IBM Security ha annunciato oggi la creazione di IBM X-Force Red, un team di professionisti della sicurezza e di hacker etici nato con l’obiettivo di aiutare le aziende a identificare le vulnerabilità presenti nelle proprie reti informatiche, nell’hardware e nelle applicazioni software in anticipo rispetto ai pirati informatici. Il team, parte integrante di IBM Security Services, verificherà anche le vulnerabilità di sicurezza legate al fattore umano e relative ai processi e alle procedure quotidiane, che gli aggressori spesso utilizzano per eludere i controlli di sicurezza.

IBM X-Force Red è un team globale costituito da un network di centinaia di professionisti della sicurezza basati in diverse località in tutto il mondo, tra cui gli Stati Uniti, il Regno Unito, l’Australia e il Giappone. L’attività di IBM X-Force Red si avvale della security intelligence di IBM X-Force Research, della piattaforma di condivisione delle minacce IBM X-Force Exchange e di IBM Security AppScan per fornire un ulteriore livello di security testing basato anche su esperienza, intuizioni e creatività delle persone.

Gli attacchi dolosi contro le risorse aziendali sono in aumento, con il 64% di incidenti in più segnalati nel 2015 rispetto al 2014 come riportato dal X-Force IBM Cyber Security Intelligence Index di aprile 2016. Tuttavia, quando vengo rilasciate nuove soluzioni online, la sicurezza è spesso un aspetto trascurato. Ad esempio lo studio di IBM The State of Mobile Application Insecurity ha riscontrato che il 33% delle aziende non esegue test sulle applicazioni mobili per ricercare eventuali vulnerabilità di sicurezza. Gli aggressori che ricercano gli exploit zero-day per i propri attacchi analizzano invece costantemente le tecnologie esistenti, che pertanto richiedono una verifica periodica della sicurezza per garantire un’adeguata protezione.

IBM X-Force Red fornisce servizi per singoli progetti, attività di test in abbonamento e programmi di testing gestiti

Queste le quattro aree sulle quali si concentrerà l’attività di IBM X-Force Red.

Applicazioni – Penetration testing e revisione del codice sorgente per identificare le vulnerabilità di sicurezza nelle varie piattaforme (web, applicazioni mobili, terminali, mainframe e middleware).

Rete – Penetration testing delle frequenze interne, esterne, wireless e delle frequenze radio di altro tipo.

Hardware – Verifica della sicurezza tra gli ambienti fisici e digitali attraverso test dell’Internet of Things (IoT), dei dispositivi wearable, dei sistemi POS, dei bancomat, dei sistemi automotive e dei kioski self-service.

Fattore umano – Esecuzione di simulazioni di phishing, di social engineering, di ransomware e di violazioni della sicurezza fisica per determinare i rischi legati al comportamento umano.

IBM X-Force Red fornisce servizi di security testing secondo tre modelli: singoli progetti, attività di test in abbonamento e programmi di testing gestiti. Il modello in abbonamento offre una significativa flessibilità di budget, permettendo di allocare preventivamente determinate risorse economiche per i test senza dover definire in anticipo obiettivi specifici per gli stessi e nemmeno le tipologie di test richieste. I programmi di verifica gestiti sono ideali per le organizzazioni che non dispongono di personale dedicato alla sicurezza per determinare le priorità di test, documentare i requisiti correttivi e far applicare i necessari criteri.