BT adotta i test di sicurezza certificati STAR di CREST per proteggere le organizzazioni finanziarie dalle minacce informatiche
BT ha annunciato in data odierna il lancio a livello globale di “BT Assure Ethical Hacking for Finance”, un nuovo servizio di sicurezza pensato per testare l’esposizione agli attacchi informatici delle organizzazioni che offrono servizi finanziari.
La ricchezza di dati personali sensibili e di valore in mano alle organizzazioni finanziarie, quali banche retail, banche d’investimento e società assicurative, le rende uno dei bersagli più appetibili per gli hacker e i criminali informatici. Questo rischio si è intensificato negli ultimi anni con il trasferimento online di un numero sempre maggiore di servizi finanziari per il cliente finale e l’aumento del trading elettronico.
Assure Ethical Hacking for Finance utilizza metodologie evolute, che simulano quelle dei cosiddetti “black hats” ossia gli hacker malintenzionati, per fornire una serie di test diretti ai vari punti di accesso ai sistemi IT di una banca così come ai “punti deboli” di un’organizzazione. Questi includono phishing, dispositivi mobili e dispositivi hardware, dai PC portatili alle stampanti, reti interne ed esterne, database e sistemi ERP complessi. BT non solo testa e verifica i sistemi che possono accedere alla rete, ma effettua anche dei controlli per il rischio di errori umani, utilizzando ad esempio il “social engineering” per verificare il modo in cui i dipendenti applicano le policy in vigore.
Il nuovo servizio si avvale delle competenze nell’ambito dell’ethical hacking sviluppate lavorando per quasi vent’anni a stretto contatto con grandi istituti finanziari statunitensi. Entro i limiti delle rigide regole di ingaggio, gli hacker “etici” di BT possono effettuare database dump di decine di migliaia di codici di social security e numeri di carte di credito; eseguire il reverse engineering di flussi di dati con crittografia proprietaria; generare enormi quantità di carte regalo valide con dettagli di pagamento da altri account di prova; creare account di amministratore semplicemente attraverso l’apertura di un’email da parte di un dipendente; effettuare un escape dalle sessioni di accesso remoto e ottenere l’accesso alla shell dei sistemi, con la conseguente creazione di tunnel verso la società; trasferire fondi tra account di prova non autorizzati o raccogliere i dati completi degli account di tutti gli utenti attaccando le comunicazioni machine-to-machine.
L’obiettivo ultimo consiste nell’individuare le vulnerabilità che avrebbero ripercussioni sui principali processi di business di un’azienda e, di conseguenza, sul suo brand e sulla sua reputazione.
Il nuovo ‘Assure Ethical Hacking for Finance’ consentirà a BT di utilizzare i servizi certificati Simulated Targeted Attack and Response (STAR) di CREST per aiutare le aziende che offrono servizi finanziari a sviluppare le soluzioni di sicurezza più solide, garantendo la protezione dei dati sensibili dei clienti. BT è una delle prime società al mondo accreditate da CREST per la fornitura dei servizi STAR.
CREST ha sviluppato la certificazione STAR per fornire test della sicurezza informatica personalizzati basati sull’intelligence. STAR, sviluppata in collaborazione con la Banca d’Inghilterra e il governo britannico, include penetration test avanzati e servizi di intelligence per le minacce che consentono di riprodurre in modo più accurato le minacce informatiche agli asset critici.
Mark Hughes, president di BT Security, ha affermato: “La prospettiva di accedere alle informazioni finanziare confidenziali rappresenta una grande attrattiva per gli hacker, al punto che sono poche le società che richiamano l’attenzione dei criminali informatici quanto le banche. Oltre alla perdita economica diretta, un attacco informatico serio potrebbe provocare danni irreparabili alla reputazione. Anche se la preoccupazione si concentra per lo più sulle attività bancarie retail, la minaccia è altrettanto importante per le banche di investimento o per il settore wholesale, nel cui ambito le banche forniscono servizi come il cambio valuta e transazioni commerciali su larga scala per i principali clienti corporate. Noi incoraggiamo tutti gli istituti finanziari ad effettuare una rigorosa serie di simulazioni di cyber security, con le quali i consulenti di Ethical Hacking di BT sollecitano fino al limite le loro difese informatiche”.
BT dispone di un forte e pluripremiato team globale di specialisti della sicurezza, tra cui consulenti di Ethical Hacking che utilizzano un metodo standardizzato per testare i sistemi simulando attacchi hacker, segnalando le vulnerabilità individuate e fornendo chiare indicazioni per porre rimedio, che i clienti possono sfruttare per correggere rapidamente le applicazioni e i sistemi colpiti.
