Skip to content
green background
Metti al sicuro il tuo Business
Proteggere i dati della propria infrastruttura e offrire al grande pubblico prodotti e servizi affidabili è l'unico modo per essere sempre più competitivi in un'economia fortemente digitalizzata.
Slash-logo

Le vulnerabilità e i rischi diffusi della sicurezza informatica

Banche, Operatori di Servizi Finanziari, Assicurazioni, E-commerce provider, Aziende Automotive: nessun Business che sfrutti le potenzialità della tecnologia sfugge oggi al crimine informatico.
WhiteJar è il player ideale a cui affidare la gestione delle Campagne di ricerca delle vulnerabilità dei sistemi, perché offre un servizio innovativo che garantisce l’accesso immediato a una vasta rete di professionisti dell’Hacking Etico, pronti a individuare i problemi e a proporre soluzioni di remediation efficaci.

Plus - 1

Rapporti di fiducia

La fiducia che le Aziende ripongono nell’eticità delle persone a cui affidano il controllo della sicurezza dei loro sistemi è il requisito alla base del lavoro degli esperti certificati della nostra Community.

Plus - 2

Competenze certificate

Le procedure di reclutamento, di accertamento delle competenze e di certificazione garantiscono la professionalità e l’affidabilità degli Ethical Hacker.

Plus - 3

Contatto immediato con gli esperti

L’attivazione dei professionisti della Community avviene tramite una Campagna aperta sulla piattaforma che può essere rivolta a tutti gli iscritti o riservata a una selezione di specialisti.

Plus - 4

Sistema di comunicazione integrato

Per una migliore comunicazione asincrona, contestuale e in tempo reale, la piattaforma si integra con i più moderni sistemi di gestione di comunicazione aziendale.

Plus - 5

Controllo totale

Il supporto e l’affiancamento costante del Team di esperti WhiteJar aiutano a prevenire gli attacchi e a intervenire in maniera tempestiva in caso di pericolo o vulnerabilità accertate.

Plus - 6

Compliance normativa

La piattaforma è sviluppata conformemente alle più importanti e moderne common practice di Cybersecurity.

Il modello operativo

1

STEP. 1

Richiedi una demo tramite il modulo di contatto online.

2

STEP. 2

Fissa la call per conoscere i vantaggi e il funzionamento della piattaforma.

3

STEP. 3

Ricevi le credenziali per accedere alla piattaforma e attivare il servizio.

4

STEP. 4

Definisci lo schema di vulnerabilità e di reward e lancia la tua Campagna di ingaggio.

5

STEP. 5

Ricevi le notifiche delle vulnerabilità accertate, i report ed i consigli di remediation.

6

STEP. 6

Pubblica nuove Campagne in totale autonomia.

Cosa offriamo

Console personale disponibile 24 ore su 24

Console proprietaria per comunicare con la Community di Ethical Hacker, disponibile 24 ore su 24.

Report tecnici customizzabili comprensivi della descrizione delle vulnerabilità accertate completi di:

  • Fasi di riproduzione/test di quanto accertato;
  • Note correttive/suggerimenti di remediation;
  • Evidenze (immagini, richiesta/risposta http, video).

Report verificato executive per i C-level

Possibilità di customizzare in autonomia il reporting per il CISO tramite la piattaforma.

Sistema di tracciamento delle comunicazioni e reportistica

Integrazione con i più diffusi sistemi di tracciamento delle comunicazioni aziendali (JIRA, Redmine, ecc.).

Tipi di programmi

man smiling with laptop

Pubblico o privato

Il programma può essere pubblico, ovvero aperto a tutti gli iscritti alla Community, oppure privato, ovvero comunicato solo a una selezione di Ethical Hacker.

Bug bounty / Subscription e rewarding / One-shot o ongoing

Una volta attivata la subscription, per un minimo di 12 mesi, e configurato l'accesso alla piattaforma, il Cliente è libero di pubblicare tutte le sue Campagne, stabilendo ogni volta un budget per i reward delle vulnerabilità accertate a favore degli Ethical Hacker.

man smiling with laptop

Domande frequenti

Il lavoro degli Ethical Hacker consiste nel segnalare le vulnerabilità, non nel risolverle. Il formato del report è completo di tutta la documentazione ed è composto da: Riproducibilità step-by-step, PoC, Suggested Mitigation, Tipo (es. SQLi), Gravità (es. CRITICAL) e media (es. screenshot).

Il tipo di vulnerabilità può variare da programma a programma, in base all’ambito o al fuori ambito definito con il Cliente. Possiamo lavorare, ad esempio, su RCE, SQLi, XSS, CSRF, Bypass di autenticazione, Escalation dei privilegi orizzontale o verticale.
Se il Cliente ha un obiettivo particolare, come ad esempio un test IoT, possiamo accertare il Tipo di Vulnerabilità.

Per entrare a far parte della Community, gli Hacker devono essere persone “conosciute” nell’ambito e firmare i Vincoli di riservatezza. In seguito, devono sottoscrivere un Codice Etico (articolo 2 dei nostri T&C) e seguire il Percorso di certificazione (articolo 3 dei nostri T&C) che prevede, tra le altre pratiche, la verifica dell’identità, delle certificazioni possedute e della formazione di vario genere. Questo processo implementa logiche simili alla procedura di verifica applicata nell’UE, denominata KYC. Le certificazioni accettate inizialmente evolvono nel tempo e possono riguardare: CEH, CISSP, GXPN, OSCP, GWAPT, GMOB.

Abbiamo scelto di accettare anche Ethical Hacker non certificati perché crediamo che le potenzialità del Crowd e il potere della coscienza collettiva siano più efficienti del lavoro del singolo Pen Tester. Il Cliente può scegliere di affidare la propria Campagna esclusivamente ad Ethical Hacker certificati, ma il nostro consiglio è di includere anche professionisti non dotati di certificazione, questo aumenterà le probabilità di rilevare vulnerabilità.

Sì, su richiesta possiamo creare un NDA personalizzato di secondo livello e attivare un’assicurazione extra per gestire le responsabilità (abbiamo già un’assicurazione di base fino a € 50.000 – Articolo 6 T&C). Verifichiamo tutti i documenti prima dell’inizio del programma e, se necessario, adattiamo il processo alla politica di conformità del Cliente, previa attivazione di un pacchetto aggiuntivo.

In questo momento, abbiamo esperienza con programmi di Bug Bounty privati e pubblici. Un programma può durare un periodo di tempo preciso, One-Shot (come 1 mese) o rimanere attivo per sempre, Ongoing (fino a quando non si decide di terminarlo).

Ma la nostra filosofia è rimanere flessibili e dare il massimo spazio al Cliente per interagire con la Community di Ethical Hackers. Ciò significa che possiamo lavorare anche su programmi personalizzati, purché apportino valore alla Comunità (ad esempio: programma Capture The Flag).

Il servizio è pensato per permettere al Cliente di interagire con un gruppo, più o meno ampio, di Ethical Hacker. Crediamo nella coscienza collettiva della nostra Comunità certificata e competente.
Il numero di Ethical Hacker coinvolti nei programmi può variare, di solito si inizia con un piccolo gruppo per espandersi durante il processo e adattarsi in base alla capacità del carico di lavoro del Cliente. Tutti questi elementi vengono concordati con il Cliente in fase di impostazione del Servizio.

Sì, possiamo attivare la “piattaforma di sicurezza”, ovvero trasmettere tutte le attività degli Ethical Hacker attraverso una VPN controllata, criptata e certificata dal team di WhiteJar.

Sì, possiamo configurare una point-to-point VNP tra WhiteJar e i sistemi aziendali interni del Cliente, in modo da avere tutti gli Ethical Hacker sulla stessa linea.

Questa non è una procedura standard. Di solito non condividiamo informazioni personali e, in conformità con la GDPR, preferiamo mantenere privata l’identità dei nostri Hacker. Tuttavia, sottoscrivendo uno specifico contratto e accordandosi con gli Hacker, possiamo chiedere a un piccolo gruppo di Ethical Hacker il consenso a trasmettere i loro dati personali al Cliente. Solo gli Ethical Hacker che accettano questa condizione potranno, di conseguenza, partecipare ai programmi lanciati dal Cliente.

Il budget per il pagamento delle vulnerabilità viene definito con il Cliente in fase di setup insieme a un limite massimo. Il budget ha validità trimestrale e il limite fissato può variare nel corso dell’anno. Tutto ciò che supera l’importo stabilito è a carico di WhiteJar, senza costi aggiuntivi per il Cliente.