Centro Assistenza ACSIA

Ricerca

Gestione della Cyber Threat intelligence

Federico Trotta
Federico Trotta
  • Aggiornato

Panoramica

Questo articolo spiega come gestire la sezione Cyber ​​Threat Intelligence (CTI) di ACSIA CRA.

Introduzione

Attualmente, i dati della sezione CTI si riferiscono solo agli asset di tipo dominio. In particolare, a quelli aggiunti manualmente.

La sezione CTI è attualmente gestita come modulo separato attivabile a seconda del proprio abbonamento. Se il modulo CTI è attivo, puoi accedervi dalla barra laterale sinistra:


left side bar ACSIA CRA by Federico Trotta

Come gestire il modulo CTI

Per valutare la situazione della CTI della tua azienda, vai nella tua company e clicca su "Domain":

Overview of the dashboard of ACSIA CRA by Federico Trotta

Puoi vedere se ci sono assets con uno score basso:

Overview of the assets of a company in ACSIA CRA by Federico Trotta

 

Clicca su "Go to asset" per visualizzare un particolare asset con score basso:

A poor score asset in ACSIA CRA by Federico Trotta

 

Quindi, il motivo per cui questo asset ha uno score basso è la CTI.

Clicca su "Go to CTI module" per visualizzare i dettagli. Ecco cosa vedrai:

Overview of the CTI module in ACSIA CRA by Federico Trotta

 

Scendendo in basso nella pagina, potrai vedere solo risultati parziali della CTI. Per vedere i dettagli completi, clicca su "Request" e compila il modulo oi tuoi dati.

Registriamo le seguenti informazioni sul nostr database:
  • L'utente che si è loggato durante la sessione.
  • Il nome del DPO.
  • La mail del DPO.
Il DPO riceverà una mail di conferma in cui gli verrà chiesto di cliccare su un link per confermare la richiesta. La conferma del DPO consente a tutti gli utenti di un'azienda di vedere i dati CTI ad essa relativi.
Tieni da parte questa email perché contiene anche il link per revocare i tuoi privilegi, qualora tu ne abbia bisogno in futuro.
Se non trovi più questa mail, puoi richiedere la revoca dei tuoi privilegi cliccando su "Revoke":
Revoking DPO privileges in ACSIA CRA by Federico Trotta

Adesso hai l'accesso completo ai dati della CTI.

 

Botnets e leaks

I dati che troverai nella sezione della CTI sono vecchi al massimo di 3 anni.

Presentiamo i dati come:

  • Un grafico a bolle che mostra il numero di leaks and botnets nel tempo.
  • Leaks and botnets details, dove troverai i dettagli dei dati.

 

Grafico a bolle

Ecco come appare il grafico a bolle:

Leaks and botnets bubble chart in ACSIA CRA by Federico Trotta

 

Più è grande il raggio delle bolle, maggiore è il numero di leaks o botnets che ACSIA CRA ha riscontrato in una particolare data.

 

Leaks and botnets details

Questa sezione mostra passwords (3), email (1) e il nome del file (2) contenenti i data leaks :

Leaked data in ACSIA CRA by Federico Trotta

 

I dati sono univoci per email, password e data. Ciò significa che può verificarsi un data leak per un utente con la stessa email, password e nella stessa data, ma questo data leak può apparire in più di un file. In questo caso ACSIA CRA ti presenta una sola riga con il nome di tutti file dove sono stati trovati i dati.

In caso di leak con la stessa email ma con password o data diversa, ACSIA CRA fornirà righe diverse in questa sezione.

 

I dati possono essere filtrati per

  • Domain (se ce n'è più di uno).
  • Status (acknowledged o to check).
  • Category (leak o botnet).

Filtering leaks and botnets in ACSIA CRA by Federico Trotta

 

I Leaks e ibotnets possono essere esportati in un CSV  semplice o protetto da password:

Exporting leaks and botnets in ACSIA CRA by Federico Trotta

 

Questa sezione fornisce anche i seguenti riepiloghi:

  • Number of leaks and botnets per period (Il numero di leaks e botnets divisi per periodo di tempo).
  • The top 5 users leaked (i 5 utenti che hanno subito più leaks).

Come settare "acknowledged" i leaks o i botnets

La sezione CTI consente di settare su "Acknowledge" i dati che ti presenta come botnets or leaks. Se lo fai, ciò significa che hai verificato che un determinato utente stava utilizzando l'e-mail e la password trovate in un data leak e ha cambiato la password.

 

Hai quattro opzioni per settare "Acknowledged" un botnet o un leak:

Acknowledging leaks and botnets in ACSIA CRA by Federico Trotta

  • This row. Questa è la riga particolare che hai selezionato. Se fai clic su questo, setterai come "acknowledged" solo questa riga.
  • This user with this password. Se clicchi questo, setterai come "acknowledged" tutti i leaks trovati associati a quell'utente ed a quella password.
  • This user up to this date. Se clicchi questo, setterai come "acknowledged" un particolare utente fino alla data in cui stai facendo questa l'operazione.
  • This user does not exist. Se clicchi questo, setterai come "acknowledged" che questo utente non esiste più (potrebbe essere il caso, per esempio, di un account disattivato). Quindi, se questo utente verrà individuato in futuri leaks, verrà automaticamente segnato come "acknowledged". 

Puoi anche settare come "acknowledged" diversi leaks in modo massivo facendo il check di tutte le righe (1) e clickando su "Bulk edit" (2):

Acknowledging leaks and botnets in ACSIA CRA by Federico Trotta

Acknowledging leaks and botnets in ACSIA CRA by Federico Trotta

Il punteggio dell'asset cambia in pochi minuti dopo che ogni leack è stato settato come "acknowledged". Il punteggio totale della company, invece, cambierà dopo poco tempo.
Inoltre, considera che anche se setti come "acknowledged" tutti i leaks e i botnets il punteggio dell'asset non tornerà a 100. Diventerà "good" o "excellent" ma non sarà 100 perché alcuni dati hanno comunque subito un leak che tu hai sistemato, ma non possiamo comunque darti 100 come punteggio.

 

Quando i leaks o i botnets settati come "acknowledged", diventano punti blu nel diagramma a bolle.

 

Se setti per sbaglio come "acknowledged" un asset, clicca su "Go to manage acknowledged":

Managing acknowledged leaks and botnets in ACSIA CRA by Federico Trotta

 

Seleziona i leak e clicca su "Unacknowledged":

Unacknowledging leaks and botnets in ACSIA CRA by Federico Trotta

 

Più leaks possono essere settati come "acknowledged" utilizzando il "Bulk edit", esattamente come visto prima.