Orion

Per rispondere all’esigenza di un mondo in continua evoluzione, Telsy propone Orion, una piattaforma di Threat Intelligence completamente sviluppata internamente e con codice proprietario.
Orion è una piattaforma web di analisi e di correlazione studiata per la difesa predittiva e preventiva da minacce informatiche APT ed offre dettagli ed informazioni di contesto riguardo campagne malevole mirate allo spionaggio digitale e/o al sabotaggio delle infrastrutture.
Orion è un piattaforma studiata per essere utilizzata da personale operante in SOC o CERT del cliente e di terzi, e mette a disposizione dettagli utili al fine di valutare correttamente gli scenari emergenti in attacchi mirati di tipologia APT

• Orion processa giornalmente un media di 100k nuovi nomi a dominio applicando su di essi algoritmi di detection basati su specifici fingerprinting provenienti da attività di ricerca associando un grado di rischio per attore ostile.
• Possiede una base dati superiore a 1000 sottoreti /24 associabili ad operazioni condotte da attori di tipologia APT ed applica ciclicamente su di essi algoritmi di rilevamento per la discovery preventiva di CnC.
• Possiede una base dati proprietaria utile alle investigazioni mediante DNS con uno storico dati risalente al 2014.
• Correla autonomamente malware drop points, CnC e documenti «esca».
• Possiede un motore di scansione per l’identificazione automatizzata di oltre 150 famiglie di malware mirate all’esfiltrazione dati.
• E’ in grado autonomamente di riconoscere oltre 5k routines malevole ed associarle a campioniappartenenti a gruppi ostili di tipologia APT / Crime.
• Permette di accedere a reportistica strutturata su minacce di tipologia APT e Cyber Crime.
• Permette l’accesso ad una piattaforma dedicata di investigazione per minacce APT e Cyber Crime.
• Permette di accedere ad indicatori di compromissione aggiornati, esclusivi e fruibili tramite feed dedicati.
• Consente l’accesso a documenti ed informazioni reperiti e collezionati in canali di settore e ricerche nel «dark web».

IL servizio di Threat Landscape Analysis Phoenix si propone di verificare, nel tempo, l’esposizione lato cliente a fronte di minacce informatiche quali:

·        Virus
·        Bot
·        Cryptominer
·        APT
·        Phishing

L’erogazione del servizio Phoenix non richiede l’impiego di apparati dedicati o software specifici collocati presso le strutture del Cliente in quanto si basa sulle informazioni elaborate dalla piat- taforma di Cyber Threat Intelligence di Telsy (CTIP) e dalla collaborazione con alcuni dei prin- cipali hosting provider.
A fronte del rilevamento di uno o più eventi che coinvolgo le reti, le infrastrutture od il brand lato Cliente, il SOC-Telsy provvede ad emettere re- portistica specifica corredata con ogni infor- mazione utile per la mitigazione di quanto os- servato.

Modulo che consente l’analisi dinamica del malware ed analisi del comportamento.
Tramite apposità interfaccia l’utente potrà caricare il malware direttamente nella sandbox che provvederà alla detonazione. Il risultato della detonazione verrà poi visualizzato nella schermata di riepilogo.
La Sandbox “Telsy” è basata su una versione di Cuckoo, sistema di analisi malware automatizzato open source, ampiamente customizzata, con l’obiettivo di delineare le azioni del malware durante l’esecuzione in un sistema operativo isolato.
La soluzione basata su comuni macchine Windows 7 64bit, rese volutamente vulnerabili in un ambiente controllato, è stata hardenizzata per rendere inefficaci le più note tecniche di vm-detection sfruttate dalla maggioranza dei malware che renderebbe altresì inutile la detonazione dello stesso su una sandbox standard.
Il risultato finale genererà un report che prevede:
· Evidenza delle tracce di chiamate eseguite da tutti i processi generati dal malware;
· File creati, eliminati e scaricati dal malware durante la sua esecuzione;
· Dump della memoria dei processi malware;
·Traccia del traffico di rete scatenato dal malware;
· Dump (opzionale) di memoria completo della macchina
Il tutto rafforzato dai feed messi a disposizione
dalla piattaforma Telsy TI per il riconoscimento della famiglia di malware analizzato, attraverso le regole Yara proprietarie e condivise dalla community.

Il servizio è in grado di impedire la risoluzione di nomi a dominio classificati come malevoli od ostili.
Il servizio può essere erogato attraverso due principali modalità:

• Adozione, da parte del Cliente, dei server DNS Telsy per la risoluzione dei nomi.
• Integrazione dei security feed del SOC-Telsy presso l’infrastruttura DNS già in
opera lato Cliente.