Stime attendibili (Gartner, US Federal Bureau of Investigation, etc.) affermano che il 75% degli attuali crimini informatici è a livello applicativo e che il 79% di applicazioni Web-based (contenenti informazioni riservate - B2B, B2C e B2E) sono vulnerabili. La causa di questi attacchi, tra l'altro in forte aumento, è la poca attenzione nella messa in sicurezza delle applicazioni sia nella fase di sviluppo, sia nella fase di development. Le consolidate competenze di ZerO’clock anche nell'ambito dello sviluppo applicativo gli consentono di proporsi ai propri Clienti come partner ideale in grado di supportarli nella messa in sicurezza delle applicazioni durante tutto il ciclo di vita:

• Secure Coding Definizione degli standard e delle linee guida , sia applicabili internamente all'azienda, sia esigibili dalle terze parti, per la scrittura di codice sicuro. Implementazione di applicazioni sicure anche con l'ausilio di metodologie innovative come la Model Driven Security che consente l'inserimento di primitive di sicurezza (es. confidenzialità, integrità, autenticazione, autorizzazione e auditing) direttamente durante la fase di progettazione.

• Application Security Testing Esecuzione di test di sicurezza applicativa (SOA, Web, C/S, etc.) durante tutte le fasi del ciclo di vita del software di una applicazione software atti a determinarne le vulnerabilità e a suggerire le relative contromisure: Static Application Security Testing – analisi del codice (sorgente, binario e byte code) durante le fasi di implementazione e di test; Dynamic Application Security Testing – verifica black-box durante le fasi di test e di operations. Implementazione di infrastrutture per il test di sicurezza applicativa automatico e continuo.

• Application Hardening and Shielding Integrazione del software con funzioni di sicurezza (anche ad impatto nullo per gli sviluppatori) applicate in modo proattivo (es. anti-tampering obfuscation, input filtering, etc.)e reattivo (es. applicazione di una protezione a seguito dell’identificazione a determinazione di una vulnerabilità, esecuzione di una determinata azione a fronte di un tentativo di exploit) atte a determinare e prevenire intrusioni a livello applicativo.

• Application/Database Activity Monitoring & Intrusion Prevention Monitoraggio delle applicazioni (es. interazione con gli utenti, transazioni di back-end, etc.) e delle comunicazioni con i database (in modalità proxy-based o agent-based) al fine di identificare e prevenire le attività sospette o verificare la compatibilità con le politiche di sicurezza.

• Web Application Firewalling Soluzioni per il filtraggio del traffico destinato alle applicazioni Web e ai data servers.

• Mobile data Protection Soluzioni per la crittazione (software e/o hardware-based) delle informazioni memorizzate si sistemi mobili come laptops, PDA e smartphone.

• Content Monitoring & Filtering (CMF) & Data Loss Prevenction (DLP) Soluzioni per la determinazione e la prevenzione della divulgazione di informazioni riservate (es. numeri di carte di credito, formule chimiche, etc.) in grado di effettuare l’analisi linguistica dei contenuti del traffico di rete ed eseguire il relativo filtraggio in base alla compatibilità con il regolamento e le policy di sicurezza aziendali.