FlUxUsIT: SICUREZZA INFORMATICA AZIENDALE E NORMATIVE

-

1> Audit e Assessment della sicurezza informatica GDPR E IOT
2> GDPR e IoT, l’impatto della normativa europea sulle tecnologie connesse
3> FluxusIT e le operazioni di assessment della rete informatica per PMI Secondo normative
4> Penetration test e remediation e servizi FluxusIT di hacking etico.


  Il processo di audit/valutazione della sicurezza informatica prevede una valutazione o un audit esterno effettuato da consulenti della sicurezza informatica, per valutare il livello di rischio informatico a cui è esposta l’organizzazione. I nostri assessment permettono di capire:

  • Quali rischi legati alle informazioni esistono nella tua organizzazione e come stabilire le priorità di questi rischi
  • Quanto siete allineati ai requisiti dell'autorità centrale nel tuo Paese (ad esempio, la Banca centrale, il Garante della protezione dei dati, ecc.) o di framework esterni (ad esempio, NIST Cybersecurity Framework).

Una volta completata la valutazione, forniamo un report tecnico in cui sono dettagliate le vulnerabilità o le lacune nella sicurezza della tua organizzazione. Esamineremo inoltre la strategia IT sulla sicurezza presente in azienda all'nterno della valutazione dei rischi globale.
Questo report è offrire un percorso per migliorare ulteriormente la strategia di sicurezza informatica e di sicurezza IT, garantendo la conformità a lungo termine.
Il nostro approccio alle revisioni dell’audit sulla cybersecurity:
  • Incontro iniziale per approfondire il processo e concordare la portata dell’analisi delle lacune e la valutazione dei rischi
  • Esame della strategia di sicurezza informatica e sicurezza IT
  • Esecuzione di una valutazione dei rischi ad alto livello
  • Esecuzione di un’analisi delle lacune della sicurezza delle informazioni rispetto ai requisiti dell’autorità centrale del Paese (ad esempio, i requisiti della Banca centrale) o di un framework esterno (ad esempio, il NIST Cybersecurity Framework)
  • Reporting
Possiamo inoltre fornire informazioni su analisi comparative anonimizzate di alto livello per permettervi di confrontare la maturità del programma di sicurezza presente in azienda rispetto ad altre organizzazioni simili. Protezione dei dati, anonimizzazione e pseudonimizzazione: un’analisi per riflettere sull’impatto che il regolamento europeo GDPR ha sugli strumenti IoT, per quanto riguarda gli aspetti relativi ai dati. La connessione in rete di oggetti diversi comporta infatti raccolta e trattamento di queste informazioni che generano valore. La diffusione dei sistemi IoT porta a una riflessione sull’impatto del regolamento GDPR su questi strumenti, relativamente alla protezione dei dati. Anche perché queste tecnologie includono sempre più ambiti del quotidiano e del lavoro. Utile dunque approfondire l’influenza che opera la normativa.
> GDPR e IoT, l’impatto della normativa europea sulle tecnologie connesse
La possibilità di connessione in rete dei device ha comportato, concretamente, il mutamento della natura di un numero talmente elevato di oggetti che ora a far pare dell’IoT sono non solamente i computer, gli smartphone o i tablet, ma anche tutto ciò che sia integrato o che presenti una interazione con le “cose” di tutti i giorni, con oggetti del nostro quotidiano. Si pensi alla domotica, a Siri, ad Alexa, alla geolocalizzazione, alla profilazione, agli wearable devices, ai droni, alle etichette con tecnologie RFID, ai dispositivi medici e chi più ne ha più ne metta. La capacità di connettere in rete oggetti concreti, materiali, comporta per altri versi la registrazione, la raccolta, il trattamento di una mole enorme di dati, anche personali e particolari, a cui spesso non si pensa con la dovuta attenzione. Ciò significa, in poche parole, analisi sempre più precise, intelligenti e produttive. Il che si tramuta in profili, preferenze e potenziale controllo sistematico. Database estremamente potenti in grado di generare ingenti valori, nel bene e nel male. Semplici oggetti da sempre percepiti come inerti diventano oggi dispositivi intelligenti capaci di comunicare in modalità wireless.
GDPR, IoT e Digital Single Market: Se da un lato il Regolamento sulla protezione dei dati personali (GDPR) si è posto da subito in stretta correlazione con l’ambito IoT, nel tentativo di tutelare al meglio i dati personali e la loro intrinseca delicatezza dall’onda anomala degli smart devices, dall’altro, nel più ampio quadro del progetto del Mercato Unico Digitale (o Digital Single Market), il 18 dicembre del 2018 è entrato in vigore il Regolamento sulla libera circolazione dei dati non personali n. 2018/1807/UE. Il primo ha portato prepotentemente alla ribalta, ex multis, i principi di accountability, limitazione della finalità e della conservazione, minimizzazione, integrità e riservatezza, privacy by design e by default, la previsione di un Data Protection Impact Assessment (DPIA) e di misure di sicurezza adeguate, i diritti di accesso, di opposizione e al non essere sottoposti a decisioni basate unicamente su trattamenti automatizzati, così cercando di assicurare all’interessato ampie sponde entro cui arginare i rischi connessi al trattamento dei dati raccolti. Il secondo, invece, intende spostare il focus sul potenziale delle New Tech – tra cui il cloud computing, l’AI e l’IoT – in tema di ottimizzazione dell’efficienza e di capacità di realizzare economie di scala. Le nuove tecnologie dell’informatica offrono enormi vantaggi in tema di flessibilità, produttività, autonomia e rapidità di esecuzione, ma per poter sfruttare tale potenziale bisogna permettere una più facile e fluida mobilità dei dati non personali a livello transfrontaliero ed una fruizione semplificata dei servizi di cambio fornitore e portabilità dei dati, pur sempre garantendo la sicurezza delle informazioni unitamente alla facoltà di accesso e controllo da parte delle Autorità a ciò preposte. Difatti, se “a norma del regolamento (UE) 2016/679, gli Stati membri non possono limitare o vietare la libera circolazione dei dati personali all’interno dell’Unione per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento di dati personali”, il regolamento 2018/1807/UE “sancisce il medesimo principio di libera circolazione all’interno dell’Unione per i dati non personali, tranne nei casi in cui una limitazione o un divieto siano giustificati per motivi di sicurezza ”
Gli Inpatti sull’IoT: Anzitutto, individuando quali ostacoli alla mobilità dei dati e del mercato interno gli obblighi in materia di localizzazione dei dati e le pratiche di “vendor lock-in, il Regolamento 1807/2018 si autodefinisce inteso unicamente a salvaguardare la libertà delle imprese di stipulare contratti, garantendo che il luogo di localizzazione dei dati possa trovarsi ovunque nell’Unione. In altre parole, è la lotta alla localizzazione come sostituto della sicurezza dei dati. Difatti, all’articolo 4, comma 1 si legge: “Gli obblighi di localizzazione di dati sono vietati a meno che siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità”. Sul punto e con riguardo alla legge applicabile alla contrattualistica, il contratto di prestazione di servizi, in linea di principio, sarà disciplinato dalla legge del paese in cui il prestatore di servizi ha la residenza abituale, laddove non sia stata scelta diversamente a norma del Regolamento. Quest’ultimo, inoltre, con riferimento alla portabilità dei dati, al Considerando 30 rileva quanto sia opportuno che “gli utenti professionali siano in grado di compiere scelte informate e di confrontare facilmente i singoli elementi dei servizi di trattamento di dati offerti nel mercato interno, anche sotto il profilo delle clausole e condizioni contrattuali di portabilità dei dati al termine del contratto. Per mantenere il passo con la potenziale innovazione del mercato e tener conto dell’esperienza e delle competenze dei fornitori di servizi e degli utenti professionali di servizi di trattamento di dati, le informazioni dettagliate e i requisiti operativi per la portabilità dei dati dovrebbero essere definiti dagli operatori del mercato mediante autoregolamentazione, incoraggiati, agevolati e controllati dalla Commissione, in forma di codici di condotta dell’Unione che potrebbero contemplare clausole e condizioni contrattuali tipo”. Assumerebbero, dunque, rilevanza strategica nella redazione dei codici di condotta le procedure per e il luogo in cui è effettuato il backup dei dati, i formati e i supporti dei dati disponibili, la configurazione informatica e la larghezza minima di banda della rete richieste, il tempo necessario per avviare la procedura di trasferimento dei dati e il periodo in cui i dati saranno disponibili per il trasferimento, nonché le garanzie di accesso ai dati in caso di fallimento del fornitore di servizi.
GDPR e IoT: l’applicazione delle norme: Come più volte accennato, il Regolamento si applica al trattamento di dati elettronici diversi dai dati personali nell’ambito di un servizio offerto ad utenti residenti o stabiliti nell’Unione, indipendentemente dal fatto che il fornitore di servizi sia o non sia stabilito nell’Unione, o al trattamento effettuato da una persona fisica o giuridica residente o stabilita nell’Unione per le proprie esigenze. Il tutto nel pieno rispetto dei diritti fondamentali riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell’Unione europea. Le norme contenute nello stesso non si applicheranno, invece, alle attività che non rientrino nell’ambito di attuazione del diritto dell’Unione. Si badi bene, qualora vi fosse un insieme di dati composto sia da dati personali che da dati non personali, il regolamento si applicherebbe solo ai dati non personali, mentre laddove i due sottoinsiemi non fossero distinguibili, l’applicazione del GDPR rimarrebbe impregiudicata. In tale ottica, il regolamento 2016/679 e il 2018/1807 forniscono, quindi, un insieme coerente di norme che disciplinano la libera circolazione di diversi tipi di dati, tanto più che il secondo non impone alcun obbligo di archiviazione separata dei diversi tipi di dati
Pseudonimizzazione, dato anonimo e anonimizzazione: Come si diceva, dunque, il regolamento n. 1807 si applica esclusivamente ai dati non personali, facendo salve le disposizioni tutte contenute nel GDPR. Distinzione, questa, che potrebbe sembrare, prima facie, piuttosto banale da operare. Fra gli esempi specifici di dati non personali a cui si applica il citato Regolamento rientrano gli insiemi di dati aggregati e anonimizzati utilizzati per l’analisi dei megadati, i dati sull’agricoltura di precisione per monitorare e ottimizzare l’uso di pesticidi e acqua, o i dati sulle esigenze di manutenzione delle macchine industriali. Ma soffermandosi, per esempio, sui concetti di pseudonimizzazione, dato anonimo e anonimizzazione si può ben comprendere quali possano essere prime complessità concrete. Con riferimento alla prima misura di sicurezza, il GDPR viene in aiuto inquadrandola come quel trattamento che permette che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.Perciò, fintanto che la conservazione (separata e soggetta a determinate misure tecniche e organizzative) di tali informazioni sia in grado di garantire che i dati non siano attribuiti a una persona fisica identificata o identificabile, nell’alveo di quale Regolamento andrà fatta ricadere? Dipenderà dal grado di sicurezza e di difficoltà di riconduzione delle informazioni alla persona fisica, anche se sembra più verosimile l’applicazione del GDPR, che recita “I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici”. La pseudonimizzazione, infatti, continua a permettere una identificazione dell’individuo persona fisica, anche se in maniera indiretta. Dal concetto di cui sopra discende che “i principi di protezione dei dati non dovrebbero (...) applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”. Ecco che quindi alle informazioni anonime – anche per finalità di statistiche o ricerca – non si applicherà il GDPR, mentre le stesse potranno rientrare nell’ambito del Regolamento 1807/2018. L’anonimizzazione, invece, basandosi sulla rimozione di elementi che permettano di risalire alla persona fisica specifica, rende di norma quasi impossibile la reversibilità del dato e pertanto sembrerebbe pacifica l’applicazione del Regolamento 1807. Ma tale misura può essere realizzata secondo differenti tecniche, due su tutte l’aggregazione e la de-identificazione. Nel primo caso, trattandosi di dati aggregati e dunque di una sommatoria di dati di molti individui, la possibilità di una re-identificazione è decisamente remota. Nella seconda, invece, i dati personali sono mantenuti intatti, ma specifiche informazioni di identificazione vengono sostituite con identificatori anonimi. Tale pratica presenta, quindi, dei profili di rischio in termini di identificabilità dell’interessato. Si pensi, per ipotesi, alla banca dati di una prigione che conservi i precedenti penali di un detenuto unitamente alla sua storia medica. Il detenuto, mediante i dati relativi alla fedina penale, potrebbe essere identificato anche senza il nome, e di conseguenza si potrebbe facilmente avere accesso non autorizzato anche alla sua storia medica. Sul punto è il GDPR stesso a chiarire che qualora i progressi tecnologiciconsentano di trasformare dati anonimizzati in dati personali, tali dati verranno ovviamente interpretati e trattati come dati personali, con conseguente applicazione delle norme contenute nel GDPR. Da ultimo, con riguardo alle tipologie di trattamenti soggetti al Regolamento 1807/2018, questi saranno da intendersi nell’accezione più ampia possibile, dovendo pertanto ricomprendere diversi livelli quali IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) o SaaS (Software-as-a-Service). Non avrà dunque rilevanza se le operazioni di trattamento saranno effettuate internamente oppure esternalizzate, né inciderà il tipo di sistema della tecnologia dell’informazione utilizzato.

3> FluxusIT e le operazioni di assessment della rete informatica per PMI Secondo normative
Relativamente al questionario GDPR aggiornato da stampare e conservare insieme al "quaderno delle password" o software di conservazione password crittografato, e allegato al contratto di assistenza con Fluxus secondo protocollo (per il referente ufficiale ed unico di Fluxus riguardo informativa privacy in riferimento a sezione IT). Questo ruolo deve essere specificato. Il responsabile della privacy resta sempre e comunque il titolare dell'azienda.
Vi preghiamo di leggere qui sotto e stampare mail e documento allegato che invieremo nel caso decidiate di svolgere tale operazione. Poichè tale documento redatto in forma contrattuale o allegato al contratto di fornitura dei servizi IT deve essere aggiornato periodicamente e dovrà contenere queste modalità.
• una descrizione puntuale dei trattamenti svolti e delle misure di sicurezza adottate;
• durata, natura e finalità del trattamento (generalmente corrispondenti al contratto di fornitura) e obbligo di utilizzo esclusivo dei dati in tale ambito;
• tipologia dei dati e categorie degli interessati;
• obblighi e diritti del titolare del trattamento (ad esempio: fornire dati legittimamente assunti e possibilità di richiedere il blocco del trattamento e l’eventuale restituzione dei dati in caso di gravi violazioni);
• un elenco dei subfornitori coinvolti e degli amministratori di sistema nominati con la specifica che potranno essere variati nel tempo previa comunicazione al titolare che avrà l’opportunità di opporsi in un arco di tempo stabilito;
• la previsione di strumenti ragionevoli ma non invasivi di controllo (file di log, rapporti di intervento, possibilità di ispezioni in date o orari precisi ecc.);
• eventuale trasferimento dei dati verso Paesi terzi (ad esempio, su server extra UE) e relative garanzie predisposte;
• dichiarazione che nell’attività verranno coinvolte solo persone che abbiano un obbligo legale di riservatezza o si siano impegnate in tal senso;
• dichiarazione di impegno, per quanto di propria competenza, ad assistere il titolare nell’evasione delle richieste da parte degli interessati per l’esercizio dei propri diritti;
• dichiarazione di impegno a fornire tempestiva comunicazione al titolare di eventuali data breach e di tutte le informazioni ad essi relativi a propria disposizione;
• la previsione di cosa si intenda fare dei dati al termine dell’incarico (distruzione in modalità sicura con rilascio di relativa dichiarazione o restituzione con relativa modalità e formato dei dati);
• richiamo alle rispettive responsabilità così come previste dall’art. 82 del Regolamento UE 679/2016 (senza richieste di esoneri o manleve di dubbia o nulla applicabilità);
• dichiarazione di impegno a fornire assistenza, per quanto di propria competenza, al titolare nel garantire il rispetto degli obblighi di cui agli articoli dal 32 al 36 del Regolamento UE 679/2016. Questo ultimo punto generalmente spaventa le aziende informatiche ma fornire assistenza non vuol dire sostituirsi al titolare nei suoi obblighi relativi alla sicurezza (ad esempio a svolgere una valutazione di impatto) ma fornirgli corrette informazioni che gli consentano di svolgerli correttamente. A questo proposito l’azienda informatica potrebbe sfruttare l’impegno assunto per segnalare per iscritto al committente sue eventuali debolezze o criticità relative alla sicurezza.
4> Penetration test e remediation e servizi FluxusIT di hacking etico
Un test di penetrazione è una simulazione di attacco del mondo reale condotta contro una società o organizzazione, ed è il nostro servizio di prima classe. Siamo fermamente convinti che una simulazione completa di attacco portata rappresenti il modo migliore per identificare i difetti in una infrastruttura aziendale, sia dal punto tecnologico sia di utilizzo umano. Perché: L'obiettivo di un test di penetrazione è identificare debolezze e dimostrare l'impatto che un attacco informatico può avere su una azienda in modo non distruttivo e allo stesso tempo sarà nostra cura il testare la capacità dell'organizzazione per rilevare e reagire ad un potenziale avversario che sta cercando di prendere il controllo della infrastruttura di rete. Come funziona: si ottiene l'efficacia migliore quando l'attività è condotta in un ambiente black box (scatola nera) , il che significa che l’hetichal hacker conosce molto poco o addirittura nulla del cliente (la vittima) e delle infrastrutture. Generalmente solo la gestione è consapevole del fatto che un test di penetrazione è in corso, in modo che sia la rete e le risorse umane (personale IT es.) possano essere messi in prova in modo realistico. Prima dell'inizio della prova di penetrazione, è necessaria una fase di pre-impegno (manleva) per determinare la portata dell'analisi, e una volta che tutto è definita, l'attività può iniziare. Durante il test di penetrazione, il nostro team simula il comportamento di un potenziale aggressore mondo reale e farà del suo meglio per irrompere nell'infrastruttura aziendale. Saranno adottate tecniche di hacking sofisticate, tra cui:
• Identificazione e valorizzazione di elementi sconosciuti, vulnerabilità nelle applicazioni
• Ingegneria sociale, ricognizione e campagne di spear phishing
• movimenti laterali e dei privilegi per dimostrare a che tipo di informazioni si può accedere e danneggiare digitalmente
Ciò che viene consegnato alla fine del penetration test è un rapporto completo redatto e consegnato al cliente. Il rapporto includerà:
• Una sintesi per la gestione e la comprensione dei rischi e l'esposizione dell'organizzazione ad intrusioni pirata • Una descrizione tecnica dettagliata di ogni passo e l'attività svolta dal nostro team.
• Ogni dettaglio di vulnerabilità scoperte, tra cui la prova di lavoro del concetto di codice exploit.
• Le linee guida di bonifica.
• Analisi Web Application:
Analisi delle applicazioni Web: è un servizio specifico volto a individuare le debolezze di sicurezza nelle applicazioni web, siti istituzionali e portali di e-commerce. Perché alcune vulnerabilità in un sito web o un'applicazione web, oggi, rappresentano un rischio concreto per una società sia in termini di immagine o di reddito effettivo. Fornire servizi attraverso una applicazione web imperfetto può mettere ai clienti i dati personali a rischio, e può causare un danno per l'organizzazione se una violazione accade; allo stesso tempo, se un e-commerce viene compromessa, i clienti potrebbero non essere in grado di acquistare prodotti o, peggio ancora, le frodi possono accadere. Un'analisi applicazione web può aiutare a prevenire i cattivi di abusare di un servizio on-line e allo stesso tempo mantenere le informazioni di dati dell'azienda e dei clienti più sicuri. Un'analisi Web Application può essere condotta sia su un'applicazione in esecuzione in un ambiente di produzione, ma fornisce i risultati migliori se è introdotto nel ciclo di vita di sviluppo delle applicazioni. Su impegno il tipo di analisi è definito, che può essere:
• scatola nera: una simulazione di attacco contro un'applicazione web sconosciuti
• scatola grigia: un accesso privilegiato, con limitate capacità è prevista per la sicurezza etico per il test. E poi l'attività può iniziare. Metodologie di test specifici per applicazioni web sono impiegati per questo tipo di valutazione, volta ad individuare:
• iniezioni SQL
• iniezioni di codice
. vulnerabilità di cross site scripting (XSS)
• escalation di privilegi orizzontale e verticale
• difetti codice della logica
Alla fine del impegno, una relazione completa sarà redatto e consegnato al cliente. Il rapporto includerà:
• Una sintesi per la gestione
• Ogni dettaglio di vulnerabilità scoperte, tra cui la prova di lavoro del concetto di codice exploit.
• le linee guida di bonifica.
Revisione del codice: Questo servizio è un servizio di casella bianca specificamente volto a individuare punti deboli nelle applicazioni personalizzate. I vantaggi di un approccio scatola bianca è che può identificare le vulnerabilità che sono estremamente difficili da identificare altrimenti, ma che può rappresentare un grave rischio se accidentalmente scoperto da un potenziale avversario. Questo servizio è disponibile per le applicazioni scritte in varie lingue, e rappresenta la perfetta aggiungere su di un analisi delle applicazioni web, includendo un approccio scatola bianca. Per questo tipo di impegno etico di sicurezza deve essere fornita con l'applicazione (web o binario) del codice sorgente; Sicurezza etica fornirà tutta la documentazione necessaria per il cliente, tra cui accordi di non divulgazione. Il processo ruota attorno analisi statica del codice per identificare i difetti di codici che possono rappresentare un rischio per la sicurezza, questo include (ma non si limita a):
• vulnerabilità di buffer overflow
• stringa di formato
• più complesse vulnerabilità di corruzione della memoria (dopo un uso libero, ecc)
• carenze nella logica del codice che può portare a una escalation di privilegi o di accesso non autorizzato ai determinata area di applicazione. Se l'analisi ruota attorno a un bug del codice sorgente di applicazioni web come SQL Injections. Codice iniezioni vulnerabilità di Cross Site Scripting (XSS) privilegio Codice escalation difetti logici orizzontali e verticali. Alla fine del impegno, una relazione completa sarà redatto e consegnato al cliente. Il rapporto includerà:
• Una sintesi per la gestione
• Ogni dettaglio vulnerabilità scoperta con snipplets codice.
• le linee guida di bonifica.
.Valutazione di vulnerabilità: Una valutazione della vulnerabilità è un servizio volto a garantire una rete interna dell'organizzazione, identificando le debolezze derivanti dalla presenza di vulnerabilità ben note. Anche i migliori amministratori di sistema IT oggi hanno un momento davvero difficile a tenere il passo con il numero sempre crescente di difetti sapere che vengono scoperti ogni giorno, manca aggiornamenti del sistema operativo, la mancanza di una corretta gestione delle patch e applicazioni client obsoleti può risultare in una rete compromesso le infrastrutture, anche da parte di aggressori non qualificati. Esecuzione periodicamente una valutazione della vulnerabilità contro la rete interna può contribuire a ridurre il rischio, fornendo al personale IT con le informazioni di cui hanno bisogno per gestire al meglio i loro sistemi. Una valutazione della vulnerabilità Il "vulnerability assessment", similmente al penetration test, ricerca le problematiche di sicurezza all’interno di un sistema informativo, ma anziché simulare un attacco raccoglie una serie di informazioni per classificare e fare una valutazione della vulnerabilità delle reti informatiche e delle applicazioni web aziendali. Non è un test di penetrazione, e quindi l'attività sarà condotta in un ambiente scatola bianca. Con l'installazione di una sonda per ogni segmento di rete che il cliente vuole analizzare, FluxusIT analizzerà i segmenti di rete interna per le debolezze utilizzando strumenti specializzati per identificare le vulnerabilità ben note a dispositivi di rete, server e workstation client. Se vengono fornite credenziali con privilegi sufficienti, la valutazione sul lato client è condotto anche sui vari sistema per verificare la presenza di livello di patch e software obsoleti che possono rappresentare un rischio di compromissione se sfruttate con successo. Questo tipo di test è particolarmente indicato per la verifica della conformità. Alla fine del impegno, una relazione completa sarà redatto e consegnato al cliente. Il rapporto includerà:
• Una sintesi per la gestione
• Ogni dettaglio vulnerabilità scoperta mappati contro CVE e CVSS punteggi standard per la conformità di gestione del rischio.
• le linee guida di bonifica.
Dal momento che nel corso della valutazione, non saranno sfruttate le vulnerabilità, una demo di uno sfruttamento di successo viene eseguita come un esempio lo scopo di mostrare l'impatto che una debolezza critica può comportare sulla sicurezza dell'organizzazione.
Prodotti e servizi di rete Honeypot difensive: Honeypot sono sistemi destinati per simulare l’appetibilità di una rete aziendale esponendo servizi vulnerabili falsi che sono attraenti per un attaccante. Installazione di honeypot di rete in segmenti di rete strategiche rappresenta un modo sicuro per identificare comportamento ostile da attaccanti che hanno già ottenuto l'accesso alla rete interna e che stanno cercando di svolgere attività di movimento laterale o sono alla ricerca di sistemi di destinazione specifici. Come opposto a un sistema di rivelazione di intrusione tradizionale, che provoca generalmente molti allarmi che sono in realtà falsi positivi, honeypot sono molto più affidabili in termini di rilevazione, e rappresentano un modo efficace per prevenire attacchi di operare sotto copertura senza essere rilevata per un lungo periodo di tempo. Ogni sonda honeypot può essere configurato per emulare i seguenti servizi ed è personalizzato in modo tale che sembra unica, per evitare possibilità di essere impronte digitali e quindi rilevata da strumenti di attacco automatizzati.
• Le azioni di rete SMB / CIFS
• Servizi SSH
• Servizi Telnet
• Siti web statici (che assomiglia ad applicazioni web dinamiche)
Tracking System Document: Il sistema di tracciamento dei documenti (D.T.S), applica i concetti di honeypot di rete tradizionali per i documenti di Office, consentendo all'azienda di monitorare la loro apertura e la rilevazione di conseguenza esfiltrazione dati. Il modo in cui il D.T.S. opera è unica, e va ben oltre il concetto honeypot; è infatti possibile utilizzare questo strumento in molteplici scenari, come le indagini interne per rilevare potenziali addetti ai lavori, o tenere traccia di documenti riservati che non sono destinati a lasciare la rete aziendale. 
Posso concludere con un osservazione: la speranza è che presto ogni organizzazione si doti di un proprio Sistema di Gestione delle Sicurezza delle Informazioni e che aumenti il proprio livello di conoscenza e di competenza per contrastare la diffusione del Cybercrime facendo recuperare velocemente quel gap che si è formato in Italia rispetto ai molti paesi tecnologicamente più evoluti.
Non è stato fornito nessun testo alternativo per questa immagine

Non è stato fornito nessun testo alternativo per questa immagine
Non è stato fornito nessun testo alternativo per questa immagine
Non è stato fornito nessun testo alternativo per questa immagine

Non è stato fornito nessun testo alternativo per questa immagine

Commenti

Posta un commento

Post popolari in questo blog

Crack pagina di accesso basata sul Web con Hydra in Kali Linux

-
Immagine
Una password è tecnicamente definita come una stringa segreta di caratteri utilizzata per autenticare o accedere alle risorse. Deve essere tenuto segreto e nascosto ad altri a cui non è consentito accedere a tali risorse. Le password sono state utilizzate con i computer fin dai primi giorni dell'informatica. Uno dei primi sistemi di condivisione, è stato introdotto nel 1961. Aveva un comando di accesso che richiedeva una password utente. Dopo aver digitato “PASSWORD”, il sistema spegne, se possibile, il m eccanismo di stampa, in modo che l'utente possa digitare la propria password con riservatezza. La forza di una password è una funzione della lunghezza, della complessità e dell'imprevedibilità. Misura l'efficacia nel resistere a indovinare o romperlo. Le password deboli, d'altra parte, accorciano il tempo necessario per indovinare e ottenere l'accesso a e-mail personali/aziendali, dati sensibili come informazioni finanziarie, informazioni aziendali, carte di cr
Read more »

Smart Working ai tempi del Covid 19

-
Vi è un aspetto interessante nato durante la pandemia di Covid-19 e che ha rappresentato una svolta epocale dal punto di vista della gestione e la pianificazione delle attività lavorative. Molte aziende hanno dovuto adeguarsi alla necessità di salvaguardare la salute dei propri dipendenti, attuando politiche di tele lavoro concilianti anche con dinamiche di welfare aziendale. Tuttavia questo approccio ha portato ad un paradosso che è stato quello di confondere il tele lavoro con lo smart working e il lavoro agile. Tale distorsione nasce in primo luogo da una base culturale delle imprese, i
Read more »