Cyber Security Solutions Information Security and Risk Management
Chi siamo NAD è un’azienda di Consulenza e System Integration con dieci anni di esperienza in Servizi di Cyber Security.
Mission La nostra Mission nel campo dei Servizi di Security Information è garantire la riservatezza, l'integrità e la disponibilità delle informazioni delle risorse tecnologiche del Cliente e dei suoi dati, la loro salvaguardia dalla compromissione, dagli abusi, perdite o danni causati intenzionalmente o meno. Questa garanzia permette ai nostri Clienti di continuare la loro Mission.
Cosa vuol dire Cyber Security Il termine Cyber Security si riferisce a quell’insieme di tecnologie di Sicurezza Informatica, processi e pratiche volte a proteggere reti, programmi informatici e dati da attacchi, danni o accessi non autorizzati. Il ruolo assunto dalle Tecnologie per l’Informazione e la Comunicazione (ICT) nella vita quotidiana ha prodotto, oltre ad innegabili benefici, un nuovo scenario nel quale risultiamo essere sempre più esposti a minacce di natura informatica, che non hanno più come obiettivo solo e soltanto il nostro personal computer, ma possono colpire qualsiasi sistema che usi le tecnologie ICT (da quelli per l’intrattenimento alle infrastrutture critiche per la fornitura dei servizi di base al cittadino). I criminali informatici stanno sfruttando le possibilità di attacco in rapida espansione disponibili nel mondo "any-to-any", in cui gli individui utilizzano qualsiasi dispositivo per accedere alle applicazioni aziendali in un ambiente di rete che utilizza servizi cloud decentralizzati. le aziende odierne potrebbero risultare impreparate a orientarsi in un mondo "any-to-any", se non altro dal punto di vista della sicurezza. Ci stiamo rapidamente avvicinando al momento in cui sarà sempre meno probabile che un utente acceda a un'attività attraverso una rete aziendale. I dispositivi con accesso a Internet (smartphone, tablet e così via) sono pensati per connettersi ad applicazioni in esecuzione ovunque, anche in un cloud SaaS (Software-as a Service) pubblico, in un cloud privato o in uno ibrido. Allo stesso tempo, si sta facendo strada un altro cambiamento: l'affermazione del cosiddetto "Internet per tutto". Questo approccio consiste in una intelligente connessione tra: • persone, ovvero social network,centri urbani, entità digitali; • processi, ovvero sistemi e processi aziendali; • dati, ovvero World Wide Web e informazioni; • oggetti, ovvero realtà, dispositivi e oggetti fisici Il concetto di Cyber Security va quindi ben oltre quello tradizionale di sicurezza informatica ed il fattore discriminante è proprio l’incremento di scala nella dimensione e nella complessità degli attacchi e nell’impatto, anche di tipo economico e sociale, che essi possono avere. Nuove strategie e nuove tecnologie sono necessarie per far fronte a questa nuova forma di minacce e per garantire la protezione del cittadino, delle infrastrutture e dei servizi.
Elementi di Cyber Security • Sicurezza delle applicazioni • Sicurezza delle informazioni • Sicurezza delle reti • Analisi e gestione dei rischi • Continuità operativa • Educazione
Strategia di Difesa Dobbiamo essere consapevoli che ogni progetto, fin dall’inizio, deve incorporare meccanismi di difesa che tengano conto delle tematiche di Cyber Securiy. Allo stesso modo con il quale difendiamo fisicamente la proprietà dobbiamo garantire che anche lo spazio virtuale sia adeguatamente protetto unendo quindi sicurezza logica e fisica. La nostra difesa deve essere costruita iniziando da tre moduli basati sul modello (PLAN, DO, ACT) • Valutazione: questa fase consiste nella completa analisi delle infrastrutture già in esercizio ovvero per ogni nuovo progetto. • Progettazione: disegnare e integrare tecnologie e servizi necessari per mitigare rischi. • Supervisione: e controllo dell’implementazione in modo da assicurare che il rischio sia stato gestito.
Proteggere l’Azienda • Conformità con le normative • Difesa contro gli attacchi • Protezione delle informazioni • Adeguati processi di gestione del dato • Protezione degli asset (Data Center, Personal Computer, Dispositivi Mobili, etc.).
La nostra Offerta NAD, attraverso un team di Security Specialist propone una serie di servizi di Cyber Security progettati e personalizzati secondo le esigenze del Cliente.
SOC Il Security Operation Center (SOC) di NAD è una struttura fisica e logica, specializzata nell’erogazione di servizi gestiti e professionali di Sicurezza Informatica. Si avvale di un team composto da Analisti, Sistemisti e Tester, specializzati in attività di monitoring real time, gestione degli apparati di sicurezza e Security Assessment. Il nostro SOC è strutturato per erogare servizi di tipo on-site, hibrid o remote H24/365 giorni all’anno.
Monitoring dell’Infrastruttura del Cliente Effettuato principalmente attraverso l’utilizzo combinato di piattaforme di Security Incident Event Management (SIEM), Intrusion Detection, Endpoint Protection, Data Loss Prevention che permettono di: • • • • .
Rilevare e rimediare ad attacchi informatici verso l'infrastruttura Rilevare e investigare in merito a accessi falliti ai vari sistemi e applicazioni Rilevare e indirizzare attività malevoli interne quali virus e malware informatici Rilevare fuoriuscite di informazioni sensibili dall’interno dell’azienda verso l’esterno
Hacker Intelligence Attività di Intelligence eseguita attraverso il monitoring delle azioni degli hacker nel mondo Internet (Social Networks, Forum specifici, Chat, etc.). Queste indagini possono essere svolte su scala globale oppure con ricerche mirate per identificare attività malevole che potrebbero coinvolgere il Cliente. Queste attività permettono di anticipare eventuali attacchi in arrivo verso il Cliente prima che questi si verifichino attuando misure di sicurezza preventive.
Incident Handling Gestione degli incidenti di sicurezza rilevati principalmente dalle attività di Monitoring, seguendo un percorso che inizia con la rilevazione e finisce con la risoluzione dell’incidente. La gestione degli incidenti di sicurezza comprende una serie di step che portano alla rilevazione ed alla risoluzione dell’incidente stesso. Il primo step, successivo alla rilevazione dell’incidente, consiste nel valutare se questo è un vero incidente oppure un falso positivo. Nel primo caso, l’incidente viene analizzato e contestualmente parte il processo di escalation previsto dalle procedure. Il processo può coinvolgere altre strutture a seconda della gravità che viene attribuita all’incidente. Il processo termina con la chiusura dell’incidente che viene tracciato con un identificativo in modo tale da mantenere uno storico ed adempiere ai requisiti di compliance vigenti.
Operations In questa categoria rientrano tutte le attività operative, tra cui: Analisi e Progettazione delle nuove infrastrutture ed ottimizzazione delle strutture esistenti Fornitura, installazione e configurazione degli apparati e degli applicativi. User Account: gestione delle policy, dei gruppi, delle utenze di accesso remoto (VPN) Manutenzione infrastrutture (Patching dei sistemi)
Risk Analysis and Reporting La reportistica viene costruita, oltre che a fini puramente statistici, con lo scopo di tenere sempre sotto controllo lo stato delle varie infrastrutture di sicurezza e, in caso di necessità, effettuare gli interventi correttivi. Ad esempio, un report sulla infrastruttura Antivirus può rilevare in maniera automatica le macchine che hanno le definizioni obsolete ed in seguito a ciò possono essere aggiornate. • Sviluppo: creazione e manutenzione di tool e web application a supporto delle attività di reportistica e gestionale; • Reports periodici (giornalieri, settimanali, mensili) sul livello di sicurezza dell’infrastruttura. • Reportistica settimanale con l’emissione del Weekly Risk Reporting. • Reportistica periodica con l’emissione del Security Awareness Magazine previa analisi dei CVE (Common Vulnerabilities and Exposures). • Reports ad-hoc on demand.
Security Device Management Ha come obiettivo garantire il funzionamento degli apparati di sicurezza con: • Monitoraggio costante degli apparati di sicurezza. • Rilevazione e segnalazione Fault. • Identificazione delle rispettive azioni di rimedio. • Implementazione delle rispettive azioni di rimedio. • Ripristino delle configurazioni in caso di loro perdita a seguito di un fault.
Security Assessment Attività di Security Assessment (SA) consistenti nell’effettuare una review del grado di sicurezza di sistemi (parco macchine, servers, apparati) e applicazioni (web applications e databases, Intranet). Queste verifiche vengono fatte tramite l’esecuzione di scansioni automatizzate e semiautomatizzate non invasive, condotte avvalendosi di strumenti software al fine di rilevare la presenza di vulnerabilità note all’interno dell’infrastruttura informatica, riguardanti i sistemi operativi del parco macchine, i Database, le applicazioni web e i loro codici sorgente. Tali scansioni sono successivamente integrate da verifiche manuali volte ad affinare i risultati ottenuti dagli strumenti di analisi automatica (eliminazione falsi positivi eventualmente introdotti). Un’attività di questo tipo viene solitamente effettuata ogni volta che un nuovo parco macchine e/o web application deve entrare in esercizio, oppure in maniera periodica in base alle necessità. Il prodotto finale dell’attività è un documento che viene poi consegnato ai referenti del sistema sottoposto a SA: quest’ultimo conterrà i risultati dei test con le vulnerabilità trovate, le loro gravità e ove possibile suggerimenti e indicazione per la messa in sicurezza.
Vulnerability Assessment Attività di review di Security eseguite in ambito sistemistico con no individuazione e catalogazione delle vulnerabilità dei sistemi operativi delle macchine e dei servizi che hanno a bordo. Ad esempio vengono individuate le vulnerabilità relative ad aggiornamenti di sicurezza mancanti o a vulnerabilità note dei Web-Server.
Web Application Penetration Test (WAPT) Attività di review di Security eseguite delle Web Applications eventualmente presenti sul sistema sottoposto a Security Assessment. Data la natura delle Web Applications, l’assessment solitamente prevede anche una review dei database utilizzati dell’applicazione. Questo terzo assessment è il Database Penetration Test (DBPT).
Identity Management In questa categoria rientrano tutte le attività atte a supervisionare e controllare periodicamente la situazione relativa alle identità digitali presenti nell’azienda.
Privileged User Management Attraverso l’utilizzo di una piattaforma di Privileged Identity Management (PIM, ad es. CyberArk) si possono gestire gli accessi che vengono effettuati da amministratori/utenti verso i sistemi di produzione critici (server). Le attività di provisioning di utenti e accounts viene definita la maniera in cui un utente può accedere al sistema target tramite protocolli standard (RDP – SSH), oppure tramite software dedicati (accesso a DB). Le password vengono immagazzinate e gestite da un server dedicato e le attività vengono tracciate (log e possibilità di registrare la sessione) con possibilità di invio di log ad un SIEM.
User Review Analisi periodica dei ruoli posseduti dagli utenti per un determinato sistema e relativa remediation atto a mantenere un asset di ruoli e permessi coerente. Il processo può gestire sistemi target (AD + altri sistemi sensibili) sia attraverso sistemi manuali sia attraverso software specifici (Es. Oracle Identity Manager (OIM), Oracle Identity Analytics (OIA)) Con OIA è possibile, tra le altre cose, dato in input un bacino di utenze e permessi, definire un set base di ruoli per uniformare le utenze. Effettuando una User Review periodica, si evita di lasciare permessi/ruoli ad utenti che, per svariati motivi, non devono più averne e viceversa.
I mari calmi non fanno buoni marinai.
technological systems
Networking
NAD S.r.l. (Net and Day S.r.l.) P.I. 02328100926 Via Edison, 8 - 09047 Selargius (CA) Tel.: +39 070 8476584 Fax: +39 070 8476585 Email: info@nad.it PEC: amministrazione.nad@pec.it
www.nad.it Seguici su :