Vulnerability Assessment, Research & Exploitation. Il servizio sarà erogato in modalità one shot da remoto e prevederà una fase di preparazione in funzione della soluzione target con l’esecuzione delle attività sottoelencate: ● redazione documentale: si procede alla redazione dei due documenti di Legal Agreement (LA) e di Rules Of Engagement (ROE). ● raccolta di informazioni: fase svolta al fine di reperire il maggior numero di informazioni sulla struttura della rete, delle componenti dei sistemi oggetto di analisi; ● individuazione delle vulnerabilità: tramite un set opportuno di strumenti automatizzati e correttamente configurati verrà collezionata una lista delle potenziali vulnerabilità note a cui potrebbero essere soggetti i sistemi analizzati; ● classificazione delle vulnerabilità: le vulnerabilità individuate saranno classificate in funzione di livelli di priorità d’intervento secondo lo standard CVSS. Nel dettaglio, la fase operativa del servizio prevede: ● esecuzione one shot di un Vulnerability Assessment sul perimetro di indirizzamento IP interno (o privato); ● analisi dei risultati; ● individuazione delle vulnerabilità attraverso l’esecuzione di test ad hoc che consentano di accertare l’impatto sui sistemi in analisi; ● assegnazione delle priorità/severità ai rischi di sicurezza in base al contesto; ● correlazione dei risultati delle fasi precedenti e la definizione del piano di rientro (remediation plan). Le attività oggetto di test saranno eseguite a valle della formalizzazione dei documenti riportati sotto. ● Legal Agreement (Manleva): Un accordo stabilito tra le parti che autorizza il Security Assessment Team a svolgere le attività specifica e che lo scarica da responsabilità per eventuali danni o disservizi creati. ● Regole di Ingaggio: Documento che contiene indicazione di inizio e durata delle singole fasi, le finestre orario in cui verranno erogate le attività, l’elenco dei deliverable, l’assegnazione dei ruoli e delle responsabilità per il fornitore e l’Amministrazione e il perimetro oggetto di analisi. Tali documenti costituiscono perimetro e modalità di esecuzione dei test e devono essere sottoposti ad accettazione e firma dal cliente, in mancanza delle quali non sarà possibile procedere all’esecuzione dei test. Oltre ai documenti di manleva e regole di ingaggio al completamento delle stesse saranno consegnati i seguenti deliverable denominati: ● VA Results Executive Summary: Il report contiene una overview di tipo executive ad alto livello delle vulnerabilità individuate, ordinate p...
