La Hacker Secured è stata ideata e progettata con l'obiettivo non solo di fornire meccanismi che consentono alle aziende di vigilare sui propri siti preventivamente e in modo proattivo, ma anche per trasmettere agli utenti dei siti web fiducia e la garanzia che essi siano protetti contro il furto di dati personali e contro le frodi quando utilizzano le proprie carte di credito.
In pratica la Hacker Secured testa e certifica la conformità dei siti web con il test di sicurezza FBI/SANS. Quando il sito è conforme ai requisiti imposti dalle migliori pratiche di sicurezza gli viene assegnato il certificato Hacker Secured. Così, il tuo business e i tuoi clienti avranno la certezza che nel 99% dei casi non ci saranno intrusioni.
Le verifiche si svolgono in tre fasi:
- Scansione e rilevamento delle porte vulnerabili;
La prima fase consiste nell'effettuare una scansione che mira ad un'analisi completa della rete per rilevare le porte TCP e UDP aperte e suscettibili ad attacchi.
- Test di penetrazione della rete;
Nella seconda fase verranno analizzate tutte le porte aperte, per determinare esattamente quali servizi sono in esecuzione, di che tipo e qual è la loro versione specifica. Vengono esaminate in dettaglio le vulnerabilità di tutti i servizi come DNS, SMTP, SSH, FTP, HTTP e SNMP, utilizzando metodi di firma o di valutazione della risposta. Saranno anche utilizzate tecniche di rilevamento delle intrusioni e delle penetrazioni del firewall per garantire un'analisi ancora più precisa e dettagliata.
- Analisi completa delle applicazioni web;
In questa terza fase viene analizzato il livello delle applicazioni web. Secondo Gartner, il 70% delle violazioni della sicurezza sorgono a questo livello. Tutti i servizi HTTP e domini saranno testati al fine di individuare i moduli potenzialmente pericolosi, i parametri di configurazione, i CGI e gli altri script. Il sito sarà analizzato nel dettaglio al fine di trovare gli strumenti che vengono utilizzati per identificare le vulnerabilità, quali la rivelazione del codice e il cross-site scripting. Verranno realizzate analisi generiche e specifiche del software per rilevare le vulnerabilità di configurazione o legate ad errori nel codice.
Con questa verifica è possibile monitorare costantemente e in modo proattivo la sicurezza del sistema, riducendo in modo significativo il tempo di ricerca e di scoperta delle vulnerabilità. Questa realtà ha contribuito, grazie ad una risoluzione molto più rapida dei problemi nel caso in cui si verifichino, e alla disponibilità, ad una maggior fiducia da parte dell'utente finale.
