Vulnerability Assessment
Descrizione del servizio
La verifica di sicurezza di tipo Vulnerability Assessment costituisce il primo
livello dei servizi di Sicurezza Proattiva. Essa prevede l’esecuzione di scansioni
automatizzate e semi-automatizzate non invasive, condotte avvalendosi
di strumenti software open source e proprietari accuratamente selezionati,
al fine di rilevare la presenza di vulnerabilità note all’interno dell’infrastruttura
informatica oggetto di analisi. Tali scansioni sono successivamente
integrate da verifiche manuali eseguite da personale altamente qualificato,
volte ad eliminare i falsi positivi e negativi eventualmente introdotti
dagli strumenti di analisi automatica.
Finalità della verifica
L’approccio
• Black-box: il team di specialisti
esegue l’analisi di sicurezza
in autonomia, senza essere
a conoscenza dei dettagli
implementativi.
• White-box: il Cliente condivide
con il team informazioni
di dettaglio relative ai processi
di business ed ai flussi
applicativi di interesse.
La prospettiva
Isolando tempestivamente le reali vulnerabilità presenti sul perimetro
della rete pubblica o all’interno della rete privata, il servizio di Vulnerability
Assessment consente al Cliente di mantenere una visione aggiornata
del grado di robustezza dei propri sistemi informatici, ottimizzando gli sforzi
di gestione della sicurezza.
Ambito di applicazione
Al fine di valutare il livello di sicurezza dell’infrastruttura informatica oggetto
di analisi, il team di specialisti non si limita ad analizzare i servizi esposti
ad attacchi provenienti dalla rete pubblica Internet, ma è in grado di operare
anche sui seguenti target: sistemi server, postazioni di lavoro, apparati di
rete e dispositivi firewall esposti sul perimetro esterno o raggiungibili dalla
rete privata. È inoltre supportata la scansione di piattaforme applicative,
comprensive di front-end web e database di back-end. Tutte le verifiche,
infine, possono essere condotte anche da posizione privilegiata, allo scopo
di verificare sul campo la presenza di vulnerabilità non rilevabili tramite attacchi
condotti unicamente da un punto di vista esterno. In conclusione, il servizio
di Vulnerability Assessment può essere erogato sui seguenti scenari
tecnologici:
Infrastruttura e servizi
Piattaforme applicative
Sistemi server
Server web
Postazioni di lavoro
Front-end Web 1.0
Apparati di rete
Front-end Web 2.0
Dispositivi firewall
Database di back-end
• Le verifiche sono condotte da
un punto di vista esterno,
al fine di fornire una valutazione
di sicurezza indipendente
e slegata dalle dinamiche
aziendali.
• Nell’ambito dell’attività di
analisi, il team di specialisti
può avvalersi di credenziali
standard per l’accesso ai
sistemi ed ai servizi applicativi,
allo scopo di verificare
la presenza di vulnerabilità
non rilevabili tramite attacchi
condotti unicamente
da un punto di vista esterno.
La reportistica
• Al termine dell’attività si
procede alla stesura della
reportistica, che costituisce
la documentazione formale
dei test eseguiti, contenente i
risultati delle scansioni
e le indicazioni sulle eventuali
contromisure da adottare
per risolvere le problematiche
di sicurezza rilevate.
• Il rapporto di verifica
è disponibile sia in lingua
italiana che in inglese su
richiesta.
Strumenti di verifica
Al fine di fornire una valutazione di sicurezza indipendente, oggettiva
e ripetibile, le verifiche di tipo Vulnerability Assessment sono condotte
tramite l’ausilio dei migliori strumenti software open source e
proprietari, che garantiscono il rispetto degli standard internazionali
di riferimento (ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC
27005:2008, ITIL, COBIT, GAO, FISCAM, PCI, SOX, HIPAA, CASPR,
SET, NIST Best Practices, D.lgs 196/2003, altre normative sulla
protezione dei dati).
“the drive for
compliance”
Government
legislation
Riferimenti e Partnership
@ Mediaservice.net, grazie
alla sua decennale esperienza
nel campo della sicurezza,
può supportare in modo unico
l’esecuzione di ogni progetto,
basandosi su metodologie
e standard internazionali
riconosciuti, quali:
•
•
•
•
•
ISO/IEC 27001
OSSTMM
OWASP
ITIL
COBIT
@ Mediaservice.net può
vantare inoltre conoscenze
acquisite attraverso
partnership strategiche
con le principali associazioni
professionali e con i centri
di competenza nazionali e
internazionali.
Industry
regulation
Business
policy
Process
Figure professionali
Per svolgere le attività di verifica, @ Mediaservice.net si avvale
di personale altamente qualificato e referenziato, in possesso
di certificazioni professionali riconosciute internazionalmente (CISSP,
OPSA, OPST, OWSE, CISA, CISM, GCFA, ISO 27001 Lead Auditor,
etc.). Tali certificazioni garantiscono, oltre alla competenza tecnica,
anche l’alto profilo etico delle figure professionali impiegate.
A seconda degli accordi tra le parti, le risorse impegnate nelle attività
potranno lavorare in team nel laboratorio di @ Mediaservice.net
o presso la sede del Cliente.
Modello di gestione della sicurezza
Al fine di garantire al Cliente il rilevamento
e la risoluzione tempestiva delle vulnerabilità
presenti, @ Mediaservice.net propone un modello
di gestione della sicurezza che prevede
un processo ciclico improntato al miglioramento
continuo.
@ Mediaservice.net S.r.l. con Socio Unico
Via Santorelli, 15 - 10095 Grugliasco (TO)
Tel +39 011-3272100 - Fax +39 011-3246497
[email protected] - www.mediaservice.net
