OMNIA GROUP OMNIA BUSINESS SECURITY 2014 KEEP YOUR BUSINESS SAFE ITSECURITY

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "OMNIA GROUP OMNIA BUSINESS SECURITY 2014 KEEP YOUR BUSINESS SAFE ITSECURITY. contactus@omniagroup.it +39 055 53 83 250"

Transcript

1 OMNIA GROUP BUSINESS SECURIY 2014 KEEP YOUR BUSINESS SAFE ISECURIY OMNIA

2 I SECURIY OMNIA // SOLUZIONI AVANZAE PER LA SICUREZZA INFORMAICA est sulle vulnerabilità, prove di attacco informatico, messa in sicurezza del codice di software, applicazioni e piattaforme web. La nuova divisione Omnia Group per rendere sicuri tutti i tuoi sistemi aziendali. U n attacco di cyber-spionaggio per il furto di dati sensibili in un Azienda viene scoperto in media 458 giorni dopo il suo inizio. 15 Nella maggior parte dei casi, il personale si accorge di quello che sta succedendo solo perché avvertito da Enti Governativi. MESI DI FURO DI DAI OGNI ANNO, VENGONO UCCISE PIÙ PERSONE DAI MAIALI CHE DAGLI SQUALI. QUESO MOSRA QUANO SIAMO BRAVI A VALUARE I RISCHI. (BRUCE SCHNEIER) 2

3 I SECURIY OMNIA CYBER-CRIME & HACKING Confidenzialità e sicurezza delle nostre informazioni sono messe in pericolo ogni giorno. SIAMO DAVVERO SICURI? Abbiamo usato una citazione di Bruce Schneier, uno dei maggiori esperti di sicurezza informatica, per spiegare uno dei dati sulla sicurezza I più importanti: molto spesso il top management è convinto di conoscere SISEMI ALAMENE VULNERABILI perfettamente beni, informazioni e rischi della propria azienda, ma dopo una corretta analisi rimane sconcertato e scopre di aver avuto per anni una visione parziale e distorta. software, hardware, reti, applicativi, codice, server aziendali 3

4 I SECURIY OMNIA IALIA SOO AACCO In Italia c è una forte sottovalutazione del pericolo, soprattutto nelle Piccole e Medie Imprese. PRIMI IN EUROPA ED USA 42% Aumento degli attacchi informatici nell anno 2013 In generale, le aziende tendono a sottovalutare il problema e a ritenere che le contromisure adottate a protezione di un sistema siano sufficienti a scongiurare un attacco informatico. 604 Migliaia di profili con dati sensibili rubati per ogni attacco Nei primi 6 mesi del 2013 l Italia si è conquistata la maglia nera come nazione più colpita da attacchi informatici in tutta l Europa occidentale e Nord America. 247 Migliaia di attacchi web scoperti e fermati ogni giorno 4

5 I SECURIY OMNIA DAI CYBER-CRIME RUSSIA USA AFRICA Gli attacchi informatici nel mondo sono in crescita dal L Italia ha il primato in Europa con il 44% dei sistemi attaccati per furto di password e dati bancari

6 I SECURIY OMNIA // NON CAPIERÀ MAI A ME LA SESSA COSA... Lo pensano tutte le aziende: in psicologia si chiama l «illusione della sicurezza». La stessa per cui allacciamo la cintura in aereo. I casi a seguire sono pubblici: la maggior parte delle aziende non dichiara gli attacchi subiti per paura di problemi legali. Spesso anche le grandi aziende non hanno sistemi di sicurezza adeguati, come dimostrano i casi seguenti. Oltre il 92% delle piccole e medie imprese non hanno nessun sistema di sicurezza e non ne sono neanche consapevoli. I casi a seguire sono molti noti; tuttavia, la maggior parte delle 39% AZIENDE aziende non dichiara gli attacchi subiti per paura di problemi legali. Aprile PlayStation numeri di carta di credito non USA ed informazioni su 77 milioni di account rubati. Danni per 171 milioni di dollari. che subiscono attacchi informatici hanno meno di 250 dipendenti ILLUSIONE DELLA SICUREZZA Febbraio Symantec (Norton Antivirus) - Furto, tentata estorsione e pubblicazione di 1,27 Giga di codice sorgente. Luglio Linkedin - Furto della password per oltre 6 milioni di utente. Agosto POS di migliaia di Aziende in Australia - Furto dei dati di Carte di Credito; lo stesso gruppo criminale aveva già hackerato i terminali Subway. «NON FARE MAI PREVISIONI», DISSE UN UOMO SAGGIO: «SOPRAUO SUL FUURO». 6

7 I SECURIY OMNIA // QUALI SONO I RISCHI? Nel 97% dei casi, i nostri test mostrano vulnerabilità nel sistema. Nel 32% dei casi, queste 97% 32% vulnerabilità coinvolgono l accesso a dati finanziari e legali sensibili. Nel 18% dei casi, i danni potenziali per un intrusione nel sistema ammontano ad oltre 3 milioni di euro. 18% USO LIMIAO DI SISEMI PROEIVI Secondo l Italian Cyber Security Report, studio realizzato dall università La Sapienza di Roma, il primato di attacchi informatici italiano è legato a un uso limitato di sistemi protettivi: solo nel 33% dei casi siamo consapevoli dei rischi legati alla sicurezza. 7

8 I SECURIY OMNIA // I NOSRI SERVIZI OMNIA SICUREZZA I Omnia ti accompagna in un percorso a 360 gradi di messa in sicurezza di tutti i dati sensibili presenti in azienda o nelle applicazioni software. Omnia analizza la situazione dei sistemi applicativi e delle reti aziendali e pone correttivi che risolvano le vulnerabilità del sistema. Penetration est (P) - Prova di attacco per valutare la sicurezza di un infrastruttura I e la possibilità di accedere a dati, policies ed informazioni riservate. Vulnerability Assessment (VA) - Individuazione delle vulnerabilità presenti nelle componenti applicative e infrastrutturali dei sistemi e delle reti aziendale. Code Review - Individuazione e correzione degli errori di sicurezza del codice sorgente di software ed applicazioni sviluppate dall azienda o da fornitori esterni. 8

9 I SECURIY OMNIA // VULNERABILIY ASSESSMEN (VA) L obiettivo principale di un VA consiste nell individuare in maniera analitica ed esaustiva le varie tipologie di vulnerabilità presenti nelle componenti applicative ed infrastrutturali del sistema/rete da analizzare. Il Vulnerability Assessment permette di fotografare lo stato dell infrastruttura I nel momento in cui viene eseguito e supportare la pianificazione di misure correttive efficaci e mirate a diminuire i rischi. Lo scopo di un VA è quello di verificare: l effettiva attuazione delle politiche di sicurezza; lo stato di hardening dei server anche in termini di analisi delle porte; l aggiornamento dei sistemi operativi e degli applicativi. Prima Fase - Definizione dominio e pianificazione - Viene formalizzato il dominio di intervento, concordate le tecniche di indagine, le modalità operative, le risorse da predisporre per la conduzione dell attività e sono acquisite le informazioni inerenti l architettura di rete e le piattaforme applicative coinvolte. Sono concordate con il Cliente le rules of engagement, ossia le modalità di dettaglio con cui il test deve essere svolto e l ambito di esecuzione dello stesso. Seconda Fase - Network Scanning - Lo scopo dello scanning è quello di identificare il maggior numero di informazioni sui sistemi in rete, identificando la tipologia di apparato, il sistema operativo con il livello di patching ed i servizi attivi. erza Fase - Vulnerability Discovery - In questa fase si cerca di individuare le vulnerabilità che potrebbero essere sfruttate da un attaccante. Quarta Fase - Reporting - La fase finale prevede l elaborazione dei risultati, la redazione e la consegna al cliente di tutta la documentazione relativa all attività svolta, la descrizione delle vulnerabilità individuate e l indicazione delle correzioni suggerite per sanare i problemi riscontrati. ools & Metodologie Per le operazioni di scanning e vulnerability discovery vengono utilizzati un insieme di strumenti e tool, principalmente OpenSource. Ad esempio, per la fase di scanning vengono impiegati programmi quali Nmap, hping2/3, arpscan, UnicornScan, Snmpwalk, xprobe2, IkeScan, SipScan e numerosi altri. Prima di eseguire la fase di vulnerability discovery viene svolta un analisi dei risultati ottenuti dalla fase di scanning per individuare lo strumento più adatto in base alla tipologia di target rilevato (ad esempio device di rete/voip, server, servizio web, ecc.). Gli strumenti proposti per questa fase sono numerosi, fra i principali, dobbiamo sicuramente citare NeXpose, OpenVAS e Nessus. Nessus è un Network Security Scanner in grado di analizzare da remoto i sistemi e determinare se è possibile penetrare in essi, sfruttando specifiche vulnerabilità con un ampio e aggiornatissimo database. Nessus è considerato uno dei migliori Security Vulnerability Scanner presenti sul mercato. Ogni vulnerabilità riporta il riferimento numerico CVE (Common Vulnerabilities and Exposure). La metodologia utilizzata principalmente è la OSSMM 3.0 (Open Source Security esting Methodology Manual ISECOM, personale certificato OPS. 9

10 I SECURIY OMNIA // PENERAION ES (P) Il Penetration est (P) è un servizio di sicurezza offensiva atto a valutare la sicurezza di un infrastruttura I e l eventuale capacità di individuare e di reagire ad attacchi informatici, anche accidentali. Il Penetration est può anche avere l obiettivo di valutare realmente e tecnicamente la possibilità di eseguire un escalation of privilege nell accedere a dati ed informazioni riservate, del non rispetto di una policy aziendale oppure della possibilità di leakage di dati classificate da parte di un insider infedele o di un consulente esterno (esempio furto di dati contabili, brevetti, codice sorgente, ecc.). Prima Fase - Footprinting (raccolta informazioni) Questa fase ha lo scopo di raccogliere il maggior numero d informazioni sull obiettivo che si intende attaccare senza toccare l obiettivo stesso, ovvero effettuando una cosiddetta analisi non invasiva. Seconda Fase - Scanning (analisi dell infrastruttura) L obiettivo dello scanning è ottenere una mappa il più dettagliata possibile del sistema da attaccare; ciò significa acquisire informazioni su quali ip dei blocchi di rete trovati nella fase precedente siano effettivamente contattabil, scoprire che servizi abbiano attivi (CP/UDP portscan) e che sistemi operativi nascondano. erza Fase - Enumeration (enumerazione dei servizi) Con questa fase si inizia l analisi invasiva infatti si effettuano connessioni dirette ai server ed interrogazioni esplicite. Attraverso l enumerazione si vuole giungere a identificare, sulle macchine riscontrate come raggiungibili, degli account validi, delle risorse condivise e delle applicazioni attive sulle porte in ascolto. Quarta Fase - Gaining access (sfruttamento vulnerabilità, tecniche di evasione) Una volta ottenute le informazioni del punto precedente inizia il vero e proprio attacco che ha come obiettivo il riuscire ad entrare (penetrare) nel sistema. 10 I metodi utilizzati si basano sostanzialmente sulla ricerca di password corrispondenti agli utenti trovati (password guessing), sullo sfruttamento d errori progettuali delle applicazioni e servizi attivi sul server (buffer overflows, Sql Injection, ecc.) o del sistema operativo stesso. Quinta Fase - Escalating Privileges (opzionale) L obiettivo di questa fase è sfruttare i risultati ottenuti nella fase precedente per ottenere il pieno controllo del sistema remoto attaccato. Sesta Fase - Pilfering (opzionale) Se si giunge a questa fase significa che si è ottenuto il pieno controllo del sistema target. Quindi è bene valutare la configurazione del sistema stesso al fine di capire se, dove e cosa il sistema registra (logs), eventualmente si disabilita l auditing. Settima Fase - Covering traces / backdoors (opzionale) Prima di abbandonare il sistema conquistato vengono cancellati i logs ed eventualmente installati trojan o backdoors che consentono di rientrare facilmente sulla macchina in un secondo momento. Il P rappresenta un servizio di elevato livello tecnico con un più alto valore aggiunto rispetto al Vulnerability Assessment. Infatti rispetto a quest ultimo non ci si limita ad individuare le vulnerabilità ma si valutano approfonditamente e si cercano di sfruttarle spesso combinando più tecniche assieme anche da domini differenti, ad esempio combinando attacchi applicativi assieme a quelli di rete.

11 I SECURIY OMNIA // PENERAION ES (P) Il P rappresenta un servizio di elevato livello tecnico con un più alto valore aggiunto rispetto al Vulnerability Assessment. Infatti rispetto a quest ultimo non ci si limita ad individuare le vulnerabilità ma si valutano approfonditamente e si cercano di sfruttarle spesso combinando più tecniche assieme anche da domini differenti, ad esempio combinando attacchi applicativi assieme a quelli di rete. In particolare, il Penetration est può essere eseguito su una moltitudine eterogenea di targets (web, rete, wireless, voip, scada, ecc.), al limite su tutta l infrastruttura I del cliente o su una sua parte di essa (rete inside, rete dmz, perimetrale, ecc.). I test possono essere condotti dall interno, dall esterno all organizzazione o da una combinazione di essi a seconda delle specifiche esigenze e degli obiettivi che si vuole perseguire.. Le metodologie utilizzate - Come base per effettuare i Penetration est viene utilizzata una metodologia ormai consolidata nella comunità scientifica internazionale (Isecom OSSMM - Open Source Security esting Methodology Manual). Oltre a questa metodologia generale viene utilizzata anche una serie di indicazioni più tecniche e specifiche per le attività di Security Assessment contenute nel NIS SP Il National Institute of Standards and echnology (NIS) è un agenzia del governo degli Stati Uniti d America che si occupa della gestione delle tecnologie. Il NIS attualmente si sta occupando attivamente delle tessere di identificazione per i dipendenti federali per controllare e prevenire il terrorismo, i criminali e tutti gli accessi non autorizzati all interno di strutture governative e dei loro sistemi informatici. Report Finale - Al termine dell attività viene rilasciato un documento di sintesi che riporta le modalità di esecuzione del Penetration est, l elenco dei controlli effettuati e tutte le vulnerabilità rilevate con le azioni correttive suggerite. ipologie di Attacco Cross-site scripting: attacchi che sfruttano una non corretta validazione dei contenuti restituiti dal server in risposta a richieste HP opportunamente modificate. Parameter tampering: attacchi che sfruttano una non corretta validazione dei parametri passati dal browser al web server. Hidden field manipulation: attacchi che, sfruttando paradigmi di programmazione non sicuri, alterano il valore di parametri applicativi fra due successive richieste HP. Backdoors e opzioni di debug: attacchi basati su errori di configurazione e/o di programmazioni molto noti e diffusi. Stealth commanding: attacchi che mediante tecniche di injection mirano ad eseguire comandi sui server. Forceful browsing: attacchi che mirano ad accedere a risorse protette seguendo percorsi di navigazione non previsti. Buffer overflow: attacchi che comportano l esecuzione di codice arbitrario in assenza di opportuna validazione dei parametri in ingresso. Cookie poisoning: attacchi basati sulla manipolazione dei coockies di sessione HP. Configurazioni errate: attacchi che sfruttano comuni errori di configurazione. Vulnerabilità note: attacchi che sfruttano la mancata applicazione di patch. SQL injection: attacchi che mirano all esecuzione di query non previste sui DBMS di back end. Attacchi HP: manipolazioni degli Header HP. 11

12 I SECURIY OMNIA // SECURIY CODE REVIEW Il Security Code Review, noto anche come Peer Review, è un test sistemico che viene eseguito per esaminare un codice sorgente, identificare e correggere errori a beneficio del miglioramento della qualità del software. Coinvolgere un consultente di Security in ogni fase del Systems Development Life-Cycle (SDLC - ciclo di vita dello sviluppo) comporta un enorme vantaggio sia in termini economici che di performance rispetto ad interventi di revisione in fasi successive. Intervenire a intervalli regolari consente di individuare eventuali problemi nelle prime fasi del ciclo di vita dello sviluppo, in queste fasi il costo per la risoluzione è sensibilmente ridotto. Diverse Forme di Code Review - Esistono diverse forme e modalità di revisione del codice relativamente al livello di formalità richiesto, che possono essere schematizzate nel modo seguente (secondo un grado di formalità crescente): Ad hoc Review; Passaround; Pair programming; Walkthrough; eam Review; Ispezione. Un Risparmio a Lungo ermine - L impatto dell integrazione di un sistema di code review orientata alla security all interno del SDLC comporta un approccio completamente nuovo, sicuro e puntale alle procedure di sviluppo. Adottare fin da subito una procedura di code review si rivela un investimento che nel lungo periodo porterà vantaggi impagabili. Modello Waterfall con Security Code Review 1. Definizione dei requisiti - Requisiti applicativi in termini di security. 2. Definizione dell architettura - Architettura della security applicativa e/o definizione del set di minacce al sistema. 3. Sviluppo - Adozione di best practices orientate alla security; Security esting; Code review orientata alla security. 4. est - Penetration esting. 5. Deploy - Gestione delle configurazioni in termini di security; Deploy secondo criteri di security. Servizi Security Code Review Prevenzione SQL Injection Prevenzione Cross-Site Scripting (XSS) Prevenzione altri tipi di Injection (LDAP, OS Injection, XPA Injection, Mitigation Log Injection, ecc.) Prevenzione Buffer Overflow Messa in sicurezza del sistema di autenticazione ed autorizzazione Prevenzione Cross-Site Request Forger (CSFR) Prevenzione Clickjacking Implementazione di un sistema sicuro di Log Implementazione di un sistema di gestione degli errori orientato alla security Adesione al Secure Development Life Cycle (SDLC) Review con strumenti manuali e automatici Adozione di librerie/classi per la gestione della security 12

13 I SECURIY OMNIA IL GRUPPO OMNIA 5 divisioni di servizi informatici. Oltre 90 dipendenti. 19 anni di esperienza I. Omnia Group ti offre la garanzia di oltre 19 anni di esperienza nell automazione di processi core-business di alcune delle più grandi aziende Italiane, come Coop Italia, Autostrade e Mapei. In Italia le aziende I hanno in media 5 collaboratori e 4 anni di storia. Con i suoi 91 collaboratori, i 19 anni di esperienza, le partnership con multinazionali leader di settore, Omnia Group è in grado di offrirti una partnership tecnologica d eccellenza. CONAACI CONSULENZA GRAUIA

14 HAI PROBLEMI...? ABBIAMO LA SOLUZIONE. OMNIA GROUP - SICUREZZA I ISECURIY OMNIA

Spett.le Clever Consulting Via Broletto, 39 20121 Milano

Spett.le Clever Consulting Via Broletto, 39 20121 Milano Spett.le Clever Consulting Via Broletto, 39 20121 Milano Milano, 23 Luglio 2007 n. 20070723.mb29 Alla cortese attenzione: Dr. Antonio Tonani Oggetto: per Attività di Security Assessment per Carige Assicurazioni

Dettagli

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo

Offerta per attività Ethical Hacking livello rete e sistemi e applicativo Ethical Hacking retegesi (Gruppo Ras) 20041108.03GP Milano, 08 novembre 2004 Spett.le Gesi S.p.A. Via Oglio, 12 20100 Milano (MI) n. 20041108.03GP Alla cortese attenzione: Dott. Sergio Insalaco Oggetto:

Dettagli

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna

Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Spett.le CRIF Via M. Fantin, 1-3 40131 Bologna Milano, 13 Novembre 2006 n. 20061113.mb44 Alla cortese attenzione: Ing. Carlo Romagnoli Dott.ssa Elisabetta Longhi Oggetto: per Attività di Vulnerability

Dettagli

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL

SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL SPECIFICA DI ASSESSMENT PER I SERVIZI BPOL E BPIOL ver.: 1.0 del: 21/12/05 SA_Q1DBPSV01 Documento Confidenziale Pagina 1 di 8 Copia Archiviata Elettronicamente File: SA_DBP_05_vulnerability assessment_sv_20051221

Dettagli

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale

Offerta per attività di Vulnerability Assessment per Portale Servizi del Personale Milano, 29 Giugno 2005 Spett.le Infocom Via Gandhi 21017 Samarate n. 20050505.mb18b Alla cortese attenzione: Sig. Ruggero Toia Oggetto: per attività di Vulnerability Assessment per Portale Servizi del

Dettagli

Allegato Tecnico. Progetto di Analisi della Sicurezza

Allegato Tecnico. Progetto di Analisi della Sicurezza Allegato Tecnico Progetto di Analisi della Sicurezza Obiettivo E richiesta dal cliente un analisi della sicurezza reti/sistemi del perimetro internet ed un analisi della sicurezza interna relativa al sistema

Dettagli

Offerta per attivita di Vulnerability Assessment per il portale www.poste.it

Offerta per attivita di Vulnerability Assessment per il portale www.poste.it Milano, 5 Novembre 2004 Spett.le Postecom S.p.A. Ufficio Acquisti Via Cordusio, 4 20123 Milano n. 20041105.m02 Alla c. att.ne : Dr. Alessandro Verdiani Oggetto: per attivita di Vulnerability Assessment

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo

Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Applicazioni software e gestione delle vulnerabilità: un caso concreto di successo Roberto Obialero, GCFW, GCFA Fabio Bucciarelli, GCFA, CEH Agenda Analisi del contesto (attacchi,

Dettagli

Domenico Ercolani Come gestire la sicurezza delle applicazioni web

Domenico Ercolani Come gestire la sicurezza delle applicazioni web Domenico Ercolani Come gestire la sicurezza delle applicazioni web Agenda Concetti generali di sicurezza applicativa La soluzione IBM La spesa per la sicurezza non è bilanciata Sicurezza Spesa Buffer Overflow

Dettagli

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy.

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960. info@ncp-italy. NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, 4-00165 Roma Tel: 06-88816735, Fax: 02-93660960 info@ncp-italy.com Introduzione Il penetration testing, conosciuto anche come ethical

Dettagli

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato

PTSv2 in breve: La scelta migliore per chi vuole diventare un Penetration Tester. Online, accesso flessibile e illimitato La scelta migliore per chi vuole diventare un Penetration Tester PTSv2 in breve: Online, accesso flessibile e illimitato 900+ slide interattive e 3 ore di lezioni video Apprendimento interattivo e guidato

Dettagli

V.I.S.A. VoiP Infrastructure Security Assessment

V.I.S.A. VoiP Infrastructure Security Assessment V.I.S.A. VoiP Infrastructure Security Assessment INTRODUZIONE Il penetration testing, conosciuto anche come ethical hacking, ha come obiettivo quello di simulare le tecniche di attacco adottate per compromettere

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Introduzione alle problematiche di hacking

Introduzione alle problematiche di hacking Introduzione alle problematiche di hacking Approfondire ed applicare le tecniche utilizzate dagli esperti di sicurezza, per far fronte agli attacchi informatici ed alle più comuni problematiche a cui i

Dettagli

Simone Riccetti. Applicazioni web:security by design

Simone Riccetti. Applicazioni web:security by design Simone Riccetti Applicazioni web:security by design Perchè il problema continua a crescere? Connettività: Internet L incremento del numero e delle tipologie d vettori di attacco è proporzionale all incremento

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 5/2008 Il bollettino può essere

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Dott. Marcello Pistilli Business Development Manager. del software alla produzione:

Dott. Marcello Pistilli Business Development Manager. del software alla produzione: Direzione Tecnica /BU Sicurezza Dott. Marcello Pistilli Business Development Manager Ethical Hacking, dallo sviluppo del software alla produzione: Code review e Pen testing 07/05/2008 M300-5 FATTORE UMANO

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1 NESSUS IL Security Scanner Francesco M. Taurino 1 La vostra RETE Quali servizi sono presenti? Sono configurati in modo sicuro? Su quali macchine girano? Francesco M. Taurino 2 Domanda Quanto e sicura la

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Security by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

Security by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi. Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment

Dettagli

DIVISIONE DATA & NETWORK SECURITY

DIVISIONE DATA & NETWORK SECURITY DIVISIONE DATA & NETWORK SECURITY www.pp-sicurezzainformatica.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Data & Network Security www.pp-sicurezzainformatica.it

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente Programma Introduzione a Windows XP Professional Esplorazione delle nuove funzionalità e dei miglioramenti Risoluzione dei problemi mediante Guida in linea e supporto tecnico Gruppi di lavoro e domini

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

Kali Linux OpenSourceDay 2013 Università degli studi di Udine -Fabio Carletti aka Ryuw- the quieter you became, the more you are able to hear

Kali Linux OpenSourceDay 2013 Università degli studi di Udine -Fabio Carletti aka Ryuw- the quieter you became, the more you are able to hear Kali Linux OpenSourceDay 2013 Università degli studi di Udine -Fabio Carletti aka Ryuw- the quieter you became, the more you are able to hear Whoami?...FabioCarletti Member:Clusit,DebianItalia,Sikurezza.org,MetroOlo

Dettagli

Mission. Proteggiamo il Business dei nostri Clienti

Mission. Proteggiamo il Business dei nostri Clienti 2013 idialoghi- ICT Security Consulting 1 Mission La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo Proteggiamo il Business dei nostri Clienti Da 15 anni realizziamo per

Dettagli

Internet Security Systems Stefano Volpi

Internet Security Systems Stefano Volpi Internet Security Systems Stefano Volpi Chi è Internet Security Systems Leader mondiale tra le aziende indipendenti nel settore della sicurezza IT Fondata nel 1994 con base ad Atlanta (Georgia) Quotata

Dettagli

Potete gestire centralmente tutti i dispositivi mobili aziendali?

Potete gestire centralmente tutti i dispositivi mobili aziendali? Potete gestire centralmente tutti i dispositivi mobili aziendali? Gestite tutti i vostri smartphone, tablet e computer portatili da una singola console con Panda Cloud Systems Management La sfida: l odierna

Dettagli

Early Warning. Bollettino VA-IT-130911-01.A

Early Warning. Bollettino VA-IT-130911-01.A Early Warning Bollettino VA-IT-130911-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-130911-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend

Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Raoul Chiesa, ISECOM, CLUSIT, OWASP, TSTF.net Fabio Guasconi, UNINFO, ISO/IEC ABI, Roma,

Dettagli

LA TECNOLOGIA CONTRO L HACKING

LA TECNOLOGIA CONTRO L HACKING LA TECNOLOGIA CONTRO L HACKING LUCA EMILI RODOLFO ROSINI GIORGIO VERDE E*MAZE Networks S.p.A. I punti che verranno trattati: La sicurezza di siti web, piattaforme di e-business e sistemi di pagamento on-line.

Dettagli

Certificazioni ISECOM e Certificazione PILAR advanced user

Certificazioni ISECOM e Certificazione PILAR advanced user Certificazioni ISECOM e Certificazione PILAR advanced user ISACA Capitolo di Roma Alberto Perrone 20 Novembre 2009 Chi siamo: @ Mediaservice.net Una società che opera dal 1997 nell area della Consulenza

Dettagli

DigitPA - P@norama sulle tecnologie innovative

DigitPA - P@norama sulle tecnologie innovative DigitPA - P@norama sulle tecnologie innovative La Sicurezza Applicativa Stato dell arte ed iniziative in corso in SOGEI RELATORE: Francesco GERBINO 17 gennaio 2011 Agenda Presentazione della Società La

Dettagli

DIVISIONE INFORMATICA FORENSE E SICUREZZA

DIVISIONE INFORMATICA FORENSE E SICUREZZA DIVISIONE INFORMATICA FORENSE E SICUREZZA Divisione Informatica Forense e Sicurezza DIFS La Divisione Informatica Forense e Sicurezza (DIFS) dell'agenzia, avvalendosi di un team di esperti, offre servizi

Dettagli

TeamPortal. Infrastruttura

TeamPortal. Infrastruttura TeamPortal Infrastruttura 05/2013 TeamPortal Infrastruttura Rubriche e Contatti Bacheca Procedure Gestionali Etc Framework TeamPortal Python SQL Wrapper Apache/SSL PostgreSQL Sistema Operativo TeamPortal

Dettagli

Sistemi di elaborazione dell informazione(sicurezza su reti) Anno 2003/04 Indice 1-INTRODUZIONE sicurezza delle reti, vulnerabilità, prevenzione 2-SCANNER DI VULNERABILITA A cura di: Paletta R. Schettino

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

Quantum Leap L AZIEND

Quantum Leap L AZIEND L AZIENDA Quantum Leap, Salto di Qualità, è una società nata nel 2004 dallo spirito imprenditoriale di alcuni professionisti operanti da diversi anni nell ambito IT e nell information security. Il taglio

Dettagli

TECNICO SUPERIORE PER LO SVILUPPO DEL SOFTWARE

TECNICO SUPERIORE PER LO SVILUPPO DEL SOFTWARE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER LO SVILUPPO DEL SOFTWARE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI DESCRIZIONE

Dettagli

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment

Primi risultati della Risk Analysis tecnica e proposta di attività per la fase successiva di Vulnerability Assessment TSF S.p.A. 00155 Roma Via V. G. Galati 71 Tel. +39 06 43621 www.tsf.it Società soggetta all attività di Direzione e Coordinamento di AlmavivA S.p.A. Analisi di sicurezza della postazione PIC operativa

Dettagli

Hoox S.r.l. Company profile aziendale. Autore : Hoox S.r.l. Data : Anno 2013

Hoox S.r.l. Company profile aziendale. Autore : Hoox S.r.l. Data : Anno 2013 Hoox S.r.l. Company profile aziendale Autore : Hoox S.r.l. Data : Anno 2013 Chi siamo Hoox è una società di servizi ICT (Information and Communication Technology) orientata alla progettazione, realizzazione

Dettagli

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010 AIPSI- ISSA European Security Conference 2010 Roma, 28 ottobre 2010 L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010 Marco R.A. Bozzetti Founder OAI Direttivo AIPSI Indice 1. L iniziativa

Dettagli

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius L obiettivo del presente progetto consiste nel sostituire il sistema di autenticazione

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

penetration test (ipotesi di sviluppo)

penetration test (ipotesi di sviluppo) penetration test (ipotesi di sviluppo) 1 Oggetto... 3 2 Premesse... 3 3 Attività svolte durante l analisi... 3 3.1 Ricerca delle vulnerabilità nei sistemi... 4 3.2 Ricerca delle vulnerabilità nelle applicazioni

Dettagli

Penetration Test Integrazione nell'attività di internal auditing

Penetration Test Integrazione nell'attività di internal auditing Parma 6 giugno 2008 Penetration Test Integrazione nell'attività di internal auditing CONTENUTI TI AUDIT mission e organizzazione REVISIONE TECNICA mission e organizzazione INTERNAL SECURITY ASSESSMENT

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit. La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner

Dettagli

Prof. Mario Cannataro Ing. Giuseppe Pirrò

Prof. Mario Cannataro Ing. Giuseppe Pirrò Prof. Mario Cannataro Ing. Giuseppe Pirrò Footprinting Scansione Enumerazione Exploit Controllo del sistema Raccolta di informazioni sull obbiettivo da attaccare. Determinare il profilo di protezione della

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Networking Security. SEZIONE F: DESCRIZIONE DELL'AZIONE Descrizione attività formativa

Networking Security. SEZIONE F: DESCRIZIONE DELL'AZIONE Descrizione attività formativa Denominazione intervento: Networking Security SEZIONE F: DESCRIZIONE DELL'AZIONE Descrizione attività formativa F.l- Modalita organizzative, gestione operativa e calendario dell'intervento. (Max 200 righe):

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 6/2008 Il bollettino può essere

Dettagli

Bollettino VA-IT-150129-01.A

Bollettino VA-IT-150129-01.A Early W a r ning Bollettino VA-IT-150129-01.A Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT-150129-01.A Pag. 2/6 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI

Dettagli

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali TeamPortal Servizi integrati con ambienti Gestionali 12/2013 Accesso da remoto Accesso da remoto Esempio 1 Sul Firewall devono essere aperte le porte 80 : http (o quella assegnata in fase di installazione/configurazione

Dettagli

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure UNIVERSITÀ DEGLI STUDI DI PISA FACOLTÀ DI INGEGNERIA Corso di Laurea in INGEGNERIA DELLE TELECOMUNICAZIONI Tesi di Laurea Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

Novell ZENworks Configuration Management in ambiente Microsoft * Windows *

Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Guida GESTIONE SISTEMI www.novell.com Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Novell ZENworks Configuration Management in ambiente Microsoft Windows Indice: 2..... Benvenuti

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007

Sicurezza Proattiva. Quadrante della Sicurezza e visione a 360. Roma, 10 maggio 2007 Sicurezza Proattiva Quadrante della Sicurezza e visione a 360 Roma, 10 maggio 2007 Sicurezza Proattiva 2 Introduciamo ora una visione molto più orientata ad un approccio tecnologico relativamente alle

Dettagli

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS SECURITY FOR BUSINESS Le nostre tecnologie perfettamente interoperabili Core Select Advanced Total Gestita tramite Security Center Disponibile in una soluzione mirata Firewall Controllo Controllo Dispositivi

Dettagli

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit. Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security

Dettagli

A proposito di Cyber Security

A proposito di Cyber Security Cyber Security Fingerprint Advertorial A proposito di Cyber Security La sicurezza dei sistemi di controllo e automazione industriale diventa sempre più critica in quanto reti diverse sono spesso collegate

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di

Dettagli

Managed Security Services Security Operations Center

Managed Security Services Security Operations Center Managed Security Services Security Operations Center L organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve scegliere un provider di servizi. Davide Del Vecchio Responsabile

Dettagli

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI

Servizi e Prodotti per la Sicurezza Aziendale. Il Gruppo BELLUCCI Il Gruppo BELLUCCI Con la creazione di una Suite Servizi & Prodotti Bellucci si propone di far fronte alle esigenze in materia di sicurezza individuate dall Azienda e che la stessa potrebbe riscontrare

Dettagli

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r.

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r. Network Hardening Università degli Studi di Pisa Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Applicata Stage svolto presso BK s.r.l Tutor Accademico Candidato Tutor

Dettagli

TREND MICRO DEEP SECURITY

TREND MICRO DEEP SECURITY TREND MICRO DEEP SECURITY Protezione Server Integrata Semplice Agentless Compatibilità Totale Retroattiva Scopri tutti i nostri servizi su www.clouditalia.com Il nostro obiettivo è la vostra competitività.

Dettagli

Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità

Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità L Eccellenza nei servizi e nelle soluzioni IT integrate. Protezione dei dati in azienda: la difficoltà di coniugare obiettivi e complessità 2012 MARZO Omnitech s.r.l. Via Fiume Giallo, 3-00144 Roma Via

Dettagli

Internet Security Threat Report Volume X

Internet Security Threat Report Volume X Internet Security Threat Report Volume X Il 28 gennaio 2002 è stato pubblicato il primo volume dell Internet Security Threat Report da Riptech, società di Managed Security Services acquisita da Symantec

Dettagli

Un caso concreto di risposta ad un attacco hacker

Un caso concreto di risposta ad un attacco hacker Un caso concreto di risposta ad un attacco hacker http://escher07.altervista.org Premessa Questo documento è ottenuto come generalizzazione di un caso reale. Sono stati oscurati per ovvi motivi indirizzi

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network

Stefano Zanero, PhD - s.zanero@securenetwork.it CTO & Founder, Secure Network Penetration test vs. Security Assessment Capire le differenze tra le metodologie, gli obiettivi e i risultati (per non parlare di quelle tra i consulenti) Stefano Zanero, PhD - s.zanero@securenetwork.it

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

ERP Operational Security Evaluate, Build, Monitor

ERP Operational Security Evaluate, Build, Monitor ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate

Dettagli

Rischi e vulnerabilità nelle applicazioni aziendali

Rischi e vulnerabilità nelle applicazioni aziendali Rischi e vulnerabilità nelle applicazioni aziendali Presentazione Salvatore Capuano Collaboratore scientifico SUPSI e responsabile del Microsoft.NET Competence Center salvatore.capuano@supsi.ch Obiettivi

Dettagli

IT Risk Assessment. IT Risk Assessment

IT Risk Assessment. IT Risk Assessment IT Risk Assessment Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel tempo il sistema di sicurezza aziendale. Esistono numerosi standard e modelli di riferimento

Dettagli

TECNICO SUPERIORE PER LE APPLICAZIONI INFORMATICHE

TECNICO SUPERIORE PER LE APPLICAZIONI INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER LE APPLICAZIONI INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

Cyber Security e Social Networks: Minacce, Rischi e Contromisure. Padova, 10 Settembre 2015

Cyber Security e Social Networks: Minacce, Rischi e Contromisure. Padova, 10 Settembre 2015 Cyber Security e Social Networks: Minacce, Rischi e Contromisure Padova, 10 Settembre 2015 1 Agenda TASSONOMIA DEGLI AGENTI OSTILI E DELLE MINACCE ATTACCHI RECENTI E RELATIVI IMPATTI SCENARI DI RISCHIO

Dettagli