ANTI-PHISHING Managed Security Service
Communication Valley Communication Valley S.p.A. è un Managed Service Provider specializzato nella gestione della sicurezza di reti complesse. Le soluzioni i offerte si applicano alle reti dati e voce, in tutte le loro modalità: wireless e wired, tradizionali e VoIP. Il portafoglio comprende attività di security assessment, gestione di apparati di sicurezza, monitoraggio i in tempo reale, contrasto t alle frodi. Communication Valley vanta un Security Operations Center presidiato 24x7 da specialisti di sicurezza 2
Cos è il phishing? Il phishing è una frode on-line ideata per sottrarre con l inganno numeri di carte di credito, password, informazioni personali e sensibili. Attuato generalmente tramite posta elettronica si basa sull invio da parte di un utente malintenzionato di e-mail che sembrano provenire da siti web autentici o noti i quali richiedono o all utente e l inserimento dei propri dati personali. Esempio di email esca, mascherata come comunicazione ufficiale da una (fittizia) banca. 3
Servizio anti-phishing - Lo scenario Phishing: tecnica di ingegneria sociale che mira ad ottenere in maniera fraudolenta informazioni personali utili ad impersonare o frodare un utente ad esempio relative al conto bancario o alla carta di credito Lotta al phishing: la rilevazione delle esche inviate agli utenti e il blocco tempestivo dei siti utilizzati per raccogliere informazioni i i personali Cosa deve essere fatto Come Raccolta eventi Strumenti sempre aggiornati rispetto alle tecniche Analisi incidenti correnti Risposta e shutdown Risorse competenti nell analisi degli incidenti e disponibili H24 Analisi forense Processi flessibili per adattarsi alle specifiche esigenze Report del cliente e per rispondere ad ogni incidente nella maniera appropriata 4
L ambito delle attività Communication Valley traduce l esigenza di difendere l identità degli utenti in una serie di strumenti specializzati e nel supporto 24x7 degli specialisti del suo SOC (Security Operations Center) Il servizio di CV è interamente erogato tramite persone e strumenti del proprio SOC, quindi è garantita la totale flessibilità rispetto alle esigenze dei clienti Come tutti i servizi SOC di CV i processi sono definiti in maniera trasparente e customizzata per il cliente, e sono garantiti da misure e SLA Communication Valley supporta tramite i suoi specialisti i principali gruppi bancari italiani nella lotta al phishing Sintesi Statistiche Dettaglio 5
Benefici del servizio di Communication Valley Rilevazione degli incidenti Communication Valley sfrutta una vasta gamma di strumenti atti ad identificare nel più breve tempo possibile gli incidenti di phishing Caselle civetta Segnalazioni del cliente e dei suoi utenti Offsite image monitoring Backscatter analysis Call-home scripts Intelligence da siti specializzati Analisi preventiva delle registrazioni di dominio Analisi degli incidenti Un presupposto irrinunciabile del processo di mitigazione degli incidenti è l analisi del tipo di architettura dell attacco in corso; senza questa analisi non è possibile scegliere la risposta corretta. CV identifica e gestisce incidenti di tutti i tipi: Phishing tradizionale Dynamic IP (dyndns, dynip) Fast-flux Rock phish quelli che verranno 6
Benefici del servizio di Communication Valley Risposta e shutdown L incidente confermato viene gestito intervenendo presso tutte le entità che possono contribuire al contrasto dell episodio specifico ISP Domain registrar Domain registrant TLD authority DNS authority Inoltre, oltre alla chiusura del sito vengono poste in atto tutte le misure utili a mitigare la possibilità che le credenziali vengano sottratte ed a raccogliere prove. Inserimento di credenziali civetta Diluizione delle credenziali Blocco degli account dei clienti Segnalazione dell incidente alle entità che collaborano alla disabilitazione di siti/url (Microsoft, Google, Firefox, PhishTank, CastleCops, APWG, ) Analisi forense L analisi dell incidente si conclude parallelamente alla procedura di chiusura del sito o dei siti, con la raccolta di tutte le evidenze utili ad identificare, registrare e misurare l impatto Report Tutte le azioni intraprese, i relativi tempi e le misure necessarie a garantire l aderenza allo SLA vengono pubblicate sul portale servizi e raccolte periodicamente in report inviati al cliente 7
8 Il processo principale
9 L analisi
10 Lo shutdown
11 Dettaglio shutdown: Prima segnalazione
12 Dettaglio chiusura: segnalazioni successive
Anti-phishing Service Prerequisiti I prerequisiti necessari per l avvio del servizio sono quelli relativi alla registrazione dei siti e dei marchi da monitorare, ovvero: elenco dei nomi di dominio ed accesso agli stessi presso il Service Provider al fine di attività di monitoraggio (elenco comprensivo di informazioni su chi contattare nella struttura del Service Provider); variazioni ed errori di tipografia tipici per identificare usi sospetti dei nomi di dominio; pagine soggette a copyright: elenco e contenuti (utilizzate dagli analisti del SOC per verificare la violazione di copyright del Cliente); Informazioni dettagliate sui siti aziendali, URL della società, URL dei servizi Home Banking, etc.; Phish Mail Address: Communication Valley provvederà a creare un indirizzo email dedicato al Cliente da utilizzare per la segnalazione di sospetti attacchi sia da parte di personale e clienti della banca; Data Feed: nel caso il Cliente intenda sottoporre altre fonti di dati, oltre alle suddette email individuali, allo scopo di alimentare il sistema di individuazione frodi online di Communication Valley, il processo e la tecnologia da utilizzare devono essere preventivamente concordati; elenco dei numeri di conto corrente fittizi (dummy account), quest opzione si rende necessaria solo nel caso in cui il Cliente scelga di dedicare alcuni account fittizi a Communication Valley da utilizzarsi per il tracciamento e la raccolta di prove contro gli attaccanti; elenco generale di contatti presso il Cliente (al di fuori dalle policy di risposta) elenco di contatti come da policy di risposta, dettagliate in sede d offerta. 13
Contatti www.reply.eu py info@reply.it 14