Vulnerability Assessment e Penetration Test

valutazione vulnerabilità sistemi informatici

Vulnerability Assessment,

il servizio di Data Storage Security per fornire una valutazione approfondita della vulnerabilità di un sistema informatico.

Come scoprire se il sistema informatico aziendale è sicuro o se ci sono falle di sicurezza? L’azienda è protetta da rischi informatici? Chi può affermare di essere invulnerabile?
Secondo gli esperti di cybersecurity il pericolo di subire un attacco informatico è molto alto, sia per piccole che per grandi aziende.

“Gli attaccanti non sono più “hackers”, e nemmeno gruppetti effimeri (più o meno pericolosi) di “artigiani” del cybercrime: sono decine e decine di gruppi criminali organizzati transnazionali che fatturano miliardi, multinazionali fuori controllo dotate di mezzi illimitati, stati nazionali con i relativi apparati militari e di intelligence, i loro fornitori e contractors, gruppi state-sponsored civili e/o paramilitari ed unità di mercenari impegnati in una lotta senza esclusione di colpi, che hanno come campo di battaglia, arma e bersaglio le infrastrutture, le reti, i server, i client, i device mobili, gli oggetti IoT, le piattaforme social e di instant messaging (e la mente dei loro utenti), su scala globale, 365 giorni all’anno, 24 ore al giorno. Una situazione di inaudita gravità, che mette in discussione ed a repentaglio tutti i presupposti sui quali si basa il buon funzionamento dell’Internet commerciale e di tutti i servizi (online e offline) che su di essa fanno affidamento”. (rif: Rapporto 2020 sulla Sicurezza ICT in Italia – aggiornamento ottobre 2020)

Quali strategie mettere in atto? Come difendersi? Grazie al servizio di Cybersecurity di Data Storage Security, l’azienda sarà in grado di:

1. Valutare l’esposizione al rischio cyber dell’azienda
2. Supportare il Management per l’analisi del rischio tecnologico rispetto agli adempimenti GDPR
3. Identificare le vulnerabilità e criticità dei sistemi IT
4. Armonizzare le procedure interne agli standard internazionali, best practice e adempimenti legislativi (ISO, Nis, Nist, GDPR, Agid,… )

Il mito dell’inattaccabilità, “non siamo bersagli importanti”

“[..] Gli attacchi gravi che abbiamo rilevato sono aumentati del 66% (in 4 anni), e i danni globali causati da minacce cibernetiche rappresentano ormai una cifra enorme, pari, se non superiore al PIL italiano” (rif: Rapporto 2021 sulla Sicurezza ICT in Italia)

Comunemente si pensa ad un utente malintenzionato che può sfruttare una vulnerabilità per violare la sicurezza di un sistema (per esempio vulnerabilità di autenticazione). Ciò alimenta il mito dell’inattaccabilità in cui si pensa che siano ben altre le aziende appetibili per un eventuale attacco hacker. La realtà purtroppo dimostra come gli attacchi non siano sempre mirati anzi, spesso gli attacchi hacker sono rivolti alla massa. Ogni azienda è un potenziale bersaglio. Le statistiche dimostrano che UTM, antivirus e aggiornamento patch non garantiscono la sicurezza assoluta.

controllo vulnerabilità sistema informatico aziendale

VUNERABILITY ASSESMENT O CONTROLLO DELLA VULNERABILITÀ

per scoprire le falle di sicurezza nei sistemi informatici.

Il Vulnerability Assessment è il processo di identificazione, quantificazione e assegnazione di priorità (o classificazione) alle vulnerabilità di un sito web o di una infrastruttura ICT e dei device.
Nel dettaglio, il servizio di controllo della vulnerabilità di Data Storage Security è un processo di definizione, identificazione e classificazione delle falle di sicurezza nei sistemi informatici o nei siti web. Si tratta di un’analisi mirata a verificare quanto un’azienda è esposta e quali rischi corre nel caso in cui le protezioni di cui si è dotata dovessero venire attaccate e aggirate oltre alle indicazioni per la risoluzione delle vulnerabilità riscontrate.
Il report finale del vulnerability assessment evidenzia quali parti del sistema siano protette e quali siano ancora esposte. Lo scopo principale della valutazione è trovare le vulnerabilità nel sistema (siano esse relative agli host, al networking o più in generale a tutte le componenti connesse in rete) per poterle efficacemente indirizzare tramite azioni correttive.

PENETRATION TEST O SIMULAZIONE DI ATTACCO INFORMATICO

come processo standard aziendale di cybersecurity

Dopo aver effettuato l’analisi della vulnerabilità dei sistemi informatici aziendali si può decidere se procedere con una vera e propria simulazione di attacco informatico.
Il servizio di Penetration Test di Data Storage Security è il processo di analisi o valutazione della sicurezza di un sistema informatico o di una rete, basato su una simulazione di attacco informatico.
Tale attività è condotta su più fasi, e simulando l’attacco informatico di un utente malintenzionato (hacker), consiste nello sfruttamento delle vulnerabilità rilevate in un sistema informatico per superare le difese attuali.

penetration test simulazione attacco informatico

TROVARE FALLE di sicurezza nei sistemi informatici E CORREGGERLE

L’elevata complessità dei sistemi informativi odierni, la loro crescita esponenziale, spesso in momenti diversi tra loro, e soprattutto le più recenti normative di protezione dei dati richiedono di effettuare periodicamente una serie di valutazioni delle vulnerabilità che garantiranno al sistema di essere protetto da tutti i rischi per la sicurezza noti.
Tipicamente, quando viene rilevata una nuova vulnerabilità, l’amministratore di sistema può eseguire una valutazione per scoprire quali moduli software o componenti hardware sono vulnerabili e avviare il processo di patch. Dopo che le correzioni sono state implementate, è necessario eseguire un’altra valutazione (assessment) per verificare che le vulnerabilità siano state effettivamente risolte.
Aiuta quindi a determinare se le difese del sistema sono sufficienti o se invece sono presenti altre vulnerabilità che l’attaccante ha sfruttato per prendere il controllo di parte o tutto il sistema informatico oltre a indicare le contromisure di tipo tecnologico organizzativo e procedurale in grado di eliminare le vulnerabilità, mitigare i rischi ed innalzare il livello di sicurezza dei sistemi.
Tutti i problemi di sicurezza rilevati vengono quindi presentati al cliente da Data Storage Security, assieme ad una valutazione del loro impatto nel sistema informatico, fornendo inoltre una soluzione tecnica o proposta di mitigazione o migrazione del sistema.

ICT SECURITY ASSESSMENT

L’ICT Security Assessment permette alle aziende di verificare e misurare il proprio livello di esposizione alle minacce Cyber.
Il servizio ICT Security Assessment permette la verifica e determina l’esposizione al rischio della propria azienda attraverso la misurazione dei rischi a livello Funzionale e Operativo.
I rischi Funzionali misurano gli asset aziendali e la oro esposizione a minacce interne o esterne all’organizzazione. I rischi Operativi valutano l’impatto delle possibili perdite derivanti dalla inadeguatezza o disfunzione degli asset oltre alla probabilità del rischio di subire attacchi di tipo Cyber.

CICLO DI VALUTAZIONE PERIODICO come processo standard aziendale di cybersecurity

Il processo aziendale di gestione degli aspetti di cybersecurity deve includere un ciclo di valutazione periodica delle vulnerabilità, con lo scopo di verificare se le azioni correttive definite in prima istanza sono state portate a termine (ed hanno quindi risolto le vulnerabilità segnalate) e se non siano state introdotte ulteriori vulnerabilità, derivanti dalla naturale evoluzione del sistema informativo aziendale.
Grazie al servizio di Cyber monitoraggio Data Storage Security sarà in grado di riportare periodicamente all’azienda quali siano le criticità del sistema in termini di cybersecurity, identificare le risorse compromesse e proporre misure di sicurezza appropriate per prevenire danni critici.
Questo ciclo di valutazione periodico, deve rientrare nei processi standard di una azienda al fine di garantire il continuo aggiornamento del sistema informativo, in termini di cybersecurity.

Data Storage Security mette a disposizione dei suoi Clienti oltre 35 anni di esperienza nell’erogazione di servizi di custodia, con un servizio specifico di trasporto sicuro di dati e infrastrutture ICT, con processi e tecnologie in continua evoluzione, in conformità alle normative vigenti ed ai più stringenti standard tecnologici di mercato.

I Clienti di Data Storage Security sono i principali gruppi assicurativi e bancari, le multinazionali dei settori Farmaceutico, Grande Distribuzione Organizzata, Automotive e i principali player ICT nazionali.

Richiedi informazioni