www  |  blog  subscribe  events  press  job  contact

Incident response

Investigazione ed eradicazione delle minacce. Supporto specialistico per reagire efficacemente ad un incidente di sicurezza.

Forniamo supporto specialistico per la gestione di un incidente di sicurezza, dalle attività di valutazione della compromissione alla investigazione ed eradicazione di minacce come malware, phishing e account data breach

◼  COMPROMISE ASSESSMENT

  Analisi dei sistemi aziendali volta ad individuare indicatori di compromissioni e attività malevole

◼  WEBSITE MALWARE REMOVAL

  Analisi sulla presenza di codice malevolo all'interno di siti e applicazioni basate su web e successiva bonifica

◼  MALWARE INVESTIGATION

  Investigazione di sospette infezioni da malware e successiva definizione delle misure di contenimento ed eradicazione

◼  PHISHING TAKEDOWN

  Investigazione di minacce di phishing e abuso del brand con successivo supporto alla chiusura del sito illegale

◼  ACCOUNT TAKEOVER INVESTIGATION

  Investigazione di furto di credenziali e successivo supporto alla mitigazione e gestione dell'incidente

◼  INCIDENT RESPONSE PLAN

  Definizione di un piano di Incident Response personalizzato sulla base del contesto organizzativo e tecnologico

I N C I D E N T 

R E S P O N S E

Compromise assessment

Di che cosa si tratta

Nel caso in cui la vostra organizzazione sia stata compromessa da un attore malintenzionato (incluso il ransomware), o anche se sospettate che sia stata compromessa ma non ci sono ancora prove, possiamo aiutarvi a confermare la presenza di attività dannose sulla vostra rete. I nostri servizi di Compromise Assessment rilevano e analizzano le attività dannose in corso, isolano i sistemi compromessi e vi supportano nella rimozione dell'attore dannoso dalla vostra rete.

Il compromise assessment è un'attività che consiste nell'analizzare un sistema informatico o una rete per identificare eventuali compromissioni o vulnerabilità ad attacchi informatici. In genere, questa attività viene svolta da professionisti della sicurezza informatica o da esperti di incident response.

In generale, il compromise assessment è un'attività importante per garantire la sicurezza informatica di un'organizzazione. Essa permette di individuare eventuali vulnerabilità o compromissioni prima che queste possano causare danni gravi o irreparabili.

A chi e' rivolto

Il servizio é rivolto ad aziende di tutte le dimensioni che si trovino in una o più delle seguenti condizioni:

Visibility icon

Limitata visibilità e assenza di strumenti di analisi

Malware icon

Rilevare malware o altri indicatori di compromissione

Computer icon

Documentare la cyber resilience agli  stakeholders

Folder icon

Supportare processi di merge and acquisitions 

Check icon

Verificare e validare il programma di sicurezza aziendale

Compliance icon

Documentare due diligence e postura di sicurezza aziendale

Le fasi operative

DEPLOY

Vengono installati agenti con funzionalità EDR (Endpoint Detection and Response) a bordo di server e client per collezionare ed analizzare meta-dati e rilevare attività malevole o anomale in tempo reale.

HUNT

Viene effettuata una ricerca attiva di indicatori di compromissione, provvedendo parallelamente alla verifica delle attività malevole rilevate, alla gestione dei "falsi positivi" e all'eventuale isolamento di minacce rilevate.

MONITOR

Viene tenuto sotto controllo l'ambiente per alcune settimane allo scopo di individuare ulteriori attività malevole in essere e viene parallelamente manutenuto un aggiornamento costante tramite incontri periodici.

REPORT

A completamento dell'attività viene fornito un rapporto dettagliato di tutte le rilevazioni raccolte, degli interventi di contenimento effettuati e dei suggerimenti e "best practice" per una corretta "cyber hygiene". 

Per saperne di più

Per maggiori informazioni non esitare a contattarci.

Website malware removal

Di che cosa si tratta

Gli hacker nascondono malware o file dannosi in qualsiasi parte del tuo sito o applicazione basata su web. Il servizio di rimozione malware elimina il malware da siti web compromessi, indipendentemente dalle tecnologie con cui sono stati sviluppati (es. Microsoft Sharepoint o Apache Tomcat) o dai sistemi di gestione dei contenuti (CMS) utilizzati (es. Wordpress, Magento, Drupal,  Joomla).  Esistono molti tipi di malware o codice dannoso. Il nostro servizio effettua la bonifica ed il ripristino delle piu' disparate forme di malware che minacciano la sicurezza delle transazioni online, tra cui rediret non autorizzati, pubblicità e "ads" non autorizzati, file e script malevoli. E poichè più a lungo è presente un malware all'interno del sito maggiori sono i danni economici e reputazionali che questo provoca, il servizio di rimozione del malware garanrisce tempi di risposta estreamente rapidi per riportare il sito web alla sua normale operatività.

A chi e' rivolto

Il servizio é rivolto ad aziende di tutte le dimensioni che si trovino a fronteggiare un attacco alle proprie applicazioni basate su web, siano esse basate su siviluppi "custom" che sulle principali piattaforme di gestione dei contenuti (CMS) attualmente in uso sul mercato:

Wordpress hacked icon
Joomla hacked icon
Magento hacked icon
Drupal hacked icon

Le fasi operative

ACCESSO INIZIALE

Ci connettiamo al sito utilizzando le credenziali di accesso per FTP o SSH, cPanel o al provider di hosting. Se il sito Web è stato rimosso offline, possiamo pulire i file del sito Web e il database accedendo localmente al sistema.

ANALISI APPROFONDITA

Il team di risposta agli incidenti esegue immediatamente diversi script per comprendere il tuo ambiente. Se troviamo software vulnerabile sul tuo server, ti guideremo attraverso come aggiornarlo.

QUARANTENA E BACKUP

Registriamo automaticamente tutti i file che tocchiamo e manteniamo backup sicuri prima di apportare modifiche. Ti teniamo in contatto durante la pulizia e forniamo un rapporto completo di tutto ciò che troviamo.

RIMOZIONE E VERIFICA

Combinando l'esperienza dei nostri analisti all'efficacia degli strumenti utilizzati provvediamo alla bonifica del sito compromesso. Una volta pulito il tuo sito Web, inviiamo richieste di revisione per rimuovere le liste di blocco.

Per saperne di più

Per maggiori informazioni non esitare a contattarci.

Malware investigation

Di che cosa si tratta

L'analisi del malware consente di determinare e analizzare i file sospetti sugli endpoint e all'interno delle reti utilizzando l'analisi dinamica, l'analisi statica o il reverse engineering completo. Hacker determinati, insieme all'adozione in espansione di applicazioni cloud e l'esplosione di dispositivi mobili per la forza lavoro significa che le imprese devono trovare nuovi modi per proteggersi da attacchi dannosi sempre più sofisticati. Data la scarsità di risorse specializzate, le organizzazioni hanno necessità di disporre delle competenze necessarie a risolvere questi problemi con velocità, semplicità ed efficienza – termini

I nostri specialisti utilizzano tecnologie di analisi multilivello basata su cloud che includono tecniche di analisi avanzate per identificare e neutralizzare il malware progettato per eludere la tecnologia di rilevamento. Queste tecniche bloccano le minacce note, analizzano qualsiasi cosa nuova e sconosciuti e combattere gli attacchi evoluti. L'intero sistema lo è progettato per garantire una protezione di livello aziendale garantendo al tempo stesso che i falsi positivi rimangano estremamente bassi, garantendo quel prezioso personale di sicurezza e di risposta agli incidenti non stanno perdendo tempo a rincorrere falsi allarmi.

A chi e' rivolto

Una solida pratica di analisi del malware aiuta nell'analisi, nel rilevamento e nella mitigazione di potenziali minacce. L'analisi del malware può aiutare le organizzazioni a identificare gli oggetti malevoli utilizzati in attacchi avanzati, mirati e zero-day.

Worm icon

WORMS

Trojan icon

TROJAN

Backdoor icon

BACKDOOR

Rootkit icon

ROOTKIT

Keylogger icon

KEYLOGGER

Ransomware icon

RANSOMWARE

Le fasi operative

ANALISI STATICA

L'analisi statica esamina i file alla ricerca di segnali di intento malevolo senza eseguire il programma. Questa forma può anche richiedere la revisione manuale da parte di un professionista IT dopo l'esame iniziale per condurre un'ulteriore analisi del modo in cui il malware interagisce con il sistema. L'analisi statica dei documenti cerca le anomalie nel file stesso, non nel modo in cui viene eseguito.

ANALISI DINAMICA

L'analisi dinamica si basa su un sistema chiuso per avviare il programma malevolo in un ambiente sicuro e osservarne semplicemente il comportamento. L'analisi dinamica interagisce con il malware per carpire ogni comportamento malevolo, supporta l'automazione e risultati rapidi e accurati e aiuta a identificare e analizzare i punti oscuri nell'infrastruttura di un'organizzazione.

REVERSE ENGINEERING

Il reverse engineering del malware implica il disassemblaggio di un programma software. Attraverso questo processo, le istruzioni binarie vengono convertite in codici mnemonici in modo che i tecnici possano osservare cosa fa il programma e quali sistemi colpisce. Solo conoscendo i dettagli, i tecnici possono creare soluzioni in grado di mitigare gli effetti malevoli perseguiti dal programma.

Per saperne di più

Per maggiori informazioni non esitare a contattarci.

Phishing takedown

Di che cosa si tratta

I domini clone e il phishing sono tecniche utilizzate dagli hacker per ingannare le persone e rubare informazioni personali o finanziarie. I domini clone sono siti web che sono progettati per sembrare simili a un sito web legittimo. I truffatori creano un sito web che sembra identico a quello della banca, dell'azienda o del servizio che si desidera imitare, utilizzando un nome di dominio simile, ma con una piccola variazione. Il phishing, invece, si riferisce ad un'operazione fraudolenta in cui un truffatore invia e-mail, messaggi di testo o messaggi sui social media che sembrano provenire da un'azienda o da un servizio legittimo. 

Il servizio di phishing takedown provvede alla rimozione di siti clone e siti coinvolti in attività illecite di phishing. Segnalare un sito di phishing e richiederne la chiusura non dovrebbe essere complicato. Con il servizio di phishing takedown provvediamo a raccogliere tutte le informazioni per documentare l'abuso, ad identificare il "registrant" e tutta la catena di fornitori di servizi (es. hosting, email) affinché provvedano alla rimozione del contenuto non autorizzato.  

A chi e' rivolto

Il servizio di phishing takedown si rivolge principalmente alle organizzazioni e alle aziende che desiderano proteggere i propri marchi e le informazioni dei propri utenti. Le aziende possono utilizzare i servizi di phishing takedown per proteggere i propri marchi e le informazioni dei propri utenti. Inoltre, questi servizi possono essere utilizzati dalle organizzazioni per proteggere i propri dipendenti dalle minacce online e per prevenire eventuali danni alle attività aziendali.

Third-level domains icon

Domini di terzo livello

Lookalike domains icon

Domini con nome assonante

Generic TLDs icon

Domini generici di 2° livello

Typosquatting domains icon

Domini con Typosquatting

Le fasi operative

VALUTAZIONE DELLA MINACCIA

Per prima cosa è importante valutare la minaccia che rappresenta per l'azienda. Si dovrebbe considerare il tipo di informazioni che potrebbero essere state compromesse, il numero e la tipologia di utenti coinvolti e l'impatto dell'attacco in termini economci e di immagine del marchio aziendale.

RACCOLTA DELLE INFORMAZIONI

Occorre a questo punto raccogliere il maggior numero di informazioni possibili sul sito di phishing, come indirizzi IP, nomi di dominio, account di posta elettronica associati, contenuti illeciti o non autorizzati insieme alle informazioni relative alla catena di fornitura (registrar, hosting, provider email etc.).

SEGNALAZIONE A REGISTRAR E AUTORITA

Vengono a questo punto contattati il registraer ed i provider di hosting del sito di phishing a cui vengono segnalate le attività illecite svolte dal sito. Se il registrar o il provider di hosting non risponde, è successivamente possibile contattare le autorità competenti nel paese in cui sono registrati i provider coinvolti.

MONITORAGGIO E REPORTISTICA

Una volta che il sito di phishing è stato segnalato e rimosso, è importante assicurarsi che non venga spostato su altro dominio. Ci occupiamo di tale attività sfruttando strumenti avanzati di scansione del web e provvediamo infine a sintetizzare le varie attività svolte all'interno dell'incident report fornito al cliente.

Per saperne di più

Per maggiori informazioni non esitare a contattarci.

Account Takeover investigation

Di che cosa si tratta

L'account takeover (ATO) è un tipo di attacco informatico in cui un malintenzionato acquisisce il controllo di un account online di un'altra persona senza il suo consenso. Gli attaccanti utilizzano varie tecniche per ottenere l'accesso alle credenziali di login di un account, tra cui phishing, malware, attacchi di ingegneria sociale e forza bruta. Una volta che l'attaccante ha ottenuto le credenziali di accesso dell'account, può accedere alle informazioni sensibili dell'utente, come informazioni personali, dati finanziari, messaggi privati, e-mail e così via.

Il servizio di account takeover investigation fornisce un supporto tempestivo e specialistico per la gestione di un attacco di account takeover che abbia compromesso uno o più utenze aziendali e ha lo scopo di garantire un ripristino sicuro degli accessi unitamente ad una fase di monitoraggio volta ad assicurare l'effettiva bonifica dell'utenza e dei dispositivi utilizzati per l'accesso a tale utenza. 

A chi e' rivolto

Il servizio di account takeover investigation si rivolge principalmente alle organizzazioni e alle aziende che  si trovino a fronteggiare furto di credenziali con conseguente accesso non autorizzato all'identità digitale di uno o più utenti nonchè a dati ed applicazioni a tali utenti accessibili. In caso di attacchi di account takover è importante agire rapidamente per limitare i danni e ripristinare l'account compromesso. Il servizio di account takeover investigation ha lo scopo di fornire supporto tempestivo e qualificato alle aziende che si trovino a fronteggiare tale tipologia di attacchi attraverso un'analisi approfondita dell'attacco, la rimozione dell'accesso non autorizzato da parte dell'attaccante e l'individuazione di suggerimernti atti a prevenire il ripetersi di tale attacco. 

Darkweb icon

Ricerche
nel darkweb

Stolen password icon

Password
rubate

Cracked password icon

Crack di
password

Phishing icon

Campagne di phishing

Malware icon

Virus e
malware

Unsecure wi-fi icon

Reti non
sicure

Le fasi operative

BLOCCO DELLA
UTENZA

Una volta rilevato un attacco di account takeover occorre per prima cosa procedere rapidamente al blocco dell'account. In questa fase vengono individuate con il supporto del cliente tutti i repository e le applicazioni dove sia attivo un profilo associato all'utenza, che viene disabilitato.

ANALISI DELLA COMPROMISSIONE

Vengono ora eseguite attività per per individuare, se possibile, le modalità con cui l'attacco e' stato realizzato. Questa fase comprende analisi sulla presenza di malware, spyware o app dannose sui dispositivi dell'utente, analisi della cronologia di navigazione, ricerche dell'utenza nel darkweb.

RIPRISTINO DELLA
UTENZA

Dopo aver verificato l'integrità dei dispositivi vengono riattivati gli accessi ai repository e applicazioni utilizzate dall'utente. Se possibile, viene valutata la possibilità di imporre temporamente l'utilizzo di tecniche di autenticazione multi-fattore e/o password di maggiore complessità.

MONITORAGGIO E REPORTISTICA

Allo scopo di garantire la positiva conclusione dell'incidente di sicurezza le utenze e i dispositivi coinvolti nell'attacco sono sottoposti ad attività di monitoraggio delle attività svolte per un periodo di due settimane, al termine delle quali viene fornito un incident report dettagliato.

Per saperne di più

Per maggiori informazioni non esitare a contattarci.

Incident Response planning

Di che cosa si tratta

Il servizio di incident response planning (IRP) fornisce un insieme di procedure e protocolli che un'organizzazione mette in atto per gestire in modo efficiente e rapido un incidente di sicurezza informatica. L'obiettivo principale di un IRP è quello di minimizzare gli effetti negativi dell'incidente, proteggere i dati sensibili dell'organizzazione e ripristinare le normali attività il prima possibile.

Il piano di Incident Response che verrà predisposto potrà contemplare, tra le altre informazioni e procedure operative, l'enumerazione dei membri del team di risposta agli incidenti, le procedure di rilevamento e segnalazione degli incidenti, le procedure di analisi e valutazione degli incidenti e della loro severità, le procedure da adottare per la mitigazione degli incidenti, di monitoraggio e di documentazione secondo quanto previsto da normative e best practice di riferimento e infine un elenco di contatti di emergenza, compresi i fornitori di servizi di sicurezza informatica e le autorità competenti, in modo da poterli contattare in caso di necessità. 

Tali procedure ed informazioni saranno fornite come deliverable soggetto a revisione periodica e/o in concomitanza con modifiche all'attuale assetto organizzativo e tecnologico dell'azienda.

A chi e' rivolto

Ill servizio di incident response plan (IRP) può essere rivolto a qualsiasi organizzazione che gestisce dati sensibili e/o critici per il suo business, come ad esempio aziende, istituzioni pubbliche, organizzazioni non profit, enti governativi e fornitori di servizi IT. In particolare, il servizio di IRP è rivolto alle organizzazioni che desiderano garantire un'efficace gestione degli incidenti di sicurezza informatica, minimizzando gli effetti negativi sull'organizzazione e ripristinando le normali attività il prima possibile. Il servizio di IRP può essere particolarmente utile per le organizzazioni che non hanno un team dedicato alla gestione degli incidenti di sicurezza informatica o che non dispongono delle risorse e delle competenze necessarie per gestire gli incidenti in modo efficace.

Incident response team icon

Membri del team di Incident Response

Alert icon

Rilevazione e segnalazione

Investigation icon

Analisi e investigazione

Containment icon

Mitigazione e contenimento

Reporting icon

Documentazione e reportistica

Address book icon

Elcno di
contatti utili 

Le fasi operative

Il piano di Incident Response fornirà le procedure operative e le informazioni fondamentali per la gestione delle diverse fasi di un incidente di sicurezza: 

ATTIVITA'
PRELIMINARI

Il piano di incident response contiene tutte le informazioni necessarie durante la gestione di un incidente di sicurezza, a partire dai riferimenti delle persone da contattare, le metriche di valutazione della severità dell''incidente, le procedure di escalation da adottare nonche' i riferimenti delle strutture interne, esterne e governative che devono e/o possono essere contattate. 

RILEVAZIONE E
ANALISI

Il piano di incident response fornisce le procedure operative da adottare per la gestione dell'incidente, dai modelli per le comunicazioni all'interno e all'esterno dell'organizzazione alle metodologie, tecniche e strumenti da utilizzare per l'analisi e l'investigazione delle diverse tipologie di minacce ed attacchi alla base dell'incidente di sicurezza rilevato.

MITIGAZIONE ED ERADICAZIONE

Il piano di incident response fornisce indicazioni di carattere metodologico ed operativo a supporto delle fasi di mitigazione, contenimento ed eradicazione delle tipologie di attacchi più comuni, tra cui attacchi malware, ransomware, phishing, account takeover, business email compromise, attacchi web, attachi DoS d DDoS o basati sullo sfruttamento di vulnerabilità.

RIPRISTINO E DOCUMENTAZIONE

Il piano di incident response fornisce altresì indicazioni metodologiche ed operative relative alle azioni da intraprendere nelle fasi conclusive della gestione dell'incidente, che comprendono l'eventuale ripristino di dati compromessi e la verifica di integrità dei sistemi ma anche gli aspetti documentali (es. incident report) e le valutazioni di eventuali miglioramenti. 

Per saperne di più

Per maggiori informazioni non esitare a contattarci.