Penetration Test

CREST Logo

BSI è un fornitore autorizzato CREST per i servizi di Penetration Test. I nostri ethical hacker qualificati sono in grado di replicare il modo di pensare di un potenziale hacker e di utilizzare un insieme di strumenti per imitarne l’operato.

Offriamo una vasta gamma di servizi nel settore del Penetration Testing che coinvolgono tutti gli aspetti della sicurezza di un'organizzazione, ad esempio infrastrutture, applicazioni web e, naturalmente, dispositivi mobile.

Adottiamo un approccio risk-based per valutare i sistemi dal punto di vista di un hacker, nel quadro delle best practice di settore.


Gli obiettivi di un Penetration Test

  1. Determinare la fattibilità di determinati vettori di attacco
  2. Identificare eventuali vulnerabilità, comprese quelle a elevato rischio che sono il risultato di una combinazione di vulnerabilità a rischio ridotto sfruttate in sequenza
  3. Identificare vulnerabilità che possano essere difficili o impossibili da rilevare utilizzando software per la scansione automatizzata di reti o applicazioni
  4. Valutare il potenziale impatto di un attacco riuscito sulle attività aziendali e sui processi di business
  5. Testare la capacità di difesa di una rete nel rilevare e reagire ad un attacco
  6. Giustificare un maggiore investimento in personale e tecnologie per la sicurezza

I Penetration Test costituiscono una parte importante di un audit completo sulla sicurezza. Per esempio, norme di sicurezza nel settore delle carte di pagamento (Payment Card Industry Data Security Standard – PCI-DDS) impongono test a intervalli regolari e dopo qualunque modifica al sistema.


I nostri servizi Penetration Testing

BSI offre diversi servizi di Penetration Testing, dai test delle applicazioni web e mobile fino a quelli delle reti interne o delle infrastrutture esterne, passando per l’analisi di asset all'interno dell'infrastruttura della tua organizzazione quali server, workstation e dispositivi di rete.

BSI lavora al tuo fianco per identificare i servizi più adatti al fine di garantire che la tua impresa soddisfi i requisiti e abbia un livello di sicurezza adeguato.

Dopo un Penetration Test, BSI produce una relazione tecnica che presenta nel dettaglio i risultati e le soluzioni raccomandate in una sintesi per la gestione.

Scopri tutti i nostri servizi qui sotto. 


Test dell’infrastruttura

In BSI siamo consapevoli che un'infrastruttura sicura è fondamentale per la cyber resilience.

I nostri esperti di Penetration Testing eseguono test delle infrastrutture di rete interne ed esterne su server, postazioni di lavoro, domini, ambienti virtuali, dispositivi di rete e controlli di segregazione di rete. 


Application testing

Molte organizzazioni fanno affidamento su applicazioni per le attività aziendali. Spesso di tratta di vetrine digitali, cui è possibile accedere ovunque nel mondo, ad esempio per presentare informazioni, fornire funzionalità a dipendenti e clienti o fornire il sostegno fondamentale per tutte le esigenze di trattamento dati di un'organizzazione.

La sicurezza di queste applicazioni è pertanto fondamentale. Il nostro team di ethical hacker vanta una vasta esperienza nell'analisi di applicazioni di varia natura, tra cui applicazioni web, servizi web, applicazioni binarie (thick client) e mainframe.


Build review

Oltre a quella delle infrastrutture e delle applicazioni, anche la sicurezza dei relativi server è fondamentale per prevenire un attacco.

Tuttavia, se un attacco dovesse riuscire, l'hardening è importante per garantire che qualunque violazione venga contenuta a sufficienza e che l’autore dell'attacco non sia in grado di muoversi ulteriormente all'interno dell'infrastruttura del sistema. BSI offre un servizio di analisi della struttura del server per tutti i sistemi operativi tra cui Windows, Linux e Solaris, nonché AIX e componenti comuni quali database e web server. Conduciamo inoltre analisi della struttura su dispositivi per utenti finali come postazioni di lavoro e portatili per simulare il comportamento di utenti interni malintenzionati o furti di dispositivi.

Utilizzando norme comuni di benchmarking come ad esempio le raccomandazioni CIS, NIST o NCSC, un'analisi della struttura consente di raggiungere alti livelli di sicurezza.


Applicazioni e dispositivi mobile

Sempre più spesso le organizzazioni utilizzano applicazioni mobile per interagire con clienti e dipendenti. È importante che tali applicazioni offrano lo stesso livello di sicurezza di un'applicazione web tradizionale. Per questo offriamo approfonditi Penetration Test per le applicazioni mobile su tutte le piattaforme più diffuse, tra cui Android, Apple, Windows Phone e BlackBerry.

Se i dipendenti della tua organizzazione utilizzano dispositivi mobile, è possibile eseguire un'analisi del blocco delle configurazioni e dell'ambiente di gestione dei device (mobile device management - MDM).


Analisi dei dispositivi di rete

I dispositivi di rete di un'organizzazione rappresentano la struttura portante delle comunicazioni all'interno dell'infrastruttura. Se compromesso, un dispositivo potrebbe avere effetti disastrosi su tutta la sicurezza dell'organizzazione.

I nostri servizi di analisi dei dispositivi di rete forniscono garanzie su tali dispositivi valutando le configurazioni attive, le versioni di firmware e le impostazioni firewall dei dispositivi di un gran numero di produttori tra cui Cisco, Checkpoint, HP, Juniper, Palo Alto, Brocade, SonicWall e Fortigate.


Penetration Test di reti wireless

La connettività wireless può essere sfruttata come punto di accesso da una distanza di sicurezza per attaccare un’infrastruttura senza essere rilevati.

I nostri servizi di test delle reti wireless e di analisi delle configurazioni mirano a garantire che le reti wireless siano impostate in modo sicuro e offrano un elevato livello di sicurezza.

Il servizio comprende analisi dei punti di accesso wireless, analisi dei controller WLAN e dei dispositivi client, valutazioni in loco e rilevamento dei punti di accesso non autorizzati.


SCADA e test ICS

I sistemi SCADA (Supervisory Control and Data Acquisition), anche noti come ICS (Industrial Control Systems), vengono implementati regolarmente in una vasta gamma di settori, tra cui produzione energetica, industria di produzione, trattamento idrico e petrolio e gas.

Il nostro team di esperti di test di penetrazione SCADA offre un’analisi completa del vostro sistema SCADA/ICS. Questa valutazione può essere effettuata in diverse modalità, incluse le analisi delle politiche e procedure pertinenti, l’analisi dell’architettura, la valutazione della sicurezza fisica, il test di penetrazione dell’infrastruttura, il test di segregazione ed esercizi di analisi.

Valutando i sistemi dai diversi punti di vantaggio, siamo in grado di ottenere una visione globale della condizione di sicurezza dei vostri sistemi SCADA/ICS.


Secure code review

Per garantire un approccio a “difesa approfondita” alla sicurezza per le applicazioni, conduciamo revisioni del codice sorgente.

Un servizio di revisione del codice sorgente è un esame sistematico del codice sorgente di un’applicazione dal punto di vista sia manuale, che automatizzato. L’approccio “white box” intende trovare e risolvere gli errori tralasciati nella fase iniziale dello sviluppo, che non sempre potrebbero essere riscontrabili con le metodologie di test “grey box” o “black box”, migliorando sia la qualità complessiva del software, che le competenze degli sviluppatori.

Il servizio viene offerto per una serie estesa di linguaggi, inclusi C#, Java, Python e PHP, tra gli altri.


Virtualization testing

Sempre più di frequente le organizzazioni trasferiscono le proprie infrastrutture all'interno di ambienti virtuali, sia on premise che nel cloud. Spesso questi ambienti consentono di passare da un ambiente a un altro senza restrizioni. Per questo il livello di sicurezza degli ambienti virtuali non può essere trascurato.

BSI esegue una combinazione di analisi della struttura e test delle infrastrutture di ambienti virtuali o cloud privati, sia su reti commerciali che limitate. Le nostre competenze abbracciano prodotti fondamentali come VMware, Hyper-V nonché fornitori di servizi sul cloud come Skyscape o Amazon EC2.


Analisi su device rubati

Visto l’elevato numero di PC portatili o dispositivi mobili smarriti o oggetto di furto, analizziamo i dispositivi identificando le informazioni ottenibili qualora cadano nelle mani sbagliate.

Questo include la valutazione del portatile in quanto a vulnerabilità alla compromissione tramite metodi di boot, bypass della crittografia e qualsivoglia informazione utilizzabile per attaccare ulteriormente l’azienda.


Analisi gold build image

Offriamo un’analisi dettagliata di malware e a livello forense di qualsiasi immagine gold master utilizzata per implementare i server nell’ambiente.

In questo modo garantiamo che l’immagine master non sia infetta o manomessa prima che venga estratta e utilizzata.


Analisi del database

Analisi dettagliata dei server di database incentrata su autorizzazioni, versioni e configurazioni di tutte le principali tipologie, tra cui Microsoft SQL, MySQL, PostgreSQL, Oracle e MongoDB.


Environment breakout

Per consentire l’accesso limitato a servizi, reti o applicazioni specifiche, un’organizzazione può implementare un ambiente circoscritto, come Citrix, servizi terminal (RDP), desktop utente limitati o un ambiente kiosk.

Il nostro servizio di environment breakout cerca di garantire che un utente finale di livello base non riesca a violare il desktop controllato passando ad altri programmi, livelli di privilegio o aree limitate dell’infrastruttua connessa.