Penetration Testing Service
Security Brigade Logo
Services | Products | Compliance | Training | Home | Clients | Contact Us
Menu
Servizi
Prodotti
Corsi
Compliance
Whitepapers
Case-Studies
News
Media
Contattaci

Clients / Partners

Search
Penetration Testing Service               Request a Call Request a Brochure

Overview

Security Brigade Penetration Testing service è un primo passo insostituibile per la scoperta delle vulnerabilità che affliggono la rete, i server e le applicazioni della tua azienda.

Benefici:

  • Analisi approfondita della sicurezza interna ed esterna di una organizzazione
  • Definizione immediata dei problemi di sicurezza
  • Compliance con leggi e direttive che richiedono audit di sicurezza
  • Lista dettagliata degli step da seguire per risolvere e controllare le vulnerabilità riscontrate
  • Riduzione del rischio di danni accidentali e intenzionali agli asset IT dell'organizzazione
  • Awareness delle responsabilità aziendali in termini di sicurezza
  • Analisi tecnica tramite la simulazione di attacchi, report di facile lettura e monitoraggio dei risultati raggiunti
  • Esperienza di altissimo livello , nell'analisi della sicurezza, supporto tecnico e consulenza dal team di ricerca di Security Brigade
  • Metodi proprietari e processi innovativi
  • Acquisisizione o mantenimento di certificazioni per le direttive nel settore (BS7799, HIPAA, OSSTMM, OWASP).

Features

Gli esperti di Security Brigade verificano lo stato attuale della sicurezza dell'organizzazione, quantificandone il livello di rischio reale conducendo dimostrazioni di attacchi ostili tipicamente portati avanti da hacker esperti. Il nostro team di ricerca ci permette di stare un passo avanti agli hacker e conoscere le più recenti minacce ai sistemi informatici del cliente.

A completamento del test , l'organizzazione riceve una dettagliata roadmap che dà la priorità alla risoluzione delle vulnerabilità più gravi secondo l'analisi dei rischi eseguita dai nostri consulenti

Key Features

  • Dimostrazioni real-time delle attività tipiche di un attacco informatico, che misurano il livello di rischio delle minacce che possono compromettere la sicurezza e quindi il vero business core dell'azienda
  • Servizio di elevata qualità da professionisti della sicurezza, attraverso approccio manuale e automatizzato
  • Combinazione di tool poprietari e dei migliori strumenti del settore
  • Linee guide ufficiali e utilizzo di framework stato dell'arte per il settore: OSSTMM, OWASP, NSA e TTNSAC
  • Report dettagliato che mette in risalto in problemi riscontrati e fornisce le soluzioni da implementare con un approccio step by step
  • Approccio votato all'azione . L'obiettivo è la vostra sicurezza, non fornirvi un semplice report
  • Ricerca e sviluppo ci permettono di assicurare al cliente protezione dall'evoluzione delle minacce prima che queste possano diventare reali
  • Personalizzazzione delle soluzioni a seconda dei bisogni del cliente

Benefits

L'attività di penetration test aiuta a:

  • Prevenire perdite finanziare attraverso frodi(hackers e minacce interne) o perdite di guadagno dovute a interruzioni nei servizi di core business
  • Fornire gli strumenti per la compliance alle direttive in materia di protezione dei dati e sicurezza dei pagamenti
    La Non-compliance causa perdite monetarie, pesanti sanzioni, danni di immagine o fallimento. A livello personale può significare perdita del posto di lavoro e cause legali
  • Proteggere il proprio marchio evitando la perdita della fiducia del cliente o di reputazione da parte del mercato
  • Quantificare il rischio di danni ai sistemi e perdita del segreto industriale

 

Technical Information

Security Brigade provides penetration testing services that scope and test your network using sophisticated testing software and methodology - A blend of best practice and proprietary process. This includes manual testing techniques, automated tools to discover vulnerabilities and the use of any existing compromised systems to gain further access in the network.

Corporate networks consist of many different components however some of the more common components can be seen in the network map below.

Corporate Network Map

Types of Penetration Tests

Due to the large number of varied components in an average corporate network, penetration testing needs to be carried out in a few different ways. Three such methods that are commonly used are, Light perimeter testing (External testing from a remote location), Full perimeter testing (External testing from within the DMZ) and Internal testing (On-site testing).

Light perimeter testing

It is also known as external testing from a remote location, in which the tester has no knowledge of the internal infrastructure to be tested and starts the tests with the lowest level of access to the application / servers.

The light perimeter penetration test is a full scope attack against client computing resources available via the internet. This includes systems such as web servers, mail servers, routers, firewalls, and other network assets. External penetration tests utilize multiple phases during the attack to determine the variety of information. The goal of the test is conclusive identification of those vulnerabilities that could allow an attacker to gain unauthorized access to components within the client’s network. These vulnerabilities are then used as a toe hold to further compromise the network and gain as much access to the client’s network as possible.

Full perimeter testing

It is also known as external testing from inside the DMZ with accessible internal systems in which the tester has no knowledge of the internal infrastructure to be tested and starts the tests with the lowest level of access to the application / servers.

The full perimeter penetration test is a full scope attack against client computing resources available via the internet and intranet. This includes systems such as web servers, mail servers, routers, firewalls, and other network assets. Full perimeter penetration tests utilize multiple phases during the attack to determine the variety of information. The goal of the test is conclusive identification of those vulnerabilities that could allow an attacker with internal access to escalate privileges and gain access to components requiring higher authority within the client’s network.

Internal testing

It is also known as On-site testing in which the tester has complete knowledge of the infrastructure to be tested. The tester also has physical access within the network to test the internal components of the network over the intranet.

Internal or on-site penetration testing is a fixed duration attack against client computing resources. The test examines those networks and computing assets that are accessible only from the inside of the organisation and may include various routers, firewalls, network devices, servers and workstations. The goal of the test is to use the internal access to the network to escalate privileges within the network.

Our Testing Process

Scoping
Il processo di scoping definisce i sistemi target presi in considerazione durante il penetration test. Questo processo è volto a definire i confini e gli obiettivi del servizio. La definizione dei sistemi target è di importanza cruciale per motivi legali e finanziari.

Target Discovery
Security Brigade compierà una ricognizione approfondita attraverso: motori di ricerca, DNS records, WHOIS database, tools di scansione e altre torisorse proprietare al fine di ottnere più informazioni possible circa i target oggetto del penetration test. Lo scopo di tale processo è di provare ad identificare sistemi interni, firewall, mail server, voip servers e altri possibili entry point . Tecniche di social engineering, se nello scopo dell'investigazione, saranno impiegate nel tentativo di indurre i dipendenti dell'organizzazione a fornire informazioni utili all'attacco.

Enumeration
Una volta determinati i domini, le reti e i sistemi attraverso gli step precedenti, il team di penetration testing cercherà di ottenere quante più informazioni possibile circa le varie componenti tecnologiche dell'organizzazione. Il processo di enumeration comprende metodi di discovery invasivi e non su ognuno dei sistemi scoperti con l'intento di ottenere username, versione delle applicazioni e daemon di rete utilizzati.

Social Engineering
Il “firewall umano”, diventa a volte l'anello debole della catena anche nelle reti più sicure. Il Social engineering testa la componente umana cercando di ottenere accesso agli asset dell'organizzazione attraverso il personale su mezzi di comunicazione quali il telefono, l'email, la chat e il supporto tecnico.


Vulnerability Mapping
Questo processo ha l'intento di mappare il profilo dell'apparato tecnologico dell'organizzazione con vulnerabilità note e non. Il team di ricerca di Security Brigade è costantemente impegnato alla scoperta di nuove vulnerabilità e alla catalogazione di quelle esistenti a beneficio dei nostri clienti.
Il processo di mapping permette al team di penetration testing di stilare una lista delle vulnerabilità che possono affliggere l'ecosistema tecnologico del cliente. Questa fase permette la creazione di una genda per il processo di exploiting successivo

Exploitation
La fase di expliting inizia subito dopo il mapping delle vulnerabilitò.Il penetration tester cercherà di ottenere accessi privilegiato sui sistemi target utilizzando gli exploit relativi all'agenda delle vulnerabilità. Il punto chiave di questa fase è il test manuale da parte di personale esperto.

Privileged State
Una volta completata la fase di exploitation , il nostro team utilizzerà i privilegi ottenuti al passo precedente come punto di inizio per una nuova fase di Target discovery, Enumeration, Social engineering, Vulnerability mapping ed exploitation. L'accesso privilegiato raggiunto al passo precedente permette all'attaccante di ottenere un accesso alla rete che non era possibile ottenere dall'esterno. Tale step è ripetuto ciclicamente finchè i ltester non raggiunge un punto in cui un ulteriore escalation non è possbile.

Report
Security Brigade works with you to develop a report that will provide a clear and prioritized matrix of actions, work efforts and findings. A preliminary draft report will be provided to the technical point of contact for the purpose of review and clarification followed by a final report at the end of testing. The report will include the following

  • Executive Summary (Free of jargon, with topics of executive interest)
  • Methodologies, scope and summary of evaluations
  • Research: Websites, documents, IRC, USENET etc
  • Priority, including remediation priorities and risk
  • Estimates of work required for remediation
  • Findings and recommendations sufficient for risk management and remediation planning

Along with the report Security Brigade will provide support for a year after the test to help the internal development team understand, fix and re-check the issues in the report.

Compliance

Il servizio di Penetration testing di Security Brigade aiuta l'organizzazione a raggiungere i requisiti e le linee guida richiesti da molti standard per la sicurezza dei dati e della gestione delle carte di credito . Il nostro team ha esperienze nei seguenti settori:

  • PCI
    Payment Card Industry (PCI) sulla sicurezza dei dati sono stati stabili nel dicembre 2004, e si applicano a tutti i membri, commercianti online, e fornitori di servizi che conservano, processano o trasmettono dati relativi a possessori di carte di credito. Dal Settembre 2007 è obbligatorio, per i soggetti sopracitati possedere la certificazione di compatibilità allo standard PCI pena la cancellazione dell'account e attuazione di pesanti sanzioni pecuniarie.
    Per ottenere la certificazione di compatibilità PCI è necessario, tra le altre cose, effettuare test sulla sicurezza delle reti e dei siti web

  • OWASP
    L' Open Web Application Security Project (OWASP) è una comunità open source per lo sviluppo di software e la diffusione della cultura sulla sicurezza delle applicazioni web. Fornisce linee guida e best practice per la gestione e la sicurezza delle informazioni scambiate tra utente e sito web

  • ISACA
    ISACA è diventata l'organizzazione globale leader dei professionisti che operano nel campo della sicurezza, del controllo, della revisione e della gestione delle informazioni. I suoi standard di revisione e controllo SI sono osservati dagli operatori del settore di tutto il mondo

  • OSSTMM
    Lo scopo del Open Source Security Testing Methodology Manual (OSSTMM) è di stabilire gli standard per i test di sicurezza. Fornisce le linee guide per i test che, se seguiti meticolosamente, assicurano l'elevata qualità del penetration test. Questo approccio permette al cliente di essere sicuro del livello qualitativo dell'assessment indipendentemente dal fornitore del servizio di penetration test.

  • BS7799
    Oggi, le organizzazioni si trovano di fronte a una vasta gamma di minacce alla sicurezza, da guasti a errori umani, le frodi, atti di vandalismo, furti, atti di sabotaggio, le inondazioni, gli incendi, e perfino il terrorismo in molti paesi, è che modo l'informazione deve essere protetta. BS7799 suggerisce di concentrare la vostra attenzione su tre punti principali per garantire la sicurezza delle informazioni, che sono l'integrità, la riservatezza e la disponibilità


                   
              
Copyright 2008 Security Brigade