2. PREMIO
Il vincitore del contest potrà scegliere uno dei 3
servizi riportati di seguito;
Penetration Test in modalità Black Box, dall’esterno sul
portale del Cliente (simulazione di un hacker)
Penetration Test in modalità Grey Box, dall’interno sulla
rete del vincitore (simulazione di un dipendente)
Quick Security Assessment su un Ipermercato o
Supermercato del vincitore (simulazione di un soggetto
che frequenta il pdv)
Il servizio durerà circa 1 giorno di attività + 1
giorno di redazione della documentazione
2
3. PENETRATION TEST IN MODALITÀ BLACK BOX
Il Servizio prevede una verifica dello stato di sicurezza di uno dei servizi esposti su rete
pubblica. I test saranno svolti dagli specialisti Eris Consulting utilizzando la metodologia di
Ethical Hacking, simulando la condizione di un hacker o un utente malevolo esterno, non
autorizzato ad accedere al portale ed alla rete; saranno simulati attacchi informatici non
distruttivi portati avanti utilizzando strumenti e conoscenze tipici dei criminali informatici, con
la finalità di evidenziare eventuali problematiche di sicurezza.
Lo scopo dell’attività è l’identificazione di vulnerabilità nei sistemi e nelle applicazioni
sottoposti a verifica, per aggirare i meccanismi di protezione, ottenere accessi non autorizzati
a risorse protette, ecc.; le applicazioni non sono oggetto specifico di VA/PT applicativi ma
potranno essere sfruttate come elemento vulnerabile durante l’esecuzione dei test.
Il test sarà effettuato senza che vi sia alcuna conoscenza pregressa dell’architettura del
Cliente, (simulando di fatto il comportamento di un qualunque utente malevolo proveniente
dalla rete internet).
Le attività di verifica saranno eseguite in modalità “light”, per non rischiare la
compromissione dei servizi e in fasce orarie concordate, per non rischiare di bloccare
l’operatività aziendale nelle fasce orarie più critiche.
La finestra temporale durante la quale potrà avvenire l’attacco sarà di una settimana.
Per svolgere queste attività, sarà necessario che vengano siglati dei documenti che
autorizzino Eris Consulting ad effettuare le attività di cui sopra che, se non autorizzate
preventivamente, sarebbero illegali.
3
4. PENETRATION TEST IN MODALITÀ GREY BOX
Il servizio ha l’obiettivo di verificare la sicurezza della rete interna, simulando il
comportamento di un utente che utilizza una postazione di lavoro standard (es.
un qualsiasi dipendente o un consulente al quale è stato dato un accesso, anche
minimale) dalla quale verrà verificata la possibilità di accedere a dati e/o a servizi
informativi aziendali ai quali non è autorizzato (es. i dati dell’ufficio del Personale,
della Direzione Generale, ecc..), anche attraverso una escalation di privilegi.
Per effettuare questo test il Cliente dovrà rendere disponibile una postazione di
lavoro configurata secondo i propri standard aziendali.
Le attività di verifica saranno eseguite in modalità “light”, per non rischiare la
compromissione dei servizi e in fasce orarie concordate, per non rischiare di
bloccare l’operatività aziendale nelle fasce orarie più critiche.
Le attività di cui sopra saranno erogate utilizzando la metodologia di etichal
hacking, ovvero la simulazione di attacchi informatici non distruttivi portati avanti
utilizzando strumenti e conoscenze tipici dei criminali informatici, con la finalità di
evidenziare eventuali problematiche di sicurezza.
Per svolgere queste attività, sarà necessario che vengano siglati dei documenti
che autorizzino Eris Consulting ad effettuare le attività di cui sopra che, se non
autorizzate preventivamente, sarebbero illegali.
4
5. QUICK SECURITY ASSESSMENT
Il servizio prevede un tentativo di attacco, di tipo non distruttivo alle
tecnologie ed all’organizzazione di uno store; potranno essere
utilizzati strumenti per tentare di accedere alla rete (anche wireless),
alle architetture ad alle applicazioni (es: barriere casse, sistemi di
pagamento,.. ecc.); l’obiettivo è verificare se esista la possibilità di
portare un attacco, dandone l’evidenza, senza di fatto porlo in essere,
per non compromettere o ridurre l’operatività del sito sotto attacco.
Il servizio potrà comprendere anche tecniche di social engineering,
finalizzati a verificare come reagisce l’organizzazione (l’uomo è l’unico
tipo di vulnerabilità non “patchabile”) in merito alla sicurezza; queste
tecniche si rivolgeranno al personale, utilizzando ascendente,
capacità di persuasione, inganno, millantato credito, convincendoli
che si è qualcuno che non si è, oppure manovrandoli.
Per svolgere queste attività, sarà necessario che vengano siglati dei
documenti che autorizzino Eris Consulting ad effettuare le attività di
cui sopra che, se non autorizzate preventivamente, sarebbero illegali.
.
5