Centro Assistenza ACSIA

Ricerca

ACSIA Cyber Risk Assessment (CRA) Manuale Utente V23.xx.xxx

Federico Trotta
Federico Trotta
  • Aggiornato

1. Panoramica

In questo articolo, vedremo come accedere e utilizzare la piattaforma Acsia CRA che è una piattaforma di valutazione del rischio informatico di 4Securitas.

ACSIA CRA esegue numerosi controlli passivi per valutare l'esposizione della tua azienda su internet. In altre parole, valuta la debolezza o la forza della tua infrastruttura contro un attacco informatico, effettuando numerosi test passivi: ciò significa che non simulerà un attacco informatico contro la tua infrastruttura.

In parole semplici: ACSIA CRA raccoglie alcuni dati e metriche dalla tua infrastruttura; li elabora e indica se la tua infrastruttura è debole o forte ad un attacco informatico.

Alla fine di questo processo, ACSIA CRA fornirà un numero associato all'azienda che ha scansionato. Tale numero rappresenta la debolezza o la forza della tua infrastruttura ad un attacco informatico, ma questo non è un numero definitivo. Infatti, la piattaforma esegue un controllo sulla tua infrastruttura di tanto in tanto, a seconda della tua licenza.
Tutte le scansioni effettuate con ACSIA CRA sono registrate all'interno dei nostri database, e alcuni dei nostri ingegneri avranno accesso a tali informazioni. Usiamo le informazioni raccolte per migliorare il nostro prodotto e rilevare anomalie o malfunzionamenti. Abbiamo già discusso internamente possibili soluzioni per migliorare questo aspetto, ma ad oggi non abbiamo una soluzione nella nostra roadmap per soddisfare questa richiesta.

2. Log In e aggiunta di una azienda

Per accedere alla piattaforma, si deve richiedere al team di supporto ACSIA CRA una user name e una password.

Dopodiché, puoi accedere qui.

 

image_1_CRA_Support_login.png

Dopo aver effettuato l'accesso, puoi aggiungere la tua azienda facendo clic su "Add company". Quindi, compila i campi e clicca su "create company":

Image_2_CRA_Support_page.png

3.Comprensione base della piattaforma

Puoi vedere alcune informazioni facendo clic su "Overview" (1).
Ad esempio, nel rettangolo rosso in alto a sinistra (2) dello schermo, puoi vedere le informazioni della tua azienda. In alto a destra dello schermo (3), invece, puoi vedere la valutazione che ti è stata assegnata dalla CRA per la tua esposizione su internet.

Image_3_Support_CRA.png

Inoltre, puoi vedere che ACSIA CRA ha trovato:

  • 114 Assets, ma solo il 78% è stato analizzato. Ciò accade perché i tuoi assets possono fare riferimento a servizi come Amazon Web Services (AWS) o simili: in questo caso, la nostra scansione non va oltre. Inoltre per Assets, indichiamo  gli elementi che sono valutabili da un punto di vista della sicurezza informatica, che sono esposti e che costituiscono la superficie di attacco di un'organizzazione.
  • 59 hosts. Per host, intendiamo qualsiasi informazione presente in un DNS di un dominio registrato dall'organizzazione che in genere identifica un indirizzo IP interno o esterno.
  • 15 networks. Per networks, intendiamo un insieme di IPv4 o IPv6 annunciati come un singolo blocco in BGP, la rete minima annunciata è un IPv4 /24 (256 IP) e IPv6 /48 (65536 IP). 
  • 4 AS. Per AS, we mean Autonomous System: un insieme di reti IPv4 o IPv6, identificate da un numero assegnato tramite IANA dai registri internet regionali che identificano un provider interno e una politica di routing.
  • 3 Domains. Per Domain, intendiamo il Dominio Internet registrato dall'organizzazione su un dominio di alto livello (es. .com/.net/.it/.eu).
  • 14 IPs. Per IP, intendiamo l'Indirizzo Internet IPv4 o IPv6 collegato all'asset di un'organizzazione.
  • 16 Websites. Per Websites, intendiamo qualsiasi host che espone qualsiasi cosa su Internet e che risponde alla porte 80 (HTTP) e 443 (HTTPS).
  • 2 Emails. Per Email, intendiamo qualsiasi server di posta o un servizio di posta elettronica in genere collegato a un dominio che fornisce servizi di e-mail in entrata.
  • 1 DNS. Per DNS, intendiamo un server di nomi di dominio, un servizio configurato per rispondere a un dominio internet registrato dall'organizzazione in cui vengono effettuate voci che identificano le risorse accessibili tramite un nome mnemonico collegato al dominio collegato.

Scorrendo verso il basso, possiamo vedere un grafico radar come il seguente:

Image_4_Support_page_cra.png

Qui possiamo vedere:

  • A sinistra, c'è il diagramma a radar che mostra come è distribuito l'indice di rischio, tra tutte le attività. Ad esempio, possiamo vedere che il sito Web e il dominio hanno la massima esposizione. DNS ed e-mail, invece, hanno la minima esposizione.
  • A destra, possiamo vedere l'andamento dell'indice di rischio nel corso del tempo, a partire dal momento in cui hai acquistato la tua licenza.

L'indice di rischio può essere letto come segue:

mceclip4.png

Questo significa che:

  • un asset con un indice di rischio 0-30 richiede un'azione immediata.
  • un asset con un indice di rischio 90-100 non richiede azioni.

 

ATTENZIONE:
Ricorda che l'indice di rischio varia ad ogni scansione, il che dipende dalla licenza che hai acquistato. Inoltre, puoi chiedere altri check, se vuoi.

Ecco come chiedere un recheck:

Image_5_CRA_Support_page.png

Inoltre, puoi avere un report completo facendo click su Actions --> Generate reports:

Image_6_CRA_Support_page.png

 

Se scorriamo verso il basso, possiamo vedere ulteriori dettagli sull'esposizione al rischio:

Image_7_CRA_Support_page.png

Ad esempio, il grafico di cui sopra mostra che l'attività soggetta alla massima esposizione del rischio è il sito Web perché ha un'ampia banda rossa (e questo ci dice che abbiamo una fascia di attacco più ampia).

 

Se scorriamo verso il basso, possiamo vedere le dipendenze dei vari asset; significa che possiamo capire come le attività siano correlate tra di loro:

image_8_CRA_support_page.png

Ciò non significa che gli assets sono davvero fisicamente connessi tra di loro. Il software li ha semplicemente trovati logicamente correlati tra loro.

 

Poi, se clickiamo su Assets(1), possiamo vedere un elenco dettagliato di tutte le attività scansionate. L'elenco è ordinato dall'asset che ha il peggiore indice di rischio a quello che ha il migliore, in modo da poter vedere subito dove intervenire:

image_9_CRA_support_page.png

Se clickiamo su Go to asset (2) possiamo vedere i dettagli degli asset:

image_10_CRA_support_page.png

Se clickiamo su Assets o su Checks, otteniamo due schermate diverse, ma simili. In ogni caso, in entrambe troviamo le stesse cose.

4. Manuale degli eventi e delle notifiche

A partire dalla versione 23.06.001, abbiamo implementato un nuovo sistema di notifica che ti consente di rimanere aggiornato sui problemi di sicurezza all'interno delle tue aziende. Il sistema è composto da due parti: la configurazione delle notifiche e il tuo feed.

Vediamoli entrambi.

 

4.1 Configurazione delle notifiche

La configurazione del sistema di notifica della piattaforma consente di impostare i canali di notifica
e gli argomenti (topics).


Topics
I topics rappresentano gli argomenti per i quali l'utente desidera ricevere notifiche. Come impostazione predefinita, l'utente è abbonato agli argomenti "Platform News" e "World News", nonché a eventuali abbonamenti che hanno diritti di accesso di tipo tecnico. Ciascuno di questi topic può essere abilitato o disabilitato e, se abilitato, è possibile impostare il livello di gravità desiderato per la ricezione delle notifiche.


I livelli di severità sono:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"

Il topic per gli abbonamenti dell'utente non può essere disabilitato: si può solo impostare il livello di severità.

Oltre a questi topics, un utente può configurare un livello di notifica diverso per specifiche
aziende. Questo può essere impostato direttamente nella pagina dell'azienda tramite il menu "Actions -> Edit Notifications" e può essere successivamente modificato o ripristinato al livello di abbonamento predefinito per quella azienda.


Il topic "Subscription" deve essere inteso come l'impostazione predefinita per le società appartenenti a
quell'abbonamento.

 

Channels
Ogni utente ha due canali disponibili per la configurazione: "Feed" e "Email". Il canale "Feed" viene visualizzato all'interno della dashboard della piattaforma (vedi spiegazione sotto). Il canale "Email" è
configurato automaticamente con l'e-mail utilizzata per l'accesso alla piattaforma e non può essere modificato. Ciascuna di questi canali può essere abilitato o disabilitato e, se abilitati, è possibile impostare la ricezione delle notifiche in base al livello di gravità desiderato.


The severity levels are:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"

 

1-

 

Eventi generati ed esempio di operazione
La piattaforma genera automaticamente eventi che possono essere inviati agli utenti in base alle loro impostazioni.
Per esempio:


● Il rating di un'azienda viene ricalcolato, passando da 84 a 78.
● Viene generato un evento con una gravità "warning".
● Ogni utente con accesso all'abbonamento dell'azienda è idoneo a ricevere la notifica. Viene verificato il livello di gravità impostato per l'argomento e, se è uguale, inferiore, o superiore al livello di gravità dell'evento, la segnalazione viene conservata; in caso contrario, viene scartata.
● Per ciascun utente che deve ricevere la notifica, vengono verificati i livelli di gravità impostati per i canali. Se sono uguali o inferiori al livello di gravità dell'evento, la notifica viene inviata; in caso contrario, viene scartata per quel canale.


Feeds

L'interfaccia per il feed interno alla piattaforma è accessibile tramite l'icona a forma di campanella situata
nell'angolo in alto a destra della dashboard. L'icona della campanella indica anche il numero di notifiche non lette negli ultimi 7 giorni.

Ogni notifica viene automaticamente contrassegnata come letta all'apertura.
Sono disponibili vari filtri e azioni per facilitare la navigazione e la ricerca all'interno del
notifiche.

2-