Forniamo supporto specialistico per la gestione di un incidente di sicurezza, dalle attività di valutazione della compromissione alla investigazione ed eradicazione di minacce come malware, phishing e account data breach.
◼ COMPROMISE ASSESSMENT
Analisi dei sistemi aziendali volta ad individuare indicatori di compromissioni e attività malevole
◼ WEBSITE MALWARE REMOVAL
Analisi sulla presenza di codice malevolo all'interno di siti e applicazioni basate su web e successiva bonifica
◼ MALWARE INVESTIGATION
Investigazione di sospette infezioni da malware e successiva definizione delle misure di contenimento ed eradicazione
◼ PHISHING TAKEDOWN
Investigazione di minacce di phishing e abuso del brand con successivo supporto alla chiusura del sito illegale
◼ ACCOUNT TAKEOVER INVESTIGATION
Investigazione di furto di credenziali e successivo supporto alla mitigazione e gestione dell'incidente
◼ INCIDENT RESPONSE PLAN
Definizione di un piano di Incident Response personalizzato sulla base del contesto organizzativo e tecnologico
I N C I D E N T
R E S P O N S E
Compromise assessment
Di che cosa si tratta
Nel caso in cui la vostra organizzazione sia stata compromessa da un attore malintenzionato (incluso il ransomware), o anche se sospettate che sia stata compromessa ma non ci sono ancora prove, possiamo aiutarvi a confermare la presenza di attività dannose sulla vostra rete. I nostri servizi di Compromise Assessment rilevano e analizzano le attività dannose in corso, isolano i sistemi compromessi e vi supportano nella rimozione dell'attore dannoso dalla vostra rete.
Il compromise assessment è un'attività che consiste nell'analizzare un sistema informatico o una rete per identificare eventuali compromissioni o vulnerabilità ad attacchi informatici. In genere, questa attività viene svolta da professionisti della sicurezza informatica o da esperti di incident response.
In generale, il compromise assessment è un'attività importante per garantire la sicurezza informatica di un'organizzazione. Essa permette di individuare eventuali vulnerabilità o compromissioni prima che queste possano causare danni gravi o irreparabili.
A chi e' rivolto
Il servizio é rivolto ad aziende di tutte le dimensioni che si trovino in una o più delle seguenti condizioni:
Limitata visibilità e assenza di strumenti di analisi
Rilevare malware o altri indicatori di compromissione
Documentare la cyber resilience agli stakeholders
Supportare processi di merge and acquisitions
Verificare e validare il programma di sicurezza aziendale
Documentare due diligence e postura di sicurezza aziendale
Le fasi operative
DEPLOY
Vengono installati agenti con funzionalità EDR (Endpoint Detection and Response) a bordo di server e client per collezionare ed analizzare meta-dati e rilevare attività malevole o anomale in tempo reale.
HUNT
Viene effettuata una ricerca attiva di indicatori di compromissione, provvedendo parallelamente alla verifica delle attività malevole rilevate, alla gestione dei "falsi positivi" e all'eventuale isolamento di minacce rilevate.
MONITOR
Viene tenuto sotto controllo l'ambiente per alcune settimane allo scopo di individuare ulteriori attività malevole in essere e viene parallelamente manutenuto un aggiornamento costante tramite incontri periodici.
REPORT
A completamento dell'attività viene fornito un rapporto dettagliato di tutte le rilevazioni raccolte, degli interventi di contenimento effettuati e dei suggerimenti e "best practice" per una corretta "cyber hygiene".
Per saperne di più
Per maggiori informazioni non esitare a contattarci.
Website malware removal
Di che cosa si tratta
Gli hacker nascondono malware o file dannosi in qualsiasi parte del tuo sito o applicazione basata su web. Il servizio di rimozione malware elimina il malware da siti web compromessi, indipendentemente dalle tecnologie con cui sono stati sviluppati (es. Microsoft Sharepoint o Apache Tomcat) o dai sistemi di gestione dei contenuti (CMS) utilizzati (es. Wordpress, Magento, Drupal, Joomla). Esistono molti tipi di malware o codice dannoso. Il nostro servizio effettua la bonifica ed il ripristino delle piu' disparate forme di malware che minacciano la sicurezza delle transazioni online, tra cui rediret non autorizzati, pubblicità e "ads" non autorizzati, file e script malevoli. E poichè più a lungo è presente un malware all'interno del sito maggiori sono i danni economici e reputazionali che questo provoca, il servizio di rimozione del malware garanrisce tempi di risposta estreamente rapidi per riportare il sito web alla sua normale operatività.
A chi e' rivolto
Il servizio é rivolto ad aziende di tutte le dimensioni che si trovino a fronteggiare un attacco alle proprie applicazioni basate su web, siano esse basate su siviluppi "custom" che sulle principali piattaforme di gestione dei contenuti (CMS) attualmente in uso sul mercato:
Le fasi operative
ACCESSO INIZIALE
Ci connettiamo al sito utilizzando le credenziali di accesso per FTP o SSH, cPanel o al provider di hosting. Se il sito Web è stato rimosso offline, possiamo pulire i file del sito Web e il database accedendo localmente al sistema.
ANALISI APPROFONDITA
Il team di risposta agli incidenti esegue immediatamente diversi script per comprendere il tuo ambiente. Se troviamo software vulnerabile sul tuo server, ti guideremo attraverso come aggiornarlo.
QUARANTENA E BACKUP
Registriamo automaticamente tutti i file che tocchiamo e manteniamo backup sicuri prima di apportare modifiche. Ti teniamo in contatto durante la pulizia e forniamo un rapporto completo di tutto ciò che troviamo.
RIMOZIONE E VERIFICA
Combinando l'esperienza dei nostri analisti all'efficacia degli strumenti utilizzati provvediamo alla bonifica del sito compromesso. Una volta pulito il tuo sito Web, inviiamo richieste di revisione per rimuovere le liste di blocco.
Per saperne di più
Per maggiori informazioni non esitare a contattarci.
Malware investigation
Di che cosa si tratta
L'analisi del malware consente di determinare e analizzare i file sospetti sugli endpoint e all'interno delle reti utilizzando l'analisi dinamica, l'analisi statica o il reverse engineering completo. Hacker determinati, insieme all'adozione in espansione di applicazioni cloud e l'esplosione di dispositivi mobili per la forza lavoro significa che le imprese devono trovare nuovi modi per proteggersi da attacchi dannosi sempre più sofisticati. Data la scarsità di risorse specializzate, le organizzazioni hanno necessità di disporre delle competenze necessarie a risolvere questi problemi con velocità, semplicità ed efficienza – termini
I nostri specialisti utilizzano tecnologie di analisi multilivello basata su cloud che includono tecniche di analisi avanzate per identificare e neutralizzare il malware progettato per eludere la tecnologia di rilevamento. Queste tecniche bloccano le minacce note, analizzano qualsiasi cosa nuova e sconosciuti e combattere gli attacchi evoluti. L'intero sistema lo è progettato per garantire una protezione di livello aziendale garantendo al tempo stesso che i falsi positivi rimangano estremamente bassi, garantendo quel prezioso personale di sicurezza e di risposta agli incidenti non stanno perdendo tempo a rincorrere falsi allarmi.
A chi e' rivolto
Una solida pratica di analisi del malware aiuta nell'analisi, nel rilevamento e nella mitigazione di potenziali minacce. L'analisi del malware può aiutare le organizzazioni a identificare gli oggetti malevoli utilizzati in attacchi avanzati, mirati e zero-day.
WORMS
TROJAN
BACKDOOR
ROOTKIT
KEYLOGGER
RANSOMWARE
Le fasi operative
ANALISI STATICA
L'analisi statica esamina i file alla ricerca di segnali di intento malevolo senza eseguire il programma. Questa forma può anche richiedere la revisione manuale da parte di un professionista IT dopo l'esame iniziale per condurre un'ulteriore analisi del modo in cui il malware interagisce con il sistema. L'analisi statica dei documenti cerca le anomalie nel file stesso, non nel modo in cui viene eseguito.
ANALISI DINAMICA
L'analisi dinamica si basa su un sistema chiuso per avviare il programma malevolo in un ambiente sicuro e osservarne semplicemente il comportamento. L'analisi dinamica interagisce con il malware per carpire ogni comportamento malevolo, supporta l'automazione e risultati rapidi e accurati e aiuta a identificare e analizzare i punti oscuri nell'infrastruttura di un'organizzazione.
REVERSE ENGINEERING
Il reverse engineering del malware implica il disassemblaggio di un programma software. Attraverso questo processo, le istruzioni binarie vengono convertite in codici mnemonici in modo che i tecnici possano osservare cosa fa il programma e quali sistemi colpisce. Solo conoscendo i dettagli, i tecnici possono creare soluzioni in grado di mitigare gli effetti malevoli perseguiti dal programma.
Per saperne di più
Per maggiori informazioni non esitare a contattarci.
Phishing takedown
Di che cosa si tratta
I domini clone e il phishing sono tecniche utilizzate dagli hacker per ingannare le persone e rubare informazioni personali o finanziarie. I domini clone sono siti web che sono progettati per sembrare simili a un sito web legittimo. I truffatori creano un sito web che sembra identico a quello della banca, dell'azienda o del servizio che si desidera imitare, utilizzando un nome di dominio simile, ma con una piccola variazione. Il phishing, invece, si riferisce ad un'operazione fraudolenta in cui un truffatore invia e-mail, messaggi di testo o messaggi sui social media che sembrano provenire da un'azienda o da un servizio legittimo.
Il servizio di phishing takedown provvede alla rimozione di siti clone e siti coinvolti in attività illecite di phishing. Segnalare un sito di phishing e richiederne la chiusura non dovrebbe essere complicato. Con il servizio di phishing takedown provvediamo a raccogliere tutte le informazioni per documentare l'abuso, ad identificare il "registrant" e tutta la catena di fornitori di servizi (es. hosting, email) affinché provvedano alla rimozione del contenuto non autorizzato.
A chi e' rivolto
Il servizio di phishing takedown si rivolge principalmente alle organizzazioni e alle aziende che desiderano proteggere i propri marchi e le informazioni dei propri utenti. Le aziende possono utilizzare i servizi di phishing takedown per proteggere i propri marchi e le informazioni dei propri utenti. Inoltre, questi servizi possono essere utilizzati dalle organizzazioni per proteggere i propri dipendenti dalle minacce online e per prevenire eventuali danni alle attività aziendali.
Domini di terzo livello
Domini con nome assonante
Domini generici di 2° livello
Domini con Typosquatting
Le fasi operative
VALUTAZIONE DELLA MINACCIA
Per prima cosa è importante valutare la minaccia che rappresenta per l'azienda. Si dovrebbe considerare il tipo di informazioni che potrebbero essere state compromesse, il numero e la tipologia di utenti coinvolti e l'impatto dell'attacco in termini economci e di immagine del marchio aziendale.
RACCOLTA DELLE INFORMAZIONI
Occorre a questo punto raccogliere il maggior numero di informazioni possibili sul sito di phishing, come indirizzi IP, nomi di dominio, account di posta elettronica associati, contenuti illeciti o non autorizzati insieme alle informazioni relative alla catena di fornitura (registrar, hosting, provider email etc.).
SEGNALAZIONE A REGISTRAR E AUTORITA
Vengono a questo punto contattati il registraer ed i provider di hosting del sito di phishing a cui vengono segnalate le attività illecite svolte dal sito. Se il registrar o il provider di hosting non risponde, è successivamente possibile contattare le autorità competenti nel paese in cui sono registrati i provider coinvolti.
MONITORAGGIO E REPORTISTICA
Una volta che il sito di phishing è stato segnalato e rimosso, è importante assicurarsi che non venga spostato su altro dominio. Ci occupiamo di tale attività sfruttando strumenti avanzati di scansione del web e provvediamo infine a sintetizzare le varie attività svolte all'interno dell'incident report fornito al cliente.
Per saperne di più
Per maggiori informazioni non esitare a contattarci.
Account Takeover investigation
Di che cosa si tratta
L'account takeover (ATO) è un tipo di attacco informatico in cui un malintenzionato acquisisce il controllo di un account online di un'altra persona senza il suo consenso. Gli attaccanti utilizzano varie tecniche per ottenere l'accesso alle credenziali di login di un account, tra cui phishing, malware, attacchi di ingegneria sociale e forza bruta. Una volta che l'attaccante ha ottenuto le credenziali di accesso dell'account, può accedere alle informazioni sensibili dell'utente, come informazioni personali, dati finanziari, messaggi privati, e-mail e così via.
Il servizio di account takeover investigation fornisce un supporto tempestivo e specialistico per la gestione di un attacco di account takeover che abbia compromesso uno o più utenze aziendali e ha lo scopo di garantire un ripristino sicuro degli accessi unitamente ad una fase di monitoraggio volta ad assicurare l'effettiva bonifica dell'utenza e dei dispositivi utilizzati per l'accesso a tale utenza.
A chi e' rivolto
Il servizio di account takeover investigation si rivolge principalmente alle organizzazioni e alle aziende che si trovino a fronteggiare furto di credenziali con conseguente accesso non autorizzato all'identità digitale di uno o più utenti nonchè a dati ed applicazioni a tali utenti accessibili. In caso di attacchi di account takover è importante agire rapidamente per limitare i danni e ripristinare l'account compromesso. Il servizio di account takeover investigation ha lo scopo di fornire supporto tempestivo e qualificato alle aziende che si trovino a fronteggiare tale tipologia di attacchi attraverso un'analisi approfondita dell'attacco, la rimozione dell'accesso non autorizzato da parte dell'attaccante e l'individuazione di suggerimernti atti a prevenire il ripetersi di tale attacco.
Ricerche
nel darkweb
Password
rubate
Crack di
password
Campagne di phishing
Virus e
malware
Reti non
sicure
Le fasi operative
BLOCCO DELLA
UTENZA
Una volta rilevato un attacco di account takeover occorre per prima cosa procedere rapidamente al blocco dell'account. In questa fase vengono individuate con il supporto del cliente tutti i repository e le applicazioni dove sia attivo un profilo associato all'utenza, che viene disabilitato.
ANALISI DELLA COMPROMISSIONE
Vengono ora eseguite attività per per individuare, se possibile, le modalità con cui l'attacco e' stato realizzato. Questa fase comprende analisi sulla presenza di malware, spyware o app dannose sui dispositivi dell'utente, analisi della cronologia di navigazione, ricerche dell'utenza nel darkweb.
RIPRISTINO DELLA
UTENZA
Dopo aver verificato l'integrità dei dispositivi vengono riattivati gli accessi ai repository e applicazioni utilizzate dall'utente. Se possibile, viene valutata la possibilità di imporre temporamente l'utilizzo di tecniche di autenticazione multi-fattore e/o password di maggiore complessità.
MONITORAGGIO E REPORTISTICA
Allo scopo di garantire la positiva conclusione dell'incidente di sicurezza le utenze e i dispositivi coinvolti nell'attacco sono sottoposti ad attività di monitoraggio delle attività svolte per un periodo di due settimane, al termine delle quali viene fornito un incident report dettagliato.
Per saperne di più
Per maggiori informazioni non esitare a contattarci.
Incident Response planning
Di che cosa si tratta
Il servizio di incident response planning (IRP) fornisce un insieme di procedure e protocolli che un'organizzazione mette in atto per gestire in modo efficiente e rapido un incidente di sicurezza informatica. L'obiettivo principale di un IRP è quello di minimizzare gli effetti negativi dell'incidente, proteggere i dati sensibili dell'organizzazione e ripristinare le normali attività il prima possibile.
Il piano di Incident Response che verrà predisposto potrà contemplare, tra le altre informazioni e procedure operative, l'enumerazione dei membri del team di risposta agli incidenti, le procedure di rilevamento e segnalazione degli incidenti, le procedure di analisi e valutazione degli incidenti e della loro severità, le procedure da adottare per la mitigazione degli incidenti, di monitoraggio e di documentazione secondo quanto previsto da normative e best practice di riferimento e infine un elenco di contatti di emergenza, compresi i fornitori di servizi di sicurezza informatica e le autorità competenti, in modo da poterli contattare in caso di necessità.
Tali procedure ed informazioni saranno fornite come deliverable soggetto a revisione periodica e/o in concomitanza con modifiche all'attuale assetto organizzativo e tecnologico dell'azienda.
A chi e' rivolto
Ill servizio di incident response plan (IRP) può essere rivolto a qualsiasi organizzazione che gestisce dati sensibili e/o critici per il suo business, come ad esempio aziende, istituzioni pubbliche, organizzazioni non profit, enti governativi e fornitori di servizi IT. In particolare, il servizio di IRP è rivolto alle organizzazioni che desiderano garantire un'efficace gestione degli incidenti di sicurezza informatica, minimizzando gli effetti negativi sull'organizzazione e ripristinando le normali attività il prima possibile. Il servizio di IRP può essere particolarmente utile per le organizzazioni che non hanno un team dedicato alla gestione degli incidenti di sicurezza informatica o che non dispongono delle risorse e delle competenze necessarie per gestire gli incidenti in modo efficace.
Membri del team di Incident Response
Rilevazione e segnalazione
Analisi e investigazione
Mitigazione e contenimento
Documentazione e reportistica
Elcno di
contatti utili
Le fasi operative
Il piano di Incident Response fornirà le procedure operative e le informazioni fondamentali per la gestione delle diverse fasi di un incidente di sicurezza:
ATTIVITA'
PRELIMINARI
Il piano di incident response contiene tutte le informazioni necessarie durante la gestione di un incidente di sicurezza, a partire dai riferimenti delle persone da contattare, le metriche di valutazione della severità dell''incidente, le procedure di escalation da adottare nonche' i riferimenti delle strutture interne, esterne e governative che devono e/o possono essere contattate.
RILEVAZIONE E
ANALISI
Il piano di incident response fornisce le procedure operative da adottare per la gestione dell'incidente, dai modelli per le comunicazioni all'interno e all'esterno dell'organizzazione alle metodologie, tecniche e strumenti da utilizzare per l'analisi e l'investigazione delle diverse tipologie di minacce ed attacchi alla base dell'incidente di sicurezza rilevato.
MITIGAZIONE ED ERADICAZIONE
Il piano di incident response fornisce indicazioni di carattere metodologico ed operativo a supporto delle fasi di mitigazione, contenimento ed eradicazione delle tipologie di attacchi più comuni, tra cui attacchi malware, ransomware, phishing, account takeover, business email compromise, attacchi web, attachi DoS d DDoS o basati sullo sfruttamento di vulnerabilità.
RIPRISTINO E DOCUMENTAZIONE
Il piano di incident response fornisce altresì indicazioni metodologiche ed operative relative alle azioni da intraprendere nelle fasi conclusive della gestione dell'incidente, che comprendono l'eventuale ripristino di dati compromessi e la verifica di integrità dei sistemi ma anche gli aspetti documentali (es. incident report) e le valutazioni di eventuali miglioramenti.
Per saperne di più
Per maggiori informazioni non esitare a contattarci.