L2.S17 – Vulnerability assessment

Le attività inquadrate nell’ambito del servizio “L2.S17 – Vulnerability assessment” hanno come obiettivo quello di identificare lo stato di esposizione dell’Amministrazione alle vulnerabilità mediante la raccolta di informazioni concernenti i servizi erogati, le applicazioni, l’architettura e le componenti tecnologiche nonché consentire all’Amministrazione di elaborare una baseline iniziale (AS-IS) necessaria alla definizione della specifica strategia di sicurezza informatica. In particolare, il servizio sarà composto almeno dalle seguenti fasi: 

  • Pianificazione: definizione dell’ambito di svolgimento del servizio di vulnerability assessement; identificazione e condivisione con l’Amministrazione delle metodologie proposte, degli strumenti da adottare e delle modalità di esecuzione; raccolta di informazioni svolta al fine di reperire il maggior numero di informazioni sulla struttura della rete, dei sistemi e delle applicazioni; preparazione del piano di test e delle regole di ingaggio.
  • Esecuzione: individuazione delle vulnerabilità e creazione di una lista delle potenziali vulnerabilità a cui potrebbero essere soggetti i sistemi analizzati; esecuzione delle attività secondo un approccio sia di tipo black box che di tipo grey box; network e service discovery, con scansione della rete alla ricerca dei nodi attivi; identificazione delle tecnologie adottate e delle relative versioni dei servizi in esecuzione; individuazione delle vulnerabilità applicative mediante discovery e testing delle URL, form HTML, componenti Javascript, Ajax, ecc.; verifiche sulla robustezza di infrastrutture Wi-Fi e access point; individuazione di tecnologie in ambienti non idonei, comprensione dello stato di implementazione di tecnologie di prevenzione e riconoscimento di possibili attacchi (sistemi IDS, sistemi IPS, attività di monitoraggio dei log); verifica dell’utilizzo di tecnologie in modi impropri.
  • Prioritizzazione delle vulnerabilità e verifica dei risultati: prioritizzazione delle vulnerabilità individuate secondo policy definite; assegnazione delle priorità/severità ai rischi di sicurezza; correlazione dei risultati delle fasi precedenti e la definizione del piano di rientro (remediation plan); produzione di reportistica di sintesi (executive summary) e di dettaglio (technical report) sulle analisi eseguite e rappresentazione delle informazioni qualitative e dimensionali sugli applicativi analizzati.

Sei una PA?
Iscriviti e compila il tuo piano dei fabbisogni online

Registrati

I servizi del lotto

L2.S16 – Security Strategy

L2.S16 – Security Strategy

L2.S17 – Vulnerability assessment

L2.S17 – Vulnerability assessment

L2.S18 – Testing del codice – statico

L2.S18 – Testing del codice – statico

L2.S19 – Testing del codice – dinamico

L2.S19 – Testing del codice – dinamico

L2.S20 – Testing del codice – mobile

L2.S20 – Testing del codice – mobile

L2.S21 – Supporto all’analisi e gestione degli incidenti

L2.S21 – Supporto all’analisi e gestione degli incidenti

L2.S22 – Penetration testing

L2.S22 – Penetration testing

L2.S23 – Compliance normativa

L2.S23 – Compliance normativa