
Scatena la forza
dei nostri Ethical Hacker,
inizia subito a proteggere
il tuo business
dei nostri Ethical Hacker,
inizia subito a proteggere
il tuo business
Il modello success fee che riduce i costi aziendali
Banche, operatori di servizi finanziari, assicurazioni, e-commerce provider, aziende automotive: nessun business che sfrutti le potenzialità della tecnologia sfugge al crimine informatico.
Il servizio di Cyber security di WhiteJar – Powered by UNGUESS garantisce l’accesso immediato, tramite piattaforma crowdbased, a centinaia di Hacker Etici, che ricevono un compenso per le vulnerabilità accertate in seguito a triage di validazione.

Il servizio completo di un modello scalabile
Console personale disponibile 24/7
Console proprietaria per comunicare con la Community di Ethical Hacker, accessibili 24 ore su 24.
Report verificato executive per i C-level
Possibilità di personalizzare il reporting per il CISO in autonomia tramite la piattaforma.
Sistema di tracciamento delle comunicazioni e reportistica
I report sono completi di:
- descrizione dettagliata della vulnerabilità accertata
- fasi di riproduzione/test di quanto accertato
- note correttive/suggerimenti di remediation
- note correttive/suggerimenti di remediation
- evidenze (immagini, richiesta/risposta http, video)
Sistema di tracciamento delle comunicazioni e reportistica
Integrazione con i più diffusi sistemi di tracciamento delle comunicazioni aziendali (JIRA, Redmine, ecc.)

Tipi di programmi

Pubbico o privato
I programmi di Bug Security Bounty, che il cliente lancia tramite piattaforma, possono essere pubblici, cioè aperti a tutti gli iscritti della Community, o privati, ovvero indirizzati a una selezione di Ethical Hacker profilati.
Bug Bounty / Subscription e Rewarding / One-shot o Ongoing
La subscription ha una validità minima di 12 mesi. Una volta attivata, il cliente può subito lanciare le sue Campagne di Bug Bounty, pubbliche o private, per un periodo di tempo limitato o a ciclo continuo, stabilendo ogni volta un budget per i reward delle vulnerabilità accertate, a favore degli Ethical Hacker.


Modello operativo
Domande frequenti
Il lavoro degli Ethical Hacker consiste nel segnalare le vulnerabilità, non nel risolverle. Il formato del report è completo di tutta la documentazione ed è composto da: Riproducibilità step-by-step, PoC, Suggested Mitigation, Tipo (es. SQLi), Gravità (es. CRITICAL) e media (es. screenshot).
Il tipo di vulnerabilità può variare da programma a programma, in base all’ambito o al fuori ambito definito con il Cliente. Possiamo lavorare, ad esempio, su RCE, SQLi, XSS, CSRF, Bypass di autenticazione, Escalation dei privilegi orizzontale o verticale.
Se il Cliente ha un obiettivo particolare, come ad esempio un test IoT, possiamo accertare il Tipo di Vulnerabilità.
Per entrare a far parte della Community, gli Hacker devono essere persone “conosciute” nell’ambito e firmare i Vincoli di riservatezza. In seguito, devono sottoscrivere un Codice Etico (articolo 2 dei nostri T&C) e seguire il Percorso di certificazione (articolo 3 dei nostri T&C) che prevede, tra le altre pratiche, la verifica dell’identità, delle certificazioni possedute e della formazione di vario genere. Questo processo implementa logiche simili alla procedura di verifica applicata nell’UE, denominata KYC. Le certificazioni accettate inizialmente evolvono nel tempo e possono riguardare: CEH, CISSP, GXPN, OSCP, GWAPT, GMOB.
Abbiamo scelto di accettare anche Ethical Hacker non certificati perché crediamo che le potenzialità del Crowd e il potere della coscienza collettiva siano più efficienti del lavoro del singolo Pen Tester. Il Cliente può scegliere di affidare la propria Campagna esclusivamente ad Ethical Hacker certificati, ma il nostro consiglio è di includere anche professionisti non dotati di certificazione, questo aumenterà le probabilità di rilevare vulnerabilità.
03. Posso aggiungere ulteirori elementi di controllo? Sono disponibili NDA e assicurazioni di indennità?
Sì, su richiesta possiamo creare un NDA personalizzato di secondo livello e attivare un’assicurazione extra per gestire le responsabilità (abbiamo già un’assicurazione di base fino a € 50.000 – Articolo 6 T&C). Verifichiamo tutti i documenti prima dell’inizio del programma e, se necessario, adattiamo il processo alla politica di conformità del Cliente, previa attivazione di un pacchetto aggiuntivo.
In questo momento, abbiamo esperienza con programmi di Bug Bounty privati e pubblici. Un programma può durare un periodo di tempo preciso, One-Shot (come 1 mese) o rimanere attivo per sempre, Ongoing (fino a quando non si decide di terminarlo).
Ma la nostra filosofia è rimanere flessibili e dare il massimo spazio al Cliente per interagire con la Community di Ethical Hackers. Ciò significa che possiamo lavorare anche su programmi personalizzati, purché apportino valore alla Comunità (ad esempio: programma Capture The Flag).
Il servizio è pensato per permettere al Cliente di interagire con un gruppo, più o meno ampio, di Ethical Hacker. Crediamo nella coscienza collettiva della nostra Comunità certificata e competente.
Il numero di Ethical Hacker coinvolti nei programmi può variare, di solito si inizia con un piccolo gruppo per espandersi durante il processo e adattarsi in base alla capacità del carico di lavoro del Cliente. Tutti questi elementi vengono concordati con il Cliente in fase di impostazione del Servizio.
Sì, possiamo attivare la “piattaforma di sicurezza”, ovvero trasmettere tutte le attività degli Ethical Hacker attraverso una VPN controllata, criptata e certificata dal team di WhiteJar.