Vulnerability Assessment Descrizione del servizio La verifica di sicurezza di tipo Vulnerability Assessment costituisce il primo livello dei servizi di Sicurezza Proattiva. Essa prevede l’esecuzione di scansioni automatizzate e semi-automatizzate non invasive, condotte avvalendosi di strumenti software open source e proprietari accuratamente selezionati, al fine di rilevare la presenza di vulnerabilità note all’interno dell’infrastruttura informatica oggetto di analisi. Tali scansioni sono successivamente integrate da verifiche manuali eseguite da personale altamente qualificato, volte ad eliminare i falsi positivi e negativi eventualmente introdotti dagli strumenti di analisi automatica. Finalità della verifica L’approccio • Black-box: il team di specialisti esegue l’analisi di sicurezza in autonomia, senza essere a conoscenza dei dettagli implementativi. • White-box: il Cliente condivide con il team informazioni di dettaglio relative ai processi di business ed ai flussi applicativi di interesse. La prospettiva Isolando tempestivamente le reali vulnerabilità presenti sul perimetro della rete pubblica o all’interno della rete privata, il servizio di Vulnerability Assessment consente al Cliente di mantenere una visione aggiornata del grado di robustezza dei propri sistemi informatici, ottimizzando gli sforzi di gestione della sicurezza. Ambito di applicazione Al fine di valutare il livello di sicurezza dell’infrastruttura informatica oggetto di analisi, il team di specialisti non si limita ad analizzare i servizi esposti ad attacchi provenienti dalla rete pubblica Internet, ma è in grado di operare anche sui seguenti target: sistemi server, postazioni di lavoro, apparati di rete e dispositivi firewall esposti sul perimetro esterno o raggiungibili dalla rete privata. È inoltre supportata la scansione di piattaforme applicative, comprensive di front-end web e database di back-end. Tutte le verifiche, infine, possono essere condotte anche da posizione privilegiata, allo scopo di verificare sul campo la presenza di vulnerabilità non rilevabili tramite attacchi condotti unicamente da un punto di vista esterno. In conclusione, il servizio di Vulnerability Assessment può essere erogato sui seguenti scenari tecnologici: Infrastruttura e servizi Piattaforme applicative Sistemi server Server web Postazioni di lavoro Front-end Web 1.0 Apparati di rete Front-end Web 2.0 Dispositivi firewall Database di back-end • Le verifiche sono condotte da un punto di vista esterno, al fine di fornire una valutazione di sicurezza indipendente e slegata dalle dinamiche aziendali. • Nell’ambito dell’attività di analisi, il team di specialisti può avvalersi di credenziali standard per l’accesso ai sistemi ed ai servizi applicativi, allo scopo di verificare la presenza di vulnerabilità non rilevabili tramite attacchi condotti unicamente da un punto di vista esterno. La reportistica • Al termine dell’attività si procede alla stesura della reportistica, che costituisce la documentazione formale dei test eseguiti, contenente i risultati delle scansioni e le indicazioni sulle eventuali contromisure da adottare per risolvere le problematiche di sicurezza rilevate. • Il rapporto di verifica è disponibile sia in lingua italiana che in inglese su richiesta. Strumenti di verifica Al fine di fornire una valutazione di sicurezza indipendente, oggettiva e ripetibile, le verifiche di tipo Vulnerability Assessment sono condotte tramite l’ausilio dei migliori strumenti software open source e proprietari, che garantiscono il rispetto degli standard internazionali di riferimento (ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC 27005:2008, ITIL, COBIT, GAO, FISCAM, PCI, SOX, HIPAA, CASPR, SET, NIST Best Practices, D.lgs 196/2003, altre normative sulla protezione dei dati). “the drive for compliance” Government legislation Riferimenti e Partnership @ Mediaservice.net, grazie alla sua decennale esperienza nel campo della sicurezza, può supportare in modo unico l’esecuzione di ogni progetto, basandosi su metodologie e standard internazionali riconosciuti, quali: • • • • • ISO/IEC 27001 OSSTMM OWASP ITIL COBIT @ Mediaservice.net può vantare inoltre conoscenze acquisite attraverso partnership strategiche con le principali associazioni professionali e con i centri di competenza nazionali e internazionali. Industry regulation Business policy Process Figure professionali Per svolgere le attività di verifica, @ Mediaservice.net si avvale di personale altamente qualificato e referenziato, in possesso di certificazioni professionali riconosciute internazionalmente (CISSP, OPSA, OPST, OWSE, CISA, CISM, GCFA, ISO 27001 Lead Auditor, etc.). Tali certificazioni garantiscono, oltre alla competenza tecnica, anche l’alto profilo etico delle figure professionali impiegate. A seconda degli accordi tra le parti, le risorse impegnate nelle attività potranno lavorare in team nel laboratorio di @ Mediaservice.net o presso la sede del Cliente. Modello di gestione della sicurezza Al fine di garantire al Cliente il rilevamento e la risoluzione tempestiva delle vulnerabilità presenti, @ Mediaservice.net propone un modello di gestione della sicurezza che prevede un processo ciclico improntato al miglioramento continuo. @ Mediaservice.net S.r.l. con Socio Unico Via Santorelli, 15 - 10095 Grugliasco (TO) Tel +39 011-3272100 - Fax +39 011-3246497 [email protected] - www.mediaservice.net