Cookie Policy Questo sito utilizza cookies. Continuando nella navigazione acconsenti all'uso dei cookies.

Continua Scopri di piu

Reality Net System Solutions

Mobile Security

I dispositivi mobili governano al giorno d’oggi il mercato IT e sono lo strumento più utilizzato per comunicare e scambiare dati e informazioni, spesso confidenziali e riservate. Per questo motivo è fondamentale per le aziende adottare delle best practices con l’obiettivo di renderne il loro utilizzo sicuro.

Gli ultimi anni hanno inaugurato una nuova era per la mobilità aziendale: dall’utilizzo di notebook e telefono cellulare si è passati a dispositivi come smartphone e tablet che permettono di mettere insieme diverse esigenze.

Questi strumenti consentono di comunicare via voce o testo (SMS, chat, email), avere una connessione ad Internet always-on e utilizzare applicazioni per il proprio ambito lavorativo. I dati prodotti possono essere successivamente trasferiti su normali computer per un’elaborazione più completa.

I reparti IT sono quindi costretti a consentire l’utilizzo di questi dispositivi all’interno della rete aziendale, in molti casi senza adottare corrette policies e procedure e senza definire le opportune scelte per mettere in sicurezza tali dispositivi.

L’accesso alle reti tramite smartphone e tablet aumenta la produttività dei dipendenti, tuttavia i dispositivi non protetti che eseguono applicazioni potenzialmente dannose possono causare attacchi malware, perdita o furto di dati riservati e problemi di tipo legale.

  • Risk Analysis studio dello stato della sicurezza dei sistemi mobili all’interno della rete aziendale, individuazione dei punti critici e degli elementi di rischio, stima della probabilità  e del costo di eventuali attacchi
  • Policies and Procedures definizione delle policies aziendali e creazione delle procedure legate all’introduzione, gestione e dismissione di dispositivi mobili
  • Mobile Device Management consulenza nell’introduzione e nella scelta di un servizio di MDM per la gestione dell’intero asset aziendale di dispositivi mobili
  • Penetration Testing verifica della resistenza dei sistemi di difesa implementati dall’azienda e testing dei dispositivi mobili rispetto a diversi scenari (es. dispositivo perso o rubato, accesso a reti WiFi, installazione e utilizzo di applicazioni, possibilità  di jailbreaking/rooting)
  • Malware Analysis analisi della presenza di malware su dispositivi aziendali e individuazione di trasmissioni di dati riservati all’esterno dell’azienda
  • App Analysis analisi della sicurezza delle applicazioni mobili sviluppate dall’azienda rispetto ai diversi standard (es. OWASP Mobile Security Risks, PCI-DSS)

Per le attività  di Penetration Testing i nostri consulenti utilizzano processi e metodologie consolidate nell’ambito della Mobile Security, come OWASP Mobile Top 10 Risks.

  • Insecure data storage accesso alle informazioni confidenziali memorizzate all’interno del dispositivo mobile (es. username, passwords, cookies, log delle applicazioni)
  • Weak server side controls debolezza implementativa dei servizi di backend (es. applicazioni web vulnerabili a XSS, CSRF)
  • Insufficient trasport layer protection attacchi man-in-the-middle, tampering dei dati in transito, errori nei certificati di validazione
  • Client side injection attacchi diretti alle applicazioni web (es. SQL Injection)
  • Poor authorization and authentication autenticazione/autorizzazione basata su valori costanti nel tempo (es. IMEI, IMSI, UUID)
  • Improper session handling gestione non corretta delle sessioni all’interno della applicazioni (es. HTTP Cookies, OAuth tokens)
  • Security decision via untrusted inputs utilizzo improprio di URL per l’accesso a funzionalità  (es. reset del telefono, chiamate attraverso Skype)
  • Side Channel data leakage accesso a informazioni sensibili memorizzate senza possibilità  di controllo da parte dell’utente (es. Web caches, keystroke logging, screenshot, geo-positioning)
  • Broken cryptography implementazioni crittografiche di facile violazione e mancato utilizzo delle corrette API
  • Sensitive Information Disclosure accesso a informazioni confidenziali dal codice sorgente di un’applicazione (es. API Keys)