Deloitte: Scansione di sicurezza HelloID
Due volte all’anno, gli esperti Deloitte testano la sicurezza del nostro servizio HelloID. Il recente test ha mostrato che il livello di sicurezza di HelloID è elevato. Per Tools4ever, questo è sempre uno studio importante che ci tiene informati e ci incoraggia a continuare a migliorare le nostre tecnologie e servizi. Ovviamente è anche positivo per i nostri clienti sapere che ogni 6 mesi specialisti indipendenti esaminano la soluzione HelloID con occhio critico in modo da scoprire possibili vulnerabilità prima che possano davvero causare danni.
Perché affidare la ricerca a “hacker etici” esterni?
Tools4ever ha un gran numero di esperti di sicurezza nelle proprie fila. Non per niente siamo uno sviluppatore di prodotti per la gestione delle identità e degli accessi. Naturalmente, permettiamo anche ai nostri esperti di tentare regolarmente di attaccare le nostre soluzioni dall’interno. Tuttavia, riteniamo che sia importante che un partner extairen esamini sistematicamente e in modo critico i nostri sistemi.
Con gli hacker etici di Deloitte, abbiamo optato per esperti di sicurezza indipendenti e altamente qualificati garantiti. Esperti la cui integrità è garantita anche da Deloitte. Perché, ovviamente, non vogliamo solo certezze sulla qualità dei test di sicurezza, ma anche sull’affidabilità dei tester. In modo che tu, come cliente, sappia per certo che i risultati del test non vengono utilizzati in alcun modo in modo improprio.
Ambito dei test di sicurezza HelloID
Il sondaggio di 6 mesi non è una “tigre di carta”. Questa non è solo una recensione a tavolino del design e delle specifiche di HelloID. L’indagine riguarda in realtà i tentativi di hacker etici professionisti di attaccare il sistema. Gli hacker etici sono addestrati a guardare i sistemi informatici attraverso gli occhi di un criminale informatico esperto e a riconoscere le vulnerabilità che altri potrebbero guardare. Tra le altre cose, utilizzano le linee guida NCSC ICT-B v2 e OWASP Top 10 Application Security Risks del 2013 e 2017.
Il test include naturalmente i tradizionali test della scatola nera. Questi test mirano a penetrare nel sistema e accedere a funzionalità e dati senza conoscere il sistema. Con il nostro test di sicurezza delle applicazioni, tuttavia, i tester fanno un ulteriore passo avanti ed eseguono i cosiddetti test della scatola grigia. Un test della scatola grigia cerca anche falle di sicurezza in parti specifiche di HelloID, dove gli hacker ricevono informazioni sul funzionamento interno del software. Infine, vengono esaminate le possibilità offerte agli utenti autorizzati all’interno del sistema. Possono fare più di quanto effettivamente pianificato? Molto importante, ovviamente, perché sappiamo che molte frodi e crimini informatici avvengono all’interno delle stesse organizzazioni. Quindi, in HelloID, non solo testiamo la qualità del gateway, ma esaminiamo anche la sicurezza dell’applicazione se qualcuno è legalmente all’interno.
I test stessi coprono l’intera gamma di possibili vulnerabilità. Da notifiche di sistema potenzialmente eccessivamente dettagliate alla presenza di vulnerabilità di cross-site scripting (XSS).
Analisi del rischio
Ogni potenziale vulnerabilità portata alla luce riceve una valutazione del rischio che ci aiuta a risolvere il problema con la giusta priorità. Questa classificazione del rischio deriva dalla probabilità che una potenziale vulnerabilità possa essere scoperta e sfruttata e l’impatto se ciò si verifica effettivamente:
- La fortuna, ad esempio, dipende dalla complessità della vulnerabilità in questione.
- L’impatto è l’entità del potenziale danno che una vulnerabilità può causare. Ovviamente fa molta differenza, che si tratti di un’interruzione a breve termine o di una grave violazione dei dati.
Riceviamo i rischi bassi e medi come parte del rapporto di prova, dopodiché i nostri esperti iniziano a lavorare con loro. Gli alti rischi imprevisti vengono immediatamente intensificati dai tester, in modo che gli esperti di Tools4ever possano sviluppare e distribuire immediatamente una soluzione. Fortunatamente, tali vulnerabilità sono rare.
Con ogni test, ci sono ovviamente rischi bassi e medi. La tecnologia è in continua evoluzione, così come le conoscenze e gli strumenti a disposizione dei malintenzionati. Ciò significa che non siamo mai completamente pronti e troviamo sempre cose che potrebbero essere ulteriormente migliorate. Questo è il grande valore aggiunto di un’analisi della sicurezza semestrale di questo tipo. Rimaniamo vigili e manteniamo aggiornato il servizio HelloID in termini di sicurezza.
Vuoi saperne di più su questa analisi di sicurezza?
Non possiamo pubblicare il contenuto dettagliato delle nostre analisi sono sicurezza. I nostri clienti, tuttavia, ne vedono ancora l’effetto sotto forma di aggiustamenti, miglioramenti e correzioni di bug nel nostro note sulla versione.
Tools4ever rilascia ogni mese nuove funzionalità e aggiornamenti del software HelloID. Vuoi rimanere informato?
