La disciplina dell’offensive security consente di identificare falle nei controlli di sicurezza allo scopo di valutare la capacità di un sistema di difendersi in presenza di condizioni avverse. Validando preventivamente la propria postura di sicurezza, un’organizzazione può ottenere un vantaggio strategico nei confronti dei propri avversari.

I principali servizi di assessment forniti da HN Security sono descritti di seguito. Se necessario, essi possono essere combinati al fine di creare il miglior servizio personalizzato per ogni specifico scenario.

Red Teaming (Advanced Adversary Emulation)

Il Red Teaming costituisce una simulazione di attacco completa, condotta su più livelli. Oltre ai comuni attacchi applicativi e infrastrutturali, in questo ambito sono comprese tecniche di attacco non convenzionali, quali ad esempio OSINT, social engineering e intrusioni fisiche.

L’obiettivo è valutare sul campo la resilienza di persone, processi e tecnologie di un’organizzazione al verificarsi di attacchi propri di un avversario reale.

Application Assessment (Web, Mobile, API, Client-Server, Chatbot, Voice Assistants)

Dalle classiche applicazioni web alle più moderne app per dispositivi mobili, passando per API, applicazioni client-server, chatbot e assistenti vocali, nel corso degli anni abbiamo analizzato centinaia di piattaforme eterogenee.

Siamo pionieri di questo settore e sviluppiamo strumenti utilizzati a livello globale. La nostra metodologia di eccellenza ci consente di scoprire e sfruttare vulnerabilità che spesso non vengono individuate dai nostri competitor.

System Assessment (Active Directory, Servers, Cloud, Containers)

Siamo specializzati nelle verifiche di sicurezza su ambienti Active Directory, on-premise e su Azure ad ogni livello di complessità.

Copriamo al meglio le nuove tecnologie sviluppate in ambito Cloud sulle principali piattaforme (AWS, Azure, GCP).

La conoscenza approfondita dei sistemi operativi moderni e legacy, infine, ci consente di supportare i nostri clienti nella messa in sicurezza di sistemi di ogni tipo.

Network Assessment (IP, VPN, Wi-Fi, VoIP, NFC/RFID, Bluetooth, LoRaWAN)

La conoscenza approfondita delle architetture di rete, dei protocolli di comunicazione e degli apparati legacy e moderni ci permette di effettuare verifiche infrastrutturali con una qualità fuori dal comune.

Dall’identificazione di vulnerabilità, note e non, al loro sfruttamento manuale, siamo in grado di simulare realisticamente attacchi su reti wired e wireless, pubbliche e private, utilizzate per la comunicazione di dati o voce.

IoT Assessment (IoT, Smart Devices, Access Controls, Video Surveillance)

Vantiamo una vasta esperienza nell’analisi di dispositivi IoT e smart device in differenti ambiti, dalla domotica all’automotive, dal gaming alla building automation.

Siamo in grado di valutare la robustezza di differenti prodotti hardware e software per conto di produttori e utenti finali.

Negli anni, abbiamo verificato sul campo l’efficacia di strumenti di controllo degli accessi fisici e videosorveglianza, per clienti corporate ed infrastrutture critiche nazionali.

SCADA/ICS Assessment (SCADA/ICS, Critical Infrastructures)

Le nostre esperienze professionali e la partecipazione a programmi di ricerca internazionali ci hanno portato a conoscere a fondo le specificità delle infrastrutture critiche nazionali ed europee, in particolare negli ambiti Oil & Gas, Electricity e Air Traffic Management.

In ambito industriale abbiamo valutato la postura di sicurezza di impianti di produzione e magazzini automatizzati, realizzati con tecnologie eterogenee.

Banking/Fintech Assessment (Internet Banking, Mobile Banking, Mainframe, ATM)

Nel corso degli anni abbiamo analizzato centinaia di applicazioni ed infrastrutture del settore bancario,  finanziario e assicurativo.

Dalle piattaforme per Internet e mobile banking ai sistemi di pagamento, dai mainframe ai dispositivi ATM, il nostro team è specializzato nelle verifiche di sicurezza in questo ambito, e ne conosce a fondo i requisiti tecnologici, operativi e normativi.

Platform Assessment (Design, Architecture, and Configuration Review)

Tramite analisi ibride progettuali e implementative, condotte con l’ausilio di metodologie proprietarie di threat & maturity modeling, siamo in grado di valutare la postura di sicurezza di piattaforme hardware, software o miste.

Alcuni esempi di servizi erogati in questo ambito: attack surface analysis , configuration review, secure design review, IAG assessment, password analysis e network segregation testing.