Cos’è il Penetration Test
Attività altamente specializzata di testing della sicurezza condotta da un team di specialisti/ethical hackers, secondo metodologie consolidate, per mettere in evidenza i punti critici della sicurezza di un organizzazione e verificare l’impatto di un attacco reale.
A cosa serve il Penetration Test
Il servizio di Penetration Test consente l’identificazione e la classificazione delle vulnerabilità presenti all’interno dell’infrastruttura oggetto di analisi. Consente inoltre, di verificare l’adeguatezza delle policies di sicurezza implementate ed il rispetto delle stesse all’interno dell’organizzazione.
Metodologie
La valutazione viene effettuata con metodologie consolidate e pratiche riconosciute a livello internazionale (OSSTMM, OWASP, ISO/IEC 15408, ITSEC, TCSEC), tali metodologie sono conformi agli standard internazionali (ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC 27005:2008, ITIL, COBIT, NIST Best Practices).
Approccio
La tipologia di valutazione può essere condotta dal team di specialisti, in varie modalità ed in base agli obiettivi definiti dall’accordo con il cliente:
- Black-box: il team di specialisti esegue l’analisi di sicurezza in autonomia, senza essere a conoscenza dei dettagli del target.
- White-box: il Cliente condivide con il team informazioni di dettaglio relative ai processi di business ed ai flussi applicativi di interesse.
Reportistica
Al termine dell’attività si procede alla stesura di due livelli di reportistica distinti: Executive Summary e Technical Report.