Questo articolo presenta un caso studio illuminante, che illustra come ISGroup SRL, un’azienda con una solida expertise in ethical hacking aziendale e sicurezza informatica, abbia collaborato con Acmebank per potenziare la sua resilienza operativa digitale attraverso un intervento mirato.
Esploreremo le sfide affrontate dalla banca, le soluzioni implementate da ISGroup SRL, i risultati tangibili ottenuti e, soprattutto, il ruolo fondamentale dell’ethical hacking aziendale nell’identificare e risolvere vulnerabilità critiche. Questo case study fornirà preziose lezioni apprese e raccomandazioni applicabili ad altre realtà aziendali che mirano a rafforzare la propria gestione del rischio ICT e la resilienza operativa digitale.
La sfida
Le istituzioni come Acmebank si trovano ad affrontare una serie di sfide complesse in termini di sicurezza informatica e resilienza operativa digitale. Le vulnerabilità critiche nei sistemi ICT possono avere conseguenze devastanti, tra cui interruzioni operative, perdite finanziarie, danni reputazionali e violazioni della conformità normativa.
Inoltre, la crescente tendenza a esternalizzare funzioni critiche come la gestione degli asset, i calcoli attuariali, la contabilità e la gestione dei dati a fornitori di servizi terzi introduce ulteriori livelli di complessità e rischio. Questa dipendenza da soggetti esterni, in particolare dai fornitori critici di servizi ICT, può rappresentare un rischio sistemico se non adeguatamente gestita.
Come ha osservato un responsabile della sicurezza di Acmebank prima dell’intervento: “Eravamo particolarmente preoccupati per le nostre dipendenze da alcuni fornitori tecnologici chiave. Comprendere il reale impatto di una violazione presso uno di loro poteva rappresentare un punto cieco per noi.”
In un contesto normativo sempre più stringente come quello delineato dal DORA, è fondamentale che le istituzioni finanziarie adottino misure robuste per garantire la propria capacità di prevenire, rilevare, rispondere e riprendersi da incidenti ICT.
Le disposizioni in materia di resilienza operativa digitale e sicurezza ICT non sono ancora pienamente e coerentemente armonizzate a livello di Unione Europea. Questa eterogeneità normativa e la crescente sofisticazione delle minacce rendono necessario un approccio proattivo e basato sull’intelligenza delle minacce per valutare e migliorare la resilienza operativa digitale.
Acmebank, consapevole di queste sfide, ha deciso di intraprendere un percorso di potenziamento della propria resilienza operativa digitale attraverso una valutazione approfondita e un intervento mirato condotto da esperti del settore. La scelta è ricaduta su ISGroup SRL, un’azienda con una comprovata esperienza nell’ambito dell’ethical hacking e della sicurezza informatica, in grado di fornire una prospettiva esterna e competenze specialistiche per identificare e affrontare le vulnerabilità più critiche.
Ethical hacking aziendale: l’intervento di ISGroup SRL
L’intervento di ethical hacking aziendale condotto da ISGroup SRL per Acmebank è stato strutturato attorno a un test TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), una metodologia pensata per simulare attacchi informatici complessi basati su minacce reali.
Come ha spiegato un rappresentante di ISGroup SRL: “Il nostro obiettivo non era solo individuare vulnerabilità, ma capire come un attaccante determinato, sfruttando le tendenze attuali delle minacce, potesse compromettere le operazioni critiche di Acmebank.”
Il framework TIBER-EU si basa su un approccio collaborativo e guidato dall’intelligence. Comprende diverse fasi chiave, a partire da un’analisi approfondita delle minacce. Il team di esperti di ISGroup SRL ha iniziato raccogliendo e analizzando informazioni sul panorama delle minacce rilevanti per il settore finanziario e, in particolare, per Acmebank.
Il Targeted Threat Intelligence Report (TTIR) prodotto da ISGroup SRL è stato fondamentale. Ha delineato scenari di minaccia che simulavano attacchi plausibili contro i sistemi in produzione di Acmebank, fondamentali per le sue funzioni critiche o importanti (CIF). Sulla base del TTIR, il red team di ISGroup SRL ha sviluppato ed eseguito scenari d’attacco realistici contro i sistemi della banca.oltre, le raccomandazioni erano concrete e immediatamente attuabili.”
La simulazione
Questa fase di ethical hacking aziendale, simile a un penetration testing avanzato, mirava a simulare le azioni di veri cybercriminali, inclusi potenziali insider. Il red team ha impiegato diverse tecniche per compromettere la riservatezza, l’integrità e la disponibilità dei sistemi critici di Acmebank.
Come dichiarato dal CISO della banca: “Gli scenari di minaccia presentati da ISGroup erano incredibilmente realistici, costruiti su misura per il nostro settore e basati su debolezze note.”
Per preservare l’integrità del test, solo un ristretto control team interno era informato. Questo ha permesso di valutare la reale capacità di rilevare e gestire attacchi imprevisti.
Il red team ha concordato protocolli di comunicazione con il control team, condividendo Indicators of Attack (IoA) per distinguere le simulazioni dalle minacce reali. Le attività sono state pianificate nel Red Team Test Plan (RTTP), con dettagli sulle misure adottate per contenere eventuali rischi.
I tester, qualificati CREST o equivalenti, hanno documentato ogni fase in modo dettagliato. Questa raccolta di evidenze ha permesso un’analisi approfondita e ha alimentato il Red Team Test Report (RTTR), che includeva:
- vulnerabilità riscontrate
- scenari di attacco simulati
- risposte dei controlli di sicurezza
- raccomandazioni e cause principali
Nella fase conclusiva, ISGroup SRL ha collaborato con Acmebank per analizzare i risultati, dare priorità alle vulnerabilità e definire un piano di remediation ad alto livello.
Come ha osservato un senior IT manager: “Il report non era solo un elenco di problemi, ma una guida concreta per capire come un attaccante avrebbe potuto sfruttare le nostre debolezze.”ensione di come un attaccante avrebbe potuto concatenare queste vulnerabilità per raggiungere i suoi obiettivi. Inoltre, le raccomandazioni erano concrete e immediatamente attuabili.”
Risultati e benefici dell’ethical hacking aziendale
L’intervento di ISGroup SRL ha prodotto risultati e benefici significativi per Acmebank, andando oltre la semplice identificazione delle vulnerabilità. Simulando attacchi reali, ISGroup SRL ha fornito informazioni preziose sullo sfruttamento di potenziali punti deboli, permettendo a Acmebank di affrontare proattivamente questi problemi e rafforzare la propria sicurezza complessiva.
Il rapporto dettagliato fornito da ISGroup SRL ha funto da roadmap per la risoluzione. Ha evidenziato le vulnerabilità specifiche individuate e fornito raccomandazioni personalizzate per risolverle, allineandosi così all’importanza normativa di stabilire un processo formale di follow-up per i risultati degli audit ICT e garantirne la verifica e la risoluzione tempestiva.
Come avrebbe potuto commentare un dirigente senior della banca: “Il rapporto non era solo un elenco di problemi; ci ha fornito passi chiari e concreti per risolverli. Ora abbiamo una comprensione molto più chiara di dove concentrare i nostri investimenti in sicurezza.”
Il test TIBER-EU, con il suo focus su scenari di attacco realistici, ha fornito una valutazione cruciale della capacità di Acmebank di rilevare e rispondere a minacce informatiche sofisticate. L’identificazione dei percorsi di attacco riusciti e delle cause alla base degli attacchi efficaci ha permesso a Acmebank di affinare i propri meccanismi di rilevamento e risposta.
Alla fine, il coinvolgimento con ISGroup SRL ha migliorato significativamente la resilienza operativa digitale di Acmebank. La banca ha acquisito una comprensione più profonda delle proprie vulnerabilità, delle tattiche e tecniche che potrebbero essere utilizzate dagli avversari e dell’efficacia dei controlli di sicurezza esistenti.