1. Panoramica
In questo articolo, vedremo come accedere e utilizzare la piattaforma Acsia CRA che è una piattaforma di valutazione del rischio informatico di 4Securitas.
ACSIA CRA esegue numerosi controlli passivi per valutare l'esposizione della tua azienda su internet. In altre parole, valuta la debolezza o la forza della tua infrastruttura contro un attacco informatico, effettuando numerosi test passivi: ciò significa che non simulerà un attacco informatico contro la tua infrastruttura.
In parole semplici: ACSIA CRA raccoglie alcuni dati e metriche dalla tua infrastruttura; li elabora e indica se la tua infrastruttura è debole o forte ad un attacco informatico.
2. Come fare il log in
Per accedere alla piattaforma, si deve richiedere al team di supporto ACSIA CRA una user name e una password.
Dopodiché, puoi accedere qui.
3.Comprensione base della piattaforma
Puoi vedere alcune informazioni facendo clic su "Overview" (1).
Ad esempio, nel rettangolo rosso in alto a sinistra (2) dello schermo, puoi vedere le informazioni della tua azienda. In alto a destra dello schermo (3), invece, puoi vedere la valutazione che ti è stata assegnata dalla CRA per la tua esposizione su internet.
Inoltre, puoi vedere che ACSIA CRA ha trovato:
- 114 Assets, ma solo il 78% è stato analizzato. Ciò accade perché i tuoi assets possono fare riferimento a servizi come Amazon Web Services (AWS) o simili: in questo caso, la nostra scansione non va oltre. Inoltre per Assets, indichiamo gli elementi che sono valutabili da un punto di vista della sicurezza informatica, che sono esposti e che costituiscono la superficie di attacco di un'organizzazione.
- 59 hosts. Per host, intendiamo qualsiasi informazione presente in un DNS di un dominio registrato dall'organizzazione che in genere identifica un indirizzo IP interno o esterno.
- 15 networks. Per networks, intendiamo un insieme di IPv4 o IPv6 annunciati come un singolo blocco in BGP, la rete minima annunciata è un IPv4 /24 (256 IP) e IPv6 /48 (65536 IP).
- 4 AS. Per AS, we mean Autonomous System: un insieme di reti IPv4 o IPv6, identificate da un numero assegnato tramite IANA dai registri internet regionali che identificano un provider interno e una politica di routing.
- 3 Domains. Per Domain, intendiamo il Dominio Internet registrato dall'organizzazione su un dominio di alto livello (es. .com/.net/.it/.eu).
- 14 IPs. Per IP, intendiamo l'Indirizzo Internet IPv4 o IPv6 collegato all'asset di un'organizzazione.
- 16 Websites. Per Websites, intendiamo qualsiasi host che espone qualsiasi cosa su Internet e che risponde alla porte 80 (HTTP) e 443 (HTTPS).
- 2 Emails. Per Email, intendiamo qualsiasi server di posta o un servizio di posta elettronica in genere collegato a un dominio che fornisce servizi di e-mail in entrata.
- 1 DNS. Per DNS, intendiamo un server di nomi di dominio, un servizio configurato per rispondere a un dominio internet registrato dall'organizzazione in cui vengono effettuate voci che identificano le risorse accessibili tramite un nome mnemonico collegato al dominio collegato.
Scorrendo verso il basso, possiamo vedere un grafico radar come il seguente:
Qui possiamo vedere:
- A sinistra, c'è il diagramma a radar che mostra come è distribuito l'indice di rischio, tra tutte le attività. Ad esempio, possiamo vedere che il sito Web e il dominio hanno la massima esposizione. DNS ed e-mail, invece, hanno la minima esposizione.
- A destra, possiamo vedere l'andamento dell'indice di rischio nel corso del tempo, a partire dal momento in cui hai acquistato la tua licenza.
L'indice di rischio può essere letto come segue:
Questo significa che:
- un asset con un indice di rischio 0-30 richiede un'azione immediata.
- un asset con un indice di rischio 90-100 non richiede azioni.
L'indice di rischio varia ad ogni scansione. ACSIA CRA esegue regolarmente la scansione della tua infrastruttura, a seconda del tuo abbonamento, ma puoi anche effettuare dei ricontrolli manuali.
Se scorriamo verso il basso, possiamo vedere ulteriori dettagli sull'esposizione al rischio:
Ad esempio, il grafico di cui sopra mostra che l'attività soggetta alla massima esposizione del rischio è il sito Web perché ha un'ampia banda rossa (e questo ci dice che abbiamo una fascia di attacco più ampia).
Se scorriamo verso il basso, possiamo vedere le dipendenze dei vari asset; significa che possiamo capire come le attività siano correlate tra di loro:
Infine, è possibile visualizzare tutti i dettagli relativi agli asset. Per farlo, puoi seguire la guida dedicata alla gestione degli assets.
4. Manuale degli eventi e delle notifiche
A partire dalla versione 23.06.001, abbiamo implementato un nuovo sistema di notifica che ti consente di rimanere aggiornato sui problemi di sicurezza all'interno delle tue aziende. Il sistema è composto da due parti: la configurazione delle notifiche e il tuo feed.
Vediamoli entrambi.
4.1 Configurazione delle notifiche
La configurazione del sistema di notifica della piattaforma consente di impostare i canali di notifica
e gli argomenti (topics).
Topics
I topics rappresentano gli argomenti per i quali l'utente desidera ricevere notifiche. Come impostazione predefinita, l'utente è abbonato agli argomenti "Platform News" e "World News", nonché a eventuali abbonamenti che hanno diritti di accesso di tipo tecnico. Ciascuno di questi topic può essere abilitato o disabilitato e, se abilitato, è possibile impostare il livello di gravità desiderato per la ricezione delle notifiche.
I livelli di severità sono:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"
Oltre a questi topics, un utente può configurare un livello di notifica diverso per specifiche
aziende. Questo può essere impostato direttamente nella pagina dell'azienda tramite il menu "Actions -> Edit Notifications" e può essere successivamente modificato o ripristinato al livello di abbonamento predefinito per quella azienda.
Il topic "Subscription" deve essere inteso come l'impostazione predefinita per le società appartenenti a
quell'abbonamento.
Channels
Ogni utente ha due canali disponibili per la configurazione: "Feed" e "Email". Il canale "Feed" viene visualizzato all'interno della dashboard della piattaforma (vedi spiegazione sotto). Il canale "Email" è
configurato automaticamente con l'e-mail utilizzata per l'accesso alla piattaforma e non può essere modificato. Ciascuna di questi canali può essere abilitato o disabilitato e, se abilitati, è possibile impostare la ricezione delle notifiche in base al livello di gravità desiderato.
The severity levels are:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"
Eventi generati ed esempio di operazione
La piattaforma genera automaticamente eventi che possono essere inviati agli utenti in base alle loro impostazioni.
Per esempio:
● Il rating di un'azienda viene ricalcolato, passando da 84 a 78.
● Viene generato un evento con una gravità "warning".
● Ogni utente con accesso all'abbonamento dell'azienda è idoneo a ricevere la notifica. Viene verificato il livello di gravità impostato per l'argomento e, se è uguale, inferiore, o superiore al livello di gravità dell'evento, la segnalazione viene conservata; in caso contrario, viene scartata.
● Per ciascun utente che deve ricevere la notifica, vengono verificati i livelli di gravità impostati per i canali. Se sono uguali o inferiori al livello di gravità dell'evento, la notifica viene inviata; in caso contrario, viene scartata per quel canale.
Feeds
L'interfaccia per il feed interno alla piattaforma è accessibile tramite l'icona a forma di campanella situata
nell'angolo in alto a destra della dashboard. L'icona della campanella indica anche il numero di notifiche non lette negli ultimi 7 giorni.
Ogni notifica viene automaticamente contrassegnata come letta all'apertura.
Sono disponibili vari filtri e azioni per facilitare la navigazione e la ricerca all'interno del
notifiche.