Sicurezza, analisi forense e Incident Response in ambiente Microsoft 365

Gli esperti di informatica forense analizzano ogni anno centinaia di incidenti in ambiente Microsoft 365 e contribuiscono a rafforzare la sicurezza dei vostri sistemi.
Contattaci

Quando si cerca la sicurezza in Microsoft 365, affidarsi a un generalista di cybersecurity è un po’ come pretendere di navigare in sicurezza in acque sconosciute e tra secche insidiose servendosi di una semplice bussola. Se state già usando Microsoft 365 o se pensate di adottarlo, sappiate che gli specialisti Kroll lavorano quotidianamente in ambiente M365.

Conduciamo investigazioni e risolviamo i problemi dei nostri clienti in ogni parte del mondo, scoprendo via via nuovi pericoli e affrontando rischi già noti. Le conoscenze che abbiamo accumulato e che continuiamo ad acquisire sulla sicurezza in M365 sono a vostra disposizione per aiutarvi in modo costruttivo a salvaguardare i vostri dati, soprattutto alla luce della continua evoluzione di M365 sia in termini di security che di controlli operativi.

Investigazioni differenziate su M365 al servizio di una metodologia forense collaudata

I nostri esperti forensi svolgono da anni indagini su incidenti di sicurezza di varia entità, tipo e complessità in ambiente M365. Intervengono, per esempio, in caso di attacchi di phishing contro le aziende, minacce interne, violazioni di account con privilegi, attacchi SMTP relay ecc. L’esperienza unica dei nostri esperti non si limita a consolidare la rigorosa metodologia forense di Kroll, ma conferisce anche al nostro approccio l’agilità necessaria per riconoscere e per reagire a nuove forme di attacchi.

Le nostre indagini producono informazioni fruibili, acquisite attraverso una ricostruzione dettagliata della cronologia dell’attività dell’attaccante nel vostro ambiente: 

  • Identifichiamo i termini di ricerca usati dall’aggressore e i messaggi eventualmente visualizzati grazie all’utilizzo di quei termini
  • Isoliamo l’accesso al client di posta dall’accesso via web browser
  • Individuiamo e compiliamo le email inoltrate automaticamente da regole di posta non autorizzate
  • Esaminiamo l’intero tenant di M365 per rilevare altri accessi sospetti/non autorizzati, compresi gli accessi ai file OneDrive e SharePoint
  • Se possibile, svolgiamo anche attività di discovery e di analisi della campagna originaria di phishing

Metodologia di investigazione forense sugli incidenti in M365

La metodologia forense implementata da Kroll per gli incidenti di sicurezza in M365 si articola in tre macro fasi. Ogni fase è personalizzabile in funzione delle esigenze e degli obiettivi del cliente. Il team collabora costantemente con i consulenti legali e assicurativi e può fornire supporto da remoto, in loco o in modalità ibrida. L’esito dell’investigazione sarà anche d’aiuto per definire la procedura di notifica e i contenuti delle comunicazioni alle autorità competenti.

N.B.: Presentiamo di seguito un’illustrazione dettagliata della nostra metodologia. Contatta Kroll per ricevere una descrizione completa delle attività offerte.

Fase 1 Esplorare e mappare i dettagli e la portata dell'evento

  • Raccogliere, conservare e analizzare i dati pertinenti disponibili in M365 per determinare la cronologia degli eventi e gli accessi non autorizzati 
  • Analizzare i dati pertinenti relativi a tutti gli account di M365 per individuare gli indicatori di compromissione e la portata del rischio per l’azienda
  • Ove necessario, individuare ed elencare i messaggi che sono stati trasmessi automaticamente all’esterno del tenant del cliente e che potrebbero esporre al rischio di accesso non autorizzato
  • Comunicare al cliente gli indicatori di compromissione rilevati e raccolti da Kroll per rafforzare la protezione dell’infrastruttura del cliente
  • Comunicare gli esiti della verifica verbalmente e in un apposito report, in base a quanto richiesto dal consulente legale e dal cliente

Fase 2 – Trattamento e verifica di dati sensibili

  • Mediante varie tecniche di ricerca, individuare i file che potrebbero contenere dati sensibili (seguendo le indicazioni del consulente legale/del cliente)
  • Con l’ausilio dell’analisi avanzata dei dati, individuare i file che non necessitano di verifica perché si ritiene che non contengano dati sensibili ed eseguire un campionamento statisticamente valido per verificare i risultati
  • Esaminare i file nei quali si è accertata la presenza di dati sensibili che necessitano di una verifica manuale; eseguire la verifica manuale
  • Trasmettere al consulente legale/al cliente i risultati del trattamento/della verifica dei dati sensibili

Fase 3 – Assistenza ai fini della notifica delle violazioni 

  • Assistere il cliente e il consulente legale nella redazione di lettere di notifica conformi
  • Standardizzare, ripulire e deduplicare la mailing list; eseguire un controllo incrociato degli indirizzi con l’eventuale banca dati dell’anagrafe nazionale
  • Redigere report completi che dimostrino e documentino il massimo sforzo del cliente nell’effettuare la notifica
  • Organizzare e implementare un servizio di call center, con il supporto di esperti di violazione dei dati/furto di identità, prevedendo anche l’accesso agli investigatori autorizzati

Irrobustire proattivamente la email security in ambiente M365 grazie alle conoscenze specifiche acquisite da Kroll

Le organizzazioni che adottano M365 spesso non sanno di avere la possibilità di migliorare la sicurezza dei dati e non sono consapevoli della loro capacità di recupero dopo un incidente. Kroll offre indicazioni pratiche che spaziano sull’intera Kill Chain della posta elettronica, dalla configurazione di M365 alla prevenzione degli attacchi di phishing e alla protezione delle workstation, fino alla sensibilizzazione dell’utente finale. Lavoriamo con l'obiettivo di fornirvi un elenco di raccomandazioni specifiche, ordinate per priorità, per aiutarvi a gestire la strategia di email security.

Email security assessment in ambiente M365

Obiettivo

Individuare lacune rilevanti o carenze significative nelle difese di sicurezza della posta elettronica delle organizzazioni.

Processo

I nostri esperti esaminano da remoto le misure di email security, impegnandosi in particolare a individuare controlli proattivi che consentano di ridurre la probabilità di attacchi via email.


Focus

  • Impostazioni di sicurezza per impedire l’accesso non autorizzato
  • Log delle attività degli utenti e configurazioni di auditing a supporto dell’attività d’investigazione
  • Filtri e configurazioni email adottati per prevenire gli attacchi di phishing e la trasmissione di payload malevoli
  • Protocolli di accesso alla posta elettronica
  • Sicurezza nello scambio di messaggi
  • Configurazione di sicurezza del servizio Azure Active Directory
  • Gestione dei dispositivi mobili con Microsoft Intune
 

Valutazione delle difese secondarie della posta elettronica in ambiente Microsoft 365

Obiettivo

Valutare le misure secondarie di difesa adottate per proteggere l’organizzazione dagli attacchi via email

Processo

I nostri esperti realizzano colloqui con una selezione rappresentativa del personale e delle aree funzionali

Focus

  • Controlli sulle workstation
  • Consapevolezza del personale
  • Incident Response
  • Processi aziendali relativi all’autorizzazione via email dei pagamenti
  • Campagna di phishing per misurare la consapevolezza del personale e l’efficacia dei controlli

Microsoft 365 è un ambiente dinamico. La vostra sicurezza è all’altezza della situazione?

Microsoft 365 introduce in continuazione nuove caratteristiche e disattiva funzioni obsolete. I nostri specialisti di sicurezza M365 vi aiuteranno a tenere sempre il passo con le novità, orientandovi per affrontare le sfide e per rafforzare la vostra sicurezza in questo ambiente.

Kroll vi assicura infatti una copertura end-to-end nelle situazioni di Incident Response, mettendo anche a vostra disposizione il potente monitoraggio di CyberDetectER. Contattate subito i nostri esperti di sicurezza M365 per scoprire tutte le capacità che possiamo offrirvi.

Come possiamo aiutarvi

Cyber Risk Assessment

Le valutazioni del rischio informatico condotte da Kroll forniscono raccomandazioni immediatamente attivabili per migliorare la sicurezza affidandosi alle buone pratiche del settore e alle migliori tecnologie disponibili.

Servizi di Penetration Testing

Malware. Ransomware. Attacchi di social engineering. Attacchi brute force. Siete sicuri che i vostri sistemi di difesa siano efficaci contro gli attacchi cyber esistenti ed emergenti?

Valutazione della Protezione Ransomware

La nostra valutazione della protezione ransomware è uno strumento di prevenzione degli attacchi che si basa sull’analisi di 14 ambiti e vettori di attacco cruciali per la sicurezza.


Valutazione della sicurezza del lavoro da remoto

La valutazione della sicurezza del lavoro da remoto permette a Kroll di individuare le vulnerabilità dei dipendenti che lavorano a distanza e delle reti che utilizzano; suggerisce inoltre come minimizzare i rischi insiti nelle reti decentralizzate, spesso aggravati dalla presenza di dispositivi personali e di ambienti non strutturati.

Servizio di call center in caso di violazione dei dati

Una notifica di violazione dei dati può suscitare molte domande nelle persone impattate. Il nostro servizio di call center è affidato a consulenti qualificati, che sanno gestire anche le domande più difficili e sono sempre pronti ad assistere gli utenti colpiti.

Furto d’identità e notifica delle violazioni

La nostra offerta comprende la stesura delle comunicazioni, comprese eventuali notifiche alternative, e tutti i servizi connessi al loro invio.


Identity Monitoring: monitoraggio e protezione dai furti d’identità

La combinazione esclusiva dei nostri servizi di Identity Monitoring permette di rilevare più tipi di furto d’identità rispetto al solo monitoraggio del credito e offre un aiuto concreto per contrastare i furti d’identità e le frodi.

Notifica, Call Center e Monitoraggio

Il nostro team dedicato ai servizi di notifica, call center e monitoraggio nei casi di violazione dei dati mette a disposizione competenze globali di risposta ai data breach per assicurare una gestione efficiente dei rischi di carattere normativo e reputazionale.