- info@securityhub.it
- Lun - Dom: 8.00 am - 7.00 pm
Hai il dubbio che delle informazioni escano dalla tua azienda? Contattaci
Vulnerability assessment e
Penetration Test
Europe Security è una società IT specializzata nella sicurezza informatica per le aziende, associazioni ed enti pubblici.
// il nostro servizio diPenetration test e
Penetration test e
Vulnerability assessment
Il Penetration Testing (Pen Test) è un processo simulato di attacco informatico condotto su un sistema, una rete o un’applicazione per identificare vulnerabilità e valutare la capacità di resistenza dei sistemi di sicurezza. Il test viene effettuato da esperti di sicurezza informatica che utilizzano metodi e tecniche simili a quelli utilizzati dai criminali informatici per scoprire eventuali falle nella sicurezza. Il penetration test è condotto da esperti di sicurezza informatica, chiamati Penetration Testers o Ethical Hackers, che utilizzano metodi e tecniche simili a quelli utilizzati dai criminali informatici per scoprire eventuali falle nella sicurezza.
Il Vulnerability Assessment (VA) è un processo che consiste nell’identificazione, nella valutazione e nella classificazione delle vulnerabilità presenti in un sistema, una rete o un’applicazione. Il VA si concentra principalmente sull’identificazione delle vulnerabilità e sulla valutazione del loro impatto.
Penetration test
Il Penetration Testing è una metodologia importante per identificare le vulnerabilità dei sistemi di sicurezza e per valutare la capacità di resistenza di tali sistemi alle minacce informatiche, ma non è una soluzione unica per la sicurezza. È importante utilizzare una combinazione di metodologie e tecnologie per garantire una protezione efficace contro le minacce informatiche.
Il processo di Pen Test può essere suddiviso in diverse fasi, tra cui:
- Pianificazione: in questa fase si definiscono gli obiettivi del test, si identificano le risorse da testare e si stabiliscono le regole di engagement.
- Reconnaissance: in questa fase si raccolgono informazioni sull’obiettivo del test, come ad esempio l’indirizzo IP, i nomi dei domini, i sistemi operativi utilizzati, etc.
- Scanning: in questa fase si utilizzano strumenti automatici per identificare le vulnerabilità presenti nell’obiettivo del test.
- Exploitation: in questa fase si utilizzano le vulnerabilità identificate per accedere al sistema e guadagnare l’accesso privilegiato.
- Post-Exploitation: una volta che si è guadagnato l’accesso privilegiato, si cerca di estendere l’accesso e di raccogliere informazioni sensibili.
- Reporting: infine, si redige un rapporto che descrive i risultati del test, le vulnerabilità identificate e le raccomandazioni per la risoluzione dei problemi.
Il Pen Test può essere effettuato in diverse modalità, come ad esempio:
- Test di penetrazione esterna: che mira a simulare un attacco da parte di un utente esterno all’organizzazione
- Test di penetrazione interna: che mira a simulare un attacco da parte di un utente interno all’organizzazione
- Test di penetrazione wireless: che mira a simulare un attacco ai sistemi wireless dell’organizzazione
- Test di penetrazione applicativa: che mira a simulare un attacco alle applicazioni web dell’organizzazione
Il Penetration test è un’attività importante perché consente di valutare la sicurezza dei sistemi in modo realistico e di identificare eventuali vulnerabilità che potrebbero essere sfruttate da criminali informatici. Inoltre, fornisce all’organizzazione informazioni preziose su come proteggere meglio i propri sistemi e dati sensibili.
Il Penetration test può essere effettuato sia in maniera manuale che automatizzata. Gli strumenti automatizzati possono essere utilizzati per eseguire la scansione delle vulnerabilità e l’exploitation, ma gli esperti di sicurezza informatica devono essere in grado di interpretare i risultati e di valutare l’impatto delle vulnerabilità identificate.
Il Penetration test può essere effettuato sia in maniera “black-box” che in maniera “white-box”. Nel primo caso, gli esperti di sicurezza informatica non hanno alcuna conoscenza del sistema o della rete da testare, mentre nel secondo caso hanno accesso completo alle informazioni sul sistema o sulla rete.
In generale, il Penetration test può essere condotto in modo continuo o periodico, a seconda delle esigenze dell’organizzazione e delle risorse disponibili. In ogni caso, è importante che l’organizzazione disponga di una procedura per la gestione delle vulnerabilità identificate e che si impegni a risolverle nel più breve tempo possibile.
Inoltre, è importante che l’organizzazione disponga di una procedura per la gestione delle vulnerabilità identificate e che si impegni a risolverle nel più breve tempo possibile. È anche importante che l’organizzazione documenti tutti i passi del Pen Test e che ne condivida i risultati con il proprio team di sicurezza e con i responsabili delle diverse aree aziendali interessate, in modo da garantire che le vulnerabilità vengano risolte in modo tempestivo e che le raccomandazioni per la prevenzione di futuri attacchi vengano implementate efficacemente.
Vulnerability assessment
Il Vulnerability assessment è un processo utilizzato per identificare, classificare e valutare le vulnerabilità presenti in un sistema informatico o in una rete. Queste vulnerabilità possono essere causate da falle software, configurazioni errate, o errori umani. Il risultato di una valutazione delle vulnerabilità è un report dettagliato che descrive le vulnerabilità rilevate, la loro gravità e le raccomandazioni per la correzione. L’obiettivo del Vulnerability assessment è quello di aumentare la sicurezza del sistema o della rete, riducendo il rischio di attacchi informatici e violazioni della sicurezza.
Ci sono diversi metodi utilizzati per eseguire una valutazione delle vulnerabilità, tra cui la scansione delle porte, l’analisi del codice sorgente, l’analisi dei registri del sistema e la simulazione degli attacchi. La scansione delle porte è un metodo automatizzato che verifica la presenza di porte aperte e servizi in esecuzione su un sistema o una rete. L’analisi del codice sorgente implica la revisione manuale del codice sorgente per identificare eventuali vulnerabilità. L’analisi dei registri del sistema implica l’utilizzo di strumenti per analizzare i registri del sistema alla ricerca di attività sospette. La simulazione degli attacchi, nota anche come penetration testing, implica l’utilizzo di tecniche simili a quelle utilizzate da un attaccante per identificare le vulnerabilità del sistema.
Una volta completato il processo di valutazione delle vulnerabilità, è importante che le vulnerabilità rilevate vengano corrette in modo tempestivo per prevenire eventuali attacchi. La correzione delle vulnerabilità può includere la patching del software, la configurazione di sistemi di sicurezza, l’implementazione di politiche di sicurezza e la formazione degli utenti finali.
In sintesi, il Vulnerability assessment è un processo fondamentale per identificare e valutare le vulnerabilità presenti in un sistema informatico o in una rete, per ridurre il rischio di attacchi informatici e violazioni della sicurezza.
// SEMPRE AGGIORNATI SULLA
Sicurezza Informatica
Prevenire gli attacchi
Il continuo adattamento è essenziale per un’azienda che si occupa di sicurezza informatica. Le innovazioni tecnologiche apportano miglioramenti, tuttavia spesso introducono nuove vulnerabilità con ogni aggiornamento. Per mantenere la sicurezza informatica, un’azienda deve essere in grado di evolvere in parallelo con le tecnologie in continua evoluzione.
// Vi presentiamo
174 controlli di sicurezza informatica
Durante il nostro Penetration Test e Vulnerability Assessment procederemo ad effettuare fino a 174 tentativi di hackeraggio verso il vostro sistema.
A seconda della tecnologia e metodologia applicata la riuscita di tale tentativo di ingresso, furto o distruzione di dati si cataloga in 4 categorie:
.
| CVSS V3 Punteggio di Rischio | Livello di rischio potenziale |
| 0.1-3.9 | Basso |
| 4.0-6.9 | Medio |
| 7.0-8.9 | Alto |
| 9.0-10.0 | Critico |
I 174 controlli che andremo ad effettuare, come detto, portano a diversi livello di rischio se dovessimo certificare l’effettiva vulnerabilità informatica.
Le caratteristiche in comune a seconda del livello di rischio sono le seguenti:
RISCHIO INFORMATICO CRITICO
Le vulnerabilità che ottengono un punteggio nell’intervallo critico di solito hanno la maggior parte delle seguenti caratteristiche:
- Lo sfruttamento della vulnerabilità probabilmente comporta la compromissione a livello di root di server o dispositivi dell’infrastruttura.
- Lo sfruttamento è generalmente semplice, nel senso che l’aggressore non ha bisogno di particolari credenziali di autenticazione o conoscenza delle singole vittime e non ha bisogno di convincere un utente bersaglio, ad esempio tramite l’ingegneria sociale, a svolgere funzioni speciali.
RISCHIO INFORMATICO ALTO
Le vulnerabilità con un punteggio nella fascia Alto di solito hanno alcune delle seguenti caratteristiche:
- La vulnerabilità è difficile da sfruttare.
- Lo sfruttamento potrebbe comportare privilegi elevati.
- Lo sfruttamento potrebbe comportare una significativa perdita di dati o tempi di inattività.
RISCHIO INFORMATICO MEDIO
Le vulnerabilità con un punteggio medio di solito hanno alcune delle seguenti caratteristiche:
- Vulnerabilità che richiedono all’aggressore di manipolare le singole vittime tramite tattiche di ingegneria sociale.
- Vulnerabilità Denial of Service difficili da impostare.
- Exploit che richiedono a un utente malintenzionato di risiedere sulla stessa rete locale della vittima.
- Vulnerabilità in cui lo sfruttamento fornisce solo un accesso molto limitato.
- Vulnerabilità che richiedono privilegi utente per essere sfruttate con successo.
RISCHIO INFORMATICO BASSO
Le vulnerabilità nella fascia Basso in genere hanno un impatto minimo sull’attività di un’organizzazione.
Lo sfruttamento di tali vulnerabilità di solito richiede l’accesso al sistema locale o fisico.
Durante il nostro Penetration Test e Vulnerability Assessment procederemo ad effettuare fino a 174 tentativi di hackeraggio verso il vostro sistema.
A seconda della tecnologia e metodologia applicata la riuscita di tale tentativo di ingresso, furto o distruzione di dati si cataloga in 4 categorie:
| # | Controllo | Livello di rischio |
| 1 | OS Command Injection | Critico |
| 2 | SQL Injection (Second Order) | Alto |
| 3 | XML External Entity Injection | Alto |
| 4 | LDAP Injection | Alto |
| 5 | XPath Injection | Alto |
| 6 | XML Injection | Alto |
| 7 | ASP.NET Debugging Enabled | Critico |
| 8 | DoS Locking Customer Accounts | Medio |
| 9 | DoS Buffer OverfBassos | Medio |
| 10 | Storing too much data in session (DoS) | Alto |
| 11 | Writing user-provided data to disk (DoS) | Alto |
| 12 | HTTP Insecure methods available on Server | Alto |
| 13 | Out of band resource load (HTTP) | Alto |
| 14 | File path manipulation | Alto |
| 15 | Server-site JavaScript code injection | Alto |
| 16 | Perl code injection | Alto |
| 17 | Ruby code injection | Critico |
| 18 | Python code injection | Critico |
| 19 | Expression Language injection | Alto |
| 20 | Unidentified code injection | Alto |
| 21 | Server-side template injection | Alto |
| 22 | SSL injection | Alto |
| 23 | Stored XSS | Alto |
| 24 | HTTP response header injection | Alto |
| 25 | Reflected XSS | Alto |
| 26 | Client-side template injection | Alto |
| 27 | DOM-based XSS | Alto |
| 28 | Reflected DOM-based XSS | Alto |
| 29 | Stored DOM-based XSS | Alto |
| 30 | DOM-based JavaScript Injection | Alto |
| 31 | Reflected DOM-based JavaScript Injection | Alto |
| 32 | Stored DOM-based JavaScript Injection | Alto |
| 33 | Path-relative style sheet import | Variabile |
| 34 | Client-side SQLi (DOM-based) | Alto |
| 35 | Client-side SQLi (Reflected DOM-based) | Alto |
| 36 | Client-side SQLi (Stored DOM-based) | Alto |
| 37 | WebSocket Hijacking (DOM-based) | Alto |
| 38 | WebSocket Hijacking (Reflected DOM-based) | Alto |
| 39 | WebSocket Hijacking (Stored DOM-based) | Alto |
| 40 | Local Path Manipulation (DOM-based) | Alto |
| 41 | Local Path Manipulation (Reflected DOM) | Alto |
| 42 | Local Path Manipulation (Stored DOM-based) | Alto |
| 43 | Client-side XPATH Injection (DOM-based) | Basso |
| 44 | Client-side XPATH Injection (Reflected DOM) | Basso |
| 45 | Client-side XPATH Injection (Stored DOM) | Basso |
| 46 | Client-side JSON Injection (DOM-based) | Basso |
| 47 | Client-side JSON Injection (Reflected DOM) | Basso |
| 48 | Client-side JSON Injection (Stored DOM-based) | Basso |
| 49 | Flash cross-domain policy | Alto |
| 50 | Cross-origin resource sharing | Variabile |
| 51 | Cross-origin resource sharing (arbitrary) | Alto |
| 52 | Cross-origin resource sharing (encrypted) | Basso |
| 53 | Cross-origin resource sharing (all sub-domains) | Basso |
| 54 | Cross-site Request Forgery (CSRF) | Medio |
| 55 | SMTP header injection | Medio |
| 56 | Cleartext submission of password | Alto |
| 57 | External service interaction (DNS) | Alto |
| 58 | External service interaction (HTTP) | Alto |
| 59 | External service interaction (SMTP) | Variabile |
| 60 | Referrer dependent response | Variabile |
| 61 | Spoofable client IP address | Variabile |
| 62 | User-agent dependent response | Variabile |
| 63 | Password returned in a later response | Medio |
| 64 | Password submitted using GET method | Basso |
| 65 | Password returned in URL query string | Basso |
| 66 | SQL statement in request parameter | Medio |
| 67 | Cross-domain POST | Variabile |
| 68 | ASP.NET ViewState without MAC Enabled | Basso |
| 69 | XML entity expansion | Medio |
| 70 | Long redirection response | Variabile |
| 71 | Serialized object in HTTP message | Alto |
| 72 | Duplicate cookies set | Variabile |
| 73 | WebSocket Hijacking (DOM-based) | Alto |
| 74 | WebSocket Hijacking (Reflected DOM-based) | Alto |
| 75 | WebSocket Hijacking (Stored DOM-based) | Alto |
| 76 | Local Path Manipulation (DOM-based) | Alto |
| 77 | Local Path Manipulation (Reflected DOM) | Alto |
| 78 | Local Path Manipulation (Stored DOM-based) | Alto |
| 79 | Client-side XPATH Injection (DOM-based) | Basso |
| 80 | Client-side XPATH Injection (Reflected DOM) | Basso |
| 81 | Client-side XPATH Injection (Stored DOM) | Basso |
| 82 | Client-side JSON Injection (DOM-based) | Basso |
| 83 | Client-side JSON Injection (Reflected DOM) | Basso |
| 84 | Client-side JSON Injection (Stored DOM-based) | Basso |
| 85 | Flash cross-domain policy | Alto |
| 86 | Cross-origin resource sharing | Variabile |
| 87 | Cross-origin resource sharing (arbitrary) | Alto |
| 88 | Cross-origin resource sharing (encrypted) | Basso |
| 89 | Cross-origin resource sharing (all sub-domains) | Basso |
| 90 | Cross-site Request Forgery (CSRF) | Medio |
| 91 | SMTP header injection | Medio |
| 92 | Cleartext submission of password | Alto |
| 93 | External service interaction (DNS) | Alto |
| 94 | External service interaction (HTTP) | Alto |
| 95 | External service interaction (SMTP) | Variabile |
| 96 | Referrer dependent response | Variabile |
| 97 | Spoofable client IP address | Variabile |
| 98 | User-agent dependent response | Variabile |
| 99 | Password returned in a later response | Medio |
| 100 | Password submitted using GET method | Basso |
| 101 | Password returned in URL query string | Basso |
| 102 | SQL statement in request parameter | Medio |
| 103 | Cross-domain POST | Variabile |
| 104 | ASP.NET ViewState without MAC Enabled | Basso |
| 105 | XML entity expansion | Medio |
| 106 | Long redirection response | Variabile |
| 107 | Serialized object in HTTP message | Alto |
| 108 | Duplicate cookies set | Variabile |
| 109 | Input returned in response (stored) | Variabile |
| 110 | Input returned in response (reflected) | Variabile |
| 111 | Suspicious input transformation (reflected) | Variabile |
| 112 | Suspicious input transformation (stored) | Variabile |
| 113 | Open redirection (stored) | Basso |
| 114 | Open redirection (reflected) | Medio |
| 115 | Open redirection (DOM-based) | Basso |
| 116 | Open redirection (Stored DOM-based) | Basso |
| 117 | Open redirection (Reflected DOM-based) | Medio |
| 118 | SSl cookie without secure flag set | Medio |
| 119 | Cookie scoped to parent domain | Basso |
| 120 | Cross-domain referrer leakage | Variabile |
| 121 | Cross-domain script include | Variabile |
| 122 | Cookie without HTTPOnly flag set | Basso |
| 123 | Session token in URL | Medio |
| 124 | Password field with autocomplete enabled | Basso |
| 125 | Password value set in cookie | Medio |
| 126 | Browser cross-site scripting disabled | Variabile |
| 127 | HTTP TRACE method is enabled | Variabile |
| 128 | Cookie manipulation (DOM-based) | Basso |
| 129 | Cookie manipulation (reflected DOM-based) | Basso |
| 130 | Cookie manipulation (DOM-based) | Basso |
| 131 | Ajax request header manipulation (DOM-based) | Basso |
| 132 | Ajax request header manipulation (reflected) | Basso |
| 133 | Ajax request header manipulation (stored DOM) | Basso |
| 134 | Denial of service (DOM-based) | Variabile |
| 135 | Denial of service (reflected DOM-based) | Variabile |
| 136 | Denial of service (stored DOM-based) | Basso |
| 137 | HTML5 web message manipulation DOM-based | Variabile |
| 138 | HTML5 web message manipulation (reflected) | Variabile |
| 139 | HTML5 web message manipulation (stored DOM) | Variabile |
| 140 | HTML5 storage manipulation (DOM-based) | Variabile |
| 141 | HTML5 storage manipulation (reflected DOM) | Variabile |
| 142 | HTML5 storage manipulation (stored DOM) | Variabile |
| 143 | Link manipulation (DOM-based) | Basso |
| 144 | Link manipulation (reflected DOM-based) | Basso |
| 145 | Link manipulation (stored DOM-based) | Basso |
| 146 | Link manipulation (reflected & stored) | Variabile |
| 147 | Document domain manipulation (DOM-based) | Medio |
| 148 | Document domain manipulation reflected DOM | Medio |
| 149 | Document domain manipulation (stored DOM) | Medio |
| 150 | DOM data manipulation (DOM-based) | Variabile |
| 151 | CSS Injection (reflected & stored) | Medio |
| 152 | Client-side HTTP parameter pollution (reflected) | Basso |
| 153 | Client-side HTTP parameter pollution (Stored) | Basso |
| 154 | Form action hijacking (reflected) | Medio |
| 155 | Form action hijacking (stored) | Medio |
| 156 | Database connection string disclosed | Medio |
| 157 | Source code disclosure | Basso |
| 158 | Directory listing | Variabile |
| 159 | Email addresses disclosed | Variabile |
| 160 | Private IP addresses disclosed | Variabile |
| 161 | Social security numbers disclosed | Variabile |
| 162 | Credit card numbers disclosed | Variabile |
| 163 | Private key disclosed | Variabile |
| 164 | Cacheable HTTPS response | Variabile |
| 165 | Base64 encoded data in parameter | Variabile |
| 166 | Multiple content types specified | Variabile |
| 167 | HTML does not specify charset | Variabile |
| 168 | HTML uses unrecognized charset | Variabile |
| 169 | Content type incorrectly stated | Basso |
| 170 | Content ty[e is not specified | Variabile |
| 171 | SSL certificate | Medio |
| 172 | Unencrypted communications | Basso |
| 173 | Strict transport security not enforced | Basso |
| 174 | Mixed content | Variabile |
+
Paesi diversi
Con cui abbiamo collaborato per progetti in ambiti di Cyber Security
Sicurezza informatica aziendale 12+
// abbiamo partnerDa tutto il mondo
Da tutto il mondo
30+ Paesi nel network
//In cosa siamo specializzati
Alcuni dati su di noi
Abbiamo alcuni clienti che sono semplicemente certificati con noi, altri a cui seguiamo la sicurezza informatica… fedelissimi che si affidano a noi per tutti i loro reparti “critici” durante lo sviluppo.
ISO 27001 49%
Sicurezza Informatica Aziendale 79%
Anti Spionaggio Industriale 4%
Le domande che ci pongono più spesso
E’ rischioso per la società eseguire un penetration test?
In generale, un penetration test eseguito da professionisti qualificati e ben preparati può aiutare a identificare le vulnerabilità di sicurezza in un sistema o una rete, che possono poi essere corrette per proteggere la società contro gli attacchi informatici. Tuttavia, come con qualsiasi attività che coinvolga la manipolazione attiva del sistema, ci sono rischi associati all’esecuzione di un penetration test. Ad esempio, se il test non viene eseguito correttamente, può causare danni al sistema o alle applicazioni in esecuzione. Inoltre, se i risultati del test non vengono gestiti appropriatamente, possono essere utilizzati per perpetrare attacchi reali.
Per questo motivo è importante scegliere attentamente la società che esegue il penetration test. Occorre valutare attentamente i rischi e scegliere un fornitore qualificato e ben preparato per eseguire il test. Inoltre, è fondamentale che siano adottate misure appropriate per proteggere i dati sensibili durante l’esecuzione del test e che vengano stabilite procedure adeguate per gestire i risultati del test.
Quanto tempo occorre per eseguire un penetration test?
Il tempo necessario per eseguire un penetration test dipende dalle dimensioni e dalla complessità del sistema o della rete che si desidera testare, nonché dall’approccio e dalle metodologie utilizzate dal fornitore che esegue il test.
In generale, un penetration test di base può essere completato in pochi giorni o settimane, mentre un test più approfondito o un test di penetrazione simulata può richiedere diverse settimane o mesi.
Mediamente per testare una piattaforma web occorrono 15 giorni lavorativi.
Alcune delle attività che possono influire sul tempo necessario per completare un penetration test includono:
- la raccolta di informazioni sul sistema o sulla rete,
- la identificazione delle vulnerabilità,
- la verifica dell’esistenza delle vulnerabilità,
- la valutazione dell’impatto delle vulnerabilità,
- la redazione del report di valutazione.
È importante notare che il tempo necessario per completare un penetration test non è l’unico fattore da considerare. La qualità e l’accuratezza dei risultati del test sono di gran lunga più importanti rispetto al tempo necessario per completarlo.
Quanto costa eseguire un penetration test?
Per un penetration test di un portale web, il costo è di circa 2.500€ per 15 giorni di lavoro.
Alcuni dei fattori che possono influire sul costo di un penetration test includono:
- la dimensione e la complessità del sistema o della rete da testare,
- le metodologie e le attività utilizzate dal fornitore,
- la durata del test,
- il numero di tester coinvolti,
- l’ambito e la profondità del test.
Il costo di un penetration test può essere un investimento significativo per una società, ma può essere considerato come un investimento necessario per proteggere i propri sistemi e reti da attacchi informatici.
Qual è la differenza tra un vulnerability assessment ed un Penetration test fatto su una applicazione?
Un vulnerability assessment è un processo che mira a identificare le vulnerabilità presenti in un sistema o in un’applicazione. Generalmente, un vulnerability assessment non include l’esplorazione attiva del sistema per cercare di sfruttare le vulnerabilità identificate.
Un penetration test, invece, è un processo volto a simulare un attacco informatico contro un sistema o un’applicazione, al fine di identificare le vulnerabilità che potrebbero essere sfruttate da un attaccante. Il penetration test include l’esplorazione attiva del sistema e può anche includere la simulazione di un attacco per sfruttare le vulnerabilità identificate.
In sintesi la differenza principale è che un vulnerability assessment mira a identificare le vulnerabilità presenti in un sistema o in un’applicazione, mentre un penetration test mira a simulare un attacco informatico per identificare le vulnerabilità che potrebbero essere sfruttate da un attaccante.
Qual è l’obiettivo del penetration Pen test?
L’obiettivo di un test di penetrazione (pen test) è quello di simulare un attacco informatico contro un sistema, una rete o un’applicazione per identificare eventuali vulnerabilità e valutare la sicurezza del sistema. Il risultato del test fornisce informazioni sui punti deboli del sistema che possono essere utilizzati da un aggressore per accedere a dati sensibili o compromettere il funzionamento dell’infrastruttura. Il test di penetrazione può essere eseguito da professionisti della sicurezza informatica interni o esterni all’organizzazione e può essere utilizzato per valutare la sicurezza di una varietà di sistemi, tra cui reti, sistemi, applicazioni Web e dispositivi mobili.