Security & Risk Assessment
Nell’ambito dei servizi di Security Adivisory, le soluzioni di Security Assessment e Risk Assessement hanno l’obiettivo di misurare il livello di sicurezza e di rischio di una azienda, identificando le vulnerabilità che possono essere sfruttate con successo dagli attaccanti.
Le attività di valutazione possono essere condotte internamente ed esternamente al perimetro aziendale, con analisi approfondite su reti ed infrastrutture, applicazioni, sistemi per l’automazione (IoT, IIoT, OT, Building Automation System), sistemi WiFi.
Security Assessment Documentale
E’ un analisi che ha l’obiettivo di verificare macroscopicamente lo stato di sicurezza a seguito di informazioni raccolte direttamente dal cliente: policy di cyber security adottate, sistemi di difesa presenti, documentazione tecnica, architettura e diagrammi di rete, sistemi di gestione e procedure IT, mercato di riferimento.
I risultati delle analisi sono raccolti in un documento che evidenzia i livelli di sicurezza presenti e fornisce gli elementi per il superamento di eventuali gap riscontrati.
Vulnerability Assessment
Il servizio di Vulnerability Assessment rileva la presenza di vulnerabilità sfruttabili dai cyber criminali, sia da un punto di osservazione esterno che all’interno del perimetro aziendale.
L’attività comprende una analisi scientifica approfondita in più ambienti:
- Vulnerability Assessment Infrastrutturale
Individuare eventuali vulnerabilità di sicurezza dell’infrastruttura perimetrale (reti, server, sistemi e servizi esposti su internet) e interna (rete wired, rete wi-fi, postazioni di lavoro e server).
- Vulnerability Assessment Applicativo
Individuare eventuali vulnerabilità di sicurezza delle applicazioni web perimetrali ed interne (siti internet, e-commerce, intranet, applicazioni custom erogate via web)
- Vulnerability Assessment Industriale -IoT – OT – IIoT-
Analizzare le comunicazioni della rete di automazione CPS (Cyber-Physical System) e BAS (Building Automation System), per rilvare le vulnerabilità di ambienti per l’automazione, catene di produzione, sistemi di building management.
- Vulnerability Assessment Wireless
Rilevare gli access point attestati in rete, scansionarli alla ricerca di vulnerabilità riconducibili all’autenticazione, a configurazioni errate e a protocolli crittografici deboli.
A seguito delle analisi svolte, verranno rilasciati:
- un report tecnico, destinato ai responsabili della sicurezza, che descrive tutte le vulnerabilità individuate, la severity delle minacce, le possibili conseguenze del mantenimento dello stato di minaccia e il dettaglio relativo alla sicurezza di ogni sistema o dispositivo.
Dal report tecnico si evincono tutte le informazioni per redigere documentazione specifica per aggiornare il team interno di security, l’amministratore di rete e gli organi direttivi sulla sicurezza della rete sottoposta a verifica;
- un report direzionale, sintetico e “business-oriented”, riservato alla direzione aziendale, contenente un riepilogo generale delle attività eseguite, con evidenzia dei risultati ottenuti, una classificazione in macrocategorie delle vulnerabilità rilevate e dei livelli di rischio associati
Penetration Test
L’obiettivo del servizio è quello di verificare la reale sfruttabilità delle vulnerabilità identificate con l’attività di vulnerability assessment.
I pentester di ORAZERO, attraverso attività di exploitation concordate il Cliente, verificano sul campo le vulnerabilità riscontrate per determinare i reali impatti qualora dovessero essere utilizzate da potenziali attaccanti.
Ogni vulnerabilità sarà valutata in base a standard internazionali, mediante un appositi «vettori di attacco» che ne descrivono caratteristiche (complessità, privilegi richiesti, necessità di interazione con altri utenti) e impatti.
Red Team Operations
Le attività del Red Team di ORAZERO consistono nella simulazione di un attacco, concordato con il cliente, tramite l’utilizzo di tecniche e tempistiche non tipicamente impiegate durante un Penetration Test: attacchi fisici mirati, Social Engineering e Phishing.
Il Red team simula gli avversari del mondo reale con l’obiettivo di verificare e migliorare la qualità della risposta da parte delle difese di sicurezza delle informazioni e degli asset aziendali.
Risk Evaluation
Attraverso l’utilizzo di una piattaforma – ideata, progettata, realizzata da OraZero e gestita dai security analyst del SOC – il servizio consente di misurare il security rating delle aziende, con la possibilità di effettuare anche analisi continuative per valutarne le variazioni nel tempo.
Un algoritmo ad hoc elabora le informazioni derivanti da diverse fonti:
- informazioni sul rischio “soggettivo”, basato sulle risposte ad un questionario di valutazione
- informazioni su dimensioni e mercato di riferimento del cliente
- informazioni sul rischio “oggettivo”, derivante da analisi della postura di sicurezza in ambiente Open Source (Open Source Intelligence – OSInt) e da fonti chiuse, che rilevano la presenza di dati e credenziali disponibili pubblicamente o in vendita nel mercato nero di Internet.
Il Security Rating fornito dalla piattaforma, corredato da report approfonditi e di facile lettura, è una misura della postura di sicurezza aziendale, e fornisce un elemento indispensabile per la definizione della strategia di cyber security dei clienti.
Supply Chain Risk Evaluation
Il servizio di Supply Chain Risk Evaluation si aggiunge al servizio di Risk Evaluation, allargando la misurazione del rischio informatico alle terze parti che costituiscono l’ecosistema cliente.
Il servizio dà la possibilità alle aziende di avere piena visibilità della postura di sicurezza e del rischio informatico di partner e fornitori, fornendo un supporto importante alle catene decisionali per valutare l’affidabilità cyber delle terze parti e, di conseguenza, tutelarsi da possibili esfiltrazioni di dati o infezioni causate da soggetti esterni all’azienda.