Pentesting dell'infrastruttura

I sistemi IT esterni, visibili su Internet, vengono attaccati quotidianamente. Pertanto, è spesso necessario testare questi sistemi periodicamente o quando vengono applicate modifiche significative. Di solito, le scansioni delle vulnerabilità sono la base di tali assessment, mentre la verifica manuale di tutti i risultati e le valutazioni del rischio vengono eseguite. Tuttavia, è altrettanto possibile eseguire tali assessment sulle reti interne e anche su parti molto specifiche dell'infrastruttura (come l'infrastruttura e-mail o l'infrastruttura VPN).

Bureau Veritas Cybersecurity utilizza scanner automatizzati come 'nmap' e Nessus per identificare gli host e i servizi attivi all'interno di un determinato ambito. Verranno poi eseguiti strumenti specializzati per identificare i servizi (un processo chiamato 'fingerprinting'), come ad esempio i server FTP, i server SSH, i server SIP o i server di database. Dopo il 'fingerprinting', verranno utilizzati degli scanner di vulnerabilità specifici per il servizio identificato. I risultati di questi scanner saranno convalidati e i 'falsi positivi' saranno eliminati, in modo che i nostri rapporti siano accurati. Se e quando è pertinente, utilizzeremo le tecniche di fuzzing per identificare le vulnerabilità che potrebbero portare ad un accesso non autorizzato.

Se identifichiamo dei server web, li analizzeremo anche con scanner di vulnerabilità specifici per le applicazioni web. Se il tempo lo consente, testeremo anche le parti accessibili al pubblico delle applicazioni web per individuare eventuali problemi di sicurezza.

Nel caso in cui trovassimo delle vulnerabilità per le quali sono disponibili degli exploit, Bureau Veritas Cybersecurity può applicarli ai sistemi target per verificare l'esistenza della vulnerabilità, se concordato in precedenza. Per farlo, Bureau Veritas Cybersecurity utilizza sia strumenti che tecniche di penetration testing manuali. A seconda della situazione, questo può portare al controllo completo del sistema. Bureau Veritas Cybersecurity eseguirà questi attacchi solo dopo averne discusso con il cliente e quando entrambe le parti decideranno che i rischi sono accettabili. Bureau Veritas Cybersecurity segue le metodologie standard di pentest come PTES e OSSTMM per un assessment dell'infrastruttura.