Modera: Alessio Pennasilico "E se fosse un attacco mirato proprio contro la tua organizzazione? Sapresti gestirlo?" a cura di Giorgio Di Grazia Partendo dai concetti della filosofia hacker contenuti nel Jargon File, la presentazione sarà volta a descrivere il modello di “targeted attack”, l’evoluzione delle tecniche utilizzate nel corso degli anni per eludere i controlli preventivi, gli scenari futuri, i rischi concreti per le aziende. Si parlerà di APT Group storici (con esempi concreti di “Tactics, Techniques and Procedures”), focalizzando l’attenzione sulle tecniche utilizzate durante la fase di “post-exploitation”. Seguirà una descrizione dell’evoluzione dei tool impiegati dagli attaccanti: definizione di attacco fileless, uso di strumenti quali Mimikatz, Powershell, agenti post-exploitation basati su .NET, IronPython e C#, Living off the Land, capacità di evasione degli strumenti di endpoint protection. Perché vengono utilizzati, quali sono gli scopi che si prefiggono gli attaccanti. La conclusione permetterà d’introdurre il concetto di Managed Detection and Response.

"L’intelligenza artificiale come strumento “dual use” nella cybersecurity" a cura di Danilo Benedetti Tra le innumerevoli applicazioni degli algoritmi di intelligenza artificiale, un campo non secondario è rappresentato dalla Cyber-security, dove già da diversi anni sono presenti strumenti di sicurezza che utilizzano tali algoritmi per potenziare la capacità di individuare le minacce. La flessibilità e le potenzialità di questi algoritmi, unite alla larga disponibilità di kit software per la loro implementazione, offrono però un’opportunità anche ai cyber criminali, che potranno usare tali capacità per accrescere la sofisticazione o l’ampiezza degli attacchi. L’unione di queste due tendenze segnerà molto probabilmente l’avvio di una “corsa agli armamenti”, tra attacco e difesa, per cui il ruolo dell’intelligenza artificiale acquisirà un’importanza crescente per i due schieramenti. L’articolo si pone l’obiettivo di descrivere le opportunità, e le minacce, che l’introduzione dell’IA in ambito cyber porta con sé.

“Securing Your Connected World” a cura di Alessandro Fontana Le reti aziendali si stanno espandendo e l'IT incontra l’OT, in un mondo sempre più connesso. Molte organizzazioni stanno ancora costruendo la propria strategia... imparando dalle proprie vulnerabilità e dalle nuove sfide alla sicurezza.

“Accelerare le Security Operation Grazie al DNS” a cura di Gianluca De Risi I dati di contesto per la gestione degli incidenti informatici sono un elemento abilitante per i processi di security, ma spesso sono dispersi su più sistemi e la loro ricerca e gestione rallenta le attività dei team di sicurezza. Nome utente, device utente, OS del device, IP e MAC address, punto di accesso alla rete aziendale, nomi di dominio malevoli interrogati, volumi di traffico DNS anomali (exfiltration), classificazione dei nomi di dominio malevoli in categorie specifiche, quali fonti dicono che un nome di dominio è malevolo, quando e perché, oggi e nel passato, IP del DNS che serve un nome di dominio malevolo, email con la quale è stato registrato un nome di dominio malevolo, geolocalizzazione, etc. Tutte queste informazioni e molto altro sono elementi che ci aiutano a dare priorità agli incidenti e che permettono di creare una strategia di incident response basata su elementi di intelligence. Il DNS è il piano di segnalazione del TCP/IP, è un elemento mission critical ed imprescindibile di ogni architettura IT, sia essa in Cloud pubblico o privato o presso le sedi degli utenti. Più del 90% dei malware utilizza il DNS. Perché continuare ad utilizzare DNS e DHCP che non aggiungono alcun valore ai processi di security?