Servizi professionali avanzati per la sicurezza delle informazioni
in ambito civile

CYBER INTELLIGENCE & DEFENSE

Le informazioni sono un bene che aggiungono valore ad una organizzazione e le soluzioni di sicurezza rappresentano sempre di più un nuovo mezzo per arricchire la relazione tra processo di business e tecnologia. Le decisioni e le strategie di security non devono essere vissute come un obbligo ma come un investimento, la protezione di dati confidenziali da possibili furti o distruzione fa sì che un’organizzazione aumenti la propria competitività e protegga quindi con successo dati “riservati” come quelli dei propri clienti, dell’innovazione su nuovi prodotti, le strategie di mercato ed altro. La sicurezza aiuta a proteggere l’immagine di un’azienda.

Il costante impegno della divisione Cyber di STE nell’individuazione di nuove tecnologie e metodologie di sicurezza, garantisce ai propri clienti i più alti livelli di qualità e le migliori soluzioni per la sicurezza delle informazioni e delle infrastrutture ICT, attraverso un approccio consulenziale “olistico” : logico, fisico, organizzativo e legale.

La Cyber Division di STE dispone di attrezzati laboratori di ricerca sia in Italia che all’estero grazie a partnership strategiche con aziende specializzate, inoltre per sostenere la propria eccellenza tecnologica, collabora con le principali università italiane investendo in innovazione sia direttamente che tramite finanziamenti Nazionali e dell’EU. I ricercatori della Cyber Division progettano e sviluppano soluzioni tecnologiche, hardware e software, per soddisfare le crescenti aspettative del mercato in termini di affidabilità e accesso rapido a servizi sempre più innovativi.

Combinando la capacità d’innovazione con l’esperienza, STE guida il processo della sicurezza delle informazioni attraverso lo sviluppo di prodotti e soluzioni altamente competitive, affidabili, efficienti ed aperte all’integrazione con il mondo dell’ICT.

 

PENETRATION TEST (PT)

Nell’era delle nuove minacce e del nuovo cybercrime, la consapevolezza di essersi dotati di sistemi avanzati di protezione non è più sufficiente. C’è bisogno di verificare continuamente l’assetto di sicurezza delle proprie architetture ICT, verificandone realmente la capacità di risposta ed il grado di penetrabilità. Per le aziende ed organizzazioni di tutte le dimensioni, la fase di penetration test è fondamentale. A prescindere dalle normative di conformità, le preoccupazioni di responsabilità aziendali o l’efficienza della rete, i penetration test sono fondamentali per la sicurezza delle aziende, poiché identificano le vulnerabilità, convalidano i controlli esistenti e forniscono una roadmap di suggerimenti da applicare.

Il servizio di Penetration Test offerto da STE si divide in quattro categorie :

  • Penetration Test infrastrutturale Sistemi Informativi (client, server, mainframe, etc..)
  • Penetration Test infrastrutturale Reti Dati (cablaggio,router, firewall, reti wireless, etc..)
  • Penetration Test Applicativo (software applicativo, DBMS, CRM, ERP, APP, etc.. )
  • Penetration Test Procedurali (processi organizzativi dei flussi informativi ed operativi, ad es.adeguatezza del regolamento interno sull’uso dell’IT aziendale)
  • Penetration Test Dispositivi HW (Dispositivi hardware, OEM, Embedded, etc.. )

Ogni tipologia di Penetration Test può essere effettuato in tre modalità :

    • Black Box : Le attività vengono svolte senza conoscenza dell’infrastruttura oggetto di analisi, gli esaminatori necessitano di determinare architettura e servizi dei sistemi prima di iniziare l’analisi e la azioni di analisi vengono svolte in completa autonomia.
    • White Box : vengono fornite dal cliente le conoscenze dettagliate dell’infrastruttura da esaminare, (ad es. schemi di rete, indirizzi IP,etc.) e le attività vengono concordate e svolte in accordo con lo staff tecnico e direzionale del cliente.
    • Grey Box : vengono fonite parziali informazioni agli esaminatori e/o solo parte dell’organizzazione del cliente è a conoscenza e collabora alle attività di analisi.Le risultanze di un penetration test vengono riassunte e commentate nei Pen-Test Report elaborati dal divisione Cyber al termine delle analisi e contengono informazioni relative a:
      • Vulnerabilità Interne al sistema e raccomandazioni per le contromisure (remediation);
      • Vulnerabilità Esterne al sistema e raccomandazioni per le contromisure (remediation);
      • Vulnerabilità Applicative e raccomandazioni per le contromisure (remediation);
      • Vulnerabilità Organizzative e raccomandazioni per le contromisure (remediation);
      • Vulnerabilità HW e raccomandazioni per le contromisure (remediation);

La combinazione delle risultanze dei penetration test infrastrutturale, applicativo e procedurale permettono al cliente di avere una “foto” dettagliata e complessiva dell’attuale livello di sicurezza del suo sistema ICT e le eventuali indicazioni da intraprendere alfine di mitigare eventuali criticità riscontrate.

 

VULNERABILITY ASSESSMENT (VA)

Il servizio di vulnerability assessment a differenza del penetration test, che si spinge in profondità “depth first”, viene condotto secondo una logica “breadth first”, cioè in ampiezza, una volta rilevata una o più vulnerabilità. Ha lo scopo di vagliare le eventuali criticità evidenziate durante un penetration test o note al cliente ed effettuare una analisi estesa, complessiva di tutte le attività necessarie per l’eliminazione o il contenimento di tali criticità. La metodologia adottata per eseguire i servizi di VA è composta di due tipologie di interventi:

  • Analisi delle criticità, attività per contestualizzare il reale e probabile livello di rischio per gli ASSET “Mission Critical”, siano essi di business che legati all’adempimento delle normative cogenti. Scopo finale dell’attività è di ottenere una “mappa” dei sistemi su cui risiedono le informazioni critiche ed un piano progettuale ed operativo per la messa in sicurezza del sistema ICT del cliente attraverso attività tecniche specifiche, ridefinizione dei regolamenti interni e/o progettazione di nuove soluzioni (migrazioni di sistemi obsolescenti, implementazione di nuove soluzioni hw/sw ) .
  • Attività tecniche, l’ esecuzione di tutte le attività tecnico/sistemistiche previste e necessarie per l’eliminazione o il contenimento delle criticità.
Le attività tecniche effettuate comprendono :

o Network Assessment (analisi del traffico di rete al fine di individuare anomalie e “colli di bottiglia” dovuti ad es. misconfiguration degli apparati, obsolescenza tecnologica, etc.. )

o Hardening dei sistemi (aggiornamento patch sistemi operativi e applicativi, verifica dei servizi utilizzati, corretta configurazione delle policy di dominio e degli utenti, etc..).

o Installazione e configurazione hw/sw (installazione e configurazioni nuovi sistemi e soluzioni necessari per adeguare il livello di sicurezza richiesto).

Il report risultante dal Vulnerability Assessment se combinato al servizio di Penetration-Test produce una accurata analisi del livello di sicurezza (logico, fisico, organizzativo e legale) dell’organizzazione del cliente. Il report contiene una dettagliata fotografia dello stato attuale dell’organizzazione con evidenziate criticità, rimedi, contenimenti ed eventuali proposte progettuali per implementare i livelli di sicurezza del cliente. Il documento è suddiviso in due parti, la prima scritta e pensata per l’organo direttivo, dove si descrivono in un linguaggio non specificatamente tecnico e con il supporto di tabelle sinottiche le risultanze e dove si analizzano anche gli aspetti valutativi di rischio, probabilità ed eventuale ROI delle attività di remediation. Nella seconda parte del report, riservata ai responsabili ed ai tecnici ICT, saranno descritte tutte le criticità riscontrate, le metodologie e gli strumenti utilizzati per rilevarla, unitamente alle attività tecniche/organizzative necessarie alla sua eliminazione/contenimento.

 

CYBER DEFENSE

La corretta gestione del livello di sicurezza di una organizzazione o il raggiungimento di esso attraverso attività di pent-test e vulnerability assessment pur riducendo al minimo i rischi può a volte necessitare di ulteriori accorgimenti che mirano, oggi più che mai, ad eludere e/o rallentare eventuali attività di natura ostile. Negli ultimi anni la percezione delle minacce nel cyberspazio è notevolmente cambiata e si è acutizzata. Oggigiorno, le cyberminacce e la cyber defence non sono più semplicemente fenomeni marginali o addirittura esagerazioni, bensì riguardano tutti gli ambiti della moderna società orientata al mondo digitale. L’implementazione di servizi e soluzioni per la cyber defense cominciano ad essere una necessità non solo per governi e strutture militari, come accadeva fino a qualche tempo fa, ma anche per aziende e privati.

La Cyber division di STE ha sviluppato negli anni una profonda esperienza in ambito governativo/militare sulla difesa del cyberspazio ed oggi è in grado di offrire anche a realtà aziendali e private soluzioni adeguate alle attuali minacce emergenti. Una linea di soluzioni specificatamente pensata e sviluppate per il mondo civile è BlackHOLE.

BlackHOLE : è una soluzione in grado di realizzare dei sistemi Honeypot e HoneyNet per eludere gli attacchi ostili provenienti dall’esterno o anche dall’interno (nel caso di realtà multinazionali geograficamente distribuite). Gli Honeypot sono programmi che emulano sistemi operativi e servizi (computer, server, servizi di rete) e che rispondono in maniera simile ad un sistema reale ma sono privi di dati e contenuti, al contrario più l’attaccante prova ad entrare in questi sistemi più informazioni su di lui vengono registrate. Una Honeynet è una rete di Honeypot ad alta interazione che simula una rete di produzione ed è configurata in modo da monitorare, registrare e in parte regolare ogni attività svolta al suo interno. Grazie a questa soluzione è possibile emulare server web, sistemi operativi, servizi di rete, applicazioni, etc., personalizzandoli in base alle caratteristiche dell’utente, la loro facile esposizione attira l’attenzione degli attaccanti che si concentrano sui questi sistemi e si “perdono” nei meandri di un mondo virtuale e completamente falso. Il servizio viene implementato e personalizzato in maniera non invasiva nel sistema ICT dell’utente ed i dati raccolti sulle attività ostili potranno essere salvate su report per successive analisi di investigazione.

 

CYBER INTELLIGENCE

La cyber-intelligence consiste in un’analisi dei dati grezzi disponibili sulla rete per fornire informazioni elaborate e conoscenze su possibili minacce esistenti ed emergenti e/o informazioni vitali per il business, al fine di sostenere il processo decisionale. La cyber intelligence non è un singolo servizio, ma piuttosto un insieme di attività a lungo termine al fine di aumentare le difese del cliente salvaguardando la crescita del business. Dall’esperienza accumulata nell’ambito governativo/militare la STE ha rivisto e selezionato le migliori piattaforme di analisi per la cyber intelligence per una applicazione ottimale in ambito civile.

HIWIRE è la piattaforma di Cyber Intelligence ottimizzata per usi civili, il cliente può in maniera facile ed intuitiva effettuare analisi in tempo reale ed impostare segnalazioni ed allarmi nel caso determinati contenuti di specifico interesse vengono individuati dalla piattaforma. Gli ambiti di applicazione di HIWIRE possono essere di varia natura:

Ricerca in rete di informazioni aziendali sensibili: Il cliente è in grado di ricercare ed attivare delle segnalazioni riguardo alla possibilità che informazioni riservate della propria organizzazione possano essere trovate in rete (ad es. carte di credito, documenti riservati,etc..) sia sul web che sulle Darknet. HIWIRE oltre a ricercare le informazioni è in grado potenzialmente anche di risalire al mittente (ad es. nel caso di dipendenti infedeli) ed a correlare i profili, post e alias in tutti gli ambiti del web (forum, social network, chat, etc. ).

Strumento di analisi del sentiment : Il cliente è in grado di effettuare analisi di mercato sui propri prodotti e quelli della concorrenza, verificare il “sentiment”, la tipologia dei commenti (positivo,negativo,neutro,etc..) degli utilizzatori attraverso l’analisi di social network (Facebook, twitter,ASK,etc..) , forum, etc. identificare gli opinion leader di un determinato argomento ed il loro livello di popolarità.

Monitoraggio delle informazioni : Il cliente è in grado di selezionare argomenti di proprio interesse e monitorare, correlare ed elaborare statistiche e report complessi in tempo reale (ad es. testate giornalistiche che vogliono avere in tempo reale aggiornamenti su una determinata informazione da tutte le fonti in rete selezionate) da qualsiasi fonte internet selezionata.

 

DIGITAL INVESTIGATION E COMPUTER FORENSICS

Servizio di investigazione digitale e supporto forense in ambito informatico. La divisione Cyber di STE è in grado di operare investigazioni digitali in ambito privato ed in ambito forense sia come consultente tecnico di parte (CTP) che di ufficio in attività di polizia giudiziaria (CTU). Attraverso una metodologia investigativa standard e ben definita con strumenti di ricerca avanzati vengono effettuate attività in ambito di spionaggio industriale e reperimento di evidenze in caso di attività illegali effettuate sui sistemi ICT della parte offesa.

Nell’ambito dell’investigazione digitale si effettuano :

  • Analisi delle comunicazioni dell’organizzazione.
  • Attività di monitoraggio e backtracking.
  • Bonifiche di computer, smartphone e dispositivi mobili da software spia.
  • Bonifiche ambientali da microspie.
  • Approntamento attività di protezione per la sicurezza e la riservatezza delle comunicazioni e delleinformazioni aziendali

Nell’ambito dell’investigazione forense si effettuano :

    • Reperimento delle prove
    • Copia “bitstream” delle memorie digitali
    • Predisposizione della catena di custodia
    • Analisi e recupero della prova digitale
    • Analisi dei dati recuperati
    • Stesura del report finale
    • Supporto legale in attività CTP.
    • Recupero Dati in caso di memorie di massa rovinate.

 

TRAINING FORMATIVO AVANZATO SULLA SICUREZZA DI INFRASTRUTTURE ICT

Il training formativo avanzato sulla sicurezza delle infrastrutture ICT è un corso intensivo ed espressamente progettato per preparare lo staff tecnico a prevenire, contenere e mitigare le nuove minacce informatiche. Il corso prevede prerequisiti di conoscenza tecnica di medio livello (conoscenza dei principali prot. di rete, conoscenza base dei sistemi operativi Windows e Linux, rudimenti di programmazione e conoscenza di base delle principali tecnologie ICT come ad es. VOIP, Virtualizzazione, etc.. ). Il training alternerà teoria a molti laboratori pratici dove verranno effettuate simulazioni di attacco e difesa, si implementeranno strategie e si utilizzeranno diverse tecnologie di sicurezza alfine di valutarne capacità e limiti operativi. Il corso sarà tenuto da trainer con oltre 20 anni di esperienza nell’ICT Security, ethical hacker certificati che effettueranno attività di “hands on” insieme ai partecipanti per trasferire l’esperienza accumulata sul campo.