Application Security

In un mondo tecnologico in cui tutto sembra essere interconnesso le applicazioni di utilizzo e gestione sono predominanti.Ma le vulnerabilità presenti in questi software risultano particolarmente pericolose in quanto possono esporre apparati o servizi a rischi di manipolazione, furto di dati o essere vettore di malware o hacker.

Il team di Abissi, altamente specializzato in Application Security, offre servizi che comprendono un supporto (consulenziale) al cliente già dalle prime fasi del Software Development Life Cycle (SDLC), in modo da individuare tempestivamente e porre rimedio a eventuali problematiche di sicurezza. In questo contesto il costo per la remediation risulta notevolmente inferiore rispetto alle fasi più avanzate.

L'offerta comprende inoltre il servizio di Security audit del codice sorgente (secure code review) di prodotti HW/SW al fine di identificare potenziali vulnerabilità, il tutto con un approccio semiautomatizzato utilizzando strumenti sviluppati ad-hoc da Abissi e seguito da una fase di verifica manuale.

Si arriva poi ai servizi di Penetration Testing dove, con il supporto delle metodologie OWASP e proprietarie, vengono testati i software, nell'ambiente di test o (preferibilmente) di produzione.

Con software intendiamo il significato più ampio del termine. I nostri test spaziano da web application, ad API, applicazioni mobili Android e iOS fino a raggiungere il cloud e le tecnologie serverless.

I test di sicurezza sono più efficaci tanto più l’ambiente da testare è simile all’ambiente di produzione. I test sugli ambienti di produzione tendono ad essere più realistici e tendiamo sempre a consigliarli. La nostra metodologia, unita al personale altamente specializzato fa in modo che i test non degradino la qualità del servizio dei sistemi sotto test.

L'offerta culmina con l'attività di formazione che viene adattata alle necessità del cliente ma che solitamente tratta argomenti come lo sviluppo sicuro, come integrare la sicurezza nel SDLC, e una panoramica sulle vulnerabilità più comuni che affliggono il software.

Al termine dei test i nostri report avranno al loro interno le eventuali vulnerabilità identificate, tutte contestualizzate per eliminare o ridurre al minimo i falsi positivi, classificate con una metodica derivata dal NIST 800-30, e per ciascuna vulnerabilità rilevata verranno dettagliate le attività di remediation per mitigare le problematiche di sicurezza identificate.