Siamo sempre orgogliosi di quello che produciamo, specie se poi sono sistemi complessi come i sistemi informatici siano essi hardware o software.
Ma siamo proprio sicuri che il Sistema IT che abbiamo progettato e sviluppato sia a prova di intrusione da parte di qualche malintenzionato? Proviamo a rispondere ad alcune domande:
Abbiamo definito le Normative di Sicurezza? (NdS).
Abbiamo applicato alle NdS le conoscenze più avanzate?
I nostri protocolli di progettazione contengono le NdS?
Le nostre procedure di progettazione contengono le NdS?
I nostri protocolli di sviluppo e di test delle applicazioni contengono le NdS?
Le nostre procedure di sviluppo e di test contengono le NdS?
I nostri protocolli di addestramento del personale contengono le NdS?
Le nostre procedure di addestramento del personale contengono le NdS?
Se abbiamo anche solo una risposta negativa alle domande sopra esposte: Hoops! nel nostro bellissimo Sistema IT appena prodotto, potrebbero esserci una o più vulnerabilità che vanno dalle back doors al software che non è stato aggiornato all'ultima release e ha delle vulnerabilità conosciute nel mondo degli hackers.
Ma non disperiamoci si può ovviare all'inconveniente facendo un buon test di vulnerabilità, ma non un test qualunque magari gratuito scaricato da internet, su questi argomenti bisogna essere sicuri di ottenere un buon risultato, bisogna utilizzare software certificato prodotto da aziende che si occupano principalmente di sicurezza informatica.
Noi utilizziamo i più aggiornati software di test delle reti, dei servers e dei software, e quanto di più all'avanguardia ci sia sul mercato, ci concentreremo anche sul vostro software appena prodotto.
In realtà il software che viene prodotto è solo una parte di tutto il software che poi verrà eseguito perché necessita di almeno una decina di altri software come: il software di gestione del data base, quello per la gestione delle comunicazioni, per la gestione della grafica, per la gestione dei vari dispositivi utilizzati, il software di criptazione, i software matematici, etc. etc., ed ogni pezzo di software aggregato a quello appena prodotto ha le sue vulnerabilità.
I software per i test di vulnerabilità VA (Vulnerability Assesment) e i test di penetrazione PT (Penetration Test). non entrano nel merito del codice sviluppato, o aggregato, non ne sarebbero in grado.
Per questo tipo di test bisogna attivare le tecniche DAST (Dynamic Application Security Test) e SAST (Static Application Security Test), il DAST simula automaticamente attacchi all'applicazione per rilevare eventuali risposte inaspettate, mentre il SAST analizza il codice sorgente e ne rileva eventuali debolezze.
Esistono inoltre le tecniche di Cross Site Scripting che permettono di verificare se una applicazione web reagisce ad una iniezione di codice malevolo nell'indirizzo del sito (URL).
L'insieme dei test di vulnerabilità e penetrazione VA-PT con il DAST, il SAST e il Cross Site Scripting, verificano che le più comuni e le più nascoste vie di accesso alle parti intime del Sistema IT siano ben chiuse e sicure.
Le vie di accesso di cui stiamo parlando non sono solo quelle che abbiamo determinato nello sviluppare il nuovo software. ma anche quelle che abbiamo attivato senza rendercene conto.
Alcune di queste vie di accesso permettono di prendere il controllo totale di questo complesso sistema o permettono di carpirne i dati sensibili, si perché in informatica si può dire che "le vie insicure del software sono infinite" e si può anche dire che “chiusa una via di accesso se ne può trovare quasi sicuramente un altra che fino ad oggi era sconosciuta”.
Ma non temete siamo qui per aiutarvi a trovare queste vie di accesso nascoste e pericolose con i nostri tecnici e un ottimale hardware e software di controllo delle strade oscure del vostro sistema.