1. Master AA: Security Specialist
Sviluppo di una Tool Chain
per la Social VA
Strumenti, processi e metodi per l’analisi dell’esposizione e
delle vulnerabilità delle imprese sui Social Media
Piero Tagliapietra
1
2. Social Media e Aziende
1
I dipendenti usano i
Social Media
2
Alcune imprese NON
usano i Social Media
3
Alcune imprese usano i
Social Media
4
Alcune imprese danno in
outsourcing i Social Media
2
7. Social Vulnerability Assessment
1
Condurre analisi indirette
sui Social Media (OSINT)
2
Comprendere e
identificare le vulnerabilità
3
Valutare il livello di
esposizione
4
Proporre le conseguenti
forme di mitigazione
7
11. Cosa è stato fatto
Simulazione
Definizione
di uno
schema
11
12. Cosa è stato fatto
Simulazione
Definizione
di uno
schema
Analisi dei
tool
12
13. Cosa è stato fatto
Simulazione
Definizione
di uno
schema
Analisi dei
tool
Prove
empiriche
Comprendere cosa è possibile fare oggi
con le soluzioni esistenti
13
15. Review degli strumenti
1
Quali funzioni svolge il
tool?
2
Sono necessari interventi
dell’utente?
3
La piattaforma è semplice
da usare?
4
Il progetto è abbandonato
o mantenuto?
15
16. Sintesi
Analisi Sito
Analisi PP
Creepy
Facebook Ads
Foca
Graph Search
Maltego
Netvizz
Raccolta informazioni
Raccolta Mail
Identificazione Presidi
Analisi dei Presidi
Identificazione
Analisi attività dei
Ufficiali
azienda
Ufficiali
Dipendenti
dipendenti
Riconciliazione Profili
Node XL
Pushpin
Recon NG
SN search
Social MM
Social NM
Spokeo
The Harvester
The Scythe
Scarso
Discreto
Eccellente
16
17. Sintesi
Analisi Sito
Analisi PP
Creepy
Facebook Ads
Foca
Graph Search
Maltego
Netvizz
Raccolta informazioni
Raccolta Mail
Identificazione Presidi
Analisi dei Presidi
Identificazione
Analisi attività dei
Ufficiali
azienda
Ufficiali
Dipendenti
dipendenti
Node XL
Pushpin
Recon NG
SN search
Social MM
Social NM
Spokeo
The Harvester
The Scythe
Scarso
Riconciliazione Profili
Non esiste un unico
strumento
È necessaria una
componente umana di
analisi
Discreto
Eccellente
17
18. La Tool Chain
SNA
Sito WEB
Social
Networking
Monitoring
Social
Media
Monitoring
Tool
Target
Piattaforme
Social
Network
Search
People
Finding
18
27. Case Study 1
1
Recuperati più di 500 documenti
con informazioni per identificare
dipendenti, mail e software usati
2
Su più di 400 email aziendali
identificate, il 2% è usato come
mail di registrazione per Facebook
3
Identificati 20.000 dipendenti.
Mappati più di 30 presidi (molti
non ufficiali)
4
Foto ad alta risoluzione su Flickr,
badge su Instagram, su 4square
sale riunioni e interni
27
28. Case Study 2
1
Recuperati più di 600 documenti
con informazioni su client,
stampanti, mail e software usati
2
Recuperate 200 mail, inferite più
di 600. Oltre il 10% usate per
registrarsi su Social Network
3
Più del 30% dei dipendenti su
Facebook aveva il profilo
completamente aperto
4
4square rappresenta un elemento
particolarmente significativo per
identificare target
28