Home SEO White Box e Black Box
SEO

White Box e Black Box

Pubblicato da vestudio
Pubblicato da vestudio
white box e black box

White Box e Black Box

Metodologie di controllo e test delle vulnerabilità

Nell’ambito della sicurezza informatica e dei relativi test di controllo ritroviamo metodologie (OWASP e OSSTMM) e tipologie diverse (WHITE BOX e BLACK BOX).
Vestudio segue la metodologia delle linee guida OWASP e dell’OSSTMM.
Questo per garantire l’efficacia dei test di vulnerabilità eseguiti seguendo proprio questi protocolli riconosciuti a livello mondiale.

L’OWASP è un progetto no-profit che ha come scopo principale quello di diffondere specifici standard di controllo e qualità dei sistemi informatici.
Inoltre fornisce linee guida per la sicurezza delle applicazioni web e mobile.

Relativamente all’OSSTMM, questo influisce sulla qualità dei test di sicurezza.
Infatti, si tratta di una certificazione basata sulle “best practices”. Tale certificazione è destinata a migliorare le attività di controllo della sicurezza.
Attività svolte da professionisti impegnati nel settore informatico, ed in particolare nel penetration testing.

Test di controllo delle vulnerabilità

I test di sicurezza che possiamo eseguire si distinguono per tipologia, White Box o Black Box.
Sia White Box che Black Box consentono di testare l’infrastruttura della Committente.
L’obiettivo del test resta fermo, infatti, sul focus dell’individuare le vulnerabilità generando un report contenente le remediations necessarie a sanare la sicurezza.
Queste tipologie di esecuzione possono essere adottate sia che la Committente richieda un Vulnerability Assessment sia che necessiti di un Penetration Test.

White Box nel dettaglio

Questa modalità prevede che l’attaccante, il tester, sia informato dalla Committente riguardo all’infrastruttura ed ai servizi esistenti.
In questo caso l’azienda indicherà quali servizi sono attivi e in uso, riducendo di molto i tempi di esecuzione del test.
L’attaccante non eseguirà la prima fase di Information Gathering, ma conoscerà già il sistema, i software e i servizi in essere.

Grazie alla modalità White Box si riducono, quindi, i tempi necessari all’esecuzione del test di ricerca delle vulnerabilità o del pen test.
Inoltre, il test stesso è molto più preciso, poiché nella fase di attacco l’operatore può concentrarsi meglio sul target specificato.
Infine, questa metodologia di attacco, consente di abbattere i costi alla Committente ed ottenere un report dettagliato della situazione.

Black Box nel dettaglio

La modalità Black Box è molto più verosimile a un attacco vero e proprio apportato da un attaccante esterno.
In questo caso, infatti, il tester non avrà informazioni né dell’infrastruttura né del target da analizzare.
In pratica è l’esatta simulazione di un hacker malintenzionato che, da zero, dovrà impegnarsi a conoscere l’infrastruttura (servizi, software, firewall ecc…).

La modalità di esecuzione Black Box richiede più tempo al tester proprio a causa della non conoscenza dell’infrastruttura.
Il report generato è da considerarsi più verosimile ad un caso di attacco reale.
Il tester riporterà nel report le criticità individuate. Ma non è detto che siano tutte, poichè non conosce l’esatta composizione dell’infrastruttura software e hardware.

Test di controllo White Box e Black Box e altre attività di prevenzione

Questi metodi sono utili per valutare lo stato della sicurezza dei sistemi, dei software anti-intrusione e di tutto ciò che può essere considerato Superficie di Attacco.

Le aziende, possono ottenere un enorme vantaggio grazie all’esecuzione di test white box e black box periodici.
Evitano accessi indesiderati alle Reti informatiche e riducono i rischi su dati sensibili di personale interno e clienti delle stesse.
Infine, va considerato anche il grande risparmio rispetto al subire un attacco all’infrastruttura informatica.
I test di controllo, eseguiti in white box e black box, vanno considerati sempre a supporto di sistemi di sicurezza passivi. I sistemi di sicurezza informatica attiva e passiva è sempre bene che coesistano all’interno di una infrastruttura informatica.

Vestudio consiglia ai propri clienti un equilibrio costituito da software, hardware, test White Box e Black Box e monitoraggio continuo.
Naturalmente commisurando il tutto al budget disponibile, nonché alla natura dei dati trattati.

Sei alla ricerca di un Test di sicurezza?

Scopri tutti i nostri servizi di sicurezza informatica e richiedi una consulenza gratuita!
Oppure prenota direttamente un Test Vulnerability Assessment gratuito sugli IP esterni per verificare la presenza di vulnerabilità.

Condividilo con gli amici!
FacebookTwitterGoogle +LinkedinRedditWhatsappTelegramEmail

Ti potrebbero interessare anche

Il blog aziendale come base di uno storytelling...

Come fare ad ottenere più like su Facebook?...

Conosci già tutti i vantaggi di un blog...

Gestione dei social: affidarsi ad un’agenzia o sbrigarsela...

SEO per piccole attività locali

Siti web per negozi di arredamento: la visibilità...

Ottimizzazione SEO per e-commerce: ecco come valorizzare il...

Come è possibile preservare la sicurezza informatica per...

Quanto è importante un’approfondita analisi SEO iniziale?