Le infrastrutture critiche e le istituzioni devono far fronte a minacce cyber sempre crescenti che potrebbero compromettere la sopravvivenza e la prosperità dell’organizzazione stessa. Essere resilienti oggi significa essere in grado di anticipare gli eventi, di essere preparati ad affrontarli e di adattarsi ad uno scenario dinamico in continua evoluzione. Le capacità di resilienza che aziende e manager sapranno mettere in campo influenzeranno sempre più la competitività dell’organizzazione stessa.
In tale contesto, la Fondazione GCSEC, da sempre impegnata a creare le condizioni per migliorare le competenze e la cooperazione in materia di sicurezza, organizza il workshop "Attacco Cyber - Esperienze operative per la resilienza del business", che si terrà il 15 Giugno 2016 a Roma presso l’Hotel Bernini Bristol - piazza Barberini, 23.
Il workshop si propone di percorrere le fasi principali della gestione di una crisi derivante da un attacco cyber, con l’obiettivo di migliorare le capacità, le competenze e la cooperazione in materia di sicurezza informatica fra i diversi attori coinvolti. L'evento sarà un momento concreto per la condivisione di informazioni tra le grandi aziende pubblico-private nazionali e le infrastrutture critiche per esplorare il tema della gestione degli incidenti. Saranno discusse, attraverso l’esperienza personale dei relatori, le principali attività da mettere in piedi durante la gestione di attacchi informatici. Saranno inoltre condivise le esperienze di rappresentanti di SOC, team di threat analysis, unità di business continuity e gestione crisi, comprendendo anche gli aspetti legali e assicurativi.
Il workshop si inserisce in un percorso di collaborazione con Lutech volto a rafforzare la consapevolezza a livello italiano in materia di gestione incidenti cyber.
L'evento, la cui partecipazione è su invito, vedrà un pubblico qualificato e selezionato comprendente le istituzioni nazionali civili e militari, le industrie strategiche e le infrastrutture critiche nazionali.
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
Nella presentazione vengono introdotte le tematiche inerenti alla conservazione sicura e protetta del materiale crittografico utilizzato da un’applicazione (per il salvataggio cifrato dei dati, autenticazione con il backend, ecc).
Si prosegue poi con la descrizione di alcune delle tecniche e delle metodologie di Key Management disponibili nelle varie versioni di Android.
Il CodeLab al GDG DevFest si è svolto alternando sessioni teoriche a sessioni pratiche di coding.
Gli attacchi alla supply chain open source di nuova generazione sono aumentati del 400% nei primi mesi del 2021.
Gli hackers sono sempre più creativi e stanno ricorrendo ad attacchi alla supply-chain di nuova generazione per trasformare i progetti open source in canali di distribuzione di malware.
Perché invadere l'ecosistema open source? La ragione è che i componenti compromessi possono essere immediatamente sfruttati una volta scaricati.
Adottare un approccio secure by design è al momento l'unica arma di difesa. Ne parliamo in questo webinar, in compagnia di Riccardo Bernasconi e Gabriele Gianoglio
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
I recenti fatti di cronaca ci ricordano la necessità di proteggere in maniera adeguata gli asset più importanti per la sopravvivenza stessa di un'organizzazione: i dati e le piattaforme applicative che ne consentono la fruizione. La capacità di salvaguardare tali valori, di garantirne la massima utilizzabilità e di implementare adeguate misure di monitoraggio ed audit sono sempre più i fattori che contraddistinguono un'organizzazione di successo, e che ambisce a rimanere tale, dai sui competitor: prepararsi adeguatamente per mettere al sicuro i propri dati da eventi imprevisti e per garantire i livelli di compliance previsti dalle leggi e dalle regolamentazioni di settore è diventata oggi un’attività vitale per qualunque organizzazione.
Nella presentazione vengono introdotte le tematiche inerenti alla conservazione sicura e protetta del materiale crittografico utilizzato da un’applicazione (per il salvataggio cifrato dei dati, autenticazione con il backend, ecc).
Si prosegue poi con la descrizione di alcune delle tecniche e delle metodologie di Key Management disponibili nelle varie versioni di Android.
Il CodeLab al GDG DevFest si è svolto alternando sessioni teoriche a sessioni pratiche di coding.
Gli attacchi alla supply chain open source di nuova generazione sono aumentati del 400% nei primi mesi del 2021.
Gli hackers sono sempre più creativi e stanno ricorrendo ad attacchi alla supply-chain di nuova generazione per trasformare i progetti open source in canali di distribuzione di malware.
Perché invadere l'ecosistema open source? La ragione è che i componenti compromessi possono essere immediatamente sfruttati una volta scaricati.
Adottare un approccio secure by design è al momento l'unica arma di difesa. Ne parliamo in questo webinar, in compagnia di Riccardo Bernasconi e Gabriele Gianoglio
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Antonio Musarra
In questo eBook sarà affrontato un argomento legato alla sicurezza che riguarda il come rendere sicure le connessioni HTTP attraverso il protocollo SSL/TLS (da ora in avanti TLS). Questo aspetto di sicurezza non è strettamente legato a Liferay, infatti non esiste nessun riferimento sulla LDN, riguarda invece l’infrastruttura dove il portale Liferay è collocato.
Il percorso che seguiremo nel corso di questo eBook per raggiungere il nostro obiettivo, sarà così organizzato:
1. Gestione dei certificati
2. Configurazione del protocollo TLS
3. Configurazione del portale Liferay (sia Apache Tomcat sia WildFly)
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
Modulo Master in Sicurezza Informatica e Hacking
Standard OWASP TOP 10
SQL Injection
XSS
PDF Reverse Shell
Tools
Ringraziamenti a :
Simone Onofri (Moduli SQLi & XSS)
Avv. Pieluigi Perri (Introduzione)
Programma il futuro: una scelta open sourceMarco Ferrigno
Un'analisi tecnica dello strumento che avrà un grande impatto culturale sul futuro del nostro Paese: Programma Il Futuro. Nato da un'idea che ha visto coinvolti Il MIUR, il CINI – Consorzio Interuniversitario Nazionale per l’Informatica - e aziende IT intervenute come sponsor, l'iniziativa ha l’obiettivo di fornire alle scuole una serie di strumenti semplici, divertenti e facilmente accessibili per formare gli studenti ai concetti di base dell'informatica. Il fine ultimo è dunque la formazione sin dalla tenera età del pensiero computazionale. Scopriremo insieme al collega Mario Rossano (responsabile della progettazione software) il perchè di un approccio opensource ad un progetto ad elevata criticità per il sistema Paese.
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
Un CMS vulnerabile può permettere a un attaccante di prendere il pieno controllo del sito (Blog, Forum, e-commerce, etc.), fornendo la possibilità di modificare i contenuti, creare e rimuovere utenti e nel caso peggiore ottenere persino il controllo del server su cui è installato. Sempre più aziende ed enti istituzionali adottano questi strumenti, ma quali sono i vantaggi e che livello di sicurezza garantiscono gli attuali CMS? Affronteremo queste tematiche servendoci di metodologie e strumenti automatici di verifica delle vulnerabilità.
In Aziende medio grandi, con centinaia di postazioni di lavoro, dispositivi mobile e server in cloud e on premises, la Digital Forensics e soprattutto l’approccio DFIR sono strumenti fondamentali per gestire in efficienza ed efficacia situazioni di incident handling come data breach o violazione dei sistemi, ma anche per la gestione di indagini e investigazioni informatiche aziendali per la tutela del patrimonio aziendale: proprietà intellettuale, protezione dati, dipendenti infedeli, furti di informazioni riservate; inoltre processi e strumenti della DF e della DFIR possono essere usati proficuamente per Audit di sicurezza in ambito ISO, Dlgs 231/01, GDPR, COBIT, etc.. garantendo una raccolta delle prove di tipo "forense".
Velociraptor e AWX Ansible due strumenti open molto diversi che si usano in ambito corporate per eseguire indagini informatiche e raccogliere prove su larga scala con modalità forensi.
Web Application Firewall: proteggersi dal cyber riskseeweb
In un contesto di aumento esponenziale del numero di cyberattack e vulnerabilità informatiche, è necessario che le aziende mettano in atto strategie complete di data protection. In questo ambito, integrare le proprie infrastrutture IT con una soluzione come il Web Application Firewall Seeweb consente una protezione essenziale ed efficace utile a prevenire che le vulnerabilità di applicativi e architetture aprano la strada a pericolose intrusioni a opera di cyber criminali.
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
Realizzare un’unica piattaforma che garantisce Omni-channel, Zero-downtime, Functional-decomposition e Auto-scaling è possibile? Vi raccontiamo un caso reale di come, utilizzando Zuul, Eureka, SpringBoot, Docker abbiamo realizzato i desideri del cliente e attuato questa trasformazione.
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
In questa presentazione viene descritto un possibile approccio alla messa insicurezza di codice legacy attraverso l'utilizzo di svariati progetti OWASP.
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
Ogni 3 anni l’OWASP aggiorna la TOP 10 delle vulnerabilità più comuni per le applicazioni Web. La TOP 10 di quest’anno contiene alcune interessanti novità.
Al primo posto rimangono sempre le vulnerabilità
di tipo Injection, seguite dalle problematiche nella Gestione della Sessione e nell’Autenticazione. Indietreggiano di una posizione i Cross Site Scripting.
Il talk, dopo una breve introduzione sulla TOP 10 e sugli
aggiornamenti, si pone lo scopo di descrivere con esempi pratici sia le varie vulnerabilità che i possibili rientri, in pieno spirito “think positive” promosso nella TOP 10 stessa.
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Codemotion
Ogni 3 anni l’OWASP aggiorna la TOP 10 delle vulnerabilità più comuni per le applicazioni Web. La TOP 10 di quest’anno contiene alcune interessanti novità.
Al primo posto rimangono sempre le vulnerabilità
di tipo Injection, seguite dalle problematiche nella Gestione della Sessione e nell’Autenticazione. Indietreggiano di una posizione i Cross Site Scripting.
Il talk, dopo una breve introduzione sulla TOP 10 e sugli
aggiornamenti, si pone lo scopo di descrivere con esempi pratici sia le varie vulnerabilità che i possibili rientri, in pieno spirito “think positive” promosso nella TOP 10 stessa
IT/OT infrastructure architectural risk assessment & penetration test.
Risk assessment on a connected plant security architecture, considering physical (disasters, power outage, electronic manipulation, etc) and logical threats (cyber attacks, physical payloads, errors, etc).
The threat and countermeasures models are compliant with IEC 62443-2-1 (formerly ISA-99).
Penetration test of the production infrastructure in order to pressure test the actual robustness of the implemented architecture and configurations.
AMI architectural analysis, threat modelling and penetration test.
Definition of a threat model for AMI risks, in order to identify focus areas and prioritize detailed checks and eventually new countermeasures. Threat scenarios are: physical intrusion, hardware manipulation and firmware / software reversing, network intrusion etc.
The model considers business impact and threat likelihood, i.e. technical complexity, attacker skill level, etc.
More Related Content
Similar to Cyber Attack: stories from the field - Threat analysis: useful methodologies and indicators
Cosa dobbiamo ancora capire sui containers?
Sicurezza: Cosa cambia, Come mi adeguo e Dove mi Fermo?
Attacchi:un esempio pratico di resilienza delle architetture a Containers
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Antonio Musarra
In questo eBook sarà affrontato un argomento legato alla sicurezza che riguarda il come rendere sicure le connessioni HTTP attraverso il protocollo SSL/TLS (da ora in avanti TLS). Questo aspetto di sicurezza non è strettamente legato a Liferay, infatti non esiste nessun riferimento sulla LDN, riguarda invece l’infrastruttura dove il portale Liferay è collocato.
Il percorso che seguiremo nel corso di questo eBook per raggiungere il nostro obiettivo, sarà così organizzato:
1. Gestione dei certificati
2. Configurazione del protocollo TLS
3. Configurazione del portale Liferay (sia Apache Tomcat sia WildFly)
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Pawel Zorzan Urban
Modulo Master in Sicurezza Informatica e Hacking
Standard OWASP TOP 10
SQL Injection
XSS
PDF Reverse Shell
Tools
Ringraziamenti a :
Simone Onofri (Moduli SQLi & XSS)
Avv. Pieluigi Perri (Introduzione)
Programma il futuro: una scelta open sourceMarco Ferrigno
Un'analisi tecnica dello strumento che avrà un grande impatto culturale sul futuro del nostro Paese: Programma Il Futuro. Nato da un'idea che ha visto coinvolti Il MIUR, il CINI – Consorzio Interuniversitario Nazionale per l’Informatica - e aziende IT intervenute come sponsor, l'iniziativa ha l’obiettivo di fornire alle scuole una serie di strumenti semplici, divertenti e facilmente accessibili per formare gli studenti ai concetti di base dell'informatica. Il fine ultimo è dunque la formazione sin dalla tenera età del pensiero computazionale. Scopriremo insieme al collega Mario Rossano (responsabile della progettazione software) il perchè di un approccio opensource ad un progetto ad elevata criticità per il sistema Paese.
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
Un CMS vulnerabile può permettere a un attaccante di prendere il pieno controllo del sito (Blog, Forum, e-commerce, etc.), fornendo la possibilità di modificare i contenuti, creare e rimuovere utenti e nel caso peggiore ottenere persino il controllo del server su cui è installato. Sempre più aziende ed enti istituzionali adottano questi strumenti, ma quali sono i vantaggi e che livello di sicurezza garantiscono gli attuali CMS? Affronteremo queste tematiche servendoci di metodologie e strumenti automatici di verifica delle vulnerabilità.
In Aziende medio grandi, con centinaia di postazioni di lavoro, dispositivi mobile e server in cloud e on premises, la Digital Forensics e soprattutto l’approccio DFIR sono strumenti fondamentali per gestire in efficienza ed efficacia situazioni di incident handling come data breach o violazione dei sistemi, ma anche per la gestione di indagini e investigazioni informatiche aziendali per la tutela del patrimonio aziendale: proprietà intellettuale, protezione dati, dipendenti infedeli, furti di informazioni riservate; inoltre processi e strumenti della DF e della DFIR possono essere usati proficuamente per Audit di sicurezza in ambito ISO, Dlgs 231/01, GDPR, COBIT, etc.. garantendo una raccolta delle prove di tipo "forense".
Velociraptor e AWX Ansible due strumenti open molto diversi che si usano in ambito corporate per eseguire indagini informatiche e raccogliere prove su larga scala con modalità forensi.
Web Application Firewall: proteggersi dal cyber riskseeweb
In un contesto di aumento esponenziale del numero di cyberattack e vulnerabilità informatiche, è necessario che le aziende mettano in atto strategie complete di data protection. In questo ambito, integrare le proprie infrastrutture IT con una soluzione come il Web Application Firewall Seeweb consente una protezione essenziale ed efficace utile a prevenire che le vulnerabilità di applicativi e architetture aprano la strada a pericolose intrusioni a opera di cyber criminali.
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
Durante lo sviluppo di siti web o web application l’implementazione della sicurezza dovrebbe essere una della fasi più importanti che uno sviluppatore dovrebbe eseguire, spesso però le soluzioni proposte non sono proprio “sicure”.Il talk mira a illustrare le principali tematiche relative all’argomento con un introduzione al Penetration Testing su web application.
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
Realizzare un’unica piattaforma che garantisce Omni-channel, Zero-downtime, Functional-decomposition e Auto-scaling è possibile? Vi raccontiamo un caso reale di come, utilizzando Zuul, Eureka, SpringBoot, Docker abbiamo realizzato i desideri del cliente e attuato questa trasformazione.
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoAntonio Parata
In questa presentazione viene descritto un possibile approccio alla messa insicurezza di codice legacy attraverso l'utilizzo di svariati progetti OWASP.
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Simone Onofri
Ogni 3 anni l’OWASP aggiorna la TOP 10 delle vulnerabilità più comuni per le applicazioni Web. La TOP 10 di quest’anno contiene alcune interessanti novità.
Al primo posto rimangono sempre le vulnerabilità
di tipo Injection, seguite dalle problematiche nella Gestione della Sessione e nell’Autenticazione. Indietreggiano di una posizione i Cross Site Scripting.
Il talk, dopo una breve introduzione sulla TOP 10 e sugli
aggiornamenti, si pone lo scopo di descrivere con esempi pratici sia le varie vulnerabilità che i possibili rientri, in pieno spirito “think positive” promosso nella TOP 10 stessa.
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Codemotion
Ogni 3 anni l’OWASP aggiorna la TOP 10 delle vulnerabilità più comuni per le applicazioni Web. La TOP 10 di quest’anno contiene alcune interessanti novità.
Al primo posto rimangono sempre le vulnerabilità
di tipo Injection, seguite dalle problematiche nella Gestione della Sessione e nell’Autenticazione. Indietreggiano di una posizione i Cross Site Scripting.
Il talk, dopo una breve introduzione sulla TOP 10 e sugli
aggiornamenti, si pone lo scopo di descrivere con esempi pratici sia le varie vulnerabilità che i possibili rientri, in pieno spirito “think positive” promosso nella TOP 10 stessa
Similar to Cyber Attack: stories from the field - Threat analysis: useful methodologies and indicators (20)
IT/OT infrastructure architectural risk assessment & penetration test.
Risk assessment on a connected plant security architecture, considering physical (disasters, power outage, electronic manipulation, etc) and logical threats (cyber attacks, physical payloads, errors, etc).
The threat and countermeasures models are compliant with IEC 62443-2-1 (formerly ISA-99).
Penetration test of the production infrastructure in order to pressure test the actual robustness of the implemented architecture and configurations.
AMI architectural analysis, threat modelling and penetration test.
Definition of a threat model for AMI risks, in order to identify focus areas and prioritize detailed checks and eventually new countermeasures. Threat scenarios are: physical intrusion, hardware manipulation and firmware / software reversing, network intrusion etc.
The model considers business impact and threat likelihood, i.e. technical complexity, attacker skill level, etc.
Customer digital identity and consent managementFrancesco Faenzi
Data is the new oil. Una privacy strategy sui customer data è un business enabler. Il Digital Trust è il passo "oltre la privacy" fondato sulla "consegna delle chiavi del forziere della fiducia" nelle mani del cliente stesso:"you are in control of your data".
Identità digitale e identità in real-life: rischi e rimediFrancesco Faenzi
Quanto è esposto un C-level o un VIP ad un attacco ibrido, sia nel mondo digitale che in quello reale? Quanto è esposta la sua cerchia di affetti e quella lavorativa? Quali sono i crimini contro la reputazione, la salute, il patrimonio, ecc. che si possono verificare per una non curata esposizione di informazioni su Internet?
Cyber Threat Intelligence - La rilevanza del dato per il businessFrancesco Faenzi
Scenario delle Cyber Threat
Cyber Threat Intelligence
CTI come fase della Cyber Defense
Intelligence & Cleverness
"In real life"
Rilevanza della CTI per il Business
Punti di attenzione per il CISO in un CTI Program
Cybercrime underground: Vendita ed evoluzione del cardingFrancesco Faenzi
Il presente report redatto dal Team di Cyber Threat Intelligence di Lutech, ha lo scopo di presentare lo scenario attuale relativo alla compravendita illegale di carte di credito su internet, fenomeno noto come Carding.
Attraverso i nostri sistemi proprietari di ricerca, attivi su fonti pubbliche e private, presenti sia nel deepweb che nel darkweb, sono stati raccolti e analizzati dati riconducibili al tema del carding, trattato su diversi canali:
Nelle successive sezioni viene descritto il fenomeno del carding in generale (“Il fenomeno del Carding”), vengono presentati altri canali di vendita (“Canali di vendita alternativi”), un impiego della tecnologia della Blockchain (“Blackmarket e Blockchain”) e viene riportato un caso di analisi di blackmarket che ha portato all’identificazione di una compromissione ai danni di una catena di ristoranti statunitensi (“Blackmarket – Analisi di un data breach”).
UPDATED - Analysis of exposed ICS / SCADA and IoT systems in EuropeFrancesco Faenzi
The document summarizes research conducted by Lutech on exposed industrial control systems, SCADA systems, IoT devices, and embedded systems in Europe. Over 60,000 systems were analyzed across various countries. Security analyses found 393 systems matching indicators of compromise, with 98 showing evidence of possible compromises after further analysis. Over 10,000 known vulnerabilities were identified among the systems. The research aims to increase awareness of security risks to these critical systems and encourage stakeholders to strengthen protections.
Il presente studio, redatto dal Team di Cyber Threat Intelligence di Lutech, ha lo scopo di presentare lo scenario attuale relativo alla compravendita illegale di carte di credito sui blackmarket.
Dai dati raccolti sono state identificate numerose risorse riconducibili a blackmarket presenti sia nel deepweb che nel darkweb. I blackmarket individuati sono stati analizzati e classificati allo scopo di individuare le caratteristiche distintive di ognuno di essi, quali:
Modalità di accesso
Presenza in rete (Darkweb, Deepweb)
Tipologia di market
Lingue supportate
Volume di vendita delle carte
Altro
Advanced Persistent Threat in ICS/SCADA/IOT world: a case studyFrancesco Faenzi
In the last years, many public and private organizations have been target of Advanced Persistent Threats (APTs), sophisticated, targeted and persistent threats aimed to steal information like intellectual property, organization or state secrets for economic, technical political, or military reasons. In the future, APTs will probably continue to increase and change their attack patterns.
APTs are very difficult to detect and remove. They can act undetected on network for long time, control the target waiting for the opportunity to leaking out your information. In many cases, skilled and motivated attackers use advanced-intelligence techniques and are able to erase its presence.
Only an early detection and a strong response capability can help organization to face APTs attack. Identification of Threat Indicators and Techniques, Tactics and Procedures (TTP) of attacks as well as information sharing and collaboration can enhance prevention and detection capabilities of organization. In the same time, an effective operative collaboration requires adoption of common methodologies and standards.
The aims of this study are:
• to provide an overview of APTs attack patterns, threat indicators and possible recommendations
• to provide a classification model to facilitate information sharing and enhance defence capabilities
The target group of the publication are the decision makers and security managers of Critical Infrastructure and Institutions The work is intended to share experts’ recommendations in order to correctly prevent, detect and respond to APT attacks.
In order to classify the information gathered in this study and to compare it between the several case studies presented, the publication will use the “Cyber Kill Chain” method.
Analysis of exposed ICS//SCADA/IoT systems in EuropeFrancesco Faenzi
The proliferation remote accessible applications and always connected systems, including Industrial Control Systems (ICS), Supervisory Control and Data Acquisition (SCADA) networks, real-time remote control systems, IoT devices and all the distributed management technologies, means that the risk of cyber attacks and potentially dangerous threats are increasing and it can only increase in the next years.
In this report will be analyzed the distribution and the exposition of these systems, found alive inside the european cyber perimeter, and their services along with a deep analysis of evident bad configurations, easy exploitable vulnerabilities, public and private indicators of compromise and even real and known compromissions already happened.
The “Lutech Operational Intelligence - Analysis of exposed ICS, SCADA and IoT systems in Europe” report hereby presented is based on information provided by Lutech Threat Management Service for Cyber Threat Intelligence (L-TMS/CTI).
SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...Francesco Faenzi
L’avvento dell’era digitale ha portato le imprese a fronteggiare
una crescita esponenziale sia delle opportunità di sviluppo che
dei rischi e dei pericoli connessi con l’impiego delle reti.
Oggi sono pochissime le realtà industriali che conoscono bene
i diversi tipi di minaccia da cui difendersi e sono consapevoli dei rischi a cui sono esposte. Non solo: spesso le imprese produttive ritengono che la Cyber Security sia un argomento che riguarda solo altre realtà.
La crescita vertiginosa dei fenomeni di hacking registrati nell’ultimo
periodo nel mondo industriale conferma tuttavia la notevole
vulnerabilità delle aziende e i rischi per la loro produzione.
Gli obiettivi Il convegno offre alle aziende e agli operatori un’occasione di confronto sul tema “Industrial Cyber Security”, per aumentare la consapevolezza relativa ai rischi e orientarli nel percorso di implementazione delle misure necessarie a prevenire i pericoli insiti nella rete e ad ostacolare gli attacchi informatici.
Durante l’incontro saranno descritte le diverse minacce esistenti in ambito industriale, presentati gli aspetti fondamentali del Cyber Crime e proposte misure efficaci per proteggere la produttività degli impianti e la riservatezza dei dati.
2. 2 - Confidential @Lutech_TMS / @Lutechspa
Questo documento è classificato Lutech Confidential. Non può essere rilasciato a terze parti senza la preventiva autorizzazione di
Lutech S.p.A. - Cybersecurity Business Platform e del Lutech Digital Communication Office.
I partecipanti all'evento hanno diritto di mantenerne una copia personale. Ogni altro utilizzo è proibito, senza la preventiva
autorizzazione di Lutech S.p.A. - Cybersecurity Business Platform e del Lutech Digital Communication Office.
2016 Lutech S.p.A.
Riservatezza
3. 3 - Confidential @Lutech_TMS / @Lutechspa
AGENDA
LUTECH, PARTNER per la
CYBERSECURITY
SHIELDS UP!
ANALISI e RISPOSTA
con NOTE METODOLOGICHE
e INDICATORI UTILI
INTRODUZIONE e CONTESTO
4. 4 - Confidential @Lutech_TMS / @Lutechspa
LUTECH, PARTNER per la CYBERSECURITY
Vision d'avanguardia
Continua cyber threat research
Approccio risk-based
Innovazione tecnologica con investimento R&D in
piattaforme e servizi di Threat Management
Erogazione dei Lutech Threat Management Services dal
nostro Cybersecurity Command & Control Center (LC4).
Lutech si fregia del CERT trademark del CMU-SEI.
L-TMS-CERT is the computer security incident response
team (CSIRT) for Lutech
15 anni di expertise in Cybersecurity da temi di
innovazione e strategia a quelli di ingegneria ed
opeations
2mln €
REVENUE
> 30
PROFESSIONALS
140
CASE STUDIES
5. 5 - Confidential @Lutech_TMS / @Lutechspa
INTRODUZIONE
Weaponization
Reconnaissance
Delivery
Exploitation
Attack Time
> Command
& Control
Attack Time
> Exfiltration &
Maintenance
KILL CHAIN
Attack Time
> Core Operations
Persistance
Defense Evasion
Privilege Escalation
Credential Access
Host Enumaration
Lateral Movement
Execution
6. 6 - Confidential @Lutech_TMS / @Lutechspa
CONTESTO
Oltre 1000 vulnerability scan al giorno
Oltre 500 tentativi di attacco al giorno
Traffico TOR in ingresso è ok per policy
Vulnerability Management difficoltoso
Attività di Reconnaissance
Assenza di IPS e NGFW, assenza di Web
Application Firewall, il cui deployment e
tuning sarebbe decisamente arduo rispetto
alla compatibilità applicativa
Contromisure
Decine di servizi enduser esposti
necessariamente per esigenze di
business
Superficie di Attacco
Massima esposizione dalla natura
intrinseca del tipo di business, quindi
dei dati trattati e dei relativi volumi
Esposizione
Ampia presenza di applicazioni legacy
esposte, scritte con controllo input
quasi nullo e controllo dei caricamenti
di allegati non implementati
Stato delle Applicazioni
Rilevare attacchi applicativi che violano l'input
in modo assolutamente preciso, considerato
che può bastare la violazione di un parametro
su varie decine, è complesso
Difficoltà del Rilevamento
7. 7 - Confidential @Lutech_TMS / @Lutechspa
SHIELDS UP!
Rilevamento
vulnerability
scan
On going
Exploitation via
SQLInjection
con uploda di
ASP webshell
Esposizione della
login page della
Webshell sul server
Shields Up!
5.55 AM
6.00 AM
6.03 AM
6.17 AM
Rilevamento di SQLInjection via
TOR per bypassare l'admin login sul
server e ottenere diritti di
amministratore
Azioni di Reconnaissance
Più di 1000 allarmi al
giorno di vulnerability
scan
Indicatori di compromissione
Individuazione del target
Osservazione & Kick-back
Analisi della minaccia & Incident
Response
Più di 500 tentativi di attacco per giorno fino alla
fase di delivery della kill chain
Traffico TOR in ingresso permesso per policyV
Validazione dell'input e dei caricamenti assente, no
WAF, stato di patching non adeguato e non noto
Difficile determinare i tentativi di exploitation di
vulnerabilità SQL andati a buon fine
8. 8 - Confidential @Lutech_TMS / @Lutechspa
SHIELDS UP!
Exploitation via
SQLInjection
con uploda di
ASP webshell
Esposizione della
login page della
Webshell sul server
Shields Up!
5.55 AM
6.00 AM
6.03 AM
6.17 AM
Rilevamento di SQLInjection via
TOR per bypassare l'admin login sul
server e ottenere diritti di
amministratore
Azioni di Reconnaissance
Più di 1000 allarmi al
giorno di vulnerability
scan
Indicatori di compromissione
Individuazione del target
Osservazione & Kick-back
Analisi della minaccia & Incident
Response
Più di 500 tentativi di attacco per giorno fino alla
fase di delivery della kill chain
Traffico TOR in ingresso permesso per policyV
Validazione dell'input e dei caricamenti assente, no
WAF, stato di patching non adeguato e non noto
Difficile determinare i tentativi di exploitation di
vulnerabilità SQL andati a buon fine
Rilevamento
vulnerability
scan
On going
9. 9 - Confidential @Lutech_TMS / @Lutechspa
SHIELDS UP!
Un server web espone la
login page della
WebShell ASPyper che
permette di tornare e
fruire dei servizi di shell
Attacker Operations
Utilizzo dell'interfaccia di
comando di ASPyder con
utilizzo del File Browser
che permette di navigare
nelle directory del server
Analysis & Response
Analisi della minaccia
per garantire la pulizia
del server attaccato
Individuazione del Target
Il server viene
immediatamente
individuato a partire
dalle informazioni
nell'evento
Osservazione & Kick-back
L'Attacker viene
monitorato per
raccogliere ulteriori
tracce e viene bloccata
ogni comunicazione
originata dalla
WebShell
Indicator of Compromise
10. 10 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
Simply identifying that an IPS blocked the
traffic doesn’t tell you why the bad traffic was
generated. Was it an email attachment?
Compromised website redirect?
- GCIH Advisory Board
˵
˶
11. 11 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
Mapping the attack through the kill chain […]
forces the analyst to understand the threat.
Getting the answer of where in the kill chain
did the IPS block this attack tells you if there was
a failure elsewhere in your security stack.
- GCIH Advisory Board
˵
˶
12. 12 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
Weaponization
Reconnaissance
Exploitation
ANALISI secondo la KILL CHAIN
Attack Time
> Command
& Control
Attack Time
> Exfiltration &
Maintenance
Persistance
Defense Evasion
Privilege Escalation
Credential Access
Host Enumaration
Lateral Movement
Execution
Attack Time
> Core Operations
Delivery
13. 13 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
Attack Time
> Command
& Control
Attack Time
> Exfiltration &
Maintenance
Persistance
Defense Evasion
Privilege Escalation
Credential Access
Host Enumaration
Lateral Movement
Execution
Attack Time
> Core Operations
14. 14 - Confidential @Lutech_TMS / @Lutechspa
Le 9 categorie di tattiche di ATT&CK
sono derivate dalle fasi finali dei 7
passaggi del Cyber Attack Lifecycle,
descritto per la prima volta da
Lockheed Martin come Cyber Kill
Chain®
ATT&CK si focalizza sui TTP che gli
Attacker usano per prendere
decisioni, estendere il proprio accesso
e raggiungere i propri obiettivi e
descrive i passi di un Attacker ad un
livello sufficiente alto ma con dettagli
tecnicamente utili
Adversarial Tactics, Techniques,
and Common Knowledge
(ATT&CK™) è un modello per
descrivere azioni di un Attacker
operante all'interno della rete.
Permette di caratterizzare e
descrivere in dettaglio i
comportamenti post-accesso
Permette di estendere il know-how
dei Defender e di assistere nella
prioritizzazione delle attività di
difesa dettagliando le TTP post-
exploit e installazione degli
strumenti attacco
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
CASI D'USO
MITRE
ATT&CK™
e LOCKHEED
MARTIN
CYBER KILL
CHAIN®
FOCUSDESCRIZIONE
15. 15 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
16. 16 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
17. 17 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
Il server web ospitante il sito www.portaletaldeitali.it …
1
ANALISI secondo la KILL CHAIN > ATTACK TIME
restituisce la pagina di login della WebShell denominata
"ASPyder"
2
Attack Time
> Command
& Control
Attack Time
> Exfiltration &
Maintenance
19. 19 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
20. 20 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
Il server web ospitante il sito www.portaletaldeitali.it …
1
restituisce la pagina di login della WebShell denominata
"ASPyder"
2
Attack Time
> Command
& Control
Attack Time
> Exfiltration &
Maintenance
Attack Time
> Core Operations
L’investigazione dell’incidente parte dal path
dove era stata caricata la WebShell.
Nello stesso path, durante il periodo di
osservazione, avevamo notato, oltre al file
.asp della WebShell, altri.pdf coerenti col sito
3
22. 22 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
Il server web ospitante il sito www.portaletaldeitali.it …
1
restituisce la pagina di login della WebShell denominata
"ASPyder"
2
Attack Time
> Command
& Control
Attack Time
> Exfiltration &
Maintenance
Attack Time
> Core Operations
Capito che il caricamento dei file era
possibile SOLAMENTE dall’amministratore
del sito e che il pulsante di upload veniva
messo a disposizione solamente se
autenticati con le credenziali amministrative,
l’analisi si è concentrata sulla pagina di login
del sito web, che potrebbe aver subito un
bruteforce o un authentication bypass
L’investigazione dell’incidente parte dal path
dove era stata caricata la WebShell.
Nello stesso path, durante il periodo di
osservazione, avevamo notato, oltre al file
.asp della WebShell, altri.pdf coerenti col sito
3
4
23. 23 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
24. 24 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
Incrociando i log del webserver nell’intorno dell'evento di
rilevamento della WebShell e filtrandoli rispetto al path della
pagina di login, è possibile notare che la pagina viene
contattata da alcuni indirizzi IP appartenenti alla rete TOR,
tuttavia, la quantità di richieste, non è compatibile con un
attività di bruteforce.
Le indagini si sono concentrate quindi sulla seconda
possibilità, l’authentication bypass, e dopo aver eseguito
alcuni test sui campi username e password siamo riusciti a
trovare una SQLInjection che bypassa il form di login dando
così la possibilità di uploadare file sul sito web
5
Il server web ospitante il sito www.portaletaldeitali.it …
1
restituisce la pagina di login della WebShell denominata
"ASPyder"
2
Attack Time
> Command
& Control
Attack Time
> Exfiltration &
Maintenance
Attack Time
> Core Operations
Exploitation
Capito che il caricamento dei file era
possibile SOLAMENTE dall’amministratore
del sito e che il pulsante di upload veniva
messo a disposizione solamente se
autenticati con le credenziali amministrative,
l’analisi si è concentrata sulla pagina di login
del sito web, che potrebbe aver subito un
bruteforce o un authentication bypass
L’investigazione dell’incidente parte dal path
dove era stata caricata la WebShell.
Nello stesso path, durante il periodo di
osservazione, avevamo notato, oltre al file
.asp della WebShell, altri.pdf coerenti col sito
3
4
Delivery
26. 26 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN > ATTACK TIME
27. 27 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN
Incrociando i log del webserver nell’intorno dell'evento di
rilevamento della WebShell e filtrandoli rispetto al path della
pagina di login, è possibile notare che la pagina viene
contattata da alcuni indirizzi IP appartenenti alla rete TOR,
tuttavia, la quantità di richieste, non è compatibile con un
attività di bruteforce.
Le indagini si sono concentrate quindi sulla seconda
possibilità, l’authentication bypass, e dopo aver eseguito
alcuni test sui campi username e password siamo riusciti a
trovare una SQLInjection che bypassa il form di login dando
così la possibilità di uploadare file sul sito web
5
Il server web ospitante il sito www.portaletaldeitali.it …
1
restituisce la pagina di login della WebShell denominata
"ASPyder"
2
Attack Time
> Command
& Control
Attack Time
> Exfiltration &
Maintenance
Attack Time
> Core Operations
Delivery
Exploitation
Weaponization
Capito che il caricamento dei file era
possibile SOLAMENTE dall’amministratore
del sito e che il pulsante di upload veniva
messo a disposizione solamente se
autenticati con le credenziali amministrative,
l’analisi si è concentrata sulla pagina di login
del sito web, che potrebbe aver subito un
bruteforce o un authentication bypass
L’investigazione dell’incidente parte dal path
dove era stata caricata la WebShell.
Nello stesso path, durante il periodo di
osservazione, avevamo notato, oltre al file
.asp della WebShell, altri.pdf coerenti col sito
3
4
La WebShell "ASPyder" è disponibile su
https://github.com/tennc/webshell/blob/master/w
eb-malware-collection-13-06-
2012/ASP/aspydrv.asp
6
29. 29 - Confidential @Lutech_TMS / @Lutechspa
ANALISI e RISPOSTA
ANALISI secondo la KILL CHAIN
Nei log si rileva un alto numero di
richieste HTTP GET e POST provenienti da rete
TOR. I payload evidenziano che l'Attacker ha
utilizzato tool di Vulnerability Scan
7
Incrociando i log del webserver nell’intorno dell'evento di
rilevamento della WebShell e filtrandoli rispetto al path della
pagina di login, è possibile notare che la pagina viene
contattata da alcuni indirizzi IP appartenenti alla rete TOR,
tuttavia, la quantità di richieste, non è compatibile con un
attività di bruteforce.
Le indagini si sono concentrate quindi sulla seconda
possibilità, l’authentication bypass, e dopo aver eseguito
alcuni test sui campi username e password siamo riusciti a
trovare una SQLInjection che bypassa il form di login dando
così la possibilità di uploadare file sul sito web
5
Capito che il caricamento dei file era
possibile SOLAMENTE dall’amministratore
del sito e che il pulsante di upload veniva
messo a disposizione solamente se
autenticati con le credenziali amministrative,
l’analisi si è concentrata sulla pagina di login
del sito web, che potrebbe aver subito un
bruteforce o un authentication bypass
L’investigazione dell’incidente parte dal path
dove era stata caricata la WebShell.
Nello stesso path, durante il periodo di
osservazione, avevamo notato, oltre al file
.asp della WebShell, altri.pdf coerenti col sito
3
Il server web ospitante il sito www.portaletaldeitali.it …
1
restituisce la pagina di login della WebShell denominata
"ASPyder"
2
Attack Time
> Command
& Control
Attack Time
> Exfiltration &
Maintenance
Attack Time
> Core Operations
4
Delivery
Exploitation
La WebShell "ASPyder" è disponibile su
https://github.com/tennc/webshell/blob/master/w
eb-malware-collection-13-06-
2012/ASP/aspydrv.asp
6
Weaponization
Reconnaissance
31. 31 - Confidential @Lutech_TMS / @Lutechspa
Rilevamento
vulnerability
scan
On going
Exploitation via
SQLInjection
con uploda di
ASP webshell
Esposizione della
login page della
Webshell sul server
5.55 AM
6.00 AM
6.03 AM
6.17 AM
Rilevamento di SQLInjection via
TOR per bypassare l'admin login sul
server e ottenere diritti di
amministratore
Azioni di Reconnaissance
Più di 1000 allarmi al
giorno di vulnerability
scan
Più di 500 tentativi di attacco per giorno fino alla
fase di delivery della kill chain
Traffico TOR in ingresso permesso per policyV
Validazione dell'input e dei caricamenti assente, no
WAF, stato di patching non adeguato e non noto
Difficile determinare i tentativi di exploitation di
vulnerabilità SQL andati a buon fine
Shields Up!
Indicatori di compromissione
Individuazione del target
Osservazione & Kick-back
Analisi della minaccia & Incident
Response
ANALISI e RISPOSTA
QUADRO di SINTESI
32. 32 - Confidential @Lutech_TMS / @Lutechspa
With the understanding of root cause you can
then apply policies in your security stack or
identify gaps. Its starts a positive feedback
loop where you eliminate the mundane events
and dive into deeper more complex security
threats
- GCIH Advisory Board
˵
˶
ANALISI e RISPOSTA
LESSON LEARNED
33. f.faenzi@lutech.it
@francescofaenzi
GRAZIE! @Lutechspa
@Lutech_TMS
www.lutech.it
wwww.lutech.co.uk
solutioncenter.lutech.it
info@lutech.it
Via Milano 150,
20093 Cologno Monzese [MI]
+39 02 25427011 Phone
+39 02 25427090 Fax
HEADQUARTER
TECHNICAL
DEPARTMENT
Via W.A. Mozart, 47
20093 Cologno Monzese [MI]
ROME
OFFICE
Other OFFICES in
Italy
Milano, Modena, Firenze, Roma,
Pomezia, Napoli, Bari, Catania
Via A. Mantegna, 4 | P
arco Leonardo
00054 Fiumicino [RM]
+39 06 227501 Phone
+39 06 22771542 Fax
Nucleus Innovation Centre
Brunel Way, Dartford, Kent DA1
5GA
United Kingdom
+44 208 181 4321 Phone
LUTECH UK