CYBER SECURITY
I Sistemi Informativi rappresentano, in tutte le loro componenti, punti nevralgici e vincolanti del progetto Aziendale. Proprio questa loro necessità aumenta la loro sensibilità a possibili compromissioni: una verifica proattiva non mediata da interessi personali non è un costo ma un investimento sulla resilienza del cuore pulsante dell’organizzazione stessa. La verifica della sicurezza non può essere fatta da chi fa la sicurezza stessa.
ANALISI OSINT
L’OSINT, acronimo di OpenSource INTelligence, è una disciplina che si occupa dello studio delle informazioni “aperte” o, per meglio dire, disponibili presso fonti pubblicamente (es. motori di ricerca, etc.). Nel caso specifico della sicurezza informatica, effettuare analisi OSINT significa cercare, ad esempio, l’esistenza di credenziali rubate disponibili entro i databases di data breaches passati (es. Collection#1, LinkedIn, MyHeritage, etc.), analizzare siti “cestino” per verificare se si è finiti in qualche lista discutibile, analizzare le informazioni rese note in passato (anche a più di 10 anni di distanza magari), identificare pattern di creazione email, etc.
Nell’analisi OSINT sui domini di un’azienda vengono effettuate moltissime tipologie d’analisi: dai dati tecnici dei record SPF al protocollo WHOIS, dai possibili domini omomorfi (domini che potrebbero essere utilizzati per finalità di phishing contro l’azienda e/o contro i suoi clienti) alle credenziali coinvolte in data breaches precedenti, e così via.
Se vuoi avere qualche specifica in più, leggi questo articolo!
Si tratta di un’analisi OSINT compiuta direttamente sui Top Manager aziendali come, ad esempio, membri del Board e Responsabili di servizi/aree dipartimentali, etc. Rappresenta un’azione invasiva e lesiva della privacy che non può essere compiuta senza l’autorizzazione esplicita ed informata dei singoli soggetti coinvolti: esattamente ciò che farebbe un criminale (N.d.A.: senza la parte del consenso).
L’obiettivo dell’analisi è identificare tutte le informazioni disponibili sul singolo utente che potrebbero portare a rischi informatici o fisici per la società o per la risorsa stessa (abitudini, informazioni personali dettagliate, etc.).
Queste informazioni non sono quasi mai reperibili tramite un’analisi OSINT su dominio in quanto richiedono di verificare la presenza di informazioni personali pubblicate anche sui social networks personali e non lavorativi (di qui l’acronimo SOCMINT ovverosia SOCial Media Intelligence).
Phishing/Malware Execution Simulation
Il Phishing degli utenti è una soluzione di formazione pratica e ha come obiettivo ultimo quello di insegnare ad ogni utente come si deve analizzare una email alla ricerca di possibili indicatori di pericolosità e, dunque, evitare che si verifichino scenari come, ad esempio, esecuzione di ransomware e malware implants in generale. Esistono vari livelli di complessità:
- Livello base: classico esempio di phishing applicabile all’intera infrastruttura aziendale (c.d. mass phishing);
- Livello standard: comprende una personalizzazione basilare dell’email e della landing page per rendere verosimile il test;
- Livello mirato: comprende un’elevata personalizzazione che può essere effettuata sia a livello societario che personale;
- Livello avanzato: comprende anche il test d’apertura/esecuzione di uno o più allegati potenzialmente pericolosi.
Dall’esecuzione di una simulazione di Phishing e/o di Malware Execution Simulation ci si possono aspettare due cose:
- Comprensione (e quantificazione) del rischio umano: quanto e quante persone hanno sottomesso i propri dati aziendali e/o hanno eseguito quell’allegato potenzialmente malevolo?
- Materiale di prima mano per spiegare ai tuoi utenti come e perché avrebbero dovuto rilevare la minaccia basandosi su un caso pratico e altamente realistico (quindi, questo aiuta a rimuovere quella brutta associazione tra SPAM della casella di posta personale e Phishing vero e proprio).
Una simulazione si conclude con la redazione di un report che analizza:
- Quanti utenti hanno sottomesso le proprie credenziali
- Quante di queste credenziali sono di natura debole
- Identificazione dei dispositivi (e delle relative vulnerabilità) che sono stati rilevati nel corso dell’attività
- Tracciatura geografica dei collegamenti: da dove si collegano gli utenti?
Vulnerability Assessment
Le analisi di sicurezza diferiscono dai penetration tests in quanto consistono in analisi effettuate senza tentativi d’intrusione. Sono meno invasive dei penetration tests e hanno un impatto minore sulla strutturazione societaria.
Le analisi di sicurezza concernenti i Local Area Network, ivi inclusi anche i circuiti SCADA/PLC, consentono d’avere una fotografia o, per meglio dire, un’istantanea, di tutti devices, reti e sottoreti, configurazioni in uso, etc., all’interno di una struttura locale non esposta alla rete e d’inviduare, di conseguenza, eventuali punti deboli che potrebbero essere sfruttati da un attaccante. Un Vulnerability Assessment include, per ogni vulnerabilità riscontrata, la relativa mitigazione.
Similmente ai Vulnerability Assessment su LAN/SCADA, le Analisi di Sicurezza relative alle Web Application consentono di comprendere quali punti deboli sono presenti in una web application ed avere, parimenti, tutte le relative mitigazioni del caso.
L’attività si conclude con la redazione di:
- Un report (PDF), suddiviso in due macro sezioni principali:
- Sezione “Executive” o “Business”, ovverosia una sezione in cui si riassumono, soprattutto in forma grafica, le principali rilevazioni e i relativi impatti, spiegati in maniera semplificata
- Sezione tecnica: sezione dettagliata in cui si espongono le principali rilevazioni tecniche e le relative mitigazioni oltre a dare un’indicazione di massima del piano di mitigazione.
- Un Asset Inventory (XLSX) [nel caso di analisi su LAN/SCADA], suddiviso in varie sezioni, che racchiude ogni nodo/servizio/etc rilevato nel corso dell’attività con le relative specifiche tecniche: rappresenta un punto fondamentale di ogni network gestito in sicurezza
- Un Piano di mitigazione (XLSX) in cui vengono esplicitate, ad una ad una, ogni vulnerabilità (CVE e non) rilevata durante l’attività correlata da relativo impatto e mitigazione in ordine di criticità e priorità (non solo su base di CVSS).
Penetration Test
I Penetration Tests, spesso abbreviati in Pentest, sono simulazioni d’attacchi informatici atti alla rilevazioni di vulnerabilità e/o misconfigurazioni dei sistemi informatici che potrebbero essere sfruttate da criminali informatici per le più svariate finalità.
Un penetration test si compone di varie fasi che dipendono, da un lato, dalla richiesta specifica della società, e, dall’altro, dalla strutturazione della stessa. Tendenzialmente, tuttavia, si possono distinguere delle fasi specifiche di un penetration test:
- La fase OSINT, acronimo di OpenSource Intelligence, rappresenta la fase di studio della presenza online di una determinata medianta analisi di tutte le informazioni pubblicamente disponibili.
- La fase di Vulnerability Scan rappresenta la prima ricognizione effettiva sulla strutturazione, o interna o esterna a seconda della tipologia di Penetration Test richiesto, alla ricerca di possibili falle da poter utilizzare per ottenere l’accesso, permessi interni elevati, etc.
- Studio circa la presenza di nuove vulnerabilità non precedentemente note (c.d. 0days) che potrebbero essere rappresentare una minaccia alla sicurezza.
- La fase di scrittura/adattamento dei exploit da utilizzarsi nella realizzazione dell’attacco.
Così come per i Vulnerability Assessment, i Penetration Test possono essere eseguiti sia su LAN che su Web Application oltreché su dispositivi IoT.
Essendo, tuttavia, più invasivi rispetto ad un Vulnerability Assessment, è necessario valutare attentamente se l’esecuzione di questa tipologia d’analisi può provare problematiche di varia natura (manipolazione di dati, disservizi, etc) e, nel caso ciò sia possibile, predisporre un ambiente di test dedicato.
Un Penetration Test si conclude sempre con la realizzazione di un report concernente tutte le vulnerabilità riscontrate, le eventuali misconfigurazioni rinvenute, le fonti di rischio, potenziali impatti e relative mitigazioni.
Efficiency Monitoring - SOC
Un Security Operation Center (SOC) rappresenta, senza alcun dubbio, un asset critico per la sicurezza di un’infrastruttura moderna. Tuttavia, è possibile che vi siano delle problematiche o delle tempistiche dannose nelle rilevazioni.
L’aumento del livello tollerato di “white noise”, per esempio, può costituire un problema per la rilevazione di tecniche d’attacco sofisticate ed eseguite da criminali skillati (non script kiddie quindi).
La nostra analisi vuole analizzare i tempi di reazione e le risposte ricevute dai SOC per rilevare finestre di vulnerabilità e/o configurazioni errate delle sonde che potrebbero lasciare un fianco esposto ad eventuali compromissioni.
Si tratta di un’attività di alto livello, eseguita esclusivamente per testare i livelli di reattività e prontezza del team di difesa. Quello che ci si può aspettare è d’identificare quali siano i margini di protezione e, parimenti, di miglioramento di cui si è attualmente dotati.
Anche quest’analisi si conclude con un report particolarmente dettagliato circa le rilevazioni ottenute e quali siano i margini di miglioramento possibili. Tutte le analisi effettuate vengono tracciate e consegnate con precisione di secondi per essere verificate dal team di difesa per strutturare e implementare controlli via via più precisi e migliorare, di conseguenza, la sicurezza aziendale.
SFOGLIA LA NOSTRA BROCHURE
Nel caso tu non riesca a vedere la brochure, prova a deselezionare il tema scuro oppure scaricala tranquillamente tramite il pulsante qui sotto!