Servizi di Penetration Testing

L’esecuzione di penetration test indipendenti è l’arma migliore per valutare l’efficacia della vostra difesa dagli attacchi informatici. Gli esperti certificati CREST di Kroll conoscono a fondo il panorama del rischio cyber, comprese le tattiche, le tecniche e le procedure (TTP) più diffuse tra gli attaccanti per ottenere accesso agli asset digitali.

Utilizzando tecniche reali di hacking, siamo in grado di simulare attacchi contro la vostra organizzazione per individuarne le vulnerabilità. I bersagli più comuni sono il perimetro Internet, l’infrastruttura delle reti interne ed esterne, i siti web, i database, le applicazioni e perfino i vostri dipendenti.

Non date mai per scontato che una falla sia troppo piccola per essere notata o per essere sfruttata. Se eseguendo un pentest sulla vostra rete trovate 97 elementi che lo superano e solo tre oggetti misteriosi che risultano a rischio, non significa che questi non abbiano importanza.

Rob Joyce,

Head of Tailored Access Operations della National Security Agency

Il nostro approccio in cinque fasi incorpora due potenti fonti di analisi: l’esperienza in prima linea del nostro team globale di investigatori e le minacce in tempo reale scovate grazie a tecnologie sofisticate, tra cui i nostri strumenti brevettati per investigare il dark web. Per le organizzazioni più mature sul piano della cyber security, possiamo inoltre eseguire esercizi di red teaming (da svolgere una tantum o periodicamente) focalizzati su obiettivi specifici e su scenari proposti dal nostro team.

Al termine dell’attività di penetration testing, forniamo evidenze concrete delle vulnerabilità individuate e raccomandiamo le possibili contromisure per ridurre il rischio.

Penetration testing di Kroll: un approccio in cinque fasi

• Avvio del progetto
  I nostri esperti collaborano con il vostro team per definire i traguardi e gli obiettivi, con particolare enfasi sugli asset di alto valore.
• Raccolta di informazioni e intelligence
  Utilizzando tecniche di reconnaissance, raccogliamo e analizziamo informazioni di dominio pubblico sulla vostra azienda e i vostri dipendenti per individuare eventuali vettori di attacco. Questa analisi di dettaglio prevede l’esame di siti Internet pubblici, social media, registri di domini Internet e dei dati presenti sul Dark Web.
• Esercizio di threat modeling
  Gli esperti Kroll analizzano le informazioni acquisite attraverso la reconnaissance, individuano i potenziali vettori di attacco ed elaborano un piano d’attacco per effettuare il test.
• Esecuzione dell’attacco
  Durante il test, proviamo a introdurci nell’ambiente della vostra organizzazione con i metodi solitamente usati dai veri attaccanti. L’attacco mira a colpire l’infrastruttura IT, i siti Internet, le applicazioni e i dipendenti della vostra azienda.
• Rapporto e consulenza
  Il nostro rapporto conclusivo riassume le azioni svolte durante i test, descrive nel dettaglio le eventuali vulnerabilità riscontrate e indica i correttivi per ridurre i rischi di violazione da parte di attaccanti reali.

Perché rivolgersi a Kroll

• Nominata Best Cyber Security Consultancy nella classifica del National Law Journal degli ultimi quattro anni. Kroll ha costruito un eccezionale team di professionisti di comprovata esperienza nei servizi di penetration testing.
• I membri più esperti del team lavorano da decenni nel campo della security e i nostri pluripremiati tester sono certificati secondo alcuni dei più rigorosi standard mondiali di settore, quali CHECK, CREST (CCT/CRT) e SANS (GIAC).
• I nostri tester provengono da diversi percorsi nell’ambito IT, dello sviluppo di applicazioni e delle investigazioni. Grazie a questo bagaglio di esperienza, sono in grado di prevenire minacce informatiche nuove ed emergenti che incombono sui nostri clienti di qualsiasi settore o area geografica.

Aree di intervento

• Network Penetration Testing – esterne e interne
• Application Penetration Testing – esterne e interne
• Web Application Penetration Testing
• Penetration Testing dei dispositivi IoT
• Esposizione al rischio Dark Web
• Esercizi di Social Engineering
• Esercizi di Red/Blue Teaming
• Due Diligence Assessment 

Un esempio reale

Gap Analysis ISO27001 e pentest - Società di servizi professionali
Una società internazionale che fornisce servizi professionali ci ha richiesto una valutazione preliminare per prepararsi all’iter di certificazione ISO27001. L’assessment ISO27001 di Kroll ha incluso un vulnerability assessment - interno ed esterno - e un penetration test. Kroll ha infine sottoposto al cliente un report di dettaglio che descriveva il livello di maturità dell’azienda rapportato ai controlli ISO27001 e conteneva inoltre raccomandazioni per le azioni correttive.

Per verificare la bontà delle vostre attuali misure di sicurezza e capire dove concentrare le risorse in futuro, contattate il nostro team di tester.

Accreditamenti
Kroll è fornitore globale di servizi di penetration testing accreditato da CREST.