03
0201
33%
l’ 80% delle impreseitaliane ha subitouna violazioneinformatica
solo il 33% teme
possa ripetersi
80%
IL CONTESTO – Una minaccia non percepita
In generale, le imprese non sono
preparate nella gestione degli
attacchi cyber – sia a livello
preventivo che reattivo
L’impatto economico
globale
$400
mld
Negli ultimi anni, a livello
internazionale, si è assistito ad
una crescente considerazione
del cyber crime quale
minaccia da cui difendersi
In Italia non è ancora percepito come un realepericolo, nonostante l’ 80% delle imprese italianeabbia subito una violazione informatica
Costo medio annuo degli attacchi cyber per le
aziende italiane è aumentato del 70% negli
ultimi 3 anni
Nessun settore è esente dagli attacchi, in
quanto oltre la metà hanno una finalità
economica
IL CONTESTO – Una minaccia non percepita
LA TRUFFA
HELPDESK
TARGET: email e password aziendaliTECNICA: vulnerability assesssment e phishing
MODALITA’: Durante lo svolgimento di alcuni test previsti dal security assessment si è venuti aconoscenza della presenza di un’importante vulnerabilità sull’Outlook Web Acces dell’aziendacliente. Sfruttando tale vulnerabilità (un semplice redirect nell’URL del sito aziendale) e tramite laclonazione della webmail aziendale è stata facilmente realizzata una campagna di phishing. E’ statacreata una mail falsa il cui mittente era «HELP DESK» (l’indirizzo mail era falso e non presentava ildominio aziendale [email protected]). La mail richiedeva ai dipendenti di sincronizzare lapropria casella di posta elettronica cliccando su un link ed andando ad inserire le proprie credenzialiaziendali in un apposito format. Il link era lecito nella sua prima parte dunque, grazie allosfruttamento della vulnerabilità del redirect, passava i sistemi antispam aziendali ma rimandaval’utente sul falso sito della webmail aziendale appositamente creato dai nostri laboratori. Idipendenti si ritrovavano su un sito del tutto simile a quello reale ed effettuavano il login credendodi trovarsi sul login della propria azienda.
RISULTATO: 116 password aziendali rubate comprese quelle dell’ufficio amministrativo e l’accesso alle relative informazioni
USE CASE – 1/3
Fonte use case: – www.securegroup.it
L’EVENTO
AZIENDALE
TARGET: email e password aziendaliTECNICA: Phishing
MODALITA’: A seguito della richiesta da parte di un grosso cliente bancario di verificare la sensibilitàdei propri dipendenti alle campagne di phishing abbiamo utilizzato alcune tecniche base diingegneria sociale per studiare la vita aziendale dei dipendenti e creare una campagna che avesse unALTO GRADO di INTRUSIVITA’. Studiando la storia dell’azienda e raccogliendo informazionipubbliche abbiamo scoperto che spesso venivano organizzati eventi aziendali presso la salaprincipale di un’azienda situata vicino alla loro sede. Dunque abbiamo creato una falsa mailproveniente da un falso mittente «[email protected]» (non appartenente al dominio [email protected]) che riportava l’invito per i dipendenti a partecipare ad un evento aziendale dedicatoad un famoso programma di cucina amatoriale il cui momento clou sarebbe stata la partecipazionead una sfida culinaria insieme ad un famoso chef italiano. La mail chiedeva di scaricare il pdf dellaserata e di prenotarsi per la partecipazione inserendo le proprie credenziali aziendali. Il sito era statoappositamente creato nei nostri laboratori ed era del tutto simile al sito di una grande televisione apagamento ed il pdf conteneva un malware (non dannoso e creato in laboratorio dai nostri tecnici)che si installava e inviava una conferma di installazione. Curiosità: la campagna ha fatto talmentescalpore da portare i dipendenti a stampare la locandina dell’evento ed appenderla nelle areecomuni di ristoro.
RISULTATO: 125 password aziendali rubate e 200 download dell’allegato
USE CASE – 2/3
Fonte use case: – www.securegroup.it
LA PRESA DEI
SISTEMI
INDUSTRIALI
TARGET: penetrare nell’infrastruttura aziendaleTECNICA: penetration test e tecniche di exploitation
MODALITA’: Durante un Penetration Test richiesto da un cliente appartenente al settorefood&beverage, i nostri security engineer sono riusciti ad entrare in un PC aziendale che aveva unaversione obsoleta di VNC (un protocollo di connessione ai desktop remoti). Tramite alcune tecnichedi exploitation, i nostri tecnici sono riusciti ad entrare in possesso del file delle password di VNC.Dopo aver ottenuto le credenziali di accesso, quest’ultime, sono state testate su tutta la rete. Così èiniziata una vera e propria fase di escalation durante la quale le credenziali sono state usate perottenere il controllo di tutti gli impianti industriali. Questa grave vulnerabilità avrebbe potutopermettere ad un eventuale malintenzionato di: Fermare l'impianto industriale; Danneggiare lestrutture; Mettere in pericolo gli operatori; Ottenere particolari dati e dettagli sui procedimenti diproduzione. (percentuali e procedimenti di cottura)
RISULTATO: ottenimento del controllo degli impianti industriali aziendali.
Fonte use case: – www.securegroup.it
USE CASE – 3/3
3
PROBLEMA SOLUZIONE
Quando un’impresa viene attaccata, non sa a chi rivolgersi Grazie a SOS Cyber, con una semplice telefonata, si ha
l’intervento immediato di una società specializzata
Le imprese scoprono di essere state attaccate in media dopo 6 mesi
Grazie ai servizi di monitoraggio SOS Cyber, è possibile individuare in tempo reale segnali di pericolo
Quando le imprese vengono attaccate subiscono, oltre che il danno economico, un pesante danno di immagine
Grazie a SOS Cyber, nella fase post-attacco, è possibile avere a disposizione un esperto di public relations e un contactcenter
Le imprese colpite, nell’immediatezza più che di un risarcimento, hanno la necessità di far ripartire l’attività
Grazie a SOS Cyber è possibile ripristinare l’attività aziendale in tempi brevissimi con la fornitura dei dispositivi
La direttiva NIS dell’UE del 2016 ha imposto dei requisiti minimi più rigidi in ambito di sicurezza informatica
Grazie alla competenza delle Società specializzate fornitrici dei servizi SOS Cyber, le PMI hanno la possibilità di conformarsi
AGIREMONITORAREPREVENIRE
SOS Cyber è un insieme di servizi chepermette di mitigare il rischiopreventivamente, di monitorare lo statodell’infrastruttura informatica e di intervenirequando è avvenuto un attacco.
Vulnerability scan : scansione e verifiche tecniche sulle eventuali vulnerabilità
Cyber Risk exposure: simulazione attacco informatico
Phishing attack simulation: attuazione campagne di phishing mirate verso utentiinterni e conseguente valutazione dei risultati
Workstation Security: verifica della sicurezza della postazione lavoro
User education: creazione di contenuti formativi sui principali rischi informatici
Insieme di servizi che hanno l’obiettivo di garantire un adeguato livello di sicurezza mitigando il rischio di cyber attack
PREVENZIONE
IS for system admin: formazione tecnica con i responsabili della conduzione di sistemi informatici
Cyber security configuration management: definizione e/o raffinamento delle configurazioni tecnichesu apparati in cui l’assistenza preventiva di personale esperto può aiutare ad incrementare la sicurezzagenerale
Internal network security configuration & design: verifica il livello di aggiornamento dei vari firewall
Recovery Disk Preparation/Secure image management: predisposizione di opportuni back up necessari per lariconfigurazione dei dispositivi eventualmente attaccati
DNS/WEB abuse monitoring: azioni di monitoraggio sull’utilizzo del nome di dominioaziendale nelle comunicazioni e nei contenuti diffusi online (all’insaputa dell’aziendastessa)
Cyber Security Monitoring Services: Verifiche su indicazioni reperibili dalla rete e nonstrettamente dipendenti dall’ICT sotto il controllo dell’azienda.Servizi tecnologici a supporto del monitoraggio delle attività interne dei sistemicostituenti l’ICT del cliente
Servizi tecnologici che hanno la funzione di monitorare nel tempo alcunielementi/caratteristiche che consentono di valutare il grado diesposizione al rischio di attacco informatico
MONTORAGGIO
Cyber loss mitigation: ripristino dello stato di operatività di server, postazioni di lavoro o altri dispositivi.Deterioramento fisico/logico dei supporti e/o dei file system, causati da eventi fisici o dall’azione di malware, escludendo l’azione di ransomware e quindi il tentativo di recupero di file cifrati
Cyber forensics: esecuzione di specifici strumenti di analisi sulle infrastrutture e isistemi coinvolti
Cyber crisis management: supporto professionale alla gestione della “crisi” in relazione ai media e al pubblico in generale.Predisposizione numero verde/dedicato e contact point per le comunicazioni/risposte alla clientela
Protection for Business interruption: fornitura di strumenti di lavoro sostitutivi per ilperiodo necessario al recupero della funzionalità degli asset aziendali compromessi
Cyber risk legal package: tutela per la responsabilità legale
Servizi che costituiscono una reazione di natura tecnologica alverificarsi di un evento avverso che impatta sull'IT
REAZIONE
Una centrale operativa
disponibile 24h/7gg
CANALI DI CONTATTO
Un network di fornitori
selezionati e specializzati
in ambito cyber per
l’erogazione delle
prestazioni
FORNITORI
Accesso ai servizi SOS
Cyber attraverso un
codice alfanumerico
personale
IL PIN IL SERVIZIO
Il servizio viene erogato,
nella quasi totalità dei
casi, in remoto
IL FUNZIONAMENTO
PMI
Broker distribuisce alle PMI codice pin + codice
identificativo
PMI chiama Centrale operativa BA per
esporre l’esigenza
Operatore BA, identifica PMI, raccoglie l’esigenza
e contatta fornitore
Fornitore cyber contatta PMI per l’erogazione della prestazione che risponde
all’esigenza espressa
Fornitore, al termine dell’erogazione della prestazione, invia a
BA un report
BA, a prestazione erogata, contatta la PMI per monitorare
la customer satisfcaction
PRE-EROGAZIONE EROGAZIONE POST-EROGAZIONE
PMI paga direttamente il
fornitore
CUSTOMER JOURNEY