Penetration Testing

Il nostro Red Team con 15+ anni di esperienza nella cybersecurity offensiva e nell'intelligence è in grado di scoprire vulnerabilità tecnologiche da asset digitali diversificati imitando attacchi cyber del mondo reale utilizzando le principali metodologie, aiutando così il cliente a migliorare la propria resilienza ed OPSEC:

  • Web Application Penetration Testing:
    Il nostro Web Application Penetration Testing (WAPT) si concentra sulla valutazione approfondita della sicurezza di un'applicazione web. Il processo prevede un'analisi attiva dell'applicazione al fine di identificare eventuali punti deboli, difetti tecnici e vulnerabilità, analizzando diversi ambiti come la gestione della configurazione e della distribuzione, la gestione dell’identità, l’autenticazione, l’autorizzazione, la gestione delle sessioni, la convalida dell'input, la gestione degli errori, la crittografia, la logica applicativa e il lato client. Cerchiamo di identificare e sfruttare tutte le vulnerabilità dell'applicazione web del cliente mostrandone la superficie di attacco, eseguendo oltre 66 controlli di sicurezza secondo lo standard internazionale OWASP.

  • Mobile Application Penetration Testing:
    Il nostro Mobile Application Penetration Testing (MAPT) si concentra sulla valutazione approfondita della sicurezza di un'applicazione mobile (Android, iOS, Windows, BlackBerry). Il processo prevede un'analisi attiva dell'applicazione al fine di identificare eventuali punti deboli, difetti tecnici e vulnerabilità, analizzando diversi ambiti come l'utilizzo della piattaforma, l'archiviazione dei dati, la comunicazione, l'autenticazione, la crittografia, l'autorizzazione, la qualità del codice, la manomissione del codice, il reverse engineering, le funzionalità estranee e così via. Partiamo con un'installazione completa dell'applicazione per poi eseguire un'analisi completa, utilizzando tutte le varie funzioni disponibili. Si prosegue l’attività analizzando dove i dati sensibili sono richiesti, come si muovono all’interno dell’applicazione, come sono utilizzati e così via. In particolare, si esaminerà dove e come l’applicazione gestisce le informazioni sensibili, se l’applicazione sta utilizzando correttamente le API native e se le credenziali dell’utente, i token di sessione, le informazioni personali e/o qualsiasi altro dato sensibile venga memorizzato in maniera sicura. Come parte di questa analisi, si effettueranno controlli che esamineranno la memoria per garantire che i dati sensibili siano adeguatamente cancellati dall’applicazione. Durante questa fase di test, si tenterà di accedere alle funzionalità nascoste, oltre a tentare di scalare i privilegi. Inoltre, si esaminerà la comunicazione tra l’applicazione mobile e tutti i sistemi/servizi remoti. Il test viene eseguito su dispositivi mobile fisici, nonché tramite l’utilizzo di emulatori – a seconda del tipo di applicazione e della funzionalità. Cerchiamo di identificare e sfruttare tutti i problemi dell'applicazione mobile del cliente mostrandone la superficie di attacco.

  • Network Penetration Testing:
    Il nostro Network Penetration Testing (NPT) si concentra sulla valutazione approfondita della sicurezza di un server (o di un'intera rete). Il processo prevede un'analisi attiva del server al fine di identificare eventuali punti deboli, difetti tecnici e vulnerabilità. Iniziamo mappando la rete del cliente (esterna o interna) e successivamente proviamo ad identificare e sfruttare tutte le vulnerabilità, tramite exploiting e privilege escalation, mostrando la superficie di attacco del target di analisi.

  • WiFi Penetration Testing:
    Il nostro WiFi Penetration Testing (WPT) si concentra sulla valutazione approfondita della sicurezza di una rete WiFi. Il processo prevede un'analisi attiva delle risorse WiFi al fine di individuare eventuali punti deboli, difetti tecnici e vulnerabilità. Cerchiamo di identificare e sfruttare tutte le vulnerabilità della rete WiFi del cliente, nonché valutare il comportamento dei dipendenti ad attacchi sofisticati (ad esempio, Evil-Twin, Rouge AP, ecc.) mostrandone la superficie di attacco.

  • Vulnerability Assessment:
    Il nostro VA si concentra sulla valutazione della sicurezza di un server (o di un'intera rete) tramite una scansione automatica delle vulnerabilità. Il processo prevede un'analisi attiva del server al fine di identificare eventuali punti deboli, difetti tecnici e vulnerabilità. Iniziamo mappando il perimetro di rete del cliente e dopo proviamo ad identificare eventuali vulnerabilità tramite una scansione di sicurezza rimuovendo i falsi positivi e mostrando la superficie di attacco del cliente.

Regole di Ingaggio

  • Missione: Attaccare gli asset digitali del cliente valutandone la superficie di attacco
  • Modalità: Black-box, Gray-box
  • Metodologia: OWASP, OSSTMM, CEH, PTES
  • Luogo: Da remoto o presso l'azienda del cliente, simulando sia un attaccante esterno che interno
  • Privacy: NDA, risultati cifrati, cancellazione sicura
  • Risultati: Report di sicurezza tecnico con una descrizione dettagliata di tutte le vulnerabilità identificate e del loro rischio/impatto sul business, soluzioni di sicurezza ed un Piano di rientro
  • Prezzo: Richiedi un preventivo

Copyright © 2012-2021 Fulgur Security - P.iva/Vat IT03343330795