I nostri servizi per la vostra sicurezza

Transcript

1 I nostri servizi per la vostra sicurezza

2 I NOSTRI SERVIZI SICUREZZA SVILUPPO SISTEMI FORMAZIONE Ci occupiamo di sicurezza logica, di sicurezza delle reti e dei sistemi, di sicurezza dei dati, di sicurezza applicativa. Il nostro campo di intervento comprende il supporto organizzativo e tecnico alle aziende per la gestione della sicurezza informatica, i servizi di controllo della sicurezza delle reti, la progettazione e l'implementazione di soluzioni di sicurezza, lo sviluppo di applicazioni sicure.

3 SICUREZZA I nostri servizi per la sicurezza: ORGANIZZAZIONE DELLA SICUREZZA CONTROLLO DELLA SICUREZZA DI RETE CONTROLLO DELLA SICUREZZA APPLICATIVA SICUREZZA E QUALITA' DEL SOFTWARE CONTROLLO DELLA SICUREZZA DEGLI APPARATI TELEFONICI INSTALLAZIONE E CONFIGURAZIONE DI SISTEMI DI SICUREZZA DI RETE BLINDATURA DEI SISTEMI INFORMATICI BLINDATURA DELLA RETE I nostri servizi per la sicurezza sono pensati in relazione alla struttura tecnologica e organizzativa della vostra azienda. Le nostre proposte, infatti, vengono definite dopo un'analisi mirata della vostra infrastruttura e delle vostre necessità. Analizziamo gli elementi architetturali che compongono il sistema informativo, valutiamo le informazioni in termini di criticità, determiniamo le vulnerabilità per attuare un piano di intervento mirato. Nel rispetto di un vantaggioso rapporto costi-benefici. Il nostro servizio consiste perciò in un vero e proprio progetto di sicurezza.

4 CONSULENZA SULLA ORGANIZZAZIONE DELLA SICUREZZA (Policy Planning, Security Planning, Risk Assessment) SICUREZZA LOGICA Analisi delle risorse da proteggere (servizi, dati, sotto reti etc.) Analisi dei rischi; Individuazione delle misure di sicurezza ottimali; Definizione delle strategie di gestione del rischio; Stesura delle procedure relative alla sicurezza (primo intervento, Disaster Recovery, Business Continuity Plan, rilevazione delle intrusioni, rilevazione alert sui servizi, aggiornamenti software etc.); Stesura delle regole comportamentali degli utenti relative alla sicurezza e al trattamento dei dati sensibili; Stesura delle regole di accesso alle informazioni e ai servizi da parte degli utenti (policy di identificazione e policy di accesso). Fornire un supporto organizzativo per la gestione della sicurezza del sistema informativo aziendale; Garantire riservatezza, integrità, disponibilità e autenticità delle informazioni. SICUREZZA TECNOLOGICA Consulenza per identificare le soluzioni più opportune da implementare all interno della struttura tecnologica dell azienda (interventi sui sistemi, installazione di nuovi prodotti, integrazione con il parco software già esistente etc.). Fornire un supporto tecnico e decisionale sulle tecnologie da adottare in base all analisi dei rischi, delle risorse e dei costi.

5 CONTROLLO DELLA SICUREZZA DI RETE (Security Probe) Analisi delle infrastrutture (server, apparati, servizi); Verifica della distribuzione dei carichi di rete; Ricerca dei punti critici della rete; Ricerca delle vulnerabilità delle infrastrutture (Vulnerability Assessment); Test di intrusione (Penetration Test) studiati e sviluppati ad hoc; Controlli dall interno con l utilizzo di local exploit sviluppati ad hoc; Controlli manuali per verificare la possibilità di intercettare informazioni; Controlli manuali per verificare la possibilità di bloccare i servizi; Controllo sulla sicurezza dei sistemi di Remote Access Services (RAS); Controllo sulla sicurezza degli apparati Wireless; Verifica delle politiche di sicurezza; Verifica del piano di Disaster Recovery e di Business Continuity Plan; Verifica delle soluzioni antivirus; Stesura della documentazione tecnica contenente la descrizione delle metodologie utilizzate, delle vulnerabilità riscontrate e delle soluzioni migliorative proposte. Identificare vulnerabilità, anomalie, punti deboli o critici delle infrastrutture; Identificare le soluzioni ottimali per prevenire intrusioni, perdita, manomissione o furto di informazioni e blocco dei servizi.

6 CONTROLLO DELLA SICUREZZA APPLICATIVA (Application Security Assessment) Analisi delle applicazioni; Ricerca e analisi delle informazioni applicative di base (http transaction, entity body, cookies, refer header, links etc.); Ricerca e analisi degli eventi, dei parametri e degli oggetti dell applicazione; Creazione dei test case; Test di intrusione (Penetration Test) studiati e sviluppati ad hoc (validazione dell input, manipolazione dei parametri, autenticazione, gestione delle sessioni etc.); Test manuali per verificare la possibilità di accedere alle informazioni (canonicalization, controllo client side, controllo delle interazioni client/server etc.); Test manuali per verificare la possibilità di bloccare le applicazioni (overflows, worm etc.); Stesura della documentazione tecnica contenente la descrizione delle metodologie utilizzate, delle vulnerabilità riscontrate e delle soluzioni migliorative proposte. Identificare vulnerabilità, anomalie, punti deboli o critici delle applicazioni; Garantire la massima stabilità e affidabilità delle applicazioni webbased distribuite attraverso le reti Internet, Intranet, WAP via GSM e GPRS.

7 SERVIZI PER LA SICUREZZA E LA QUALITA' DEL SOFTWARE Proponiamo un servizio globale per la sicurezza delle vostre applicazioni già in uso e delle nuove applicazioni da sviluppare. Fornire la consulenza tecnica necessaria per analizzare e reingegnerizzare gli applicativi aziendali nell'ottica di aumentarne sicurezza e stabilità; Definire gli standard di sicurezza per la manutenzione degli applicativi aziendali esistenti; Definire gli standard di sicurezza per lo sviluppo e per le procedure di test dei nuovi applicativi; Fornire la consulenza specialistica per la stesura dei manuali tecnici e operativi per lo sviluppo secondo le regole della sicurezza. Il servizio prevede le attività di: Security Assessment applicativo Tuning applicativo Code Assessment Implementation Stesura dei manuali

8 SERVIZI PER LA SICUREZZA E LA QUALITA' DEL SOFTWARE Security Assessment applicativo Il Security Assessment applicativo consiste nella ricerca delle vulnerabilità degli applicativi. Per ogni singola transazione (pagina) degli applicativi verranno eseguiti test alla ricerca di vulnerabilità, quali ad esempio: SQL Injection, Command Injection, Brute Force Login, manipolazione dei parametri etc. Il Security Assessment applicativo è il primo passo verso la definizione delle linee guida di sviluppo applicativo, linee guida che verranno successivamente integrate all'interno dei manuali tecnici e operativi. Tuning applicativo Il Tuning applicativo consiste nell'analisi dei codici sorgenti relativi a: Java Server Page (JSP) Java Code (java embedded in JSP, Servlet, Bean, EJB (per piattaforme J2EE), Java RMI Components, Java CORBA, Applet etc.) Microsoft Web Page ASP/.NET Microsoft Components (DLL, OCX etc.) C# Server Side Components PHP Server Side Components PERL Server Side Components C/C++ Server Side Components L'obiettivo è: Rilevare le possibili cause di errori applicativi a run-time; Suggerire le possibili migliorie da apportare al codice per aumentare il livello di sicurezza applicativa, le performances e la stabilità delle applicazioni e dei servizi. Code Assessment Implementation E' una fase opzionale del percorso di ingegnerizzazione delle applicazioni. Consiste nella consulenza tecnica specialistica o in uno sviluppo chiavi in mano, al fine di implementare le modifiche documentate nelle fasi precedenti, qualora il cliente non avesse a disposizione risorse per sviluppare le modifiche al software analizzato o avesse bisogno di una figura ad alto livello per guidare gruppi di lavoro interni. Stesura dei manuali La stesura delle linee guida di sviluppo si basa sugli standard OWASP (Open Web Application Security Project), integrate con le Security Guidelines raccomandate dai diversi fornitori di software e piattaforme applicative (Sun Security Code Guidelines,.NET Framework Design Guidelines, Secure DLL Building, J2EE SecureWorld research etc.), con lo standard ISO27001, i Common Criteria, le indicazioni del CERT etc. e con le linee guida prodotte durante la fase di Security Assessment applicativo e Tuning applicativo. I manuali tecnici e operativi forniranno al cliente una solida base per: Implementare le nuove applicazioni secondo regole di sviluppo che fondano le loro basi sulla sicurezza informatica; Fornire gli standard di sviluppo ai fornitori, agli analisti e agli sviluppatori interni; Definire le regole per la manutenzione e l'implementazione delle modifiche al software secondo gli standard di sicurezza; Strutturare le fasi di test ed il deploy delle applicazioni implementate secondo gli standard di sicurezza.

9 CONTROLLO DELLA SICUREZZA DEGLI APPARATI TELEFONICI Analisi degli apparati telefonici (centralini, PBX, risponditori automatici etc.); Ricerca delle vulnerabilità degli apparati telefonici; Internal Scanning per rilevare la presenza di sistemi PBX, modem e fax; External Scanning per verificare la possibilità di effettuare dall esterno un accesso non autorizzato alla rete locale e al software di gestione dei risponditori automatici; Command Scanning sia dall interno sia dall esterno per verificare la possibilità di modificare la configurazione dei telefoni; Controllo applicativo per verificare la presenza di vulnerabilità nel software di accesso ai servizi telefonici; Stesura della documentazione tecnica contenente la descrizione delle metodologie utilizzate, delle vulnerabilità riscontrate e delle soluzioni migliorative proposte. Identificare vulnerabilità, anomalie, punti deboli o critici degli apparati telefonici; Identificare le soluzioni ottimali per prevenire illeciti, frodi, intrusioni e blocco dei servizi.

10 INSTALLAZIONE E CONFIGURAZIONE DI SISTEMI DI SICUREZZA DI RETE Firewall (netfilter iptables, CheckPoint Firewall-1, NetGuardian, TIS Firewall etc.); Virtual Private Network (VPN); Proxy (SQUID, WinProxy, Ms Proxy Server, Analog-X, NCSD Winsocks); Integrazione dei Proxy con sistemi di login come LDAP, Active Dir, Open LDAP etc.; Intrusion Detection System (SNORT, Zone Alarm, TripWire etc.); Sistemi di monitoraggio (Nagios, Argus, ManageEngine OpUtils etc.) Sistemi di crittografia (PGP, DES, 3-DES, EL-GAMAL, RSA etc.); Integrazione dei sistemi di crittografia con i servizi utilizzati dagli utenti ( , Web Services e http, File Sharing, servizi Intranet di Community etc.); Sistemi di identificazione utente (LDAP, Active Directory, RACF, sistemi di Single Sign- On); Log Watching (WatchDog, logcheck); Switch e Router (AVAYA, 3-Com, D-Link, CISCO, ZyXel); Fault Tolerance e Cluster (Network Load Balancing, Piraña, System Cluster IBM). Identificare le soluzioni tecnologiche ottimali per le misure di sicurezza; Fornire una consulenza specializzata per un efficace integrazione dei sistemi di sicurezza con le infrastrutture esistenti.

11 BLINDATURA DEI SISTEMI INFORMATICI (System Hardening) Analisi della configurazione dei server e dei servizi; Stress Test dei server e dei servizi; Performance Tuning dei server e dei servizi; Definizione delle procedure per l incremento delle performances e della stabilità dei servizi. Fornire un servizio di controllo per definire le procedure di stabilizzazione e l incremento delle performances dei server e dei servizi. Chiusura dei servizi inutili; Riorganizzazione dei Registry Windows e dei files di configurazione dei servizi; Aggiornamento dei sistemi operativi e dei software utilizzati. Fornire un servizio di consulenza tecnica specializzata per rendere stabili e performanti i server e i servizi.

12 BLINDATURA DELLA RETE (Network Hardening) Analisi dettagliata della struttura e degli apparati di rete (router, hub, switch) e della loro configurazione; Identificazione dei punti critici della rete; Identificazione dei punti deboli della rete; Identificazione delle fonti di errore, dei rallentamenti sul trasporto dei dati, delle incompatibilità tra sistemi e apparati di rete etc.; Stesura della documentazione contenente gli interventi migliorativi da apportare; Intervento di riassetto della struttura di rete; Verifica delle performances; Stesura di un manuale per le manutenzioni future. Fornire un servizio di controllo per identificare le carenze strutturali della rete e dei suoi elementi costitutivi; Definire le procedure da seguire per rendere stabile e performante la struttura di rete.

13 SVILUPPO I nostri servizi di sviluppo: CONSULENZA TECNOLOGICA PER LO START-UP DI PROGETTI PROGETTAZIONE E SVILUPPO DI APPLICATIVI WEB-BASED INTEGRATI CON SISTEMI LEGACY PROGETTAZIONE E SVILUPPO DI APPLICATIVI WEB-BASED PROGETTAZIONE E SVILUPPO DI APPLICATIVI LEGACY E CLIENT/SERVER PROGETTAZIONE E SVILUPPO DI APPLICAZIONI DI SICUREZZA VERTICALI Progettiamo e realizziamo soluzioni software per ogni necessità aziendale. Le metodologie di sviluppo che utilizziamo si fondano sugli standard OWASP (Open Web Application Security Project).

14 CONSULENZA TECNOLOGICA PER LO START-UP DI PROGETTI Forniamo consulenza specialistica di alto livello nella fase precedente all avvio dei progetti. Studi di fattibilità; Business Plan; Analisi di portabilità, adattabilità e modularità per applicativi distribuiti; Analisi e disegno architetturale; Identificazione degli asset tecnologici e infrastrutturali più idonei; Definizione degli standard di progettazione, analisi e sviluppo più idonei; Definizione degli strumenti di progettazione, analisi e sviluppo più idonei. Fornire la consulenza progettuale e tecnologica per lo sviluppo di sistemi informativi aziendali e per l implementazione di software basato su piattaforme applicative quali IBM WebSphere, Jboss, jakarta TomCat, Allaire Jrun, Software ag Bolero, Microsoft Transaction Server.

15 APPLICATIVI WEB-BASED INTEGRATI CON SISTEMI LEGACY Progettiamo e sviluppiamo applicativi web-based integrati con applicativi legacy. Le principali tecnologie utilizzate sono: CICS Transaction Gateway, Message Queuing, Remote Command, CORBA. I principali sistemi sono: Sistemi Unix (AIX, HP-UX, SCO, SUN etc.); Sistemi Linux (Red Hat, Mandrake, Debian etc.); Sistemi Microsoft (NT, 2000 etc.); AS/400; Mainframe (CICS, VMS, MVS etc.). In particolare ci siamo occupati di: Progettazione e sviluppo di applicativi a logica distribuita (Java e Cobol CICS) con tecnologia CICS Transaction Gateway in ambito assicurativo; Progettazione e sviluppo di applicativi a logica distribuita (Java, C++ e Cobol CICS) con tecnologia Message Queuing in ambito bancario; Progettazione e sviluppo di software midrange per la razionalizzazione delle basi dati (DB2, Oracle, Informix, Four Dimension etc.) e dei processi su sistemi eterogenei (Mainframe, Unix/Linux, Windows); Progettazione e sviluppo di prodotti verticali per le piattaforme ERP (SAP, JD Edwards). Progettare e sviluppare soluzioni software per rispondere alle esigenze di integrazione degli ambienti di presentation web con i sistemi legacy aziendali.

16 PROGETTAZIONE E SVILUPPO DI APPLICATIVI WEB-BASED Progettiamo e sviluppiamo applicativi web-based per rispondere a qualsiasi esigenza aziendale. Le principali tecnologie utilizzate sono: J2EE, EJB, corba, ORB,.NET, RMI. I principali Application Server sono: IBM WebSphere, Jboss, jakarta TomCat, Allaire Jrun, Software ag Bolero, Microsoft Transaction Server. I principali linguaggi utilizzati sono: Java (servlet, portlet, applet etc.), JSP, ASP (VBA; ActiveX), PHP, Perl, C++, Visual C++, Visual Basic. In particolare ci siamo occupati di: Progettazione e sviluppo di applicativi di gestione risorse umane e rilevazione presenze; Progettazione e sviluppo di software gestionale; Progettazione e sviluppo di portali Intranet e Internet; Progettazione e sviluppo di sistemi di e-learning; Progettazione e sviluppo di servizi di Community. Progettare e sviluppare soluzioni software per rispondere a qualsiasi esigenza aziendale utilizzando tecnologie web-based.

17 APPLICATIVI LEGACY E CLIENT/SERVER Progettiamo e sviluppiamo applicativi per sistemi legacy e client/server per rispondere a qualsiasi esigenza aziendale. I principali ambienti sono: Sistemi Unix (AIX, HP-UX, SCO, SUN etc.); Sistemi Linux (Red Hat, Mandrake, Debian etc.); Sistemi Microsoft (NT, 2000 etc.); AS/400; Mainframe (CICS, VMS, MVS etc.). I principali linguaggi utilizzati sono: Java, C++, Visual C++, Visual Basic, Cobol CICS, Natural, Cobol/400, RPG/400. Progettare e sviluppare soluzioni software per rispondere a qualsiasi esigenza aziendale.

18 APPLICAZIONI DI SICUREZZA VERTICALI Progettazione, sviluppo e integrazione di sistemi di login di tipo One Time Password e Strong Authentication; Progettazione, sviluppo e integrazione di sistemi di crittografia applicativa (per data base, file transfert, emulazioni etc.); Progettazione, sviluppo e integrazione di sistemi di Tunneling SSL; Progettazione e sviluppo di software sicuro per l integrazione dei sistemi legacy (Host Mainframe) con le piattaforme applicative basate su tecnologia web; Progettazione e sviluppo di software midrange sicuro per la razionalizzazione delle basi dati (DB2, Oracle, Informix, Four Dimension etc.) e dei processi su sistemi eterogenei (Mainframe, Unix/Linux, Windows); Progettazione e sviluppo di prodotti verticali sicuri per le piattaforme ERP (SAP, JD Edwards). Realizzare e integrare soluzioni software di sicurezza all interno degli applicativi aziendali esistenti; Realizzare applicazioni non vulnerabili da intrusioni non autorizzate e da attacchi volti a sottrarre o manomettere i dati, a intercettare e dirottare le connessioni, a rendere inutilizzabili i servizi.

19 SISTEMI I nostri servizi sistemistici: STRESS TESTING DEI SISTEMI STRESS TESTING DEGLI APPLICATIVI PERFORMANCES TUNING DEI SISTEMI PERFORMANCES TUNING DEGLI APPLICATIVI Offriamo una serie di servizi per verificare i sistemi con l'obiettivo di incrementarne performances e stabilità.

20 STRESS TESTING DEI SISTEMI Test per misurare la stabilità e le performances dei sistemi in relazione al carico delle connessioni; Test per misurare la stabilità e le performances dei sistemi in relazione al volume del traffico di dati. I test vengono eseguiti sia dall'interno della rete sia dall'esterno con un sistema di supercomputing in grado di stabilire fino a connessioni contemporanee, simulando picchi di carico di decine di milioni di connessioni. Quantificare le soglie di carico e di traffico sopportate dai sistemi.

21 STRESS TESTING DEGLI APPLICATIVI Test per misurare la stabilità e le performances degli applicativi in relazione al carico delle connessioni; Test per misurare la stabilità e le performances degli applicativi in relazione al volume del traffico di dati. I test vengono eseguiti sia dall'interno della rete sia dall'esterno con un sistema di supercomputing in grado di stabilire fino a connessioni contemporanee, simulando picchi di carico di decine di milioni di connessioni. Quantificare le soglie di carico e di traffico sopportate dagli applicativi.

22 PERFORMANCES TUNING DEI SISTEMI Analisi e test delle configurazioni; Analisi e test dei carichi di sistema; Analisi e test dei metodi di scrittura dei file di log; Analisi e test del sistema di allocazione della memoria (parametri di gestione del Garbage Collector della Java Virtual Machine, metodi della Heap etc.); Analisi e test dei metodi di connessione e utilizzo delle risorse della rete; Analisi e test delle allocazioni di tabelle, indexing etc. nei Data Base. Identificare malfunzionamenti, sovraccarichi e 'colli di bottiglia' dei sistemi in base all'utilizzo degli applicativi e dei servizi; Fornire le soluzioni tecniche per ottimizzare i sistemi.

23 PERFORMANCES TUNING DEGLI APPLICATIVI Analisi dettagliata dell'architettura applicativa; Analisi dettagliata del codice sorgente degli applicativi; Analisi dettagliata dei componenti esterni (COM, COM+, EJB, Framework etc.); Analisi dettagliata dell'integrazione delle patch; Analisi dettagliata del codice dei moduli di gestione degli applicativi (sessioni, memoria, centralizzazione delle chiamate etc.); Analisi dettagliata del codice dei Pooling (Data Base Pool, Stack Pool, Memory Pool etc.). Fornire le soluzioni tecniche per eliminare gli errori applicativi in fase di esecuzione (Memory Leak, Access Violation etc.) secondo le regole di large-scale programming; Fornire le soluzioni tecniche per ottimizzare le applicazioni nell'ottica di incrementarne performances e stabilità secondo le regole di largescale programming.

24 FORMAZIONE I nostri interventi formativi: CORSI DI FORMAZIONE PERCORSI FORMATIVI PERSONALIZZATI FORMAZIONE ON THE JOB Progettiamo e realizziamo interventi formativi su ambienti di sviluppo e linguaggi di programmazione, sicurezza, reti, sistemi e prodotti. Ogni intervento formativo combina ai contenuti tecnici le metodologie più idonee: formazione d aula, esercitazioni pratiche, apprendimento on the job, affiancamento operativo etc. Il percorso formativo e gli obiettivi da raggiungere sono studiati e progettati insieme al cliente per offrire interventi mirati che valorizzino la persona che apprende. Ogni intervento formativo può essere realizzato sia presso la vostra sede sia presso le nostre aule attrezzate.

25 CORSI DI FORMAZIONE Il catalogo dei corsi di formazione comprende i seguenti argomenti: Sviluppo - Linguaggi Java Java per il Web (JSP, Servlet, Applet, Portlet etc.) J2EE Enterprise Java Bean Dal Cobol a Java per il Web Java Security e Cryptography Extension (JCE) C C++ Visual C++ (MFC) Visual Basic ASP Sviluppo - Ambienti WebSphere Application Server WebSphere Studio Application Developer WebSphere e CICS Transaction Gateway Borland JBuilder Professional Apache Web Server e TomCat Application Server Allaire JRun Application Server JBoss Sicurezza Analisi dei rischi Network Security Fondamenti di Firewalling Firewall Linux Tecniche di Hardening dei sistemi Tecniche di Hardening degli Application Server PGP e GPG Administration PGP e GPG per gli utenti Sistemi Proxy Administration IDS Administration Linux Architettura e amministrazione Linux Network Server Linux Cluster Solutions Sun Solaris - Architettura e amministrazione Formazione per l utente Office Automation Internet Politiche di sicurezza e protezione della privacy

26 PERCORSI FORMATIVI PERSONALIZZATI Progettiamo percorsi formativi personalizzati sulla base delle vostre necessità e delle vostre richieste. Gli obiettivi formativi da raggiungere, le metodologie didattiche, le competenze da acquisire sono studiate insieme al cliente per rispondere alle esigenze di riconversione professionale, di inserimento professionale, di formazione continua etc. FORMAZIONE ON THE JOB La nostra offerta formativa comprende, a conclusione o in alternativa ad un percorso formativo d aula, un periodo di affiancamento operativo che promuove l apprendimento on the job inserito nel contesto di un progetto reale del cliente.

27 CONTATTI Corso Re Umberto, Torino Tel Fax Copyright 2006 E vietata la riproduzione