Fool Me Once: come le botnet aiutano gli attori malintenzionati a fingere di essere i tuoi dipendenti (e cosa possono fare le aziende al riguardo)

Fool Me Once: come le botnet aiutano gli attori malintenzionati a fingere di essere i tuoi dipendenti (e cosa possono fare le aziende al riguardo)

Di Trevor Hilligoss, SpyCloud.

Malware-as-a-service (MaaS) è un’economia in crescita nel sottosuolo criminale, che apre le porte a ransomware, frode di identità e altri crimini informatici. L’aumento della popolarità del malware per il furto di credenziali (noto anche come infostealer) è particolarmente una grande preoccupazione per le organizzazioni perché può rubare i dati di autenticazione dei dipendenti direttamente dai dispositivi dei dipendenti (gestiti o non gestiti), consentendo ai criminali informatici di impersonare quegli individui – e basta pochi secondi.

Probabilmente hai sentito molto che i criminali informatici diventano sempre più sofisticati. Ma non ci vuole molto buon senso per sfruttare gli infostealer. Chiunque abbia un paio di centinaia di dollari e qualche minuto libero può lanciare una campagna di malware, soprattutto considerando che ci sono anche persone che eseguiranno l’installazione per te.

Per immaginare l’entità della minaccia, considera il Raccoon Infostealer che è stato nelle notizie di recente. Il Dipartimento di Giustizia degli Stati Uniti ha recentemente incriminato la mente dietro il malware, un cittadino ucraino di 26 anni. Come parte della sua indagine, il DOJ ha trovato più di 50 milioni di credenziali di accesso univoche che sono state sottratte da endpoint infetti, ma ciò non tiene conto di tutto ciò che potrebbe ancora circolare sulla rete oscura.

La barriera all’ingresso per questo infostealer è praticamente nulla. Venduto nei mercati clandestini per circa $ 200 al mese, Raccoon era completo di tutti gli strumenti necessari per infettare i dispositivi e rubare i dati, inclusa una dashboard che consentiva al cliente di scaricare i dati rubati e creare configurazioni di malware individuali che potevano essere utilizzate per prendere di mira una varietà di privati o aziende. E anche se il governo degli Stati Uniti ha smantellato l’infrastruttura di Raccoon, la banda dietro questo MaaS è tornata in attività. Raccoon 2.0 viene pubblicizzato come una versione nuova e migliorata, con ancora più funzionalità.

Uno degli strumenti che consente agli attori malintenzionati di eseguire ampi attacchi di infostealer sono le “botnet” o reti di robot. Mentre gli infostealer sono spesso una delle parti più dannose del pacchetto, le botnet possono amplificare la portata e l’efficacia di una campagna automatizzando la parte di accesso iniziale del ciclo di attacco. Anche le botnet possono essere una specie di doppio smacco: devi preoccuparti non solo che i dati critici vengano sottratti su larga scala, ma anche che i dispositivi dei dipendenti diventino parte di questa rete.

L’evoluzione delle botnet

Le botnet sono state notoriamente utilizzate per lanciare attacchi DDoS (Distributed Denial-of-Service), come la botnet BredoLab del 2010 che, al suo apice, comprendeva oltre 30 milioni di singole macchine. Oggi le botnet si sono evolute per distribuire malware, compresi gli infostealer, spesso progettati per lasciare tracce minime o nulle sul dispositivo bersaglio. Questo malware spesso vola sotto il radar rimuovendosi dopo l’esecuzione, quindi qualsiasi segno viene eliminato quando il computer viene riavviato.

Dotati di strumenti come i moderni infostealer e altri mezzi per ottenere l’accesso iniziale, gli aggressori possono spesso prendere piede su una rete in pochi minuti. Il cloud lo rende ancora più semplice, poiché un utente malintenzionato può ridimensionare tale processo in modo tale da poter infettare migliaia di computer con poche interazioni manuali e sottrarre passivamente dati sensibili da una vasta rete di host infetti.

Grazie all’economia sommersa, chiunque può acquistare una botnet o pagare un infostealer, estrarre le credenziali che ha sottratto, creare un elenco combinato (combinazioni di nome utente e password) e lanciarlo contro un elenco di siti mirati per provare ad accedere ad altri account. Oppure, in alternativa, lo stesso utente malintenzionato può decidere di vendere un accesso prezioso, per una società specifica o forse per un asset come un grande conto di criptovaluta, al miglior offerente, che può essere un affiliato di ransomware o un altro attore criminale motivato finanziariamente.

Ma gli attori nefasti non devono nemmeno prendersi così tanti problemi. Basta guardare Raccoon – il gruppo dietro di esso lo pubblicizzava come un processo completamente automatizzato che era il risultato di mesi di sviluppo per far risparmiare ai “clienti” tempo prezioso e mal di testa – con tutti i componenti software, front-end e back-end inclusi.

Ciò che rende gli infostealer così pericolosi è che i dati sottratti direttamente dal dispositivo dei dipendenti aumentano notevolmente la percentuale di successo dei criminali informatici. Questi dati vengono condivisi in piccoli circoli criminali tra collaboratori fidati che possono utilizzarli per lanciare rapidamente attacchi. Ecco perché le infezioni da malware sono così strettamente legate agli attacchi ransomware: con le credenziali e i cookie appena raccolti o i dati delle impronte digitali del browser in mano, i malintenzionati sfruttano rapidamente tali informazioni per dirottare una sessione, aggirare l’autenticazione a più fattori (MFA), accedere al enterprise e iniziare a crittografare le risorse.

Quando il team di sicurezza scopre cosa è successo, è troppo tardi. E questo se rilevano effettivamente il malware. Considerando l’esplosione di dispositivi non gestiti e non monitorati, in particolare con l’aumento del lavoro da remoto, per non parlare dei dispositivi gestiti non sicuri e dei dispositivi degli appaltatori che non sono aggiornati, molti team di sicurezza hanno una visibilità limitata o nulla su ciò che accade sui dispositivi che i dipendenti utilizzare per accedere alle risorse aziendali.

Cosa può fare la tua azienda

Soluzioni di rilevamento e risposta alle minacce degli endpoint, backup dei dati, MFA, robuste policy di accesso: questi e altri controlli di sicurezza di base aiutano tutti a ridurre al minimo i rischi contro le botnet e le successive infezioni da malware. Per un’ulteriore prevenzione, le aziende possono assumere una posizione forte riducendo al minimo o addirittura eliminando completamente le pratiche BYOD che possono rappresentare una minaccia significativa per l’organizzazione.

Ma la prevenzione è solo uno strato. Le infezioni da malware possono capitare a chiunque: anche gli utenti più scaltri possono essere inconsapevolmente compromessi aprendo accidentalmente un’e-mail fantasticamente ingannata con un collegamento dannoso. Il rilevamento del malware distribuito dalle botnet al momento dell’infezione e la rapida risoluzione post-infezione sono una parte necessaria della tua difesa.

Cancellare semplicemente il malware dal dispositivo non fornisce quel livello di protezione. Devi sapere esattamente quali dati sono stati sottratti e come possono essere utilizzati come armi contro la tua azienda e reagire rapidamente prima che l’attaccante abbia l’opportunità di farlo.

È qui che la visibilità sui dati della rete oscura è fondamentale. Il monitoraggio di utenti e dispositivi compromessi consente di eseguire rapidamente la riparazione post-infezione. Per limitare la portata della minaccia, è necessario sapere non solo quali utenti e dati sono stati esposti, ma anche quali sistemi e applicazioni sono stati compromessi.

Sebbene le botnet siano solo un tipo di attacco informatico di cui essere a conoscenza, è anche utile rimanere aggiornati sulle minacce che colpiscono il proprio settore. Non hai necessariamente bisogno di un costoso feed di intelligence sulle minacce per essere a conoscenza delle tendenze e delle tattiche che i criminali informatici stanno impiegando: puoi farlo anche leggendo ricerche e notizie del settore. Sapere quali vulnerabilità vengono prese di mira attivamente può aiutarti a dare la priorità ai passaggi critici di mitigazione all’interno della tua organizzazione.

Tieni presente che la maggior parte degli infostealer moderni impiega meno di un secondo per infettare un dispositivo. Una volta che i tuoi dati sono fuori dalla porta, il rischio potrebbe durare per anni se non agisci per riparare tutte le informazioni compromesse. Nessuna impresa può permettersi di correre questo rischio.

Post originale

Scopri di più su SpyCloud oppure richiedi una demo

Powerlifting nel divario di competenze di sicurezza informatica

Powerlifting nel divario di competenze di sicurezza informatica

Di Jake Godgart, Rapid7

Tutti i motivi

C’è troppo da fare con troppo poco talento? Se il tuo SOC non funziona correttamente da un po’ di tempo, ci sono probabilmente più ragioni per cui. Come dice una frase gergale popolare in questi giorni, è a causa di “tutti i motivi”. Budget, tasso di abbandono dei talenti, gestione degli avvisi ovunque; potresti anche lavorare in un settore ad alto rischio / ad alta frequenza di attacco come l’assistenza sanitaria o i media.

A causa di “tutti questi motivi” – e forse alcuni altri – ti ritrovi con un carico pesante da mettere al sicuro. Un carico che forse non sembra mai alleggerirsi. Anche quando ottieni personale di sicurezza veramente talentuoso e inizi il processo di onboarding, più spesso in questi giorni sembra un enorme punto interrogativo se saranno disponibili anche solo tra un anno. E forse l’attuale divario di competenze in materia di sicurezza informatica è qui per restare.

Ma ciò non significa che non ci sia niente che tu possa fare al riguardo. Ciò non significa che non puoi essere potente di fronte a quel carico pesante e alla frequenza di attacco. Rafforzando il tuo elenco attuale e mettendo a punto strategie su come il tuo talento potrebbe collaborare al meglio con un fornitore di servizi di rilevamento e risposta gestiti (MDR), potresti non doverti semplicemente accontentare di superare il divario di talenti. Potresti scoprire che stai risparmiando denaro, creando nuove efficienze e attivando un superpotere che può aiutarti a sollevare il carico come mai prima d’ora.

Il vantaggio nascosto

Diciamo che la conservazione non è un grosso problema nella tua organizzazione. Come manager, cerchi di rimanere ottimista, rafforzare la positività quotidiana e mostrare la tua gratitudine per un lavoro ben fatto. Se è davvero così, molto probabilmente le persone si divertono a lavorare per te e probabilmente restano nei paraggi se sono pagate bene e in modo equo per la media del settore. Allora perché non rafforzare quella cultura e fiducia:

  • Alleggerire il carico: elimina la necessità di gestire la maggior parte dei falsi positivi e gli avvisi frequenti. Se alle tue persone piace davvero lavorare nella tua organizzazione, anche nel bel mezzo di un difficile divario di talenti, apprezzano il loro equilibrio tra lavoro e vita privata. Sfidare questo equilibrio chiedendo orari più lunghi per trasformare i tuoi dipendenti in glorificati pusher di pulsanti invierà il messaggio sbagliato e potrebbe mandarli a fare i bagagli per altri lavori.
  • Prevenire il burnout: i professionisti della sicurezza informatica devono iniziare da qualche parte e probabilmente in una posizione di livello base si occuperanno di molti avvisi e attività ripetitive mentre acquisiscono una preziosa esperienza. Ma di fronte allo stress crescente di incidenti ripetuti e ripetuti, falsi o meno, è più probabile che i lavoratori esperti pensino di abbandonare il loro lavoro attuale per qualcosa che considerano migliore. Quasi il 30% degli intervistati in un recente sondaggio di ThreatConnect ha citato il forte stress come motivo principale per cui lascerebbe un lavoro.
  • Creare spazio per innovare: tutti devono affrontare noiosi avvisi in qualche modo nel corso di una carriera. Tuttavia, le persone qualificate dovrebbero avere lo spazio per affrontare sfide più grandi e creative rispetto a qualcosa che molto probabilmente può essere automatizzato o gestito da un partner di servizi qualificato. Ecco perché un partner MDR può essere un moltiplicatore di forza, fornendo valore al tuo programma di sicurezza consentendo ai tuoi analisti di fare di più in modo che possano proteggere meglio l’azienda.

La conservazione potrebbe essere la ragione

L’ultimo punto sopra è più che giusto da fare. Liberare i singoli membri del tuo team per lavorare su progetti che guidano la visione e la missione più macro dell’organizzazione di sicurezza può essere quel moltiplicatore di forza che determina alti tassi di conservazione. Ed è fantastico!

La sfida successiva, quindi, consiste nel trovare quel partner che può essere un’estensione del tuo team di sicurezza, uno specialista di rilevamento e risposta in grado di raccogliere gli avvisi e concentrarsi sull’eliminazione delle attività ripetitive dalla tua organizzazione, aumentando il tasso di conservazione e creando spazio per innovare . Garantire un’ottima connessione tra il tuo team e il tuo fornitore di servizi preferito è fondamentale. Il fornitore diventerà essenzialmente parte del tuo team, quindi quella relazione è importante tanto quanto le dinamiche interpersonali dei tuoi team interni.

Un fornitore con una squadra di esperti interni di risposta agli incidenti può aiutare a velocizzare l’identificazione degli avvisi e la risoluzione delle vulnerabilità. Se puoi collaborare con un fornitore che gestisce la risposta alle violazioni al 100% internamente, invece di subappaltarla, questo può aiutare a formare legami più stretti tra il tuo team interno e quello del fornitore in modo da poter contenere e sradicare le minacce in modo più efficace.

 

Post originale

Scopri di più su Rapid7

Una migliore sicurezza nel cloud non dovrebbe richiedere budget maggiori

Una migliore sicurezza nel cloud non dovrebbe richiedere budget maggiori

Di Aaron Wells, Rapid7

Sfruttare appieno ciò che ti viene dato

Come puoi fare di più quando ti viene costantemente dato lo stesso o meno? Quando i budget per la sicurezza non corrispondono al ritmo delle operazioni cloud che hanno il compito di proteggere, l’unica cosa da fare è diventare un esperto del tratto. È difficile e potresti essere attualmente sotto stress crescente per farcela.

Mentre i budget complessivi totali diminuiranno effettivamente, Gartner ha recentemente previsto che la spesa per la sicurezza informatica e la gestione del rischio aumenterebbe dell’11,3% nel 2023, guidata in gran parte dal passaggio alle piattaforme cloud. E qual è stato un fattore importante nell’aumento dell’adozione del cloud? Hai indovinato: il passaggio a modelli di lavoro a distanza o ibridi durante il culmine delle misure di mitigazione della pandemia. In questi giorni potresti avere più a sostegno della tua argomentazione per un aumento dei finanziamenti.

Nella corsa del 2020 per mantenere le persone al sicuro esortandole a rimanere a casa e a rimanere occupate, la forza lavoro è diventata rapidamente virtuale, più distribuita e incredibilmente dipendente dalle piattaforme cloud per consentire la connettività reciproca. Le aziende che avrebbero potuto immergere le dita dei piedi prima della pandemia ora stanno facendo il pieno tuffo nel cloud dopo la pandemia.

La promessa del cloud è un punto interessante da discutere. Può essere più economico scalare nel cloud, ma a seconda di come è fatto e in quale settore, potrebbe effettivamente richiedere una parte maggiore del budget. Ma può ancora essere potente e flessibile. In altre parole, molto probabilmente i budget continueranno ad aumentare per l’adozione del cloud. Detto questo, se hai ancora problemi ad acquisire più budget per la sicurezza, cosa dovresti fare?

Trovare la giusta misura

Non stiamo parlando di uno scenario apocalittico in cui non vedrai mai un altro aumento del tuo budget. La sicurezza informatica e la sicurezza del cloud sono argomenti prioritari per le aziende e le nazioni di tutto il mondo. Tuttavia, le soluzioni si sono evolute per affrontare i problemi di budget delle organizzazioni di sicurezza. E ci sono fornitori affidabili che hanno creato offerte che possono fare di più senza chiedere di più al tuo budget. Questo scenario più con meno ha il potenziale per soddisfare tutti i livelli aiutandoti a:

  • Concentrarti sui casi d’uso: di che tipo di sicurezza cloud hai bisogno? Spendere inutilmente denaro per soluzioni di cui non hai bisogno equivale a un comportamento criminale nell’attuale crisi economica globale. Assicurati di sapere esattamente cosa devi proteggere, quanto si estendono i tuoi perimetri e i tipi generali di sicurezza disponibili (CSPM, CWPP, ecc.). InsightCloudSec di Rapid7 è una piattaforma unificata che incorpora molteplici casi d’uso e tipi di sicurezza cloud.
  • Estrapolare i potenziali costi e dimostrare il valore della sicurezza: una volta che sai di cosa hai bisogno e il tipo o i tipi di soluzioni che possono risolverlo, è una buona idea collaborare con chiunque controlli i tuoi budget per la sicurezza. Perché si tratta meno dei costi o delle quote di abbonamento che vedi oggi e più dell’estrapolazione dei risparmi sui costi man mano che crescono gli ambienti cloud, il trasferimento dei dati, l’archiviazione e altri aspetti di tale adozione. Allora saprai quanto o poco ti servirà per impegnarti in atti eroici che allungano il budget.
  • Individuaew soluzioni sotto un unico ombrello: vuoi trattare con uno o più fornitori? In quest’ultimo scenario, tieni a mente i molteplici team di supporto con cui dovrai destreggiarti e le diverse piattaforme su cui opereranno tali soluzioni. Non esiste una soluzione valida per tutti, ma esistono fornitori in grado di fornire una suite di funzionalità ad ampio raggio in modo da avere un unico punto di contatto e rendere operativa al meglio la sicurezza del cloud.

A proposito di tutta quella faccenda del “dimostrare il valore della sicurezza”…

Al giorno d’oggi, non dovresti davvero dimostrare il valore della tua organizzazione. Ma molto probabilmente ti senti così ogni volta che devi lottare per una fetta più grande della torta del budget. Certo, puoi impegnarti nell’allungamento dell’eroismo, ma dovresti impegnarti in quegli eroismi giorno dopo giorno, per anni e anni? Si spera non ora, quando il ransomware è ancora di gran moda e gli attacchi sponsorizzati dagli stati nazionali stanno diventando affari più legittimi in molte parti del mondo.

Il tempismo è tutto, tuttavia, e ora – alla fine dell’anno – sarebbe il momento di tirare fuori alcuni di quegli eroi e sostenere la tua causa per più budget. Ciò consentirà la tua esplorazione in una soluzione che può fare di più con meno. InsightCloudSec di Rapid7 è una piattaforma di gestione dei rischi e della conformità del cloud che consente alle organizzazioni di accelerare in modo sicuro l’adozione del cloud con sicurezza e conformità continue durante l’intero ciclo di vita dello sviluppo del software (SDLC).

Fornisce una soluzione completa per gestire e mitigare i rischi anche negli ambienti cloud più complessi. La piattaforma rileva i segnali di rischio in tempo reale e in un contesto completo, consentendo ai tuoi team di concentrarsi sui problemi che presentano il rischio maggiore per la tua azienda in base al potenziale impatto e alla probabilità di sfruttamento.

 

Articolo originale

Scopri di più su InsightCloudSec oppure Landing – Richiesta Demo Rapid7

Cosa rende buoni i servizi di sicurezza e-mail?

Cosa rende buoni i servizi di sicurezza e-mail?

SpamTitan, TitanHQ

Cosa rende i buoni servizi di sicurezza e-mail?

I servizi di sicurezza della posta elettronica sono uno dei componenti più importanti per proteggere la tua organizzazione dalle violazioni dei dati. Leggi le attuali violazioni dei dati di oggi e noterai che molte di esse iniziano con un messaggio di posta elettronica dannoso. Phishing, ingegneria sociale, frode del CEO, script dannosi che scaricano malware e frode sulle fatture sono tutte truffe comuni che sfruttano i messaggi di posta elettronica.

Spesso le organizzazioni iniziano con una formazione sulla sicurezza informatica. Sebbene la formazione riduca il rischio di compromissione da un’e-mail, lascia comunque l’organizzazione esposta all’errore umano. Anche i dipendenti che hanno familiarità con i messaggi dannosi possono essere colti alla sprovvista e potrebbero essere vittime di una truffa via e-mail o di phishing. Invece di fare affidamento esclusivamente sulla formazione sulla sicurezza informatica, dovrebbe essere combinato con un’adeguata sicurezza della posta elettronica.

I buoni servizi di sicurezza della posta elettronica impediscono ai messaggi dannosi di raggiungere la posta in arrivo di un utente mirato, salvandoli dal commettere errori e cadendo vittime di un attacco. Questi servizi metteranno in quarantena i messaggi e consentiranno agli amministratori di esaminarli prima di consentire a qualsiasi messaggio di raggiungere il destinatario previsto. Con la sicurezza della posta elettronica, la tua organizzazione riduce il rischio di violazione dei dati dovuta a errore umano.

Cosa succede quando la tua email non dispone di sicurezza informatica?

L’ultimo Verizon Data Breach Investigation Report indica che l’82% delle violazioni dei dati coinvolge un elemento umano e circa il 25% delle violazioni dei dati inizia con il phishing. Per le piccole imprese che pensano di non essere obiettivi, ripensaci. Le piccole imprese sono i bersagli preferiti dai criminali informatici, perché sanno che le piccole imprese non hanno i soldi per investire in una sofisticata sicurezza informatica che potrebbe costare centinaia di migliaia di dollari.

Circa un’e-mail di phishing su 99 (circa l’1%) ha esito positivo. Delle e-mail di phishing inviate alle aziende, circa il 65% di esse è indirizzato a utenti con privilegi elevati. Lo spear phishing prende di mira dirigenti, dipartimenti finanziari, contabili, risorse umane e altre aree di attività in cui gli aggressori sanno che le loro vittime hanno accesso a un’ampia raccolta di dati personali per dipendenti e clienti.

Anche la posta elettronica poco protetta è un problema di conformità. Molti degli standard conformi più severi odierni richiedono che le organizzazioni facciano ciò che è necessario per proteggersi dalle minacce comuni, inclusi gli attacchi e-mail. Una violazione dei dati in un’organizzazione poco protetta può costare milioni in violazioni e contenziosi. Per alcune organizzazioni, il danno al marchio associato a una violazione dei dati riuscita è sufficiente per incidere gravemente su entrate, fedeltà dei clienti e continuità aziendale.

L’email è sicura?

Per quanto importante sia la posta elettronica per molte organizzazioni, è una delle forme di comunicazione meno sicure. La posta ordinaria potrebbe non essere più una forma di comunicazione veloce, ma è più sicura dell’e-mail. Senza alcuna infrastruttura di sicurezza, i messaggi di posta elettronica vengono inviati non crittografati su Internet e possono essere intercettati con un aggressore correttamente posizionato. Ad esempio, un utente malintenzionato sulla stessa rete potrebbe intercettare i messaggi di posta elettronica e leggerli.

Poiché la posta elettronica non è sicura, gli utenti dovrebbero sapere di non inviare informazioni private tramite i sistemi di posta elettronica. In effetti, l’invio di informazioni sanitarie tramite e-mail è una violazione delle normative HIPAA (Health Insurance Portability and Accountability Act). L’assistenza sanitaria e altri dati sensibili non devono mai essere inviati tramite e-mail, anche internamente con altri dipendenti.

Alcuni servizi di posta elettronica gratuiti pubblici includono la sicurezza. Ad esempio, Gmail e Office 365 hanno la sicurezza integrata nei loro servizi. Per gli individui, questa sicurezza e-mail è sufficiente per gli attacchi di base. Per gli attacchi sofisticati, tuttavia, nessuno dei due è in grado di gestire messaggi indirizzati agli utenti da un elenco raccolto di potenziali vittime con privilegi elevati.

Esempio di email di phishing che aggirano la sicurezza standard

Un errore comune commesso da una piccola impresa è pensare che servizi come Office 365 abbiano una sicurezza sufficiente per proteggerla dal phishing. Il falso senso di sicurezza è ciò che rende gli attacchi di phishing così efficaci contro queste aziende. Sebbene Microsoft Office 365 svolga un buon lavoro nel difendersi da attacchi semplici, una minaccia dedicata rivolta a un’azienda può aggirare le difese di Office 365.

Un trucco comune consiste nell’utilizzare i messaggi di “consegna e-mail non riuscita” e nell’inviarli a una vittima mirata. Il messaggio indica che il messaggio non è riuscito, ma l’utente di destinazione può fare clic su un pulsante per inviare nuovamente il messaggio. Quando l’utente fa clic sul pulsante di invio, il messaggio scarica uno script dannoso che installerà malware sul computer locale.

Un altro attacco comune utilizza gli avvisi di sistema. Ad esempio, Office 365 offre agli utenti una determinata quantità di spazio di archiviazione per il piano di abbonamento scelto. Quando gli utenti raggiungono i propri limiti, Office 365 invia un messaggio agli utenti per informarli che raggiungeranno presto i propri limiti di archiviazione. Gli aggressori utilizzano una copia di questo avviso da inviare alle potenziali vittime. Il messaggio di posta elettronica potrebbe contenere uno script dannoso o richiedere agli utenti mirati di fare clic su un pulsante per aggiornare il proprio account o rivedere la capacità di archiviazione. Gli utenti che scaricano uno script dannoso avranno malware installato sul proprio sistema. Se il collegamento invia l’utente a una pagina Web controllata da un utente malintenzionato, la pagina chiederà loro di immettere le credenziali di Office 365 per accedere ai propri report. La pagina è una pagina di phishing e l’inserimento delle credenziali le invierà a un atta

Gli avvisi con tecniche simili indicheranno agli utenti che il loro account sta per essere disattivato o che devono accedere al proprio account per risolvere un problema di fatturazione. Tutti questi esempi termineranno con il furto di credenziali o l’installazione di malware sul computer locale. I file potrebbero essere allegati in modo da sembrare documenti Office 365 legittimi, inclusi i file condivisi che utilizzano SharePoint per aggirare la convalida della sicurezza e raggiungere la posta in arrivo del destinatario previsto. Per ogni e-mail di phishing che raggiunge l’obiettivo previsto, la tua organizzazione accumula ulteriori rischi per la sicurezza informatica. Questi rischi non sono necessari con la giusta infrastruttura di sicurezza informatica.

Best practices per i servizi di sicurezza della posta elettronica

Sebbene i servizi di sicurezza e-mail siano uno dei componenti più importanti in una strategia di sicurezza informatica, è anche uno dei più semplici con SpamTitan. SpamTitan fornisce una difesa sicura tra i tuoi utenti, Internet e i tuoi destinatari di posta elettronica. Implementa diverse best practice che qualsiasi organizzazione può implementare come efficace strategia di sicurezza informatica della posta elettronica.

La crittografia è lo strumento numero uno per qualsiasi organizzazione per evitare l’intercettazione dei dati. È comunemente usato per i siti di e-commerce e altre attività che scambiano dati sensibili su Internet, ma è utile anche per i messaggi di posta elettronica. I dipendenti non dovrebbero comunque inviare dati sensibili tramite e-mail, ma la crittografia interrompe le intercettazioni qualora i messaggi contengano informazioni sensibili come segreti commerciali o proprietà intellettuale.

Il filtraggio dei contenuti e l’identificazione delle e-mail sospette sono due protezioni che SpamTitan fa meglio. Utilizzando l’intelligenza artificiale, SpamTitan scansiona le e-mail man mano che vengono inviate e ricevute. L’intelligenza artificiale rileva i trigger contestuali e il linguaggio che potrebbero indicare che un messaggio è dannoso. SpamTitan scansiona anche gli allegati per assicurarsi che non contengano script o malware dannosi.

I collegamenti incorporati possono anche puntare a siti Web dannosi. Un filtro del contenuto insieme alla sicurezza della posta elettronica aiuterà a impedire agli utenti di accedere a siti Web controllati da aggressori. La sicurezza dell’e-mail rileva il dominio dannoso utilizzato per il collegamento incorporato e invia il messaggio a un’area in quarantena della rete. Simile al modo in cui il software antivirus mette in quarantena i file sospetti, SpamTitan invia i messaggi sospetti a un’area in quarantena dove un amministratore può esaminare il messaggio e determinare se si tratta effettivamente di un tentativo di phishing di un dipendente e con l’inganno di accedere a un sito Web dannoso. Se l’amministratore determina che la quarantena è un falso positivo, può essere inoltrata al destinatario previsto.

Sono inoltre necessarie politiche di sicurezza e-mail efficaci e disponibili con SpamTitan. Un criterio di posta elettronica determinerà il tipo di allegati e messaggi che un utente può ricevere. Ad esempio, gli amministratori potrebbero dover leggere i PDF, ma questi file possono avere script incorporati che scaricano malware. Gli amministratori di posta elettronica possono creare criteri per consentire a persone specifiche di ricevere file PDF, ma il sistema di posta elettronica impedirà ad altri utenti di ricevere messaggi con allegati PDF.

I criteri possono bloccare e consentire qualsiasi tipo di messaggio, messaggi con collegamenti incorporati, messaggi con allegati o mittenti specifici. Queste politiche miglioreranno i tuoi servizi di sicurezza della posta elettronica in modo che i tuoi utenti ricevano messaggi solo da utenti legittimi e non vengano indotti ad accedere a siti Web dannosi. Le politiche di sicurezza della rete combinate con la sicurezza della posta elettronica rappresentano un modo efficace per fermare gli attacchi sofisticati, inclusi malware come il ransomware.

SpamTitan fa molto di più della semplice protezione della posta elettronica. Può fermare gli attacchi zero-day, fermare i messaggi fastidiosi sotto forma di spam e prevenire la fuga di dati. Il livello di protezione aggiuntivo di Office 365 si integra con il tuo attuale sistema Office 365 in modo da poter migliorare la sicurezza della posta elettronica. Le blacklist predefinite bloccano i domini comuni già noti per la distribuzione eccessiva di spam e malware, in modo da ottenere una protezione immediata dei dati immediata.

Gli amministratori possono visualizzare i rapporti sulla quarantena dello spam in modo da comprendere i molti modi in cui SpamTitan blocca efficacemente i messaggi dannosi. Se gli amministratori devono modificare le configurazioni per consentire o bloccare messaggi aggiuntivi, SpamTitan include un dashboard delle politiche personalizzabile in cui gli amministratori possono configurare il sistema di sicurezza della posta elettronica per soddisfare le tue pratiche aziendali uniche.

Man mano che gli attacchi informatici continuano a evolversi, puoi assicurarti che la tua organizzazione e i suoi dati siano protetti dalle numerose minacce che prendono di mira i dipendenti. L’errore umano non deve essere un rischio enorme per la tua organizzazione.

Articolo originale

Scopri di più su SpamTitan

Novità di InsightIDR: revisione del terzo trimestre 2022

Novità di InsightIDR: revisione del terzo trimestre 2022

Di KJ McCann, Rapid7

Questo post di riepilogo del terzo trimestre 2022 esamina alcuni degli ultimi investimenti che abbiamo fatto in InsightIDR per promuovere il rilevamento e la risposta per la tua organizzazione.

XDR a 360 gradi e copertura della superficie di attacco con Rapid7

La suite Rapid7 XDR — ammiraglia InsightIDR, insieme a InsightConnect (SOAR) e Threat Command (Threat Intel) — unifica la copertura di rilevamento e risposta sulla superficie di attacco interna ed esterna. I clienti rilevano le minacce in anticipo e rispondono più rapidamente, riducendo la finestra per il successo degli aggressori.

Con gli avvisi Threat Command ora inseriti direttamente in InsightIDR, ricevi un’immagine più olistica del tuo panorama delle minacce, oltre il tradizionale perimetro di rete. Unificando questi rilevamenti e i relativi flussi di lavoro in un’unica posizione, i clienti possono:

  • Gestisci e ottimizza i rilevamenti dei comandi di minaccia esterni dalla console InsightIDR
  • Indaga sulle minacce esterne insieme al contesto e ai rilevamenti del loro più ampio ambiente interno
  • Attiva flussi di lavoro di risposta automatizzati per gli avvisi di Threat Command, basati su InsightConnect, da InsightIDR per estinguere le minacce più velocemente

I prodotti Rapid7 ci hanno aiutato a colmare il divario nel rilevamento e nella risoluzione degli incidenti di sicurezza con il massimo effetto. Ciò ha portato a un ambiente più sicuro per i nostri carichi di lavoro e ha creato una cultura di pratiche aziendali sicure.

— Gestore, sicurezza o IT, società di software per computer di medie imprese tramite Techvalidate

Elimina le attività manuali con l’automazione estesa

Riduci il tempo medio di risposta (MTTR) alle minacce e aumenta la fiducia nelle tue azioni di risposta con l’integrazione estesa tra InsightConnect e InsightIDR. Crea e associa facilmente i flussi di lavoro InsightConnect a qualsiasi analisi del comportamento di attacco (ABA), analisi del comportamento degli utenti (UBA) o regola di rilevamento personalizzata, in modo da poter avviare azioni di risposta personalizzate non appena viene attivato un avviso. Metti in quarantena le risorse, arricchisci le indagini con più prove, avvia i flussi di lavoro di ticketing e altro ancora, il tutto con un solo clic.

Visualizza in anteprima l’impatto delle eccezioni sulle regole di rilevamento

Basandosi sulla nostra esperienza di ottimizzazione del rilevamento intuitiva, ora è più facile prevedere in che modo le eccezioni influiranno sul volume degli avvisi. Visualizza in anteprima le eccezioni in InsightIDR per confermare la tua logica e garantire che l’ottimizzazione produca avvisi pertinenti e ad alta fedeltà. Le anteprime delle eccezioni ti consentono di perfezionare con sicurezza il comportamento delle regole di rilevamento ABA per utenti, risorse, indirizzi IP specifici e altro per adattarlo ai tuoi ambienti e circostanze unici.

Semplifica le indagini e la collaborazione con commenti e allegati

Con i team più distribuiti che mai, la capacità di collaborare virtualmente intorno alle indagini è fondamentale. Il nostro sistema di note rivisto ora consente al tuo team di creare commenti e caricare/scaricare allegati avanzati tramite Dettagli di indagine in InsightIDR, nonché tramite l’API. Questa nuova funzionalità garantisce che il tuo team abbia continuità, documentazione e tutte le informazioni rilevanti a portata di mano mentre diversi analisti collaborano a un’indagine.

Aggiungi rapidamente e facilmente commenti e carica e scarica allegati per aggiungere contesto pertinente raccolto da altri strumenti e rimanere in contatto con il tuo team durante un’indagine.

Nuova opzione di distribuzione di vCenter per Insight Network Sensor

In qualità di professionista della sicurezza che cerca di ridurre al minimo la superficie di attacco, è necessario conoscere i tipi di dati sulla rete e la quantità di dati in movimento: due aree critiche che potrebbero indicare attività dannose nel proprio ambiente.

Con la nostra nuova opzione di implementazione vCenter, ora puoi utilizzare il mirroring delle porte distribuito per monitorare il traffico interno est-ovest e il traffico su più server ESX utilizzando un solo sensore di rete Insight virtuale. Quando si utilizza il metodo di distribuzione vCenter, scegliere l’opzione GRETAP tramite la pagina di gestione del sensore.

Il primo VeloCON annuale riunisce gli esperti DFIR di tutto il mondo

Rapid7 ha riunito esperti e appassionati di DFIR da tutto il mondo questo settembre per condividere esperienze nell’utilizzo e nello sviluppo di Velociraptor per soddisfare le esigenze della più ampia comunità DFIR.

L’esclusiva piattaforma open source avanzata di monitoraggio degli endpoint, digital forensic e cyber response di Velociraptor offre la possibilità di rispondere in modo più efficace a un’ampia gamma di indagini di digital forensic e cyber incident response e violazioni dei dati.

Guarda VeloCON on-demand per vedere gli esperti di sicurezza approfondire nuove idee, flussi di lavoro e funzionalità che porteranno Velociraptor al livello successivo di gestione, rilevamento e risposta degli endpoint.

Una libreria in crescita di rilevamenti utilizzabili

Nel terzo trimestre, abbiamo aggiunto 385 nuove regole di rilevamento ABA a InsightIDR. Guardali all’interno del prodotto o visita la Libreria di rilevamento per descrizioni e consigli utili.

 

Post originale

Scopri di pù su Rapid7 InsightIDR oppure richiedi una demo

 

Come fare il deployment di un SIEM che funziona davvero

Come fare il deployment di un SIEM che funziona davvero

Di Robert Holzer, IT Administrator at Schlotterer Sonnenschutz Systeme GmbH, Rapid7

 

Ho distribuito il mio SIEM in giorni, non mesi: ecco come puoi farlo anche tu

In qualità di amministratore IT di un’azienda manifatturiera altamente digitalizzata, ho passato molte notti insonni senza avere visibilità sull’attività e sulla sicurezza del nostro ambiente prima di implementare una soluzione SIEM (Security Information and Event Management). Nell’azienda per cui lavoro, Schlotterer Sonnenschutz Systeme GmbH, disponiamo di molte macchine di produzione che si basano sull’accesso a Internet e società esterne che si connettono in remoto all’ambiente della nostra azienda, e non riuscivo a vedere che accadesse. Una delle mie maggiori priorità era trovare e implementare soluzioni di sicurezza all’avanguardia, a cominciare da uno strumento SIEM.

Ho chiesto a colleghi e partner del settore IT la loro esperienza nell’implementazione e nell’utilizzo della tecnologia SIEM. La maggior parte dei feedback che ho ricevuto è stata che l’implementazione di un SIEM è stato un processo lungo e difficile. Quindi, una volta alzati in piedi, ai SIEM mancavano spesso informazioni o da cui era difficile estrarre dati utilizzabili.

Il feedback non ha instillato molta fiducia, soprattutto perché questa sarebbe stata la prima volta che ho implementato personalmente un SIEM. Ero preparato per una lunga strada di schieramento davanti a noi, con il rischio che gli scaffali incombessero su di noi. Tuttavia, con mia sorpresa, dopo aver identificato InsightIDR di Rapid7 come la nostra soluzione prescelta, il processo è stato gestibile ed efficiente e abbiamo iniziato a ricevere valore pochi giorni dopo l’implementazione. Rapid7 è chiaramente un valore anomalo in questo spazio: in grado di offrire un’esperienza di onboarding intuitiva e accelerata, pur continuando a fornire informazioni fruibili e risultati di sicurezza sofisticati.

3 passaggi chiave per una distribuzione SIEM di successo

Sulla base della mia esperienza, il nostro team ha identificato tre passaggi critici che devono essere presi per avere una distribuzione SIEM di successo:

  • Identificazione delle origini degli eventi principali e delle risorse che intendi integrare prima della distribuzione
  • Raccolta e correlazione dei dati di telemetria di sicurezza pertinenti e attuabili per formare una visione olistica e accurata dell’ambiente, guidando al contempo un rilevamento affidabile delle minacce in anticipo (rimuovendo il rumore)
  • Mettere i dati al lavoro nel tuo SIEM in modo da poter iniziare a visualizzare e analizzare per convalidare il successo della tua distribuzione

1. Identificare le origini degli eventi principali e le risorse da integrare
Prima di distribuire un SIEM, raccogli quante più informazioni possibili sul tuo ambiente in modo da poter iniziare facilmente il processo di distribuzione. Rapid7 ha fornito una documentazione di aiuto di facile comprensione durante tutto il nostro processo di implementazione per prepararci al successo. Le istruzioni erano molto dettagliate e di facile comprensione, rendendo l’installazione rapida e indolore. Inoltre, forniscono un’ampia selezione di origini eventi predefinite pronte all’uso, semplificando la mia esperienza. In poche ore, ho avuto tutte le informazioni di cui avevo bisogno davanti a me.

Sulla base delle raccomandazioni di Rapid7, abbiamo impostato quelle che vengono chiamate le sei principali fonti di eventi:

  • Active Directory (AD)
  • Server di protocollo (LDAP)
  • Registri eventi DHCP (Dynamic Host Configuration Protocol)
  • Sistema dei nomi di dominio (DNS)
  • Rete privata virtuale (VPN)
  • Firewall

La creazione di queste origini eventi otterrà la maggior parte delle informazioni che fluiscono attraverso il tuo SIEM e se la tua soluzione ha funzionalità di analisi dell’entità del comportamento utente (UEBA) come InsightIDR. L’acquisizione rapida di tutti i dati avvia il processo di base in modo da poter identificare anomalie e potenziali minacce per utenti e insider lungo la strada.

2. Raccolta e correlazione della telemetria di sicurezza pertinente e attuabile

Se distribuito e configurato correttamente, un buon SIEM unificherà la telemetria di sicurezza in un’unica immagine coesa. Se eseguito in modo inefficace, un SIEM può creare un labirinto infinito di rumori e avvisi. Trovare un equilibrio tra l’acquisizione della giusta telemetria di sicurezza e intelligence sulle minacce per guidare rilevamenti significativi e attuabili delle minacce è fondamentale per un rilevamento, un’indagine e una risposta efficaci. Un’ottima soluzione armonizza fonti altrimenti disparate per fornire una visione coerente dell’ambiente e delle attività dannose.

InsightIDR è stato fornito con un agente endpoint nativo, un sensore di rete e una serie di integrazioni per rendere questo processo molto più semplice. Per fornire un contesto, alla Schlotterer Sonnenschutz Systeme GmbH disponiamo di un gran numero di dispositivi mobili, laptop, dispositivi di superficie e altri endpoint che esistono al di fuori dell’azienda. Insight Network Sensor e Insight Agent combinati monitorano il nostro ambiente oltre i confini fisici del nostro IT per una visibilità completa su uffici, dipendenti remoti, dispositivi virtuali e altro ancora.

Personalmente, quando si tratta di installare qualsiasi agente, preferisco adottare un approccio graduale per ridurre i potenziali effetti negativi che l’agente potrebbe avere sugli endpoint. Con InsightIDR, ho distribuito facilmente Insight Agent sul mio computer; quindi, l’ho inviato a un gruppo aggiuntivo di computer. L’implementazione del software leggero di Rapid7 Agent è facile sulla nostra infrastruttura. Non mi ci è voluto tempo per distribuirlo in sicurezza su tutti i nostri endpoint.

Con i dati effettivamente acquisiti, ci siamo preparati a rivolgere la nostra attenzione al rilevamento delle minacce. I SIEM tradizionali che avevamo esplorato ci hanno lasciato gran parte della creazione del contenuto di rilevamento da configurare e gestire, aumentando notevolmente l’ambito dell’implementazione e delle operazioni quotidiane. Tuttavia, Rapid7 viene fornito con un’ampia libreria gestita di rilevamenti curati pronti all’uso, eliminando la necessità di personalizzare e configurare in anticipo e fornendoci immediatamente copertura. I rilevamenti di Rapid7 sono controllati dal loro MDR SOC interno, il che significa che non creano troppo rumore e ho dovuto fare poco o nessun tuning in modo che si allineassero con il mio ambiente.

3. Mettere i tuoi dati al lavoro nel tuo SIEM

Per il nostro team con risorse limitate, garantire che avessimo dashboard e report pertinenti per tenere traccia dei sistemi critici, delle attività nella nostra rete e supportare gli audit e i requisiti normativi è sempre stato un grande obiettivo. Parlando con i miei colleghi, eravamo stanchi di creare dashboard che avrebbero richiesto al nostro team di eseguire complicate operazioni di scrittura di query per creare elementi visivi e report sofisticati. I dashboard predefiniti inclusi in InsightIDR sono stati ancora una volta un enorme risparmio di tempo per il nostro team e ci hanno aiutato a mobilitarci attorno a sofisticati report sulla sicurezza fin dall’inizio. Ad esempio, sto utilizzando il dashboard di Active Directory Admin Actions di InsightIDR per identificare:

  • Quali account sono stati creati nelle ultime 24 ore?
  • Quali account sono stati eliminati nelle ultime 24 ore?
  • Quali account hanno cambiato la loro password?
  • Chi è stato aggiunto come amministratore di dominio?

Poiché i dashboard sono già integrati nel sistema, mi bastano pochi minuti per visualizzare le informazioni necessarie per visualizzare ed esportare i dati in un report HTML interattivo che posso fornire ai miei stakeholder. Quando distribuisci il tuo SIEM, ti consiglio di approfondire le opzioni di visualizzazione, vedere cosa sarà necessario per creare le tue schede ed esplorare qualsiasi contenuto predefinito disponibile per capire quanto tempo potrebbe essere necessario per iniziare a vedere i dati utilizzabili.

Ora ho conoscenza del mio ambiente. So cosa succede. So per certo che se c’è qualcosa di dannoso o sospetto nel mio ambiente, Rapid7, l’agente Insight o una qualsiasi delle fonti che abbiamo integrato in InsightIDR lo catturerà e posso agire immediatamente.

 

Post originale

Scopri di pù su Rapid7 InsightIDR oppure richiedi una demo

Lo stato della sicurezza DNS

Lo stato della sicurezza DNS

Di Trevagh Stankard, TitanHQ

Internet è diventato un rifugio sicuro per molti. Siamo in grado di passare con gioia le ore scorrendo le piattaforme dei social media, conversando con amici e familiari o impegnandoci in un acceso dibattito nel tentativo di porre finalmente l’annosa domanda “Cani contro gatti: chi è più carino?” a letto. Ma, per i suoi numerosi vantaggi, Internet può essere un luogo pericoloso, soprattutto per le aziende che fanno così tanto affidamento su di esso per svolgere il proprio lavoro.

Gli attori dannosi aspettano dietro le quinte, pronti a balzare su eventuali carenze di sicurezza informatica che la tua azienda potrebbe avere. Negli ultimi tempi, c’è stato un drastico aumento della criminalità informatica, a causa di una serie di ragioni diverse, una delle quali è l’adozione di massa di forza lavoro remota o ibrida. Senza che i tuoi dipendenti si trovino fisicamente in uno spazio ufficio, dove puoi tenere d’occhio più facilmente come utilizzano i loro dispositivi di lavoro, i siti che stanno visitando e le applicazioni o i file a cui accedono, la tua organizzazione è a rischio.

Una tattica adottata dai criminali informatici è quella di prendere di mira l’utilizzo del browser da parte dei dipendenti. Senza le adeguate misure di sicurezza DNS in atto, la tua organizzazione deve affrontare una minaccia significativa.

Le organizzazioni prendono abbastanza sul serio la sicurezza DNS?

Con il panorama della sicurezza informatica che sta subendo un cambiamento sismico, le organizzazioni stanno finalmente iniziando a dare la priorità alle loro soluzioni di sicurezza informatica, comprendendo che il mancato rispetto di ciò potrebbe, in definitiva, essere la ragione della loro caduta. Tuttavia, molti devono ancora adottare lo stesso approccio alla loro sicurezza DNS:

  • Il 25% delle aziende non esegue analisi sul proprio traffico DNS
  • Il 35% non utilizza il traffico DNS interno per il filtraggio
  • Solo il 12% raccoglie log DNS e correla tramite ML

È essenziale che le organizzazioni si rendano conto della minaccia rappresentata da un atteggiamento negligente nei confronti della sicurezza DNS, con un recente sondaggio del Neustar International Security Council (NISC) che ha rivelato che il 72% delle organizzazioni partecipanti aveva subito un attacco DNS nei 12 mesi precedenti, di questi:

  • Il 61% ha subito più di un attacco
  • L’11% ha riferito di essere stato preso di mira frequentemente
  • Il 58% ha riscontrato che la propria attività è stata colpita per oltre un’ora
  • Il 14% ha dichiarato che le proprie attività hanno impiegato diverse ore per riprendersi

È quindi essenziale che le organizzazioni sfruttino una soluzione di sicurezza DNS, come WebTitan, per rafforzare non solo la loro sicurezza informatica globale, ma anche la loro sicurezza DNS.

Cosa può fare WebTitan per te?

Quando consideri la tua sicurezza DNS e cerchi di identificare una soluzione che funzioni per te, ci sono una serie di capacità e funzioni a cui devi prestare attenzione. Ovviamente, prima di tutto vuoi che la tua soluzione di sicurezza DNS rafforzi la tua posizione di sicurezza informatica e aumenti le tue difese generali. Ma, a differenza di altre soluzioni di sicurezza DNS, WebTitan offre anche:

  • Blocco malware
  • Filtraggio dei contenuti
  • Scalabilità in base alle tue esigenze
  • Reportistica approfondita
  • Strumenti per prevenire gli attacchi di phishing
  • Servizi di rilevamento dannosi
  • Proteggi contro BEC
  • Aggiornamenti in tempo reale
  • …e molto, molto altro ancora

 

Dare priorità a XDR nel 2023: rilevamento e risposta più forti con meno complessità

Dare priorità a XDR nel 2023: rilevamento e risposta più forti con meno complessità

Di Kj McCann, Rapid7

Man mano che ci avviciniamo alla chiusura del 2022, le discussioni nel mercato continuano a girare intorno alle soluzioni di extended detection and response (XDR). Quali sono? Quali sono i vantaggi? Il mio team dovrebbe adottare XDR e, in caso affermativo, come valutiamo i fornitori per determinare l’approccio migliore?

Sebbene sul mercato continuino a esserci molte definizioni diverse di XDR, i temi comuni attorno a questa tecnologia sono:

  • Prodotti di sicurezza strettamente integrati che offrono funzionalità comuni di prevenzione, rilevamento e risposta agli incidenti
  • Efficienze operative pronte all’uso che richiedono una personalizzazione minima
  • Funzioni di orchestrazione della sicurezza e automazione per semplificare i processi ripetitivi e accelerare la risposta
  • Rilevamento di alta qualità con un setup richiesto limitato
  • Analisi avanzate in grado di correlare gli avvisi provenienti da più origini agli incidenti

In poche parole, XDR è un’evoluzione dell’ecosistema di sicurezza al fine di fornire una sicurezza elevata e più forte per i team di sicurezza con risorse limitate.

XDR per il 2023

Perché XDR è la soluzione di sicurezza informatica preferita? Con una superficie di attacco in continua espansione e minacce diverse e complesse, i centri operativi di sicurezza (SOC) necessitano di maggiore visibilità e di una copertura più efficace delle minacce in tutto il loro ambiente, senza creare ulteriori sacche di dati in silos da soluzioni puntuali.

Uno studio del 2022 sui leader della sicurezza ha rilevato che il team di sicurezza medio ora gestisce 76 strumenti diversi, con un’espansione incontrollata guidata dalla necessità di stare al passo con l’adozione del cloud e i requisiti di lavoro a distanza. A causa della crescita esponenziale degli strumenti, i team di sicurezza dedicano più della metà del loro tempo alla produzione manuale di report, estraendo dati da più strumenti in silos. Una soluzione XDR offre vantaggi significativi in termini di efficienza operativa centralizzando tutti quei dati per formare un’immagine coerente del tuo ambiente.

XDR è la mossa giusta per la tua organizzazione?

Quando pianifichi la tua sicurezza per il prossimo anno, considera quali risultati vuoi ottenere nel 2023.

Prodotto di sicurezza e consolidamento dei fornitori

Per combattere la crescente complessità, i leader della sicurezza e del rischio sono alla ricerca di modi efficaci per consolidare il proprio stack di sicurezza, senza compromettere la capacità di rilevare le minacce su una superficie di attacco in crescita. In effetti, oggi il 75% dei professionisti della sicurezza sta perseguendo una strategia di consolidamento dei fornitori, rispetto al solo 29% di due anni fa. Un approccio XDR può essere un percorso efficace per ridurre al minimo il numero di strumenti che il tuo SOC deve gestire, pur continuando a riunire la telemetria critica per potenziare il rilevamento e la risposta. Per questo motivo, molti team stanno dando la priorità a XDR nel 2023 per guidare il loro movimento di consolidamento. Si prevede che entro la fine del 2027, XDR sarà utilizzato fino al 40% delle organizzazioni di utenti finali per ridurre il numero di fornitori di sicurezza esistenti.

Mentre esplori la priorità di XDR nel 2023, è importante ricordare che tutti gli XDR non sono creati uguali. Un approccio XDR ibrido può consentire di selezionare i migliori prodotti tra le categorie, ma richiederà comunque un’implementazione, una configurazione e una gestione continua significative per riunire questi prodotti (per non parlare dei rapporti con più fornitori e delle spese da affrontare). Un approccio XDR nativo offre una suite più inclusiva di funzionalità da un unico fornitore. Per i team con risorse limitate, un approccio nativo può essere superiore a quello ibrido poiché è probabile che ci sia meno lavoro per conto del cliente. Un XDR nativo fa gran parte del lavoro di consolidamento per te, mentre un XDR ibrido ti aiuta a consolidare.

Miglioramento dell’efficienza e della produttività delle operazioni di sicurezza

“Efficienza” è una grande promessa di XDR, ma può sembrare diversa per molti team. Come si misura l’efficienza oggi? Quali aree sono attualmente inefficienti e potrebbero essere rese più veloci o più facili? Comprendere questa linea di base e dove il tuo team sta perdendo tempo oggi ti aiuterà a sapere a cosa dare la priorità quando perseguirai una strategia XDR nel 2023.

Un potente XDR sostituisce gli strumenti e i processi esistenti con metodi di lavoro alternativi e più efficienti. Esempi di processi da valutare mentre esplori XDR:

  • Ingestione di dati: man mano che la tua organizzazione cresce, vuoi essere sicuro che il tuo XDR possa crescere con essa. Le piattaforme XDR cloud-native saranno particolarmente forti in questa categoria, poiché avranno le basi elastiche necessarie per stare al passo con il tuo ambiente. Considera anche come aggiungere nuove origini eventi nel tempo. Questa può essere un’area critica per migliorare l’efficienza.
  • Dashboard e report: il tuo team è attrezzato per creare e gestire query, report e dashboard personalizzati? La creazione e la distribuzione di report può richiedere molto tempo, soprattutto per i nuovi analisti. Se il tuo team non ha tempo per la creazione costante di dashboard, prendi in considerazione gli approcci XDR che offrono contenuti predefiniti ed esperienze più intuitive in grado di soddisfare questi casi d’uso.
  • Rilevamenti: con una costante evoluzione degli attori e dei comportamenti delle minacce, è importante valutare se il tuo team ha il tempo di riunire l’intelligence sulle minacce e la creazione di regole di rilevamento necessarie per stare al passo con le minacce emergenti. Un XDR efficace può ridurre notevolmente o potenzialmente eliminare la necessità per il tuo team di creare e gestire manualmente le regole di rilevamento offrendo librerie di rilevamento integrate. È importante comprendere l’ampiezza e la fedeltà della libreria di rilevamenti offerta dal tuo fornitore e garantire che questo contenuto soddisfi le esigenze della tua organizzazione.
  • Automazione: trovare il giusto equilibrio per il tuo SOC tra tecnologia ed esperienza umana consentirà agli analisti di applicare le proprie competenze e formazione in aree critiche senza dover svolgere attività ripetitive e banali in aggiunta. Poiché diverse soluzioni XDR offrono diverse istanze di automazione, dai la priorità ai flussi di lavoro che forniranno i maggiori vantaggi al tuo team. Alcuni casi d’uso di esempio potrebbero connettere i processi tra i tuoi team IT e di sicurezza, automatizzare la risposta agli incidenti a minacce comuni o ridurre le attività manuali o ripetitive.

Indagini e risposta accelerati

Sebbene le soluzioni XDR affermino di ospitare una varietà di funzionalità che possono accelerare il processo di indagine e risposta, è importante capire come funziona attualmente il tuo team. Inizia identificando il tuo tempo medio per rispondere (MTTR) al presente, quindi qual è il tuo obiettivo MTTR per il futuro. Una volta che lo hai definito, guarda indietro al modo in cui gli analisti attualmente indagano e rispondono agli attacchi e prendi nota di eventuali lacune di abilità o conoscenze, in modo da poter capire quali capacità aiuteranno meglio il tuo team. XDR mira a tracciare un quadro più completo del comportamento degli aggressori, in modo che i team di sicurezza possano analizzarlo e rispondere meglio.

Alcuni esempi di domande che possono creare i casi d’uso necessari per raggiungere il ROI target per il prossimo anno.

  • Durante un’indagine, dove trascorre la maggior parte del tempo la tua squadra?
  • Quali processi consolidati sono attualmente in atto per la risposta alle minacce?
  • Quanto è adattabile la tua squadra di fronte a tecniche di minaccia nuove e sconosciute?
  • Hai stabilito playbook per minacce specifiche? La tua squadra sa cosa fare quando queste si presenteranno?

Ancora una volta, avere una linea di base di dove si trova la tua organizzazione oggi ti aiuterà a definire obiettivi e requisiti più realistici per il futuro. Quando valuti i prodotti XDR, approfondisci il modo in cui accorceranno la finestra per il successo degli attaccanti e guideranno una risposta più efficace per il tuo team. Per un team con risorse limitate, potresti voler considerare in particolare come un approccio XDR può:

  • Ridurre la quantità di disturbi di cui il tuo team ha bisogno e assicurati che gli analisti si concentrino sulle minacce prioritarie
  • Ridurre il tempo per un’indagine efficace fornendo eventi, prove e informazioni rilevanti su un attacco specifico
  • Fornire playbook efficaci che massimizzano l’autonomia per gli analisti, consentendo loro di rispondere alle minacce con sicurezza senza la necessità di intensificare o condurre indagini eccessive
  • Fornire l’automazione con un clic che gli analisti possono sfruttare per accelerare una risposta dopo che hanno avuto accesso alla situazione

Sblocca il potenziale di XDR con Rapid7

Se tu e il tuo team date la priorità a XDR nel 2023, ci piacerebbe aiutarti. L’approccio XDR nativo di Rapid7 sblocca il rilevamento avanzato delle minacce e la risposta accelerata per i team con risorse limitate. Con una copertura della superficie di attacco a 360 gradi, i team hanno una visione sofisticata del panorama delle minacce interne ed esterne. Rapid7 Threat Intelligence and Detection Engineering cura una libreria sempre aggiornata di rilevamenti delle minacce, verificata sul campo dai nostri esperti MDR SOC per garantire avvisi ad alta fedeltà e attuabili. E con i playbook di risposta consigliati e i flussi di lavoro predefiniti, il tuo team sarà sempre pronto a rispondere alle minacce in modo rapido e sicuro.

Post originale

Scopri di pù su Rapid7 oppure richiedi una demo

Zero Trust: la migliore difesa contro gli attacchi agli MSP

Zero Trust: la migliore difesa contro gli attacchi agli MSP

Di Dor Sarig, Product Manager, Perimeter 81

Alla luce della pandemia di COVID-19 e della trasformazione digitale che ha determinato sul posto di lavoro, i fornitori di servizi gestiti IT (MSP) devono affrontare molte sfide. Spesso hanno la responsabilità di garantire che i propri clienti possano continuare a operare in condizioni di business incerte e in continua evoluzione.

In aumento gli attacchi agli MSP

I criminali informatici vedono la pandemia come un’opportunità e gli MSP come un obiettivo ottimale poiché spesso non dispongono di risorse sufficienti per proteggersi da sofisticati attacchi informatici. Un recente avviso della Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha indicato un aumento di attività dannose nei confronti degli MSP nell’ultimo anno. Ciò è supportato da un rapporto di terze parti che afferma che quasi tutti gli MSP hanno subito un attacco informatico riuscito negli ultimi 18 mesi: oltre il 90% degli intervistati ha notato un aumento degli attacchi dall’inizio della pandemia.

È facile capire perché gli MSP dovrebbero essere presi di mira. Il loro ruolo prevede la gestione dei sistemi IT client come server, desktop, laptop e software. Con l’accesso agli agenti installati localmente, possono controllare le operazioni IT dei loro clienti senza dover mettere piede in loco. Gli MSP ospitano anche gli identificatori univoci dei loro clienti, come nomi utente e password, che possono essere utilizzati per accedere a reti e sistemi interni.

In poche parole, gli MSP sono un comodo punto di ingresso nella catena di approvvigionamento per accedere a dati e sistemi sensibili. Invece di infettare un’organizzazione con il ransomware, perché non prendere di mira il proprio fornitore di servizi e ottenere l’accesso a centinaia o migliaia di altre organizzazioni?

Gli aggressori che ottengono l’accesso al software di monitoraggio e gestione remoti (RMM) di un MSP possono quindi eseguire una serie di attacchi come compromissioni di e-mail aziendali o ransomware. Un buon esempio di ciò è stato l’attacco Kaseya, in cui le vittime sono state infettate tramite l’aggiornamento automatico del software.

Come possono proteggersi gli MSP?

Separare le reti interne

È importante che gli MSP comprendano il loro ambiente e segmentano le loro reti. Un buon inizio è applicare appropriati controlli di sicurezza della rete ai sistemi aziendali critici: identificare, raggruppare e isolare questi sistemi per ridurre l’impatto di una compromissione.

Tutte le connessioni tra i sistemi interni, i sistemi dei clienti e altre reti devono essere riviste e verificate dagli MSP. Separare i set di dati dei clienti gli uni dagli altri (e dai servizi, ove applicabile) nonché dalle reti interne dell’MSP per limitare l’impatto di un singolo vettore di attacco. Inoltre, le credenziali di amministratore non devono essere riutilizzate tra più clienti.

Usa il principio del privilegio minimo

Il principio del privilegio minimo dovrebbe essere applicato in tutto l’ambiente di rete di un MSP e i privilegi dovrebbero essere aggiornati immediatamente quando i ruoli amministrativi vengono modificati. Assicurati che gli account amministrativi non dispongano di accessi o privilegi non necessari utilizzando un modello di livelli.

Sfrutta i privilegi basati sul tempo e sulla posizione per limitare ulteriormente l’uso degli account con privilegi completi in un’azienda quando necessario. Infine, riduci l’accesso a dispositivi, servizi e utenti ad alto rischio. Questo principio dovrebbe essere applicato dagli MSP sia agli ambienti interni che a quelli dei clienti.

Applicare l’autenticazione a più fattori (MFA)

Per rafforzare l’infrastruttura che consente l’accesso a reti e sistemi, le organizzazioni dovrebbero proteggere le applicazioni di accesso remoto e applicare l’autenticazione a più fattori ove possibile. Si consiglia ai clienti di adottare la MFA in tutti i servizi e prodotti forniti dagli MSP. Inoltre, gli MSP dovrebbero implementare l’autenticazione a più fattori su tutti gli account che hanno accesso agli ambienti dei clienti e trattare tali account come privilegiati.

Migliora i processi di monitoraggio e registrazione

Implementare e mantenere un regime di registrazione separato per rilevare le minacce alla rete, tramite una soluzione SIEM o strumenti di registrazione discreti. Le attività coinvolte nella fornitura di servizi ai clienti dovrebbero essere registrate dagli MSP. A seconda dell’accordo contrattuale, gli MSP dovrebbero registrare l’attività della rete interna e del cliente.

Inoltre, le organizzazioni client MSP dovrebbero implementare funzionalità di rilevamento degli endpoint e monitoraggio della difesa della rete insieme a elenchi di applicazioni consentite/negate, sia attraverso accordi contrattuali con un MSP che in modo indipendente.

Implementa una soluzione di sicurezza Zero-Trust

Adottando una soluzione di sicurezza Zero Trust, gli MSP sono in grado di proteggere meglio dati, sistemi e servizi sensibili su reti aziendali sempre più disperse e complesse.

Il modello di sicurezza Zero Trust rimuove la fiducia implicita in qualsiasi elemento, nodo o servizio riconoscendo le minacce all’interno e all’esterno dei confini della rete tradizionale, richiedendo il monitoraggio continuo in tempo reale delle informazioni da più fonti per determinare l’accesso e altre risposte del sistema.

Partendo dal presupposto che una violazione sia inevitabile, Zero Trust limita costantemente l’accesso solo a ciò che è necessario e monitora comportamenti anomali o dannosi.

Per proteggere risorse e dati critici in tempo reale all’interno di un ambiente dinamico di minacce, una buona soluzione Zero Trust dovrebbe includere un monitoraggio completo della sicurezza, controlli granulari degli accessi basati sul rischio e l’automazione della sicurezza del sistema. Inoltre, dovrebbe fornire un unico punto di controllo e visibilità sulla rete in modo che il personale IT e di sicurezza possa vedere cosa sta succedendo ovunque si trovino gli utenti, a casa, al lavoro o in viaggio.

Con questo modello di sicurezza incentrato sull’utente, il principio dell’accesso con privilegi minimi può essere applicato alle decisioni di accesso consentendo o negando l’accesso alle risorse in base a diversi fattori contestuali.

Gli ambienti di rete stanno diventando sempre più complessi e gli avversari sono in grado di comprometterli più facilmente che mai. Pertanto, il focus difensivo deve cambiare. Utilizzando tecnologie come ZTNA, le reti critiche e i percorsi di accesso sono protetti eliminando il più possibile la fiducia implicita e verificando regolarmente ogni richiesta di accesso.

Una strategia Zero Trust correttamente implementata consente miglioramenti significativi nel rilevamento, prevenzione e contenimento delle intrusioni rispetto ad approcci e architetture di cybersecurity legacy meno integrati.

Post originale

Scopri di pù su Perimeter81

Cosa rende buoni i servizi di sicurezza e-mail?

Soddisfare i requisiti di assicurazione informatica: l’AMF è sufficiente?

Di Sarah Reilly, Senior Product Marketing Manager, HYPR

L’anno scorso, HYPR ha riferito che molti assicuratori informatici ora richiedono alle organizzazioni di adottare l’autenticazione a più fattori. La crescente domanda di assicurazione sulla responsabilità informatica, il numero crescente di reclami e un picco nella gravità degli stessi hanno spinto i sottoscrittori a esaminare più da vicino i controlli di sicurezza di un’organizzazione. Da allora, e poiché gli attacchi informatici hanno continuato a diffondersi nell’ultimo anno, i requisiti di assicurazione informatica per solide misure di sicurezza interna si sono intensificati.

Le aziende che stipuleranno o rinnoveranno polizze stanno scoprendo che la maggior parte delle compagnie assicurative informatiche ha istituito requisiti di autenticazione a più fattori ancora più severi al fine di ridurre i premi o ottenere una copertura. Gli esperti di sicurezza e gli assicuratori informatici raccomandano da anni l’autenticazione a più fattori. Allora perché più aziende non l’hanno già implementato quando il mercato e il panorama degli attacchi stanno rendendo la sua necessità estremamente chiara?

Ostacoli per soddisfare i requisiti di assicurazione informatica per l’AMF

In un recente sondaggio, il 49% degli esperti di IT e sicurezza ha indicato la scarsa esperienza utente come una sfida primaria nell’implementazione delle soluzioni MFA tradizionali e il 48% ha affermato che sono difficili da integrare con i sistemi attuali. Lavoratori e clienti spesso resistono all’adozione dell’autenticazione a più fattori poiché richiede più passaggi per l’autenticazione.

Il colpo di produttività che deriva dall’AMF tradizionale fa esitare anche molte organizzazioni. Richiedere ai dipendenti di utilizzare un fattore aggiuntivo significa che impiegano più tempo per accedere alle applicazioni e ai sistemi di cui hanno bisogno per svolgere il proprio lavoro. In caso di problemi di accesso, si verificano tempi di inattività e richieste di help desk fino a quando non possono essere risolti.

Naturalmente anche il costo gioca un ruolo. Oltre ai costi di implementazione, gestione e help desk, potrebbero esserci anche costi pesanti, come le chiavi di sicurezza. Di fronte a queste ramificazioni di affari e costi, molte organizzazioni si trovano semplicemente incapaci di soddisfare i requisiti di assicurazione informatica.

L’AMF tradizionale è vulnerabile

Forse il più grande ostacolo però si riduce al fatto che l’AMF tradizionale non riduce abbastanza il rischio. Gli analisti della sicurezza hanno dimostrato che il 90% dell’AMF può essere aggirato dal phishing e da altre tecniche.

È qui che entrano in gioco le tecnologie MFA senza password resistenti al phishing. Molti requisiti di assicurazione informatica specificano l’MFA resistente al phishing come definito dal NIST e dall’OMB.

L’accesso è semplice e veloce e, a seconda del tipo di soluzione senza password implementata, potrebbero non esserci costi hardware oltre agli smartphone già posseduti dai tuoi utenti. Ancora più importante, la tecnologia veramente senza password, in cui né l’utente né il fornitore di servizi possiedono un segreto condiviso o condivisibile, è molto meno vulnerabile agli attacchi.

Quest’ultimo punto è importante. Molte soluzioni si definiscono senza password ma possono semplicemente nascondere una password, ad esempio utilizzando la biometria per sbloccare una password. Oppure possono archiviare le credenziali in un database centrale, il che significa che possono essere violate e rubate. Molti assicuratori informatici richiedono specificamente un’AMF resistente al phishing come definito dal NIST e dall’OMB.

Molti requisiti di assicurazione informatica richiedono anche specificamente l’autenticazione a più fattori quando si accede ai desktop. La maggior parte delle soluzioni MFA, sia tradizionali che senza password, copre solo l’accesso alle applicazioni o casi d’uso desktop limitati.

Soddisfa i requisiti di assicurazione informatica con HYPR PMFA

La piattaforma True Passwordless™ MFA (PMFA) di HYPR offre sicurezza senza compromessi unita a un’esperienza utente senza interruzioni che renderà felici il tuo dipartimento di sicurezza, gli utenti finali e la tua compagnia assicurativa.

HYPR collabora con le compagnie di assicurazione informatica per offrire ai propri clienti una soluzione PMFA che soddisfi e superi i requisiti di assicurazione informatica per l’autenticazione sicura. Inoltre, collaboriamo direttamente con le organizzazioni per implementare rapidamente e facilmente l’MFA senza password che le aiuta a realizzare molti vantaggi aggiuntivi, tra cui la riduzione del rischio di violazione, il miglioramento della soddisfazione degli utenti, la riduzione dei costi relativi a IAM e il rispetto dei requisiti normativi per la sicurezza informatica e la privacy dei dati.

Post originale

Scopri di pù su HYPR

Gli utenti di WebTitan e SpamTitan segnalano un ROI positivo

Gli utenti di WebTitan e SpamTitan segnalano un ROI positivo

Di Trevagh Stankard, TitanHQ

La determinazione del ritorno sull’investimento (ROI) per un investimento software è solitamente un processo indiretto. A meno che il software non guidi direttamente la crescita dei ricavi, il ROI deriva da risparmi sui costi e fattori immateriali ma importanti come la produttività dei dipendenti. Nel caso di WebTitan e SpamTitan, che i clienti utilizzano rispettivamente per proteggersi dalle minacce trasmesse dal Web e dalle e-mail di spam, il ROI emerge dall’evitare gli attacchi informatici e dal risparmio sui costi. In questo articolo, gli utenti WebTitan e SpamTitan reali su PeerSpot spiegano come hanno guadagnato un ROI sul loro investimento utilizzando queste soluzioni.

Risparmiare denaro prevenendo gli attacchi informatici

Gli attacchi informatici, che stanno diventando sempre più comuni e gravi, sono piuttosto costosi da porre rimedio. Tra il ripristino dei sistemi infetti, il recupero dei dati persi, la notifica ai clienti e la gestione dei danni al marchio, un attacco informatico lascerà una scia pesante. Evitare le spese di un attacco contribuisce al ROI per il software di sicurezza. Può sembrare ipotetico, ma i dirigenti vedranno la capacità di evitare un episodio finanziario disastroso come un ritorno sul loro investimento.

I membri di PeerSpot che utilizzano WebTitan e SpamTitan concordano sul fatto che queste soluzioni li hanno aiutati a evitare costosi attacchi informatici. Ad esempio, un Project Manager che utilizza WebTitan presso una società di servizi tecnologici afferma che la sua organizzazione ha già subito un attacco informatico perché un dipendente ha visitato un sito Web infetto.

Ha spiegato che “il malware è stato inserito nei sistemi dell’azienda e un dirigente ha quasi fornito informazioni di accesso a un gruppo di aggressori informatici”. Tuttavia, dall’utilizzo di WebTitan, l’azienda non ha subito attacchi informatici. WebTitan ha risparmiato all’azienda le spese e il fastidio di affrontare le conseguenze di un attacco.

In un altro esempio, Bornwell M., Head of Technical Support presso ZAMNET, una società di servizi tecnologici, ha rivelato di amare la funzione di blocco geografico di SpamTitan. Aiuta a impedire alle e-mail di spam di entrare nella rete e nei server di ZAMNET, riducendo la loro assunzione di spam. “La loro soluzione precedente era in grado di gestire solo il traffico in uscita”, ha affermato. “Ciò significava che non avevamo il controllo su ciò che stava arrivando attraverso la nostra rete”.

Nanyo N., amministratore delegato, utilizza SpamTitan anche per impedire agli utenti di creare collegamenti e allegati pericolosi e fornire una sicurezza IT complessiva. Ha affermato che “il canale di posta elettronica è ancora il metodo preferito per la distribuzione dei virus”. Il blocco di quel canale riduce il rischio di un attacco.

Risparmio di tempo

SpamTitan filtra spam e malware prima che raggiungano le caselle di posta degli utenti. Ciò consente alle persone di risparmiare tempo che altrimenti sprecherebbero a smistare tutto. Risparmiare tempo si traduce in un risparmio sui costi operativi, che fa guadagnare ROI per l’investimento in SpamTitan.

SpamTitan libera tempo per i dipendenti, che possono utilizzare in modo più produttivo. Ad esempio, Andrew D., il presidente di ActiveCo, una società di servizi tecnologici, gode della semplicità che fa risparmiare tempo di SpamTitan. Nelle sue parole, “alcune di queste altre soluzioni sono molto complicate da gestire. Mentre questo è molto semplice e facile. Ci ha offerto un margine non solo per i soldi, ma per la capacità di gestire una rete attraverso progetti o disastri”.

Nel frattempo, un responsabile dell’infrastruttura / database che utilizza WebTitan presso un’azienda sanitaria apprezza il tempo che la soluzione lo salva da una violazione della sicurezza. Nelle sue parole, “Ci ha evitato di dover rispondere a qualcosa di brutto che arrivava in sede”.

Ha continuato dicendo che WebTitan è un’opzione esente da manutenzione. Dopo la distribuzione iniziale, è semplice. Ha elaborato, dicendo: “Te ne dimentichi, ed è solo quando gli utenti richiedono che un sito Web venga sbloccato che devi lavorarci sopra. Potremmo avere una o due richieste alla settimana per sbloccare un sito Web. In termini di supervisione, è basta rivedere periodicamente i registri per vedere cosa sta succedendo. Non c’è manutenzione”.

Migliorare la produttività

Oltre a risparmiare tempo e denaro, l’utilizzo di WebTitan e SpamTitan può migliorare la produttività dei dipendenti, che è un altro fattore di ROI. Per prima cosa, WebTitan può bloccare l’accesso ai siti per la navigazione sui social media o per giocare, il che aiuta i dipendenti a evitare di distrarsi in modo che possano concentrarsi sul proprio lavoro.

Michael G., che utilizza WebTitan come Presidente di PJM Digital Design, una società di costruzioni, ha scoperto che lo strumento aiuta ad aumentare la produttività dell’azienda. Ha spiegato: “Ha impedito alle persone di guardare il basket, che si tratti delle Final Four o di March Madness. Ha anche impedito alle persone di andare su Amazon e fare acquisti.” WebTitan ha “aumentato la produttività impedendo agli utenti di accedere a siti indesiderati durante la giornata lavorativa”.

Allo stesso modo, l’Infrastructure/Database Lead di un’azienda sanitaria utilizza WebTitan per bloccare l’accesso a siti che potrebbero distrarre i dipendenti. Ha menzionato su PeerSpot di aver utilizzato la soluzione per mantenere tutti i dipendenti produttivi in ​​un ambiente di produzione. Ha spiegato che un grande evento sportivo potrebbe ridurre la produttività. Per combattere questo, usa WebTitan per ridurre “l’accesso ai siti Web minimi ed essenziali dei dipendenti”. Oltre a impedire alle persone di violare le politiche di utilizzo accettabile, WebTitan riduce la probabilità che un dipendente scarichi accidentalmente malware e attivi un incidente informatico.

WebTitan e SpamTitan producono ROI evitando costosi attacchi informatici e risparmiando tempo (e quindi denaro) aumentando al contempo la produttività. Man mano che questi fattori si uniscono, le aziende che implementano queste soluzioni dovrebbero essere sulla buona strada per realizzare guadagni finanziari dall’investimento.

Post originale

Scopri di pù su SpamTitanWebTitan

Rapid7 rende la complessità della conformità alla sicurezza un ricordo del passato con InsightIDR

Rapid7 rende la complessità della conformità alla sicurezza un ricordo del passato con InsightIDR

Di KJ McCann, Rapid7

In quanto soluzione SIEM e XDR unificata, InsightIDR offre alle organizzazioni gli strumenti necessari per promuovere un programma di conformità elevato ed efficiente.

Gli standard di sicurezza informatica e la conformità sono mission-critical per ogni organizzazione, indipendentemente dalle dimensioni. A parte le perdite dirette derivanti da una violazione dei dati, le aziende non conformi potrebbero dover affrontare commissioni elevate, perdita di affari e persino il carcere a causa di normative crescenti. Tuttavia, la gestione e il mantenimento della conformità, la preparazione per gli audit e la creazione dei rapporti necessari possono essere un lavoro a tempo pieno, che potrebbe non rientrare nel budget. Per i team già snelli, la conformità può anche distrarre da priorità di sicurezza più critiche come il monitoraggio delle minacce, il rilevamento precoce delle minacce e la risposta accelerata, esponendo le organizzazioni a rischi maggiori.

Un’efficiente strategia di conformità riduce i rischi, assicura che il tuo team sia sempre pronto per l’audit e, cosa più importante, spinge a concentrarsi su attività di sicurezza più critiche. Con InsightIDR, i professionisti della sicurezza possono soddisfare rapidamente i propri requisiti di conformità e normativi, accelerando al contempo il loro programma complessivo di rilevamento e risposta.

Ecco tre modi in cui InsightIDR è stato creato per elevare e semplificare i processi di conformità.

1. Potenti funzionalità di gestione dei registri per la piena visibilità dell’ambiente e la preparazione alla conformità

La visibilità completa dell’ambiente e la raccolta dei registri di sicurezza sono fondamentali ai fini della conformità, nonché per fornire una base per un monitoraggio efficace e il rilevamento delle minacce. Le aziende devono monitorare l’attività degli utenti, il comportamento e l’accesso alle applicazioni nell’intero ambiente, dal cloud ai servizi locali. L’adozione di servizi cloud continua ad aumentare, creando ancora più potenziali punti di accesso con cui i team possono stare al passo.

Le potenti capacità di gestione dei log di InsightIDR forniscono visibilità completa su queste potenziali minacce, oltre a consentire un solido reporting di conformità:

  • Centralizzare e aggregare tutti gli eventi rilevanti per la sicurezza, rendendoli disponibili per l’uso in monitoraggio, avvisi, indagini e ricerche ad hoc
  • Offrire la possibilità di cercare rapidamente i dati, creare modelli di dati e pivot, salvare ricerche e pivot come report, configurare avvisi e creare dashboard
  • Conservazione di tutti i dati di registro per 13 mesi per tutti i clienti InsightIDR, consentendo la correlazione dei dati nel tempo e rispettando i requisiti di conformità.
  • Mappatura automatica dei dati ai controlli di conformità, consentendo agli analisti di creare dashboard e report completi con pochi clic

Per fare un ulteriore passo avanti, l’interfaccia utente intuitiva di InsightIDR semplifica le ricerche eliminando la necessità per gli amministratori IT di padroneggiare un linguaggio di ricerca. Le ricerche di correlazione pronte all’uso possono essere richiamate in tempo reale o programmate per essere eseguite regolarmente in un momento specifico in caso di necessità di audit di conformità e reportistica, dashboard aggiornati e altro ancora.

2. Report di conformità e dashboard predefiniti per mantenerti organizzato e coerente

I contenuti di conformità predefiniti in InsightIDR consentono ai team di creare report affidabili senza investire innumerevoli ore nella creazione e nella correlazione manuale dei dati per fornire informazioni sullo stato di conformità dell’organizzazione. Con i report e i dashboard predefiniti, puoi:

  • Mappa automaticamente i dati ai controlli di conformità
  • Salva filtri e ricerche, quindi duplicali su dashboard
  • Crea, condividi e personalizza i rapporti direttamente dalla dashboard
  • Rendi disponibili i report in più formati come PDF o file HTML interattivi

La libreria di dashboard predefinite di InsightIDR semplifica più che mai la visualizzazione dei dati nel contesto di framework comuni. Intere dashboard create dai nostri esperti Rapid7 possono essere configurate in pochi clic. I nostri dashboard coprono una varietà di framework di conformità chiave come PCI, ISO 27001, HIPAA e altro.

3. Punti dati unificati e correlati per fornire approfondimenti significativi

Con potenti funzionalità di gestione dei registri che forniscono una base per la tua posizione di sicurezza, la capacità di correlare i dati risultanti e cercare comportamenti insoliti, anomalie del sistema e altri indicatori di un incidente di sicurezza è fondamentale. Queste informazioni vengono utilizzate non solo per la notifica di eventi in tempo reale, ma anche per audit e report di conformità, dashboard delle prestazioni, analisi delle tendenze storiche e analisi forensi degli incidenti post-hoc.

Gli utenti privilegiati sono spesso il bersaglio di attacchi e, se compromessi, in genere provocano i danni maggiori. Ecco perché è fondamentale estendere il monitoraggio a questi utenti. In effetti, a causa del rischio connesso, il monitoraggio degli utenti privilegiati è un requisito comune per il reporting di conformità in molti settori regolamentati.

InsightIDR fornisce una libreria costantemente curata di rilevamenti che comprende analisi del comportamento degli utenti, endpoint, monitoraggio dell’integrità dei file, analisi del traffico di rete e rilevamento e risposta delle minacce cloud, supportati dal nostro agente endpoint nativo, sensore di rete e software di raccolta. Le autenticazioni degli utenti, i dati sulla posizione e l’attività delle risorse sono baseline per identificare escalation di privilegi anomali, spostamenti laterali e credenziali compromesse. I clienti possono anche collegare i propri strumenti di gestione degli accessi privilegiati esistenti (come CyberArk Vault o Varonis DatAdvantage) per ottenere una visione più unificata del monitoraggio degli utenti privilegiati con un’unica interfaccia.

Soddisfa gli standard di conformità accelerando il rilevamento e la risposta

Sappiamo che la conformità non è l’unica cosa di cui un centro operativo di sicurezza (SOC) deve preoccuparsi. InsightIDR può garantire che i requisiti di conformità più critici siano soddisfatti in modo rapido e sicuro. Una volta che si dispone di un processo di conformità efficiente, il team sarà in grado di concentrare il proprio tempo e gli sforzi per stare al passo con le minacce emergenti e risolvere rapidamente gli attacchi, riducendo i rischi per l’azienda.

Post originale

Scopri di pù su Rapid7 oppure richiedi una demo

Tre punti di ingresso comuni per i ransomware

Tre punti di ingresso comuni per i ransomware

Di Amy Fair, SpyCloud

Il ransomware continua a essere un problema ampio, persistente e complicato che è al primo posto per la C-suite: un sondaggio di oltre 400 CISO ha rilevato che il ransomware è la principale minaccia informatica più preoccupante per gli intervistati. Un modo per prevenire il ransomware è identificare e correggere i punti di ingresso comuni. Qui ne delineamo tre e discutiamo i passaggi che devi intraprendere per colmare in modo proattivo le lacune nella tua strategia di prevenzione del ransomware.

1) Credenziali compromesse

I criminali non entrano, fanno il login e non sono a corto di credenziali da usare contro di noi. Solo l’anno scorso SpyCloud ha recuperato 1,7 miliardi di credenziali esposte e 13,8 miliardi di informazioni di identificazione personale (PII), tutte disponibili per i criminali da sfruttare negli attacchi. Il Verizon 2022 Data Breach Investigations Report ha anche indicato un aumento del 30% delle credenziali rubate dal 2017 e ha affermato:

“Sosteniamo da tempo che le credenziali siano il tipo di dati preferito dagli attori criminali perché sono utili per mascherarsi da utenti legittimi del sistema. C’è anche un grande mercato per la loro rivendita”.

Con l’aumento del ransomware nel 2021, è stato riferito che l’attacco al Colonial Pipeline, il più grande oleodotto di carburante degli Stati Uniti, è stato “il risultato di un’unica password compromessa”. Gli aggressori hanno ottenuto l’accesso alle reti dell’azienda tramite l’account di rete privata virtuale di un dipendente. La password del dipendente è stata scoperta in una serie di password trapelate disponibili sul dark web, il che significa che il dipendente “potrebbe aver utilizzato la stessa password su un altro account che era stato precedentemente violato”.

Uno degli approcci più semplici alla prevenzione del ransomware è trattarlo come un attacco successivo da account takeover (ATO). L’obiettivo di ATO è che i criminali perpetrino tutti i tipi di attività dannose, non limitate al ransomware, senza essere scoperti. In uno scenario tipico, un operatore di ransomware ottiene le credenziali tramite un broker di accesso iniziale, che le ha acquistate, indovinate o rubate e le fornisce all’operatore a pagamento.

Un’altra preoccupazione per quanto riguarda le credenziali compromesse è il riutilizzo della password. SpyCloud ha riscontrato un tasso di riutilizzo delle password del 64% lo scorso anno, il che mette le aziende a rischio quando i dipendenti riutilizzano le password su più account online. Le credenziali che sono state esposte in violazioni di dati di terze parti o sottratte tramite malware possono essere sfruttate per accedere ai loro account aziendali. Una soluzione automatizzata di prevenzione ATO può proteggere la tua organizzazione da compromessi dovuti al riutilizzo delle password, ridurre il rischio di perdita di dati e tempi di inattività dovuti al ransomware e proteggere il tuo marchio e la tua reputazione.

2) Dispositivi non gestiti o Bring Your Own Device (BYOD)

Anche i dipendenti che utilizzano dispositivi personali per accedere alle risorse e alle applicazioni aziendali rappresentano una minaccia per le organizzazioni. I team di sicurezza IT lottano già per rimanere al passo con le sfide di sicurezza di cui sono consapevoli, quindi aumentare la superficie di attacco con dispositivi che non possono vedere o controllare pone ancora più oneri ai team già sopraffatti.

Il malware diventa una minaccia significativa quando i dipendenti utilizzano dispositivi non gestiti; se qualcuno utilizza le proprie credenziali aziendali per accedere alle applicazioni aziendali su un dispositivo personale che è inconsapevolmente infettato da malware, tali informazioni potrebbero essere sottratte direttamente nelle mani dei criminali informatici per essere vendute nel sottosuolo criminale.

Considera la minaccia di un solo dispositivo infetto. Con l’accesso a 50, 60, 100, 200 applicazioni di lavoro, questo rappresenta un enorme rischio per l’azienda: ogni applicazione compromessa da malware, che si tratti di un’istanza SSO, di un database CRM o di una chat aziendale. Sono tutti punti di ingresso in un’organizzazione.

E non si tratta solo di un dispositivo o di alcune credenziali compromesse o di cookie di sessione. Gli infostealer sottraggono così tante informazioni anche da un solo dispositivo che il profilo di rischio creato da quell’infezione è significativo. Inoltre, il rischio è spesso sottovalutato poiché ottenere visibilità su dispositivi personali non monitorati ed esposizioni di applicazioni della forza lavoro di terze parti è difficile o impossibile per la maggior parte dei team di sicurezza.

Queste infezioni da malware possono avere gravi ripercussioni a lungo termine. I dati sottratti al malware vengono visualizzati sui registri delle botnet che vengono poi venduti alla criminalità clandestina, che possono essere utilizzati per lanciare attacchi ransomware. Gli operatori di ransomware utilizzano frequentemente i log di malware per identificare credenziali di alto valore e altri dati possono aiutare i gruppi di ransomware ad accedere alle aziende.

Sfortunatamente, le soluzioni EDR (Endpoint Detection Response) e ASM (Application Security Management) esistenti non offrono una protezione adeguata dagli attacchi malware. Le aziende hanno bisogno di informazioni dettagliate sul quadro completo dei rischi del malware, comprese le risorse compromesse che molto probabilmente porteranno a futuri attacchi ransomware.

3) Dispositivi gestiti con vulnerabilità

I criminali informatici sono alla ricerca di targhet a basso impatto e anche i dispositivi gestiti possono presentare vulnerabilità per le organizzazioni. Un computer dei dipendenti che non è aggiornato sulle patch di sicurezza o non segue le politiche di sicurezza potrebbe fungere da porta aperta per il ransomware.

Ad esempio, un criminale può scoprire una vulnerabilità in un server back-end. Di solito, quello che stanno cercando di trovare è il database degli utenti che contiene le e-mail o i nomi utente, le password e altre PII di tutti. Remote Desktop Protocol (RDP) è un altro modo in cui i malintenzionati possono accedere alle risorse aziendali accedendo al sistema utilizzando credenziali deboli o compromesse che potrebbero essere facilmente indovinate o acquistate in clandestinità criminale. Per alcuni criminali, questo è tutto ciò che fanno: cercano buchi nei server Web o in altri servizi di connessione a Internet e cercano di ottenere l’accesso da lì.

Una volta nella rete, i criminali possono quindi spostarsi lateralmente all’interno dell’organizzazione, aggirando l’autenticazione a più fattori (MFA) e aumentando i privilegi per ottenere ancora più accesso alle applicazioni e ai dati aziendali critici per poter iniziare a crittografare e distruggere i file.

Per prevenire questo tipo di vulnerabilità, i team di sicurezza IT devono monitorare e tenere traccia della conformità alle policy di sicurezza in tutta la forza lavoro per garantire che tutte le risorse e le risorse aziendali soddisfino le policy di sicurezza informatica dell’organizzazione. SpyCloud offre anche consigli sulle password per rafforzare ulteriormente le tue difese ransomware.

Protezione contro il ransomware

Per prevenire in modo proattivo gli attacchi ransomware, suggeriamo una raccomandazione chiave per ciascuno dei punti di ingresso sopra menzionati.

Credenziali compromesse

Implementa una soluzione ATO che monitori la criminalità clandestina alla ricerca di password rubate e corregga le credenziali compromesse per i tuoi dipendenti.

Dispositivi non gestiti

Identificare le minacce al di fuori del controllo aziendale e intraprendere azioni rapide per impedire l’accesso non autorizzato, ad esempio quando i cookie dei servizi critici della forza lavoro vengono rubati dai dispositivi personali o aziendali infetti dei dipendenti.

Vulnerabilità senza patch

Assicurati che tutte le risorse e le risorse aziendali siano aggiornate sugli aggiornamenti di sicurezza e agisci immediatamente quando un dipendente o un dispositivo non è conforme alle policy di sicurezza della tua organizzazione, soprattutto quando si tratta di policy sulle password.

 

Mentre le bande di ransomware continuano a riscontrare un successo diffuso nei loro attacchi dannosi, c’è ancora speranza quando si tratta di prevenzione del ransomware. Essere consapevoli dei punti di ingresso rischiosi e adottare misure proattive per colmare tali lacune nella tua posizione di sicurezza aiuterà a proteggere la tua organizzazione dagli attacchi ransomware.

Post originale

Scopri di pù su SpyCloud oppure richiedi una demo