Audit di sicurezza web

Audit di sicurezza web

Identificazione delle debolezze di applicazioni web che possono arrivare a mettere a rischio le tue informazioni, l’immagine aziendale e l’infrastruttura. Il nostro ufficio di auditing web di sicurezza analizza ogni variabile potenzialmente pericolosa.

Contatto
Obiettivi dell'audit di sicurezza web

Obiettivi dell'audit di sicurezza web

All'interno dell'insieme degli attivi che formano parte dell'infrastruttura tecnologica di un'azienda, le applicazioni web continuano a essere uno dei principali punti di entrata per attaccanti il cui obiettivo è compromettere la sicurezza dell'organizzazione o danneggiarne la reputazione.

Le applicazioni web con la loro evidente esposizione, sia ad agenti esterni che interni, le trasforma in obiettivi costantemente minacciati da tecniche classiche e numerose tecniche nuove in costante evoluzione. Implementare audit di sicurezza periodici è di massima priorità per contenere queste minacce.

Benefici dell'audit di sicurezza web

I vantaggi offerti dai nostri audit di sicurezza web includono:

  • Identificazione di vulnerabilità collegate alla configurazione e infrastruttura dei server web.

  • Identificazione di vulnerabilità delle applicazioni, verificando qualsiasi tipo di iniezione e tecnica avanzata sui suoi punti d'entrata.

  • Prove di sicurezza specifiche adattate a multipli tipi di avvisi web e tecnologie, siano essi web aziendali, eCommerce, Api, portali di gestione, PSD2, CMS, CRM, ecc.

  • Identificazione di vulnerabilità collegate al possibile uso di software e framework con debolezze.

  • Identificazione di vulnerabilità collegate alla logica dell'applicazione che non possono essere identificate mediante strumenti automatici.

Benefici dell'audit di sicurezza web

Descrizione generale

Nei nostri uffici di auditing di sicurezza, siamo capaci di aumentare al massimo il rilevamento di minacce reali che possano mettere a rischio la sicurezza delle informazioni gestite dall'applicazione web e della sua infrastruttura. Per questa ragione, applichiamo un'estesa ed esauriente batteria di prove che comprende sia metodologie riconosciute e aperte (OWASP), così come prove specialmente disegnate in modo creativo dal nostro staff di esperti. In tal modo, le analisi realizzate consentono di identificare in modo integrale le debolezze collegate all'infrastruttura dei server, con possibili debolezze collegate a una programmazione inadeguata, con la sua logica di attività specifica e incluso con l'assenza di buone pratiche di sicurezza per una maggiore difesa in profondità.

Metodologia OWASP

Come parte dell'insieme di prove di sicurezza web, Tarlogic fa uso di metodologie contrastate a livello internazionale come OWASP (Open Web Application Security Project). OWASP applica una metodologia aperta e collaborativa, aggiornata periodicamente e utilizzata come referente negli auditing di sicurezza di applicazioni web. In Tarlogic usiamo la metodologia OWASP in tutti i nostri lavori di auditing di sicurezza web per analizzare e valutare i rischi mediante più di 90 controlli specifici.

Prove specifiche

Il nostro staff di esperti dedica uno sforzo considerevole alla comprensione della logica di attività delle applicazioni web analizzate. Ciò ci consente di disegnare prove specifiche che contemplano i possibili flussi delle informazioni gestite tra diverse funzionalità web collegate tra di loro, e identificare vulnerabilità che sarebbero impossibili da rilevare mediante strumenti automatici.

Allo stesso modo, realizziamo prove collegate alle ultime tecniche e tendenze nell'ambito della sicurezza web e, in particolare, con l'architettura specifica dell'applicazione analizzata.

Domande frequenti sull'auditing della sicurezza web

Cos’è un audit di sicurezza web?

Gli audit di sicurezza Web consistono nell’identificazione di vulnerabilità di applicazioni Web, come ad esempio siti Web statici, piattaforme aziendali, intranet, e-commerce, API o altre applicazioni Web. In questi audit si possono includere anche server e sistemi che supportano le applicazioni, il middleware o il backend.

Gli esercizi di audit si basano su metodologie di analisi della sicurezza riconosciute e utilizzate a livello internazionale, come quelle definite nei diversi progetti guidati da OWASP, o su controlli/requisiti definiti specificamente per l’applicazione. Il risultato è una valutazione della conformità alle misure di sicurezza richieste, e in conseguenza se sono necessarie migliorie per risolvere vulnerabilità e problemi che potrebbero avere un impatto sulla sicurezza.

Durante gli audit si eseguono anche scansioni automatiche della applicazione, per identificare tutte le risorse accessibili e assicurare che vengano controllate, e si analizza il loro comportamento alla introduzione di dati anomali.

Tutti i test di sicurezza possono essere eseguiti sia in modo anonimo, fingendosi un utente esterno all’organizzazione, sia in maniera autenticata utilizzando uno o più utenti dell’applicazione.

Il risultato di un audit di sicurezza web è l’elenco delle vulnerabilità tecniche che rappresentano una minaccia per l’applicazione, l’elenco dei controlli di sicurezza verificati e se sono stati superati, nonché raccomandazioni dettagliate per migliorare lo stato di sicurezza della applicazione.

Quanto costa un audit di sicurezza web?

Per definire il costo di un audit di sicurezza web, è necessario analizzare la complessità dell’applicazione che dipende fondamentalmente da tre variabili:

  • Numero di funzionalità esposte dall’applicazione.
  • Complessità e dimensioni dell’applicazione (sito transazionale, numero di profili di utente, privilegi, etc.)
  • La metodologia da seguire nella revisione della sicurezza: Black box (senza alcuna informazione sull’applicazione o sugli utenti per simulare un attacco esterno), white box (con maggiori informazioni e con test autenticati con username e password) o mixed.
  • La metodologia da utilizzare (OWASP, WASC, ecc.), e la presenza di controlli di sicurezza specifici.

Per valutare l’impegno, l’ideale sarebbe poter accedere all’applicazione web in modo che i nostri esperti di sicurezza web possano stimare la quantità di lavoro necessaria per analizzare completamente l’applicazione.

Se ciò non fosse possibile, e a titolo indicativo, a seconda della complessità e della profondità del lavoro, la cifra potrebbe variare da 3.000 a 30.000 euro. Questi lavori sono anche influenzati dal fatto che si decida di effettuare un singolo lavoro di revisione, la verifica delle correzioni o che si voglia contrattare un servizio ricorrente di ampio respiro.

Possiamo consigliarvi per scegliere l’approccio migliore per il lavoro e per garantire la sicurezza della domanda.

Cosa si cerca durante un audit web?

L’obiettivo durante un audit di sicurezza è identificare problemi di configurazione, di sviluppo o nella logica dell’applicazione che possano consentire, ad esempio, l’accesso non autorizzato alle informazioni gestite attraverso la applicazione, o l’esecuzione di azioni non consentite per un determinato profilo di utente. Potrebbero anche identificarsi problemi più gravi come l’impersonare un altro utente o assumere il controllo del server o del database dell’applicazione.