In un ambiente sempre più complesso in termini di cybersicurezza, Rapid7 ha intrapreso un processo di sviluppo mirato per creare un Cloud Resource Enrichment API. Questo strumento è stato progettato per aiutare le organizzazioni a proteggere le proprie risorse in ambienti cloud, semplificando il processo di raccolta dati e migliorando la risposta alle minacce informatiche. Ecco come è stato strutturato il loro processo di sviluppo:
1. Identificazione della necessità: La prima fase è stata l’identificazione della necessità di un’API unificata per la gestione delle minacce informatiche nei sistemi cloud. Hanno riconosciuto che gli analisti della sicurezza affrontavano sfide nella raccolta dati e nella risposta alle minacce, spingendoli a sviluppare un’API per affrontare questo problema.
2. Coinvolgimento degli analisti della sicurezza: Per garantire che l’API soddisfacesse le esigenze reali, hanno coinvolto gli analisti della sicurezza fin dall’inizio. Hanno collaborato strettamente con loro per comprendere le loro sfide e le funzionalità di cui avevano bisogno per semplificare il loro lavoro.
3. Definizione della visione e del campo d’applicazione: Con il contributo degli analisti, hanno definito la visione e il campo d’applicazione dell’API. Questo processo ha comportato la prioritizzazione delle funzionalità, assicurandosi di equilibrare l’usabilità con la capacità di acquisire dati approfonditi.
4. Sviluppo iterativo: Hanno adottato metodologie agili per lo sviluppo dell’API. Questo significa che hanno suddiviso il progetto in compiti più piccoli e gestibili, consentendo al team di concentrarsi su specifiche funzionalità e di implementarle in modo efficiente. Hanno creato prototipi iniziali per raccogliere feedback tempestivi e apportare miglioramenti continui.
5. Comunicazione continua: La comunicazione è stata fondamentale durante tutto il processo di sviluppo. Hanno tenuto incontri regolari con gli analisti della sicurezza, il team di sviluppo e il responsabile del prodotto per raccogliere feedback e apportare aggiustamenti in base alle esigenze emergenti.
6. Design RESTful: Hanno progettato l’API seguendo i principi di design RESTful per garantire una comunicazione efficiente tra i sistemi cloud e l’integrazione dei dati.
7. Raccolta di dati: L’API è stata sviluppata per raccogliere una vasta gamma di dati, tra cui proprietà delle risorse cloud, autorizzazioni, informazioni sulla sicurezza, allarmi di sicurezza, risorse cloud correlate e contesto dell’applicazione. Questo ha coinvolto la collaborazione di diversi team per la raccolta e l’elaborazione dei dati.
In sintesi, il processo di sviluppo del Cloud Resource Enrichment API di Rapid7è stato guidato dalla collaborazione con gli analisti della sicurezza, dall’adozione di metodologie agili, dalla comunicazione continua e dalla definizione chiara del campo d’applicazione. Questo approccio ha permesso loro di creare un’API che risponde alle esigenze reali delle organizzazioni nell’ambito della cybersicurezza in ambienti cloud.
Il Threat Hunting rappresenta l’azione proattiva di individuare e riconoscere potenziali minacce alla sicurezza all’interno delle reti e dei sistemi organizzativi. È una componente vitale in ogni solida strategia di sicurezza informatica, poiché abilita le organizzazioni a rilevare e affrontare le minacce prima che causino gravi danni.
Uno strumento fondamentale nell’arsenale del Threat Hunter è la Domain Intelligence. Quest’ultima comprende la raccolta e l’analisi dei dati relativi ai nomi di dominio, agli indirizzi IP, ai record dei server dei nomi, alle informazioni dei registranti, ai certificati SSL, ai record Whois, ai dati storici e altro ancora. Attraverso l’utilizzo della Domain Intelligence, gli Hunters sono in grado di individuare possibili minacce, seguire le loro attività e intraprendere azioni preventive per neutralizzarle.
Il Ruolo Chiave della Domain Intelligence nella pratica del Threat Hunting
La Domain Intelligence offre diverse opportunità per potenziare l’attività di threat hunting, tra cui:
1. Identificazione di Domini Malevoli: La Domain Intelligence è particolarmente utile per individuare i domini associati a attività malevole, come phishing, diffusione di malware o comunicazioni di controllo. Analizzando i modelli comuni nei domini legati a minacce note, i Threat Hunters possono tempestivamente individuare nuovi rischi e adottare misure di prevenzione.
2. Monitoraggio dei Threat Actors L’utilizzo della Domain Intelligence consente di sorvegliare gli spostamenti dei threat actors online. Mediante l’analisi dei pattern nei domini e negli indirizzi IP collegati thereat actors noti, è possibile identificare nuovi domini e indirizzi IP associati alle loro azioni, facilitandone l’identificazione.
3. Rilevamento del Tunneling DNS: Il tunneling DNS è una tattica impiegata dagli aggressori per eludere le misure di sicurezza della rete, sfruttando il protocollo DNS per trasmettere dati. L’analisi del traffico DNS e la scoperta di schemi indicativi del tunneling DNS consentono di individuare e prevenire tali attacchi.
4. Identificazione di Campagne di Phishing: Poiché il phishing continua a essere un metodo diffuso per ottenere informazioni sensibili, l’analisi dei domini collegati a campagne di phishing offre spunti per identificare schemi associati alle minacce e adottare contromisure.
5. Contrastare Abusi di Marchi e Furto di Identità: La Domain Intelligence è preziosa per rilevare l’abuso di marchi, come il typosquatting e il domain squatting, e prevenire il furto d’identità. Questa informazione è essenziale per evitare danni reputazionali e possibili frodi.
6. Indagare sulla Distribuzione di Malware: Spesso, il malware sfrutta domini malevoli per la distribuzione di payload o per stabilire canali di comunicazione. L’intelligence sui domini facilita il tracciamento dei domini legati a campagne di malware, interrompendo la catena di distribuzione del malware.
Applicare la Domain Intelligence in Pratica
Per sfruttare appieno la Domain Intelligence nel threat hunting, le organizzazioni dovrebbero seguire questi passaggi:
1. Raccolta di Dati Rilevanti: La prima fase implica la raccolta di dati pertinenti, inclusi i dettagli di proprietà dei domini, record DNS, indirizzi IP e altri metadati. La raccolta può avvenire tramite web scraping, data mining o fonti open-source (OSINT). L’uso di DomainTools DNS Intelligence semplifica la raccolta.
2. Analisi dei Dati per Identificare Minacce: I dati raccolti devono essere analizzati per individuare possibili minacce. Questo comporta il confronto con pericoli noti, l’identificazione di pattern nei domini malevoli e il tracciamento dei threat actors online. L’integrazione con strumenti come SIEM ne supporta l’analisi e la rivelazione.
3. Adozione di Contromisure: Le organizzazioni devono adottare misure proattive per neutralizzare le minacce identificate, bloccando domini e indirizzi IP malevoli, collaborando con le forze dell’ordine e formando i dipendenti per contrastare le tattiche di phishing. Strumenti come SOAR automatizzano queste azioni.
In Conclusione In un panorama minaccioso complesso, il threat hunting efficace è cruciale per la difesa dalle intrusioni informatiche. L’analisi dei dati relativi ai domini fornisce preziose informazioni sulle potenziali minacce, agevola l’identificazione di pattern e Indicatori di Compromissione (IOCs) e promuove risposte proattive. L’integrazione della Domain Intelligence nelle strategie di threat hunting amplifica notevolmente la capacità delle organizzazioni di preservare la propria sicurezza informatica, minimizzare i danni e proteggere i dati sensibili.
La Threat Intelligence assume un ruolo di fondamentale importanza nell’analisi e nella gestione del panorama delle minacce, supportando decisioni basate su dati concreti. Un elemento cruciale per questa attività è rappresentato dai Priority Intelligence Requirements (PIR), che rivestono un ruolo centrale nella pianificazione e nell’esecuzione efficiente di questo processo. I PIR consentono alle organizzazioni di stabilire priorità chiare ed intervenire sulle minacce più rilevanti, ottimizzando l’impiego delle risorse. Nel presente articolo, esamineremo approfonditamente il concetto di PIR e le componenti chiave che ne determinano l’efficacia in ogni settore.
Fondamenti deI PIR
I PIR costituiscono i temi o le aree di massima rilevanza nel panorama delle minacce, allineati con la missione e gli obiettivi dell’organizzazione. Questi criteri guidano gli analisti delle minacce nella raccolta, nell’analisi e nella condivisione delle informazioni, garantendo una distribuzione efficiente delle risorse per affrontare le minacce più impattanti. La formulazione accurata dei PIR permette alle organizzazioni di concentrarsi su aspetti cruciali, migliorando l’efficacia delle operazioni di intelligence e consentendo agli analisti di concentrarsi su compiti di rilievo.
Elementi Chiave di PIR Efficaci
Chiarezza e Specificità Focalizzate: Un requisito fondamentale di un PIR ben formulata è la chiarezza e la specificità del suo obiettivo. Essa deve affrontare una minaccia o una lacuna informativa rilevante per l’organizzazione, come potenziali rischi o obiettivi. Ad esempio, può riguardare l’identificazione e l’analisi delle campagne di phishing rivolte al team esecutivo per prevenire accessi non autorizzati e violazioni dati.
Obiettivi Misurabili: un PIR deve includere obiettivi misurabili, utili al Team di Intelligence sulle Minacce (CTI) per valutare progressi e successi. Questi obiettivi dovrebbero essere quantificabili e vincolati temporalmente, consentendo di monitorare l’efficacia delle attività di intelligence sulle minacce.
Rilevanza per l’Organizzazione: i PIR devono essere in linea con l’industria, il settore o il modello di business dell’organizzazione, affrontando minacce direttamente impattanti sulle operazioni, risorse o stakeholder. Garantiscono che le informazioni raccolte siano pratiche e pertinenti alle esigenze dell’organizzazione. Ad esempio, individuare minacce mirate all’accesso remoto ai sistemi OT/ICS nel settore dell’energia.
Considerazione del Panorama delle Minacce: La creazione dei PIR richiede un’attenta considerazione del panorama delle minacce attuali ed emergenti, focalizzandosi sulle tattiche, tecniche e procedure (TTP) adottate dagli attori delle minacce. Questi PIR riflettono la comprensione dell’organizzazione delle minacce in evoluzione, guidando un approccio proattivo alla gestione dei rischi. Ad esempio, tenere monitorate le ultime TTP utilizzate dagli operatori di ransomware.
Integrazione con Requisiti di Conformità: i PIR devono considerare i requisiti normativi e di conformità pertinenti per l’industria dell’organizzazione, allineando gli sforzi di raccolta delle informazioni con la gestione del rischio. Ciò aiuta a individuare e mitigare lacune rispetto agli standard e ai framework dell’industria. Ad esempio, collaborare con il team delle carte di pagamento per soddisfare i requisiti del PCI-DSS.
Flessibilità e Adattabilità: i PIR devono essere flessibili e adattabili per rispondere alle mutevoli circostanze. Poiché il panorama delle minacce evolve rapidamente, i PIR dovrebbero essere esaminati e aggiornati regolarmente.
Collaborazione e Condivisione delle Informazioni: la Threat Intelligence è interconnessa. La collaborazione e la condivisione delle informazioni tra produttori e consumatori sono fondamentali per il successo. Coinvolgere le parti interessate pertinenti nel processo di definizione delle PIR assicura che queste affrontino minacce reali, coinvolgendo squadre come SOC, IR, red team e cacciatori di minacce.
**Conclusioni**
I PIR sono un pilastro fondamentale nell’operazionalizzazione efficace della Threat Intelligence. Un’appropriata formulazione di PIR consente alle organizzazioni di concentrare risorse, affrontare minacce specifiche e prendere decisioni basate su dati. I PIR assicurano l’allineamento con rischi aziendali, obiettivi e conformità, attraverso trasparenza, specificità, misurabilità, rilevanza e adattabilità. La collaborazione, la considerazione delle minacce emergenti e la flessibilità sono elementi essenziali per lo sviluppo di PIR robusti, consentendo alle organizzazioni di adattarsi all’evoluzione del panorama della cybersicurezza e pianificare il proprio percorso attraverso l’Evolved Threat Intelligence Lifecycle.
Negli ultimi anni, abbiamo assistito alla diffusione pervasiva del lavoro online e ibrido, che si è adattato alle esigenze digitali dei dipendenti, offrendo comodità e semplicità. Questo passaggio verso una mentalità orientata al digitale e al cloud ha comportato un notevole aumento delle informazioni relative alle identità digitali dei dipendenti e, conseguentemente, ha ampliato la superficie di attacco. Tuttavia, emergono delle sfide nell’ambito delle operazioni di sicurezza (SecOps), poiché non riescono a tenere il passo con la rapida evoluzione di questo panorama e non sono in grado di affrontare adeguatamente i rischi di sicurezza che caratterizzano questa nuova realtà. Queste sono alcune delle principali conclusioni tratte dal recente rapporto sulla Malware Readiness & Defense Report.
L’analisi condotta su circa 320 esperti e leader nel campo della sicurezza informatica rivela che le aziende sono pienamente consapevoli della minaccia costituita dalle infezioni da malware, che spesso fungono da precursori di attacchi informatici più ampi, come i ransomware. Tuttavia, la maggior parte di esse lotta nel gestire in modo completo le conseguenze delle infezioni, soprattutto per quanto riguarda il recupero dei dati di autenticazione che il malware ruba e che possono compromettere la sicurezza delle applicazioni critiche per la forza lavoro. L’evoluzione tecnologica ha inoltre portato alla crescita esponenziale delle tracce digitali dei dipendenti, le quali sfuggono spesso alla visibilità e al controllo del reparto IT. Questa situazione incide negativamente sulla postura di sicurezza e pone notevoli sfide ai team responsabili della protezione dei sistemi, delle reti e dei dati aziendali di valore.
Ecco alcuni dei principali risultati emersi dalla nostra indagine:
– Il 57% delle aziende consente ai dipendenti di sincronizzare i dati dei browser su dispositivi personali e aziendali, aprendo la strada al furto di credenziali da parte di malintenzionati che possono sfruttare dispositivi condivisi o personali per commettere le loro azioni inosservati.
– Il 54% delle aziende ha difficoltà con la “shadow IT” a causa dell’adozione non autorizzata da parte dei dipendenti di applicazioni e sistemi, creando delle falle non solo nella visibilità, ma anche nei controlli di base della sicurezza.
– Il 36% delle aziende permette l’uso di dispositivi personali non gestiti, mentre il 27% consente l’accesso a sistemi e applicazioni aziendali da parte di dispositivi di terze parti. Questo comporta un aumento del rischio, poiché i dispositivi potrebbero non avere adeguate misure di sicurezza per proteggere dati e risorse sensibili.
Le conseguenze di una rimozione post-infezione incompleta favoriscono gli attacchi.
I partecipanti all’indagine hanno collocato gli infostealer tra le prime 3 preoccupazioni, evidenziando così che i team di sicurezza sono consapevoli dell’incremento della minaccia da questo tipo di malware. Inoltre, il 98% degli intervistati è concorde sul fatto che il miglioramento delle capacità di identificazione delle applicazioni aziendali a rischio su dispositivi infetti da infostealer avrebbe un impatto significativo sulla sicurezza aziendale.
In accordo con il Verizon 2023 Data Breach Investigations Report, le applicazioni web rappresentano il bersaglio principale delle violazioni dei dati. Questo è comprensibile, considerando che le organizzazioni si affidano a queste applicazioni per una vasta gamma di attività, dall’accesso unificato (Single Sign-On) alla contabilità, dalle videoconferenze alla posta elettronica. Uno studio condotto da SpyCloud dimostra che ogni infezione da malware espone, in media, 26 applicazioni aziendali, confermando l’importanza di una rapida identificazione e risoluzione per frenare i criminali informatici che intendono sfruttare i dati trafugati per i loro scopi illeciti.
L’intervallo temporale in cui gli aggressori operano si sta allungando, concedendo loro maggior tempo per agire. Una visione completa delle applicazioni compromesse dal malware, comprendendo credenziali rubate, cookie/sessioni intercettate e URL di destinazione, consentirebbe ai team di sicurezza di migliorare i tempi di scoperta e risoluzione. Tale visibilità permetterebbe di interrompere rapidamente le possibilità degli aggressori di sfruttare i dati trafugati, riducendo così il periodo di esposizione dell’organizzazione.
Tuttavia, la nostra ricerca ha rivelato che molti team di sicurezza presentano carenze in termini di capacità e velocità nell’identificazione delle applicazioni aziendali vulnerabili sui dispositivi infetti. Gli intervistati hanno valutato questa capacità come inferiore rispetto ad altri passaggi di mitigazione.
In aggiunta, i nostri risultati indicano che molti team si fermano prima di completare le fasi di rimozione dopo un’infezione da infostealer. Ad esempio, il 27% non monitora regolarmente i log delle applicazioni per individuare segni di compromissione, il 36% non cambia le password per le applicazioni potenzialmente esposte, e il 39% non invalida le sessioni attive in caso di esposizione.
L’adattamento al rapido sviluppo del mondo digitale e all’evoluzione tecnologica nel contesto lavorativo richiede un cambiamento radicale rispetto alle metodologie tradizionali di rimozione del malware. Per contrastare gli attacchi ransomware e altre minacce informatiche, il primo passo che i team di SecOps devono affrontare riguarda la mancanza di chiarezza sulle infezioni da infostealer su tutti i dispositivi connessi alla rete, indipendentemente dal loro livello di gestione.
Tuttavia, ottenere questa visibilità rappresenta soltanto una parte dell’intero quadro. Uno degli errori più comuni commessi dai team di sicurezza informatica consiste nell’interpretare il malware come un problema legato esclusivamente ai dispositivi e nel limitarsi alla rimozione del punto finale. Questo approccio, basato sulla rilevazione del dispositivo infetto, sull’isolamento dell’utente e del dispositivo dalla rete, e sulla pulizia del dispositivo, elimina soltanto la connessione iniziale con il malware.
Tuttavia, tali azioni non mitigano l’impatto dei dati trafugati dal malware. Al momento in cui i team di SecOps intervengono (supponendo che abbiano rilevato gli infetti in primo luogo), le credenziali, i cookie di sessione e altri dati di autenticazione sono già in viaggio verso il mercato nero online, pronti per essere sfruttati.
Per evitare il rischio di rimanere indietro nella protezione delle nuove modalità di operare, le organizzazioni devono rivedere le loro tattiche e adottare un approccio centrato sull’identità. La rimozione post-infezione, basata sull’identità, rappresenta un cambiamento di paradigma che va oltre la risposta tradizionale al malware, includendo passaggi aggiuntivi per risolvere l’esposizione derivante da applicazioni e utenti coinvolti.
Il nostro rapporto evidenzia chiaramente un divario tra la consapevolezza e la preoccupazione per le minacce malware, e la capacità di affrontarle in modo adeguato per ridurre l’impatto sulla sicurezza. Questa discrepanza sottolinea la necessità di adottare una strategia completa di rimozione post-infezione, specialmente mentre le nostre attività digitali, e le tracce da esse lasciate, continuano ad aumentare. In questo contesto, l’elemento umano rimane una componente critica del rischio.
Mentre le organizzazioni si adattano gradualmente alle nuove sfide del mondo digitale, i criminali informatici non riscontrano problemi di velocità o agilità e sono costantemente in movimento, adattandosi alle ultime tendenze. La strategia migliore per i team di sicurezza consiste nel cambiare mentalità e iniziare focalizzandosi sulla visibilità dei dati accessibili ai malintenzionati e successivamente attuare tutte le fasi necessarie (idealmente in modo automatizzato) per chiudere le porte ai criminali informatici.
Nel corso degli ultimi dieci anni circa, organizzazioni di varie forme e dimensioni appartenenti a diverse industrie hanno affrontato un radicale cambiamento nella loro modalità di interazione con i clienti e nell’erogazione delle soluzioni al mercato. Questi nuovi modelli di distribuzione spesso si basano sui servizi cloud, i quali sono in grado di apportare un drastico mutamento alla composizione dell’ambiente IT aziendale.
Incorporata in questo processo di trasformazione digitale, che comprende l’adozione del cloud, molti amministratori hanno trasformato la loro responsabilità da gestire alcune centinaia di server fisici nell’ambiente on-premises a gestire migliaia e migliaia di istanze cloud distribuite su centinaia di account, le quali, per loro natura, risultano essere più intricate ed effimere.
L’Espansione della Superficie d’Attacco nel Contesto Attuale
Che sia un’impellente necessità di mantenere o acquisire un vantaggio competitivo, o persino una conseguenza di fusioni e acquisizioni, i team di sicurezza si trovano a fare i conti con un repentino allargamento della superficie d’attacco. Questo incremento implica che i team di sicurezza devono rivisitare e rinnovare la portata e l’approccio dei loro programmi di gestione delle vulnerabilità. Dal momento che sono già in ritardo, spesso vengono sollecitati a modificare tali programmi rapidamente.
La situazione è ulteriormente complicata dal fatto che molti degli strumenti e dei processi utilizzati dai team per gestire e proteggere questi carichi di lavoro non riescono a stare al passo con l’accelerato ritmo dell’innovazione. Inoltre, molte organizzazioni hanno fornito ai team DevOps l’autonomia nell’accesso all’infrastruttura sottostante necessaria per spingere rapidamente l’innovazione. Questo rende ancor più arduo per il team di sicurezza adeguarsi all’ambiente in costante evoluzione.
Adattare il Tuo Programma di Gestione delle Vulnerabilità al Cloud Richiede un Approccio Nuovo
Valutare e mitigare il rischio sia in ambienti on-premises che in cloud può risultare complesso e oneroso, spesso richiedendo un significativo dispendio di tempo e sforzo manuale per aggregare, analizzare e assegnare priorità a un ampio ventaglio di segnali di rischio. Gli esperti sono costretti frequentemente a passare da uno strumento all’altro e a compiere sforzi manuali per uniformare i dati e tradurre le scoperte di sicurezza in misurazioni di rischio significative e comprensibili per l’azienda.
Per gestire con efficacia il rischio in ambienti ibridi complessi e dinamici, i team di sicurezza devono adattare i propri programmi e adottare un approccio sostanzialmente diverso.
Similmente agli ambienti tradizionali on-premises, è essenziale ottenere e mantenere una panoramica completa dell’ambiente. È altresì fondamentale tenere traccia dell’evoluzione dell’ambiente nel tempo e di come tale evoluzione influenzi la posizione di rischio. Tale compito nell’ambiente effimero del cloud può rivelarsi complesso, dato che le condizioni possono variare da minuto a minuto. Gli strumenti tradizionali basati su agenti per la gestione delle vulnerabilità risultano troppo ingombranti da gestire e semplicemente non sono in grado di scalare in accordo con le esigenze degli ambienti moderni. Le soluzioni senza agenti offrono la visibilità in tempo reale e le capacità di gestione dei cambiamenti necessarie per gli ambienti cloud e ibridi odierni.
Una volta che la visibilità in tempo reale e continua è stata stabilita, è cruciale valutare l’ambiente stesso per il rischio, acquisendo una comprensione della posizione di rischio attuale dell’organizzazione. Sarà necessario individuare un modo efficace per assegnare una priorità e assicurarsi che i team si concentrino sugli aspetti più urgenti e impattanti, considerando fattibilità e potenziale impatto sul business e sui clienti.
Infine, una volta raggiunto il punto in cui è possibile identificare quali segnali di rischio richiedono un’attenzione immediata, sarà essenziale rimediare tempestivamente ed esaustivamente. In un contesto caratterizzato dalla velocità del cloud, questo comporterà molto probabilmente un ricorso all’automazione, che può riguardare l’automatizzazione dei processi ripetitivi o persino l’intervento di una soluzione di sicurezza per la correzione delle vulnerabilità. Naturalmente, sarà necessario misurare e monitorare i progressi durante tale processo, richiedendo un metodo per comunicare gli sviluppi riguardanti il miglioramento della posizione di rischio da parte tua e del tuo team, attraverso l’analisi delle tendenze nel corso del tempo.
Pertanto, come è evidente, non è tanto il “cosa” che i team di sicurezza devono affrontare che presenta un cambiamento significativo, ma il “come” affrontarlo deve subire una trasformazione, poiché gli approcci tradizionali semplicemente non risultano più efficaci. Le organizzazioni che operano in un ambiente ibrido devono adeguare i loro programmi in modo da poter gestire e affrontare il rischio sia in ambienti on-premises che in cloud contemporaneamente e in modo globale. Senza questa evoluzione, i leader della sicurezza si troveranno a faticare nel prendere decisioni informate riguardanti la pianificazione accurata dei budget e l’allocazione delle risorse, al fine di garantire che la migrazione verso il cloud non sortisca un impatto negativo sulla posizione di rischio.
Gestire il Rischio in Ambienti Ibridi con Executive Risk View
Executive Risk View, ora disponibile all’interno dell’offerta Cloud Risk Complete di Rapid7, fornisce ai dirigenti della sicurezza la completa visibilità e il contesto necessario per monitorare il rischio complessivo su asset sia in cloud che on-premises, al fine di acquisire una comprensione più dettagliata della posizione di rischio e delle tendenze aziendali.
Attraverso l’implementazione della Executive Risk View, i clienti possono:
Ottenere una panoramica completa del rischio, al fine di comunicare in modo efficace con l’intera organizzazione e monitorare i progressi compiuti.
Definire una visione coerente del rischio aziendale, aggregando le informazioni e normalizzando i punteggi provenienti dalle valutazioni sia on-premises che in cloud.
Abbracciare un approccio basato sui dati per prendere decisioni informate, pianificare la capacità e promuovere la responsabilità per la riduzione del rischio in tutta l’azienda.
SpyCloud fornisce alle aziende una prevenzione automatizzata dei principali vettori di attacco utilizzati dai criminali sofisticati, impedendo gli attacchi mirati più costosi. Questa fase di crescita consentirà di ampliare ulteriormente la presenza globale e accelerare la prevenzione dell’elusione dell’autenticazione per proteggere le identità digitali mentre cresce l’adozione delle chiavi di accesso e dell’autenticazione senza password.
SpyCloud, leader nell’operazionalizzazione dell’analisi dell’identità per automatizzare la protezione delle identità digitali, ha annunciato oggi di aver chiuso una fase di crescita di 110 milioni di dollari di capitale primario e secondario guidata da Riverwood Capital, un investitore globale in aziende tecnologiche ad alto crescimento. Più di 500 leader di mercato in ogni settore, inclusa metà delle Fortune 10, utilizzano già SpyCloud per contrastare crimini informatici, tra cui ransomware, takeover di account, hijacking delle sessioni e frodi online.
Sfruttando il suo motore proprietario che recupera e analizza dati dal mondo del crimine informatico e automatizza la risoluzione dei dati di autenticazione e identità esposti, SpyCloud adotta un approccio innovativo per contrastare i crimini informatici rispetto ai metodi tradizionali come l’intelligence delle minacce e apporta valore a IAM, rilevamento e risposta alle minacce di identità, protezione degli endpoint e framework di zero trust.
La piattaforma di SpyCloud identifica e risolve i cookie di sessione, le credenziali e le nuove forme emergenti di dati di autenticazione rubati che vengono attivamente utilizzati dai criminali per prendere di mira le aziende, i loro clienti e le loro catene di fornitura. La sua ultima soluzione, SpyCloud Compass, consente la risoluzione post-infezione delle esposizioni al malware, compresi gli asset compromessi più suscettibili di portare ad attacchi ransomware.
Con questo finanziamento, SpyCloud ha in programma di:
Accelerare le innovazioni nei casi d’uso di protezione aziendale, protezione dei rischi per i consumatori e indagini
Rilasciare soluzioni di prevenzione dell’elusione dell’autenticazione che proteggono aziende e consumatori da chiavi di accesso compromesse
Incrementare il proprio database leader di malware recuperati, fornendo nuove informazioni per aiutare clienti e partner a stare al passo con le minacce informatiche più avanzate
Sviluppare le capacità analitiche che collegano le esposizioni di dati di identità e autenticazione personali e aziendali per promuovere una visione della sicurezza incentrata sull’identità che supera i limiti centrati sul dispositivo della maggior parte dei team di sicurezza aziendali
Rafforzare la lista in crescita delle integrazioni, che già include Active Directory, Okta e Tines, tra gli altri, collaborando con strumenti leader per l’identità, la risposta agli incidenti, l’orchestrazione e i servizi di directory
Espandere i propri team di commercializzazione a livello globale per aiutare le organizzazioni ad adattarsi all’interesse crescente per la protezione delle identità.
Per scoprire le soluzioni SpyCloud, visita la pagina dedicata oppure scrivi a spycloud[at]dotforce.it Per verificare la tua esposizione ai rischi, Visita la pagina Check Your Exposure
