Cyber Footprint

Hai domande sulla piattaforma Joshua? Controlla le FAQ oppure contattaci. Il nostro team sarà lieto di risolvere ogni dubbio.

La crescita esponenziale degli attacchi di Cyber Crime e, al contempo, il cambiamento digitale delle organizzazioni, hanno reso necessaria l’elaborazione di strumenti diversi dai controlli tradizionali. Le organizzazioni, infatti, hanno sempre di più un numero rilevante di digital asset, al di fuori del proprio raggio di controllo diretto, che rappresentano, quindi, dei facili bersagli di attacco, dato che spesso non sono monitorati con costanza e talvolta nemmeno pienamente riconosciuti come tali dalla stessa azienda.

Risulta, pertanto, essenziale conoscere prima di tutto gli asset su cui un’organizzazione lascia la propria impronta anche se la sola conoscenza di essi non basta a mitigare il pericolo di cyber attacchi o di tentativi di violazione. È infatti necessario comprendere fino in fondo le caratteristiche e le principali features di tali asset, al fine di capire le modalità con cui potrebbero essere compromessi o sfruttati da potenziali cyber criminal, così da implementare, di conseguenza, modelli appropriati di prevenzione e difesa. A tal proposito, il primo passaggio necessario è la misurazione della Cyber Footprint di un soggetto o di un’organizzazione: una ricognizione di risorse ed asset esposti, al fine di definirne eventuali vulnerabilità associate, determinate da software, sistemi operativi e/o strutture in esecuzione, sia relative al momento attuale o passato, su tali risorse.

Pertanto, la soluzione Cyber Footprint si avvale di due moduli: Security Postural Assessment e Discovery Theft Account.

Postural Assessment – Attack Surface Management

Il Security Postural Assessment o Attack Surface Management, attraverso l’acquisizione da fonti OSINT di outcome delle scansioni su Internet, rileva, cataloga e inventaria tutte le risorse riconducibili ad una organizzazione che esistono al di fuori del suo perimetro tradizionale. Questi asset possono, dunque, includere domini, indirizzi IP, server e Web Application, Siti e pagine web, Certificati nonché altre infrastrutture esterne di vario genere.

Ciascun asset rilevato viene geolocalizzato, mappato in base agli indirizzi Internet pubblici e caratterizzato con tutte le informazioni disponibili, che contribuiscono a determinarne il rischio cyber potenziale. Particolare rilievo è dato alle vulnerabilità potenziali introdotte dall’esposizione di tali asset, con l’approfondimento su Common Vulnerabilities and Exposures (CVE) con relative descrizioni, severity e scoring (CVSS). L’effettiva compromissione dell’asset viene verificata e prontamente segnalata accedendo al database degli Indicatori di Compromissione (IOC).

L’assessment posturale viene inoltre arricchito delle evidenze prodotte da attività di scanning complementari che incrementano il livello di profondità di analisi del rischio cyber:

✓ Enumerazione delle reti wi-fi pubblicamente esposte riconducibili all’organizzazione

✓ Caratterizzazione degli Autonomous System con l’enumerazione della dimensione dello spazio di indirizzamento IP, il numero di siti web ospitati, la network e la velocità di connessione, la lista degli Hosted Domains, la lista dei Peers

✓ Analisi dello Shadow IT con l’enumerazione dei domini rilevati riconducibili ad un’organizzazione con il relativo page rank

✓ Enumerazione delle tecnologie utilizzate per le risorse web con l’analisi delle vulnerabilità note

✓ Analisi della configurazione corrente dei Server MX per verificare il livello di maturità delle contromisure in atto (es. rDNS, SPF, DMARC, Mail Server) contro le principali tecniche di attacco mediante e-mail

✓ Analisi delle vulnerabilità del layer di cifratura per i protocolli web

Discovery Theft Accounts

La verifica su potenziali furti d’identità realizzati tramite la compromissione di account aziendali, o comunque riconducibili ad una organizzazione, viene attuata dal modulo Discovery Theft Account.

All’interno di un set di account vengono evidenziati quelli potenzialmente esposti o compromessi in precedenza. In particolare, il modulo consente l’individuazione degli account e-mail compromessi a seguito di data breach certificati, relativi ad asset direttamente o indirettamente correlati, nonché di verificare la presenza di account o utenze del Cliente su fonti OSINT utilizzate come punto di raccolta per data leakage, quali ad esempio account o utenze che potrebbero essere stati acquisiti a seguito di una compromissione precedentemente avvenuta.

Attraverso l’enumerazione dei data breach noti è possibile identificare leakage avvenuti all’interno del perimetro shadow IT, ovvero sistemi e soluzioni IT usati all’interno delle organizzazioni senza l’approvazione esplicita dell’organizzazione stessa (es: tool freeware di lavoro) e leakage avvenuti su asset dichiaratamente non business (es: siti di gaming/bet online).

Ogni account che risulti compromesso viene corredato con tutte le informazioni relative ai data breach del quale è stato vittima e con le tipologie di dato oggetto di leakage.

Benefici Attesi

La possibilità di effettuare una scansione completa delle risorse in uso da un’organizzazione, sia all’interno che al di fuori del suo raggio di controllo tradizionale, rappresenta uno strumento essenziale per la prevenzione del Cyber Crime e, di conseguenza, della protezione delle risorse, dei dati e della reputazione dell’organizzazione stessa.

Joshua ha il vantaggio di poter consentire una scansione totale e continua degli asset, offrendo la possibilità di conoscere risorse che, altrimenti, resterebbero scarsamente monitorate dall’organizzazione e sarebbero quindi un facile bersaglio potenziale per i cyber criminali.

Tra le feature del modulo vi è anche la creazione di una specifica reportistica periodica che, essendo di facile fruibilità, consente l’immediata individuazione degli asset non compliant con gli standard di sicurezza stabiliti e la determinazione di qualsiasi falla del sistema. In questo modo si ha la certezza che ogni possibile minaccia sia stata individuata ed analizzata correttamente, così da poter intraprendere le mitigation measure corrispondenti.

 

Vantaggi Ed Elementi Chiave Di Successo

Il modulo di Cyber Footprint permette la semplificazione e l’automatizzazione dei processi di analisi degli asset esterni, garantendo l’accesso diretto ad una elevata mole di dati, la cui analisi e raccolta è effettuata in modo certo ed affidabile, tale da poter influenzare i processi di decision making in ambito Cyber Security.

Il controllo della superficie che potrebbe essere oggetto di attacco è costante, e lo strumento proposto non si limita a costruire un database degli asset fuori dal raggio di controllo dell’organizzazione, ma consente anche di estrarre, lavorare e filtrare le informazioni provenienti da questi asset per identificare proprietà, correttezza e correlazioni tra i dati. Frutto dell’elaborazione sono dunque report periodici, utili a mantenere la strategia di protezione e prevenzione, tempestivamente aggiornata, sulle nuove possibili minacce emergenti.