All Stories
Follow
Subscribe to Horizon3.AI Europe GmbH

Horizon3.AI Europe GmbH

Horizon3.ai: Capacità di test di penetrazione raddoppiata grazie a NIS2

Horizon3.ai: Capacità di test di penetrazione raddoppiata grazie a NIS2
  • Photo Info
  • Download
  • Aumenta la domanda di test di penetrazione in vista dell'imminente entrata in vigore della NIS2
  • Dennis Weyel, Responsabile Europa: “Le aziende riconoscono che un test di penetrazione è la migliore prova di conformità”. Un test di penetrazione è un attacco informatico simulato sulla rete informatica di un'azienda.
  • Horizon3.ai gestisce NodeZero, una delle piattaforme di penetration test riconosciute a livello mondiale, nell'UE.

Milano, 9 ottobre 2024 - L'azienda di sicurezza informatica Horizon3.ai avrebbe raddoppiato la propria capacità di penetration test in Europa. Secondo Horizon3.AI Europe GmbH, con sede a Francoforte sul Meno, l'azienda sta espandendo i propri servizi in risposta a un'impennata della domanda in seguito all'imminente attuazione del regolamento sulla sicurezza delle reti e delle informazioni (NIS2) nell'Unione Europea. “Dalle nostre numerose conversazioni con i clienti, è chiaro che molte organizzazioni si sono rese conto solo di recente che un test di penetrazione è il modo migliore, e probabilmente legalmente l'unico, per fornire una prova vincolante della conformità alla NIS2”, afferma Dennis Weyel, Direttore Tecnico Internazionale responsabile per l'Europa di Horizon3.ai.

In un test di penetrazione (in gergo industriale “pentest”), la rete informatica dell'azienda viene deliberatamente attaccata per conto dell'azienda per valutarne la resilienza informatica. “Si può immaginare un pentest come un attacco informatico su larga scala e altamente sofisticato, ma a differenza di un vero attacco da parte di criminali, l'azienda ha tutto sotto controllo”, spiega Dennis Weyel a proposito di questo approccio. Horizon3.ai gestisce una delle piattaforme di pentesting più complete al mondo, NodeZero, presso la sua sede di Francoforte, che viene messa a disposizione di organizzazioni e istituzioni pubbliche attraverso partner noti come Managed Service Provider (MSP) e Managed Security Service Provider (MSSP).

Grazie all'ampliamento delle funzionalità di NodeZero, sia le reti IT in azienda (on-premise) che le configurazioni in ambienti cloud comuni come AWS o Azure possono essere sottoposte a una valutazione della sicurezza, riferisce Horizon3.ai. Poco prima dell'entrata in vigore dell'obbligo NIS2, il fornitore ha introdotto la propria soluzione denominata “NodeZero Cloud Pentesting”, che aiuta le aziende a identificare e correggere le vulnerabilità complesse sfruttabili e i percorsi di attacco nascosti nei loro ambienti cloud.

La BCE come pioniere del pentesting in Europa

In Europa, il concetto di pentesting è stato notevolmente sviluppato dalla Banca centrale europea (BCE) per il settore finanziario. Quest'anno, la BCE sottoporrà oltre 100 banche dell'UE a un test di penetrazione, definito “stress test per la resilienza informatica”. Con l'annunciata direttiva UE NIS2, che entrerà presto in vigore, il concetto di test di penetrazione come valutazione definitiva della resilienza informatica viene esteso oltre il settore finanziario a numerosi altri settori classificati come infrastrutture critiche (KRITIS). I settori interessati comprendono energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione, spazio, servizi postali e di corriere, gestione dei rifiuti, manifattura, produzione e distribuzione di prodotti chimici, produzione, trasformazione e distribuzione di alimenti, produzione e produzione di dispositivi medici, macchinari e veicoli, nonché dispositivi elettrici/elettronici, fornitori digitali e ricerca.

Il NIS2 non riguarda solo le aziende di infrastrutture critiche (KRITIS), ma anche i loro fornitori, clienti e altri partner commerciali. Dennis Weyel osserva: “La domanda di pentesting è aumentata drasticamente non solo nell'UE, ma anche in Nord America e in Asia, perché molte aziende con sede in questi Paesi annoverano tra i loro clienti aziende con sede nell'UE nell'ambito di catene di fornitura internazionali. Qualsiasi attacco a un partner commerciale può avere un impatto diretto su tutte le aziende collegate”.

Un test di penetrazione come indicatore della resilienza informatica

Secondo Horizon3.ai, durante un test di penetrazione con NodeZero, tutti i dispositivi, le macchine e i sistemi connessi vengono enumerati e poi controllati per verificare la presenza di vulnerabilità di sicurezza. “Il software obsoleto nei dispositivi esterni alla rete principale è uno dei punti di ingresso più comuni per i criminali informatici”, afferma Dennis Weyel. Cita esempi come registratori di cassa, telecamere di sorveglianza, stampanti, macchine CNC, robot di produzione e automazione degli edifici. Seguendo il principio che “una catena è forte solo quanto il suo anello più debole”, NodeZero esamina tutti questi componenti come parte di un test di penetrazione per garantire una catena di sicurezza senza soluzione di continuità e per evidenziare le vulnerabilità che dovrebbero essere affrontate il più rapidamente possibile, ad esempio attraverso un aggiornamento del software.

Secondo l'operatore della piattaforma, un test di penetrazione che utilizza NodeZero non scopre solo le vulnerabilità tecniche, ma anche le debolezze umane che mettono a rischio la sicurezza della rete aziendale. Horizon3.ai sostiene di basarsi sull'ingegneria sociale a questo scopo, ad esempio verificando se le password relative alla sicurezza possono essere ricavate dalle attività dei dipendenti sui social media. “Se un dipendente combina il nome del proprio animale domestico, di cui pubblica regolarmente un post, con la propria data di nascita per creare una password, la sicurezza della rete aziendale non è in buone condizioni”, spiega Dennis Weyel, aggiungendo: “NodeZero identifica tali rischi per la sicurezza umana durante un attacco simulato che non verrebbero mai rilevati con il semplice utilizzo di un software difensivo”.

Il Direttore Tecnico Internazionale responsabile per l'Europa di Horizon3.ai spiega la differenza tra offesa e difesa in questo contesto: “Nella maggior parte delle aziende, decine di programmi sono in esecuzione per respingere i cyberattacchi, e questa è una buona cosa. Tuttavia, è altrettanto necessario verificare regolarmente, attraverso test di penetrazione, la reale tenuta di questi software difensivi rispetto a diversi scenari di attacco. Questa cartina di tornasole per la resilienza informatica è richiesta da NIS2”. Nel caso del phishing, una delle forme di attacco più comuni che utilizzano l'ingegneria sociale, in cui un dipendente viene indotto a cliccare su un link tossico, NodeZero contribuisce al successivo contenimento aiutando le organizzazioni a ridurre al minimo le autorizzazioni di cui dispone un singolo dipendente nella rete aziendale, limitandole a quanto necessario per il suo lavoro. Pertanto, se un singolo account viene violato, gli aggressori non possono comunque accedere all'intera rete.

Dennis Weyel traccia un collegamento con la politica: “La burocrazia dell'UE può sembrare esagerata in molti settori, ma con NIS2 l'UE ha stabilito un livello di sicurezza che è senza dubbio necessario e urgente, poiché trasforma gli scenari di attacco nel test definitivo della resilienza informatica. In questo caso, la politica è davvero più avanti dell'economia, dato che l'attuale corsa al NodeZero può essere spiegata solo dall'urgente arretratezza di molte aziende”.

Horizon3.ai dà la priorità alle aziende che appartengono al gruppo centrale di KRITIS, come gli ospedali o i fornitori di energia. “Abbiamo creato una corsia preferenziale per gli operatori di infrastrutture critiche”, afferma Dennis Weyel. Per illustrare la definizione delle priorità, fornisce due esempi: “Un attacco informatico a un ospedale, ad esempio, potrebbe essere una questione di vita o di morte. Un'interruzione di corrente diffusa potrebbe potenzialmente colpire migliaia di famiglie”.

Si raccomanda una routine di Pentesting mensile

Secondo le sue stesse dichiarazioni, Horizon3.ai si è preparata a un'ulteriore espansione delle capacità di NodeZero. L'operatore della piattaforma non teme una sovraccapacità. “Un test al mese non è certo eccessivo se si considera che ogni mese in Europa vengono scoperte oltre 1.600 nuove vulnerabilità, di cui quasi un terzo classificate come critiche o ad alto rischio”, afferma Dennis Weyel, fornendo un parametro di riferimento per la conformità al NIS2*. Il suo consiglio personale è di eseguire un test a settimana. Egli sottolinea le statistiche che dimostrano che ogni giorno vengono scoperti più di 60 nuovi potenziali punti di accesso per i criminali informatici.

Poiché NodeZero conduce tutti i controlli di sicurezza autonomamente dal cloud, i costi di personale e finanziari per le aziende sottoposte a verifica sono bassi, sottolinea. “Ogni azienda di medie dimensioni può e deve sottoporre la propria resilienza informatica a un test di penetrazione almeno con la stessa regolarità con cui paga l'affitto mensile del proprio ufficio”, raccomanda Dennis Weyel, ”perché le conseguenze di una negligenza possono essere altrettanto gravi: senza affitto, l'azienda perde la propria sede come base per il funzionamento delle operazioni commerciali; in caso di attacco informatico, la sua funzionalità tecnica e organizzativa, compresi tutti i processi operativi, i dati e i segreti aziendali, sono a rischio. Inoltre, c'è una responsabilità personale fino al consiglio di amministrazione o alla direzione, non solo nei confronti delle agenzie statali in termini di conformità al NIS2, ma anche nei confronti di azionisti, partner commerciali e, in caso di furto di dati, clienti”.

* https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

Informazioni su Horizon3.ai e NodeZero: Horizon3.ai offre una piattaforma basata sul cloud, chiamata NodeZero, che consente alle aziende e alle autorità pubbliche di effettuare un auto-attacco alla propria infrastruttura informatica per verificarne la resilienza informatica (noti come test di penetrazione o pentest). I costi sono contenuti grazie al concetto di cloud, che rende i pentesting regolari accessibili anche alle aziende di medie dimensioni. Horizon3.ai analizza costantemente la scena della criminalità informatica, in modo da poter prendere immediatamente in considerazione le vulnerabilità emergenti tramite il cloud. NodeZero non solo scopre le lacune di sicurezza, ma fornisce anche consigli concreti su come porvi rimedio. Con la piattaforma, Horizon3.ai aiuta le aziende e le autorità a soddisfare i crescenti requisiti normativi in materia di resilienza informatica, che suggeriscono di effettuare un auto-attacco interno almeno una volta alla settimana. Richiedete una dimostrazione gratuita: www.horizon3.ai.

Avviso sui marchi : NodeZero è un marchio di fabbrica di Horizon3.ai

Ulteriori informazioni: Horizon3.AI Europe GmbH, Sebastian-Kneipp-Str. 41, 60439 Francoforte sul Meno, Web: www.horizon3.ai

Agenzia PR: euromarcom public relations GmbH, www.euromarcom.de, team@euromarcom.de

- - - -

More stories: Horizon3.AI Europe GmbH
More stories: Horizon3.AI Europe GmbH
  • 10.09.2024 – 09:01

    Tripwires: Horizon3.ai con un nuovo concetto di sicurezza contro i cyberattacchi

    Tripwires: Horizon3.ai con un nuovo concetto di sicurezza contro i cyberattacchi - NodeZero Tripwires: in un attacco simulato, vengono identificati i punti deboli e vi vengono posizionati dei tripwires digitali che danno l'allarme in caso di attacco reale. - Un sistema di allerta precoce per le reti aziendali basato sui risultati dei test di penetrazione. - Dennis ...