Vulnerability Assessment - Tesla Consulting

Contents

1 Definizione
2 Metodologia
3 Report
- 3.1 Executive Summary
- 3.2 Techical Summary

Definizione

Con Vulnerability Assessment (VA) si fa riferimento all’analisi di sicurezza finalizzata ad individuare tutte le potenziali vulnerabilità dei sistemi e delle applicazioni di una rete, eseguendo una identificazione e valutazione dei potenziali danni che l’attaccante potrebbe infliggere all’attività produttiva.

L’attività di Vulnerability Assessment (VA) può essere eseguita sia dall’interno che dall’esterno della rete aziendale permettendo di simulare differenti scenari che potrebbero verificarsi all’interno di una società.

Metodologia

Il Vulnerability Assessment (VA) viene eseguito secondo le metodologie OSSTMM (Open Source Security Testing Methodology Manual), con la possibilità di eseguire l’attività progettando tutti i controlli in base alla natura dei sistemi che compongono la rete aziendale, il tutto previa comunicazione da parte del cliente dei sistemi in uso.

E’ anche possibile eseguire l’individuazione delle vulnerabilità nella formula a scatola chiusa ossia senza che il Cliente comunichi alcuna informazione sui sistemi e servizi in uso all’azienda.

L’applicazione delle metodologie OSSTMM tra le altre cose consente di effettuare analisi che in regola con le attuali leggi vigenti; permettono di ridurre il numero di falsi positivi e negativi e permette di strutturare l’analisi della sicurezza in modo che i test siano ripetibili e misurabili. L’osservanza di questa metodologia consente di effettuare valutazioni che consentono di porre rimedio alle eventuali vulnerabilità nel minor tempo possibile.

Report

Al termine dell’attività di Vulnerability Assessment (VA) il cliente riceverà report strutturati secondo il modello Report STAR (Security Test Audit Report) che può essere sottoposto al processo di certificazione presso ISECOM.

I report che il cliente otterrà saranno i seguenti 2:

Executive Summary

E’ un report contenente indicazioni da divulgare al personale non tecnico che, espone in modo comprensibile i risultati dell’attività svolta.

Techical Summary

E’ un report da divulgare al personale tecnico (IT), che espone le criticità individuate e fornisce sia i dettagli tecnici della vulnerabilità sia le eventuali remediation per la correzione delle stesse.