t <\/div>\r\n\t <\/div>\r\n\r\n\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\t\t
\r\n\t\t\t<\/a>\t\t\t
\r\n\t\t \t\t\t \t\t <\/span>\t <\/div>\r\n\t
\r\n\t
External Network Penetration Test<\/h5>\r\n\t \t <\/div>\r\n\t <\/div>\r\n\r\n\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\t\t
\r\n\t\t\t<\/a>\t\t\t
\r\n\t\t \t\t\t \t\t <\/span>\t <\/div>\r\n\t
\r\n\t
Internal Network Penetration Test<\/h5>\r\n\t \t <\/div>\r\n\t <\/div>\r\n\r\n\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\r\n\t \t \/\/ TEST DI SICUREZZA DELLE APPPLICAZIONI WEB E DEI SERVIZI WEB<\/span>\r\n\t

Web Penetration Test<\/h2>\t <\/div>\r\n\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Questo servizio comprende l\u2019esecuzione di test automatici e manuali (diamo priorit\u00e0 a questi ultimi, secondo la nostra policy). Lo scopo principale di questi test \u00e8 la detection proattiva delle debolezze nella sicurezza informatica e delle vulnerabilit\u00e0 all\u2019interno dell\u2019azienda.<\/span><\/p>

Il processo del test prevede:<\/span><\/p>

  1. Durante la fase di Reconnaissance (ricognizione) vengono identificati i servizi e le tecnologie utilizzate, le loro versioni, le configurazioni ed il loro funzionamento<\/span><\/li>
  2. Viene eseguita inizialmente una scansione automatica delle vulnerabilit\u00e0, utilizzando almeno 2 degli scanner pi\u00f9 popolari, come Acutinex e Netsparker<\/span><\/li>
  3. Il risultato della scansione automatica, insieme ai risultati scoperti manualmente dai nostri specialisti vengono verificati, e le informazioni raccolte vengono usate durante gli step successivi, finalizzati ad ottenere l\u2019accesso al sistema<\/span><\/li>
  4. Viene effettuata una revisione del livello di sicurezza dell\u2019applicazione nell\u2019ambito del test (scope), utilizzando la nostra checklist di controlli e detection di vulnerabilit\u00e0, in linea con gli standard internazionali e le best practices.<\/span><\/li>
  5. Viene effettuato un tentativo di access escalation utilizzando le vulnerabilit\u00e0 trovate.<\/span><\/li>
  6. Viene redatto un report finale, che raccoglie tutte le informazioni sulle vulnerabilit\u00e0 rilevate, insieme a tutte le raccomandazioni per la fase di remediation ed i vari riferimenti. Il report include una sezione dedicata al management, dove ogni cosa viene descritta nel dettaglio utilizzando un linguaggio ed una terminologia comprensibile anche da personale non tecnico.<\/span><\/li>
  7. Dopo aver concordato un periodo di rimozione, il cliente ha la possibilit\u00e0 di ricevere un nuovo test dell\u2019ambito (scope) concordato, entro 6 mesi dall\u2019esecuzione del test iniziale gratuitamente.<\/span><\/li>
  8. Viene redatto un report per il secondo test<\/span><\/li><\/ol>

    La nostra metodologia per l\u2019esecuzione dei penetration test \u00e8 in linea con gli standard, includendo necessariamente le seguenti fasi:<\/span><\/p>

    Fase 1:<\/strong> Reconnaissance (ricognizione)<\/span>
    Fase 2:<\/strong> Scansione<\/span>
    Fase 3:<\/strong> Ottenimento degli accessi<\/span>
    Fase 4:<\/strong> Privilege Escalation (sorpasso delle autorizzazioni)<\/span><\/p>

    Tipi di penetration test, in base al livello di accesso:<\/strong><\/p>

    Test \u201cBlack box\u201d<\/span><\/strong>
    Non \u00e8 richiesta alcuna conoscenza preliminare della tecnologia o dell\u2019ambito specifico di un\u2019azienda. Non \u00e8 necessario concedere l\u2019accesso all\u2019applicazione o al sistema specificato. I risultati si basano sull\u2019accesso iniziale ottenuto da parte nostri specialisti.<\/span><\/p>

    Test \u201cGrey box\u201d<\/strong>
    Viene concesso l\u2019accesso parziale lato client alle applicazioni che rientrano nell\u2019ambito. Vengono fornite informazioni parziali sulla tecnologia e sull\u2019infrastruttura per le applicazioni in oggetto. Si consiglia di utilizzare questo approccio per le app aziendali e per le app utilizzate solo da persone con accesso gi\u00e0 consentito.<\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t

    \n\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t
    \r\n\t \t \/\/ TEST DI SICUREZZA DI RETI E SERVIZI<\/span>\r\n\t

    Network Penetration Test<\/h2>\t <\/div>\r\n\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    I Network Penetration Test esaminano la sicurezza delle reti interne e pubbliche di un\u2019azienda e dei vari servizi correlati. Il servizio \u00e8 consigliato alle aziende che dispongono di un\u2019ampio range di servizi pubblici e di indirizzi IPv4 pubblici. Questo servizio \u00e8 consigliato anche per aziende che hanno grandi reti interne con molti servizi e un\u2019importante gestione di informazioni.<\/span><\/p>

    Sia i Web Penetration Test che i Network Penetration test si dividono in 2 categorie.<\/span><\/p>

    \/\/ Internal network penetration test<\/strong><\/p>

    Per questo tipo di test, i nostri specialisti ottengono l\u2019accesso alla rete interna dell\u2019azienda tramite VPN o fisicamente. I penetration test includono un\u2019ampia serie di verifiche per la configurazione errata dei servizi, presenza di vulnerabilit\u00e0 note e vari altri controlli eseguiti manualmente dai nostri specialisti e non soltanto tramite software di vulnerability scan.<\/span><\/p>

    Uno degli scopi di questo servizio \u00e8 trovare tutti gli eventuali gaps di sicurezza in tutti i tuoi servizi e i tuoi sistemi in modo da risolverli in anticipo. Un altro aspetto che la maggior parte delle aziende ignora \u00e8 il fatto che a volte i dipendenti sono il principale fattore di rischio per la sicurezza. Con i nostri test cerchiamo di riprodurre tutti gli scenari possibili, per mostrare come degli insiders disonesti possono compromettere la sicurezza della tua azienda.<\/span><\/p>

    I test condotti dai nostri specialisti si focalizzano inoltre anche sul rischio che persone non autorizzate \u201csi muovano all\u2019interno\u201d della tua infrastruttura di rete, utilizzando credenziali gi\u00e0 compromesse dei dipendenti o altre vulnerabilit\u00e0 presenti.<\/span><\/p>

    \/\/ External network penetration test<\/strong><\/p>

    La maggior parte delle aziende dispone di server pubblici, servizi e sistemi ai quali possono accedere dipendenti, clienti e partners. Il test di sicurezza sugli asset IT pubblici si concentra sul rilevamento di quanto segue:<\/span><\/p>

    • Scoperta di endpoint, domini e sottodomini<\/span><\/li>
    • Identificazione di servizi, porte, tecnologie, versioni, providers di servizi<\/span><\/li>
    • Scansione di porte e la loro configurazione nel firewall<\/span><\/li>
    • Identificazione dei servizi e le relative versioni e configurazioni<\/span><\/li>
    • Test automatizzati verificando tutte le vulnerabilit\u00e0 note disponibili<\/span><\/li>
    • Detection manuale delle vulnerabilit\u00e0<\/span><\/li>
    • Verifica delle vulnerabilit\u00e0 scoperte<\/span><\/li>
    • Sfruttamento delle vulnerabilit\u00e0 scoperte, attraverso exploit pubblici o privati<\/span><\/li>
    • Utilizzo di script specifici o proprietari per sfruttare vulnerabilit\u00e0 o falle di sicurezza<\/span><\/li>
    • Escalation degli accessi utilizzzando chiavi di accesso e credenziali compromesse<\/span><\/li><\/ul>

      Sia gli Internal Penetration Test che gli External Penetration Test vengono eseguiti utilizzando la nostra checklist, che \u00e8 stata sviluppata nel corso degli anni e produce risultati comprovati.<\/span><\/p>

      Per qualsiasi servizio che ha un\u2019interfaccia web, vengono eseguiti dei test che si sovrappongono a quelli del web penetration test, dato che molti servizi attualmente utilizzano un ambiente web pensato per l\u2019utente.<\/span><\/p>

      Analogamente ai test di penetrazione web, al termine viene redatto un report dettagliato che include i seguenti punti:<\/span><\/p>

      • Sintesi (una descrizione dettagliata dei risultati e delle conclusioni, utilizzando il meno possibile terminologia e linguaggio tecnico ).<\/span><\/li>
      • Information Gathering (raccolta di informazioni)<\/span><\/li>
      • Valutazione del rischio<\/span><\/li>
      • Metodologia<\/span><\/li>
      • Scope (portata dell\u2019ambito) e obiettivi<\/span><\/li>
      • Checklist, a seconda del tipo di servizio<\/span><\/li>
      • Elenco delle vulnerabilit\u00e0 trovate descritte in maniera completa ed esaustiva, completa di riferimenti, screenshot, e consigli per la fase di remediation.<\/span><\/li>
      • Note positive e conclusioni<\/span><\/li>
      • Raccomandazioni (divise in 3 categorie, in base ai risultati del test: a breve, medio e lungo termine)<\/span><\/li><\/ul>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t
        \n\t\t\t
        \n\t\t\t\t\t\t
        \n\t\t\t\t
        \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
        \n\t\t\t\t
        \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

        \/\/ TEST DI SICUREZZA PROATTIVA Penetration Tests La nostra azienda ha molti anni di esperienza nella conduzione di Penetration Test. Questo servizio si divide in pi\u00f9 categorie, in base all\u2019ambito del test (scope) e in base ai vettori di attacco utilizzati. Web Application Penetration Test External Network Penetration Test Internal Network Penetration Test \/\/ TEST […]<\/p>\n","protected":false},"author":3,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-8068","page","type-page","status-publish","hentry"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cyberone.bg\/it\/wp-json\/wp\/v2\/pages\/8068","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyberone.bg\/it\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/cyberone.bg\/it\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/cyberone.bg\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyberone.bg\/it\/wp-json\/wp\/v2\/comments?post=8068"}],"version-history":[{"count":6,"href":"https:\/\/cyberone.bg\/it\/wp-json\/wp\/v2\/pages\/8068\/revisions"}],"predecessor-version":[{"id":8340,"href":"https:\/\/cyberone.bg\/it\/wp-json\/wp\/v2\/pages\/8068\/revisions\/8340"}],"wp:attachment":[{"href":"https:\/\/cyberone.bg\/it\/wp-json\/wp\/v2\/media?parent=8068"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}