ALIAS DISTRIBUISCE CYLOCK

OWASP checklist

CyLock segue i principi dell’OWASP Testing Project, ovvero esegue le proprie attività di VA/PT secondo il Penetration Testing Execution Standard (PTES), che definisce il percorso del test in 7 fasi:

1. Pre-engagement interactions
2. Raccolta di informazioni
3. Modellazione delle minacce
4. Analisi della vulnerabilità
5. Sfruttamento (laddove possibile)
6. Analisi post-sfruttamento
7. Report

CyLock esegue le fasi in base al target analizzato e al servizio acquistato dal cliente, scegliendo le attività più opportune, cioè evitando quelle che possono compromettere l’operatività del target (es. DoS attack), incluse le attività di c.d. post-exploitation. Queste sono ritenute eccessive e non necessarie allo scopo per il quale CyLock è stato progettato, ovvero comprendere i punti di debolezza dei propri sistemi, in maniera automatizzata, e provvedere al loro superamento, senza ripercussione in termini di operatività del servizio.

CyLock, così come previsto dal framework OWASP (phase 4.1 - Application Penetration Testing), incoraggia il penetration testing dell'applicazione dopo che è stata distribuita, poiché fornisce un controllo aggiuntivo per garantire che nulla sia stato perso, così come il monitoraggio continuo (Phase 5.2 - Conduct Periodic Health Checks).

I test security di CyLock comprendono le attività previste dal Framework OWASP, in particolare nel Web Security Testing Guide. Pertanto, CyLock esegue i test a livello di Web Application (WSTG 4.x), dalle misconfiguration a livello di accesso (es., default credential, browser cache weaknesses, MFA) alla crittografia debole (es. a livello di trasporto) e client-side (es. JavaScript execution, html injection, ecc.).

CyLock, oltre all'esecuzione della parte tecnica del test produce un report informativo che segue quanto richiesto dal Framework (WSGT 5.x), ovvero di facile comprensione perché ideato per facilitare il lavoro di personale tecnico ma anche per essere compreso da personale non tecnico (la c.d. direzione esecutiva), in cui sono evidenziati i rischi riscontrati durante la fase di valutazione.

Metodologia OSSTMM

CyLock segue la metodologia di testing descritta nell’Open Source Security Testing Methodology Manual (OSSTMM), ideata per testare la sicurezza operativa di postazioni, flussi di lavoro, wireless e delle reti di dati più in generale. CyLock ha scelto di aderire anche a questo framework perché è considerato un riferimento tecnico di supporto allo standard ISO/IEC 27001.

A tal fine, CyLock è lo strumento per la security analysis, che può essere integrato in azienda come parte integrante del work flow stabilito nel modello OSSTMM (cfr., Chapter 6 - Work Flow, OSSTMM 3), proprio perché si concentra sull’attività di ricerca delle vulnerabilità e la verifica della robustezza del sistema IT aziendale.
Come stabilito dal modello OSSTMM, CyLock promuove il principio del “There is no perfect security” (cfr., Chapter 3.1 - Critical Security Thinking, OSSTMM 3) incoraggiando i propri clienti a non considerare la security come un prodotto o un singolo servizio, o come un percorso in cui è possibile stabilire una data o uno step definitivo. Al contrario, CyLock promuove il monitoraggio e l’analisi continua, poiché nessun sistema è sicuro al 100% e i vettori, le tipologie e le gravità delle minacce cambiano costantemente e rapidamente: “Security is a process, not a product”. Questo concetto richiede all’organizzazione un approccio alla security basato sulla consapevolezza dei propri asset e la corretta gestione degli stessi attraverso un modello c.d. risk-based.

In linea con quanto richiesto dalla metodologia OSSTMM, superando i limiti dell’approccio basato su “checklist” del framework OWASP, CyLock fornisce il suo report “trasparente” (cfr., Chapter 3.6 - Transparent Reporting, OSSTMM 3). Infatti, raramente un'analisi della sicurezza informatica si concluderà con tutte le risposte cercate, poiché potrebbe esserci un obiettivo visibile (es., IP pubblico) ma che non fornisce alcuna interazione o informazione, ma non sarebbe corretto ignorarlo. Pertanto, CyLock riporta nei suoi report tutto ciò che è stato trovato con certezza, tra cui elementi di possibile vulnerabilità ma che richiederebbero un approfondimento, quali: target non analizzabile (es., IP raggiungibili ma non attivi), asset con risk unknown (es., nessuna vulnerabilità trovata) e vulnerabilità non testate (es., vulnerabilità individuate ma non testate poiché potenzialmente dannose/invasive).

Inoltre, grazie ai servizi di AntiPhishing e OSINT di CyLock, è possibile utilizzare CyLock come tool per testare il fattore umano all’interno del sistema IT, come previsto dal modello (cfr., Chapter 7 - Human Security Testing, OSSTMM 3). Infatti, da un lato effettua le attività di social engineering e threat intelligence, dall’altro estende la portata di queste attività grazie al test di phishing per incrementare la consapevolezza della sicurezza del personale, fornendo una misura utile a comprendere il divario rispetto allo standard di sicurezza richiesto e definito nella politica aziendale di ogni organizzazione, sempre nel rispetto dei diritti delle singole persone (es., compliance con GDPR).

Il modello OSSTMM prevede anche le attività di testing delle risorse di rete (cfr., Chapter 11 , Data Networks Security Testing, OSSTMM 3). Anche in questo caso, CyLock è stato progettato per sostenere questa attività da parte del personale aziendale, offrendo un’analisi verificata da analisti competenti e certificati in ambito cyber security, con un'adeguata conoscenza ed esperienza in tema di networking e test di sicurezza, nonché di pensiero critico per garantire che la raccolta dei dati, operata anche tramite l’utilizzo di machine learning, crei risultati fattuali.