Le interconnessioni sempre più eterogenee dell’ecosistema digitale hanno determinato un aumento della superficie complessivamente esposta alle vulnerabilità sistemiche e, in alcuni casi, determinano le condizioni per cyberattacchi dalle conseguenze potenzialmente devastanti in termini di continuità operativa oltre che reputazionali.
La recente escalation di attacchi cyber pervasivi ha confermato che la minaccia “ransomware” anche nel periodo Gennaio-Maggio 2021 è la più frequente nel panorama della sicurezza informatica su scala globale.
Il picco di infezioni di diversa natura che aveva cominciato a manifestarsi attorno alla fine del 2019, non ha fatto altro che aumentare con una conseguente evoluzione delle TTP (Tactics, Techniques, and Procedures), in particolare la Double extortion, da parte dei vari gruppi di Criminal Hacker, oramai veri e propri cartelli del Cyber Crime.
Attraverso l’analisi dei Cyber Risk Indicators si determina e misura il potenziale rischio cyber del settore merceologico oggetto di indagine, che prende in considerazione un campione di 20 aziende tra le prime 100 sulla base del fatturato, facendosi particolare riferimento al periodo di indagine di 30 giorni precedenti alla pubblicazione dell’analisi.
Nella report analysis del mese di Maggio 2021 il Soc as a Service Team di Swascan (https://www.swascan.com/it/cyber-risk-indicators-metalmeccanico/) ha raccolto e analizzato lo stato dell’arte della Cyber Security nel settore Metalmeccanico del nostro Paese, elaborando una dettagliata rappresentazione che evidenzia come le aziende metalmeccaniche italiane siano in media potenzialmente esposte ad un rischio di:
- 42 vulnerabilità sui sistemi esposti su Internet
- 138 email compromesse/data leak.
Il report si fonda su un’analisi di Domain Threat Intelligence nell’ambito di una più ampia ricerca di cyber threat intelligence che ricerca le informazioni pubbliche e semi-pubbliche, a livello Web, Dark Web e Deep Web, relative alle vulnerabilità del dominio, sottodomini ed email compromesse.
In buona sostanza, tutte le informazioni afferenti ad uno specifico dominio-target di analisi, presenti e disponibili su database, forum, chat, newsgroup, vengono reperite attraverso strumenti di ricerca OSINT (Open Source Intelligence) e Closint (Close Source Intelligence) al fine di raccoglierli, collazionarli, analizzarli e clusterizzarne le informazioni per identificare:
- Potenziali Vulnerabilità
- Dettagli delle Vulnerabilità in termini di CVE (common vulnerability exposures), impatti e severity
- Impatti GDPR (Confidentiality, Integrity, Availability)
- Numero dei Sottodomini
- Numero Potenziali email compromesse (vengono solo conteggiate e non raccolte o trattate)
- Numero delle Source delle email compromesse
- Typosquatting (per finalità di dirottamento di URL).
Il settore metalmeccanico italiano, scansionato attraverso la cyber threat intelligence analysis ha permesso di elaborare un triplice rischio:
- Rischio Tecnologico
- Rischio Compliance
- Rischio Social Engineering
Dalla ponderazione dei tre superiori fattori di rischio vengono elaborati i Cyber Risk Indicators del settore che si determinano sulla base di una media degli indicatori.
Il rischio tecnologico determina l’esposizione al rischio di un attacco informatico attraverso lo sfruttamento di vulnerabilità tecnologiche (attraverso l’esecuzione di exploit) ed evidenzia pertanto le vulnerabilità tecnologiche estratte dalla ricerca di domain threat intelligence (DTI), presenti a livello OSINT e CLOSINT, che vengono conseguentemente identificate da una CVE (Common Vulnerability and Exposures) e suddivise per severità alta, media e bassa in base al CVSS score (Common Vulnerability Scoring System).
Le potenziali vulnerabilità identificate fanno principalmente riferimento a:
- Sistemi non aggiornati
- Sistemi non “patchati”
- Sistemi di Remote desktop Protocol vulnerabili
Il Compliance Risk Indicator attiene alle potenziali vulnerabilità identificate dalla ricerca DTI che vengono associate alle relative CVE (Common Vulnerability and Exposures) e suddivise per severità alta, media e bassa in base al CVSSv2 score (Common Vulnerability Scoring System) sulla base dei potenziali impatti in termini di Confidenzialità, l’Integrità e la Disponibilità dei dati.
L’indicatore determina dunque il potenziale livello di:
- Compliance al GDPR
- Compliance ai requirements Agid per la Pubblica Amministrazione
- Requirements ISO27001
Infine, con il Social Engineering Risk Indicator la Domain Threat Intelligence consente di raccogliere sul campione di aziende del cluster merceologico:
- il numero delle email compromesse
- il numero dei data breaches contenenti le credenziali compromesse
In questo caso, va evidenziato che le emails compromesse fanno riferimento a mail aziendali che i dipendenti di un’organizzazione hanno utilizzato per registrarsi a siti/servizi terzi e che hanno subito nel corso degli anni un Data Breach rendendo conseguentemente le relative credenziali disponibili a livello pubblico e semi-pubblico.
Nello specifico il Social Engineering Risk Indicator identifica i rischi relativi a:
- Phishing
- Spear Phishing
- Business Email Compromised
- Smishing
- Credential Stuffing
- Credential Take Over
Inoltre, identifica una criticità a livello organizzativo, tenuto conto dell’utilizzo improprio, non per scopi di lavoro, da parte dei dipendenti della mail aziendale.