Verifica dell’esposizione di un’azienda agli attacchi informatici
Di recente ho cercato online le sneakers di un luxury brand inglese. L’azienda, nel suo sito web ufficiale, dichiarava di consegnare solo nel Regno Unito. Non ho trovato quelle sneakers su yoox.com, né su zalando.it e SHOPenauer.com mi dava solo store ubicati in UK. Ho però individuato due siti web di acquisti online che consegnavano in Italia le mie agognate sneakers. Purtroppo e per fortuna, non sono nata ieri ed ho presto notato che quei due siti erano illegali, come mi è stato poi confermato dal customer service del suddetto brand. Tali siti web simulavano nel nome e nei contenuti il sito ufficiale.
Come è possibile che un’azienda sul mercato dal 1873 e con un fatturato annuo di circa 100 milioni di GBP debba farsi segnalare la presenza di siti web illegali da una cliente???
Per scongiurare situazioni di questo tipo, che quantomeno diminuiscono la reputazione aziendale, una opzione è dotarsi di un servizio di difesa informatica esternalizzato, affidato ad un fornitore di MSSP, Managed Security Service Provider.
Un MSSP esegue scansioni di sicurezza costantemente nel tempo, test di penetrazione e di vulnerabilità e altri processi di gestione della sicurezza per conto di una o più organizzazioni aziendali. L’obiettivo è ridurre i rischi e prevenire gli attacchi informatici. È un po’ come avere le indicazioni di un ingegnere che, durante un sopralluogo presso la vostra azienda, vi elenchi le vulnerabilità esterne e relativa risoluzione per dissuadere i ladri, per esempio installando un cancello a chiusura automatica, mettendo inferriate alle finestre ed un impianto di videosorveglianza.
Il monitoraggio continuo si fa da remoto con una piattaforma che integra ed automatizza tools OSINT, Open Source INTelligence.
A partire dal nome del dominio dell’azienda (per esempio: www.ritatessari.it) si indaga per verificare la potenziale superficie di attacco dell’organizzazione. Si comincia recuperando informazioni generiche sul target (questa è la c.d. fase Recoinnassance); manualmente si fa su siti che catalogano le informazioni sulle aziende, per es. opencorporates.com, corporationwiki.com, wikipedia.org, motori di ricerca, ecc. Si prosegue con le informazioni relative a domini simili al dominio aziendale che sono stati registrati (potrebbero esserci anche quelli volutamente creati da attaccanti per fare phishing – vedi quelli dell’azienda del luxury band inglese di cui sopra). Altre informazioni da recuperare sono:
- le liste di certificati SSL e relative caratteristiche,
- elenco dei dispositivi aziendali connessi ad Internet e pubblicamente esposti,
- presenza all’interno di blacklist,
- eventuali mobile app clonate,
- rilevazione di email aziendali utilizzate per l’accesso a social media ed eventualmente delle corrispondenti password (grazie ai record dei Data Breach),
- vulnerabilità esposte dagli indirizzi IP sui quali sono presenti risorse aziendali.