|
Panoramica sul Web/Mobile Hacking
Come sono stati scoperti i difetti nella sicurezza delle app web/mobileClicca per leggere 
Cos’è un difetto nella sicurezza?
Un difetto o una debolezza nelle procedure di sicurezza del sistema, nella progettazione, nell’attuazione o nei controlli interni che possono essere eseguiti (accidentalmente oppure sfruttati appositamente) e si traduce in una violazione della stessa.
| Principali cause che possono portare a difetti nella sicurezza |
 |
| Utenti |
|
| |
|
|
• Possono interferire con qualsiasi pezzo di informazione trasmessa tra l’utente (che può navigare sia sul browser che tramite mobile) e il server
|
| |
|
• Possono inviare richieste (si può trattare di indirizzi nel browser o chiamate diverse nella riga di comando) in qualsiasi sequenza e i parametri si possono presentare in una fase diversa da quella attesa dall’ applicazione.
|
| |
|
• Non si limitano ad utilizzare solo un browser web per accedere all’applicazione – possono utilizzare, anche, applicazioni native mobile in grado di comunicare con il sistema operativo o strumenti a linea di commando con il PC.
|
| |
|
• La mancanza di consapevolezza in materia di sicurezza
Di solito, i programmatori non prestano sufficiente attenzione alla sicurezza, ma si concentrano principalmente sulle funzionalità aziendali. È compito del CTO (Chief Technical Officer) imprimere la consapevolezza dell’ essenzialità della sicurezza nel reparto di sviluppo software
• Sviluppo personalizzato
Spesso capita, purtroppo, che le strutture di sicurezza vengano modificate per soddisfare le esigenze dei clienti. Per garantire che l’applicazione rimanga sicura, i programmatori o i fornitori di software dovrebbero creare dei test tecnici ad hoc (e devono fornire periodicamente dei report)
• Limiti delle risorse
Tempo, investimenti (ottimi programmi), ecc.
|
Strumenti di testing per la sicurezza delle app WebClicca per leggere
Questi strumenti possono essere usati per:
• Indovinare le credenziali di autenticazione
• Accedere ai protocolli di database e alle linee di comando per inserire testi diversi
• Organisation Directory (LDAP) – per modificare l’organigramme dell’organizzazione
• Modificare differenti protocolli web/mobile
|
 |
Strumenti più utilizzati per rafforzare la sicurezza
|
|
• Zed Attack Proxy (ZAP)
|
• SQLMap
|
|
• Wfuzz
|
• SonarQube
|
|
• Grabber
|
• Netsparker
|
|
• Arachni
|
• Acunetix
|
|
• Wapiti
|
• Intruder
|
ContromisureClicca per leggere
• Richiedere una risposta segreta, implementare user-specific token in tutti i campi connessi al server- il sito dell’aggressore farà difficoltà a capire qual è il giusto token a cui connettersi.
• Richiedere al cliente di fornire tutti i dati di autenticazione (sempre meglio se è a due fattori) nello stesso browser utilizzato per eseguire operazioni sensibili come scambio di denaro, documenti ecc..
• Limitare la durata dei cookies (file contenenti un identificatore alfa-numerico che il server di un sito invia a un altro browser per un periodo di tempo limitato).
• Accedere a siti web che dispongono di un certificato di sicurezza- l’indirizzo dovrebbe iniziare con ‘https’
• Validare l’input dell’utente cliccando «accept known good», oppure isolare i file in arrivo e verificarne la legittimità prima di eseguirli.
• Molte aziende, vittime di attacchi digitali, ammettono di aver valutato i rischi solo una volta che il peggio era già accaduto. Mai come in questi casi, si rivela utile il buon detto “prevenire è meglio che curare”; ci sono molte soluzioni che le PMI possono utilizzare a questo scopo, per esempio quelle basate sul cloud.
Quanta sicurezza è sufficiente?
•L’implementazione della sicurezza si basa sull’analisi dei costi in rapporto ai rischi
•Rischio = Minaccia * Vulnerabilità
•Costo = Costo del controllo di attuazione – Costo della mancata esecuzione dei cotrolli
|
 |
Principali sfide affrontate dalle PMI
Vincoli di bilancioClicca per leggere
Non diventare un frutto a portata di mano per i cybercriminali!
|
• Le minacce informatiche rappresentano un rischio notevole per le PMI, soprattutto adesso che le operazioni digitali stanno diventando sempre più frequenti.
• Mentre le organizzazioni trovano nuove modalità per proteggersi dai rischi informatici, i cybercriminali hanno già messo a punto nuovi tipi di attacchi. Questo implica un aggiornamento quasi quotidiano delle misure di sicurezza adotatte.
• Tuttavia, a volte risulta difficile per le PMI fronteggiare queste minacce in continua evoluzione a causa dei vincoli di bilancio e della mancanza di risorse specializzate all’interno dell’azienda. Questo, purtroppo, aumenta le possibilità di subire un attacco digitale.
• Fai affidamento all’analisi Costi vs, Rischi, tenendo conto di tutti gli aggiornamenti in materia di cybersecurity
|
 |
Furto da parte dei dipendentiClicca per leggere
I malintenzionati all’interno dell’azienda sono molto più comuni di quello che pensi!!!
|
• Offri corsi di formazione ai tuoi impiegati
La formazione è un aspetto importantissimo per contrastare gli attacchi digitali.
I tuoi dipendenti devono conoscere i rischi quando ciccano su link poco sicuri e navigano su siti non identificati.
|
|
|
| |
|
|
|
• Avere una Policy basata sul «Principio del Minor Privilegio»
Una volta aver compreso l’importanza della sicurezza informatica, puoi adottare una policy che limita l’accesso alle informazioni sulla base dei ruoli e delle funzioni. Questo concetto va oltre la semplice autorizzazione e autenticazione, per avere accesso alle informazioni deve esserci una reale necessità.
Questo garantirà una riduzione dei rischi perché gli accessi consentiti saranno limitati e, in caso di furto di informazioni, sarà più semplice individuare il colpevole.
|
|
|
| |
|
|
|
• Distribuire software per monitorare e prevenire l’accesso
Una volta aver valutato il livello di sicurezza interno, puoi distribuire software che monitorano il comportamento e l’accesso alla rete e, inoltre, limitano gli accessi alle infrastrutture.
|
|
|
| |
|
|
|
• Preparate in anticipo un piano di risposta agli incidenti
Nessun piano o software può garantirti una prevenzione al 100%, per questo è importante preparare in anticipo un piano di gestione in caso si verifichi lo scenario peggiore.
Tenendo conto delle minacce insider sopra elencate e la valutazione dei rischi descritta, possono verificarsi tre diversi scenari:
1. Cosa succede se un dipendente licenziato di recente disattiva gli aggiornamenti automatici dei software più sensibili?
2. Cosa succede se un fornitore subisce un attacco?
3. Cosa succede se un impiegato del dipartimento finanziario cliccasse una email di phishing? |
 |
|
| |
|
|
|
• Immaginate decine di differenti scenari e preparate adeguati piani di risposta
Si raccomanda di dare priorità agli scenari che potrebbero compromettere i processi aziendali, mettendo a repentaglio il portafoglio clienti e causando gravi danni di reputazione.
Il piano di risposta dovrebbe concentrarsi sulla riduzione dei danni, mitigandone i rischi aggiuntivi, sulle comunicazioni interne ed esterne, e sul ristabilimento dell’attività lavorativa quotidiana. |
|
|
Errore umanoClicca per leggere
• Mancata consegna dell’email
La mancata consegna dell’email è stata la quinta causa più comune per le violazioni di sistema- il 58% degli impiegati ammette di aver inviato email alle persone sbagliate durante l’orario lavorativo.
• Scarsa igiene della password
In molte organizzazioni, le password sono il miglior scudo contro gli attacchi informatici. Ma, spesso, sono anche la più grande debolezza- 61% delle violazioni avviene a causa del furto o compromissione delle credenziali.
• Patching inadeguato/incomplete/ritardatario
I cybercriminali sfruttano le vulnerabilità dei software per accedere alla rete, al sistema e alle informazioni aziendali. Una volta scoperto, i programmatori o il fornitore creano dei patch e li applicano su tutti i device in uso.
• Poor Access Control
L'inadeguato controllo degli accessi è un altro grave errore umano nelle violazioni della sicurezza informatica in quanto permette ai malintenzionati di prendere il controllo delle reti aziendali.
Misure tecniche e Best Practices per le PMI
Diventare CyberwiseClicca per leggere
Le PMI possono facilmente scoprire il proprio livello di preparazione in materia di sicurezza informatica trovando risposte a questi importanti elementi descritti di seguito.
Vi aiuterà a individuare le lacune di sicurezza nella vostra organizzazione e le Best Practices necessarie come::
• Firewall per uffici e internet gateway
• Configurazione sicura
• Software patching
• Best Practice in materia di conti degli utenti e conti amministrativi
• Protezione malware
• Consapevolezza della debolezza delle password
• Valutazione di base dei rischi
|
 |
Strumenti di sicurezzaClicca per leggere
Disporre dei migliori strumenti di sicurezza è diventato indispensabile per le PMI
• 60% delle PMI chiudono nel giro di pochi mesi da un attacco informatico
Essendo il budget limitato, è fondamentale scegliere i migliori strumenti di sicurezza nelle aree di seguito elencate:
|
• Firewalls and network security
• Email Security
• Passwords
• Antivirus
|
 |
Prassi di cybersecurityClicca per leggere
Alcune prassi che possono aiutare le PMI a fronteggiare meglio le minacce sul web:
• Evitare email, link e pop-up sconosciuti
• Essere cauti con USB non sigillati
• Utilizzare l’autenticazione a due fattori
• Mantenere al sicuro i dispositivi mobili
• Impostare password difficili
• Conoscere il social engineering
• Utilizzare wi-fi sicuri
• Garantire la protezione dei dati
• Installare software di sicurezza aggiornati
• Utilizzare protezioni firewall sia a casa che a lavoro
• Comunicare con il dipartimento IT
|
 |
Vulnerabilità delle applicazioni web meno conosciute
Principali errori nella sicurezaz sul webClicca per leggere
Alcuni degli errori commessi dale PMI che devono essere corretti immediatamente:
• Permettere ai dati non validi di entrare nel database
• Concentrarsi sul sistema nel suo complesso
• Sviluppare metodi di sicurezza personalmente
• Mettere la sicurezza all’ultimo posto
• Memorizzare le passwords con semplice testo
• Non scannerizzare la sicurezza del sito
• Impostare passwords deboli
• Memorizzare dati non cifrati nel database
• Non crittografare i dati sensibili
• Utilizzare software obsoleti
• Avere componenti software con vulnerabilità note
|
 |
Come le vulnerabilità delle app web incidono sulle PMI e misure preventiveClicca per leggere
Questo si verifica quando chi prende le decisioni sulle misure di sicurezza da implementare si basa sulla propria intuizione ed esperienza e non sulle statistiche inenerti agli impatti di un attacco informatico
|
SFRUTTAMENTO AUTOMATIZZATO DI UNA VULNERABILITÀ NOTA
Risorsa compromessa: il sistema operativo (SO) del computer.
Prevenzione: La PMI può utilizzare il software di gestione delle patch per scansionare la rete, identificare le patch mancanti e gli aggiornamenti software, e distribuire le patch da una console centrale per avere l'intera rete aggiornata. Inoltre, le PMI possono formare i dipendenti a rispettare le patch aggiornate da sole.
|
|
EMAIL HTML DANNOSO
Risorsa compromessa: Computer, telefono cellulare, tablet qualsiasi apparecchiatura in grado di visualizzare le e-mail dannose.
Prevenzione: La PMI può implementare un filtro anti-spam aggressivo in modo che questo tipo di e-mail non compaia nella casella di posta dell'utente. E 'anche necessario aumentare la consapevolezza dei dipendenti sulla sicurezza e-mail. I dipendenti devono essere consapevoli di e-mail spam. Una PMI può implementare una formazione periodica per i dipendenti sul riconoscimento delle e-mail spam.
|
| |
 |
|
|
NAVIGAZIONE WEB SCONSIDERATA DA PARTE DEI DIPENDENTI
Asset compromesso: computer, tablet, telefoni cellulari collegati alla rete aziendale.
Prevenzione: I dipendenti devono essere avvisati di non navigare su nessun sito web diverso da siti relativi al lavoro. Tutti i dipendenti devono essere avvertiti di essere monitorati in modo da scongiurarli a navigare in siti non consentiti. Inoltre, è necessaria l'attuazione di politiche relative alla "Politica di utilizzo accettabile" di Internet.
|
|
DATI PERSI SU UN DISPOSITIVO PORTATILE
Risorsa compromessa: dispositivo portatile e dati sensibili memorizzati in esso.
Prevenzione: La maggior parte dei dispositivi mobili hanno la possibilità di crittografare tutti i dati utente sui dispositivi e/o richiedere una password per accedere ai dati. Ci dovrebbe essere una politica che richieda a tutti i dipendenti di utilizzare questa caratteristica particolare per i dispositivi portatili utilizzati per il lavoro. Inoltre, si consiglia l’utilizzo di un software Mobile Device Management (MDM) che aiuta l'azienda a gestire i dispositivi mobili e cancellare tutti i dati sul dispositivo in caso di necessità
|
| |
|
|
|
USO SCONSIDERATO DI RETI E CHIOSCHI ALBERGHIERI
Asset compromesso: l'intera rete aziendale e il dispositivo dei dipendenti.
Prevenzione: Dispositivi come laptop, smartphone, tablet dovrebbero avere l'antivirus aggiornato, anti spyware/malware e firewall. Inoltre, bisogna incentivare i dipendenti a non spegnere mai le misure di sicurezza sui propri dispositivi
|
|
MANCANZA DI PIANIFICAZIONE DI CONTINGENZA
Attività compromessa: può influire sull'intera infrastruttura IT della PMI.
Prevenzione: lo sviluppo di politiche per qualsiasi tipo di continuità è la soluzione principale. Anche se lo sviluppo di politiche può essere un compito difficile, un esperto esterno può aiutare in questo caso
|
| |
|
|
Quali conseguenze nella vita reale dopo un attacco informatico contro una PMI?
Quali conseguenze nella vita reale dopo un attacco informatico contro una PMI?Clicca per leggere
Impatti economici
Gli attacchi informatici spesso comportano una perdita finanziaria rilevante derivante da:
|
• Furto di informazioni aziendali
• Furto di informazioni finanziarie (es: credenziali bancarie)
• Furto di soldi
• Interruzione del commercio (es: impossibilità di effettuare transazioni online)
• Perdita di contratti
|
 |
| Organizzazioni vittime di violazioni informatiche, inoltre, sostengono anche costi associati alla riparazione dei sistemi, reti e device compromessi. |
Danno d’immagine
La fiducia è un elemento essenziale nella relazione con il cliente. Un attacco informatico può danneggiare la tua imagine e mettere a rischio la fiducia dei tuoi clienti. Questo si tramuta in:
• Perdita di clienti
• Mancate vendite
• Riduzione del profitto
I danni d’immagine si ripercuotono anche sui tuoi fornitori, e possono compromettere le relazioni con i partner, investitori e altri stakeholders.
Implicazioni legali
Le leggi sulla protezione dei dati e sulla privacy richiedono che venga gestita la sicurezza di tutti i dati personali in vostro possesso, e quelli dei clienti. Se questi dati dovessero essere accidentalmente o deliberatamente compromessi, e non si è riusciti a implementare misure di sicurezza adeguate, si va incontro a multe e sanzioni regolamentari.
Attacco digitale e errore umanoClicca per leggere
Anche se le PMI stanno accelerando i loro sforzi per digitalizzarsi e affrontare adeguatamente l’attuale clima economico, altamente competitivo, potrebbero avere difficoltà a fare gli investimenti necessari per la sicurezza – sia costituendo un team interno di specialisti, sia arruolando un fornitore esterno per avere il giusto supporto.
Senza un pool di talenti, è difficile per gli stessi proprietari di PMI pianificare, creare e mantenere la giusta infrastruttura di sicurezza informatica per proteggersi da minacce, note e sconosciute, sia oggi che in futuro. Inoltre, bisogna sempre considerare un possibile errore umano.
|
Le aree che potrebbero essere impattate sono:
• Danni al brand
• Perdita di clienti
• Perdere l’opportunità di attrarre nuovi clienti
• Perdere l’opportunità di espandere l’attività
|
 |
Gestione dei rischi digitali
Gestione dei rischi digitali attraverso la stipula di un’assicurazioneClicca per leggere
L’assicurazione informatica è un tipo di assicurazione generalmente stipulata per coprire i rischi di eventuali attacchi IT quali perdita, furto o danneggiamento dei sistemi e dei dati in esso custoditi.
Quali costi copre, nello specifico, un’assicurazione informatica?
La maggior parte delle polizze coprono la prima parte e le terze parti dei costi relativi a un attacco informatico:
· La prima parte dei costi si riferisce ai costi investigativi, di riparazione del sistema, di ripristino dei dati rubati, eventuali estorsioni da parte degli aggressori e, nell’ipotesi peggiore, i costi relativi alla chiusura dell’attività.
· La terza parte dei costi si riferisce ai costi di eventuali rivendicazioni contro l’azienda o i clienti, alla copertura dei danni ed eventuali costi legali per proteggere l’attività.
Nel valutare i rischi del cliente, gli assicuratori si concentrano principalmente sulle seguenti categorie:
|
• Risorse dedicate
• Policies e Procedure
• Consapevolezza degli impiegati
• Risposta all’incidente
• Misure di Sicurezza
• Vendor Management
• Board Oversight
|
 |
La mia attività ha bisogno di un’assicurazione informatica?
Se generalmente la tua organizzazione invia e archivia dati elettronicamente, potresti subire un attacco informatico. Semmai fossi vittima di questo tipo di attacco, l’assicurazione ti aiuterà con la copertura dei costi finanziari e reputazionali.
Costo e impatto dell’assicurazioneClicca per leggere
L’assicurazione informatica (e l’assicurazione di responsabilità informatica) può aiutare l’azienda a mitigare ulteriormente l’esposizione al rischio, compensando una parte dei costi necessary per il ripristino dell’attività ordinaria dopo un attacco.
|
Si può trattare di spese relative a:
• La gestione di un incidente informatico
• Le indagini sulla violazione
• La notifica dell’interessato e la riparazione
• La responsabilità - violazione della privacy e di informazioni confidenziali
• Gli onorari professionali relativi alle azioni di recupero
• L’ interruzione dell’attività, per esempio a causa di un downtime della rete
|
|
|
 |
|
Riprodurre l’audio 
