Centro Assistenza ACSIA

ACSIA Cyber Risk Assessment (CRA) Manuale Utente V24.xx.xxx

Nadia Riccardi
Nadia Riccardi
  • Aggiornato

1. Panoramica

In questo articolo, vedremo come accedere e utilizzare la piattaforma Acsia CRA che è una piattaforma di valutazione del rischio informatico di Dectar.

ACSIA CRA esegue numerosi controlli passivi per valutare l'esposizione della tua azienda su internet. In altre parole, valuta la debolezza o la forza della tua infrastruttura contro un attacco informatico, effettuando numerosi test passivi: ciò significa che non simulerà un attacco informatico contro la tua infrastruttura.

In parole semplici: ACSIA CRA raccoglie alcuni dati e metriche dalla tua infrastruttura; li elabora e indica se la tua infrastruttura è debole o forte ad un attacco informatico.

Alla fine di questo processo, ACSIA CRA fornirà un numero associato all'azienda che ha scansionato. Tale numero rappresenta la debolezza o la forza della tua infrastruttura ad un attacco informatico, ma questo non è un numero definitivo. Infatti, la piattaforma esegue un controllo sulla tua infrastruttura di tanto in tanto, a seconda della tua licenza.
Tutte le scansioni effettuate con ACSIA CRA sono registrate all'interno dei nostri database, e alcuni dei nostri ingegneri avranno accesso a tali informazioni. Usiamo le informazioni raccolte per migliorare il nostro prodotto e rilevare anomalie o malfunzionamenti. Abbiamo già discusso internamente possibili soluzioni per migliorare questo aspetto, ma ad oggi non abbiamo una soluzione nella nostra roadmap per soddisfare questa richiesta.

2. Come fare il log in

Per accedere alla piattaforma, si deve richiedere al team di supporto ACSIA CRA una user name e una password.

Dopodiché, puoi accedere qui.

Con il rilascio della versione 24.01.001, è stata aggiunta l'opzione che permette di resettare la password. È possibile reimpostarla facendo clic su "Forgot password?".

2024-01-26_11-37.png


3.Comprensione base della piattaforma

Puoi vedere alcune informazioni facendo clic su "Overview" (1).
Ad esempio, nel rettangolo rosso in alto a sinistra (2) dello schermo, puoi vedere le informazioni della tua azienda. In alto a destra dello schermo (3), invece, puoi vedere la valutazione che ti è stata assegnata dalla CRA per la tua esposizione su internet.

Per informazioni su come aggiungere le aziende, consultare questo articolo: Gestione delle Companies

2024-01-26_11-44.png

Inoltre, puoi vedere che ACSIA CRA ha trovato:

  • 114 Assets. Per Assets, indichiamo  gli elementi che sono valutabili da un punto di vista della sicurezza informatica, che sono esposti e che costituiscono la superficie di attacco di un'organizzazione.
  • 41 hosts. Per host, intendiamo qualsiasi informazione presente in un DNS di un dominio registrato dall'organizzazione che in genere identifica un indirizzo IP interno o esterno.
  • 14 networks. Per networks, intendiamo un insieme di IPv4 o IPv6 annunciati come un singolo blocco in BGP, la rete minima annunciata è un IPv4 /24 (256 IP) e IPv6 /48 (65536 IP). 
  • 4 AS. Per AS, we mean Autonomous System: un insieme di reti IPv4 o IPv6, identificate da un numero assegnato tramite IANA dai registri internet regionali che identificano un provider interno e una politica di routing.
  • 2 Domains. Per Domain, intendiamo il Dominio Internet registrato dall'organizzazione su un dominio di alto livello (es. .com/.net/.it/.eu).
  • 24 IPs. Per IP, intendiamo l'Indirizzo Internet IPv4 o IPv6 collegato all'asset di un'organizzazione.
  • 20 Websites. Per Websites, intendiamo qualsiasi host che espone qualsiasi cosa su Internet e che risponde alla porte 80 (HTTP) e 443 (HTTPS).
  • 7 Emails. Per Email, intendiamo qualsiasi server di posta o un servizio di posta elettronica in genere collegato a un dominio che fornisce servizi di e-mail in entrata.
  • 2 DNS. Per DNS, intendiamo un server di nomi di dominio, un servizio configurato per rispondere a un dominio internet registrato dall'organizzazione in cui vengono effettuate voci che identificano le risorse accessibili tramite un nome mnemonico collegato al dominio collegato.

Scorrendo verso il basso, possiamo vedere un grafico radar come il seguente:

2024-01-26_11-46.png

Qui possiamo vedere:

  • A sinistra, c'è il diagramma a radar che mostra come è distribuito l'indice di rischio, tra tutte le attività. Ad esempio, possiamo vedere che il sito Web e il dominio hanno la massima esposizione. DNS ed e-mail, invece, hanno la minima esposizione.
  • A destra, possiamo vedere l'andamento dell'indice di rischio nel corso del tempo, a partire dal momento in cui hai acquistato la tua licenza.

L'indice di rischio può essere letto come segue:

mceclip4.png

Questo significa che:

  • un asset con un indice di rischio 0-30 richiede un'azione immediata.
  • un asset con un indice di rischio 90-100 non richiede azioni.

 

ATTENZIONE:
L'indice di rischio varia ad ogni scansione. ACSIA CRA esegue regolarmente la scansione della tua infrastruttura, a seconda del tuo abbonamento, ma puoi anche effettuare dei ricontrolli manuali.

 

Se scorriamo verso il basso, possiamo vedere ulteriori dettagli sull'esposizione al rischio:

mceclip2.png

Ad esempio, il grafico di cui sopra mostra che l'attività soggetta alla massima esposizione del rischio è il sito Web perché ha un'ampia banda rossa (e questo ci dice che abbiamo una fascia di attacco più ampia).

 

Se scorriamo verso il basso, possiamo vedere le dipendenze dei vari asset; significa che possiamo capire come le attività siano correlate tra di loro:

Ciò non significa che gli assets sono davvero fisicamente connessi tra di loro. Il software li ha semplicemente trovati logicamente correlati tra loro.

 

Infine, è possibile visualizzare tutti i dettagli relativi agli asset. Per farlo, puoi seguire la guida dedicata alla gestione degli assets.

 

È inoltre possibile aggiungere terze parti, ovvero aziende che in qualche modo interagiscono con voi e con la vostra azienda, come ad esempio fornitori o partner. Per questo motivo, ACSIA CRA fornisce dati non completamente visibili. Per la gestione delle terze parti, fate riferimento a quest'altro articolo: Gestione delle terze parti


4. Manuale degli eventi e delle notifiche

A partire dalla versione 23.06.001, abbiamo implementato un nuovo sistema di notifica che ti consente di rimanere aggiornato sui problemi di sicurezza all'interno delle tue aziende. Il sistema è composto da due parti: la configurazione delle notifiche e il tuo feed.

Vediamoli entrambi.

 

4.1 Configurazione delle notifiche

La configurazione del sistema di notifica della piattaforma consente di impostare i canali di notifica
e gli argomenti (topics).


Topics
I topics rappresentano gli argomenti per i quali l'utente desidera ricevere notifiche. Come impostazione predefinita, l'utente è abbonato agli argomenti "Platform News" e "World News", nonché a eventuali abbonamenti che hanno diritti di accesso di tipo tecnico. Ciascuno di questi topic può essere abilitato o disabilitato e, se abilitato, è possibile impostare il livello di gravità desiderato per la ricezione delle notifiche.


I livelli di severità sono:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"

Il topic per gli abbonamenti dell'utente non può essere disabilitato: si può solo impostare il livello di severità.

Oltre a questi topics, un utente può configurare un livello di notifica diverso per specifiche
aziende. Questo può essere impostato direttamente nella pagina dell'azienda tramite il menu "Actions -> Edit Notifications" e può essere successivamente modificato o ripristinato al livello di abbonamento predefinito per quella azienda.


Il topic "Subscription" deve essere inteso come l'impostazione predefinita per le società appartenenti a
quell'abbonamento.

 

Channels
Ogni utente ha due canali disponibili per la configurazione: "Feed" e "Email". Il canale "Feed" viene visualizzato all'interno della dashboard della piattaforma (vedi spiegazione sotto). Il canale "Email" è
configurato automaticamente con l'e-mail utilizzata per l'accesso alla piattaforma e non può essere modificato. Ciascuna di questi canali può essere abilitato o disabilitato e, se abilitati, è possibile impostare la ricezione delle notifiche in base al livello di gravità desiderato.


The severity levels are:
● "Exclusively alert notification"
● "Warning and alert notification"
● "Info, warning, and alert notification"

 

2024-01-26_11-50.png

 

Eventi generati ed esempio di operazione
La piattaforma genera automaticamente eventi che possono essere inviati agli utenti in base alle loro impostazioni.
Per esempio:


● Il rating di un'azienda viene ricalcolato, passando da 84 a 78.
● Viene generato un evento con una gravità "warning".
● Ogni utente con accesso all'abbonamento dell'azienda è idoneo a ricevere la notifica. Viene verificato il livello di gravità impostato per l'argomento e, se è uguale, inferiore, o superiore al livello di gravità dell'evento, la segnalazione viene conservata; in caso contrario, viene scartata.
● Per ciascun utente che deve ricevere la notifica, vengono verificati i livelli di gravità impostati per i canali. Se sono uguali o inferiori al livello di gravità dell'evento, la notifica viene inviata; in caso contrario, viene scartata per quel canale.


Feeds

L'interfaccia per il feed interno alla piattaforma è accessibile tramite l'icona a forma di campanella situata
nell'angolo in alto a destra della dashboard. L'icona della campanella indica anche il numero di notifiche non lette negli ultimi 7 giorni.

Ogni notifica viene automaticamente contrassegnata come letta all'apertura.
Sono disponibili vari filtri e azioni per facilitare la navigazione e la ricerca all'interno del
notifiche.

2024-01-26_11-51.png

 


5. Nuove funzionalità

Timeshift

La nuova funzionalità "Timeshift" è stata aggiunta alla piattaforma e ti consente di viaggiare nel tempo all'interno di ACSIA CRA!

    • Nella sezione dei report, seleziona le date in cui sono stati effettuati i checks o in cui sono stati generati i report.
    • Esplora la nuova opzione "Timeshift" nel menu, che ti consente di confrontare lo stato attuale con "checkpoint" passati o due diverse situazioni passate. Potrai, così, visualizzare l'evoluzione dell'esposizione e dello stato di sicurezza della tua infrastuttura.

2024-01-26_11-55.png

Per ulteriori informazioni su come utilizzare questa funzione, consultate questi articoli: Gestione del Timeshift

 

CTI 

Il nuovo modulo CTI (Cyber ​​​​Threat Intelligence) contiene molte funzionalità. Le più importanti sono:

  • Richiedere (e, eventualmente, rimuovere) l'autorizzazione al responsabile della protezione dei dati (DPO) dell'azienda per gestire e fornire dati relativi alla Cyber ​​Threat Intelligence.
  • Visualizza gli utenti trovati in varie fonti, classificati per tipo (leaks o botnets), data e stato di verifica.
  • Visualizzare eventuali password trovate in modo che possano essere sottoposte a verifica aziendale.
  • Gestire le credenziali dell'utente, impostando il relativo stato di verifica.

Quest'ultima operazione consente agli utenti ACSIA CRA di influenzare direttamente il rating dell'azienda e di utilizzare la piattaforma per gestire lo stato di verifica delle eventuali credenziali rilasciate.

Alcune note aggiuntive:

  • Con questa versione le informazioni della CTI precedentemente visibili nelle tipologie di asset “dominio” sono state ridotte, poiché sono disponibili all'interno del modulo CTI.
  • Allo stesso tempo, abbiamo aggiunto, riorganizzato e ottimizzato le fonti di questi dati. Di conseguenza, l'algoritmo di rating della CTI è stato parzialmente modificato, rendendolo più coerente e, in alcuni casi, più rigoroso.

Ci aspettiamo che, a partire dal primo ricontrollo dopo questo rilascio, il rating del dominio di un'azienda, insieme alla nostra valutazione del rischio informatico, cambierà leggermente. Questo è normale e auspicabile nell'ambito del miglioramento continuo della piattaforma.

Per comprendere meglio questo modulo, consultate questo articolo: Gestione della Cyber Threat Intelligence

2024-01-26_12-06.png

5.3 Reports

ACSIA CRA ha una sezione dedicata alla creazione dei report. Fare riferimento a questo articolo: Come Creare i Report

 

Correlato a