Domande Frequenti

Introduzione

Speriamo che troverete risposte alle vostre domande nella seguente sezione delle domande frequenti (FAQ). Nel caso in cui non le troviate, vi preghiamo di contattarci senza esitare per qualsiasi altra richiesta o dubbio che possiate avere.

1. Cos’è il penetration testing?

Il penetration testing delle applicazioni web è un servizio di test di sicurezza che si concentra sull’individuazione di vulnerabilità e debolezze nei sistemi, come siti web, servizi web e reti. Il nostro team utilizza tecniche di test manuali approfondite, insieme a strumenti automatici, per valutare attentamente la sicurezza di tali sistemi e fornire rapporti dettagliati con risultati e raccomandazioni per la correzione.

2. Qual è la differenza tra i vostri servizi?

I nostri servizi, come Web Application Penetration Testing (WAPT) e API Testing, differiscono per gli aspetti che vengono testati. WAPT si concentra sulla scansione di un sito web specifico e di tutti i suoi componenti, mentre il testing delle API è focalizzato su un’API che lavora sul back end e potrebbe essere utilizzata non solo da un sito web, ma anche da applicazioni mobili e desktop, tra le altre. Nel caso del Penetration Testing della Rete Esterna, il campo di applicazione è definito e gli sforzi sono concentrati sull’acquisizione di accesso alla tua infrastruttura da remoto. Al contrario, il Red Teaming è un impegno continuo che potrebbe avere uno scopo vagamente definito, consentendo test continui durante un periodo di tempo prestabilito.

3. Come possiamo sapere di quale servizio abbiamo bisogno?

Non dovresti preoccuparti di questo, i nostri consulenti ti spiegheranno e ti proporranno il miglior piano d’azione e soluzioni personalizzate in base alle tue esigenze.

4. Quanto costano i vostri servizi?

Ti faremo pagare in base al tempo che impieghiamo per svolgere il lavoro. Il tempo dipenderà dal servizio e dal campo di applicazione fornito. Possiamo offrirti uno sconto per progetti di grandi dimensioni che si estendono nel tempo e per servizi ricorrenti. Nel caso in cui i nostri servizi debbano essere eseguiti al di fuori dell’orario di lavoro o nei fine settimana, sarà previsto un costo aggiuntivo.

5. I vostri test avranno un impatto sulle nostre operazioni?

Solitamente chiediamo ai nostri clienti di fornire un ambiente di test o di staging, in modo che nel caso in cui qualcosa vada male, non influisca sulle vostre operazioni. Nel caso in cui il test debba essere eseguito in produzione, definiremo i punti più critici da escludere o da testare durante le ore non lavorative e ti chiederemo di effettuare un backup dei tuoi dati. Tuttavia, è importante notare che nella maggior parte dei casi non si verificano problemi durante i test.

6. Quanto tempo ci vorrà per testare la mia applicazione?

Ciò dipende dalla quantità di risorse che dobbiamo testare. Di solito, la maggior parte dei test viene completata tra una e tre settimane. La reportistica viene consegnata alcuni giorni o una settimana dopo. Tuttavia, possiamo concordare con voi la fornitura degli aggiornamenti giornalieri.

7. Quali strumenti usate?

Il nostro set di strumenti è standard nel settore. Dato che la maggior parte del nostro carico di lavoro riguarda WAPT e API PT, utilizziamo principalmente BurpSuite Pro, con diverse estensioni, comprese le nostre. Altri strumenti utilizzati sono Nessus, nmap, sqlmap, nuclei e diversi strumenti sviluppati internamente.

8. Utilizzate qualche framework o metodologia?

Sì, basiamo principalmente il nostro lavoro sul framework OWASP. Alcuni dei nostri consulenti hanno esperienza di lavoro correlata alla conformità PCI per molti anni, quindi seguiamo alcune delle loro linee guida, anche se non effettuiamo la certificazione PCI. Tuttavia, in generale seguiamo la nostra metodologia che dipende dal lavoro che dobbiamo svolgere e si basa su molte fonti che sono riferimenti del settore e sull’esperienza precedente.

9. Il mio team effettua test di sicurezza, perché dovremmo contrattare voi?

È fantastico sentirlo, congratulazioni! Tuttavia, è una buona idea assumere qualcuno esterno che possa offrire un’opinione fresca e che non sia coinvolto nello sviluppo quotidiano del prodotto (conflitto di interessi). Avere una persona dedicata alla sicurezza può comportare costi elevati, quindi assumere qualcuno esterno che svolga questo lavoro quotidianamente può essere vantaggioso sia dal punto di vista tecnico che economico. Nel caso in cui non ne siate ancora convinti, potete contattarci per conoscere le nostre proposte low-cost.

10. La nostra azienda possiede segreti commerciali e dati di valore, e siamo preoccupati di come gestite le nostre informazioni e segreti.

Comprendiamo che molte aziende sono riluttanti a condividere l’accesso alle proprie piattaforme e a fornirci un account o profili diversi per i test. Di solito chiediamo di essere inseriti nella whitelist del vostro firewall/WAF, diversi account di profilo per i test, e ciò dovrebbe essere sufficiente. Possiamo discutere di come gestiamo le vostre informazioni e segreti. Utilizziamo i nostri server per i test e cifriamo tutti i nostri registri. Possiamo comunicare tramite GPG e siamo molto flessibili nell’adattarci alle vostre esigenze. Tuttavia, ciò dovrebbe lasciare spazio sufficiente affinché ci sentiamo a nostro agio nel testare i vostri asset.

11. Abbiamo bisogno di fare governance e policy, potreste aiutarci?

Abbiamo esperienza in questo campo durante le nostre carriere e siamo familiari con quel tipo di lavoro, ma al momento il nostro team è più concentrato sul versante tecnico. Tuttavia, chiedeteci e comunque possiamo suggerirvi alcuni colleghi affidabili.

12. Accettate pagamenti in criptovaluta?

Sì, accettiamo pagamenti in BTC e ETH. Parlateci per ulteriori informazioni.