_L'azienda _Analisi del rischio _Security Consulting _Chi siamo _Contatti
_L'azienda _Analisi del rischio _Security Consulting _Chi siamo _Contatti
 
"
"

I am regularly asked what the average Internet user can do to ensure his security. My first answer is usually 'Nothing; you're screwed'

Gene Spafford

_L'azienda

Enforcer vision

Vision

Noi di Enforcer riteniamo che il processo della sicurezza informatica non sia riducibile a un banale discorso di vendor, appliance e tecnologie. Ogni soluzione deve essere tagliata su misura sulle esigenze dei nostri Clienti, partendo dal nostro vasto background in materia di sicurezza dei sistemi informativi, arrivando alla soddisfazione delle Loro esigenze.

Enforcer vision

Mission

Grazie alle profonde competenze possedute e alle esperienze acquisite, possiamo fornire risposte immediate e complete per soluzioni integrate, metodologiche e tecnologiche, atte a delineare, rinforzare e correggere, verso l'obiettivo ultimo di assicurare la disponibilità, integrità e confidenzialità dei Vostri dati e sistemi informativi.

Enforcer vision
Enforcer mission

_Analisi del rischio

 
Vulnerability Assessment

Vulnerability Assessment

L'analisi delle vulnerabilità è mirata ad una valutazione tecnica del livello di sicurezza delle diverse componenti (infrastruttura di networking, sistemi di sicurezza, client, server, ...). L'obiettivo è identificare le vulnerabilità, le configurazioni errate e i punti critici in caso di attacco. Generalmente viene effettuata attraverso l'analisi delle configurazioni esistenti e dello stato di manutenzione (patch-level) di ogni singola apparecchiatura, comparate con i database di vulnerabilità note e con le tecniche di attacco comunemente utilizzate. Spesso rientra in una più ampia opera di analisi del rischio, di cui è importante complemento pratico, purché effettuata periodicamente. Oltre ad analizzare caso per caso i sistemi dal lato amministrativo, si effettuano generalmente attività di mapping della rete e simulazione di attacco.

Scopo del test è verificare mediante l'utilizzo di strumenti automatizzati la presenza di vulnerabilità specifiche nei sistemi e/o software in uso. A differenza di un penetration test però, lo scopo ultimo non è quello di simulare il più realisticamente possibile scenari di attacco reali; per questo il nostro team non tenterà di ottenere accesso abusivo a sistemi e/o risorse, quanto piuttosto mappare lo stato del bersaglio in termini di sicurezza delle configurazioni e dei software utilizzati.

 
Penetration Test / Ethical Hacking

Penetration Test / Ethical Hacking

La simulazione vera e propria di attacco informatico è mirata a replicare il comportamento di un attaccante esperto, riducendo al minimo i rischi di reale impatto sulle strutture in esercizio. Viene utilizzata come verifica pratica del grado di esposizione del sistema informativo nei confronti di malintenzionati, o per approfondire i risultati emersi da un precedente Vulnerability Assessment.

Può essere considerata il test sul campo del livello di sicurezza raggiunto ed è fondamentale per provare l'efficacia dei sistemi di sicurezza e networking (stabilità, logging, allarmi, reportistica, gestione, ...). Il livello di dettaglio e di analisi varia in base al campione del sistema informativo che si è scelto di considerare e alla tipologia di accesso.

Spesso quest'attività è affidata ad un tiger team esterno (ethical hacking) che sia completamente all'oscuro della configurazione e delle procedure di gestione, per simulare un attacco quanto più veritiero possibile. Per questo motivo il nostro team non utilizzerà software di scansione automatizzata, quanto piuttosto tool quali quelli usati dagli attaccanti stessi.

 
Application Security / WAPT

Application Security / WAPT

Si tratta di una simulazione di attacco particolarmente approfondita. Può essere dedicata ad applicativi proprietari sviluppati dal cliente, da fornitori terzi o a software poco diffusi commercialmente oppure, semplicemente, a situazioni in cui si desideri un livello di sicurezza molto elevato.

Il test di una applicazione può essere eseguito secondo due modalità distinte: blackbox e whitebox:

La modalità blackbox si fonda sul presupposto che il tester non conosca alcuna specifica del funzionamento interno dell'applicazione da testare. Questo costringe ad una analisi che si basi sul comportamento del software, piuttosto che su una verifica del suo funzionamento, appannaggio della modalità whitebox.

Quest'ultima serve infatti per testare applicazioni di cui si conoscano parzialmente o in toto gli internal, al fine di verificarne il funzionamento strutturale.

Quasi sempre, per ottenere risultati significativi da un punto di vista sia quantitativo che qualitativo, è necessario sottoporre ad entrambe le modalità l'applicazione da esaminare.

_

 
Training / Coaching

Training / Coaching

La sicurezza informatica non si riduce ad una mera questione di tecnologia, prodotti, servizi; è fondamentale acquisire le competenze necessarie ad una migliore valutazione dei rischi ed una gestione coerente delle problematiche organizzative e tecniche.

È necessario che management, staff tecnico ed utenza siano correttamente informati in relazione ai rispettivi ruoli: sensibilizzazione e sicurezza organizzativa per il management, training ed addestramento specifici per il personale tecnico, sensibilizzazione e best practices per l'utenza.

Anche qualora non si curi direttamente la gestione del sistema informativo, una formazione specifica interviene su uno degli anelli più deboli della catena: l'utenza finale ed il personale non tecnico.

 
Consulting

Consulting

Data la complessità delle problematiche coinvolte, una valutazione specialistica slegata da particolari prodotti e tecnologie favorisce una migliore analisi ed una ottimale pianificazione.

Come in ogni campo, un parere esterno e una valutazione specialistica slegata da particolari prodotti e tecnologie possono aiutare ad analizzare in maniera più completa la situazione ed effettuare una pianificazione adeguata: partendo dalle esigenze per arrivare al tipo di prodotto o tecnologia da implementare; specificando i passi e le condizioni contrattuali da richiedere o inserire nei bandi di gara; valutando correttamente le risorse e l'impatto implementativo; verificando il progetto, l'implementazione e l'esercizio.

 
Incident Handling

Incident Handling

L'analisi degli incidenti permette di identificare eventuali violazioni in corso, stimarne l'impatto e definire la corretta strategia di reazione. In caso di avvenuta violazione è necessario identificare tutte le componenti coinvolte e lo svolgimento dell'attacco per evitare che esso possa ripetersi, nonché definire eventuali responsabilità, eventualmente anche legali.

Il processo di gestione e risoluzione degli incidenti deve essere affrontato e pianificato a livello organizzativo nelle politiche di sicurezza e a livello tecnico tramite formazione dello staff (analisi e reazione, simulazioni) e degli utenti (corretta segnalazione).

Pianificare l'implementazione di queste attività e gestire le emergenze richiede esperienza e capacità di valutazione, per evitare di sovrastimare o, al contrario, sottovalutare l'accaduto, reagendo così in maniera non corretta; è sempre opportuno prevedere un meccanismo di “escalation” presso specialisti di fiducia, che possano consigliare i giusti passi per affrontare le problematiche.

 

_Chi siamo

Igor Falcomatà

Igor Falcomatà

Founder & Senior Security Consultant

Si occupa professionalmente di ricerca, consulenza e formazione nell'ambito della sicurezza dei sistemi informativi e delle reti di telecomunicazione dal '98 e di informatica dal '92.

Scopri di più
Matteo Falsetti

Matteo Falsetti

Founder & Senior Security Consultant

Dal 1996 ricercatore indipendente nel campo della sicurezza informatica con particolare attenzione ai protocolli di internetworking, ai sistemi di controllo ed autenticazione, alle vulnerabilità del software, autore

Scopri di più

Staff tecnico

Senior Security Consultant

Si occupano professionalmente di sicurezza logica da oltre 20 anni hanno collaborato con le principali aziende italiane che operano nel campo della sicurezza informatica e per le quali hanno svolto attività di consulenza,

Scopri di più
Igor Falcomatà

Igor Falcomatà

Supervisore dello staff tecnico
(CTO e Senior Security Consultat)

Si occupa professionalmente di ricerca, consulenza e formazione nell'ambito della sicurezza dei sistemi informativi e delle reti di telecomunicazione dal '98 e di informatica dal '92.  

Nella sua carriera ha seguito progetti per infrastrutture di sicurezza; attività di verifica ed analisi del rischio e delle vulnerabilità, ethical hacking, gestione e risposta agli incidenti informatici, formazione. Tra i clienti rientrano istituti bancari, enti pubblici ed aziende di rilevanza nazionale ed internazionale. Ha partecipato come docente o relatore a corsi, master e conferenze.  

Attività: analisi del rischio, analisi delle vulnerabilità di reti e sistemi, simulazioni di attacco; analisi e risposta agli incidenti informatici, analisi forense; formazione; consulenza strategica.

Matteo Falsetti

Matteo Falsetti

Supervisore dello staff tecnico
(CTO e Senior Security Consultat)

Dal 1996 ricercatore indipendente nel campo della sicurezza informatica con particolare attenzione ai protocolli di internetworking, ai sistemi di controllo ed autenticazione, alle vulnerabilità del software, autore di diversi “white paper” e software di “vulnerability assessment”, “penetration test” e “security enforcement” riconosciuti ed utilizzati dalla comunità dell’ICT Security.

Ha un'elevata conoscenza di programmazione (networking, kernel) in ambiente GNU/Linux, ambiente per cui ha rilasciato pubblicamente vari progetti di ricerca legati alla verifica dell'integrità del kernel e la protezione da moduli troiani (kstat, luce, ombra) o alla sovversione del traffico di rete (xTHOT, onos3ndai, etc.); si occupa di reverse engineering e programmazione in assembler x86, piattaforma per cui ha rilasciato numerosi exploit.

Staff tecnico

Senior Security Consultant

Si occupano professionalmente di sicurezza logica da oltre 20 anni hanno collaborato con le principali aziende italiane che operano nel campo della sicurezza informatica e per le quali hanno svolto attività di consulenza, di ricerca, formazione e project management presso telco, banche ed istituti di credito, compagnie di assicurazione, enti pubblici e parastatali, industria dei servizi e manifatturiera.

_

SFScon, Bolzano, 2019

Scarica pdf

Smart Cities vs (?) Cybersecurity

 Igor Falcomatà

Autenticazione e frodi nel mondo digitale, Bolzano, 2019

Scarica pdf

PSD2 e autenticazione: cosa cambia? Quali sono i rischi?

 Igor Falcomatà

Digital Security Festival ITClub FVG, Udine, 2019

Scarica pdf

Preoccuparsi di Cybersecurity

 Igor Falcomatà

ESC2k19, Venezia, 2019

Scarica pdf

OT Security: sicurezza (informatica) negli impianti industriali

 Igor Falcomatà

Security and Data Flows in the EU, FBK, Trento, 2019

Scarica pdf

Smart Cities vs (?) Cybersecurity

 Igor Falcomatà

Evento ISACA: La cyber security ci riguarda, Mantova, 2019

Scarica pdf

Sicurezza ICS SCADA negli impianti

 Igor Falcomatà
 

Easynet group

2019 - Nasce Easynet Group che attualmente comprende cinque società. Advison s.r.l., AppDigitali s.r.l., Enforcer s.r.l., Easynet s.p.a. e RGL Informatica r.g.l., Insieme siamo pronti a fornire soluzioni in vari ambiti, con professionisti di grande esperienza e giovani talenti.

Scopri di più

Advison è specializzata nei servizi di consulenza direzionale e nella realizzazione di soluzioni tecnologiche ad alto valore aggiunto.

Scopri di più

Appdigitali è specializzata nella grafica stampata, si occupa dell’intero processo dall’ideazione della comunicazione sino alla stampa.

Scopri di più

Easynet propone alle Aziende soluzioni d’integrazione tra sistemi informativi e tecnologie internet based, soluzioni avanzate sia nell’ambito dei sistemi IT che della sicurezza informatica.

Scopri di più

Enforcer, nata nel 2004, è una società di consulenza “vendor independent” specializzata nelle problematiche di sicurezza informatica.

RGL è Partner SAP dal 2004, è in grado di offrire consulenza, assistenza e supporto al management al fine di semplificare la gestione e il controllo dell’attività aziendale nel suo complesso.

Scopri di più
© 2020 - Enforcer S.r.l. | P.IVA 02203500596 | informativa sulla privacy e utilizzo dei cookie | Credits
Seguici sui nostri social

INFORMATIVA PRIVACY (semplificata)

Lo scopo dell'informativa privacy è di fornire la massima trasparenza relativamente alle informazioni che il sito raccoglie e come le usa.

In ottemperanza degli obblighi derivanti dalla normativa nazionale (D. Lgs 30 giugno 2003 n. 196, Codice in materia di protezione dei dati personali, e successive modifiche) e europea (Regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR), il presente sito rispetta e tutela la riservatezza dei visitatori e degli utenti, ponendo in essere ogni sforzo possibile e proporzionato per non ledere i diritti degli utenti.

Il presente sito non pubblica annunci pubblicitari, non usa dati a fini di invio di pubblicità, però fa uso di servizi di terze parti al fine di migliorare l'utilizzo del sito, terze parti che potrebbero raccogliere dati degli utenti e poi usarli per inviare annunci pubblicitari personalizzati su altri siti. Tuttavia il presente sito pone in essere ogni sforzo possibile per tutelare la privacy degli utenti e minimizzare la raccolta dei dati personali. Ad esempio, il sito usa in alcuni casi video di YouTube, i quali sono impostati in modo da non inviare cookie (e quindi non raccogliere dati) fino a quando l'utente non avvia il video. Potete osservare, infatti, che al posto del video c'è solo un segnaposto (placeholder). Il sito usa anche plugin sociali per semplificare la condivisione degli articoli sui social network. Tali plugin sono configurati in modo che inviino cookie (e quindi eventualmente raccolgano dati) solo dopo che l'utente ha cliccato sul plugin.

A titolo informativo si precisa che la gestione dei cookie è affidata alla piattaforma di web hosting, che utilizza esclusivamente cookie di natura tecnologica per le statistiche di accesso al sito. Nessuno di questi cookie contiene informazioni per il tracciamento dell'utente o per la sua identificazione. Anche l'indirizzo IP è anonimizzato, essendo l'ultimo ottetto troncato (ad es.: 192.168.1. invece di 192.168.1.155).

Per ulteriori informazioni potete leggere l'informativa completa qui sotto.

INFORMATIVA PRIVACY (completa)

Il presente sito tratta i dati prevalentemente in base al consenso degli utenti. Il conferimento del consenso avviene tramite il banner posto in fondo alla pagina, oppure tramite l’uso o la consultazione del sito, quale comportamento concludente. Con l'uso o la consultazione del sito i visitatori e gli utenti approvano la presente informativa privacy e acconsentono al trattamento dei loro dati personali in relazione alle modalità e alle finalità di seguito descritte, compreso l'eventuale diffusione a terzi se necessaria per l'erogazione di un servizio. Tramite i moduli di comunicazione o di richiesta di servizi vengono raccolti ulteriori consensi relativi alla finalità specifica del servizio.

Il conferimento dei dati e quindi il consenso alla raccolta e al trattamento dei dati è facoltativo, l'Utente può negare il consenso, e può revocare in qualsiasi momento un consenso già fornito (tramite le impostazioni del browser per i cookie, o facendone esplicita richiesta mediante il form di contatto). Tuttavia negare il consenso può comportare l'impossibilità di erogare alcuni servizi e l'esperienza di navigazione nel sito sarebbe compromessa.

Il trattamento dei dati raccolti dal sito, oltre alle finalità connesse, strumentali e necessarie alla fornitura del servizio, è volto alle seguenti finalità:

Statistica (analisi)
Raccolta di dati e informazioni in forma esclusivamente aggregata e anonima al fine di verificare il corretto funzionamento del sito. Nessuna di queste informazioni è correlata alla persona fisica o all'utente del sito e non ne consentono in alcun modo l'identificazione. Non occorre il consenso.

Sicurezza
Raccolta di dati e informazioni al fine di tutelare la sicurezza del sito (filtri antispam, firewall, rilevazione virus) e degli Utenti e per prevenire o smascherare frodi o abusi a danno del sito web. I dati sono registrati automaticamente e possono eventualmente comprendere anche dati personali (indirizzo Ip) che potrebbero essere utilizzati, conformemente alle leggi vigenti in materia, al fine di bloccare tentativi di danneggiamento al sito medesimo o di recare danno ad altri utenti, o comunque attività dannose o costituenti reato. Tali dati non sono mai utilizzati per l'identificazione o la profilazione dell'Utente e vengono cancellati periodicamente. Non occorre il consenso.

Dati raccolti

Il presente sito raccoglie dati degli utenti in due modi.

Dati raccolti in maniera automatizzata
Durante la navigazione degli Utenti possono essere raccolte le seguenti informazioni che vengono conservate nei file di log del server (hosting) del sito:
- indirizzo internet protocol (IP);
- tipo di browser;
- parametri del dispositivo usato per connettersi al sito;
- nome dell'internet service provider (ISP);
- data e orario di visita;
- pagina web di provenienza del visitatore (referral) e di uscita;
- eventualmente il numero di click.

Questi dati sono utilizzati a fini di statistica e analisi, in forma esclusivamente aggregata. L’indirizzo IP è utilizzato esclusivamente a fini di sicurezza e non è incrociato con nessun altro dato.

Dati conferiti volontariamente

Il sito può raccogliere altri dati in caso di utilizzo volontario del form di contatto e verranno utilizzati esclusivamente per l'erogazione del servizio richiesto:
- nome;
- indirizzo email.

Luogo del trattamento

I dati raccolti dal sito sono trattati presso la sede del Titolare del Trattamento nel caso di compilazione del form di contatto, e presso il datacenter del servizio di web hosting (Hetzner Online GmbH - Industriestr. 25, 91710 Gunzenhausen, DE), che è responsabile del trattamento dei dati e si trova nella Comunità Europea e agisce in conformità delle norme europee.

Cookie

Questo sito fa uso di cookie, file di testo che vengono registrati sul terminale dell'utente oppure che consentono l'accesso ad informazioni sul terminale dell'utente. I cookie permettono di conservare informazioni sulle preferenze dei visitatori, sono utilizzati al fine di verificare il corretto funzionamento del sito e di migliorarne le funzionalità personalizzando il contenuto delle pagine in base al tipo del browser utilizzato, oppure per semplificarne la navigazione automatizzando le procedure (es. Login, lingua sito), ed infine per l'analisi dell'uso del sito da parte dei visitatori.

Il presente sito può fare uso delle seguenti categorie di cookie:

cookie tecnici, utilizzati al solo fine di effettuare la trasmissione di una comunicazione elettronica, per garantire la corretta visualizzazione del sito e la navigazione all’interno di esso. Inoltre, consentono di distinguere tra i vari utenti collegati al fine di fornire un servizio richiesto all’utente giusto (Login), e per motivi di sicurezza del sito. Alcuni di questi cookie sono eliminati alla chiusura del browser (cookie di sessione), altri hanno una durata maggiore (come ad esempio il cookie necessario per conservazione il consenso dell’utente in relazione all’uso dei cookie). Per questi cookie non occorre consenso;

Informazioni importanti

Cliccando Continua sul banner presente al primo accesso al sito oppure navigando il sito, il visitatore acconsente espressamente all'uso dei cookie e delle tecnologie similari, e in particolare alla registrazione di tali cookie sul suo terminale per le finalità sopra indicate, oppure all'accesso tramite i cookie ad informazioni sul suo terminale. Il sito registra sul computer l'avvenuta accettazione creando un record nel localStorage del browser, se supportato.

Nessuno di questi cookie contiene informazioni per il tracciamento dell'utente o per la sua identificazione. Anche l'indirizzo IP è anonimizzato, essendo l'ultimo ottetto troncato (ad es.: 192.168.1. invece di 192.168.1.155).

Cookie di terze parti

Questo sito funge anche da intermediario per cookie di terze parti (come i pulsanti per i social network), utilizzati per poter fornire ulteriori servizi e funzionalità ai visitatori e per semplificare l'uso del sito stesso, o per fornire pubblicità personalizzata. Questo sito non ha alcun controllo sui loro cookie interamente gestiti dalle terze parti e non ha accesso alle informazioni raccolte tramite detti cookie. Le informazioni sull'uso dei detti cookie e sulle finalità degli stessi, nonché sulle modalità per l'eventuale disabilitazione, sono fornite direttamente dalle terze parti presso i loro siti web istituzionali.

Si rammenta che generalmente il tracciamento degli utenti non comporta identificazione dello stesso, a meno che l'Utente non sia già iscritto al servizio e non abbia anche già effettuato il login, nel qual caso si intende che lutente ha già espresso il suo consenso direttamente alla terza parte al momento dell'iscrizione al relativo servizio (es. Facebook).

Social Network

Il presente sito incorpora anche bottoni al fine di consentire una facile fruizione dei nostri contenuti sui tuoi social network preferiti. Quando visiti una pagina del nostro sito web che contiene un rimando esterno, il tuo browser si collega direttamente ai server del social network da dove è caricato il plugin, il quale server può tracciare la tua visita al nostro sito web e associarla al tuo account del social, in particolare se sei connesso al momento della visita o se hai recentemente navigato in uno dei siti web contenenti plugin social. Se non desideri che il social network registri i dati relativi alla tua visita sul nostro sito web, devi uscire dal tuo account del social e, probabilmente, eliminare i cookie che il social network ha installato nel tuo browser.

Sul presente sito sono installati plugin con funzioni di tutela avanzata della privacy degli Utenti, che non inviano cookie o accedono ai cookie presenti sul browser dell’Utente all’apertura della pagina ma solo dopo il click sul plugin.