Cerca e trova immobili

ATED ICT TICINOAmbasciatori del Ticino al Cloudia CyberSec Day alla Normale di Pisa

06.11.18 - 06:00
La manifestazione ha trattato diversi argomenti dedicati al Cyber Risk, spaziando dalla Cyber Security, al GDPR, alle contromisure tecnologiche di sicurezza di nuova generazione
Ambasciatori del Ticino al Cloudia CyberSec Day alla Normale di Pisa

NEWSBLOG
Rubriche argomentali a pagamento curate da aziende e inserzionisti esterni

La manifestazione ha trattato diversi argomenti dedicati al Cyber Risk, spaziando dalla Cyber Security, al GDPR, alle contromisure tecnologiche di sicurezza di nuova generazione

Il nostro associato Security Lab ha partecipato al CyberSec Day che si è tenuto a Pisa il 25 Ottobre 2018, nella sala Azzurra della prestigiosa Scuola Normale Superiore di Pisa, portando competenza di Cyber Security Ticinese nella cornice del rinomato ateneo da dove uscì Enrico Fermi e tutt’ora fucina di talenti.

IL NOSTRO CONTRIBUTO

La manifestazione ha trattato diversi argomenti dedicati al Cyber Risk, spaziando dalla Cyber Security, al GDPR, alle contromisure tecnologiche di sicurezza di nuova generazione.

Nella sala gremita da circa 100 persone il primo intervento è quello di Security Lab, con due membri del team Cyber Security che hanno trattato per circa due ore il tema della Human Vulnerability, includendo un Hacking Lab dal vivo.

l’intervento si focalizza sulla Cyber Security, e nello specifico sugli audit di sicurezza e le varie tipologie di Penetration Test, per arrivare a concentrarsi sul tema centrale dell’intervento: misurare la vulnerabilità umana.

Le persone rappresentano infatti l’anello debole della catena di sicurezza di un azienda.

Le infrastrutture informatiche non sono costituite solo da server, software e postazioni di lavoro, ma anche dalle persone che utilizzano queste tecnologie, allargano infatti la superficie di attacco in modo considerevole.

ESEMPI REALI E SOLUZIONI

Viene quindi presentato un case study reale anonimizzando un recente progetto svolto per conto di una public utility, mostrando come definire, pianificare e realizzare una campagna di fake phishing, finalizzata alla raccolta delle credenziali degli utenti che, in questo caso rappresentavano una parte della popolazione aziendale (circa 150 persone in target).

Nella parte pratica, il team ha ripercorso le modalità di preparazione, pianificazione ed esecuzione della campagna di fake phishing, dal confezionamento dei vari artefatti (fake email, web site clone e domini simili), alla preparazione degli strumenti che si utilizzano per l’esecuzione della campagna e per la raccolta e presentazione dei risultati.

Le percentuali sono inquietanti, il 67% degli utenti hanno fornito le proprie credenziali senza insospettirsi e molti di loro hanno anche tentato di scaricare un allegato (innoquo) proposto nel varie fasi di della campagna!

Si è passati quindi a mostrare ed eseguire in real time le tecniche per costruire dei software malevoli, e come renderli invisibili agli antivirus attraverso tecniche avanzate di evasione attraverso encoding multipli, mostrando la reazione o indifferenza dei sistemi di difesa prima e dopo l’encoding.

Ma non ci è fatti mancare nulla! Si prosegue a mostrare le tecniche di privilage escalation che consentono di prendere il controllo totale della postazione dell’utente e il controllo del dominio aziendale.

E se non fosse stato sufficiente, si è concluso con un attacco APT, un Advanced Persistent Threat, che può consentire al malintenzionato di mantenere il controllo della postazione nel tempo.

IL PROSSIMO APPUNTAMENTO

L’argomento verrà ripreso ed espanso in un prossimo evento dedicato all’argomento a Lugano, ed organizzato da ATED ICT-Ticino, dove verranno anche presentati i corsi di Security Awareness, per l’introduzione di una cultura sulla sicurezza informatica in azienda, e verrà anche mostrato il nuovissimo corso sull’argomento in modalità e-learning!

Rafforza l’anello debole della catena!

Stay tuned, verifica sempre il ricco calendario di eventi della associazione.


Questo articolo è stato realizzato da ated - Associazione Ticinese Evoluzione Digitale, non fa parte del contenuto redazionale.
POTREBBE INTERESSARTI ANCHE