03

0201

33%

l’ 80% delle impreseitaliane ha subitouna violazioneinformatica

solo il 33% teme

possa ripetersi

80%

IL CONTESTO – Una minaccia non percepita

In generale, le imprese non sono

preparate nella gestione degli

attacchi cyber – sia a livello

preventivo che reattivo

L’impatto economico

globale

$400

mld

Negli ultimi anni, a livello

internazionale, si è assistito ad

una crescente considerazione

del cyber crime quale

minaccia da cui difendersi

In Italia non è ancora percepito come un realepericolo, nonostante l’ 80% delle imprese italianeabbia subito una violazione informatica

Costo medio annuo degli attacchi cyber per le

aziende italiane è aumentato del 70% negli

ultimi 3 anni

Nessun settore è esente dagli attacchi, in

quanto oltre la metà hanno una finalità

economica

IL CONTESTO – Una minaccia non percepita

LA TRUFFA

HELPDESK

TARGET: email e password aziendaliTECNICA: vulnerability assesssment e phishing

MODALITA’: Durante lo svolgimento di alcuni test previsti dal security assessment si è venuti aconoscenza della presenza di un’importante vulnerabilità sull’Outlook Web Acces dell’aziendacliente. Sfruttando tale vulnerabilità (un semplice redirect nell’URL del sito aziendale) e tramite laclonazione della webmail aziendale è stata facilmente realizzata una campagna di phishing. E’ statacreata una mail falsa il cui mittente era «HELP DESK» (l’indirizzo mail era falso e non presentava ildominio aziendale xxx@aziendacliente.it). La mail richiedeva ai dipendenti di sincronizzare lapropria casella di posta elettronica cliccando su un link ed andando ad inserire le proprie credenzialiaziendali in un apposito format. Il link era lecito nella sua prima parte dunque, grazie allosfruttamento della vulnerabilità del redirect, passava i sistemi antispam aziendali ma rimandaval’utente sul falso sito della webmail aziendale appositamente creato dai nostri laboratori. Idipendenti si ritrovavano su un sito del tutto simile a quello reale ed effettuavano il login credendodi trovarsi sul login della propria azienda.

RISULTATO: 116 password aziendali rubate comprese quelle dell’ufficio amministrativo e l’accesso alle relative informazioni

USE CASE – 1/3

Fonte use case: – www.securegroup.it

L’EVENTO

AZIENDALE

TARGET: email e password aziendaliTECNICA: Phishing

MODALITA’: A seguito della richiesta da parte di un grosso cliente bancario di verificare la sensibilitàdei propri dipendenti alle campagne di phishing abbiamo utilizzato alcune tecniche base diingegneria sociale per studiare la vita aziendale dei dipendenti e creare una campagna che avesse unALTO GRADO di INTRUSIVITA’. Studiando la storia dell’azienda e raccogliendo informazionipubbliche abbiamo scoperto che spesso venivano organizzati eventi aziendali presso la salaprincipale di un’azienda situata vicino alla loro sede. Dunque abbiamo creato una falsa mailproveniente da un falso mittente «marketing@gmail.it» (non appartenente al dominio aziendalexxx@azienda.it) che riportava l’invito per i dipendenti a partecipare ad un evento aziendale dedicatoad un famoso programma di cucina amatoriale il cui momento clou sarebbe stata la partecipazionead una sfida culinaria insieme ad un famoso chef italiano. La mail chiedeva di scaricare il pdf dellaserata e di prenotarsi per la partecipazione inserendo le proprie credenziali aziendali. Il sito era statoappositamente creato nei nostri laboratori ed era del tutto simile al sito di una grande televisione apagamento ed il pdf conteneva un malware (non dannoso e creato in laboratorio dai nostri tecnici)che si installava e inviava una conferma di installazione. Curiosità: la campagna ha fatto talmentescalpore da portare i dipendenti a stampare la locandina dell’evento ed appenderla nelle areecomuni di ristoro.

RISULTATO: 125 password aziendali rubate e 200 download dell’allegato

USE CASE – 2/3

Fonte use case: – www.securegroup.it

LA PRESA DEI

SISTEMI

INDUSTRIALI

TARGET: penetrare nell’infrastruttura aziendaleTECNICA: penetration test e tecniche di exploitation

MODALITA’: Durante un Penetration Test richiesto da un cliente appartenente al settorefood&beverage, i nostri security engineer sono riusciti ad entrare in un PC aziendale che aveva unaversione obsoleta di VNC (un protocollo di connessione ai desktop remoti). Tramite alcune tecnichedi exploitation, i nostri tecnici sono riusciti ad entrare in possesso del file delle password di VNC.Dopo aver ottenuto le credenziali di accesso, quest’ultime, sono state testate su tutta la rete. Così èiniziata una vera e propria fase di escalation durante la quale le credenziali sono state usate perottenere il controllo di tutti gli impianti industriali. Questa grave vulnerabilità avrebbe potutopermettere ad un eventuale malintenzionato di: Fermare l'impianto industriale; Danneggiare lestrutture; Mettere in pericolo gli operatori; Ottenere particolari dati e dettagli sui procedimenti diproduzione. (percentuali e procedimenti di cottura)

RISULTATO: ottenimento del controllo degli impianti industriali aziendali.

Fonte use case: – www.securegroup.it

USE CASE – 3/3

3

PROBLEMA SOLUZIONE

Quando un’impresa viene attaccata, non sa a chi rivolgersi Grazie a SOS Cyber, con una semplice telefonata, si ha

l’intervento immediato di una società specializzata

Le imprese scoprono di essere state attaccate in media dopo 6 mesi

Grazie ai servizi di monitoraggio SOS Cyber, è possibile individuare in tempo reale segnali di pericolo

Quando le imprese vengono attaccate subiscono, oltre che il danno economico, un pesante danno di immagine

Grazie a SOS Cyber, nella fase post-attacco, è possibile avere a disposizione un esperto di public relations e un contactcenter

Le imprese colpite, nell’immediatezza più che di un risarcimento, hanno la necessità di far ripartire l’attività

Grazie a SOS Cyber è possibile ripristinare l’attività aziendale in tempi brevissimi con la fornitura dei dispositivi

La direttiva NIS dell’UE del 2016 ha imposto dei requisiti minimi più rigidi in ambito di sicurezza informatica

Grazie alla competenza delle Società specializzate fornitrici dei servizi SOS Cyber, le PMI hanno la possibilità di conformarsi

AGIREMONITORAREPREVENIRE

SOS Cyber è un insieme di servizi chepermette di mitigare il rischiopreventivamente, di monitorare lo statodell’infrastruttura informatica e di intervenirequando è avvenuto un attacco.

Vulnerability scan : scansione e verifiche tecniche sulle eventuali vulnerabilità

Cyber Risk exposure: simulazione attacco informatico

Phishing attack simulation: attuazione campagne di phishing mirate verso utentiinterni e conseguente valutazione dei risultati

Workstation Security: verifica della sicurezza della postazione lavoro

User education: creazione di contenuti formativi sui principali rischi informatici

Insieme di servizi che hanno l’obiettivo di garantire un adeguato livello di sicurezza mitigando il rischio di cyber attack

PREVENZIONE

IS for system admin: formazione tecnica con i responsabili della conduzione di sistemi informatici

Cyber security configuration management: definizione e/o raffinamento delle configurazioni tecnichesu apparati in cui l’assistenza preventiva di personale esperto può aiutare ad incrementare la sicurezzagenerale

Internal network security configuration & design: verifica il livello di aggiornamento dei vari firewall

Recovery Disk Preparation/Secure image management: predisposizione di opportuni back up necessari per lariconfigurazione dei dispositivi eventualmente attaccati

DNS/WEB abuse monitoring: azioni di monitoraggio sull’utilizzo del nome di dominioaziendale nelle comunicazioni e nei contenuti diffusi online (all’insaputa dell’aziendastessa)

Cyber Security Monitoring Services: Verifiche su indicazioni reperibili dalla rete e nonstrettamente dipendenti dall’ICT sotto il controllo dell’azienda.Servizi tecnologici a supporto del monitoraggio delle attività interne dei sistemicostituenti l’ICT del cliente

Servizi tecnologici che hanno la funzione di monitorare nel tempo alcunielementi/caratteristiche che consentono di valutare il grado diesposizione al rischio di attacco informatico

MONTORAGGIO

Cyber loss mitigation: ripristino dello stato di operatività di server, postazioni di lavoro o altri dispositivi.Deterioramento fisico/logico dei supporti e/o dei file system, causati da eventi fisici o dall’azione di malware, escludendo l’azione di ransomware e quindi il tentativo di recupero di file cifrati

Cyber forensics: esecuzione di specifici strumenti di analisi sulle infrastrutture e isistemi coinvolti

Cyber crisis management: supporto professionale alla gestione della “crisi” in relazione ai media e al pubblico in generale.Predisposizione numero verde/dedicato e contact point per le comunicazioni/risposte alla clientela

Protection for Business interruption: fornitura di strumenti di lavoro sostitutivi per ilperiodo necessario al recupero della funzionalità degli asset aziendali compromessi

Cyber risk legal package: tutela per la responsabilità legale

Servizi che costituiscono una reazione di natura tecnologica alverificarsi di un evento avverso che impatta sull'IT

REAZIONE

Una centrale operativa

disponibile 24h/7gg

CANALI DI CONTATTO

Un network di fornitori

selezionati e specializzati

in ambito cyber per

l’erogazione delle

prestazioni

FORNITORI

Accesso ai servizi SOS

Cyber attraverso un

codice alfanumerico

personale

IL PIN IL SERVIZIO

Il servizio viene erogato,

nella quasi totalità dei

casi, in remoto

IL FUNZIONAMENTO

PMI

Broker distribuisce alle PMI codice pin + codice

identificativo

PMI chiama Centrale operativa BA per

esporre l’esigenza

Operatore BA, identifica PMI, raccoglie l’esigenza

e contatta fornitore

Fornitore cyber contatta PMI per l’erogazione della prestazione che risponde

all’esigenza espressa

Fornitore, al termine dell’erogazione della prestazione, invia a

BA un report

BA, a prestazione erogata, contatta la PMI per monitorare

la customer satisfcaction

PRE-EROGAZIONE EROGAZIONE POST-EROGAZIONE

PMI paga direttamente il

fornitore

CUSTOMER JOURNEY

OPPORTUNITA’ COMMERCIALI

Marketing Strategy

Differenziare la propria offertaper implementare il business

Fidelizzazione

Fidelizzare i propri Clienti/Soci

Upselling

Integrare o offrire un’alternativa a coperture assicurative cyber

Milestone

Disporre di un’offerta cyber smart entry level