security assessment

offriamo l'intera gamma di servizi di security assessment

La tecnologia di security é sempre più potente, ma non sufficiente se non affiancata da esperti di grande competenza. Emaze si sforza di combinare tecnologia e applicazioni ‘top-notch’ con profonda esperienza degi suoi specialisti. Per minimizzare i rischi, utilizziamo solo dipendenti per erogare servizi di ethical hacking.

penetration testing

Simuliamo attacchi informatici per aiutare le organizzazioni a prevenire i rischi e migliorare le loro capacità di sicurezza. Effettuiamo PT regolarmente o come progetti una-tantum.

Grazie ai Penetration Tests forniamo un’istantanea del livello di sicurezza del cliente e lo aiutiamo a valutare l’impatto delle vulnerabilità sull’azienda. Infine, guidiamo il cliente nella definizione della strategia per porre rimedio alle vulnerabilità identificate.

Operiamo nelle diverse modalità: Black Box, Grey Box o White Box. In tutti e tre i casi, scansioniamo per sistemi non aggiornati, identifichiamo credenziali utenti deboli, cerchiamo di accedere agli amministratori di domini, sfruttiamo le vulnerabilità dei dispositivi connessi, utilizziamo le protezioni di rete insufficienti per dimostrare le possibilità di esfiltrare dati.

Le attività di Penetration Testing possono coinvolgere l’intera organizzaazione o rivolgersi a spefici obiettivi come applicazioni web (WAPT), mobile (MAPT), reti e infrastrutture, reti wireless, sistemi embedded e IoT (Internet of Things).

I nostri servizi di Penetration Testing comprendono rapporti di sintesi per il management e rapporti tecnici che identificano i livelli di rischio e le vulnerabilità, le probabili conseguenze e raccomandano soluzioni.

Il nostro approccio al Penetration Testing migliora la vostrà posizione di sicurezza, vi aiuterà a identificare quali risorse critiche sono a rischio e quali sono le vostre aree di debolezza prima che lo facciano gli attaccanti.

application security

Effettuiamo analisi del codice sorgente. Negli anni abbiamo eseguito regolarmente analisi approfondite del codice sorgente per i nostri clienti più sofisticati.

Abbiamo sviluppato un know-how unico per l’identificazione di vulnerabilità di sicurezza nel codice applicativo.

Le nostre attività di “Code Review ” ci permettono di evidenziare i problemi critici in varie aree del codice sorgente quali autenticazione, autorizzazione, validazione input, cifratura, race condition, uso di componenti vulnerabili, errate configurazioni di sicurezza.

Infine, non solo identifichiamo vulnerabilità di sicurezza nel codice sorgente, ma siamo anche specializzati nella ricerca di backdoor nascoste o errori di logica.

training

Verifiche di sicurezza, alert e identificazione di minacce non valgono molto se le persone all’interno dell’organizzazione non sono informate e allineate con i principi di sicurezza.

Talvolta i dipendenti possono diventare l’anello debole della catena. Pertanto, aiutiamo i nostri clienti a organizzare campagne di consapevolezza mediante programmi di formazione sulla cyber security.

Operiamo su modalità ‘formazione dei formatori’.  Progettiamo delle sessioni pratiche e teoriche per il managment aziendale e di trasferimento della nostra conoscenza.

Organizziamo esercitazioni personalizzate sulla prevenzione dell’utilizzo non protetto di dispositivi mobili, di approccio informale del ‘porta il tuo dispositivo’, phishing emails e siti web, dispositivi USB malevoli.

Le materie del training includono ROI dell’hacking  per livello C e top managment, ‘consapevole comportamento professionale di sicurezza’ e procedure di sviluppo sicuro.

 

PCI-DSS compliance checks

Siamo certificati PCI ASV (Approved Scanning Vendor). In quanto tali, forniamo servizi PCI DSS (Data Security Standard) quali: scansioni trimestrali PCI ASV (VA&PT), PCI Gap Analysis, supporto alla compilazione di PCI SAQ.

data_background
case study

Emaze ha vinto una gara pubblica contro 17 concorrenti per uno dei primi 3 operatori ferroviari nella UE. Nella shortlist erano presenti 5 principali operatori di security.

Il cliente ha fatturato di  EUR 8 bn e oltre 70,000 dipendenti.

La gara comprendeva il test e l’hardening dei sistemi ferroviari per 3 +1 anni  (2012-2016), per un valore del contratto di EUR 0.5 mil per anno.

Tra i servizi forniti:

  • penetration testing
  • code audit
  • supporto alla governance
  • project management

relativi a :

  • infrastruttura di rete
  • piattaforme operative
  • sistemi a bordo treno
Vuoi mettere al sicuro il tuo patrimonio informativo aziendale ?