Carta dei servizi

Audit e Assessment della sicurezza informatica

Il processo di audit/valutazione della sicurezza informatica prevede una valutazione o un audit esterno effettuato da consulenti della sicurezza informatica, per valutare il livello di rischio informatico a cui è esposta l’organizzazione.

I nostri assessment permettono di capire:
 Quali rischi legati alle informazioni esistono nella tua organizzazione e come stabilire le priorità di questi rischi
Quanto siete allineati ai requisiti dell’autorità centrale nel tuo Paese (ad esempio, la Banca centrale, il Garante della protezione dei dati, ecc.) o di framework esterni (ad esempio, NIST Cybersecurity Framework).

Una volta completata la valutazione, forniamo un report tecnico in cui sono dettagliate le vulnerabilità o le lacune nella sicurezza della tua organizzazione. Esamineremo inoltre la strategia IT sulla sicurezza presente in azienda all’nterno della valutazione dei rischi globale.
Questo report è offrire un percorso per migliorare ulteriormente la strategia di sicurezza informatica e di sicurezza IT, garantendo la conformità a lungo termine.

Il nostro approccio alle revisioni dell’audit sulla cybersecurity:

Incontro iniziale per approfondire il processo e concordare la portata dell’analisi delle lacune e la valutazione dei rischi
 Esame della strategia di sicurezza informatica e sicurezza IT
 Esecuzione di una valutazione dei rischi ad alto livello
Esecuzione di un’analisi delle lacune della sicurezza delle informazioni rispetto ai requisiti dell’autorità centrale del Paese (ad esempio, i requisiti della Banca centrale) o di un framework esterno (ad esempio, il NIST Cybersecurity Framework)
Reporting
Possiamo inoltre fornire informazioni su analisi comparative anonimizzate di alto livello per permettervi di confrontare la maturità del programma di sicurezza presente in azienda rispetto ad altre organizzazioni simili.

Protezione dei dati, anonimizzazione e pseudonimizzazione: un’analisi per riflettere sull’impatto che il regolamento europeo GDPR ha sugli strumenti IoT, per quanto riguarda gli aspetti relativi ai dati. La connessione in rete di oggetti diversi comporta infatti raccolta e trattamento di queste informazioni che generano valore.

 

La diffusione dei sistemi IoT porta a una riflessione sull’impatto del regolamento GDPR su questi strumenti, relativamente alla protezione dei dati. Anche perché queste tecnologie includono sempre più ambiti del quotidiano e del lavoro. Utile dunque approfondire l’influenza che opera la normativa.

GDPR e IoT, l’impatto della normativa europea sulle tecnologie connesse

La possibilità di connessione in rete dei device ha comportato, concretamente, il mutamento della natura di un numero talmente elevato di oggetti che ora a far pare dell’IoT sono non solamente i computer, gli smartphone o i tablet, ma anche tutto ciò che sia integrato o che presenti una interazione con le “cose” di tutti i giorni, con oggetti del nostro quotidiano.

 

Si pensi alla domotica, a Siri, ad Alexa, alla geolocalizzazione, alla profilazione, agli wearable devices, ai droni, alle etichette con tecnologie RFID, ai dispositivi medici e chi più ne ha più ne metta: la capacità di connettere in rete oggetti concreti, materiali, comporta per altri versi la registrazione, la raccolta, il trattamento di una mole enorme di dati, anche personali e particolari, a cui spesso non si pensa con la dovuta attenzione.

 

Ciò significa, in poche parole, analisi sempre più precise, intelligenti e predittive. Il che si tramuta in profili, preferenze e potenziale controllo sistematico. Database estremamente potenti in grado di generare ingenti valori, nel bene e nel male. Semplici oggetti da sempre percepiti come inerti diventano oggi dispositivi intelligenti capaci di comunicare in modalità wireless.

GDPR, IoT e Digital Single Market

Se da un lato il Regolamento sulla protezione dei dati personali (GDPR) si è posto da subito in stretta correlazione con l’ambito IoT, nel tentativo di tutelare al meglio i dati personali e la loro intrinseca delicatezza dall’onda anomala degli smart devices, dall’altro, nel più ampio quadro del progetto del Mercato Unico Digitale (o Digital Single Market), il 18 dicembre del 2018 è entrato in vigore il Regolamento sulla libera circolazione dei dati non personali n. 2018/1807/UE.

 Il primo ha portato prepotentemente alla ribalta, ex multis, i principi di accountability, limitazione della finalità e della conservazione, minimizzazione, integrità e riservatezza, privacy by design e by default, la previsione di un Data Protection Impact Assessment (DPIA) e di misure di sicurezza adeguate, i diritti di accesso, di opposizione e al non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati, così cercando di assicurare all’interessato ampie sponde entro cui arginare i rischi connessi al trattamento dei dati raccolti.

Il secondo, invece, intende spostare il focus sul potenziale delle New Tech – tra cui il cloud computing, l’AI e l’IoT – in tema di ottimizzazione dell’efficienza e di capacità di realizzare economie di scala.

Le nuove tecnologie dell’informatica offrono enormi vantaggi in tema di flessibilità, produttività, autonomia e rapidità di esecuzione, ma per poter sfruttare tale potenziale bisogna permettere una più facile e fluida mobilità dei dati non personali a livello transfrontaliero ed una fruizione semplificata dei servizi di cambio fornitore e portabilità dei dati, pur sempre garantendo la sicurezza delle informazioni unitamente alla facoltà di accesso e controllo da parte delle Autorità a ciò preposte.

Difatti, se “a norma del regolamento (UE) 2016/679, gli Stati membri non possono limitare o vietare la libera circolazione dei dati personali all’interno dell’Unione per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento di dati personali”, il regolamento 2018/1807/UE “sancisce il medesimo principio di libera circolazione all’interno dell’Unione per i dati non personali, tranne nei casi in cui una limitazione o un divieto siano giustificati per motivi di sicurezza”.

Gli Impatti sull’IoT

Anzitutto, individuando quali ostacoli alla mobilità dei dati e del mercato interno gli obblighi in materia di localizzazione dei dati e le pratiche di “vendor lock-in, il Regolamento 1807/2018 si autodefinisce inteso unicamente a salvaguardare la libertà delle imprese di stipulare contratti, garantendo che il luogo di localizzazione dei dati possa trovarsi ovunque nell’Unione. In altre parole, è la lotta alla localizzazione come sostituto della sicurezza dei dati.

Difatti, all’articolo 4, comma 1 si legge: “Gli obblighi di localizzazione di dati sono vietati a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità”.

 

Sul punto e con riguardo alla legge applicabile alla contrattualistica, il contratto di prestazione di servizi, in linea di principio, sarà disciplinato dalla legge del paese in cui il prestatore di servizi ha la residenza abituale, laddove non sia stata scelta diversamente a norma del Regolamento.

 

Quest’ultimo, inoltre, con riferimento alla portabilità dei dati, al Considerando 30 rileva quanto sia opportuno che “gli utenti professionali siano in grado di compiere scelte informate e di confrontare facilmente i singoli elementi dei servizi di trattamento di dati offerti nel mercato interno, anche sotto il profilo delle clausole e condizioni contrattuali di portabilità dei dati al termine del contratto.

 

Per mantenere il passo con la potenziale innovazione del mercato e tener conto dell’esperienza e delle competenze dei fornitori di servizi e degli utenti professionali di servizi di trattamento di dati, le informazioni dettagliate e i requisiti operativi per la portabilità dei dati dovrebbero essere definiti dagli operatori del mercato mediante autoregolamentazione, incoraggiati, agevolati e controllati dalla Commissione, in forma di codici di condotta dell’Unione che potrebbero contemplare clausole e condizioni contrattuali tipo.

 

Assumerebbero, dunque, rilevanza strategica nella redazione dei codici di condotta le procedure per e il luogo in cui è effettuato il backup dei dati, i formati e i supporti dei dati disponibili, la configurazione informatica e la larghezza minima di banda della rete richieste, il tempo necessario per avviare la procedura di trasferimento dei dati e il periodo in cui i dati saranno disponibili per il trasferimento, nonché le garanzie di accesso ai dati in caso di fallimento del fornitore di servizi.

GDPR e IoT: l’applicazione delle norme

Come più volte accennato, il Regolamento si applica al trattamento di dati elettronici diversi dai dati personali nell’ambito di un servizio offerto ad utenti residenti o stabiliti nell’Unione, indipendentemente dal fatto che il fornitore di servizi sia o non sia stabilito nell’Unione, o al trattamento effettuato da una persona fisica o giuridica residente o stabilita nell’Unione per le proprie esigenze.
Il tutto nel pieno rispetto dei diritti fondamentali riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell’Unione europea.

 

Le norme contenute nello stesso non si applicheranno, invece, alle attività che non rientrino nell’ambito di attuazione del diritto dell’Unione. Si badi bene, qualora vi fosse un insieme di dati composto sia da dati personali che da dati non personali, il regolamento si applicherebbe solo ai dati non personali, mentre laddove i due sottoinsiemi non fossero distinguibili, l’applicazione del GDPR rimarrebbe impregiudicata.

 

In tale ottica, il regolamento 2016/679 e il 2018/1807 forniscono, quindi, un insieme coerente di norme che disciplinano la libera circolazione di diversi tipi di dati, tanto più che il secondo non impone alcun obbligo di archiviazione separata dei diversi tipi di dati

Pseudonimizzazione, dato anonimo e anonimizzazione

Come si diceva, dunque, il regolamento n. 1807 si applica esclusivamente ai dati non personali, facendo salve le disposizioni tutte contenute nel GDPR. Distinzione, questa, che potrebbe sembrare, prima facie, piuttosto banale da operare.

 

Fra gli esempi specifici di dati non personali a cui si applica il citato Regolamento rientrano gli insiemi di dati aggregati e anonimizzati utilizzati per l’analisi dei megadati, i dati sull’agricoltura di precisione per monitorare e ottimizzare l’uso di pesticidi e acqua, o i dati sulle esigenze di manutenzione delle macchine industriali.

 

Ma soffermandosi, per esempio, sui concetti di pseudonimizzazione, dato anonimo e anonimizzazione si può ben comprendere quali possano essere prime complessità concrete.

 

Con riferimento alla prima misura di sicurezza, il GDPR viene in aiuto inquadrandola come quel trattamento che permette che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.

 

Perciò, fintanto che la conservazione (separata e soggetta a determinate misure tecniche e organizzative) di tali informazioni sia in grado di garantire che i dati non siano attribuiti a una persona fisica identificata o identificabile, nell’alveo di quale Regolamento andrà fatta ricadere?

 

Dipenderà dal grado di sicurezza e di difficoltà di riconduzione delle informazioni alla persona fisica, anche se sembra più verosimile l’applicazione del GDPR, che al Considerando 26 recita: “I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici”.

La pseudonimizzazione, infatti, continua a permettere una identificazione dell’individuo persona fisica, anche se in maniera indiretta.
Dal concetto di cui sopra discende che “i principi di protezione dei dati non dovrebbero (…) applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”.
Ecco che quindi alle informazioni anonime – anche per finalità di statistiche o ricerca – non si applicherà il GDPR, mentre le stesse potranno rientrare nell’ambito del Regolamento 1807/2018.

L’anonimizzazione, invece, basandosi sulla rimozione di elementi che permettano di risalire alla persona fisica specifica, rende di norma quasi impossibile la reversibilità del dato e pertanto sembrerebbe pacifica l’applicazione del Regolamento 1807. Ma tale misura può essere realizzata secondo differenti tecniche, due su tutte l’aggregazione e la de-identificazione.

Nel primo caso, trattandosi di dati aggregati e dunque di una sommatoria di dati di molti individui, la possibilità di una re-identificazione è decisamente remota. Nella seconda, invece, i dati personali sono mantenuti intatti, ma specifiche informazioni di identificazione vengono sostituite con identificatori anonimi.

 

Tale pratica presenta, quindi, dei profili di rischio in termini di identificabilità dell’interessato. Si pensi, per ipotesi, alla banca dati di una prigione che conservi i precedenti penali di un detenuto unitamente alla sua storia medica. Il detenuto, mediante i dati relativi alla fedina penale, potrebbe essere identificato anche senza il nome, e di conseguenza si potrebbe facilmente avere accesso non autorizzato anche alla sua storia medica.

 

Sul punto è il GDPR stesso a chiarire che qualora i progressi tecnologici consentano di trasformare dati anonimizzati in dati personali, tali dati verranno ovviamente interpretati e trattati come dati personali, con conseguente applicazione delle norme contenute nel GDPR.

 

Da ultimo, con riguardo alle tipologie di trattamenti soggetti al Regolamento 1807/2018, questi saranno da intendersi nell’accezione più ampia possibile, dovendo pertanto ricomprendere diversi livelli quali IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) o SaaS (Software-as-a-Service). Non avrà dunque rilevanza se le operazioni di trattamento saranno effettuate internamente oppure esternalizzate, né inciderà il tipo di sistema della tecnologia dell’informazione utilizzato.

FluxusIT e le operazioni di assessment della rete informatica per PMI Secondo normative

Relativamente al questionario GDPR aggiornato da stampare e conservare insieme al “quaderno delle password” o software di conservazione password crittografato, e allegato al contratto di assistenza con Fluxus secondo protocollo (per il referente ufficiale ed unico di Fluxus riguardo informativa privacy in riferimento a sezione IT): questo ruolo deve essere specificato.

Il responsabile della privacy resta sempre e comunque il titolare dell’azienda.
Vi preghiamo di leggere qui sotto e stampare mail e documento allegato che invieremo nel caso decidiate di svolgere tale operazione. Poichè tale documento deve essere aggiornato periodicamente secondo queste modalità.

Il suddetto documento, redatto in forma contrattuale o allegato al contratto di fornitura deve e dovrà contenere periodicamente:

Una descrizione puntuale dei trattamenti svolti e delle misure di sicurezza adottate;
durata, natura e finalità del trattamento (generalmente corrispondenti al contratto di fornitura) e obbligo di utilizzo esclusivo dei dati in tale ambito;
tipologia dei dati e categorie degli interessati;
obblighi e diritti del titolare del trattamento (ad esempio: fornire dati legittimamente assunti e possibilità di richiedere il blocco del trattamento e l’eventuale restituzione dei dati in caso di gravi violazioni);
un elenco dei subfornitori coinvolti e degli amministratori di sistema nominati con la specifica che potranno essere variati nel tempo previa comunicazione al titolare che avrà l’opportunità di opporsi in un arco di tempo stabilito;
la previsione di strumenti ragionevoli ma non invasivi di controllo (file di log, rapporti di intervento, possibilità di ispezioni in date o orari precisi ecc.);
eventuale trasferimento dei dati verso Paesi terzi (ad esempio, su server extra UE) e relative garanzie predisposte;
dichiarazione che nell’attività verranno coinvolte solo persone che abbiano un obbligo legale di riservatezza o si siano impegnate in tal senso;
dichiarazione di impegno, per quanto di propria competenza, ad assistere il titolare nell’evasione delle richieste da parte degli interessati per l’esercizio dei propri diritti;
dichiarazione di impegno a fornire tempestiva comunicazione al titolare di eventuali data breach e di tutte le informazioni ad essi relativi a propria disposizione;
la previsione di cosa si intenda fare dei dati al termine dell’incarico (distruzione in modalità sicura con rilascio di relativa dichiarazione o restituzione con relativa modalità e formato dei dati);
richiamo alle rispettive responsabilità così come previste dall’art. 82 del Regolamento UE 679/2016 (senza richieste di esoneri o manleve di dubbia o nulla applicabilità);
dichiarazione di impegno a fornire assistenza, per quanto di propria competenza, al titolare nel garantire il rispetto degli obblighi di cui agli articoli dal 32 al 36 del Regolamento UE 679/2016.

Questo ultimo punto generalmente spaventa le aziende informatiche ma fornire assistenza non vuol dire sostituirsi al titolare nei suoi obblighi relativi alla sicurezza (ad esempio a svolgere una valutazione di impatto) ma fornirgli corrette informazioni che gli consentano di svolgerli correttamente.

A questo proposito l’azienda informatica potrebbe sfruttare l’impegno assunto per segnalare per iscritto al committente sue eventuali debolezze o criticità relative alla sicurezza.

Penetration test e remediation e servizi FluxusIT di hacking etico

Un test di penetrazione è una simulazione di attacco del mondo reale condotta contro una società o organizzazione, ed è il nostro servizio di prima classe.
Siamo fermamente convinti che una simulazione completa di attacco rappresenti il modo migliore per identificare i difetti in una infrastruttura aziendale, sia dal punto tecnologico sia di utilizzo umano.

Perché:

L’obiettivo di un test di penetrazione è identificare debolezze e dimostrare l’impatto che un attacco informatico può avere su una azienda in modo non distruttivo e allo stesso tempo sarà nostra cura il testare la capacità dell’organizzazione per rilevare e reagire ad un potenziale avversario che sta cercando di prendere il controllo della infrastruttura di rete.

Come funziona:

Si ottiene l’efficacia migliore quando l’attività è condotta in un ambiente black box (scatola nera), il che significa che l’ethical hacker conosce molto poco o addirittura nulla del cliente (la vittima) e delle infrastrutture. Generalmente solo la gestione è consapevole del fatto che un test di penetrazione è in corso, in modo che sia la rete chee le risorse umane (personale IT es.) possano essere messi in prova in modo realistico.

Prima dell’inizio della prova di penetrazione, è necessaria una fase di pre-impegno (manleva) per determinare la portata dell’analisi, e una volta che tutto è definito, l’attività può iniziare. Durante il test di penetrazione, il nostro team simula il comportamento di un potenziale aggressore e farà del suo meglio per irrompere nell’infrastruttura aziendale. Saranno adottate tecniche di hacking sofisticate, tra cui:

• Identificazione e valorizzazione di elementi sconosciuti, vulnerabilità nelle applicazioni
• ingegneria sociale e campagne di spear phishing
• movimenti laterali e dei privilegi per dimostrare a che tipo di informazioni si può accedere e danneggiare digitalmente

Ciò che viene consegnato alla fine del penetration test:

Alla fine dell’operazione, un rapporto completo verrà redatto e consegnato al cliente. Il rapporto includerà:
• Una sintesi per la gestione e la comprensione dei rischi e l’esposizione dell’organizzazione ad intrusioni pirata • Una descrizione tecnica dettagliata di ogni passo e l’attività svolta dal nostro team.
• Ogni dettaglio di vulnerabilità scoperte, tra cui la prova di lavoro del concetto di codice exploit.
• le linee guida di bonifica.

Analisi Web Application

Perché:

Alcune vulnerabilità in un sito web o un’applicazione web, oggi, rappresentano un rischio concreto per una società sia in termini di immagine o di reddito effettivo. Fornire servizi attraverso una applicazione web imperfetta può mettere a rischio i dati personali dei clienti, e può causare un danno per l’organizzazione se una violazione accade; allo stesso tempo, se un e-commerce viene compromesso, i clienti potrebbero non essere in grado di acquistare prodotti o, peggio ancora, possono accadere frodi.
Un’analisi può aiutare a prevenire abusi di un servizio on-line e allo stesso tempo può permettere di mantenere al sicuro le informazioni dell’azienda e dei clienti.

Come funziona:

Un’analisi Web Application può essere condotta su un’applicazione in esecuzione in un ambiente di produzione, ma fornisce i risultati migliori se è introdotto nel ciclo di vita di sviluppo delle applicazioni.
Il tipo di analisi può essere
• scatola nera: una simulazione di attacco contro un’applicazione web sconosciuta
• scatola grigia: un accesso privilegiato, con limitate capacità, prevista per la sicurezza etica per il test.

Metodologie di test specifici per applicazioni web sono impiegati per questo tipo di valutazione, volta ad individuare:
• iniezioni SQL
• iniezioni di codice
• vulnerabilità di cross site scripting (XSS)
• escalation di privilegi orizzontale e verticale
• difetti logici del codice

Ciò che viene consegnato:

Alla fine dell’impegno, una relazione completa sarà redatta e consegnata al cliente. Il rapporto includerà
• Una sintesi per la gestione
• Ogni dettaglio di vulnerabilità scoperte, tra cui la prova di lavoro del concetto di codice exploit.
• le linee guida di bonifica.

Revisione del codice

Questo è un servizio di casella bianca specificamente volto a individuare punti deboli nelle applicazioni personalizzate. Il vantaggio di un approccio scatola bianca è identificare vulnerabilità estremamente difficili da individuare altrimenti, ma può rappresentare un grave rischio se accidentalmente scoperto da un potenziale avversario.
Questo servizio è disponibile per applicazioni scritte in vari linguaggi, e rappresenta la perfetta aggiunta ad un’analisi delle applicazioni web, includendo un approccio scatola bianca.

Come funziona:

Per questo tipo di impegno etico di sicurezza deve essere fornita l’applicazione (web o binario) e codice sorgente; verrà fornita tutta la documentazione necessaria per il cliente, tra cui accordi di non divulgazione.

Il processo ruota attorno analisi astatica del codice per identificare i difetti di codici che possono rappresentare un rischio per la sicurezza, questo include (ma non si limita a):
• vulnerabilità di buffer overflow
• stringa di formato
• più complesse vulnerabilità di corruzione della memoria (dopo un uso libero, ecc)
• carenze nella logica del codice che può portare a una escalation di privilegi o di accesso non autorizzato a determinate aree di applicazione. Se l’analisi ruota attorno a un bug del codice sorgente di applicazioni web come SQL Injections
• Iniezioni di codice e vulnerabilità di Cross Site Scripting (XSS)

Ciò che viene consegnato:

Alla fine dell’impegno, una relazione completa sarà redatta e consegnata al cliente. Il rapporto includerà
• Una sintesi per la gestione
• Ogni dettaglio di vulnerabilità scoperta con snippets codice.
• le linee guida di bonifica.

Valutazione di vulnerabilità

Una valutazione della vulnerabilità è un servizio volto a garantire una sicura rete interna dell’organizzazione, identificando le debolezze derivanti dalla presenza di vulnerabilità ben note.

Anche i migliori amministratori di sistema IT oggi vivono un momento davvero difficile nel tenere il passo con il numero sempre crescente di difetti che vengono scoperti ogni giorno, nella mancanza di aggiornamenti del sistema operativo, nella carenza di una corretta gestione delle patch e con la presenza di applicazioni client obsolete, che possono rendere le infrastrutture di una rete facilmente compromettibile anche da parte di aggressori non qualificati.

L’esecuzione periodica di una valutazione della vulnerabilità contro la rete interna può contribuire a ridurre il rischio, fornendo al personale IT le informazioni di cui hanno bisogno per gestire al meglio i loro sistemi.

Come funziona:

Una valutazione della vulnerabilità non è un test di penetrazione, e quindi l’attività sarà condotta in un ambiente scatola bianca. Con l’installazione di una sonda per ogni segmento di rete che il cliente vuole analizzare, si indagheranno le debolezze utilizzando strumenti specializzati per identificare le vulnerabilità ben note a dispositivi di rete, server e workstation client.

Se vengono fornite credenziali con privilegi sufficienti, la valutazione sul lato client è condotto anche sui vari sistemi per verificare la presenza di livello di patch e software obsoleti, che possono rappresentare un rischio di compromissione se sfruttate con successo.

Ciò che viene consegnato:

Questo tipo di test è particolarmente indicato per la verifica della conformità. Alla fine del impegno, una relazione completa sarà redatto e consegnato al cliente.

Il rapporto includerà:
• Una sintesi per la gestione
• Ogni dettaglio vulnerabilità scoperta mappati contro CVE e CVSS punteggi standard per la conformità di gestione del rischio.
• le linee guida di bonifica.

Dal momento che nel corso della valutazione non saranno sfruttate le vulnerabilità, una demo di uno sfruttamento di successo viene eseguita come esempio allo scopo di mostrare l’impatto che una debolezza critica può comportare sulla sicurezza dell’organizzazione.

Prodotti e servizi di rete Honeypot difensive

Honeypot sono sistemi destinati per simulare l’appetibilità di una rete aziendale esponendo servizi vulnerabili falsi che sono attraenti per un potenziale aggressore.

L’installazione di honeypot di rete in segmenti strategici rappresenta un modo sicuro per identificare un comportamento ostile da attaccanti che hanno già ottenuto l’accesso alla rete interna e che stanno cercando di svolgere attività di movimento laterale o sono alla ricerca di sistemi di destinazione specifici.

Come opposto a un sistema di rivelazione di intrusione tradizionale, che provoca generalmente molti allarmi che sono in realtà falsi positivi, gli honeypot sono molto più affidabili in termini di rilevazione, e rappresentano un modo efficace per prevenire attacchi che sotto copertura potrebbero non essere rilevati per un lungo periodo di tempo.

Ogni sonda honeypot può essere configurata per emulare i seguenti servizi ed è personalizzata in modo da sembrare unica, per evitare possibilità di essere rilevata da strumenti di attacco automatizzati:
• Azioni di rete SMB / CIFS
• Servizi SSH
• Servizi Telnet
• Siti web statici

Tracking System Document

Il sistema di tracciamento dei documenti (D.T.S), applica i concetti di honeypot di rete tradizionali per i documenti di Office, consentendo all’azienda di monitorare la loro apertura e la conseguente rilevazione di dati estrapolati.

Il modo in cui il D.T.S. opera è unica, e va ben oltre il concetto honeypot; è infatti possibile utilizzare questo strumento in molteplici scenari, come le indagini interne per rilevare sleali addetti ai lavori, o tenere traccia di documenti riservati che non sono destinati a lasciare la rete aziendale.