Penetration Test

CREST Logo

BSI è un fornitore autorizzato CREST per i servizi di Penetration Test. I nostri ethical hacker qualificati sono in grado di replicare il modo di pensare di un potenziale hacker e di utilizzare un insieme di strumenti per imitarne l’operato.

Offriamo una vasta gamma di servizi nel settore del Penetration Testing che coinvolgono tutti gli aspetti della sicurezza di un'organizzazione, ad esempio infrastrutture, applicazioni web e, naturalmente, dispositivi mobile.

Adottiamo un approccio risk-based per valutare i sistemi dal punto di vista di un hacker, nel quadro delle best practice di settore.


Gli obiettivi di un Penetration Test

  1. Determinare la fattibilità di determinati vettori di attacco
  2. Identificare eventuali vulnerabilità, comprese quelle a elevato rischio che sono il risultato di una combinazione di vulnerabilità a rischio ridotto sfruttate in sequenza
  3. Identificare vulnerabilità che possano essere difficili o impossibili da rilevare utilizzando software per la scansione automatizzata di reti o applicazioni
  4. Valutare il potenziale impatto di un attacco riuscito sulle attività aziendali e sui processi di business
  5. Testare la capacità di difesa di una rete nel rilevare e reagire ad un attacco
  6. Giustificare un maggiore investimento in personale e tecnologie per la sicurezza

I Penetration Test costituiscono una parte importante di un audit completo sulla sicurezza. Per esempio, norme di sicurezza nel settore delle carte di pagamento (Payment Card Industry Data Security Standard – PCI-DDS) impongono test a intervalli regolari e dopo qualunque modifica al sistema.


I nostri servizi Penetration Testing

BSI offre diversi servizi di Penetration Testing, dai test delle applicazioni web e mobile fino a quelli delle reti interne o delle infrastrutture esterne, passando per l’analisi di asset all'interno dell'infrastruttura della tua organizzazione quali server, workstation e dispositivi di rete.

BSI lavora al tuo fianco per identificare i servizi più adatti al fine di garantire che la tua impresa soddisfi i requisiti e abbia un livello di sicurezza adeguato.

Dopo un Penetration Test, BSI produce una relazione tecnica che presenta nel dettaglio i risultati e le soluzioni raccomandate in una sintesi per la gestione.

Scopri tutti i nostri servizi qui sotto. 


Test dell’infrastruttura

In BSI siamo consapevoli che un'infrastruttura sicura è fondamentale per la cyber resilience.

I nostri esperti di Penetration Testing eseguono test delle infrastrutture di rete interne ed esterne su server, postazioni di lavoro, domini, ambienti virtuali, dispositivi di rete e controlli di segregazione di rete. 


Application testing

Molte organizzazioni fanno affidamento su applicazioni per le attività aziendali. Spesso di tratta di vetrine digitali, cui è possibile accedere ovunque nel mondo, ad esempio per presentare informazioni, fornire funzionalità a dipendenti e clienti o fornire il sostegno fondamentale per tutte le esigenze di trattamento dati di un'organizzazione.

La sicurezza di queste applicazioni è pertanto fondamentale. Il nostro team di ethical hacker vanta una vasta esperienza nell'analisi di applicazioni di varia natura, tra cui applicazioni web, servizi web, applicazioni binarie (thick client) e mainframe.


Build review

Oltre a quella delle infrastrutture e delle applicazioni, anche la sicurezza dei relativi server è fondamentale per prevenire un attacco.

Tuttavia, se un attacco dovesse riuscire, l'hardening è importante per garantire che qualunque violazione venga contenuta a sufficienza e che l’autore dell'attacco non sia in grado di muoversi ulteriormente all'interno dell'infrastruttura del sistema. BSI offre un servizio di analisi della struttura del server per tutti i sistemi operativi tra cui Windows, Linux e Solaris, nonché AIX e componenti comuni quali database e web server. Conduciamo inoltre analisi della struttura su dispositivi per utenti finali come postazioni di lavoro e portatili per simulare il comportamento di utenti interni malintenzionati o furti di dispositivi.

Utilizzando norme comuni di benchmarking come ad esempio le raccomandazioni CIS, NIST o NCSC, un'analisi della struttura consente di raggiungere alti livelli di sicurezza.


Applicazioni e dispositivi mobile

Sempre più spesso le organizzazioni utilizzano applicazioni mobile per interagire con clienti e dipendenti. È importante che tali applicazioni offrano lo stesso livello di sicurezza di un'applicazione web tradizionale. Per questo offriamo approfonditi Penetration Test per le applicazioni mobile su tutte le piattaforme più diffuse, tra cui Android, Apple, Windows Phone e BlackBerry.

Se i dipendenti della tua organizzazione utilizzano dispositivi mobile, è possibile eseguire un'analisi del blocco delle configurazioni e dell'ambiente di gestione dei device (mobile device management - MDM).


Analisi dei dispositivi di rete

I dispositivi di rete di un'organizzazione rappresentano la struttura portante delle comunicazioni all'interno dell'infrastruttura. Se compromesso, un dispositivo potrebbe avere effetti disastrosi su tutta la sicurezza dell'organizzazione.

I nostri servizi di analisi dei dispositivi di rete forniscono garanzie su tali dispositivi valutando le configurazioni attive, le versioni di firmware e le impostazioni firewall dei dispositivi di un gran numero di produttori tra cui Cisco, Checkpoint, HP, Juniper, Palo Alto, Brocade, SonicWall e Fortigate.


Penetration Test di reti wireless

La connettività wireless può essere sfruttata come punto di accesso da una distanza di sicurezza per attaccare un’infrastruttura senza essere rilevati.

I nostri servizi di test delle reti wireless e di analisi delle configurazioni mirano a garantire che le reti wireless siano impostate in modo sicuro e offrano un elevato livello di sicurezza.

Il servizio comprende analisi dei punti di accesso wireless, analisi dei controller WLAN e dei dispositivi client, valutazioni in loco e rilevamento dei punti di accesso non autorizzati.


Virtualization testing

Sempre più di frequente le organizzazioni trasferiscono le proprie infrastrutture all'interno di ambienti virtuali, sia on premise che nel cloud. Spesso questi ambienti consentono di passare da un ambiente a un altro senza restrizioni. Per questo il livello di sicurezza degli ambienti virtuali non può essere trascurato.

BSI esegue una combinazione di analisi della struttura e test delle infrastrutture di ambienti virtuali o cloud privati, sia su reti commerciali che limitate. Le nostre competenze abbracciano prodotti fondamentali come VMware, Hyper-V nonché fornitori di servizi sul cloud come Skyscape o Amazon EC2.