Red Team

SOLUZIONI / CLOUD

Un’offerta disegnata sulle tue reali esigenze ti permetterà di risparmiare sui costi delle infrastrutture IT e della sicurezza.

MPG SYSTEM / RED TEAM

SECURE

S.E.C.U.R.E. ha lo scopo di accrescere la responsabilità e la resilienza all’interno delle organizzazioni riguardo i pericoli informatici in modo stabile, rivoluzionando la cultura della sicurezza informatica sia internamente che verso l’intero ambiente esterno formato da clienti e fornitori.

Security Culture

Condividere una comune Cultura della Sicurezza implica avere una visione unitaria, un comportamento omogeneo e un’azione coordinata per quanto riguarda la sicurezza informatica, in base al ruolo specifico nell’ambito aziendale. La sicurezza informatica rappresenta una sfida che le imprese devono affrontare per incrementare la loro competitività in un contesto globalmente digitalizzato e pervasivo. In questo scenario, anche la Cybersecurity deve essere considerata un elemento fondamentale, che coinvolge l’intera organizzazione a tutti i livelli e richiede il contributo attivo di ogni individuo.

Il modello di trasformazione culturale S.E.C.U.R.E. trae origine dall’approccio People-Centric adottato da Mpg System nella gestione della Cybersecurity. Questo approccio pone l’enfasi sul ruolo cruciale dell’elemento umano nella difesa contro le minacce informatiche: ogni membro dell’azienda, indipendentemente dal suo ruolo, è fondamentale nel processo di rafforzamento della sicurezza interna. Di conseguenza, processi e tecnologie sono considerati come strumenti di supporto per aumentare l’efficacia del sistema di sicurezza, piuttosto che come soli protagonisti.

L’obiettivo di S.E.C.U.R.E. è quindi quello di sviluppare una maggiore responsabilità e resilienza interna contro le minacce informatiche, con un impatto a lungo termine, trasformando la cultura della sicurezza informatica all’interno dell’azienda e estendendola all’intero ecosistema di clienti e fornitori.

Le 5 fasi del percorso S.E.C.U.R.E.

Il processo S.E.C.U.R.E. si struttura in un ciclo di 5 macro fasi:

1. Diagnosi – Valutazione della cultura presente: valutazione della sicurezza informatica aziendale, attraverso due attività: • la somministrazione a tutto il personale di una Security Culture Survey, che permette di mappare il livello di consapevolezza e conoscenza interno dei rischi informatici, ottenendo una chiara visione d’insieme su come la sicurezza viene percepita e vissuta dalle persone; • un Security Assessment, che tramite interviste e verifiche tecniche valuta il livello di governance della sicurezza aziendale;

2. Rivelazione – Condivisione dei risultati: Si tratta di uno o più momenti di condivisione dei risultati ottenuti dalla fase precedente. L’obiettivo è di sensibilizzare le persone dell’azienda sul problema e rischio cyber, portando esempi concreti e ricorrendo anche all’uso della gamification, per veicolare il messaggio in un modo più incisivo e piacevole per l’audience.

3. Formazione – Aumento della conoscenza: Questa fase ha l’obiettivo di fornire le competenze necessarie per fronteggiare al meglio il rischio cyber. Pertanto, vengono proposte attività formative specifiche che hanno lo scopo di tenere alto il livello di attenzione al problema e di riconoscere le minacce che si presentano.

4. Azione – Introduzione di attività e strumenti a supporto: A fronte dei reali rischi comprovati dalle precedenti attività di assessment, in questa fase vengono introdotti eventuali strumenti e processi a supporto della protezione aziendale, quali l’introduzione di tecnologie di sicurezza, servizi di Vulnerability Management e Threat Intelligence ricorsive, per la verifica periodica della presenza di nuove vulnerabilità.

5. Monitoraggio – Verifica dei risultati: Quest’ultima fase ha l’obiettivo di monitorare l’efficacia delle azioni intraprese e contestualmente, vengono analizzate ulteriori situazioni di rischio non ancora corrette o non precedentemente rilevate.

Il percorso S.E.C.U.R.E

Mpg System crede fortemente nella Cultura come principale strumento per contrastare il rischio cyber. Pertanto, SECURE ha l’obiettivo di far crescere la responsabilità e la resilienza interne nei confronti delle minacce informatiche, con effetto duraturo, trasformando la cultura della sicurezza informatica interna all’azienda e verso l’intero ecosistema costituito da clienti e fornitori.

MPG SYSTEM / RED TEAM

Awareness Security Assessment

Valutazione della cultura della sicurezza aziendale

Le straordinarie possibilità offerte dall’evoluzione tecnologica e dalla conseguente digitalizzazione comportano anche diversi rischi legati alla sicurezza informatica. Essere consapevoli di questi pericoli e comprendere il livello di preparazione dell’azienda per gestirli sono passi fondamentali per prevenire efficacemente potenziali incidenti di sicurezza.

Obiettivo del servizio è di analizzare lo stato dell’azienda rispetto alla consapevolezza dei dipendenti nei confronti delle minacce informatiche e suggerire le corrette azioni di miglioramento.

Il servizio mira ad analizzare lo stato dell’azienda in termini di consapevolezza dei propri dipendenti riguardo alle minacce informatiche, proponendo azioni appropriate per il miglioramento. Il servizio Mpg System Security Assessment si basa sul framework definito dalla norma ISO 27001, consentendo di effettuare una valutazione iniziale sul grado di maturità dell’azienda in materia di sicurezza informatica. Inoltre, permette di identificare le principali lacune nella protezione dei dati personali in conformità con il Regolamento UE 2016/679 (GDPR).

Rendere le persone consapevoli ed istruite a riconoscere le attuali minacce informatiche, fornendo loro gli strumenti adatti per reagire, è la soluzione principale ai problemi di cyber security

0 %

degli incidenti di sicurezza sono causati dal fattore umano

0 %

degli incidenti di sicurezza sono causati dal fattore umano

Dati quest’ultimi che dimostrano oggettivamente come la tecnologia non sia più sufficiente. La tutela del business aziendale e della sua reputazione comincia dalla consapevolezza e dai comportamenti responsabili del personale

I SERVIZI DI SECURITY AWARENESS DI MPG SYSTEM HANNO L’OBIETTIVO DI INDIRIZZARE QUELLA CHE È DIVENTATA LA PIÙ GRAVE VULNERABILITÀ PER LA SICUREZZA AZIENDALE AL GIORNO D’OGGI: IL FATTORE UMANO.

LE ATTIVITÀ PROPOSTE DAL SERVIZIO

SECURITY POSTURE ASSESSMENT

Intervista al management, ai responsabili IT ed al personale per raccogliere informazioni sull’organizzazione generale dell’azienda da un punto di vista tecnico e di gestione della sicurezza informatica.
SECURITY AWARENESS ASSESSMENT

Valutare la consapevolezza del personale aziendale nei confronti di una delle minacce più comuni, sottoponendo un panel di dipendenti ad una campagna di Phishing simulata. L’attività è completata da un questionario anonimo da sottoporre a tutta l’azienda su temi generali legati alla sicurezza informatica.

Cos'è il Phishing simulato?

Il phishing rimane una delle tecniche più utilizzate dai cybercriminali e, purtroppo, una delle più efficaci per compromettere le difese di un sistema informativo. Poiché questa tecnica si basa sull’inganno delle persone, l’unico rimedio veramente efficace è fornire una formazione adeguata.

Le campagne di phishing simulate condotte da Mpg System per i suoi clienti sono progettate per valutare i rischi associati a questa forma di cyberattacco.

Cadere vittima di phishing, sia in attacchi di massa che in quelli più mirati, conosciuti come spear phishing, è un incidente sempre più frequente. Questi attacchi possono avvenire attraverso richieste ingannevoli o tramite l’invio di link o allegati pericolosi, rendendo qualsiasi organizzazione potenzialmente vulnerabile.

Gli effetti del Phishing Informatico

Gli impatti del phishing informatico sono vari e spesso gravemente dannosi.

Un attacco di phishing riuscito consente ai cybercriminali di eseguire molteplici operazioni, dal prendere il controllo di postazioni utente, al furto di credenziali importanti, fino all’accesso persistente o danneggiamento dell’infrastruttura, come dimostrato dai recenti incidenti di ransomware.

È ovvio che ottenere credenziali da una vittima rappresenta un grande vantaggio per qualsiasi attaccante. Considerando che gli utenti tendono spesso a riutilizzare le stesse password per diversi account personali e aziendali, l’accesso ottenuto può essere sfruttato per tentare l’ingresso in vari servizi. Questo significa che, se i criminali informatici acquisiscono una password, possono utilizzarla per accedere a più servizi, aumentando statisticamente le possibilità di successo rispetto ad altri metodi di attacco meno specifici, come gli attacchi di forza bruta, che sono ormai quasi obsoleti.

Come avviene una campagna di Phishing Simulata

L’attività di simulazione delle campagne di Phishing cerca di riprodurre il più possibile la gamma di attacchi esistenti nel mondo reale.

Come quasi sempre avviene nel contesto di verifica della sicurezza informatica, gli esperti di Mpg System operano in modo analogo a quello dei malintenzionati, simulando un attacco, in questo caso basato sulla comunicazione. Il meccanismo di base è l’invio di un messaggio ingannevole e convincente, che induce il destinatario a cliccare su link o aprire allegati.

La principale differenza in questo caso è che le azioni intraprese dagli utenti saranno completamente innocue e avranno solo lo scopo di monitorare il tipo di reazione del personale e valutare il grado di preparazione contro il phishing informatico.
Nel dettaglio, attraverso il messaggio e in base all’azione o alle azioni scelte come trigger gli utenti sono agganciati alla piattaforma di test. I risultati così raccolti vengono usati dai tecnici di Mpg System per valutare le contromisure tecnologiche, i riscontri ottenuti, e creare un quadro statistico completo delle vulnerabilità verso il phishing generico o lo spear phishing.

Chi ne può beneficiare?

Medie o grandi aziende, interessate a lavorare sul fattore umano, che spesso rappresenta l’anello debole della sicurezza.

Utilizzare una campagna di phishing simulato può rivelarsi estremamente efficace nel valutare la sicurezza di organizzazioni che gestiscono dati critici o sensibili. Questo approccio può anche essere integrato in campagne di sensibilizzazione per gli utenti, ad esempio in contesti dove sono richiesti standard come il GDPR, o per fornire formazione specifica sulla consapevolezza della sicurezza informatica.

MPG SYSTEM / RED TEAM

Aphe

Valutazione della cultura della sicurezza aziendale

APHE È UN SERVIZIO DI CYBER SECURITY CHE MISURA LA REALE RESILIENZA DELLA SICUREZZA INFORMATICA DI UN’AZIENDA.

L’emulazione dell’avversario mira a testare la resilienza di una rete contro aggressori avanzati o minacce persistenti avanzate (APT). Per fare ciò, le tattiche, le tecniche e le procedure (TTP) dell’avversario vengono emulate lungo la cyber kill chain, conducendo più in profondità attacchi mirati. Darkscan consiglia “APHE” è maggiormente indicata ad organizzazioni complesse con un approccio già strutturato alla cyber security.

IL VALORE DI APHE

APHE è lo state dell’arte delle valutazioni di sicurezza. Questo impegno ha una durata tipica che va da tre a sei mesi e presuppone un livello avanzato di attacchi mirati.

Di comune accordo con il management del cliente verranno stabiliti traguardi e obiettivi dell’incarico. Darkscan raccoglie informazioni sulle organizzazioni target, che poi vengono utilizzate per identificare i percorsi di minore resistenza e maggior potenziale di successo. Successivamente, eseguiamo la nostra strategia di attacco e misuriamo il livello di difesa del target. La documentazione finale sarà costituita da una serie di report di tutte le informazioni raccolte, gli strumenti e i metodi utilizzati, i controlli di sicurezza osservati e le aree di opportunità.

LO SVILUPPO TEMPORALE DI APHE

L’analisi Aphe viene di seguito rappresentata nel suo sviluppo temporale ipotizzando, in questo esempio, la durata di 3 mesi.

HACKING EMULATION

Hacking Emulation, Social Engineering, Data exfiltration, Credential exposure, Lateral movement

REPORTING

Reports of all the information collected, the tools and methods used and the controls of safety observed

L'OBIETTIVO DI APHE

APHE porta la misurazione della sicurezza a un livello completamente nuovo concentrando gli sforzi di attacco per un periodo di tempo prolungato, in genere mesi.

Ciò consente al team di Darkscan di raccogliere più informazioni su obiettivi specifici per lanciare una campagna ad Hoc che sfrutta ingegneria sociale, phishing, payload trojan, tecniche di persistenza e altro per compromettere l’organizzazione.

L’obiettivo è emulare le minacce del mondo reale che prendono di mira la tua organizzazione per prepararla meglio alla difesa dai criminali informatici.

AREE DI AZIONE

Informazioni pubblicamente accessibili sull'organizzazione
Profili dei social media di individui mirati
Credenziali precedentemente compromesse
Ingegneria sociale prolungata
Canali di comunicazione nascosti
Esfiltrazione di dati
Mantenimento della persistenza

REPORT FINALI

MPG SYSTEM / RED TEAM

Vulnerability assessment & Penetration Test

Comprendere le proprie vulnerabilità rappresenta il primo passo cruciale per affrontarle efficacemente

Un errore di sistema, una configurazione non corretta, la divulgazione accidentale di un documento importante, o un utente con eccessivi privilegi di accesso sono solo alcune delle circostanze che possono mettere a rischio la sicurezza aziendale. I servizi di VULNERABILITY ASSESSMENT & PENETRATION TEST offerti da Mpg System vanno oltre le tradizionali analisi, incorporando anche tecniche di intelligence come la ricerca OSINT (Open Source Intelligence), l’analisi dei risultati in relazione alle specificità del cliente e la valutazione dell’effettivo livello di rischio per l’azienda.

SERVIZI DI INFORMATION GATHERING

OSINT (Open Source Intelligence)

Questa attività consiste nell’analizzare informazioni disponibili nel dominio pubblico (Web, Dark Web, Deep Web) con lo scopo di raccogliere dati riguardanti l’azienda. Queste informazioni possono essere utilizzate per pianificare un attacco o per controllare la presenza di dati riservati dell’azienda diffusi senza autorizzazione.

DIGITAL FOOTPRINTING

Attività volta a realizzare una mappatura dettagliata e completa delle risorse esposte da un’azienda su Internet, includendo indirizzi IP, servizi, domini e sottodomini.

SERVIZI DI ASSESSMENT

Network e web vulnerability assessment

Mediante una scansione tecnica e un’analisi approfondita da parte di esperti, il Vulnerability Assessment permette di rilevare possibili vulnerabilità in un sistema o in un’applicazione, assegnando un livello di criticità secondo standard internazionali.

Network penetration test

Concentrato sulla valutazione dell’impatto che le potenziali vulnerabilità infrastrutturali potrebbero avere su un’azienda in caso di attacco informatico. Essendo un’analisi molto dettagliata, un Penetration Test è in grado di identificare vulnerabilità che potrebbero non essere rilevate con metodi strumentali durante un Vulnerability Assessment.

Web application penetration test

Mirato a scoprire e sfruttare possibili vulnerabilità nelle applicazioni web, questo approccio permette in particolare di rilevare problemi nelle logiche applicative o in determinati controlli, difficilmente identificabili tramite un’analisi puramente strumentale. Per le sue attività di Web Application Penetration Test, Mpg System adotta la metodologia suggerita da OWASP, un organismo di riferimento in materia di sicurezza delle applicazioni web.

Wi-fi penetration test

L’attività consiste nello sfruttare le vulnerabilità delle reti Wi-Fi, sia aperte al pubblico che nascoste.

Mobile app penetration test

l’attività consiste nel verificare la sicurezza di Mobile App sviluppate per gli ambienti Android e iOS, sia per gli aspetti legati al software installato sul dispositivo mobile che per quelli legati ai sistemi con cui la Mobile App comunica.

LE FASI
DEL SERVIZIO

KICK OFF

Ogni servizio inizia con un incontro con il cliente per definire le figure coinvolte nel progetto, le interazioni tra le diverse figure, le modalità operative di svolgimento del test e la discussione del perimetro delle attività

INFORMATION GATHERING - OSINT

L’attività prevede la raccolta di informazioni reperibili pubblicamente che possano risultare utili nella preparazione dell’attacco

VULNERABILITY ASSESSMENT

I sistemi e le applicazioni oggetto del servizio sono sottoposti ad analisi al fine di rilevare le vulnerabilità più evidenti.

ANALYSIS

Le vulnerabilità riscontrate durante le fasi precedenti vengono raccolte, catalogate ed analizzate al fine di pianificare l’attività di Exploitation.

EXPLOITATION - PENETRATION TEST

In questa fase viene verificato se le vulnerabilità riscontrate siano realmente sfruttabili e qual è il loro potenziale impatto sul business

REPORTING

In questa fase viene verificato se le vulnerabilità riscontrate siano realmente sfruttabili e qual è il loro potenziale impatto sul business

PRESENTATION

Al termine delle attività di Exploitation, viene elaborata e fornita la documentazione, tecnica ed executive, contenente le informazioni rilevanti ottenute durante le varie fasi del processo.

REMEDIATION CHECK

Mpg System include in tutte le attività di Assessment la possibilità di richiedere un rapido controllo da remoto sull’appropriata applicazione delle azioni correttive.

MPG SYSTEM / RED TEAM

Internet of things security

Security assessment e penetration test Iot

MPG SYSTEM / Internet of things security

I dispositivi Iot

I device IoT (Internet of Things) o più in generale i sistemi con logica embedded, sono prepotentemente entrati a far parte della quotidianità: smart plug, termostati intelligenti, luci collegate a sistemi di domotica; smart watch, bilance wi-fi, oggetti wearable usati anche per monitorare la salute. Ma il mondo IoT non si ferma alla smart home. Nel campo medico troviamo apparati biomedicali connessi in rete negli ospedali; sistemi evoluti di gestione in rete delle utility a livello di smart city. Questo naturalmente oltre alla già citata industria 4.0, in cui i dispositivi embedded o connessi sono una realtà consolidata.

Il motivo per cui Vulnerability Assessment e Penetration Test IoT sono particolarmente utili è che i device IoT sono oggetti relativamente nuovi e, come qualsiasi oggetto connesso a una rete di telecomunicazione, potenzialmente soggetti a problemi di sicurezza.

Questi problemi possono talvolta essere causati dall’imperizia di chi li progetta o installa, ma possono derivare anche da una relativa inesperienza nell’adozione e nell’inserimento nel contesto aziendale. In ogni caso, le falle di sicurezza derivanti da progettazione o implementazione possono avere conseguenze rilevanti per organizzazioni, aziende, abitazioni e persone.

SECURITY ASSESSMENT E PENETRATION TEST IOT

L’uso di device IoT è uno dei temi più attuali, anche nel campo delle attività produttive dove l’impulso dato all’industria 4.0 sta generando un’adozione sempre più ampia di dispositivi connessi. In alcuni contesti si parla di IIoT, cioè Industrial Internet of Things. E se la sicurezza è importante per i dispositivi tradizionali, nel caso di macchinari complessi, o in grado di gestire dati sensibili, diventa fondamentale. Security Assessment e Penetration Test IoT permettono di identificare eventuali debolezze e prevenire attacchi e data leak basati sui dispositivi.

L’Internet of Things (IoT) ha connesso miliardi di dispositivi a Internet, tutte informazioni in streaming che vengono estratte dai dati per l’analisi. Sebbene il potere delle informazioni sia immenso, la corsa al mercato spesso supera il bisogno di sicurezza.

L’IoT è un settore in rapida crescita con migliaia di nuovi dispositivi rilasciati ogni mese. Con una tale corsa al mercato, la sicurezza è spesso un ripensamento, che porta a vulnerabilità sfruttabili che mettono a rischio i dati degli utenti e l’infrastruttura organizzativa. La protezione dei dispositivi IoT e della relativa infrastruttura di supporto deve adottare un approccio integrato e non integrato. Mpg System valuterà i dispositivi IoT per identificare tutte le superfici di attacco. Tentiamo quindi di violare i dati del dispositivo, comprometterne il sistema operativo e infine intercettarne le comunicazioni.

COME FUNZIONANO PENETRATION TEST
E VULNERABILITY ASSESSMENT IOT

Nella maggior parte dei casi, i dispositivi IoT utilizzano in maniera innovativa protocolli, sistemi e tecnologie già affermati in altri ambiti, come Wi-Fi, Bluetooth, web server, VPN, e così via. Grazie alla loro vasta esperienza in sicurezza, sia a livello hardware che applicativo, gli esperti di MPG System hanno potuto applicare le loro competenze al settore della sicurezza IoT.

Integrando le loro conoscenze con quelle specifiche per il mondo dei dispositivi connessi, gli specialisti di MPG System sono capaci di analizzare e valutare le potenziali debolezze dell'intero ecosistema IoT, includendo sia i dispositivi stessi sia tutto ciò con cui interagiscono (cloud, app mobili di controllo, gateway IoT, ecc.).

Questo tipo di analisi risulta particolarmente efficace, specialmente quando è inserita all'interno di un più ampio Vulnerability Assessment e Penetration Test dell'intera infrastruttura IT.

COME AVVENGONO PENETRATION TEST E VULNERABILITY ASSESSMENT IOT

Mpg System realizza attività di Penetration Test e Vulnerability Assessment specificamente progettate per dispositivi IoT o sistemi embedded, adottando un approccio di verifica su tre livelli. Questo metodo fornisce analisi di sicurezza IoT altamente approfondite.

Ecco i 3 livelli di verifica

ANALISI STATICA E HARDWARE

Questa fase impiega il reverse engineering del firmware e la ricerca di vulnerabilità, concentrandosi principalmente sull'uso di funzioni non sicure, pattern noti e tecniche di attacco esistenti al momento dell'analisi.
ANALISI DINAMICA E NETWORK

In questa fase si interagisce con il dispositivo in esecuzione e a livello di rete, conducendo controlli sui servizi esposti e sui protocolli di comunicazione, spesso utilizzando tecniche di fuzzing.
ANALISI PASSIVA

Questa analisi comporta la raccolta e l'esame del traffico di rete generato o ricevuto dal dispositivo, per acquisire una conoscenza dettagliata delle sue interazioni con altre entità.

Aree di interesse

Firmware
Crittografia dei dati
Interfacce di gestione fisiche e logiche
Sicurezza della trasmissione dei dati
Configurazioni di sicurezza del sistema operativo integrato Dipendenze di terze parti e integrazione
Meccanismi di aggiornamento

Report finale

Riepilogo esecutivo che delinea l'attuale posizione di sicurezza dell'IoT. Relazione tecnica che dettaglia l'accesso ottenuto, gli strumenti e i metodi utilizzati
Panoramica degli scenari di sfruttamento
Artefatti di valutazione tra cui comunicazioni acquisite, firmware scaricato e file di configurazione

Questo metodo fornisce una panoramica completa delle vulnerabilità esistenti e aiuta a distinguere i falsi positivi. È importante ricordare che, come per qualsiasi tipo di analisi di sicurezza, per mantenere l’efficacia è essenziale programmare controlli e verifiche regolari dello stato di salute delle infrastrutture. Questi dovrebbero essere eseguiti periodicamente o in concomitanza con aggiornamenti, modifiche all’infrastruttura, o altri cambiamenti che potrebbero introdurre nuove debolezze, inclusa l’interazione con i dispositivi IoT già presenti e precedentemente testati individualmente.

CHI NE PUÒ BENEFICIARE

I Penetration Test e i Vulnerability Assessment specifici per l’IoT sono cruciali per le organizzazioni che impiegano dispositivi IoT in vari settori, come la domotica, le smart city, i dispositivi indossabili, i tracker e l’informatica medica. Sono particolarmente vitali per le aziende che producono questi dispositivi, poiché permettono di identificare i punti deboli e di stabilire le azioni correttive da applicare durante lo sviluppo e il deployment. In questo modo, le aziende possono introdurre sul mercato dispositivi sicuri e affidabili, un fattore di grande valore per i clienti, sempre più consapevoli dell’importanza della sicurezza nel contesto IoT.

MPG SYSTEM / RED TEAM

Cloud security assessment

Penetration test e vulnerability assessment cloud

CLOUD COMPUTING

Il cloud computing, che implica lo spostamento o la creazione di applicazioni o parti significative del sistema informativo aziendale in ambienti remoti gestiti da fornitori esterni, rappresenta una delle principali tendenze tecnologiche recenti. I servizi basati sul cloud offrono vantaggi come flessibilità, scalabilità, economie di scala e facilità di gestione. Tuttavia, richiedono un’attenzione particolare.

Infatti, un’infrastruttura distribuita su cloud introduce maggiori livelli di complessità e nuovi elementi nella catena di controllo e gestione.

PENETRATION TEST E VULNERABILITY ASSESSMENT CLOUD

Oltre alle vulnerabilità interne, gestibili attraverso analisi adeguate, il cloud offre ai cybercriminali punti di ingresso supplementari

Un attacco informatico può originare sia dall’esterno che dall’interno del cloud; le minacce possono provenire da outsider, come hacker o cybercriminali, ma anche da insider, come dipendenti o consulenti disonesti all’interno della struttura del provider, o da altri utenti dello stesso cloud. Quest’ultimo rischio, noto come minaccia del tenant, è particolarmente pericoloso perché dipende da fattori esterni al controllo dell’azienda. Pertanto, è essenziale effettuare un Vulnerability Assessment e un Penetration Test specifici per il cloud, anche per affrontare minacce che vanno oltre le buone pratiche adottate.

I rischi di sicurezza nel cloud si applicano a qualsiasi tipo di servizio, sia che si tratti di Software as a Service (SaaS), Platform as a Service (PaaS) o Infrastructure as a Service (IaaS).

CLOUD SECURITY SERVICE DI MPG

Mpg System ha una grande esperienza nell’implementazione e nella sicurezza cloud.
Copriamo tutti gli aspetti di sicurezza di piattaforme basate sui maggiori cloud provider (AWS, Azure, GCP, Alibaba), così come quella di infrastrutture basate su cloud privati (Private Cloud) o ibridi (Hybrid Cloud).
Il nostro know-how ci permette di valutare efficacemente un’infrastruttura cloud così come è implementata, fino ad arrivare agli aspetti più complessi e generali inerenti la sicurezza dell’architettura ed il contenimento e mitigazione degli scenari di rischio tipici di questo paradigma.

COME FUNZIONANO PT E VA PER IL CLOUD?

Mpg System effettua il proprio esaustivo pacchetto di Vulnerability Assessment e Penetration Testi dedicati su tutte le componenti della struttura cloud: front-end, servizi REST, servizi accessori, network e rete di management, analisi di specifiche istanze e template fino, e questo è uno dei punti fondamentali, alla revisione delle configurazioni dei singoli tenant. I nostri specialisti, quindi, rivolgono la propria attenzione al “contenitore” Cloud, per verificare che le impostazioni a livello di monitoring, logging, IAM, network o altro ancora siano in linea con le best practices di hardening.
Questo Cloud Assessment completo permette di identificare tutte le potenziali minacce, sia derivanti da rischi di sicurezza interni, come scarsa applicazione delle buone pratiche, sia derivanti dal debolezze nel servizio di Cloud, intrinseche o causate, per esempio, da altre realtà che condividono lo stesso servizio.

Come per ogni altro servizio di analisi proposto da Mpg System, gli esperti concordano con il cliente i test di sicurezza da effettuare, sia sulla base delle esigenze specifiche dell’azienda, sia sulla base di una analisi preliminare.
I nostri servizi di analisi e verifica coprono tutte le potenziali falle di debolezza dei servizi in Cloud.

I PARAMETRI PER SIMULARE UN POTENZIALE PERICOLO

Nell’ambito della sicurezza cloud, si possono adottare diverse strategie per simulare varie situazioni di rischio potenziale. Ecco alcuni dei principali approcci:

Provenienza degli attacchi
È possibile simulare e analizzare attacchi provenienti da outsider, insider e tenant sospetti.
Agire in base a informazioni o risorse messe a disposizione
Si può partire da un'analisi black-box, senza alcuna conoscenza preliminare sull'infrastruttura target, oppure gray-box, con informazioni parziali come le credenziali di tenant, fino ad arrivare a white-box, avendo a disposizione conoscenze dettagliate come dettagli di implementazione, schemi architetturali, ecc.

Questo tipo di valutazione della sicurezza nel cloud consente di identificare i potenziali punti di attacco e le vulnerabilità dell’infrastruttura. Dopo questa fase iniziale di analisi, gli specialisti di Mpg System forniranno al cliente le raccomandazioni necessarie per rafforzare la sicurezza del cloud aziendale e prevenire ulteriori debolezze in futuro.

SCOPO E ARCHITETTURA DEL SERVIZIO

Scopo

Le valutazioni della sicurezza del cloud interrogano il tuo ambiente cloud per identificare errori di configurazione e vulnerabilità della sicurezza che espongono la tua organizzazione a rischi indebiti. Le configurazioni errate comuni includono accesso e autorizzazioni eccessivi concessi a ruoli e utenti, archiviazione cloud accessibile pubblicamente e mancanza di registrazione e monitoraggio, tra gli altri. Mpg System sfrutta i nostri esperti di sicurezza AWS interni per dare un’occhiata pratica ai tuoi account AWS per convalidare l’aderenza alle best practice di sicurezza AWS.

Architettura

Una architettura e infrastruttura sicura per le applicazioni cloud sono fondamentali per la tutela dei dati.

È essenziale implementare la sicurezza sin dalla fase di progettazione e sviluppo per garantirne l’efficacia, e poi continuare a verificarla regolarmente mentre l’architettura si evolve, adatta e perfeziona. Questo approccio è vantaggioso anche dal punto di vista economico, poiché integrare la sicurezza in un’architettura cloud già avanzata può risultare costoso e richiedere molto tempo.

Ogni membro del nostro team possiede una profonda competenza sia nell’ingegneria del software che nella sicurezza cloud. È grazie a questa doppia expertise che siamo in grado di condurre valutazioni di sicurezza di alto livello, personalizzate in base alle tecnologie impiegate dal cliente.

Output

Il risultato consegnato al cliente sarà un report completo ed esauriente che riassume le conclusioni del team, dettagliando i risultati dell’analisi. Il report è strutturato in tre sezioni tematiche:

EXECUTIVE SUMMARY

Un breve riassunto non tecnico che descrive l'attività svolta e lo stato attuale della sicurezza dell'infrastruttura cloud. Questa sezione è pensata principalmente per il management.
VULNERABILITY DETAILS

Questa parte, indirizzata al Security Manager, approfondisce i risultati dell'analisi. Descrive in dettaglio le vulnerabilità rilevate nell'infrastruttura cloud e il loro potenziale impatto sull'applicazione.
REMEDIATION PLAN

Sezione tecnica destinata ai System Administrator che fornisce istruzioni dettagliate su come affrontare e risolvere le problematiche identificate e le vulnerabilità scoperte nel sistema cloud.

CHI NE PUÒ BENEFICIARE?

Penetration Test e Vulnerability Assessment per il Cloud sono a disposizione di qualsiasi azienda e organizzazione che si affidano a provider di infrastrutture e piattaforme cloud pubbliche, utilizzando servizi basati su OpenStack, Azure, Google Cloud o AWS. Questi servizi sono essenziali per monitorare i rischi associati e aderire alle migliori pratiche del settore, come quelle raccomandate dalla Cloud Security Alliance.

MPG SYSTEM / RED TEAM

Mobile Application Security

Test di sicurezza delle app mobili

MOBILE APPLICATION SECURITY TESTING

L’impiego di applicazioni mobili per la fornitura di servizi è ormai una pratica diffusa, ma richiede precauzioni ancora maggiori rispetto alle applicazioni web o tradizionali.

I servizi di mobile penetration testing e vulnerability assessment offerti da Mpg System possono esaminare la sicurezza e individuare le vulnerabilità in ogni tipo di applicazione mobile.

Il Mobile Application Security Testing è un servizio di valutazione della sicurezza applicativa, Application Security Assessment, fornito da Mpg System per le piattaforme iOS e Android. Questo servizio è personalizzato in base al linguaggio di programmazione utilizzato per lo sviluppo delle app native (Objective-C, Swift, Java, Kotlin) o delle app create con framework ibridi (come React, React Native, Cordova, Xamarin, Titanium Appcelerator, Ionic, PhoneGap).

PERCHÈ SCEGLIERE UN SERVIZIO DI MOBILE APP PENETRATION TESTING?

Perchè proteggere le App?

Le mobile app sono ormai estremamente diffuse come i device da cui prendono il nome. Possono essere utilizzate per erogare servizi, al pubblico o a un’utenza selezionata. Con vantaggi evidenti: facilità d’uso, disponibilità immediata, contatto costante, rafforzamento del brand, servizi personalizzati e geolocalizzati. Sono molte le aziende che hanno investito in applicazioni mobile, ma spesso c’è poca attenzione alla sicurezza in quanto sono meno note le vulnerabilità e le relative possibilità di attacco da parte di un utente malevolo

Ma così come l’app è una comoda porta di accesso ai digital asset dell’organizzazione, ne può diventare anche un punto di vulnerabilità: per la proprietà intellettuale contenuta, per la sua funzione di nodo esterno della rete.

Il team di Mpg si tiene costantemente aggiornato riguardo gli ultimi sviluppi di Mobile Security, sia dal punto di vista dell’attaccante che dello sviluppatore che deve difendere l’applicazione, in modo da fornire il miglior servizio di analisi possibile per i propri clienti. Tramite l’utilizzo di tecniche manuali e tool avanzati.

L'OBIETTIVO DI UN MOBILE APP PENETRATION TESTING

Scopo

Realizzare una valutazione di sicurezza approfondita sulle app prodotte o distribuite prima del loro lancio sul mercato è essenziale per individuare in maniera efficace e rapida qualsiasi vulnerabilità, evitando che queste diventino gravi e causino danni economici o alla reputazione dell’azienda.

Le organizzazioni dovrebbero effettuare test di penetrazione sulle app mobili per scoprire e risolvere le vulnerabilità che possono mettere a rischio la sicurezza dell’app stessa, i dati che elabora o l’API con cui interagisce. Questi test dovrebbero essere eseguiti in un ambiente dedicato all’inizio della fase di distribuzione nel ciclo di vita dello sviluppo software. Dopo aver completato il test di penetrazione e risolto le vulnerabilità, l’app e i relativi servizi web possono essere rilasciati in ambiente di produzione.

AREE DI INTERESSE E REPORT FINALE

Sebbene le app siano un pratico punto di accesso ai beni digitali dell’organizzazione, possono anche diventare una fonte di vulnerabilità, sia per la proprietà intellettuale che contengono, sia per il loro ruolo come nodi esterni della rete.

Aree di interesse

Valutazioni complete che aderiscono al OWASP Mobile App Testing Framework
Valuta sia l'app stessa che l'infrastruttura di supporto dietro di essa; gestione delle sessioni, crittografia, sanificazione degli input e altro ancora
Analisi dinamica e manipolazione delle chiamate API web
Analisi manuale e semiautomatica del codice statico

Report finale

Rapporto completo sui risultati della sicurezza, che descrive in dettaglio gli strumenti e i metodi utilizzati durante i test
Executive briefing per discutere gli scenari di impatto aziendale
Briefing tecnico per l'analisi delle cause alla radice e la risoluzione delle vulnerabilità sfruttabili
Testare gli artefatti per consentire la convalida degli sforzi di correzione

COME FUNZIONA IL MOBILE PENETRATION TESTING

Il servizio di Mobile App Penetration Test di Mpg System ha lo scopo di emulare un attacco che ricerca e individua queste vulnerabilità per sfruttarle a proprio vantaggio. Lo scopo di un security pen test di questo tipo infatti è quello anticipare i tentativi di attacco che malintenzionati o concorrenti sleali potrebbero tentare una volta che la App è stata introdotta sul mercato.

Gli esperti di Mpg System esaminano sia l’app nel suo ambiente (il device) sia l’interazione con i sistemi di back-end, verificando l’efficacia delle protezioni messe in campo sia in base alla conoscenza delle vulnerabilità note, sia testando sul campo eventuali interazioni critiche specifiche della App analizzata.

Per la maggiore efficacia ed efficienza è indispensabile che tutti i security pen test sulle applicazioni mobili vengano effettuati prima della distribuzione, o prima del rilascio di una nuova versione, in modo da ottimizzare lo sforzo e non dover ricorrere a distribuzioni o deployment di emergenza in seguito all’identificazione di falle o debolezze.

COME AVVIENE IL MOBILE PENETRATION TEST?

Il test è eseguito mediante analisi statica e dinamica sul codice, applicando tecniche di reverse engineering, intercettando le chiamate al sistema operativo e a tutte le connessioni rete.
Inoltre gli esperti di Mpg System verificano ogni meccanismo di validazione degli input analizzano la sicurezza del back-end, utilizzando tutto il set di tecniche note per ogni livello logico del processo di funzionamento dell’App. Fra le tecniche utilizzate troviamo per esempio Offensive Security a livello Network e a livello di Web Services.

A seguito dei risultati ottenuti dal Mobile Penetration testing, Mpg System fornisce un report completo, nel quale vengono suggerite le contromisure adeguate. In fasi successive è possibile per gli esperti e i tecnici intervenire attivamente, per esempio affiancando l’azienda cliente con tecniche di protezione delle Applicazioni mobili come l’offuscamento del codice o la crittografia delle stringhe. Questi servizi costituiscono il passo naturalmente successivo qualora vengano identificate criticità o debolezze nella App.

CHI NE PUÒ BENEFICIARE?

Qualunque azienda o organizzazione che utilizzi app mobili, create sia internamente che da fornitori esterni.

Il Mobile penetration testing rappresenta lo strumento ideale per convalidare quanto prodotto da terzi e per ridurre il rischio di attacchi su dispositivi e sistemi che, spesso, non sono direttamente gestiti dalle risorse IT interne dell’azienda.

MPG SYSTEM / RED TEAM

Wireless Security Assessment

Misurare la sicurezza delle reti wi-fi

WIRELESS SECURITY ASSESSMENT

I dispositivi che utilizzano tecnologie come WiFi, Bluetooth e NFC/RFID stanno diventando sempre più comuni in ambito aziendale. Tuttavia, questi dispositivi possono adottare protocolli non sicuri, offrendo agli attaccanti una superficie vulnerabile e un punto di accesso ai dati e alle reti internet.

Per questo motivo è stato creato il servizio di Wireless Security Assessment, il quale offre la possibilità di identificare e analizzare efficacemente i dispositivi che operano tramite radiofrequenza all’interno di un’azienda. Questo servizio consente di valutare i rischi a cui l’azienda è esposta.

PERCHÈ SCEGLIERE WIRELESS SECURITY ASSESSMENT?

Lo scopo di questo servizo è misurare la facilità di cracking Wi-Fi della vostra organizzazione e ottenere accesso non autorizzato alla rete di produzione.

A seguito di un assessment iniziale, Mpg System indicherà quali sono i cambiamenti da effettuare per mettere in sicurezza l’infrastruttura, fornendo supporto all’implementazione e configurazione degli apparati e delle tecnologie.

ANALISI

TESTING

REMEDATION

REPORT

RISULTATI FINALI

Una mappa delle tue strutture fisiche che delinea la copertura Wi-Fi e i punti di accesso non autorizzati
Report sui risultati tecnici che descrive in dettaglio i problemi di sicurezza Wi-Fi identificati
Raccomandazioni attuabili per risolvere i problemi di sicurezza Wi-Fi
Report esecutivo che delinea il rischio per l'azienda, inclusi il costo dell'impatto e la probabilità di sfruttamento