Lo stato della sicurezza DNS

Lo stato della sicurezza DNS

Di Trevagh Stankard, TitanHQ

Internet è diventato un rifugio sicuro per molti. Siamo in grado di passare con gioia le ore scorrendo le piattaforme dei social media, conversando con amici e familiari o impegnandoci in un acceso dibattito nel tentativo di porre finalmente l’annosa domanda “Cani contro gatti: chi è più carino?” a letto. Ma, per i suoi numerosi vantaggi, Internet può essere un luogo pericoloso, soprattutto per le aziende che fanno così tanto affidamento su di esso per svolgere il proprio lavoro.

Gli attori dannosi aspettano dietro le quinte, pronti a balzare su eventuali carenze di sicurezza informatica che la tua azienda potrebbe avere. Negli ultimi tempi, c’è stato un drastico aumento della criminalità informatica, a causa di una serie di ragioni diverse, una delle quali è l’adozione di massa di forza lavoro remota o ibrida. Senza che i tuoi dipendenti si trovino fisicamente in uno spazio ufficio, dove puoi tenere d’occhio più facilmente come utilizzano i loro dispositivi di lavoro, i siti che stanno visitando e le applicazioni o i file a cui accedono, la tua organizzazione è a rischio.

Una tattica adottata dai criminali informatici è quella di prendere di mira l’utilizzo del browser da parte dei dipendenti. Senza le adeguate misure di sicurezza DNS in atto, la tua organizzazione deve affrontare una minaccia significativa.

Le organizzazioni prendono abbastanza sul serio la sicurezza DNS?

Con il panorama della sicurezza informatica che sta subendo un cambiamento sismico, le organizzazioni stanno finalmente iniziando a dare la priorità alle loro soluzioni di sicurezza informatica, comprendendo che il mancato rispetto di ciò potrebbe, in definitiva, essere la ragione della loro caduta. Tuttavia, molti devono ancora adottare lo stesso approccio alla loro sicurezza DNS:

  • Il 25% delle aziende non esegue analisi sul proprio traffico DNS
  • Il 35% non utilizza il traffico DNS interno per il filtraggio
  • Solo il 12% raccoglie log DNS e correla tramite ML

È essenziale che le organizzazioni si rendano conto della minaccia rappresentata da un atteggiamento negligente nei confronti della sicurezza DNS, con un recente sondaggio del Neustar International Security Council (NISC) che ha rivelato che il 72% delle organizzazioni partecipanti aveva subito un attacco DNS nei 12 mesi precedenti, di questi:

  • Il 61% ha subito più di un attacco
  • L’11% ha riferito di essere stato preso di mira frequentemente
  • Il 58% ha riscontrato che la propria attività è stata colpita per oltre un’ora
  • Il 14% ha dichiarato che le proprie attività hanno impiegato diverse ore per riprendersi

È quindi essenziale che le organizzazioni sfruttino una soluzione di sicurezza DNS, come WebTitan, per rafforzare non solo la loro sicurezza informatica globale, ma anche la loro sicurezza DNS.

Cosa può fare WebTitan per te?

Quando consideri la tua sicurezza DNS e cerchi di identificare una soluzione che funzioni per te, ci sono una serie di capacità e funzioni a cui devi prestare attenzione. Ovviamente, prima di tutto vuoi che la tua soluzione di sicurezza DNS rafforzi la tua posizione di sicurezza informatica e aumenti le tue difese generali. Ma, a differenza di altre soluzioni di sicurezza DNS, WebTitan offre anche:

  • Blocco malware
  • Filtraggio dei contenuti
  • Scalabilità in base alle tue esigenze
  • Reportistica approfondita
  • Strumenti per prevenire gli attacchi di phishing
  • Servizi di rilevamento dannosi
  • Proteggi contro BEC
  • Aggiornamenti in tempo reale
  • …e molto, molto altro ancora

 

Dare priorità a XDR nel 2023: rilevamento e risposta più forti con meno complessità

Dare priorità a XDR nel 2023: rilevamento e risposta più forti con meno complessità

Di Kj McCann, Rapid7

Man mano che ci avviciniamo alla chiusura del 2022, le discussioni nel mercato continuano a girare intorno alle soluzioni di extended detection and response (XDR). Quali sono? Quali sono i vantaggi? Il mio team dovrebbe adottare XDR e, in caso affermativo, come valutiamo i fornitori per determinare l’approccio migliore?

Sebbene sul mercato continuino a esserci molte definizioni diverse di XDR, i temi comuni attorno a questa tecnologia sono:

  • Prodotti di sicurezza strettamente integrati che offrono funzionalità comuni di prevenzione, rilevamento e risposta agli incidenti
  • Efficienze operative pronte all’uso che richiedono una personalizzazione minima
  • Funzioni di orchestrazione della sicurezza e automazione per semplificare i processi ripetitivi e accelerare la risposta
  • Rilevamento di alta qualità con un setup richiesto limitato
  • Analisi avanzate in grado di correlare gli avvisi provenienti da più origini agli incidenti

In poche parole, XDR è un’evoluzione dell’ecosistema di sicurezza al fine di fornire una sicurezza elevata e più forte per i team di sicurezza con risorse limitate.

XDR per il 2023

Perché XDR è la soluzione di sicurezza informatica preferita? Con una superficie di attacco in continua espansione e minacce diverse e complesse, i centri operativi di sicurezza (SOC) necessitano di maggiore visibilità e di una copertura più efficace delle minacce in tutto il loro ambiente, senza creare ulteriori sacche di dati in silos da soluzioni puntuali.

Uno studio del 2022 sui leader della sicurezza ha rilevato che il team di sicurezza medio ora gestisce 76 strumenti diversi, con un’espansione incontrollata guidata dalla necessità di stare al passo con l’adozione del cloud e i requisiti di lavoro a distanza. A causa della crescita esponenziale degli strumenti, i team di sicurezza dedicano più della metà del loro tempo alla produzione manuale di report, estraendo dati da più strumenti in silos. Una soluzione XDR offre vantaggi significativi in termini di efficienza operativa centralizzando tutti quei dati per formare un’immagine coerente del tuo ambiente.

XDR è la mossa giusta per la tua organizzazione?

Quando pianifichi la tua sicurezza per il prossimo anno, considera quali risultati vuoi ottenere nel 2023.

Prodotto di sicurezza e consolidamento dei fornitori

Per combattere la crescente complessità, i leader della sicurezza e del rischio sono alla ricerca di modi efficaci per consolidare il proprio stack di sicurezza, senza compromettere la capacità di rilevare le minacce su una superficie di attacco in crescita. In effetti, oggi il 75% dei professionisti della sicurezza sta perseguendo una strategia di consolidamento dei fornitori, rispetto al solo 29% di due anni fa. Un approccio XDR può essere un percorso efficace per ridurre al minimo il numero di strumenti che il tuo SOC deve gestire, pur continuando a riunire la telemetria critica per potenziare il rilevamento e la risposta. Per questo motivo, molti team stanno dando la priorità a XDR nel 2023 per guidare il loro movimento di consolidamento. Si prevede che entro la fine del 2027, XDR sarà utilizzato fino al 40% delle organizzazioni di utenti finali per ridurre il numero di fornitori di sicurezza esistenti.

Mentre esplori la priorità di XDR nel 2023, è importante ricordare che tutti gli XDR non sono creati uguali. Un approccio XDR ibrido può consentire di selezionare i migliori prodotti tra le categorie, ma richiederà comunque un’implementazione, una configurazione e una gestione continua significative per riunire questi prodotti (per non parlare dei rapporti con più fornitori e delle spese da affrontare). Un approccio XDR nativo offre una suite più inclusiva di funzionalità da un unico fornitore. Per i team con risorse limitate, un approccio nativo può essere superiore a quello ibrido poiché è probabile che ci sia meno lavoro per conto del cliente. Un XDR nativo fa gran parte del lavoro di consolidamento per te, mentre un XDR ibrido ti aiuta a consolidare.

Miglioramento dell’efficienza e della produttività delle operazioni di sicurezza

“Efficienza” è una grande promessa di XDR, ma può sembrare diversa per molti team. Come si misura l’efficienza oggi? Quali aree sono attualmente inefficienti e potrebbero essere rese più veloci o più facili? Comprendere questa linea di base e dove il tuo team sta perdendo tempo oggi ti aiuterà a sapere a cosa dare la priorità quando perseguirai una strategia XDR nel 2023.

Un potente XDR sostituisce gli strumenti e i processi esistenti con metodi di lavoro alternativi e più efficienti. Esempi di processi da valutare mentre esplori XDR:

  • Ingestione di dati: man mano che la tua organizzazione cresce, vuoi essere sicuro che il tuo XDR possa crescere con essa. Le piattaforme XDR cloud-native saranno particolarmente forti in questa categoria, poiché avranno le basi elastiche necessarie per stare al passo con il tuo ambiente. Considera anche come aggiungere nuove origini eventi nel tempo. Questa può essere un’area critica per migliorare l’efficienza.
  • Dashboard e report: il tuo team è attrezzato per creare e gestire query, report e dashboard personalizzati? La creazione e la distribuzione di report può richiedere molto tempo, soprattutto per i nuovi analisti. Se il tuo team non ha tempo per la creazione costante di dashboard, prendi in considerazione gli approcci XDR che offrono contenuti predefiniti ed esperienze più intuitive in grado di soddisfare questi casi d’uso.
  • Rilevamenti: con una costante evoluzione degli attori e dei comportamenti delle minacce, è importante valutare se il tuo team ha il tempo di riunire l’intelligence sulle minacce e la creazione di regole di rilevamento necessarie per stare al passo con le minacce emergenti. Un XDR efficace può ridurre notevolmente o potenzialmente eliminare la necessità per il tuo team di creare e gestire manualmente le regole di rilevamento offrendo librerie di rilevamento integrate. È importante comprendere l’ampiezza e la fedeltà della libreria di rilevamenti offerta dal tuo fornitore e garantire che questo contenuto soddisfi le esigenze della tua organizzazione.
  • Automazione: trovare il giusto equilibrio per il tuo SOC tra tecnologia ed esperienza umana consentirà agli analisti di applicare le proprie competenze e formazione in aree critiche senza dover svolgere attività ripetitive e banali in aggiunta. Poiché diverse soluzioni XDR offrono diverse istanze di automazione, dai la priorità ai flussi di lavoro che forniranno i maggiori vantaggi al tuo team. Alcuni casi d’uso di esempio potrebbero connettere i processi tra i tuoi team IT e di sicurezza, automatizzare la risposta agli incidenti a minacce comuni o ridurre le attività manuali o ripetitive.

Indagini e risposta accelerati

Sebbene le soluzioni XDR affermino di ospitare una varietà di funzionalità che possono accelerare il processo di indagine e risposta, è importante capire come funziona attualmente il tuo team. Inizia identificando il tuo tempo medio per rispondere (MTTR) al presente, quindi qual è il tuo obiettivo MTTR per il futuro. Una volta che lo hai definito, guarda indietro al modo in cui gli analisti attualmente indagano e rispondono agli attacchi e prendi nota di eventuali lacune di abilità o conoscenze, in modo da poter capire quali capacità aiuteranno meglio il tuo team. XDR mira a tracciare un quadro più completo del comportamento degli aggressori, in modo che i team di sicurezza possano analizzarlo e rispondere meglio.

Alcuni esempi di domande che possono creare i casi d’uso necessari per raggiungere il ROI target per il prossimo anno.

  • Durante un’indagine, dove trascorre la maggior parte del tempo la tua squadra?
  • Quali processi consolidati sono attualmente in atto per la risposta alle minacce?
  • Quanto è adattabile la tua squadra di fronte a tecniche di minaccia nuove e sconosciute?
  • Hai stabilito playbook per minacce specifiche? La tua squadra sa cosa fare quando queste si presenteranno?

Ancora una volta, avere una linea di base di dove si trova la tua organizzazione oggi ti aiuterà a definire obiettivi e requisiti più realistici per il futuro. Quando valuti i prodotti XDR, approfondisci il modo in cui accorceranno la finestra per il successo degli attaccanti e guideranno una risposta più efficace per il tuo team. Per un team con risorse limitate, potresti voler considerare in particolare come un approccio XDR può:

  • Ridurre la quantità di disturbi di cui il tuo team ha bisogno e assicurati che gli analisti si concentrino sulle minacce prioritarie
  • Ridurre il tempo per un’indagine efficace fornendo eventi, prove e informazioni rilevanti su un attacco specifico
  • Fornire playbook efficaci che massimizzano l’autonomia per gli analisti, consentendo loro di rispondere alle minacce con sicurezza senza la necessità di intensificare o condurre indagini eccessive
  • Fornire l’automazione con un clic che gli analisti possono sfruttare per accelerare una risposta dopo che hanno avuto accesso alla situazione

Sblocca il potenziale di XDR con Rapid7

Se tu e il tuo team date la priorità a XDR nel 2023, ci piacerebbe aiutarti. L’approccio XDR nativo di Rapid7 sblocca il rilevamento avanzato delle minacce e la risposta accelerata per i team con risorse limitate. Con una copertura della superficie di attacco a 360 gradi, i team hanno una visione sofisticata del panorama delle minacce interne ed esterne. Rapid7 Threat Intelligence and Detection Engineering cura una libreria sempre aggiornata di rilevamenti delle minacce, verificata sul campo dai nostri esperti MDR SOC per garantire avvisi ad alta fedeltà e attuabili. E con i playbook di risposta consigliati e i flussi di lavoro predefiniti, il tuo team sarà sempre pronto a rispondere alle minacce in modo rapido e sicuro.

Post originale

Scopri di pù su Rapid7 oppure richiedi una demo

Zero Trust: la migliore difesa contro gli attacchi agli MSP

Zero Trust: la migliore difesa contro gli attacchi agli MSP

Di Dor Sarig, Product Manager, Perimeter 81

Alla luce della pandemia di COVID-19 e della trasformazione digitale che ha determinato sul posto di lavoro, i fornitori di servizi gestiti IT (MSP) devono affrontare molte sfide. Spesso hanno la responsabilità di garantire che i propri clienti possano continuare a operare in condizioni di business incerte e in continua evoluzione.

In aumento gli attacchi agli MSP

I criminali informatici vedono la pandemia come un’opportunità e gli MSP come un obiettivo ottimale poiché spesso non dispongono di risorse sufficienti per proteggersi da sofisticati attacchi informatici. Un recente avviso della Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha indicato un aumento di attività dannose nei confronti degli MSP nell’ultimo anno. Ciò è supportato da un rapporto di terze parti che afferma che quasi tutti gli MSP hanno subito un attacco informatico riuscito negli ultimi 18 mesi: oltre il 90% degli intervistati ha notato un aumento degli attacchi dall’inizio della pandemia.

È facile capire perché gli MSP dovrebbero essere presi di mira. Il loro ruolo prevede la gestione dei sistemi IT client come server, desktop, laptop e software. Con l’accesso agli agenti installati localmente, possono controllare le operazioni IT dei loro clienti senza dover mettere piede in loco. Gli MSP ospitano anche gli identificatori univoci dei loro clienti, come nomi utente e password, che possono essere utilizzati per accedere a reti e sistemi interni.

In poche parole, gli MSP sono un comodo punto di ingresso nella catena di approvvigionamento per accedere a dati e sistemi sensibili. Invece di infettare un’organizzazione con il ransomware, perché non prendere di mira il proprio fornitore di servizi e ottenere l’accesso a centinaia o migliaia di altre organizzazioni?

Gli aggressori che ottengono l’accesso al software di monitoraggio e gestione remoti (RMM) di un MSP possono quindi eseguire una serie di attacchi come compromissioni di e-mail aziendali o ransomware. Un buon esempio di ciò è stato l’attacco Kaseya, in cui le vittime sono state infettate tramite l’aggiornamento automatico del software.

Come possono proteggersi gli MSP?

Separare le reti interne

È importante che gli MSP comprendano il loro ambiente e segmentano le loro reti. Un buon inizio è applicare appropriati controlli di sicurezza della rete ai sistemi aziendali critici: identificare, raggruppare e isolare questi sistemi per ridurre l’impatto di una compromissione.

Tutte le connessioni tra i sistemi interni, i sistemi dei clienti e altre reti devono essere riviste e verificate dagli MSP. Separare i set di dati dei clienti gli uni dagli altri (e dai servizi, ove applicabile) nonché dalle reti interne dell’MSP per limitare l’impatto di un singolo vettore di attacco. Inoltre, le credenziali di amministratore non devono essere riutilizzate tra più clienti.

Usa il principio del privilegio minimo

Il principio del privilegio minimo dovrebbe essere applicato in tutto l’ambiente di rete di un MSP e i privilegi dovrebbero essere aggiornati immediatamente quando i ruoli amministrativi vengono modificati. Assicurati che gli account amministrativi non dispongano di accessi o privilegi non necessari utilizzando un modello di livelli.

Sfrutta i privilegi basati sul tempo e sulla posizione per limitare ulteriormente l’uso degli account con privilegi completi in un’azienda quando necessario. Infine, riduci l’accesso a dispositivi, servizi e utenti ad alto rischio. Questo principio dovrebbe essere applicato dagli MSP sia agli ambienti interni che a quelli dei clienti.

Applicare l’autenticazione a più fattori (MFA)

Per rafforzare l’infrastruttura che consente l’accesso a reti e sistemi, le organizzazioni dovrebbero proteggere le applicazioni di accesso remoto e applicare l’autenticazione a più fattori ove possibile. Si consiglia ai clienti di adottare la MFA in tutti i servizi e prodotti forniti dagli MSP. Inoltre, gli MSP dovrebbero implementare l’autenticazione a più fattori su tutti gli account che hanno accesso agli ambienti dei clienti e trattare tali account come privilegiati.

Migliora i processi di monitoraggio e registrazione

Implementare e mantenere un regime di registrazione separato per rilevare le minacce alla rete, tramite una soluzione SIEM o strumenti di registrazione discreti. Le attività coinvolte nella fornitura di servizi ai clienti dovrebbero essere registrate dagli MSP. A seconda dell’accordo contrattuale, gli MSP dovrebbero registrare l’attività della rete interna e del cliente.

Inoltre, le organizzazioni client MSP dovrebbero implementare funzionalità di rilevamento degli endpoint e monitoraggio della difesa della rete insieme a elenchi di applicazioni consentite/negate, sia attraverso accordi contrattuali con un MSP che in modo indipendente.

Implementa una soluzione di sicurezza Zero-Trust

Adottando una soluzione di sicurezza Zero Trust, gli MSP sono in grado di proteggere meglio dati, sistemi e servizi sensibili su reti aziendali sempre più disperse e complesse.

Il modello di sicurezza Zero Trust rimuove la fiducia implicita in qualsiasi elemento, nodo o servizio riconoscendo le minacce all’interno e all’esterno dei confini della rete tradizionale, richiedendo il monitoraggio continuo in tempo reale delle informazioni da più fonti per determinare l’accesso e altre risposte del sistema.

Partendo dal presupposto che una violazione sia inevitabile, Zero Trust limita costantemente l’accesso solo a ciò che è necessario e monitora comportamenti anomali o dannosi.

Per proteggere risorse e dati critici in tempo reale all’interno di un ambiente dinamico di minacce, una buona soluzione Zero Trust dovrebbe includere un monitoraggio completo della sicurezza, controlli granulari degli accessi basati sul rischio e l’automazione della sicurezza del sistema. Inoltre, dovrebbe fornire un unico punto di controllo e visibilità sulla rete in modo che il personale IT e di sicurezza possa vedere cosa sta succedendo ovunque si trovino gli utenti, a casa, al lavoro o in viaggio.

Con questo modello di sicurezza incentrato sull’utente, il principio dell’accesso con privilegi minimi può essere applicato alle decisioni di accesso consentendo o negando l’accesso alle risorse in base a diversi fattori contestuali.

Gli ambienti di rete stanno diventando sempre più complessi e gli avversari sono in grado di comprometterli più facilmente che mai. Pertanto, il focus difensivo deve cambiare. Utilizzando tecnologie come ZTNA, le reti critiche e i percorsi di accesso sono protetti eliminando il più possibile la fiducia implicita e verificando regolarmente ogni richiesta di accesso.

Una strategia Zero Trust correttamente implementata consente miglioramenti significativi nel rilevamento, prevenzione e contenimento delle intrusioni rispetto ad approcci e architetture di cybersecurity legacy meno integrati.

Post originale

Scopri di pù su Perimeter81

Soddisfare i requisiti di assicurazione informatica: l’AMF è sufficiente?

Soddisfare i requisiti di assicurazione informatica: l’AMF è sufficiente?

Di Sarah Reilly, Senior Product Marketing Manager, HYPR

L’anno scorso, HYPR ha riferito che molti assicuratori informatici ora richiedono alle organizzazioni di adottare l’autenticazione a più fattori. La crescente domanda di assicurazione sulla responsabilità informatica, il numero crescente di reclami e un picco nella gravità degli stessi hanno spinto i sottoscrittori a esaminare più da vicino i controlli di sicurezza di un’organizzazione. Da allora, e poiché gli attacchi informatici hanno continuato a diffondersi nell’ultimo anno, i requisiti di assicurazione informatica per solide misure di sicurezza interna si sono intensificati.

Le aziende che stipuleranno o rinnoveranno polizze stanno scoprendo che la maggior parte delle compagnie assicurative informatiche ha istituito requisiti di autenticazione a più fattori ancora più severi al fine di ridurre i premi o ottenere una copertura. Gli esperti di sicurezza e gli assicuratori informatici raccomandano da anni l’autenticazione a più fattori. Allora perché più aziende non l’hanno già implementato quando il mercato e il panorama degli attacchi stanno rendendo la sua necessità estremamente chiara?

Ostacoli per soddisfare i requisiti di assicurazione informatica per l’AMF

In un recente sondaggio, il 49% degli esperti di IT e sicurezza ha indicato la scarsa esperienza utente come una sfida primaria nell’implementazione delle soluzioni MFA tradizionali e il 48% ha affermato che sono difficili da integrare con i sistemi attuali. Lavoratori e clienti spesso resistono all’adozione dell’autenticazione a più fattori poiché richiede più passaggi per l’autenticazione.

Il colpo di produttività che deriva dall’AMF tradizionale fa esitare anche molte organizzazioni. Richiedere ai dipendenti di utilizzare un fattore aggiuntivo significa che impiegano più tempo per accedere alle applicazioni e ai sistemi di cui hanno bisogno per svolgere il proprio lavoro. In caso di problemi di accesso, si verificano tempi di inattività e richieste di help desk fino a quando non possono essere risolti.

Naturalmente anche il costo gioca un ruolo. Oltre ai costi di implementazione, gestione e help desk, potrebbero esserci anche costi pesanti, come le chiavi di sicurezza. Di fronte a queste ramificazioni di affari e costi, molte organizzazioni si trovano semplicemente incapaci di soddisfare i requisiti di assicurazione informatica.

L’AMF tradizionale è vulnerabile

Forse il più grande ostacolo però si riduce al fatto che l’AMF tradizionale non riduce abbastanza il rischio. Gli analisti della sicurezza hanno dimostrato che il 90% dell’AMF può essere aggirato dal phishing e da altre tecniche.

È qui che entrano in gioco le tecnologie MFA senza password resistenti al phishing. Molti requisiti di assicurazione informatica specificano l’MFA resistente al phishing come definito dal NIST e dall’OMB.

L’accesso è semplice e veloce e, a seconda del tipo di soluzione senza password implementata, potrebbero non esserci costi hardware oltre agli smartphone già posseduti dai tuoi utenti. Ancora più importante, la tecnologia veramente senza password, in cui né l’utente né il fornitore di servizi possiedono un segreto condiviso o condivisibile, è molto meno vulnerabile agli attacchi.

Quest’ultimo punto è importante. Molte soluzioni si definiscono senza password ma possono semplicemente nascondere una password, ad esempio utilizzando la biometria per sbloccare una password. Oppure possono archiviare le credenziali in un database centrale, il che significa che possono essere violate e rubate. Molti assicuratori informatici richiedono specificamente un’AMF resistente al phishing come definito dal NIST e dall’OMB.

Molti requisiti di assicurazione informatica richiedono anche specificamente l’autenticazione a più fattori quando si accede ai desktop. La maggior parte delle soluzioni MFA, sia tradizionali che senza password, copre solo l’accesso alle applicazioni o casi d’uso desktop limitati.

Soddisfa i requisiti di assicurazione informatica con HYPR PMFA

La piattaforma True Passwordless™ MFA (PMFA) di HYPR offre sicurezza senza compromessi unita a un’esperienza utente senza interruzioni che renderà felici il tuo dipartimento di sicurezza, gli utenti finali e la tua compagnia assicurativa.

HYPR collabora con le compagnie di assicurazione informatica per offrire ai propri clienti una soluzione PMFA che soddisfi e superi i requisiti di assicurazione informatica per l’autenticazione sicura. Inoltre, collaboriamo direttamente con le organizzazioni per implementare rapidamente e facilmente l’MFA senza password che le aiuta a realizzare molti vantaggi aggiuntivi, tra cui la riduzione del rischio di violazione, il miglioramento della soddisfazione degli utenti, la riduzione dei costi relativi a IAM e il rispetto dei requisiti normativi per la sicurezza informatica e la privacy dei dati.

Post originale

Scopri di pù su HYPR

Gli utenti di WebTitan e SpamTitan segnalano un ROI positivo

Gli utenti di WebTitan e SpamTitan segnalano un ROI positivo

Di Trevagh Stankard, TitanHQ

La determinazione del ritorno sull’investimento (ROI) per un investimento software è solitamente un processo indiretto. A meno che il software non guidi direttamente la crescita dei ricavi, il ROI deriva da risparmi sui costi e fattori immateriali ma importanti come la produttività dei dipendenti. Nel caso di WebTitan e SpamTitan, che i clienti utilizzano rispettivamente per proteggersi dalle minacce trasmesse dal Web e dalle e-mail di spam, il ROI emerge dall’evitare gli attacchi informatici e dal risparmio sui costi. In questo articolo, gli utenti WebTitan e SpamTitan reali su PeerSpot spiegano come hanno guadagnato un ROI sul loro investimento utilizzando queste soluzioni.

Risparmiare denaro prevenendo gli attacchi informatici

Gli attacchi informatici, che stanno diventando sempre più comuni e gravi, sono piuttosto costosi da porre rimedio. Tra il ripristino dei sistemi infetti, il recupero dei dati persi, la notifica ai clienti e la gestione dei danni al marchio, un attacco informatico lascerà una scia pesante. Evitare le spese di un attacco contribuisce al ROI per il software di sicurezza. Può sembrare ipotetico, ma i dirigenti vedranno la capacità di evitare un episodio finanziario disastroso come un ritorno sul loro investimento.

I membri di PeerSpot che utilizzano WebTitan e SpamTitan concordano sul fatto che queste soluzioni li hanno aiutati a evitare costosi attacchi informatici. Ad esempio, un Project Manager che utilizza WebTitan presso una società di servizi tecnologici afferma che la sua organizzazione ha già subito un attacco informatico perché un dipendente ha visitato un sito Web infetto.

Ha spiegato che “il malware è stato inserito nei sistemi dell’azienda e un dirigente ha quasi fornito informazioni di accesso a un gruppo di aggressori informatici”. Tuttavia, dall’utilizzo di WebTitan, l’azienda non ha subito attacchi informatici. WebTitan ha risparmiato all’azienda le spese e il fastidio di affrontare le conseguenze di un attacco.

In un altro esempio, Bornwell M., Head of Technical Support presso ZAMNET, una società di servizi tecnologici, ha rivelato di amare la funzione di blocco geografico di SpamTitan. Aiuta a impedire alle e-mail di spam di entrare nella rete e nei server di ZAMNET, riducendo la loro assunzione di spam. “La loro soluzione precedente era in grado di gestire solo il traffico in uscita”, ha affermato. “Ciò significava che non avevamo il controllo su ciò che stava arrivando attraverso la nostra rete”.

Nanyo N., amministratore delegato, utilizza SpamTitan anche per impedire agli utenti di creare collegamenti e allegati pericolosi e fornire una sicurezza IT complessiva. Ha affermato che “il canale di posta elettronica è ancora il metodo preferito per la distribuzione dei virus”. Il blocco di quel canale riduce il rischio di un attacco.

Risparmio di tempo

SpamTitan filtra spam e malware prima che raggiungano le caselle di posta degli utenti. Ciò consente alle persone di risparmiare tempo che altrimenti sprecherebbero a smistare tutto. Risparmiare tempo si traduce in un risparmio sui costi operativi, che fa guadagnare ROI per l’investimento in SpamTitan.

SpamTitan libera tempo per i dipendenti, che possono utilizzare in modo più produttivo. Ad esempio, Andrew D., il presidente di ActiveCo, una società di servizi tecnologici, gode della semplicità che fa risparmiare tempo di SpamTitan. Nelle sue parole, “alcune di queste altre soluzioni sono molto complicate da gestire. Mentre questo è molto semplice e facile. Ci ha offerto un margine non solo per i soldi, ma per la capacità di gestire una rete attraverso progetti o disastri”.

Nel frattempo, un responsabile dell’infrastruttura / database che utilizza WebTitan presso un’azienda sanitaria apprezza il tempo che la soluzione lo salva da una violazione della sicurezza. Nelle sue parole, “Ci ha evitato di dover rispondere a qualcosa di brutto che arrivava in sede”.

Ha continuato dicendo che WebTitan è un’opzione esente da manutenzione. Dopo la distribuzione iniziale, è semplice. Ha elaborato, dicendo: “Te ne dimentichi, ed è solo quando gli utenti richiedono che un sito Web venga sbloccato che devi lavorarci sopra. Potremmo avere una o due richieste alla settimana per sbloccare un sito Web. In termini di supervisione, è basta rivedere periodicamente i registri per vedere cosa sta succedendo. Non c’è manutenzione”.

Migliorare la produttività

Oltre a risparmiare tempo e denaro, l’utilizzo di WebTitan e SpamTitan può migliorare la produttività dei dipendenti, che è un altro fattore di ROI. Per prima cosa, WebTitan può bloccare l’accesso ai siti per la navigazione sui social media o per giocare, il che aiuta i dipendenti a evitare di distrarsi in modo che possano concentrarsi sul proprio lavoro.

Michael G., che utilizza WebTitan come Presidente di PJM Digital Design, una società di costruzioni, ha scoperto che lo strumento aiuta ad aumentare la produttività dell’azienda. Ha spiegato: “Ha impedito alle persone di guardare il basket, che si tratti delle Final Four o di March Madness. Ha anche impedito alle persone di andare su Amazon e fare acquisti.” WebTitan ha “aumentato la produttività impedendo agli utenti di accedere a siti indesiderati durante la giornata lavorativa”.

Allo stesso modo, l’Infrastructure/Database Lead di un’azienda sanitaria utilizza WebTitan per bloccare l’accesso a siti che potrebbero distrarre i dipendenti. Ha menzionato su PeerSpot di aver utilizzato la soluzione per mantenere tutti i dipendenti produttivi in ​​un ambiente di produzione. Ha spiegato che un grande evento sportivo potrebbe ridurre la produttività. Per combattere questo, usa WebTitan per ridurre “l’accesso ai siti Web minimi ed essenziali dei dipendenti”. Oltre a impedire alle persone di violare le politiche di utilizzo accettabile, WebTitan riduce la probabilità che un dipendente scarichi accidentalmente malware e attivi un incidente informatico.

WebTitan e SpamTitan producono ROI evitando costosi attacchi informatici e risparmiando tempo (e quindi denaro) aumentando al contempo la produttività. Man mano che questi fattori si uniscono, le aziende che implementano queste soluzioni dovrebbero essere sulla buona strada per realizzare guadagni finanziari dall’investimento.

Post originale

Scopri di pù su SpamTitanWebTitan

Rapid7 rende la complessità della conformità alla sicurezza un ricordo del passato con InsightIDR

Rapid7 rende la complessità della conformità alla sicurezza un ricordo del passato con InsightIDR

Di KJ McCann, Rapid7

In quanto soluzione SIEM e XDR unificata, InsightIDR offre alle organizzazioni gli strumenti necessari per promuovere un programma di conformità elevato ed efficiente.

Gli standard di sicurezza informatica e la conformità sono mission-critical per ogni organizzazione, indipendentemente dalle dimensioni. A parte le perdite dirette derivanti da una violazione dei dati, le aziende non conformi potrebbero dover affrontare commissioni elevate, perdita di affari e persino il carcere a causa di normative crescenti. Tuttavia, la gestione e il mantenimento della conformità, la preparazione per gli audit e la creazione dei rapporti necessari possono essere un lavoro a tempo pieno, che potrebbe non rientrare nel budget. Per i team già snelli, la conformità può anche distrarre da priorità di sicurezza più critiche come il monitoraggio delle minacce, il rilevamento precoce delle minacce e la risposta accelerata, esponendo le organizzazioni a rischi maggiori.

Un’efficiente strategia di conformità riduce i rischi, assicura che il tuo team sia sempre pronto per l’audit e, cosa più importante, spinge a concentrarsi su attività di sicurezza più critiche. Con InsightIDR, i professionisti della sicurezza possono soddisfare rapidamente i propri requisiti di conformità e normativi, accelerando al contempo il loro programma complessivo di rilevamento e risposta.

Ecco tre modi in cui InsightIDR è stato creato per elevare e semplificare i processi di conformità.

1. Potenti funzionalità di gestione dei registri per la piena visibilità dell’ambiente e la preparazione alla conformità

La visibilità completa dell’ambiente e la raccolta dei registri di sicurezza sono fondamentali ai fini della conformità, nonché per fornire una base per un monitoraggio efficace e il rilevamento delle minacce. Le aziende devono monitorare l’attività degli utenti, il comportamento e l’accesso alle applicazioni nell’intero ambiente, dal cloud ai servizi locali. L’adozione di servizi cloud continua ad aumentare, creando ancora più potenziali punti di accesso con cui i team possono stare al passo.

Le potenti capacità di gestione dei log di InsightIDR forniscono visibilità completa su queste potenziali minacce, oltre a consentire un solido reporting di conformità:

  • Centralizzare e aggregare tutti gli eventi rilevanti per la sicurezza, rendendoli disponibili per l’uso in monitoraggio, avvisi, indagini e ricerche ad hoc
  • Offrire la possibilità di cercare rapidamente i dati, creare modelli di dati e pivot, salvare ricerche e pivot come report, configurare avvisi e creare dashboard
  • Conservazione di tutti i dati di registro per 13 mesi per tutti i clienti InsightIDR, consentendo la correlazione dei dati nel tempo e rispettando i requisiti di conformità.
  • Mappatura automatica dei dati ai controlli di conformità, consentendo agli analisti di creare dashboard e report completi con pochi clic

Per fare un ulteriore passo avanti, l’interfaccia utente intuitiva di InsightIDR semplifica le ricerche eliminando la necessità per gli amministratori IT di padroneggiare un linguaggio di ricerca. Le ricerche di correlazione pronte all’uso possono essere richiamate in tempo reale o programmate per essere eseguite regolarmente in un momento specifico in caso di necessità di audit di conformità e reportistica, dashboard aggiornati e altro ancora.

2. Report di conformità e dashboard predefiniti per mantenerti organizzato e coerente

I contenuti di conformità predefiniti in InsightIDR consentono ai team di creare report affidabili senza investire innumerevoli ore nella creazione e nella correlazione manuale dei dati per fornire informazioni sullo stato di conformità dell’organizzazione. Con i report e i dashboard predefiniti, puoi:

  • Mappa automaticamente i dati ai controlli di conformità
  • Salva filtri e ricerche, quindi duplicali su dashboard
  • Crea, condividi e personalizza i rapporti direttamente dalla dashboard
  • Rendi disponibili i report in più formati come PDF o file HTML interattivi

La libreria di dashboard predefinite di InsightIDR semplifica più che mai la visualizzazione dei dati nel contesto di framework comuni. Intere dashboard create dai nostri esperti Rapid7 possono essere configurate in pochi clic. I nostri dashboard coprono una varietà di framework di conformità chiave come PCI, ISO 27001, HIPAA e altro.

3. Punti dati unificati e correlati per fornire approfondimenti significativi

Con potenti funzionalità di gestione dei registri che forniscono una base per la tua posizione di sicurezza, la capacità di correlare i dati risultanti e cercare comportamenti insoliti, anomalie del sistema e altri indicatori di un incidente di sicurezza è fondamentale. Queste informazioni vengono utilizzate non solo per la notifica di eventi in tempo reale, ma anche per audit e report di conformità, dashboard delle prestazioni, analisi delle tendenze storiche e analisi forensi degli incidenti post-hoc.

Gli utenti privilegiati sono spesso il bersaglio di attacchi e, se compromessi, in genere provocano i danni maggiori. Ecco perché è fondamentale estendere il monitoraggio a questi utenti. In effetti, a causa del rischio connesso, il monitoraggio degli utenti privilegiati è un requisito comune per il reporting di conformità in molti settori regolamentati.

InsightIDR fornisce una libreria costantemente curata di rilevamenti che comprende analisi del comportamento degli utenti, endpoint, monitoraggio dell’integrità dei file, analisi del traffico di rete e rilevamento e risposta delle minacce cloud, supportati dal nostro agente endpoint nativo, sensore di rete e software di raccolta. Le autenticazioni degli utenti, i dati sulla posizione e l’attività delle risorse sono baseline per identificare escalation di privilegi anomali, spostamenti laterali e credenziali compromesse. I clienti possono anche collegare i propri strumenti di gestione degli accessi privilegiati esistenti (come CyberArk Vault o Varonis DatAdvantage) per ottenere una visione più unificata del monitoraggio degli utenti privilegiati con un’unica interfaccia.

Soddisfa gli standard di conformità accelerando il rilevamento e la risposta

Sappiamo che la conformità non è l’unica cosa di cui un centro operativo di sicurezza (SOC) deve preoccuparsi. InsightIDR può garantire che i requisiti di conformità più critici siano soddisfatti in modo rapido e sicuro. Una volta che si dispone di un processo di conformità efficiente, il team sarà in grado di concentrare il proprio tempo e gli sforzi per stare al passo con le minacce emergenti e risolvere rapidamente gli attacchi, riducendo i rischi per l’azienda.

Post originale

Scopri di pù su Rapid7 oppure richiedi una demo

Tre punti di ingresso comuni per i ransomware

Tre punti di ingresso comuni per i ransomware

Di Amy Fair, SpyCloud

Il ransomware continua a essere un problema ampio, persistente e complicato che è al primo posto per la C-suite: un sondaggio di oltre 400 CISO ha rilevato che il ransomware è la principale minaccia informatica più preoccupante per gli intervistati. Un modo per prevenire il ransomware è identificare e correggere i punti di ingresso comuni. Qui ne delineamo tre e discutiamo i passaggi che devi intraprendere per colmare in modo proattivo le lacune nella tua strategia di prevenzione del ransomware.

1) Credenziali compromesse

I criminali non entrano, fanno il login e non sono a corto di credenziali da usare contro di noi. Solo l’anno scorso SpyCloud ha recuperato 1,7 miliardi di credenziali esposte e 13,8 miliardi di informazioni di identificazione personale (PII), tutte disponibili per i criminali da sfruttare negli attacchi. Il Verizon 2022 Data Breach Investigations Report ha anche indicato un aumento del 30% delle credenziali rubate dal 2017 e ha affermato:

“Sosteniamo da tempo che le credenziali siano il tipo di dati preferito dagli attori criminali perché sono utili per mascherarsi da utenti legittimi del sistema. C’è anche un grande mercato per la loro rivendita”.

Con l’aumento del ransomware nel 2021, è stato riferito che l’attacco al Colonial Pipeline, il più grande oleodotto di carburante degli Stati Uniti, è stato “il risultato di un’unica password compromessa”. Gli aggressori hanno ottenuto l’accesso alle reti dell’azienda tramite l’account di rete privata virtuale di un dipendente. La password del dipendente è stata scoperta in una serie di password trapelate disponibili sul dark web, il che significa che il dipendente “potrebbe aver utilizzato la stessa password su un altro account che era stato precedentemente violato”.

Uno degli approcci più semplici alla prevenzione del ransomware è trattarlo come un attacco successivo da account takeover (ATO). L’obiettivo di ATO è che i criminali perpetrino tutti i tipi di attività dannose, non limitate al ransomware, senza essere scoperti. In uno scenario tipico, un operatore di ransomware ottiene le credenziali tramite un broker di accesso iniziale, che le ha acquistate, indovinate o rubate e le fornisce all’operatore a pagamento.

Un’altra preoccupazione per quanto riguarda le credenziali compromesse è il riutilizzo della password. SpyCloud ha riscontrato un tasso di riutilizzo delle password del 64% lo scorso anno, il che mette le aziende a rischio quando i dipendenti riutilizzano le password su più account online. Le credenziali che sono state esposte in violazioni di dati di terze parti o sottratte tramite malware possono essere sfruttate per accedere ai loro account aziendali. Una soluzione automatizzata di prevenzione ATO può proteggere la tua organizzazione da compromessi dovuti al riutilizzo delle password, ridurre il rischio di perdita di dati e tempi di inattività dovuti al ransomware e proteggere il tuo marchio e la tua reputazione.

2) Dispositivi non gestiti o Bring Your Own Device (BYOD)

Anche i dipendenti che utilizzano dispositivi personali per accedere alle risorse e alle applicazioni aziendali rappresentano una minaccia per le organizzazioni. I team di sicurezza IT lottano già per rimanere al passo con le sfide di sicurezza di cui sono consapevoli, quindi aumentare la superficie di attacco con dispositivi che non possono vedere o controllare pone ancora più oneri ai team già sopraffatti.

Il malware diventa una minaccia significativa quando i dipendenti utilizzano dispositivi non gestiti; se qualcuno utilizza le proprie credenziali aziendali per accedere alle applicazioni aziendali su un dispositivo personale che è inconsapevolmente infettato da malware, tali informazioni potrebbero essere sottratte direttamente nelle mani dei criminali informatici per essere vendute nel sottosuolo criminale.

Considera la minaccia di un solo dispositivo infetto. Con l’accesso a 50, 60, 100, 200 applicazioni di lavoro, questo rappresenta un enorme rischio per l’azienda: ogni applicazione compromessa da malware, che si tratti di un’istanza SSO, di un database CRM o di una chat aziendale. Sono tutti punti di ingresso in un’organizzazione.

E non si tratta solo di un dispositivo o di alcune credenziali compromesse o di cookie di sessione. Gli infostealer sottraggono così tante informazioni anche da un solo dispositivo che il profilo di rischio creato da quell’infezione è significativo. Inoltre, il rischio è spesso sottovalutato poiché ottenere visibilità su dispositivi personali non monitorati ed esposizioni di applicazioni della forza lavoro di terze parti è difficile o impossibile per la maggior parte dei team di sicurezza.

Queste infezioni da malware possono avere gravi ripercussioni a lungo termine. I dati sottratti al malware vengono visualizzati sui registri delle botnet che vengono poi venduti alla criminalità clandestina, che possono essere utilizzati per lanciare attacchi ransomware. Gli operatori di ransomware utilizzano frequentemente i log di malware per identificare credenziali di alto valore e altri dati possono aiutare i gruppi di ransomware ad accedere alle aziende.

Sfortunatamente, le soluzioni EDR (Endpoint Detection Response) e ASM (Application Security Management) esistenti non offrono una protezione adeguata dagli attacchi malware. Le aziende hanno bisogno di informazioni dettagliate sul quadro completo dei rischi del malware, comprese le risorse compromesse che molto probabilmente porteranno a futuri attacchi ransomware.

3) Dispositivi gestiti con vulnerabilità

I criminali informatici sono alla ricerca di targhet a basso impatto e anche i dispositivi gestiti possono presentare vulnerabilità per le organizzazioni. Un computer dei dipendenti che non è aggiornato sulle patch di sicurezza o non segue le politiche di sicurezza potrebbe fungere da porta aperta per il ransomware.

Ad esempio, un criminale può scoprire una vulnerabilità in un server back-end. Di solito, quello che stanno cercando di trovare è il database degli utenti che contiene le e-mail o i nomi utente, le password e altre PII di tutti. Remote Desktop Protocol (RDP) è un altro modo in cui i malintenzionati possono accedere alle risorse aziendali accedendo al sistema utilizzando credenziali deboli o compromesse che potrebbero essere facilmente indovinate o acquistate in clandestinità criminale. Per alcuni criminali, questo è tutto ciò che fanno: cercano buchi nei server Web o in altri servizi di connessione a Internet e cercano di ottenere l’accesso da lì.

Una volta nella rete, i criminali possono quindi spostarsi lateralmente all’interno dell’organizzazione, aggirando l’autenticazione a più fattori (MFA) e aumentando i privilegi per ottenere ancora più accesso alle applicazioni e ai dati aziendali critici per poter iniziare a crittografare e distruggere i file.

Per prevenire questo tipo di vulnerabilità, i team di sicurezza IT devono monitorare e tenere traccia della conformità alle policy di sicurezza in tutta la forza lavoro per garantire che tutte le risorse e le risorse aziendali soddisfino le policy di sicurezza informatica dell’organizzazione. SpyCloud offre anche consigli sulle password per rafforzare ulteriormente le tue difese ransomware.

Protezione contro il ransomware

Per prevenire in modo proattivo gli attacchi ransomware, suggeriamo una raccomandazione chiave per ciascuno dei punti di ingresso sopra menzionati.

Credenziali compromesse

Implementa una soluzione ATO che monitori la criminalità clandestina alla ricerca di password rubate e corregga le credenziali compromesse per i tuoi dipendenti.

Dispositivi non gestiti

Identificare le minacce al di fuori del controllo aziendale e intraprendere azioni rapide per impedire l’accesso non autorizzato, ad esempio quando i cookie dei servizi critici della forza lavoro vengono rubati dai dispositivi personali o aziendali infetti dei dipendenti.

Vulnerabilità senza patch

Assicurati che tutte le risorse e le risorse aziendali siano aggiornate sugli aggiornamenti di sicurezza e agisci immediatamente quando un dipendente o un dispositivo non è conforme alle policy di sicurezza della tua organizzazione, soprattutto quando si tratta di policy sulle password.

 

Mentre le bande di ransomware continuano a riscontrare un successo diffuso nei loro attacchi dannosi, c’è ancora speranza quando si tratta di prevenzione del ransomware. Essere consapevoli dei punti di ingresso rischiosi e adottare misure proattive per colmare tali lacune nella tua posizione di sicurezza aiuterà a proteggere la tua organizzazione dagli attacchi ransomware.

Post originale

Scopri di pù su SpyCloud oppure richiedi una demo