Parole d'ordine: Prevenzione e Resilienza
La periodica valutazione delle vulnerabilità tramite test di intrusione ed attacco “brute force” dei sistemi, sono parte delle attività per valutare e gestire la RESILIENZA aziendale alle minacce informatiche.
La PREVENZIONE, unitamente ad una vision e gestione strutturata della sicurezza e della formazione del personale, è la vera difesa per proteggere e mitigare i Cyber Risk dell’azienda, che nel caso malaugurato di compromissione potrebbero causare ingenti perdite economiche, di produttività e di immagine, oltre alle responsabilità civili e penali.
Analisi Dark Web
Il Dark Web è quell’area di Internet accessibile solo tramite browser specifici, che utilizzano tecnologie di cifratura del traffico, quali ad esempio Tor o I2P, e si differenzia dal Deep Web che è invece la porzione di Internet non indicizzata dai motori di ricerca tradizionali, ma navigabile utilizzando browser standard.
I tool di Dark Web Monitoring permettono di effettuare una scansione del Dark Web alla ricerca di informazioni riferibili all’azienda , tra le quali potrebbero esserci dati personali rubati durante un data breach presso società terze, come ad esempio credenziali, numeri di carte di credito, indirizzi mail, numeri di telefono, ecc).
Penetration Test
Accanto al Vulnerability Assessment, gioca un ruolo chiave il cosiddetto Penetration Testing. Con questa espressione si intende il meccanismo mediante cui un dato sistema viene messo alla prova e “sfruttato” da un auditor o da un penetration tester al fine di rilevare la presenza di eventuali falle e vulnerabilità al suo interno. Si tratta di un processo di fondamentale importanza per quelle aziende che vogliono testare i possibili punti deboli della propria infrastruttura, e conoscerne il grado di possibile compromissione.
Proprio come nel caso del Vulnerability Assessment, il penetration test – chiamato anche ethical hack o white hat attack – può essere condotto sia in modo automatico sia manualmente: in entrambi i casi il processo è preceduto da un’operazione di raccolta dati e informazioni relativa all’azienda bersaglio.