PASSIVE SECURITY AUDIT FOR WEB APPLICATIONS: che cos’é e perché richiederlo?

22 ottobre 2020
PASSIVE SECURITY AUDIT FOR WEB APPLICATIONS: che cos’é e perché richiederlo?

L’82% dei siti web sono vulnerabili a un cyber attacco. Non è un dato trattato da un film di fantascienza, ma una fotografia aggiornata sulla sicurezza aziendale.

Accanto a questo dato, c’è quello diffuso dal rapporto Clusit 2019-2020, che parla di un aumento del cybercrime del 95% e, in particolare, dell’aumento del 150% degli attacchi di phishing.

Mai come in questo periodo infatti, la cybersecurity è diventata un tema di prioritario interesse.
In questi mesi l’adozione da parte delle aziende del remote working per garantire la continuità del business ha spostato infatti la lente di ingrandimento su tematiche di sicurezza.

In questo nuovo scenario dal carattere di urgenza, c’è la necessità di una corretta strategia di cybersecurity spinta anche da ragioni normative: per essere compliance al GDPR, occorre dimostrare di aver fatto tutto il possibile per proteggere i dati per non incorrere in multe e sanzioni pesanti.

Sorge a questo punto un grosso interrogativo: come è possibile proteggersi al meglio?

Prima di adottare qualsiasi strategia, l’informazione forse più utile da stabilire è quella del livello di vulnerabilità della propria azienda così da implementare, solo in un secondo momento, misure customizzate, realizzate ad hoc.

Nasce per questo il servizio di Free Passive Security Audit for Web Applications che consiste in una analisi passiva e non intrusiva dei fattori di rischio correlati ad un sito o ad una applicazione web e tipicamente correlati a:

. Configurazioni del web server non in linea con le "best practice"
. Configurazioni dei servizi di crittografia SSL e TLS obsoleti o vulnerabili
. Utilizzo di versioni obsolete o vulnerabili di web server e sistemi CMS
. Codice applicativo non conforme alle "best practice" per la sicurezza applicativa


Tali vulnerabilità e fattori di rischio, sono peraltro tipicamente correlati ad aspetti di non conformità rispetto alle normative di riferimento per la cybersecurity e la data protection, tra cui GDPR e PCI-DSS.

Il servizio si caratterizza per un approccio totalmente passivo e non intrusivo in quanto l’analisi è svolta in parte attraverso la consultazione di basi dati esterne all’azienda (open source intelligence), in parte tramite transazioni non invasive nei confronti dei sistemi e delle applicazioni aziendali.

Richiedilo subito

Per la sua natura passiva e di alto livello è soggetto a falsi positivi e falsi negativi e per questa ragione non rappresenta un efficace sostituto di attività più approfondite di security assessment. Per le medesime ragioni il servizio non è rilevante ai fini del GDPR in quanto non impatta in alcun modo dati personali o sensibili.

In evidenza

Articoli correlati

WORKPLACE AS A SERVICE: guida pratica per abilitare lo Smart Working
WORKPLACE AS A SERVICE: guida pratica per abilitare lo Smart Working
Data Protection Trends Report 2024
Data Protection Trends Report 2024
LA COMPETENZA SI RACCONTA_Business Analytics: i Competence Center Npo Sistemi
LA COMPETENZA SI RACCONTA_Business Analytics: i Competence Center Npo Sistemi