SOAR

La tecnologia SOAR (Security Orchestration, Automation and Response) aiuta a coordinare, eseguire e automatizzare le attivita’ tra persone e strumenti, consentendo alle aziende di rispondere rapidamente agli attacchi alla sicurezza informatica. Lo scopo e’ quello di migliorare la loro posizione complessiva in materia di sicurezza. Gli strumenti SOAR utilizzano playbook (strategie e procedure) per automatizzare e coordinare i flussi di lavoro che possono includere strumenti di sicurezza e mansioni manuali.

In che modo SOAR aiuta nel campo della sicurezza?

1. Combinando in un’unica soluzione l’orchestrazione della sicurezza, l’automazione intelligente, la gestione degli incidenti e le indagini interattive.
2. Facilitando la collaborazione dei team e consentendo agli analisti della sicurezza di intraprendere azioni automatiche sugli strumenti in tutto il loro stack di sicurezza.
3. Fornendo ai team un’unica console centralizzata per gestire e coordinare tutti gli aspetti della sicurezza della loro azienda.
4. Ottimizzando la gestione dei casi, incrementando l’efficienza con l’apertura e la chiusura dei ticket per investigare e risolvere gli incidenti.

Perche’ le aziende necessitano di un SOAR?

Le compagnie moderne devono affrontare regolarmente molte sfide e ostacoli, quando di tratta di lotta contro i cyber threat.

Una prima sfida e’ rappresentata da un volume sempre crescente di minacce complesse per la sicurezza. Inoltre, gli strumenti di sicurezza coinvolti molto spesso faticano a parlare tra loro, il che e’ di per se’ un ostacolo fastidioso.

Un cosi’ grande numero di dati e software, non puo’ che significare un numero elevato di allarmi di sicurezza. Infatti, sono troppi i dati di intelligence sulle minacce per consentire ai team di classificare manualmente, assegnare priorita’, indagare e indirizzare le minacce. Inoltre, il lavoro degli addetti alla sicurezza comporta competenze molto specifiche e con l’aumentare della richiesta e’ sempre piu’ complicato trovare un numero sufficiente di addetti alla sicurezza per svolgere il lavoro.

Implementazione del sistema

SOAR aiuta le aziende ad affrontare e superare queste sfide consentendo loro di:

Unificare i sistemi di sicurezza esistenti e centralizzare la raccolta dei dati per ottenere piena visibilita’.
Automatizzare le attivita’ manuali ripetitive e gestire tutti gli aspetti del ciclo di vita degli incidenti.
Definire l’analisi degli incidenti e le procedure di risposta, oltre a sfruttare i playbook di sicurezza per dare priorita’, standardizzare e scalare i processi di risposta in modo coerente, trasparente e documentato.
Identificare e assegnare in modo rapido e preciso i livelli di gravita’ degli incidenti agli allarmi di sicurezza e supportare la riduzione degli allarmi.
Identificare e gestire meglio le potenziali vulnerabilita’ in modo proattivo e reattivo.
Indirizzare ogni incidente di sicurezza all’analista piu’ adatto a rispondere, fornendo al contempo funzioni che supportino una facile collaborazione e il monitoraggio tra i team e i loro membri.

Applicazioni pratiche

Qui di seguito ho voluto elencare qualche esempio pratico di come un SOAR entra in azione in determinate situazioni.

Gestione degli allarmi

Arricchimento e risposta del phishing: attivazione di un playbook. Automazione ed esecuzione di attivita’ ripetibili come il triage e il coinvolgimento degli utenti interessati. Applicare un’estrazione e il controllo degli indicatori per l’identificazione di falsi positivi, in seguito richiedere l’attivazione del SOC per una risposta standardizzata su scala.

Infezione da malware degli endpoint: estrazione dei dati di alimentazione delle minacce dagli strumenti degli endpoint e arricchimento di tali dati. Riferimenti incrociati tra i file recuperati e gli hash con una soluzione SIEM, notifica agli analisti, pulizia degli endpoint e aggiornamento del database degli strumenti.

Login utente non riuscito: dopo un numero predefinito di tentativi di login utente non riusciti, valutando se un login non riuscito e’ autentico o dannoso, un SOAR puo’ attivarsi in vari modi. Innanzi tutto mettendo in pratica un playbook, coinvolgendo gli utenti e in seguito analizzando le loro risposte, poi anche le password in scadenza e infine chiudendo il processo.

Caccia alle minacce

Indicatori di compromesso (IOC): prendere ed estrarre gli indicatori dai file, rintracciare gli indicatori attraverso gli strumenti di intelligence e aggiornare i database.

Analisi del malware: verifica di dati da fonti multiple, estrazione ed eliminazione dei file dannosi. Successivamente viene generato un rapporto e controllata la presenza di malizia.

Risposta agli incidenti cloud: questo avviene attraverso l’utilizzo di dati provenienti da strumenti di rilevamento delle minacce e di registrazione degli eventi focalizzati sul cloud. I dati vengono poi unificati tra le infrastrutture di sicurezza cloud e on-premises, messi in correlazione grazie a un SIEM. Gli indicatori sono poi estratti e arricchiti, per poi controllare la presenza di malizia. Un ultimo passaggio di controllo umano agli analisti che fanno una loro revisione delle informazioni aggiornano il database e chiudono il caso.

I benefici di un SOAR

In sostanza un SOAR implementa metodi di lavoro e protocolli di azione nel sistema di lotta alle minacce informatiche di un azienda. In questo modo migliora notevolmente l’efficienza operativa e accelera il rilevamento degli incidenti cosi’ come i tempi di risposta, che vengono, di fatto, standardizzati.

Un SOAR aumenta la produttivita’ degli analisti e consente loro di concentrarsi sul miglioramento della sicurezza invece che sull’esecuzione di attivita’ manuali.

Sfruttando e coordinando gli investimenti tecnologici di sicurezza esistenti in un’azienda e’ possibile davvero fare la differenza.

Contattaci

Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

SOAR: cos’e’ e come puo’ essere utile per le aziende

Sicurezza: pentest e verifica delle vulnerabilita’

 

Please follow and like us:
Standard ISO 27001

Una domanda legittima che spesso ci si pone e’ se il Penetration Test sia necessario per la conformita’ allo standard ISO 27001. Per comprendere appieno la risposta, bisogna chiarire cosa si intende con questi termini e capire la relazione tra tutte le componenti del meccanismo di certificazione.

Standard ISO 27001

Una norma tecnica, impropriamente chiamata anche standard, e’ un documento che descrive le specifiche che un certo oggetto / ente / entita’ deve rispettare per poter essere certificato. In generale, una norma descrive i requisiti di materiali, prodotti, servizi, attivita’, processi, terminologia, metodologie e altri aspetti che riguardano l’oggetto della norma stessa. In parole molto semplici, le norme sono regole che regolamentano quasi ogni cosa offrendo degli standard costruttivi e metodologici.

Lo standard ISO 27001 (ISO/IEC 27001:2013) e’ la norma internazionale che descrive le best practice per un ISMS, Information Security Management System (Sistema di Gestione della Sicurezza delle Informazioni, SGSI, in italiano). Seppur seguire la norma non sia obbligatorio, e’ necessario per ottenere una certificazione a garanzia della sicurezza logica, fisica e organizzativa.

Ottenere una certificazione ISO 27001 permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato. La sicurezza e’ garantita essere in linea con lo standard internazionale e gli obiettivi aziendali.

Di grande importanza per lo standard ISO 27001 e’ l’allegato A “Control objective and controls”, che contiene i 133 controlli a cui  l’azienda interessata deve attenersi. 

Vulnerability Assessment e Penetration Test

Quando si esegue un’analisi delle vulnerabilita’ (o Vulnerability Assessment) sulla rete e sui sistemi informatici, si mira a identificare tutte le vulnerabilita’ tecniche presenti nei sistemi operativi e nei software. Alcuni esempi di vulnerabilita’ possono essere SQL Injection, XSS, CSRF, password deboli, ecc. L’individuazione delle vulnerabilita’ indica che esiste un rischio riconosciuto per la sicurezza a causa di un problema di un qualche tipo. Non dice se e’ possibile o meno sfruttare la vulnerabilita’. Per scoprirlo, e’ necessario effettuare un Penetration Test (o pentest).

Per spiegare quanto detto sopra, immaginate di avere un’applicazione web vulnerabile all’SQL Injection che potrebbe consentire ad un malintenzionato di eseguire operazioni nel database. Una VA identifica tale vulnerabilita’, vale a dire che potrebbe essere possibile accedere al database. In seguito alla valutazione della vulnerabilita’, se viene effettuato un pentest e la vulnerabilita’ puo’ essere sfruttata, si dimostrerebbe l’esistenza del rischio

Per rispettare il controllo A.12.6.1 dell’allegato A della norma ISO 27001, e’ necessario impedire lo sfruttamento delle vulnerabilita’ tecniche. Tuttavia, la decisione su come procedere spetta a voi. E’, quindi, necessario eseguire un Pentest? Non necessariamente.

Dopo l’analisi delle vulnerabilita’, potremmo riparare e sistemare le debolezze ed eliminare il rischio prima di eseguire un pentest. Quindi, ai fini della conformita’ allo standard ISO 27001 si puo’ ottenere il risultato richiesto semplicemente eseguendo la valutazione della vulnerabilita’ e risolvendo i potenziali problemi che si sono riscontrati.

Detto questo, raccomandiamo vivamente di effettuare un Penetration Test completo per esser davvero sicuri del rispetto della norma. Puo’ aiutarvi a dare priorita’ ai problemi e vi dira’ quanto sono vulnerabili i vostri sistemi.

Rivolgersi a professionisti

Esistono sul mercato diverse soluzioni per svolgere pentest. Sono software che possono agevolare il lavoro e facilitare il test, ma se azionati da personale inesperto, possono anche creare dei problemi. e’ possibile che la rete ne risulti rallentata e i computer sensibilmente meno reattivi, fino anche a possibili crash di uno o piu’ dei sistemi coinvolti.

Puntando alla certificazione per lo standard ISO 27001, e’ meglio non fare gli eroi e assicurarsi davvero che i controlli siano rispettati. Richiedere l’intervento di professionisti del settore, serve proprio a minimizzare i rischi e assicurarsi che il processo sia svolto in modo impeccabile

SOD offre un servizio di verifica delle vulnerabilita’ e pentest affidandosi ad hacker etici professionisti. Dopo un primo colloquio, le varie fasi del processo sono eseguite per verificare e testare le potenziali minacce. E’ possibile anche richiedere che la verifica delle vulnerabilita’ sia svolta con regolarita’ per verificare la sicurezza dei sistemi. 

Richiedi informazioni specifiche, oppure visita la pagina dedicata. Per ulteriori informazioni sulle nostre certificazioni, e’ possibile visitare l’apposita pagina.

Contattaci

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

 

Please follow and like us:
Network Lateral Movement

Durante un attacco informatico, gli hacker hanno un unico obiettivo in mente. Questo obiettivo potrebbe essere l’accesso alla macchina di uno sviluppatore e il furto del codice sorgente di un progetto, l’analisi delle e-mail di un particolare dirigente o l’estrazione di dati dei clienti da un server. Tutto cio’ che devono fare e’ entrare nella macchina o sistema che contiene i dati desiderati, giusto? Non proprio. In realta’, e’ un po’ piu’ complicato di cosi’. Per raggiungere il loro obiettivo, e’ probabile che gli hacker si introducano in un server web di basso livello, in un account di posta elettronica o un dispositivo per dipendenti, per fare qualche esempio. Da quel nodo, si muoveranno lateralmente (da cui il nome network lateral movement) per raggiungere il loro obiettivo.

In effetti, quando gli aggressori compromettono una risorsa in una rete, quel dispositivo non e’ quasi mai la loro destinazione finale. La compromissione iniziale, inoltre, raramente causa gravi danni e potrebbe passare inosservata. Solo se le squadre di sicurezza sono in grado di rilevare un lateral movement prima che gli aggressori raggiungano l’obiettivo previsto, e’ possibile prevenire la violazione dei dati.

In questo articolo esamineremo alcuni dei tipi piu’ comuni di network lateral movement e identificheremo i modi in cui possiamo rilevare l’attacco e difenderci.

Capire il network lateral movement

Il lateral movement avviene quando un aggressore si impossessa di una risorsa all’interno di una rete e poi estende la sua portata da quel dispositivo ad altri all’interno della stessa rete. Vediamolo con uno schema per aiutarci a capire meglio.

Il perimetro dell’infrastruttura da penetrare e’ rappresentato con una linea orizzontale. La meta’ superiore rappresenta cio’ che e’ al di fuori della rete, mentre cio’ che si trova al di sotto della linea rappresenta cio’ che e’ all’interno. Affinche’ un aggressore possa entrare nella rete, deve muoversi verticalmente, cioe’ dall’esterno verso l’interno (chiamato anche traffico Nord-Sud). Ma una volta che si e’ stabilito un punto d’appoggio, e’ possibile muoversi lateralmente o orizzontalmente, cioe’ all’interno della stessa rete (chiamato traffico Est-Ovest) per raggiungere l’obiettivo finale dell’attacco.

Lateral Movement - Schema

Possibile percorso di un lateral movement. La freccia indica i nodi della rete che vengono coinvolti nell’attacco.

Gli approcci al Lateral Movement

Nel complesso, ci sono due comuni metodi con cui un hacker applica il lateral movement.

Primo approccio: l’aggressore effettua una scansione interna per scoprire quali altre macchine si trovano all’interno della rete. In particolare, scansiona le porte aperte che sono in ascolto e le macchine che soffrono di vulnerabilita’. A quel punto, l’aggressore puo’ abusare di queste debolezze per spostarsi lateralmente verso un’altra risorsa.

Il secondo approccio al lateral movement sfrutta credenziali rubate, ed e’ il piu’ comune dei due. In questo tipo di attacco, l’hacker potrebbe utilizzare una tecnica di phishing via e-mail per infettare una macchina che si interfaccia con un particolare server. Dopo potra’ utilizzare il suo accesso per recuperare le password tramite un keylogger o altri strumenti simili. A questo punto, puo’ utilizzare qualsiasi credenziale sia stato in grado di ottenere per impersonare l’utente vittima del phishing e accedere a un’altra macchina. Una volta stabilito l’accesso su quel computer, si puo’ ripetere la tattica cercando ulteriori credenziali e/o privilegi da sfruttare. In questo modo, il malintenzionato puo’ farsi strada e creare connessioni remote al dispositivo target.

In entrambi i casi e’ complicato individuare l’attacco, perche’ non si presenta tramite malfunzionamenti di software o applicazioni.

Come difendersi

Un lateral movement si manifesta spesso tramite un’attivita’ di rete anomala. E’ sospettoso, ad esempio, che una macchina, che dialoga normalmente con poche altre, inizi a scansionare l’intera rete. Lo stesso vale se quella macchina tenta di connettersi a porte aperte, di interagire con servizi e credenziali con cui normalmente non ha contatti, o di utilizzare un nome utente che non e’ mai stato utilizzato prima.

La lista dei campanelli d’allarme va avanti all’infinito. La cosa fondamentale da capire e’ che un lateral movement implica macchine che fanno qualcosa fuori dalla loro routine, senza un’adeguata autorizzazione da parte dell’IT.

Questo e’ cio’ che da’ alle organizzazioni la possibilita’ di rilevare questo tipo di attacchi. Implementare una monitorizzazione dei log file e’ un primo passo per la difesa. Idealmente, i dati dovrebbero essere costantemente analizzati per individuare anomalie e possibili brecce.

Problematiche nella difesa

Queste difese non sono infallibili. I team di sicurezza che si affidano semplicemente ai log file limitano la portata della loro posizione difensiva, ad esempio, a causa di log file raccolti solo da particolari applicazioni. Si potrebbe decidere di monitorare un certo servizio per i furti di credenziali, ma gli aggressori potrebbero non sfruttare quel particolare servizio per effettuare un lateral movement. Cio’ significa che tutte le azioni dannose che non utilizzano i servizi monitorati non verranno rilevate tempestivamente.

Oltre a questo, gli hacker conoscono i tipi di protocolli che il personale di sicurezza tende a monitorare, rendendo il loro compito ulteriormente complesso. Gli attaccanti possono usare questa conoscenza per modellare le loro campagne di attacco in modo da avere maggiori possibilita’ di passare inosservati. E’ uno dei motivi per cui e’ stato creato il database MITRE ATT&CK, per raccogliere tecniche conosciute e alzare le difese.

Il vantaggio di un SOCaaS

Non e’ sufficiente che le organizzazioni cerchino il lateral movement utilizzando i log file o uno strumento EDR. E’ necessario rivolgere l’attenzione alla rete nel suo complesso. In questo modo e’ possibile vedere tutto il traffico di rete, stabilire una baseline della normale attivita’ di rete per ogni utente e dispositivo e in seguito monitorare le azioni insolite che potrebbero essere indicative di attacchi. E’ conosciuto come anomaly detection, ed e’ piu’ completo e spesso piu’ facile rispetto all’esame di ogni log file alla ricerca di eventi fuori dalla norma.

Il problema del anomaly detection e’ che molte di queste irregolarita’ sono benigne, e si perde quindi molto tempo ad analizzarle. Cio’ che serve per separare il lateral movement dannoso dalle anomalie di rete benigne e’ la comprensione dell’aspetto del comportamento dannoso

E’ qui che entra in gioco un sistema completo che utilizza sia strumenti di analisi comportamentale che tecnici professionisti della sicurezza.

Il SOCaaS offerto da SOD comprende un Security Data Lake (SDL) per la raccolta dei dati e vari strumenti per l’analisi degli stessi. Uno di questi e’ lo UEBA, particolarmente indicato per la rilevazione di minacce sociali, in quanto analizza tramite IA i comportamenti degli utenti usando le loro azioni come fonte dei dati.

Con questi e altri strumenti che compongono il SOC, e’ possibile attivamente ridurre il rischio di attacchi ai propri dati aziendali. Se sei interessato a saperne di piu’ del SOCaaS di SOD, ti invito a visitare la pagina dedicata o a contattarci direttamente.

Contattaci

Link utili:

Il SOCaaS e’ utile per la tua azienda?

SOCaaS

 

Please follow and like us:
Mitre Att&ck cover

Mitre Att&ck e’ una knowledge base globale di tattiche e tecniche avversarie basate su osservazioni reali degli attacchi cibernetici. Queste sono visualizzate in matrici organizzate per tattiche di attacco, dall’accesso iniziale al sistema al furto di dati, fino al controllo della macchina. Esistono matrici per le comuni piattaforme desktop (Linux, macOS e Windows) e per quelle mobili.

Cos’e’ e cosa significa MITRE ATT&CK ™?

ATT&CK sta per “adversarial tactics, techniques, and common knowledge” e cioe’: tattiche, tecniche avversarie e conoscenze comuni. Cerchiamo di andare piu’ a fondo.

Tattiche e tecniche sono un modo moderno di pensare gli attacchi cibernetici. Piuttosto che guardare ai risultati di un attacco, cioe’ a un indicatore di compromissione (IoC), gli analisti della sicurezza dovrebbero guardare alle tattiche e alle tecniche che indicano che un attacco e’ in corso. Le tattiche rappresentano l’obiettivo che si vuole raggiungere, mentre le tecniche rappresentano il modo in cui un avversario conta di raggiungerlo.

La common knowledge o conoscenza comune e’ l’uso documentato di tattiche e tecniche utilizzate dagli avversari. Essenzialmente, la common knowledge e’ la documentazione delle procedure usate da chi sferra gli attacchi. Chi ha familiarita’ con la sicurezza informatica, potrebbe avere familiarita’ con il termine “tattiche, tecniche e procedure” o TTP. Questo stesso concetto e’ stato usato da ATT&CK ™, con la sostituzione del termine procedure con common knowledge.

Chi e’ MITRE e qual e’ l’obiettivo di ATT&CK ™?

MITRE e’ un’organizzazione di ricerca finanziata dal governo USA con sede a Bedford, MA, e McLean, VA. La societa’ e’ stata scorporata dal MIT nel 1958 ed e’ stata coinvolta in una serie di progetti commerciali e top secret per diverse agenzie. Questi includevano lo sviluppo del sistema di controllo del traffico aereo della FAA e del sistema radar AWACS. Il MITRE ha una sostanziale pratica di sicurezza informatica finanziata dal National Institute of Standards and Technology (NIST).

Una curiosita’: la parola Mitre non significa nulla. A quanto pare uno dei primi membri, James McCormack, voleva un nome che non significasse nulla ma che fosse evocativo. Alcuni pensano erroneamente che significhi Massachusetts Institute of Technology Research and Engineering.

L’obiettivo di ATT&CK e’ quello di creare un elenco completo delle tattiche e delle tecniche avversarie conosciute utilizzate durante un attacco cibernetico. Aperto alle organizzazioni governative, educative e commerciali, dovrebbe essere in grado di raccogliere un’ampia, e si spera esaustiva, gamma di fasi e sequenze di attacco. MITRE ATT&CK ha lo scopo di creare una tassonomia standard per rendere piu’ specifiche le comunicazioni tra le organizzazioni.

Come si usa la matrice ATT&CK ™?

La matrice organizza visivamente tutte le tattiche e le tecniche conosciute in un formato di facile comprensione. Le tattiche di attacco sono mostrate in alto e le singole tecniche sono elencate in basso in ogni colonna. Una sequenza di attacco comporterebbe almeno una tecnica per tattica, e una sequenza di attacco completa sarebbe costruita spostandosi da sinistra (Accesso iniziale) a destra (Comando e controllo). E’ possibile utilizzare piu’ tecniche per una sola tattica. Per esempio, un attaccante potrebbe provare sia uno Spearphishing Attachment che uno Spearphishing Link come tattiche di accesso iniziale.

Ecco un esempio di matrice:

Mitre Atta&ck matrice

In questa matrice sono presenti tutte le fasi di una sequenza di attacco. E’ organizzata in modo che le tattiche siano ordinate da destra a sinistra secondo la sequenza di attacco. Sotto ogni tattica le tecniche corrispondenti, alcune delle quali contengono delle sotto-tecniche. Le due tecniche citate prima, sono in effetti sotto-tecniche del phishing che fa parte del primo passaggio nella sequenza (prima colonna a sinistra).

Esempio

Non e’ necessario che un attaccante usi tutte e undici le tattiche nella parte superiore della matrice. Piuttosto, l’attaccante utilizzera’ il numero minimo di tattiche per raggiungere il suo obiettivo, in quanto e’ piu’ efficiente e fornisce meno possibilita’ di scoperta. In questo attacco (illustrato nello schema qui sotto), l’avversario esegue l’accesso iniziale alle credenziali dell’assistente amministrativo del CEO utilizzando uno Spearphishing link consegnato in una e-mail. Una volta in possesso delle credenziali dell’amministratore, l’aggressore cerca un Remote System Discovery della fase Discovery.

Fasi di un attacco

Esempio: le tattiche e le tecniche usate nella fasi di un attacco

Supponiamo che stiano cercando dati sensibili in una cartella Dropbox alla quale anche l’amministratore ha accesso, quindi non c’e’ bisogno di aumentare i privilegi. La raccolta, che e’ l’ultima fase, viene eseguita scaricando i file da Dropbox alla macchina dell’aggressore.

Si noti che se si utilizza l’analisi del comportamento, un analista della sicurezza potrebbe rilevare l’attacco in corso identificando il comportamento anomalo dell’utente.

Ed e’ proprio quello che un SOC dovrebbe fare, ecco, grossomodo, come potrebbe essere mitigato l’attacco: supponiamo che l’amministratore abbia cliccato un link che nessuno dell’azienda ha mai cliccato prima, poi l’amministratore e’ entrato in una particolare cartella di Dropbox in un momento insolito. Durante la fase finale dell’attacco, il computer dell’aggressore e’ entrato per la prima volta nella cartella Dropbox. Con l’analisi comportamentale, queste attivita’ verrebbero segnalate come comportamento sospetto dell’utente.

Consultare ATT&CK

Per consultare questa risorsa e’ sufficiente visitare il suo sito e ci si trovera’ davanti alla matrice di cui ho pubblicato uno screenshot poco fa. Supponiamo di voler consultare la tecnica Spearphishing Link. Cliccando su di essa, verra’ aperta la pagina corrispondente che contiene informazioni approfondite a riguardo, come una descrizione della tecnica, quali sotto-tecniche esistono, degli esempi di procedura che la includono e i suggerimenti per la mitigazione del rischio. 

In sostanza sono disponibili tutte le informazioni necessarie per conoscere e difendersi in modo appropriato da ogni tecnica.

Tecnica Spearphishing Link Scheda Mitre Att&ck

La parte iniziale della scheda della tecnica Spearphishing Link.

Conclusioni

I vantaggi di una risorsa come MITRE ATT&CK sono davvero notevoli. I team di sicurezza informatica hanno a disposizione un alleato prezioso, a cui possono aggiungere degli strumenti dedicati alla sua consultazione.

Se e’ quasi certo che gli aggressori si stanno adattando man mano che i difensori mettono in opera nuove competenze, e’ anche vero che ATT&CK fornisce un modo per descrivere le nuove tecniche che essi sviluppano. 

Contattaci

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

Il SOCaaS e’ utile per la tua azienda?

SOCaaS – Security Operation Center as a Service

Please follow and like us:
SOCaaS - Post Cover

Nell’articolo di oggi, spiegheremo cos’e’ un Security Operations Center (SOC) e aiuteremo a determinare se una soluzione SOC-as-a-Service (SOCaaS) sia adatta alla vostra azienda. Solo perché dovete gestire la sicurezza informatica, non significa che la vostra azienda si debba occupare di sicurezza informatica. Di fatto il vostro core business potrebbe essere praticamente qualsiasi altra cosa.

Una gestione corretta della sicurezza informatica, pero’, e’ indispensabile per consentire alla vostra azienda di crescere e di ottenere le certificazioni al trattamento dei dati richieste per legge. Avere le giuste competenze in materia di sicurezza informatica disponibili al momento giusto e’ fondamentale per il vostro successo, ma non avete idea di quando sara’ quel momento.

Scegliere la tecnologia, le persone e i processi giusti per costruire una moderna sezione operativa di sicurezza e’ una delle sfide piu’ grandi per i responsabili della sicurezza informatica.

Cos’e’ un SOCaaS e cosa puo’ fare per te

Prima di capire quali siano le sfide per la gestione, e’ bene capire cosa sia un SOC. Esso svolge le seguenti funzioni:

Pianifica, configura e mantiene l’infrastruttura di sicurezza.

Con un SOC e’ possibile configurare lo stack tecnologico (endpoint, applicazioni SaaS, infrastruttura cloud, rete, etc.) per identificare l’attivita’ rilevante ed eliminare i dati non necessari. Monitorare le fonti di dati per garantire che l’ecosistema sia sempre connesso.

Rilevare e rispondere

Inoltre, e’ possibile monitorare l’attivita’ di allarme in arrivo. Indagare sugli allarmi per determinare se si tratta di un vero problema di sicurezza o di un falso allarme. Se qualcosa e’ una reale minaccia alla sicurezza, si puo’ valutare l’ampiezza della situazione ed eseguire azioni di risposta.

Caccia alle minacce

SOCaaS - Hacker

Si puo’ esaminare l’attivita’ di un certo evento per determinare se ci fossero dei segni di compromissione che possono aver eluso i controlli automatici. Lo scenario piu’ comune e’ quello di rivedere la cronologia di un indirizzo IP o di un file che e’ stato determinato essere dannoso.

Stoccaggio dei log file

Altra possibilita’ e’ raccogliere e archiviare in modo sicuro i log file, per un periodo fino a sette anni, per la conformita’ alle norme. Il team dovra’ fornire questi dati critici per un’analisi forense nel caso si verifichi una situazione di sicurezza.

Misurare gli indicatori di performance

Ovviamente e’ possibile monitorare le KPI (indicatori di performance). Nel dettaglio e’ possibile misurare e riportare le KPI per dimostrare al team esecutivo come stia funzionando il SOC.

Le sfide per implementare un proprio SOC

Trovare, formare e conservare i professionisti della sicurezza informatica e’ costoso

Le abilita’ necessarie per gestire le mansioni di sicurezza informatica sono molto richieste. Sfortunatamente, la carenza e’ destinata a peggiorare prima di migliorare. Secondo l’International Certification Organization (ISC), il numero di posizioni non occupate in tutto il mondo era di oltre 4 milioni di professionisti nel 2019, rispetto ai quasi tre milioni dell’anno precedente.

La formazione di personale con un ampio background IT nelle competenze di sicurezza informatica e’ un’opzione, ma mantenere queste persone e’ costoso. La loro sostituzione, quando eventualmente vengono assunte altrove, da’ inizio a un ciclo che di solito finisce per essere piu’ costoso del previsto, soprattutto rispetto al SOCaaS.

Inoltre, le persone che lavorano bene in questo settore di solito vogliono esplorare nuovi argomenti e affrontare nuove sfide. Dovrete trovare altri progetti o ruoli correlati per far ruotare il personale del SOC per tenerli impegnati. Questo aiuta anche a costruire le loro competenze, in modo che siano pronti a rispondere e ad agire prontamente quando necessario.

La sicurezza informatica e’ uno sport di squadra

E’ importante avere un insieme di competenze diverse e un team che lavori bene come squadra. Le minacce alla sicurezza si evolvono rapidamente, indagini e risposte adeguate richiedono persone che comprendano gli endpoint, le reti, le applicazioni cloud e altro ancora. Spesso si finisce per essere un manager SOC, un amministratore di sistema e un cacciatore di minacce, a seconda della giornata e da cio’ che accade nel proprio ambiente.

Questo significa che avrete bisogno di un team che impari in continuazione, in modo da avere le giuste competenze quando ne avrete bisogno. Le persone che vanno bene in questo settore prosperano in un ambiente di squadra in cui possono imparare e sfidarsi a vicenda. Per questo, avete bisogno di un workflow che riunisca regolarmente diversi analisti SOC.

Pensatela in questo modo: non mettereste sul campo una squadra di calcio che non si e’ allenata insieme. La vostra squadra SOC si scontra con un avversario che gioca di squadra ogni giorno. Per avere successo, avete bisogno di professionisti che abbiano molta esperienza di gioco per costruire le loro capacita’ sia nella posizione singola che come squadra.

Una squadra di analisti SOC che non faccia un allenamento regolare non sara’ pronta quando verra’ colpita da un avversario ben allenato. E’ difficile ottenere questa esperienza in una piccola organizzazione.

Un SOCaaS e’ la risposta immediata a questa esigenza. La squadra che si occupera’ della vostra sicurezza IT e’ allenata e stimolata ogni giorno da sfide sempre nuove, dovendo avere a che fare con infrastrutture diverse quotidianamente.

La copertura 24/7 e’ una necessita’

Lasciare che un avversario sia libero di lanciare esche per ore, giorni o settimane rende infinitamente piu’ difficile contenere e rimuovere le minacce. L’avversario sa di avere un tempo limitato per fare piu’ danni possibili, come nel caso del ransomware, o per mettere in secondo piano le porte, come nel caso dell’estrusione dei dati.

Avrete le migliori possibilita’ di recupero se potrete indagare e rispondere in pochi minuti. Una soluzione che fornisca una copertura 24×7 e’ quindi fondamentale.

Nella sicurezza informatica non esistono “orari di lavoro” per un motivo in particolare: un attacco potrebbe arrivare da un punto qualunque del globo, di conseguenza non si puo’ fare affidamento a orari convenzionali. Questo e’ frutto della diffusione della rete come strumento di connessione mondiale, possiamo solo farci i conti in modo adeguato. Un SOCaaS solleva l’azienda che lo utilizza dal mantenere una divisione aperta 24/7.

Gestire i fornitori e integrare gli strumenti e’ piuttosto costoso

La sicurezza informatica e’ complessa e la tecnologia si evolve rapidamente. Ci saranno sempre piu’ tecnologie che devono lavorare insieme, il che richiede il mantenimento delle competenze per implementare, aggiornare e configurare ogni componente e formare il vostro personale sulle nuove versioni e caratteristiche. Se avete il vostro SOC, dovete gestire anche queste relazioni tra i fornitori, le licenze e l’attivita’ di formazione.

La linea di fondo e’ che la creazione delle capacita’ di cui avete bisogno richiede un sacco di compiti di basso livello e un esteso lavoro quotidiano. Per le organizzazioni in grado di sostenerlo, lo sforzo ha senso. Per la maggior parte delle organizzazioni, il compito e’ meglio lasciarlo a un partner in grado di fornire questo servizio, consentendo di ottenere tutti i vantaggi di un SOC di alto livello senza la spesa e la distrazione di costruirlo voi stessi.

Conclusioni

Se il budget non e’ un problema e si dispone di abbastanza personale che si concentri sulla costruzione e manutenzione di un SOC 24×7, allora puo’ avere senso seguire questa strada. Se siete vincolati su uno di questi due fronti, allora il SOCaaS sara’ l’approccio migliore.

In sintesi, il SOCaaS vi permette di:

1. Passare il tempo a gestire la sicurezza, non la tecnologia e i fornitori
2. Avere una spesa prevedibile. Nessuna richiesta di budget a sorpresa
3. Ottenere informazioni sulla sicurezza da altre organizzazioni
4. Gestire gli allarmi in modo piu’ efficiente e con risultati piu’ prevedibili
5. Essere agili e stare al passo con le esigenze IT della vostra organizzazione in continua evoluzione
6. Rimanere al passo con le innovazioni degli strumenti di sicurezza di oggi.

Se la tua azienda vuole saperne di piu’ sulle soluzioni SOCaaS di Secure Online Desktop, contattateci per una consulenza non vincolante. Vi illustreremo tutti i vantaggi e chiariremo ogni dubbio riguardo a questa soluzione.

Contattaci

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

SOC as a Service

 

Please follow and like us:
Sicurezza delle reti informatiche con il Pentest e il Vulnerability assessment

La sicurezza delle reti informatiche e’ di vitale importanza per un’azienda. Con le tecnologie che fanno sempre piu’ affidamento a servizi in remoto, e’ bene assicurarsi che la sicurezza sia garantita. Per farlo si ricorre a due strumenti: Vulnerability Assessment e Penetration Test. Ma qual e’ la differenza tra di loro? La risposta a questa domanda non e’ cosi’ scontata come si potrebbe pensare.

La risposta breve e’: un Pentest (PT) puo’ essere una forma di valutazione della vulnerabilita’ (VA), ma una valutazione della vulnerabilita’ non e’ sicuramente un Pentest. Cerchiamo di capire meglio come funzionano e i loro scopi.

Verifica della sicurezza delle reti informatiche: Vulnerability Assessment

Una valutazione delle vulnerabilita’ e’ il processo di esecuzione di strumenti automatizzati contro indirizzi IP definiti per identificare le vulnerabilita’ nell’ambiente in cui si opera. Tipicamente le vulnerabilita’ includono sistemi non protetti o configurati in modo errato. Gli strumenti utilizzati per eseguire le scansioni delle vulnerabilita’ sono software specifici che automatizzano il processo. Ovviamente questi software sono praticamente inutili senza un operatore che sappia usarli correttamente.

Questi strumenti forniscono un metodo semplice per eseguire la scansione delle vulnerabilita’ e ne esistono sia open source che proprietari. Il vantaggio principale di quelli open-source e’ che, con grande probabilita’, sono gli stessi usati dagli hacker, e’ improbabile che questi paghino un costoso abbonamento, quando possono scaricare degli applicativi open source gratuitamente.

Nella pratica, una VA permette di:

identificare e classificare falle di sicurezza nella rete informatica
comprendere le minacce informatiche a cui l’azienda e’ esposta
raccomandare misure correttive per eliminare le debolezze riscontrate

Lo scopo di una Vulnerability Assessment e’ quello di identificare le vulnerabilita’ note in modo che possano essere corrette. Le scansioni sono tipicamente eseguite almeno trimestralmente, anche se molti esperti consigliano scansioni mensili.

Come si esegue una VA

Il processo di esecuzione si divide in due fasi e non prevede lo sfruttamento delle debolezze riscontrate. Questo ulteriore passaggio e’ invece previsto nel Penetration Test.

Fase 1: prima analisi
durante questa fase vengono raccolte tutte le informazioni disponibili sull’obiettivo per determinare quali potrebbero essere i punti deboli e le falle nel sistema di sicurezza delle reti informatiche
Fase 2: seconda analisi
in questa fase, tramite l’uso delle informazioni ricavate, vengono messe alla prova i possibili problemi. In questa fase le vulnerabilita’ sono testate per capire se siano effettivi problemi come supposto precedentemente.

Data l’incredibile velocita’ in cui le tecnologie e le tecniche informatiche si evolvono, e’ possibile che un sistema si mostri sicuro questo mese, ma abbia invece delle criticita’ da risolvere il mese successivo. Per questo e’ consigliato ripetere regolarmente e con frequenza i controlli di sicurezza sulle reti informatiche aziendali.

Risultati

Alla fine del processo di verifica delle vulnerabilita’ di un sistema, i report finali contengono tutti i risultati raccolti. Tipicamente questi racchiudo tutte le informazioni rilevanti, tra cui:

l’elenco delle vulnerabilita’ riscontrate
una descrizione approfondita delle vulnerabilita’
contromisure da adottare per ridurre i rischi

La verifica delle vulnerabilita’ e’ una procedura fondamentale per l’azienda, ma non ne garantisce la sicurezza delle reti informatiche. Per la corretta manutenzione della sicurezza dei propri sistemi, e’ indispensabile ricorrere anche a un altro strumento: il Penetration Test.

Penetration test

Il Pentest, o test di penetrazione, ha lo scopo di verificare come si possano sfruttare le vulnerabilita’ di un sistema per ottenere accesso e muoversi al suo interno. Una delle fasi iniziali eseguite da un pentester e’ la scansione della rete per trovare gli indirizzi IP, il tipo di dispositivo, i sistemi operativi e le possibili vulnerabilita’ del sistema. Ma, a differenza della Vulnerability Assessment, il Pentest non si ferma qui.

Di cruciale importanza per un tester e’ lo sfruttamento (exploit) delle vulnerabilita’ individuate al fine di ottenere il controllo della rete o per impossessarsi di dati sensibili. Il tester utilizza strumenti automatizzati configurabili per eseguire exploit contro i sistemi delle reti informatiche. La parte peculiare, pero’, avviene quando il tester esegue dei tentativi manuali di exploit, proprio come farebbe un hacker.

Classificazione

I test di penetrazione sono classificati in due modi: grey box oppure black box.

I test grey box sono eseguiti con la piena conoscenza del reparto IT dell’azienda target. Le informazioni sono condivise con il tester, per esempio diagrammi di rete, indirizzi IP e configurazioni di sistema. L’approccio di questo metodo e’ la verifica sulla sicurezza della tecnologia presente.

Un test black box, invece, rappresenta piu’ propriamente l’azione di un hacker che tenta di ottenere accesso non autorizzato ad un sistema. Il dipartimento IT non sa nulla del test eseguito e al tester non vengono fornite informazioni sull’ambiente di destinazione. Il metodo black box valuta sia la tecnologia sottostante sia le persone e i processi coinvolti per identificare e bloccare un attacco cosi’ come avverrebbe nel mondo reale.

Fasi del Pentest

Fase 1: Analisi
Viene analizzato il sistema, studiandone punti di forza e debolezza. Vengono raccolte tutte le informazioni preliminari. Questo, ovviamente, non avviene se si tratta di un pentest di tipo grey box.
Fase 2: Scansione
Viene scansionata tutta l’infrastruttura per trovare i punti deboli su cui concentrarsi.
Fase 3: Pianificazione
Grazie alle informazioni raccolte, si pianifica con quali strumenti e tecniche usare per colpire il sistema. Le possibilita’ sono moltissime e si tratta sia di tecniche prettamente tecnologiche che di ingegneria sociale.
Fase 4: Attacco vero e proprio
In questa fase i tester cercano di sfruttare le vulnerabilita’ individuate per ottenere il pieno controllo del sistema preso di mira.

Report

Anche al termine del Penetration Test viene compilato un rapporto che riporta nel dettaglio tutto il processo eseguito e comprende:

valutazione dell’impatto di un reale attacco sull’azienda
soluzioni per risolvere i problemi e mettere in sicurezza i sistemi delle reti informatiche

Un Penetration Test che non va a buon fine e’ segno che il sistema preso in esame e’ sicuro* e i dati al suo interno non rischiano nulla. Questo pero’ non significa che l’azienda sara’ protetta per sempre da ogni attacco: proprio perche’ le strategie degli hacker evolvono costantemente, e’ importante eseguire i Penetration Test regolarmente.

(*) Va precisato però che sebbene un buon Penetration Test segua delle linee guida o delle metodologie strutturare (es. OWASP) rimane un test a forte impatto soggettivo del Penetration Tester e del team che lo ha eseguito pertanto non si può escludere che ripetendo il test a carico di un gruppo di Penetration Tester differente non si abbiamo nuovi risultati. Inoltre, come è ben noto ai nostri lettori, nel campo della Cyber Security il concetto di “sicuro” in termini assoluti è inadeguato.

Come fare

Sebbene le Vulnerability Assessment e i Penetration Test abbiano obiettivi diversi, entrambi dovrebbero essere eseguiti regolarmente per verificare la sicurezza complessiva del sistema informatico.

La valutazione delle vulnerabilita’ dovrebbe essere effettuata spesso per identificare e correggere le vulnerabilita’ note. Il Pentest dovrebbe essere effettuato almeno una volta all’anno e sicuramente dopo significativi cambiamenti nell’ambiente IT, per identificare le possibili vulnerabilita’ sfruttabili che possono consentire l’accesso non autorizzato al sistema. Entrambi i servizi descritti in questo articolo sono disponibili tramite SOD, anche su base ricorsiva per garantire l’efficacia dei test. contattaci per saperne di piu’.

Contattaci

Link utili:

Vulnerability Assessment & Penetration Test

Dettagli tecnici di un VA/PT

Sicurezza: pentest e verifica delle vulnerabilità

 

Please follow and like us:

Customers

Newsletter