La ricchezza di dati personali sensibili e di valore in mano alle organizzazioni finanziarie, quali banche retail, banche d’investimento e società assicurative, le rende uno dei bersagli più appetibili per gli hacker e i criminali informatici. Questo rischio si è intensificato negli ultimi anni con il trasferimento online di un numero sempre maggiore di servizi finanziari per il cliente finale e l’aumento del trading elettronico.
Per questo BT ha appena lanciato “BT Assure Ethical Hacking for Finance”, un nuovo servizio di sicurezza pensato per testare l’esposizione agli attacchi informatici delle organizzazioni che offrono servizi finanziari. Si tratta di una soluzione che utilizza metodologie evolute, che simulano quelle dei cosiddetti “black hats” ossia gli hacker malintenzionati, per fornire una serie di test diretti ai vari punti di accesso ai sistemi IT di una banca così come ai “punti deboli” di un’organizzazione. Questi includono phishing, dispositivi mobili e dispositivi hardware, dai PC portatili alle stampanti, reti interne ed esterne, database e sistemi ERP complessi. BT non solo testa e verifica i sistemi che possono accedere alla rete, ma effettua anche dei controlli per il rischio di errori umani, utilizzando ad esempio il “social engineering” per verificare il modo in cui i dipendenti applicano le policy in vigore.
Il nuovo servizio si avvale delle competenze nell’ambito dell’ethical hacking sviluppate lavorando per quasi vent’anni a stretto contatto con grandi istituti finanziari statunitensi. Entro i limiti delle rigide regole di ingaggio, gli hacker “etici” di BT possono effettuare database dump di decine di migliaia di codici di social security e numeri di carte di credito; eseguire il reverse engineering di flussi di dati con crittografia proprietaria; generare enormi quantità di carte regalo valide con dettagli di pagamento da altri account di prova; creare account di amministratore semplicemente attraverso l’apertura di un’email da parte di un dipendente; effettuare un escape dalle sessioni di accesso remoto e ottenere l’accesso alla shell dei sistemi, con la conseguente creazione di tunnel verso la società; trasferire fondi tra account di prova non autorizzati o raccogliere i dati completi degli account di tutti gli utenti attaccando le comunicazioni machine-to-machine.
Il nuovo ‘Assure Ethical Hacking for Finance’ consentirà a BT di utilizzare i servizi certificati Simulated Targeted Attack and Response (STAR) di CREST (www.crest-approved.org) per aiutare le aziende che offrono servizi finanziari a sviluppare le soluzioni di sicurezza più solide, garantendo la protezione dei dati sensibili dei clienti. BT è una delle prime società al mondo accreditate da CREST per la fornitura dei servizi STAR.
CREST ha sviluppato la certificazione STAR per fornire test della sicurezza informatica personalizzati basati sull’intelligence. STAR, sviluppata in collaborazione con la Banca d’Inghilterra e il governo britannico, include penetration test avanzati e servizi di intelligence per le minacce che consentono di riprodurre in modo più accurato le minacce informatiche agli asset critici.
