Cyber security nel retail: l’approccio più efficace – Case study

La definizione di strumenti di protezione e prevenzione dagli attacchi informatici non è un semplice “adempimento”, ma un processo continuo che richiede aggiornamenti per coprire le nuove esigenze che si presentano nel tempo. Nella loro attività, gli esperti di Cyberoo adottano una strategia basata su un percorso “a tappe” che prende le mosse dalle esigenze del cliente. Se in una visione ideale questo percorso dovrebbe svilupparsi sulla base di previsioni strategiche, nella pratica è molto più frequente che gli obiettivi siano definiti dall’esperienza. In altre parole, la spinta per gli investimenti in cyber security arriva più frequentemente dopo che l’organizzazione ha subito un attacco, le cui caratteristiche variano a seconda del settore di attività.

Un meccanismo tutto sommato naturale che conferma come, purtroppo, a dettare le regole del gioco siano i cyber criminali e le nuove tecniche che adottano per colpire le aziende. È in questo momento che si avvia un percorso di adeguamento del framework di sicurezza in cui l’azienda e il partner di sicurezza individuano le esigenze e gli strumenti necessari per soddisfarle. La cyber security nel retail, di conseguenza, deve focalizzarsi su aspetti specifici legati ai rischi che corrono le aziende del settore. Vediamo in questo articolo, l’approccio di Cyberoo in un caso concreto.


Cyber security nel retail: lo scenario di intervento

Nel caso specifico, gli esperti di Cyberoo hanno collaborato con una multinazionale con 13 sedi in tutto il mondo e un fatturato superiore ai 500 milioni di euro. Uno scenario complesso, in cui le infrastrutture IT comprendono circa 1200 postazioni di lavoro informatizzate, una sede centrale collocata sul territorio italiano, magazzini e sedi produttive distribuite in tutto il globo.

Da un punto di vista operativo, la produzione è soggetta a stagionalità: da un regime “normale” di 8 ore per 5 giorni la settimana a particolari momenti in cui le modalità di lavoro possono arrivare a 12 ore, 6/7 giorni alla settimana. Da un punto di vista tecnologico, le linee guida per la gestione dell’infrastruttura IT (e dell’ambito cyber security) vengono definite centralmente, lasciando però un certo livello di autonomia alle singole sedi estere. In particolare, le protezioni delle reti sono affidate a firewall e sistemi di URL filtering, mentre i server di posta sono distribuiti ad albero facendo centro nell’HQ italiano, tutti protetti mediante una soluzione antispam.

Nella sede italiana sono, poi, esposti (mediante bilanciatore e Web Application Firewall) i servizi raggiungibili da Internet per l’intero gruppo. Tutte le sedi, infine, utilizzano un sistema di protezione antivirus. Nella sola sede italiana è stata adottata una sonda di rete per gestire la cyber security. Tale sonda ha la visibilità di una sola porta del firewall il cui traffico viene inviato mediante una SPAN port. Si tratta di uno scenario che, per chi si occupa di cyber security nel retail, è piuttosto frequente proprio a causa delle peculiarità del settore.


Le esigenze segnalate

Come accade di frequente, le esigenze segnalate derivano dall’aver subito incidenti di sicurezza che hanno portato a un danno diretto o indiretto all’attività produttiva. Nello specifico, gli investimenti in cyber security avrebbero dovuto permettere di bloccare attacchi di diverso tipo registrati in passato: phishing, la creazione di domini clone, infezioni da malware. Più volte è stato perso denaro, nei casi più gravi sotto la forma di pagamenti errati dovuti ad attacchi di phishing.

La fase di analisi condotta da Cyberoo in collaborazione con l’azienda ha individuato, per prima cosa, la necessità di ottenere una visibilità completa del dominio cyber delle sedi nel mondo, compresa la sede principale. La visibilità del solo perimetro, garantita dalla sonda preesistente, aveva infatti dimostrato tutti i suoi limiti. Al tempo stesso, si è evidenziata la necessità di avere un controllo più granulare di ciò che succede ai client. Uno dei nodi più importanti, però, riguardava il fenomeno dei domini clone. Trattandosi di un brand conosciuto in tutto il mondo, questo tipo di attacchi risultavano, infatti, particolarmente frequenti e, al tempo stesso, estremamente dannosi a livello di reputation.

Ancora una volta, questo aspetto è tra i più frequenti quando ci si occupa di cyber security nel retail: l’abuso del marchio, infatti, è uno dei rischi maggiori. Per contrastare le attività malevole era quindi necessario prevedere un sistema che consentisse di comprendere quando venivano generati domini clone in preparazione degli attacchi di phishing e, al tempo stesso, implementare strumenti che consentissero di chiudere autonomamente i domini clone stessi.


Strumenti e investimenti per la cyber security nel retail

Come ogni intervento nell’ambito della cyber security nel retail, l’implementazione degli strumenti è stata modulata sulla base di un rapporto costi/benefici estremamente rigoroso. Per quanto riguarda la visibilità della rete, in un’ottica di ottimizzazione dei costi la ricerca si è concentrata su una soluzione distribuita. L’installazione della singola sonda in ogni sede era infatti stata considerata troppo onerosa. La soluzione proposta è stata la Cyber Security Suite di Cyberoo nel range 1000-2000 (calcolato come numero di postazioni di lavoro sommato al numero dei server presenti nelle sedi) che si compone di due soluzioni: Cypeer e CSI, erogate mediante i-SOC con un livello di servizio h24.

L’implementazione ha richiesto meno di due mesi, arrivando alla copertura di tutte le sedi così come definito in fase di studio di Integrazione. L’installazione di undici Cypeer Manager ha permesso di ridurre al minimo il traffico infra-sede, garantendo in ogni caso una efficace raccolta di tutti i dati necessari per avere una visione globale della postura di cyber sicurezza. L’adozione di Cypeer ha permesso di vedere raccolte in una unica dashboard tutte le informazioni delle sedi. In particolare, è stata attivata la modalità multitenant che ha permesso al personale IT della sede centrale di avere visibilità di ogni singola sede e al personale IT delle singole sedi di vedere solo i propri dati. Grazie all’attivazione di CSI è stato possibile rilevare un dominio malevolo che in poche ore è stato fatto chiudere evitando così il protrarsi di un attacco di phishing.


Un primo bilancio dell’investimento

Nei primi sei mesi di utilizzo, Cypeer ha permesso l’identificazione di alcuni eventi rilevanti in ambito cyber security, permettendo così una pronta ed efficace gestione di tali eventi, prima che questi mutassero in attacchi impattanti per il core business aziendale. Tra questi, l’identificazione di navigazioni verso categorie di siti web che avrebbero potuto costituire minacce per la postura cyber di sicurezza, oltre a evidenze di flussi che hanno permesso l’identificazione dei veri e propri errori di configurazione firewall, che avrebbero permesso eventuali furti di credenziali, accessi illegittimi e compromissioni ai servizi esposti sulla rete interna.

È stato sventato un attacco tentato mediante un Cryptolocker, che non è stato attivato grazie alla immediata reattività del Cypeer Agent ed è stato bloccato un attacco di tipo “Man in the Middle” che puntava ad attivare una regola di automatic forwarding nella posta elettronica di un utente dell’amministrazione.

In ambito CSI, la soluzione ha identificato all’interno del Clear, Deep e Dark web la presenza di credenziali di dipendenti trafugate per via di data breach subiti da enti terzi. La scoperta ha permesso all’I-SOC di Cyberoo di recuperare le credenziali in chiaro degli utenti coinvolti, aiutando ad avviare una serie di azioni di awareness con l’obiettivo di modificare la mentalità dei dipendenti e il loro approccio verso le tematiche di security.

Altro aspetto ad alto impatto, infine, è stato quello relativo all’analisi dei domini registrati con lo scopo di impersonare la società al fine di perpetrare frodi. L’I-SOC ha, difatti, portato l’evidenza di come tali domini sarebbero stati sfruttabili per campagne di phishing a danno dell’azienda stessa o partner (fornitori, clienti), oltre a rappresentare una possibile fonte di danno all’immagine del brand. Risultati che confermano come la cyber security nel retail sia sempre più prioritaria.


New call-to-action

Back to Blog