Sicurezza, analisi forense e Incident Response in ambiente Microsoft 365

Quando si cerca la sicurezza in Microsoft 365, affidarsi a un generalista di cybersecurity è un po’ come pretendere di navigare in sicurezza in acque sconosciute e tra secche insidiose servendosi di una semplice bussola. Se state già usando Microsoft 365 o se pensate di adottarlo, sappiate che gli specialisti Kroll lavorano quotidianamente in ambiente M365.

Conduciamo investigazioni e risolviamo i problemi dei nostri clienti in ogni parte del mondo, scoprendo via via nuovi pericoli e affrontando rischi già noti. Le conoscenze che abbiamo accumulato e che continuiamo ad acquisire sulla sicurezza in M365 sono a vostra disposizione per aiutarvi in modo costruttivo a salvaguardare i vostri dati, soprattutto alla luce della continua evoluzione di M365 sia in termini di security che di controlli operativi.

Investigazioni differenziate su M365 al servizio di una metodologia forense collaudata

I nostri esperti forensi svolgono da anni indagini su incidenti di sicurezza di varia entità, tipo e complessità in ambiente M365. Intervengono, per esempio, in caso di attacchi di phishing contro le aziende, minacce interne, violazioni di account con privilegi, attacchi SMTP relay ecc. L’esperienza unica dei nostri esperti non si limita a consolidare la rigorosa metodologia forense di Kroll, ma conferisce anche al nostro approccio l’agilità necessaria per riconoscere e per reagire a nuove forme di attacchi.

Le nostre indagini producono informazioni fruibili, acquisite attraverso una ricostruzione dettagliata della cronologia dell’attività dell’attaccante nel vostro ambiente: 

• Identifichiamo i termini di ricerca usati dall’aggressore e i messaggi eventualmente visualizzati grazie all’utilizzo di quei termini
• Isoliamo l’accesso al client di posta dall’accesso via web browser
• Individuiamo e compiliamo le email inoltrate automaticamente da regole di posta non autorizzate
• Esaminiamo l’intero tenant di M365 per rilevare altri accessi sospetti/non autorizzati, compresi gli accessi ai file OneDrive e SharePoint
• Se possibile, svolgiamo anche attività di discovery e di analisi della campagna originaria di phishing

Metodologia di investigazione forense sugli incidenti in M365

La metodologia forense implementata da Kroll per gli incidenti di sicurezza in M365 si articola in tre macro fasi. Ogni fase è personalizzabile in funzione delle esigenze e degli obiettivi del cliente. Il team collabora costantemente con i consulenti legali e assicurativi e può fornire supporto da remoto, in loco o in modalità ibrida. L’esito dell’investigazione sarà anche d’aiuto per definire la procedura di notifica e i contenuti delle comunicazioni alle autorità competenti.

N.B.: Presentiamo di seguito un’illustrazione dettagliata della nostra metodologia. Contatta Kroll per ricevere una descrizione completa delle attività offerte.

Fase 1 – Esplorare e mappare i dettagli e la portata dell'evento

• Raccogliere, conservare e analizzare i dati pertinenti disponibili in M365 per determinare la cronologia degli eventi e gli accessi non autorizzati 
• Analizzare i dati pertinenti relativi a tutti gli account di M365 per individuare gli indicatori di compromissione e la portata del rischio per l’azienda
• Ove necessario, individuare ed elencare i messaggi che sono stati trasmessi automaticamente all’esterno del tenant del cliente e che potrebbero esporre al rischio di accesso non autorizzato
• Comunicare al cliente gli indicatori di compromissione rilevati e raccolti da Kroll per rafforzare la protezione dell’infrastruttura del cliente
• Comunicare gli esiti della verifica verbalmente e in un apposito report, in base a quanto richiesto dal consulente legale e dal cliente

Fase 2 – Trattamento e verifica di dati sensibili

• Mediante varie tecniche di ricerca, individuare i file che potrebbero contenere dati sensibili (seguendo le indicazioni del consulente legale/del cliente)
• Con l’ausilio dell’analisi avanzata dei dati, individuare i file che non necessitano di verifica perché si ritiene che non contengano dati sensibili ed eseguire un campionamento statisticamente valido per verificare i risultati
• Esaminare i file nei quali si è accertata la presenza di dati sensibili che necessitano di una verifica manuale; eseguire la verifica manuale
• Trasmettere al consulente legale/al cliente i risultati del trattamento/della verifica dei dati sensibili

Fase 3 – Assistenza ai fini della notifica delle violazioni 

• Assistere il cliente e il consulente legale nella redazione di lettere di notifica conformi
• Standardizzare, ripulire e deduplicare la mailing list; eseguire un controllo incrociato degli indirizzi con l’eventuale banca dati dell’anagrafe nazionale
• Redigere report completi che dimostrino e documentino il massimo sforzo del cliente nell’effettuare la notifica
• Organizzare e implementare un servizio di call center, con il supporto di esperti di violazione dei dati/furto di identità, prevedendo anche l’accesso agli investigatori autorizzati

Irrobustire proattivamente la email security in ambiente M365 grazie alle conoscenze specifiche acquisite da Kroll

Le organizzazioni che adottano M365 spesso non sanno di avere la possibilità di migliorare la sicurezza dei dati e non sono consapevoli della loro capacità di recupero dopo un incidente. Kroll offre indicazioni pratiche che spaziano sull’intera Kill Chain della posta elettronica, dalla configurazione di M365 alla prevenzione degli attacchi di phishing e alla protezione delle workstation, fino alla sensibilizzazione dell’utente finale. Lavoriamo con l'obiettivo di fornirvi un elenco di raccomandazioni specifiche, ordinate per priorità, per aiutarvi a gestire la strategia di email security.

Email security assessment in ambiente M365

Valutazione delle difese secondarie della posta elettronica in ambiente Microsoft 365

Microsoft 365 è un ambiente dinamico. La vostra sicurezza è all’altezza della situazione?

Microsoft 365 introduce in continuazione nuove caratteristiche e disattiva funzioni obsolete. I nostri specialisti di sicurezza M365 vi aiuteranno a tenere sempre il passo con le novità, orientandovi per affrontare le sfide e per rafforzare la vostra sicurezza in questo ambiente.

Kroll vi assicura infatti una copertura end-to-end nelle situazioni di Incident Response, mettendo anche a vostra disposizione il potente monitoraggio di CyberDetectER. Contattate subito i nostri esperti di sicurezza M365 per scoprire tutte le capacità che possiamo offrirvi.