NPC-intelligence

Servizio di intelligence-alert per aziende e istituzioni

Il servizio di intelligence-alert è il risultato di un lungo periodo di studio che ha consentito di affinare la metodologia da parte del un nostro gruppo di specialisti, provenienti dal mondo dell’intelligence, della ricerca e dell’industria, ed è unico nel suo genere.

 

E’ certamente il primo in Italia e probabilmente nel mondo.

 

Fino ad oggi la sicurezza è sempre stata di tipo genericamente preventiva (sistemi di protezione destinati a fronteggiare minacce, anche specializzate, ma solo al momento della loro effettiva comparsa) o investigativa, destinata ad aiutare nell’individuazione degli autori dell’atto illecito ed eventualmente rispondere all’incidente.

 

Il nostro approccio ribalta completamente questa filosofia: le minacce vanno fronteggiate ben prima che si concretizzino, prevedendone le modalità e gli effetti e preparandosi efficacemente a neutralizzarle, grazie alle informazioni raccolte direttamente alla fonte e all’analisi delle strutture tecniche (reti informatiche, sistemi, ambiente), umane (organizzazione, strategie, cultura) ed elementi che potrebbero costituire un possibile bersaglio per gli attacchi (archivi informatici, progetti, strategie ed altri elementi di valore per l’azienda).

 

L’obiettivo del servizio è infatti quello di segnalare, mediante email certificata o altri canali sicuri, alle aziende o istituzioni in modo preventivo (ovvero appena se ne ha una ragionevole certezza) tutti gli eventi di attacco che potrebbero causare dei danni (diretti o indiretti, inclusi quelli di immagine/reputazione).

 

Il presupposto fondamentale per poter rendere il servizio operativo è necessario avere la possibilità di studiare i sistemi e l’ambiente dell’azienda cliente in modo da poter predisporre un servizio di alert personalizzato.

 

Dopo un’analisi dei sistemi informativi aziendali, la connettività verso l’esterno e una ricognizione dell’ambiente e delle modalità operative del personale, il team sarà in grado di realizzare un “profilo di vulnerabilità” del cliente che tiene conto dei seguenti fattori principali:

  1. Contesto tecnologico (sistemi informativi, piattaforme hardware e software, sistemi di connessione)
  2. Sistemi di sicurezza in vigore (firewall, IDS, ecc.) e politiche di configurazione/utilizzo
  3. Tipologia delle informazioni trattate: grado di riservatezza, appetibilità per outsider (concorrenti, gruppi criminali, ecc.)
  4. Individuazione e analisi dei punti critici (possibilità di fuga di notizie, covert channel, ecc.)
  5. Missione, strategie aziendali e territorialità (settore produttivo, ricerca effettuata, valore dei prodotti e dei brevetti, ecc.)
  6. Cultura sulla sicurezza (operatività degli utenti, formazione ricevuta, programmi di sensibilizzazione, ecc.) e relative policy (password, black/white listing, ecc.)
  7. Servizi accessibili dall’esterno, informazioni contenute e tipologia di utilizzo (sito web, e-commerce, ecc.)
  8. Dipendenza da Internet per la realizzazione dei servizi aziendali, eventualmente suddivisi in servizi critici e non-critici
  9. Strategie di comunicazione aziendali (reti sociali, advertising, media, ecc.)
  10. Analisi profili dei competitor

 

Attraverso l’analisi di:

  • fonti aperte e pubbliche, tra cui i siti web, i forum e i social network accessibili a tutti gli utenti;
  • fonti underground come ad esempio le chat IRC, i forum o alcuni portali non pubblicizzati su internet, dove accedono solo le persone che sono considerate “fidate” da parte delle organizzazioni criminali;
  • fonti confidenziali, che comprendono tutte le informazioni provenienti da organizzazioni specializzate nell’ambito della Sicurezza Informatica, accessibili solo mediante una specifica sottoscrizione e, in alcuni casi, soltanto se supportati da referenze fornite da organizzazioni che possano garantire l’affidabilità delle persone/aziende che intendono avvalersi di questo tipo di informazioni
  • bollettini sulla sicurezza e vulnerabilità scoperte dai vari fornitori/specialisti sui sistemi in uso presso il cliente;
  • altri canali di intelligence

 

Il team effettua costantemente l’analisi e la correlazione delle fonti di informazione individuate e pertinenti, eventualmente integrate da dati (log, report, ecc.) dei clienti per meglio individuare e circoscrivere i possibili attacchi e ricercarli successivamente nelle fonti di intelligence, producendo rapporti e segnalazioni tempestive e circostanziate, al fine di mettere in grado il cliente di prepararsi all’evento.

Gli allarmi, specifici per il cliente e la sua tipologia di sistemi, saranno corredati di tutte le informazioni utili per predisporre le dovute contromisure, compreso il grado di attendibilità delle fonti e la probabilità stimata sull’effettivo scatenarsi dell’evento.

 

Il sistema è basato su abbonamento tipicamente annuale e si svolge in due fasi:

  1. Analisi e ricognizione iniziale (in genere cinque giorni presso il cliente),
  2. Accordo sul sistema di comunicazione degli allarmi (posta crittografata, VPN, ecc.) e attivazione del servizio.