Altro breach altro blog

Altro breach altro blog

I nostri cuori vanno al team di Colonial Pipeline che lavora alla risposta all’incidente.

L’uso della parola “violazione” o “breach” in un titolo è onnipresente nella maggior parte dei blog delle società di Identity in questo momento. Questo è il modo di fare di qualsiasi azienda in questo settore. Gli attacchi sono abbastanza comuni e spesso si tratta della stessa tattica: Ransomware-as-a-Service (RaaS). In questo modello, i profitti vengono condivisi tra i proprietari e i partner che si occupano di fornire l’accesso alle organizzazioni e distribuire il ransomware.

È evidente che gli attacchi sono diventati più economici e hanno maggiori ritorni con meno investimenti necessari. Ciò porta al numero sempre crescente di società di sicurezza che scrivono blog basati su eventi attuali. Questo specifico attacco ha colpito un bel po’ di persone in più in America. Gli americani hanno bisogno e amano le loro auto.

FireEye ha recentemente pubblicato un articolo approfondito specificamente sul gruppo di hacker DarkSide che consigliamo vivamente di leggere. Il compromesso iniziale consisteva nel seguente:

  • Sospetti attacchi di password sull’infrastruttura perimetrale
  • CVE-2021-20016
  • E-mail dannose con collegamenti

Ciò dimostra che era necessaria la compromissione o l’acquisizione della password prima che gli hacker potessero passare alla fase successiva del ciclo di vita dell’attacco.

Una cosa rimane provata e vera: al centro di questi attacchi, spesso sono coinvolte le credenziali di un utente o di un utente privilegiato. Le tecniche implementate includono Brute Force, Password Spray, Dictionary Password Attacks, Mimikatz, ecc. Le aziende e i loro team IT e di sicurezza tentano di mitigare questi attacchi con metodi che sono diventati noiosi e obsoleti:

  • Crea una password complessa di 16 caratteri
  • Cambia le tue password ogni 60 giorni
  • Investi in un gestore di password
  • Implementa 2FA/MFA

Bisogna smettere di trattare i sintomi e affrontare il problema alla radice in questa supervisione della sicurezza. Il problema è la password. Esistono numerosi metodi di autenticazione che le organizzazioni possono utilizzare, ma non tutti risolvono questo problema. HYPR li ha inseriti in una matrice di attacchi di autenticazione, spiegando in che modo ogni tipo di soluzione affronta le singole categorie di minacce. Ammettiamolo, anche l’MFA da solo non può risolvere questo problema fondamentale se uno dei fattori è la password.

La missione di HYPR si basa sul presupposto che le password sono la componente di rischio più elevato in qualsiasi modello di minaccia. Rimuovendo il segreto condiviso dall’azienda, le aziende riducono i vantaggi economici di questi tipi di attacchi.

Attendiamo con impazienza il 2021 come anno dell’accettazione. Accettare che l’eliminazione delle password per gli utenti sia fattibile e una priorità crescente per le aziende.

Non esiste un singolo verticale, settore o industria che non sia interessato dalla minaccia finale rappresentata dalle password. Attendiamo con impazienza il giorno in cui blog come questi non saranno più garantiti dalle società di Identity.

Per saperne di più su come una strategia di sicurezza passwordless può portare benefici alle azienda, ci sono una grande quantità di informazioni disponibili sulla pagina delle risorse di HYPR, oppure puoi contattarci.

WebTitan Cloud implementa il client OTG per Chromebook e l’integrazione con Azure

WebTitan Cloud implementa il client OTG per Chromebook e l’integrazione con Azure

TitanHQ, società di sicurezza web e e-mail, pubblica la nuova release 4.16 di WebTitan Cloud.

Il servizio di web filtering “WebTitan Cloud per MSP” ora include DNS Proxy 2.06, che supporta il filtraggio degli utenti in Azure Active Directory e offre anche filtri web a livello di utente e dispositivo per i Chromebook.

L’introduzione di WebTitan OTG (on-the-go) per Chromebook offre un agente di roaming utilizzato con la piattaforma WebTitan Cloud di TitanHQ. WebTitan OTG per Chromebook è stato progettato per il settore dell’istruzione per fornire filtri web per i Chromebook, sia in sede che quando vengono portati a casa.

Funzionalità principali di WebTitan OTG per Chromebook e vantaggi dell’integrazione con Azure.

Utilizzando WebTitan OTG per Chromebook, la piattaforma WebTitan offre un modo rapido ed economico per applicare criteri di filtro ai Chromebook dal cloud e proteggere gli utenti con il supporto della conformità CIPA, Security e Safe Search enforcement.

  • Conveniente.
  • Facile da installare e gestire da remoto.
  • Rapporti completi su utenti e posizioni dei Chromebook.
  • Criteri a livello di utente.
  • Nessun hardware locale aggiuntivo richiesto.
  • Nessuna VPN o proxy lenti e costosi necessari per il filtraggio.
  • I Chromebook possono essere bloccati per evitare l’elusione.
  • Filtraggio DNS veloce, personalizzabile e accurato.

Fornendo filtri web a livello di utente e dispositivo specifici per i Chromebook, WebTitan OTG per Chromebook sarà particolarmente utile per i professionisti IT che lavorano nel settore dell’istruzione. Questo aumento dell’utilizzo dei Chromebook corrisponde a un aumento dell’attività online degli studenti.

Progettato per il settore dell’istruzione, è una soluzione di filtro di sicurezza veloce e conveniente per Chromebook che supporta la conformità CIPA. Con il filtro web dei Chromebook in atto, le scuole possono rispettare le leggi federali e statali e consentire agli studenti di esplorare Internet in sicurezza. Ulteriori informazioni su WebTitan OTG per Chromebook.

WebTitan Cloud 4.16 include anche DNS Proxy 2.06 che supporta il filtraggio degli utenti in Azure Active Directory. WebTitan ora supporta l’integrazione con Active Directory On-Premise e Azure AD. Nuovi servizi di Directory continueranno ad essere aggiunti, in modo che tutti i clienti possano godere dei vantaggi del filtraggio per utente e della facilità di gestione.

Per ulteriori informazioni sull’app WebTitan AzureAD Enterprise: Guida all’app WebTitan AzureAD Enterprise

Secondo Ronan Kavanagh, CEO, TitanHQ “Questa nuova versione arriva dopo un primo trimestre in espansione. Il lancio di WebTitan Cloud 4.16 offre ai nostri clienti nuove funzionalità di sicurezza fenomenali. Dopo aver registrato una crescita significativa nel 2020, TitanHQ prevede che questi miglioramenti del prodotto e nuove funzionalità renderanno il 2021 un altro anno da record”.

Per i clienti di WebTitan Cloud, l’aggiornamento verrà gestito automaticamente fornendo gli ultimi aggiornamenti e fix.

Se desideri saperne di più su TitanHQ, contattaci.

Entra in contatto con l’estensibilità della piattaforma OneLogin con Smart Hooks

Entra in contatto con l’estensibilità della piattaforma OneLogin con Smart Hooks

Un requisito fondamentale di una piattaforma tecnologica moderna è la capacità di estendere, personalizzare o integrare altri sistemi, e in qualità di pioniere e leader di valore nella gestione dell’Identity and Access Management (IAM) basata su cloud, OneLogin è ben consapevole che una dimensione non va bene per tutti, motivo per cui oggi, è entusiasta di annunciare la general availability di Smart Hooks, una nuova funzionalità limitata solo dall’immaginazione, che rafforza ulteriormente lo status di OneLogin come leader del settore dell’Identity and Access Management.

Cos’è uno Smart Hook?
Per comprendere meglio il significato di un Smart Hooks, è importante comprendere la differenza con il suo cugino ben noto ma meno capace, il Webhook.

Per molti anni, i webhook sono stati il metodo di riferimento per condividere le informazioni da una piattaforma software e creare integrazioni guidate dagli eventi. Vale la pena notare che OneLogin dispone di un sistema webhook comunemente utilizzato per trasmettere eventi negli strumenti SIEM (Security Information and Event Management) e funziona con tutto ciò che accetta JSON.

I webhook sono ottimi per questo flusso di informazioni unidirezionale, ma presentano difficoltà quando si tenta di utilizzarli per flussi di lavoro più interattivi o personalizzazioni come:

  • Scarse prestazioni
  • Server hosting & infrastructure
  • Scalabilità

Ad esempio, supponiamo che si voglia utilizzare un webhook per personalizzare un workflow di autenticazione. Forse c’era una semplice condizione che si voleva controllare e inviare l’utente in un percorso o nell’altro in base a questa condizione. Se si è tentato di utilizzare un webhook regolare per questo, è necessario configurare e ospitare un server per rilevare l’evento webhook, eseguire la logica condizionale e quindi restituire il risultato. Si dovrebbe monitorare il tempo di attività di questo server, assicurarsi che sia scalabile e anche affrontare il problema delle prestazioni di chiamata attraverso Internet al proprio servizio di cattura webhook autonomo.

Risolvere questi problemi è dove Smart Hooks brilla davvero. Smart Hooks è come una piattaforma webhook con steroidi; consente la personalizzazione e i vantaggi di integrazione di un normale webhook, ma elimina l’onere di dover ospitare server, monitorare i tempi di attività e pensare alla scalabilità e alle prestazioni.

Smart Hooks è un’offerta serverless di OneLogin che consente di interagire con workflow comuni, creare personalizzazioni e anche integrarsi con quasi tutti i sistemi esterni. Essendo serverless, significa che fornisci il codice e OneLogin si prenderà cura delle sfide di hosting e infrastruttura. Si adatta automaticamente alla crescita degli utenti e della piattaforma, risultando una piattaforma estensibile e facile da gestire che può essere modellata per soddisfare anche i requisiti più complessi.

Tipi di Smart Hook
Sotto l’egida di Smart Hooks OneLogin ha considerato una serie di utili punti di estensione sulla piattaforma OneLogin, inclusa la possibilità di personalizzare i flussi di autenticazione e interagire con gli eventi del ciclo di vita degli utenti.

OneLogin è entusiasta di rilasciare il primo di molti Smart Hook:

  • User Migration Hook
  • Pre-Authentication Hook

L’Hook per la migrazione degli utenti è rivolto ai clienti Customer Identity and Access Management (CIAM) attuali e potenziali, e offre un modo per migrare senza problemi gli utenti da un database esterno o Identity Provider (IDP) nella OneLogin Cloud Directory. Questo approccio consente una migrazione progressiva degli utenti a una directory più sicura senza richiedere loro di modificare le password o interrompere in altro modo l’esperienza dell’utente.

D’altra parte, l’hook di pre-autenticazione fornisce un’estrema flessibilità al momento dell’autenticazione. Le informazioni contestuali sul dispositivo dell’utente, il browser, la posizione, i dispositivi MFA registrati e il profilo di rischio vengono trasmesse a Smart Hook, consentendo un accesso condizionale complesso o flussi zero-trust.

Immagina, quindi costruisci
Per ogni problema, c’è una soluzione. Ogni settore, cliente o potenziale cliente ha una serie sfumata di requisiti che è ciò che ha portato OneLogin a creare la piattaforma Smart Hooks. Dopo un lungo periodo beta con alcuni dei clienti che lo hanno utilizzato in anteprima, OneLogin è davvero entusiasta di vedere come Smart Hooks risolverà le sfide di autenticazione uniche e consentirà esperienze di integrazione sorprendenti.

Vuoi saperne di più? Consulta la pagina del prodotto, la documentazione per sviluppatori o richiedi una demo gratuita.

Rilevamento dell’HAFNIUM Exchange Exploitation Campaign con ReaQta

Rilevamento dell’HAFNIUM Exchange Exploitation Campaign con ReaQta

L’11 marzo, Microsoft ha segnalato una campagna di sfruttamento di diverse vulnerabilità zero-day che interessano le versioni OnPrem di Microsoft Exchange Server (HAFNIUM Exchange Exploitation) presumibilmente da un avversario sponsorizzato dallo stato, l’attacco inizia sfruttando le vulnerabilità – CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 – e distribuendo una webshell per mantenere l’accesso al server sfruttato, in risposta alla campagna di sfruttamento, il ReaQta Threat Intelligence Team ha preparato una serie di semplici passaggi volti a prevenire nuovi attacchi in tempo reale e bloccare quelli che potrebbero essere già in corso.

La webshell identificata nella maggior parte delle osservazioni sembra essere “China Chopper“. Una volta ottenuto l’accesso tramite lo sfruttamento, gli aggressori avviano attività di ricognizione per identificare e sottrarre dati dalla rete dell’organizzazione. Lo sfruttamento e il successivo attacco sembrano essere completamente automatizzati e richiedono una risposta rapida per prevenire tentativi di esfiltrazione di dati e movimenti laterali.

HAFNIUM Exchange Exploitation ReaQta

Utilizzo di HAFNIUM identificato da ReaQta-Hive

A caccia di HAFNIUM
ReaQta ha pubblicato una Threat Hunting Query per identificare i tentativi di post-sfruttamento.

HAFNIUM Exchange Exploitation ReaQta

Threat Hunting Query

La query di ricerca fornita dal team di ReaQta, fornisce informazioni immediate sulle attività degli aggressori.

HAFNIUM Exchange Exploitation ReaQta

ReaQta-Hive Threat Hunting Console

ReaQta-Hive Threat Hunting Console fornisce un approccio completo e granulare alla ricerca di specifici Indicatori di Compromesso (IOC) e Indicatori di Attacco (IOA), combinando i parametri in modo inclusivo o esclusivo. La piattaforma è estremamente completa ma facile da usare, dotata di parametri di ricerca preconfigurati che non richiedono alcuna conoscenza di linguaggi di query complessi.

HAFNIUM Exchange Exploitation ReaQta

Hunt Parameters

Sono compromesso?

Se la query non restituisce risultati, non sono stati effettuati tentativi di sfruttamento. Tuttavia, se vengono restituiti dati, si consiglia agli analisti di valutare i risultati in quanto vi sono 2 possibili esiti:

  • Il server è stato sfruttato
  • Sono presenti dati anomali ma il server NON è compromesso

Per questa campagna in corso, i risultati sono dannosi se vengono soddisfatte tutte le seguenti condizioni:

  1. È presente un evento Executable Dropped per il processo “w3wp.exe” e la riga di comando contiene MSExchangeOWAAppPool
  2. C’è una voce per dsquery.exe che non è stata avviata da un amministratore di sistema

Se w3wp.exe non contiene il flag MSExchangeOWAAppPool e dsquery.exe è stato lanciato di proposito da un amministratore, i risultati non sono dannosi.

I team IT dovrebbero sfruttare la capacità di “Create Incident” per ricostruire l’intera trama, prestando attenzione ai processi originari coinvolti.

Salvaguardia da futuri attacchi

ReaQta-Hive fornisce una funzionalità unica chiamata DeStra (Detection Strategies) creata appositamente per supportare in maniera avanzata i team nel rilevamento di Advanced Persistent Threat (APT)  e per creare scenari di rilevamento altamente personalizzati, adattati alle esigenze di sicurezza dell’organizzazione.

Tutte le DeStra funzionano in tempo reale a livello di endpoint e quindi sono in grado di identificare e rispondere a un nuovo comportamento man mano che accade, una volta creata una Destra, viene immediatamente attivata in tutta l’organizzazione senza alcun tipo di intervento o tempi di inattività. A differenza delle tradizionali regole di post-elaborazione, i playbook DeStra reagiscono immediatamente a qualsiasi minaccia, lasciando poco spazio di movimento a un aggressore.

In questo scenario, il ReaQta Threat Intelligence Team ha creato una DeStra per rilevare futuri attacchi di sfruttamento, che è stato reso pubblicamente disponibile a quesro URL.

DeStra Script

Abilitando semplicemente un nuovo scenario di rilevamento all’interno di DeStra, ReaQta-Hive protegge l’organizzazione da futuri exploit simili.

DeStra Creation

La nostra raccomandazione

Consigliamo vivamente a tutti gli utenti di server Microsoft Exchange OnPrem, di applicare patch e aggiornare i sistemi: Exchange Online non è interessato. Si prega di adottare anche i soliti playbook di risposta e correzione in caso di risultati positivi dalla query di ricerca o in presenza di un trigger DeStra. L’exploit è solo un punto di ingresso, ma la risposta post-sfruttamento non è diversa da quella di qualsiasi altro attacco.

Contattaci per maggiori informazioni.

Go Passwordless con YubiKey e Microsoft Azure Active Directory

Go Passwordless con YubiKey e Microsoft Azure Active Directory

Oggi, Yubico celebra un’importante pietra miliare nell’evoluzione dell’autenticazione moderna. Siamo entusiasti di condividere che l’autenticazione passwordless di YubiKey è ora disponibile per gli utenti di Azure Active Directory (Azure AD) di Microsoft, un passaggio fondamentale per ottenere una maggiore sicurezza senza compromettere l’usabilità. Quasi tre anni fa, Yubico ha iniziato questo viaggio con Microsoft e ha portato sul mercato la prima chiave di sicurezza abilitata per FIDO2. L’annuncio di oggi evidenzia l’impegno a continuare a fornire fiducia su larga scala.

Cosa significa disponibilità generale passwordless?
Con la disponibilità generale dell’accesso passwordless per Azure AD, gli amministratori possono ora abilitare un flusso di accesso passwordless per i propri utenti con una varietà di opzioni di autenticazione, tra cui: Windows Hello, l’app Microsoft Authenticator e le chiavi di sicurezza FIDO2, come YubiKeys. Una volta abilitate, la registrazione, l’aggiunta e la rimozione di YubiKeys è un processo self-service per i dipendenti.

Gli utenti finali possono sperimentare l’autenticazione passwordless con una YubiKey per accedere a:

  • App Web Microsoft 365 sui browser desktop Chrome (versione 66 e successive) ed Edge (versione 1903 e successive)
  • Applicazioni aziendali federate con Azure Active Directory
  • Dispositivi Windows 10 (versione 1909 e successive) aggiunti ad Azure Active Directory
  • Dispositivi Windows 10 (versione 2004 e successive) aggiunti ad un’Active Directory ibrida

“Ora con un ampio supporto per gli standard FIDO2, i nostri clienti possono fornire ai propri utenti un’esperienza di autenticazione semplice, multipiattaforma e altamente sicura”, ha affermato Alex Simons, Corporate Vice President of Program Management, Microsoft Identity Division. “Siamo felici di far parte di una collaborazione con Yubico nel nostro sforzo congiunto per andare oltre le password e fornire ambienti più sicuri per la forza lavoro di oggi”.

Quali YubiKey supportano l’autenticazione passwordless con Azure Active Directory?
Molte YubiKey supportano l’autenticazione passwordless di Microsoft, tra cui l’ammiraglia YubiKey serie 5 e la chiave di sicurezza NFC di Yubico.

La serie YubiKey 5 è la linea di chiavi multiprotocollo di Yubico progettata per aziende e prosumer. Queste chiavi supportano FIDO2, insieme ad altri cinque protocolli di autenticazione, su un dispositivo: FIDO U2F, PIV (smart card), OTP (password monouso), OpenPGP e password statica. Ciò consente alle chiavi della serie YubiKey 5 di fungere da “bridge to passwordless” in quanto forniscono un’autenticazione forte negli ambienti esistenti e in ambienti moderni come Azure AD. La serie YubiKey 5 è disponibile in una varietà di fattori di forma e può connettersi tramite USB-A, USB-C, Lightning e Near Field Communication (NFC).

Il token di sicurezza NFC di Yubico è un dispositivo di autenticazione solo FIDO e supporta connessioni USB-A e NFC. L’imminente YubiKey Bio è anche una chiave di autenticazione solo FIDO che supporterà l’autenticazione passwordless in ambienti Microsoft utilizzando connessioni USB-A o USB-C. La YubiKey Bio è attualmente in anteprima privata e puoi registrarti qui per ricevere aggiornamenti

Come iniziare con YubiKeys e Microsoft Azure Active Directory?
Per iniziare con l’autenticazione passwordless nel tuo ambiente Microsoft, visita il nostro sito di e-commerce per acquistare la tua prima YubiKey o contattaci per ottenere una consulenza e scoprire quali soluzioni sono più adatte alle tue esigenze.

Cosa succede dopo la violazione? Lo strumento EDR e Forense all-in-one di ReaQta raccoglie informazioni in pochi minuti per un efficace ripristino post-violazione

Cosa succede dopo la violazione? Lo strumento EDR e Forense all-in-one di ReaQta raccoglie informazioni in pochi minuti per un efficace ripristino post-violazione

  • ReaQta combina la protezione EDR/XDR di Endpoint Security con funzionalità forense per formare offerte integrate di sicurezza informatica post violazione.
  • Poiché il COVID-19 continua a limitare i viaggi, la raccolta di dati forensi a distanza offerta da ReaQta-Hive crescerà fino a diventare un punto fermo per qualsiasi organizzazione.

Dopo la violazione, ogni minuto conta. La crescente incidenza di gravi violazioni informatiche, insieme al rafforzamento delle normative governative che impongono la necessità di inviare rapporti forensi digitali sensibili al tempo, significano una crescente necessità di avere sia protezione informatica che capacità per supportare in modo efficiente un’indagine.

Ecco perché, al fine di snellire la risposta agli incidenti, ReaQta combina due diversi filoni della sicurezza informatica: monitoraggio degli endpoint e analisi forense digitale in un’unica offerta di sicurezza integrata: la piattaforma Endpoint Security di ReaQta. Mentre ReaQta-Hive raccoglie informazioni dal presente nel lontano futuro, Hive Forensics raccoglie i dati da ora, risalendo al passato. Insieme, forniscono ai team una visibilità completa dell’attività degli endpoint nel tempo per un piano e una protezione più olistici per la sicurezza informatica.

violazione reaqta forense edr

 

Sviluppato in base alle esigenze del mondo reale

Gli scenari post-violazione sono i più difficili da gestire, le informazioni sono sempre parziali e ricostruire l’intero quadro è impegnativo. Affrontare un incidente attivo è sempre delicato ed estremamente impegnativo, poiché i team devono considerare sia la loro velocità di risposta sia garantire che l’azienda rimanga protetta da ulteriori furti di dati.

violazione reaqta forense edr

Hive Forensics consente ai team di raccogliere rapidamente i dati forensi da remoto, in tempo reale

Hive Forensics è stato sviluppato sulla scia di un riuscito sforzo di riparazione post-violazione che ReaQta ha gestito per una delle più grandi società di vendita al dettaglio d’Europa. Il gruppo di vendita al dettaglio, che ha un organico di diecimila dipendenti e oltre 3.000 negozi nella regione, è stato preso di mira e ripetutamente violato da un attore di minacce che stava rubando le loro informazioni.

Ma l’azienda aveva trovato esponenzialmente difficile capire come operassero gli aggressori poiché non aveva quasi nessuna visibilità sugli endpoint, il che portava al problema frustrante di far tornare gli aggressori rapidamente anche dopo che l’azienda aveva bloccato i loro indirizzi IP C&C. Questa sfida è stata aggravata dal fatto che la società aveva capacità di accesso limitate sugli endpoint locali e nessuna su quelli remoti.

Il vantaggio di ReaQta nel settore

ReaQta è stato chiamato come soccorritore post-violazione di emergenza, per condurre analisi e rimedio dopo che il team di sicurezza ha notato un carico della CPU eccezionalmente elevato su una parte della propria infrastruttura, nonché una considerevole attività di rete anomala. Pochi fornitori sono in grado di lavorare su un’infrastruttura compromessa, ma ReaQta-Hive è stato in grado di raccogliere dati forensi passati fornendo allo stesso tempo la sicurezza degli endpoint per l’azienda. Questo è stato fondamentale in quanto la società era già stata violata in diverse occasioni.

La piattaforma Endpoint Security di ReaQta-Hive utilizza la tecnologia proprietaria NanoOS per ottenere una visibilità completa sull’attività degli endpoint. Esclusiva di ReaQta, questa tecnologia consente il monitoraggio anche a livello dell’hypervisor, una capacità che offre ai team di sicurezza il sopravvento, consentendo loro di rimanere nascosti agli avversari informatici.

Raccogliendo rapidamente elementi dell’attacco per ricostruire la catena dell’attacco, ReaQta ha scoperto che gli aggressori avevano utilizzato l’infrastruttura dell’azienda come una rete di mining di bitcoin e l’avevano infettata con malware personalizzato. ReaQta è stato anche in grado di capire che gli aggressori mantenevano l’accesso tramite una backdoor personalizzata.

Entro tre ore è stato creato ed eseguito un piano di mitigazione, seguito da un piano di eradicazione e risposta. In 24 ore, le operazioni sono tornate alla normalità e l’infrastruttura è stata completamente ripulita dal team di risposta agli incidenti di ReaQta. È stata avviata un’indagine approfondita sulla ricerca delle minacce per rafforzare la posizione di sicurezza informatica dell’azienda per evitare che incidenti simili si ripetano.

Una piattaforma come ReaQta-Hive si è rivelata fondamentale per automatizzare un’attività che sarebbe stata impossibile eseguire manualmente: l’eliminazione di un malware autoreplicante su migliaia di endpoint. Si è inoltre rivelato essenziale individuare immediatamente le fonti di infezioni, i loro percorsi e le tecniche, qualcosa che era al di là della portata di un SIEM. La visibilità completa consente ai team di sicurezza di identificare tempestivamente le minacce e di contenerle adeguatamente, senza interrompere alcuna continuità aziendale.

Presentazione di Hive Forensics

Che sia per scopi di conformità o per capire come proteggere l’organizzazione dagli attacchi in futuro, una copertura completa dei dati forensi è fondamentale per determinare la portata completa di una violazione e sapere come e dove gli aggressori stanno entrando nella tua infrastruttura.

La funzione Remote Forensic Data di Hive Forensics è protetta da password e disponibile nelle modalità Basic (5 minuti) e Advanced (15 minuti)

La funzione Remote Forensic Data di Hive Forensics fornisce istantanee cruciali dello stato degli endpoint. Lo fa da remoto, eliminando il ritardo dovuto all’andare sul posto per raccogliere tracce e identificatori di informazioni, una caratteristica che è diventata particolarmente critica ora che la pandemia COVID-19 sta limitando i viaggi internazionali. Con il recupero remoto dei dati forensi, i risparmi di tempo si traducono in risparmi sui costi per l’azienda. Ad esempio, i costi vari dei biglietti aerei e degli alloggi per i team IR possono essere eliminati e i team risparmiano tempo prezioso di risposta.

Costruita in due modalità, la funzione raccoglie in modo esponenziale più dati rispetto al tipico EDR e impiega 5 minuti a livello di base e 15 minuti per un recupero avanzato delle informazioni, riducendo drasticamente il tempo di risposta da giorni a minuti.

La modalità di base di Hive Forensics raccoglie le informazioni essenziali necessarie per la ricostruzione dell’attacco in soli 5 minuti

Elenco delle attività pianificate attive

Capacità tecniche di Hive Forensics:

  • Crittografia abilitata
  • Abilitazione semplice del modulo
  • La funzione Dati forensi remoti è disponibile in 2 modalità:
    • Base (5 minuti): visualizza i processi in esecuzione e un’istantanea delle informazioni di stato cruciali sull’endpoint. Attualmente disponibile su Windows.
    • Avanzato (15 minuti): offre funzionalità del kit di base e altro ancora. Offre una copertura forense più completa, come connessioni di rete, fusi orari, utenti associati a endpoint ecc.

Il kit Remote Forensic Data di Hive Forensics è disponibile come funzionalità a valore aggiunto all’interno di ReaQta-Hive. Per programmare una prova gratuita di ReaQta-Hive di 30 giorni, contattaci.

Il giusto strumento di gestione remota per le attuali sfide di sicurezza

Il giusto strumento di gestione remota per le attuali sfide di sicurezza

Secondo una ricerca di CSO, un’agenzia di stampa basata su Internet focalizzata sulla sicurezza aziendale, il 61% dei leader IT intervistati è preoccupato per un aumento degli attacchi informatici che prendono di mira i dipendenti remoti. Lo stesso studio ha rilevato che il 26% delle organizzazioni ha registrato un aumento della frequenza, della gravità e della portata degli attacchi informatici da marzo 2020. Per stare al passo con queste minacce, sempre più organizzazioni stanno cercando uno strumento di gestione remota per aumentare sicurezza, visibilità e controllo sul workstation remote, applicazioni aziendali e infrastruttura basata su cloud.

La pandemia di COVID-19, ha costretto le aziende di tutte le dimensioni a ripensare alle proprie operazioni digitali e integrare nuove tecnologie che consentano il lavoro a distanza, supportino flussi di lavoro indipendenti dai dispositivi e migliorino la preparazione alla sicurezza informatica. Sebbene la sicurezza del sistema e dei dati fosse già una delle principali preoccupazioni prima della comparsa della pandemia, l’attuale panorama aziendale è pieno di nuove sfide IT e minacce digitali.

 

Lotta al Cybercrime negli ambienti work-from-home

Una delle maggiori sfide alla sicurezza informatica relative a COVID-19 ha a che fare con il monitoraggio remoto e la valutazione della vulnerabilità. Con così tanti dipendenti che lavorano da casa, gli amministratori IT stanno lottando per mantenere le migliori pratiche e istruire gli utenti sulle minacce alla sicurezza emergenti. Sebbene la gestione dei sistemi IT e del software in sede di solito richieda molto più supporto back-end rispetto alle soluzioni basate su cloud, offre anche una maggiore supervisione a livello di dispositivo. Le aziende che hanno dovuto implementare rapidamente nuove tecnologie di telecomunicazione e condivisione dei dati probabilmente non hanno avuto il tempo di configurare i corretti controlli di sicurezza informatica su misura per la propria infrastruttura, necessari per scongiurare violazioni dei dati, distribuzione di malware e attacchi brute-force.

“Le organizzazioni di tutti i tipi stanno affrontando un aumento delle minacce basate sulla posta elettronica, delle lacune nella sicurezza degli endpoint e di altri problemi a causa del passaggio improvviso a una forza lavoro completamente remota”, ha affermato William Altman, analista senior presso il Global Cyber ​​Center di New York, durante un evento sulla sicurezza informatica virtuale tenutosi nell’aprile 2020, ha riferito Forbes.

Tra le principali preoccupazioni, le aziende devono prestare maggiore attenzione alla sicurezza Wi-Fi domestica, al rischio di truffe di phishing e alle password di dispositivi e/o applicazioni lassiste. In termini di comportamenti specifici dei dispositivi, i partecipanti all’evento virtuale sono stati avvertiti di prestare attenzione a questi segni comuni di una violazione informatica:

  • Vengono visualizzati nuovi programmi che non sono stati installati manualmente
  • Prestazioni del dispositivo lente o incoerenti
  • Strani annunci pop-up
  • Perdita di controllo del mouse o della tastiera

Sebbene questi segnali di avvertimento siano piuttosto semplici da individuare, spetta ai reparti IT adottare misure per mitigare le vulnerabilità della sicurezza informatica e garantire che sulle workstation siano installate le versioni più recenti del software e del sistema operativo. Queste preoccupazioni non sono applicabili solo durante la pandemia, poiché il suddetto sondaggio CSO ha rilevato che il 73% degli intervistati ritiene che la crisi sanitaria cambierà il modo in cui le loro organizzazioni valutano il rischio per i prossimi cinque anni. La necessità di soluzioni lungimiranti non è mai stata così evidente, ma trovare il giusto strumento di gestione remota richiederà tempo, impegno e consenso da parte dei leader dell’organizzazione.

 

Funzionalità essenziali di gestione remota

L’implementazione di nuove soluzioni di sicurezza informatica può sembrare un’ovvia difesa contro questi (e altri) rischi per la sicurezza informatica, ma l’eccessiva saturazione del mercato della sicurezza informatica ha reso difficile selezionare la piattaforma giusta. Ogni azienda ha esigenze operative e vincoli finanziari diversi: la ricerca di una soluzione valida per tutti può finire per fare più danni nel lungo periodo, in quanto può portare a spese inutili, capacità di gestione non corrispondenti e applicazioni in silos. Invece, i leader IT dovrebbero concentrarsi sull’integrazione di funzionalità specifiche che miglioreranno la loro visibilità e controllo sulle workstation remote.

Come rilevato dal Center for Internet Security, le aziende devono garantire che i propri dipendenti remoti adottino misure per proteggere i propri dispositivi personali. Ciò include tenere il passo con le patch delle applicazioni e del sistema operativo, installare software antivirus, configurare firewall e altro ancora. Senza una piattaforma di gestione centralizzata, gli amministratori IT potrebbero avere difficoltà a garantire che gli utenti finali rispettino le migliori pratiche e prendano sul serio le proprie responsabilità in materia di sicurezza informatica. È qui che può aiutare l’applicazione Faronics Deploy.

Con Deploy, gli amministratori IT possono gestire in modo proattivo i dispositivi remoti e inviare aggiornamenti in tempo reale senza la necessità di intervento umano. Questo livello di controllo è essenziale per ridurre i rischi per la sicurezza informatica e garantire che tutti i dispositivi collegati alle reti aziendali siano protetti, autorizzati e monitorati 24 ore su 24. Faronics Deploy, offre alle aziende funzionalità di gestione policy-based per applicazioni e aggiornamenti di Windows, insieme a una suite di funzionalità che possono aiutare a massimizzare la sicurezza a livello di dispositivo e distribuire senza problemi sulle workstation remote. Questo può aiutare a semplificare una serie di attività di gestione IT, come:

  • Applicazione di patch e software, inclusi MS Office, Adobe, Google Chrome e altro
  • Automatizzazione degli aggiornamenti del sistema operativo per macchine Windows e Mac
  • Facilitare nuove distribuzioni di hardware e software
  • Mantenimento dell’utilizzo remoto e monitoraggio delle prestazioni, supportato e analisi in tempo reale

Grazie all’architettura decentralizzata basata su cloud di Faronics Deploy, le organizzazioni possono gestire qualsiasi numero di dispositivi in modo indipendente o in batch. Gli aggiornamenti delle applicazioni e del sistema operativo non riusciti vengono rilevati immediatamente, fornendo una supervisione senza pari basata su una serie di controlli granulari predefiniti. Ad esempio, gli amministratori IT possono utilizzare Deploy per disabilitare o bloccare gli aggiornamenti per applicazioni specifiche, testare nuove versioni prima di inviare patch agli utenti finali e inviare URL personalizzati per installare più facilmente agenti critici.

Per scoprire come Faronics Deploy può supportare le esigenze di gestione remota, contattaci o inizia subito una prova gratuita.

Come trovare e correggere le vulnerabilità da Default Account in InsightVM

Come trovare e correggere le vulnerabilità da Default Account in InsightVM

In questo post del blog, parleremo di un paio di funzionalità meno recenti e meno conosciute che possono ancora fornire un valore straordinario utilizzando InsightVM trattando le Vulnerability Categories, per trovare le categorie e sfruttarle come filtri di asset con i Dynamic Asset Group (DAG), consentendoci di creare un workflow da configurare ed eseguire su nuove installazioni per monitorare e riparare le vulnerabilità dei Default Account. Vedremo anche come utilizzare questo workflow come template per altri workflow simili con diverse Vulnerability Categories.

Vulnerability Categories e dove trovarle in InsightVM
La prima cosa che suggeriamo di mostrare a ogni cliente durante una distribuzione, mentre esploriamo le opzioni nel template di scansione sono le Vulnerability Categories. È possibile visualizzare un elenco di tutte le Vulnerability Categories nella scheda Vulnerability di qualsiasi template di scansione. Mostrerà un elenco di tutte le diverse categorie e, se lo si desidera, è anche possibile approfondire ogni categoria e vedere tutti i controlli di vulnerabilità effettivi che risiedono in ciascuna categoria.

Andare nella Vulnerability Check Tab sullo Scan Template e fare clic su “Add Categories

vulnerabilità Default Account InsightVM

Ora che sappiamo di questo elenco di categorie di vulnerabilità, concentriamoci sulla categoria di vulnerabilità “Default Account“. Questa categoria mostrerà tutti i controlli di vulnerabilità associati alle risorse che sono vulnerabili alle credenziali dell’account predefinito. Un esempio potrebbe essere un sistema che esegue Telnet sulla porta 23 utilizzando il nome utente “admin” e la password “admin“. Questo tipo di vulnerabilità dovrebbe essere la prima cosa da risolvere nel proprio progetto di vulnerability management, poiché possono essere sfruttate con un’esperienza di hacking quasi nulla.

vulnerabilità Default Account InsightVM

Creazione di un Dynamic Asset Group (DAG) in InsightVM
Per sfruttare la categoria di vulnerabilità “Default Account“, la prima cosa da fare, è creare un Dynamic Asset Group o DAG.

Creare un Dynamic Asset Group (DAG)

vulnerabilità Default Account InsightVM

Creare un Dynamic Asset Group con un filtro ‘Vulnerability Category IS Default Account’, fare clic su Search, quindi su Create Asset Group e salvare il DAG con il nome “Devices Authenticated with Default Creds

vulnerabilità Default Account InsightVM

Questo mostrerà tutte le risorse con vulnerabilità del default account. La sfida adesso è, se una risorsa ha 1.000 vulnerabilità, come capire quale vulnerabilità su quella risorsa è la vulnerabilità del default account. Vediamo come superare questa sfida.

Per risolvere questa sfida, è possibile utilizzare una funzione meno nota durante la creazione di un Report denominato “Vulnerability Filters have been applied“. Quindi, definire l’ambito di un Report con il DAG “Devices Authenticated with Default Creds” creato nel passaggio precedente.

 

Report sulle vulnerabilità dell’account predefinito in InsightVM

Creare un report, selezionando il template “Top Remediation reportwith Details“:

Scegliere quindi come Scope, l’Asset Groups creato nel passaggio precedente “Devices Authenticated with Default Credentials“:

Selezionare il Vulnerability Filter per includere la categoria specifica ‘Default Account’:

Salvare ed eseguire il report:

Combinando il DAG “Devices Authenticated with Default Creds” con il filtro in un report (consigliato il report “Top Remediation with Details“), ora è possibile ottenere un report che mostra solo le risorse con vulnerabilità dell’account predefinito e mostra solo le soluzioni per queste vulnerabilità. Questo report consentirà di vedere esattamente quale vulnerabilità del Default Account è presente su ciascuna risorsa e la soluzione per risolvere la vulnerabilità.

Esempio di vulnerabilità e soluzione del Default Account:

Questo workflow è qualcosa da mostrare alla gente, come un modo per iniziare le attività di remediation in modo concreto. Non solo questi tipi di controlli possono essere un’ottima cosa da risolvere appena si avvia il progetto di vulnerability management, ma permettono anche di iniziare a stabilire una credibilità e un rispetto sorprendenti quando si inizia concretamente a fornire evidenze e soluzioni immediate.

Ora che abbiamo spiegato questo fantastico workflow e sappiamo come vedere tutte le possibili categorie di vulnerabilità, possiamo utilizzare lo stesso workflow con qualsiasi categoria di vulnerabilità. Alcune altre categorie di vulnerabilità che consigliamo di utilizzare sono “Obsolete OS”, “Insecure Remote Access”, “Obsolete Software” o qualcosa di più grande come “Adobe”.

ReaQta selezionato nell’Enterprise Security Magazine’s 2020 Top 10 Security Automation Solution Providers 2020

ReaQta selezionato nell’Enterprise Security Magazine’s 2020 Top 10 Security Automation Solution Providers 2020

Amsterdam, Paesi Bassi, 23 dicembre 2020 – ReaQta, fornitore leader di soluzioni per l’Endpoint Security basata sull’intelligenza artificiale, ha annunciato oggi di essere stato premiato come parte della selezione dell’Enterprise Security Magazine’s selection of Top 10 Security Automation Solution Providers 2020. Nominato come una dei migliori fornitori di soluzioni di Endpoint Security per il terzo anno consecutivo, ReaQta è stato selezionato per far parte di questo elenco esclusivo come parte dell’edizione speciale 2020 della rivista Security Automation.

Il premio riconosce le aziende che sono in prima linea nella fornitura di soluzioni di Security Automation che stanno influenzando il mercato.

Enterprise Security Magazine è un’importante rivista tecnologica che presenta i principali fornitori di soluzioni che aiutano a salvaguardare le aziende. La rivista professionale raggiunge oltre 122.000 abbonati, inclusi i responsabili della sicurezza e i leader chiave a livello globale.

Onorando le aziende che difendono le aziende da attacchi informatici moderni fortemente automatizzati, il riconoscimento di Enterprise Security loda le soluzioni innovative che aiutano le organizzazioni a difendersi da minacce zero-day precedentemente sconosciute con maggiore velocità e competenza.

ReaQta è stata riconosciuta per il suo utilizzo di AI e ML nei suoi modelli di apprendimento che consentono la profilazione del comportamento normale di ciascun endpoint, fornendo così rilevamenti accurati e allarmi precisi con una precisione ancora maggiore quando ci sono deviazioni dalla norma, un’impresa che è stata affermato da Gartner.

A livello di settore, ReaQta è l’unico fornitore a offrire un apprendimento continuo sia a livello di endpoint che di infrastruttura, garantendo che le organizzazioni siano protette da minacce informatiche sofisticate, inclusi ransomware e attacchi sofisticati file-less e in memoria in qualsiasi ambiente, in cloud, on-premise e in ambienti completamente isolati. Con il processo decisionale algoritmico, ReaQta automatizza la maggior parte del noioso lavoro manuale necessario per la gestione degli avvisi, riducendo notevolmente il carico di lavoro dei team SOC e MSSP.

“ReaQta si impegna a fornire sempre tecnologie all’avanguardia per difendere al meglio i nostri clienti. Siamo onorati di essere riconosciuti come fornitore leader nel mercato”, ha affermato Alberto Pelliccione, CEO di ReaQta. “ReaQta sta automatizzando completamente il processo di rilevamento e risposta, al fine di accelerare i tempi di ripristino e ottimizzare l’allocazione interna delle risorse di sicurezza informatica. L’approccio comportamentale che abbiamo adottato garantisce che le minacce ricevano risposta non appena vengono scoperte, senza tempi di inattività coinvolti, consentendo ai team di sicurezza di investire tempo in attività essenziali lasciando la parte più noiosa agli algoritmi”.

Acclamato in tutto il settore, ReaQta è anche il destinatario del 2020 Gartner Cool Vendor in Network and Endpoint Security, 2020 Frost & Sullivan Best Practices Award – European Behavioral Cyber ​​Threat Detection Technology Innovation Award. La società è stata inoltre premiata su Emerging Technologies and Trends Impact Radar: Security e Gartner’s Emerging Technologies and Trends Impact Radar: Security in Insurance nel 2020.

A proposito di ReaQta

ReaQta è la piattaforma per la sicurezza degli endpoint AI di alto livello in Europa, costruita da un gruppo d’élite di esperti di sicurezza informatica e ricercatori di IA/ML con una vasta esperienza nelle operazioni di intelligence governativa. Incentrato sulla creazione della migliore esperienza utente per la sicurezza degli endpoint, ReaQta è la piattaforma più elegante, potente e facile da usare che consente alle organizzazioni di eliminare le minacce avanzate – nel modo più veloce possibile.

In qualità di esperti in intelligenza artificiale e analisi comportamentale, i motori proprietari di doppia intelligenza artificiale di ReaQta forniscono alle organizzazioni di tutti i settori una sicurezza degli endpoint completa e completamente personalizzata, meno tutta la complessità. I team di sicurezza ora possono fare di più, con meno. Per saperne di più visita Reaqta.com o contattaci

Guida all’accesso passwordless di YubiKeys per Microsoft Azure AD

Guida all’accesso passwordless di YubiKeys per Microsoft Azure AD

Nota: questi documenti riguardano FIDO2 passwordless support in Azure AD, attualmente in public preview. Le funzionalità, l’interfaccia utente, ecc. sono soggette a modifiche fino a quando la versione diventerà disponibile al pubblico.

Introduzione

Microsoft ha recentemente introdotto una funzionalità in public preview in Azure Active Directory che consente alle organizzazioni di abilitare le chiavi di sicurezza FIDO2 come fattore di autenticazione passwordless. YubiKeys di Yubico, leader nella strong authentication, ha introdotto FIDO2 nella serie YubiKey 5, supportando l’accesso passwordless di Microsoft. Utilizzando i  Microsoft Passwordless Login flows, le organizzazioni possono realizzare i seguenti vantaggi:

  • Strong Security: protezione migliorata contro attacchi di phishing, man-in-the-middle e password spray.
  • Esperienza utente migliorata: gli utenti finali non devono più gestire password lunghe, complesse e rotanti
  • Costi ridotti: riduci al minimo i ticket di help desk relativi alle password che rappresentano una grande percentuale delle risorse dell’help desk IT.

L’accesso passwordless di Microsoft Azure Active Directory con YubiKeys si applica ai seguenti scenari:

  • Azure Active Directory web applications
  • Azure Active Directory joined Windows 10 (Windows 10 1909 e versioni successive)
  • Hybrid Azure Active Directory joined Windows 10 devices (Windows 10 2004 e versioni successive)

Azure AD Passwordless Sign in Deployment Documents

Questi documenti fungono da guida per le organizzazioni che desiderano configurare e distribuire l’accesso passwordless in Microsoft per Azure AD.

Se la tua organizzazione utilizza Microsoft AD (on-premises), leggi il nostro post su come è possibile integrare facilmente le Yubikeys in un dominio Active Directory, oppure contattaci.

Le YubiKey sono disponibili sul nostro Shop Online.

Ulteriori informazioni sulla partnership Microsoft + Yubico sono disponibili qui.

Ottenere ulteriore assistenza
Per ulteriori informazioni e per ottenere aiuto con le tue YubiKey:

ReaQta e DotForce firmano un accordo di distribuzione per le soluzioni EDR, NGAV+ e MDR

ReaQta e DotForce firmano un accordo di distribuzione per le soluzioni EDR, NGAV+ e MDR

Le soluzioni di ReaQta per Endpoint Detection and Response (EDR) arricchiscono il portafoglio del distributore di soluzioni di Next Generation Cybersecurity ReaQta-Hive e ReaQta-EON rafforzano la posizione di sicurezza delle imprese globali, dei governi e persino delle PMI locali contro le minacce alla sicurezza informatica nascoste, avanzate e sconosciute.

Amsterdam, Paesi Bassi, 9 dicembre 2020 – ReaQta, piattaforma leader di threat response basata su intelligenza artificiale (A.I.), con servizi di triaging completi, ha nominato DotForce come distributore per l’Italia. Questa partnership introdurrà una soluzione EDR avanzata (endpoint detection and response), prima nel suo genere, al settore della sicurezza informatica, considerando i crescenti attacchi informatici, sia in termini di numero che di sofisticazione.

“I prodotti di sicurezza tradizionali non sono in grado di soddisfare le esigenze dei clienti consapevoli del rischio informatico, specialmente nell’attuale panorama delle minacce in rapida evoluzione”, ha affermato Alberto Pelliccione, CEO di ReaQta. “C’è un urgente bisogno di una soluzione EDR avanzata, come ReaQta-Hive, che offra visibilità completa, rilevamento, protezione con funzionalità di remediation e tuttavia rimanga incredibilmente facile da usare. Con la loro consolidata reputazione nella regione come distributore di tecnologie innovative per la sicurezza informatica, siamo lieti di collaborare con DotForce per offrire una piattaforma di sicurezza altamente efficace e completa che verrà fornita attraverso il loro canale altamente qualificato, realizzato da rivenditori di prim’ordine, systems integrator e MSP.”

“Nella nostra missione di portare tecnologie e approcci innovativi al mercato, DotForce collabora con fornitori leader come ReaQta per introdurre tecnologie all’avanguardia che impediscono alle minacce alla sicurezza, come ransomware e attacchi fileless, di compromettere la continuità aziendale”, ha commentato Fabrizio Bressani, CEO presso DotForce Italia.“Considerando l’ambiente aziendale dinamico di oggi, crediamo che ReaQta possa offrire soluzioni di sicurezza informatica su misura sia per le aziende che richiedono un servizio di monitoraggio 24 ore su 24, 7 giorni su 7, sia per le PMI locali che necessitano di una protezione di base ma completa. Stiamo invitando rivenditori, system integrator e MSP a includere la soluzione Reaqta nel loro portafoglio di offerte, per sfruttare una solida opportunità di mercato per gli anni a venire “.

ReaQta-Hive è alimentato da due motori di intelligenza artificiale che apprendono in modo intelligente la rete individuale di un cliente, è in grado di rilevare anomalie di comportamento sia dell’endpoint che della rete e rimedia automaticamente anche le minacce più avanzate o sconosciute, riducendo i tempi di risposta a pochi minuti, non mesi.

ReaQta-Hive protegge endpoint, server e dispositivi mobili con un’ampia gamma di comandi pronti all’uso per la caccia alle minacce tra gli endpoint. Minacce immediate come trojan, ransomware, RATS, nonché movimenti laterali e attacchi supply-chain vengono rilevati e segnalati in tempo reale, con la funzione di remote kill. Un NanoOS™ unico offre agli analisti un livello di dettaglio senza precedenti e, allo stesso tempo, una barriera estremamente difficile da superare per gli aggressori. Due diversi set di motori applicano l’apprendimento automatico all’avanguardia ai comportamenti delle applicazioni, avvisando automaticamente delle minacce attive o emergenti senza la necessità di una conoscenza preliminare degli attacchi. Questo approccio senza firma, combinato con un’analisi comportamentale basata sull’intelligenza artificiale, garantisce che le minacce vengano rilevate indipendentemente dalle loro tecniche di consegna e dai tipi di carico utile.

ReaQta-EON, un Next-Generation Antivirus (NGAV+) basato su cloud, combina tecniche di difesa tradizionali e moderne con le più recenti strategie di AI/ML per fermare gli aggressori in tempo reale. Questo sistema ti protegge da minacce note e sconosciute, riducendo così la necessità di costosi sforzi di risposta e ripristino.

ReaQta-EON è stato progettato con le più recenti tecnologie innovative nell’intelligenza artificiale e nell’apprendimento automatico per fornire la sicurezza chiave ed essenziale di cui ogni organizzazione ha bisogno per combattere le minacce moderne.

 

A proposito di ReaQta

ReaQta è la piattaforma di sicurezza degli endpoint AI di alto livello in Europa, costruita da un gruppo d’élite di esperti di sicurezza informatica e ricercatori di AI/ML con una vasta esperienza nelle operazioni di intelligence governativa. Incentrato sulla creazione della migliore esperienza utente per la sicurezza degli endpoint, ReaQta è la piattaforma più elegante, potente e facile da usare che consente alle organizzazioni di eliminare le minacce più avanzate nel modo più veloce possibile.

In qualità di esperti in intelligenza artificiale e analisi comportamentale, i motori proprietari di doppia intelligenza artificiale di ReaQta forniscono alle organizzazioni di tutti i settori una sicurezza degli endpoint completa e completamente personalizzata, meno tutta la complessità. I team di sicurezza ora possono fare di più, con meno.

Per saperne di più contattaci per approfondimenti o per una demo gratuita.

Metasploit, come utilizzare questo strumento di pentesting

Metasploit, come utilizzare questo strumento di pentesting

Metasploit è uno strumento di pentesting ampiamente utilizzato dagli addetti ai lavori, che rende l’hacking molto più semplice di prima, diventato uno strumento indispensabile sia per il Red che per il Blue Team, posizionandosi come strumento essenziale da utilizzare per molti attaccanti e difensori.

Ai vecchi tempi, il pentesting comportava un sacco di lavoro ripetitivo che Metasploit ora automatizza. Information gathering? Ottenere l’accesso? Mantenere la persistenza? Evadere il rilevamento? Metasploit è un ottimo strumento, e chi lavora nella sicurezza informatica, probabilmente lo ha già utilizzato.

Metasploit, come utilizzare questo strumento di pentesting

Storia di Metasploit

H.D. Moore ha iniziato a lavorare su Metasploit rilasciando la versione 1.0, scritta in Perl, nel 2003. Il progetto è cresciuto notevolmente da allora, dagli 11 exploit originali con il progetto agli attuali 1.500, più circa 500 payload, con un passaggio a Ruby lungo la strada.

La società di sicurezza Rapid7 ha acquisito sia Metasploit che Moore nel 2009 (Moore ha lasciato il progetto nel 2016). Metasploit da allora è diventato il framework de facto per lo sviluppo degli exploit, nonostante la concorrenza di Canvas e Core Impact. Oggi è comune che i report zero day includano un modulo Metasploit come prova di concetto.

Come usare Metasploit

Durante la fase di raccolta delle informazioni (Information gathering) di un pentest, Metasploit si integra perfettamente con Nmap, la scansione SNMP e l’enumerazione delle patch di Windows, tra gli altri. C’è persino un ponte per Nessus, lo scanner di vulnerabilità di Tenable. Praticamente ogni strumento di ricognizione a cui si può pensare, si integra con Metasploit, rendendo possibile trovare la fessura nell’armatura che stai cercando.

Una volta identificato un punto debole, basterà cercare nell’ampio database di Metasploit l’exploit che aprirà quella fessura e permetterà di entrare. Ad esempio, l’exploit EternalBlue dell’NSA, rilasciato da Shadow Brokers nel 2017, è stato confezionato per Metasploit ed è un punto di riferimento affidabile quando si ha a che fare con sistemi Windows legacy privi di patch.

Metasploit abbina l’exploit a un payload utile e adatto al compito da svolgere. Poiché ciò che la maggior parte delle persone desidera è una shell, un payload adatto quando si attaccano i sistemi Windows è il sempre popolare Meterpreter, una shell interattiva in-memory-only. I sistemi Linux ottengono il proprio codice shell, a seconda dell’exploit utilizzato.

Una volta su una macchina di destinazione, il quiver di Metasploit contiene una suite completa di strumenti di post-exploitation, tra cui privilege escalation, pass the hash, packet sniffing, screen capure, keylogger e gli strumenti di pivot. È anche possibile impostare una backdoor persistente nel caso in cui la macchina in questione venga riavviata.

Ogni anno vengono aggiunte sempre più funzionalità a Metasploit, tra cui un fuzzer per identificare potenziali falle di sicurezza nei file binari, nonché un lungo elenco di moduli ausiliari troppo lungo per essere elencato qui.

Questa è solo una visione di alto livello di ciò che può fare Metasploit. Il framework è modulare e facilmente estensibile e gode di una comunità attiva. Se non fa esattamente quello che si vuole che faccia, è possibile quasi certamente modificarlo e adattarlo.

Come imparare a usare Metasploit con Kali

Sono disponibili molte risorse gratuite ed economiche per imparare Metasploit. Il miglior punto di partenza per molti è probabilmente il download e l’installazione di Kali Linux, insieme a una macchina virtuale vulnerabile (VM) per la pratica. Metasploit e Linux infatti costituiscono un connubio perfetto, sia per chi muove i primi passi, sia per chi ne fa un uso avanzato o professionale. NB Non apprendere l’utilizzo di Metasploit usandolo verso reti o infrastrutture di altre persone senza il loro permesso, è illegale.

Offensive Security, le persone che mantengono Kali e gestiscono la certificazione OSCP, offrono anche Metasploit Unleashed, un corso di formazione gratuito che in cambio chiede solo una donazione ai bambini affamati in Africa. Il libro No Starch Metasploit è anche una risorsa indispensabile che, come tutti i libri No Starch Press, viene fornito con un ebook privo di DRM.

Il progetto Metasploit offre una documentazione dettagliata e il suo canale YouTube è un’altra buona risorsa per i principianti del penetration tester.

Come ottenere Metasploit Framework

Metasploit Framework è la versione base, fornita come parte di Kali Linux (licenza BSD), offrendo solo un’interfaccia a riga di comando, oppure scaricabile gratuitamente e liberamente dal sito web di Metasploit, funziona su *nix e sistemi Windows. Il codice sorgente di Metasploit Framework è disponibile su GitHub.

Oltre al Metasploit Framework, Rapid7 produce anche Metasploit Pro, con i componenti aggiuntivi non gratuiti per pentesters che preferiscono una GUI o comodi wizards per eseguire audit di base o campagne di phishing per i propri clienti come servizio, oltre ad alcune altre interessanti funzionalità.

Rapid7 offre un confronto delle funzionalità sul suo sito web, e per chi fosse interessato ad acquistare la versione Metasploit Pro, con licenza per postazione, può farlo direttamente dal nostro Shop o contattandoci.

Cosa offre una TIP?

Cosa offre una TIP?

I criminali informatici stanno facendo gli straordinari. Le organizzazioni di sicurezza devono stare al passo con le minacce, comprendere le vulnerabilità delle aziende e porre rimedio rapidamente alle minacce. Tuttavia, spesso è necessario troppo tempo per esaminare tutti i feed dalle minacce esterne e i sistemi di sicurezza interni. L’attività manuale di setacciare tutti questi incidenti di minaccia richiede lunghe ore e spesso porta a falsi positivi e falsi negativi, fattori che portano a travolgere i team di sicurezza. E se fosse possibile prendere le attività più laboriose e automatizzarle? Una Threat Intelligence Platform (TIP) come DomainTools, offre ai team di sicurezza l’automazione di cui hanno bisogno.

Le tre funzioni chiave delle prestazioni di un TIP sono:

  • Processare
  • Deduplicare
  • Correlare 

Utilizzando queste funzioni chiave, una TIP aggrega le informazioni provenienti da varie fonti, le analizza, le elabora e quindi le presenta ai team per ulteriori analisi, fornendo informazioni utili sulle minacce. Poiché una TIP fornisce sia il contesto che i dati delle minacce analizzate, offre ai team la capacità di prevenire e prendersi cura delle minacce in modo più rapido ed efficace.

 

Processare. Deduplicare. Correlare.

Una TIP, abilita i programmi di intelligence sulle minacce, raccogliendo tutte le informazioni sulle minacce in una posizione centralizzata, consentendo all’analista di prendere tali informazioni, elaborarle e renderle utilizzabili per le organizzazioni. Questo crea un “unico pannello di vetro” per l’intelligence sulle minacce.

La maggior parte delle organizzazioni ha un piccolo team, o anche una singola persona, che raccoglie i dati sulle minacce e li elabora. Quanto sarebbe più efficiente lo stesso team di sicurezza se avesse un intero esercito di analisti che setacciano i dati sulle minacce? Probabilmente si hanno diverse fonti di intelligence e ognuna parla la propria lingua per quanto riguarda il punteggio di rischio, che tipo di minaccia è, quanto è attiva, etc. e, con così tanti diversi flussi di informazioni, è inevitabile che ci siano minacce ridondanti. Una persona può dedicare una quantità significativa di tempo a setacciare queste minacce, rimuovere ridondanze, valutare i rischi e analizzare informazioni. Una TIP, tuttavia:

  • Raccogliere dati da più feed (interni ed esterni)
  • Elaborare i dati: Rimuovere le informazioni irrilevanti o ridondanti, ordinarle e confrontarle con informazioni selezionate per trovare modelli e correlazioni
  • Aggiungere contesto ai dati ordinati: elimina i falsi positivi, aggiunge dati addizionali (network, indirizzo IP, blocklist)
  • Integrazione con gli strumenti di sicurezza esistenti per massimizzare le informazioni, inviando i dati sulle minacce analizzate al personale/reparto appropriato

La piattaforma analizzerà anche le minacce comuni nella settore di riferimento della propria organizzazione, consentendo di inserire misure di sicurezza per bloccare le attività dannose prima che si verifichino. La TIP fa sì che la sicurezza passi da uno spazio reattivo a uno spazio proattivo.

Nella comunità della sicurezza informatica, l’analisi e la condivisione delle informazioni sulle minacce sono inestimabili. Con una TIP, è possibile generare una personale intelligence sulle minacce e condividerla con la comunità della sicurezza. Non è necessario configurare qualcosa nella propria infrastruttura, poiché una TIP è costruita per assistere nella diffusione delle informazioni, aiutando le organizzazioni a fornire assistenza nella prevenzione proattiva di violazioni ed esposizioni.

Si tratta di raccogliere dati e trasformarli in intelligenza operativa!

 

Ecco un consiglio

Una TIP fornisce informazioni dettagliate, consentendo di risparmiare denaro e offrendo una visione proattiva del panorama delle minacce. I criminali informatici potrebbero fare gli straordinari, ma i team non dovrebbero farlo. Restare al passo con le minacce, conoscere le vulnerabilità comuni e gestire efficacemente le minacce con l’assistenza di una piattaforma di intelligence sulle minacce.

Per ulteriori informazioni sull’intelligence delle minacce:

Gartner nomina OneLogin Leader nel 2020 Magic Quadrant for Access Management

Gartner nomina OneLogin Leader nel 2020 Magic Quadrant for Access Management

OneLogin ha annunciato oggi 23 Novembre, di aver ricevuto la nomina da Gartner come Leader nel Magic Quadrant del 2020 per la categoria Access Management. Questo è un risultato incredibilmente eccitante è la prima volta che OneLogin viene nominata Leader nel Quadrante.

Prima di entrare nei dettagli, OneLogin vuole cogliere l’occasione per ringraziare tutti i clienti per la loro fiducia, supporto e prezioso feedback. Senza di essi, non sarebbero stati in grado di spingersi per essere riconosciuti come Leader nell’Access Management.

 

Cosa significa essere nominato leader nel Magic Quadrant di Gartner?

Pubblicato dalla principale società di analisi, Gartner, Il Magic Quadrant è una metodologia di ricerca per valutare le posizioni di diversi fornitori in un dato mercato. Il Magic Quadrant valuta i fornitori attraverso due vettori chiave: “Completezza della visione” e “Capacità di esecuzione”.

In OneLogin ritengono che essere nominati Leader sottolinei la loro capacità di fornire un’offerta matura che soddisfa e supera le richieste del mercato. Ritengono inoltre che i leader dimostrino sia la visione necessaria per continuare a innovare e influenzare il mercato, sia la capacità di realizzare tale visione. Secondo Gartner, “I leader si comportano bene rispetto alla loro visione attuale e sono ben posizionati per domani”.

Ritengono che Gartner abbia valutato i seguenti elementi della piattaforma OneLogin:

  • Funzionalità di prodotto robuste che si estendono su tutta la forza lavoro e la Customer Identity and Access Management (IAM)
  • Set di funzionalità avanzate, come la AI-powered SmartFactor AuthenticationTM e Vigilance AITM
  • Elevati punteggi di soddisfazione del cliente
  • Prezzi competitivi, offerte in bundle e opzioni flessibili a la carte
  • Espansione delle API
  • Crescita aziendale

 

2020 e la strada verso il 2021

In qualità di organizzazione incentrata sul cliente, OneLogin si impegna a mettere sempre i clienti in prima linea in tutto ciò che fanno e in qualsiasi decisione che prendono. Avere il supporto e la difesa continua dei clienti è ciò che credono abbia permesso loro di sportare alle stelle la loro posizione nel Magic Quadrant di quest’anno. Quindi un enorme “grazie” a tutti i clienti, per aver giocato un ruolo fondamentale nel loro successo.

Quest’anno hanno potuto, tra le altre cose:

Il 2021 è dietro l’angolo. Ne hanno passate molte insieme, con i colleghi, partner e clienti. Sanno di poter fare insieme, cose incredibili di fronte a sfide incredibili. Non vedono l’ora di portare ancora di più sulla loro piattaforma il prossimo anno e continueranno ad essere un vendor esperto nello spazio IAM.

 

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Come rilevare un SSH reverse tunnel

Come rilevare un SSH reverse tunnel

Oggi parleremo del nuovo algoritmo di Flow Analytics di Plixer, Reverse SSH Shell, che è stato incluso nell’ultimo aggiornamento di Plixer Scrutinizer. L’algoritmo Reverse SSH Shell identifica i possibili SSH reverse tunnel verso destinazioni esterne.

Un SSH reverse tunnel consente a un’entità esterna di accedere a risorse interne protette tramite l’uso di una connessione SSH in uscita stabilita. L’SSH reverse tunnel è in ascolto su una porta di rete su un computer locale. Se rileva una richiesta SSH su quella porta, ritrasmette la richiesta di connessione a sé stesso, in fondo alla connessione stabilita. Ciò fornisce una nuova connessione dal computer locale al computer remoto.

Se si ha difficoltà a configurare l’istanza nel proprio laboratorio o ambiente di produzione, potrebbe essere meglio provarlo all’interno di una rete semplice prima di diventare hardcore e verificarlo in reti più complesse che includono la traduzione dell’indirizzo di rete o IPsec site-to-site VPN. Questo ti aiuterà a capire un meccanismo di “connessione” Reverse SSH Shell.

Come testare l’algoritmo Reverse SSH Shell

Nell’esempio, ci sono due diverse reti ipotetiche collegate tra loro tramite un tunnel VPN IPsec.

Verrà stabilita una reverse SSH Shell tra ClientHost e Devil. Si trovano in reti diverse e possono eseguire il ping a vicenda tramite il tunnel VPN, che verrà disattivato dopo aver stabilito la connessione iniziale.

Prima di andare avanti, è necessario andare su vai su Scrutinizer > Admin> Settings> Reverse SSH Shell, quindi verificare che entrambi i dispositivi L3 siano stati aggiunti nelle exporters list.

  1. SSH dalla destinazione alla sorgente utilizzando un indirizzo IP pubblico utilizzando il comando seguente:

ssh –R 19999:localhost:22 sourceuser@18.210.158.60

Nota: la porta 19999 può essere qualsiasi porta inutilizzata.

  1. Ora è possibile fare SSH dall’origine alla destinazione attraverso il tunneling SSH:

ssh localhost –p 19999

Nota: la connessione tra destinazione e origine deve essere sempre attiva.

Ora come possiamo vederlo e come Scrutinizer può aiutarci con un modo per definire questa violazione?

Nello screenshot sopra “10.30.1.118” è apparso sotto l’elenco dei trasgressori, quindi diamo un’occhiata più da vicino facendo clic su Reverse SSH Shell policy, che farà apparire la sua policy di allarme:

L’immagine sopra mostra quando si è verificata ciascuna di queste violazioni e ciascuna violazione ha il proprio livello di gravità. Più in basso, possiamo ottenere un rapporto relativo alla connessione tra il trasgressore e una vittima:

Qui possiamo vedere la conversazione avvenuta tra i due indirizzi IP. Con l’aiuto di Plixer Scrutinizer, siamo stati in grado di identificare un tentativo di minaccia osservando il traffico avvenuto tra i due host. Se ci sono domande sull’identificazione di SSH reverse tunnel nella tua rete, fatecelo sapere.

Credential Stuffing vs Password Spraying

Credential Stuffing vs Password Spraying

Due metodi comuni utilizzati dai criminali per compromettere le credenziali degli utenti e facilitare l’account takeover (furto di account) sono il credential stuffing e il password spraying. I due termini a volte sono usati in modo intercambiabile, quindi esaminiamo le differenze.

Il credential stuffing è un tipo di attacco brute-force (forza bruta) che si basa su strumenti automatizzati per testare grandi volumi di nomi utente e password rubati su più siti finché uno non funziona. Il credential stuffing fa leva su due cose:

  1. Molte organizzazioni consentono ancora a clienti e dipendenti di utilizzare accessi solo tramite password (senza MFA).
  2. Gli utenti sono così sopraffatti dal numero di credenziali che devono utilizzare (in media fino a 200) che ricorrono al riutilizzo delle password su più account.

 

 

Il credential stuffing è molto popolare tra gli exploiters meno esperti, poiché in genere hanno poca esperienza tecnica e si affidano a strumenti di verifica account facilmente scaricabili, in grado di testare elenchi di credenziali di grandi dimensioni su vari portali di accesso per violare servizi online, sistemi e reti.

Al contrario, il password spraying è un attacco che tenta di accedere a un gran numero di siti utilizzando identificatori di account noti (usernames) con alcune password di uso comune.

A prima vista, si potrebbe mettere in dubbio l’efficacia del password spraying, basta pensare ai molti sistemi che si basano sul blocco degli account dopo N tentativi di accesso falliti, ma in realtà non impediscono di provare tutti gli account conosciuti con una singola password, che può effettivamente avere più successo, dato il numero maggiore di account coinvolti.

 

In sintesi, sebbene entrambi i metodi possano essere estremamente efficaci quando si tratta di acquisizione dell’account, la differenza fondamentale tra i due è se la password è nota per essere associata all’account o meno. Entrambi i metodi, tuttavia, possono fornire ai malintenzionati un accesso illegittimo agli account degli utenti, portando a costose frodi e danni alle aziende e relativi brand.

Molti responsabili della sicurezza dicono che il loro più grande punto cieco, è sapere se i dipendenti stanno utilizzando password personali compromesse su account di lavoro, questo è qualcosa per cui SpyCloud ha lavorato duramente per risolverlo. SpyCloud Active Directory Guardian consente di controllare gli account di AD per qualsiasi password che sia mai apparsa nel database delle violazioni di SpyCloud, composto da miliardi di password esposte e di rilevare quando i dipendenti selezionano le password che i criminali stanno attivamente utilizzando negli attacchi di credential stuffing e password spray. Non solo è possibile verificare le corrispondenze esatte delle credenziali dell’utente, ma anche variazioni fuzzy (sfocate) di tali corrispondenze, allineamento con le linee guida per le password del NIST e altro ancora. La parte migliore è che si può rimediare alle credenziali violate senza alcun effort amministrativo.

Controlla l’esposizione del tuo account personale e contattaci per una demo di SpyCloud Active Directory Guardian

Autenticazione avanzata nei servizi finanziari con Yubico

Autenticazione avanzata nei servizi finanziari con Yubico

Il settore dei servizi finanziari è uno degli obiettivi di maggior valore per i criminali informatici a causa della sua enorme riserva di informazioni finanziarie e di identificazione personale (PII) e del potenziale per rapidi guadagni attraverso trasferimenti di denaro fraudolenti.

Poiché le password vengono facilmente violate, le organizzazioni di servizi finanziari non possono più fare affidamento su nome utente e password per l’autenticazione dei dipendenti su sistemi e applicazioni. È necessaria un’autenticazione più forte sotto forma di autenticazione a due fattori (2FA) o autenticazione a più fattori (MFA) per bloccare le acquisizioni di account e per aiutare a eliminare le frodi guidate da attacchi informatici.

I nomi utente e le password creano rischi per la sicurezza: Le password erano la forma di autenticazione più comunemente usata oggi, ma erano anche l’anello più debole nella sicurezza aziendale in quanto suscettibili a una serie di vettori di attacco: phishing e social engineering, password spray, brute force, credential stuffing, key logging, ecc. Le organizzazioni di servizi finanziari che si affidano alle password espongono una superficie di minaccia ampia e facile da sfruttare.

L’affaticamento delle password porta a violazioni dei dati: Gli utenti si stancano di creare nuove password per diversi servizi e cambiarle ogni pochi mesi. Molti utenti finiscono per fare affidamento su password semplici che sono facili da decifrare o riutilizzare le password su account personali e professionali, dove la violazione di un account si traduce in violazione di un altro. Lo State of Password and Authentication Security Behaviors Report 2020 ha rilevato che le persone riutilizzano le password su una media di 16 account sul posto di lavoro e gli intervistati sulla sicurezza IT riutilizzano le password su una media di 12 account sul posto di lavoro.

Gli attacchi di phishing mirano al furto di credenziali: Il phishing continua a rappresentare un enorme problema di sicurezza poiché le tecniche di attacco continuano a evolversi. Il Verizon Data Breach Investigations Report del 2019 afferma che il 32% delle violazioni riguardava il phishing e l’e-mail era il metodo di phishing di consegna principale, 96,8%, nel settore finanziario. I criminali informatici inviano messaggi di posta elettronica falsi che invitano gli utenti a reinserire le credenziali che vengono poi raccolte per l’acquisizione di account. Molti attacchi di phishing portano anche all’installazione di malware, per aiutare a perpetrare una violazione. Anche se gli utenti impostano password complesse, gli hacker possono facilmente accedervi tramite attacchi di phishing.

Non tutti gli MFA sono uguali: Esistono molti strumenti e tecniche di autenticazione avanzata per aumentare o sostituire le password. Sebbene la sostituzione delle password (passwordless) dovrebbe essere l’obiettivo finale di tutte le organizzazioni, quelle di servizi finanziari possono iniziare rafforzando la sicurezza dell’autenticazione con 2FA o MFA. Sebbene MFA sotto forma di domande di sicurezza, codici SMS e OTP siano prevalenti, questi metodi offrono poca o nessuna protezione contro furti di account, phishing, malware e attacchi man-in-the-middle. La richiesta di autenticazione basata su dispositivo mobile può anche rendere le aziende responsabili dei costi relativi alla mobilità dei dipendenti. Le chiavi di sicurezza hardware come YubiKey offrono un’alternativa moderna, sicura ed economica per proteggere gli account digitali da phishing e furti di account. È stato dimostrato che YubiKeys offre i massimi livelli di sicurezza contro le acquisizioni di account nella ricerca indipendente, prevenendo attacchi mirati, e molti dei più grandi istituti finanziari del mondo utilizzano YubiKeys per proteggere le loro informazioni, account e applicazioni più importanti.

Tassi di prevenzione delle acquisizioni di account

Vantaggi di YubiKey per MFA

Le YubiKeys possono essere utilizzate per l’autenticazione a fattore singolo, 2FA o MFA a seconda dei requisiti dell’organizzazione. Come unico fattore (passwordless), le YubiKeys possono essere utilizzate come un primo fattore di autenticazione forte, richiedendo solo il possesso della chiave e consentendo un’esperienza TAP&GO senza password. Per l’autenticazione del secondo fattore (2FA), le YubiKey vengono utilizzate come secondo fattore oltre a una combinazione di nome utente e password, le organizzazioni possono utilizzare YubiKeys per MFA che richiedono il possesso della chiave e un PIN o biometrico.

 

YubiKeys offre diversi vantaggi come soluzione MFA

Forte sicurezza: L’architettura aperta di YubiKey e l’ampio set di protocolli (OTP, FIDO U2F, FIDO2, PIV) consentono una rapida integrazione con i sistemi nuovi ed esistenti, supportando oltre 1.000 app out-of-the-box. Sfruttando questi moderni protocolli di autenticazione, YubiKey fornisce un’autenticazione a più fattori molto forte. Inoltre, YubiKey memorizza le credenziali di un utente in modo sicuro sull’hardware, assicurando che non possa essere esfiltrato.

Facilità di utilizzo: Le YubiKeys offrono un’esperienza utente senza intoppi. Gli utenti accedono con un solo tocco, che è 4 volte più veloce della ricezione e della digitazione di un codice consegnato tramite SMS, quindi viene sprecato meno tempo per l’accesso ai sistemi. Google ha condotto uno studio approfondito e ha scoperto che l’utilizzo di YubiKeys ha ridotto il tempo di accesso di quasi il 50% rispetto a un autenticatore mobile. A più applicazioni un utente deve accedere, più questo diventa importante.

Durevole e affidabile: Le YubiKey sono estremamente resistenti. Le chiavi non richiedono batterie e funzionano senza connessione cellulare o Internet, quindi possono essere utilizzate in qualsiasi ambiente, inclusi gli ambienti con limitazioni di Internet e dispositivi mobili. Inoltre, a differenza dei telefoni o delle app di autenticazione, non è necessario aggiornarli o effettuare l’autenticazione.

ROI forte: La configurazione MFA può essere eseguita tramite self-service e non richiede un amministratore IT. L’implementazione delle chiavi per i dipendenti è molto rapida ed economica: le chiavi possono essere inviate a una filiale o sede centrale, o anche direttamente a ciascun dipendente, inclusi i dipendenti remoti. È stato inoltre dimostrato che le YubiKeys riducono del 92% le chiamate di supporto IT relative alla reimpostazione della password, risparmiando migliaia di ore all’anno in help desk e costi di supporto.

 

YubiKeys per casi d’uso MFA

Rispetta le normative di conformità e i controlli di sicurezza: Il settore dei servizi finanziari è altamente regolamentato e diverse normative impongono un’autenticazione forte tra cui SOX, FIPS, GDPR, PCI e PSD2. Le organizzazioni di servizi finanziari possono soddisfare le normative di conformità e gli audit di sicurezza implementando YubiKeys per una MFA forte. YubiKey consente una forte verifica degli utenti prima di fornire l’accesso a dati sensibili e PII, mantenendo le organizzazioni di servizi finanziari conformi alle normative esistenti ed emergenti. Sono inoltre certificati FIPS 140-2 (Certificato n. 3517) Livello complessivo 2, Livello di sicurezza fisica 3.

Proteggi gli account privilegiati: Un utente privilegiato è un dipendente che dispone di livelli di autorizzazione più elevati per accedere a informazioni sensibili su clienti, società o finanziarie. La stragrande maggioranza delle violazioni della sicurezza di grandi dimensioni comporta l’uso improprio o l’escalation di credenziali privilegiate e l’accesso immediato a informazioni preziose come dati dei clienti, numeri di conto, informazioni sulla carta di credito e altro, con conseguenze paralizzanti per l’azienda. Le organizzazioni di servizi finanziari possono rafforzare la gestione degli accessi privilegiati e garantire la MFA utilizzando YubiKeys per tutti gli utenti privilegiati, inclusi amministratori di rete e database, amministratori di sicurezza e di sistema, sviluppatori di applicazioni, dipendenti di C-suite e impiegati in finanza, contabilità e risorse umane. Richiedere agli utenti con privilegi di autenticarsi con chiavi di sicurezza hardware resistenti al phishing per accedere in modo sicuro ai servizi e alle applicazioni aiuterà a fermare gli attacchi mirati e prevenire il furto di account.

Proteggi i lavoratori remoti: Gli hacker stanno approfittando dell’aumento del lavoro remoto con attacchi di phishing mirati. I progressi della tecnologia consentono ai dipendenti di lavorare ovunque, ma introducono anche una nuova serie di sfide per l’IT. Reti Wi-Fi non protette, dispositivi mobili personali non gestiti e frodi di phishing rendono facile per i criminali informatici rubare le credenziali degli utenti e difficile per i team IT gestire in modo sicuro i team dislocati geograficamente.

Le organizzazioni di servizi finanziari possono sviluppare piani di emergenza aziendale che includono la protezione della forza lavoro remota, in modo che i dipendenti possano accedere in modo sicuro ai sistemi senza introdurre nuovi rischi e vulnerabilità. L’abilitazione dell’MFA dovrebbe essere uno dei requisiti principali per una politica di lavoro da casa. Per MFA con la massima garanzia, le chiavi di sicurezza hardware come YubiKey possono essere utilizzate con i sistemi di gestione dell’accesso alle identità e i provider di identità per accedere ai computer, proteggere l’accesso VPN, aumentare l’autenticazione per i gestori di password e persino generare in modo sicuro una volta codici di accesso.

Sicurezza di autenticazione step-up per transazioni ad alto rischio e di alto valore: I dipendenti che eseguono quotidianamente transazioni ad alto rischio e valore elevato sono spesso l’obiettivo dei criminali informatici. Il phishing resistente all’MFA, lo spear phishing e la compromissione della posta elettronica aziendale (BEC) utilizzano esche di ingegneria sociale per indurre i dipendenti a cedere le credenziali del loro account, installare malware o ransomware sul proprio dispositivo o pagare una fattura falsificata ma realistica sul conto bancario del criminale. Le password sono troppo facili da indovinare, forzate, violate, compromesse o persino copiate da una nota adesiva collegata al laptop / desktop di un utente. L’accesso ai sistemi ad alto rischio può essere rafforzato richiedendo MFA forte e moderno utilizzando YubiKeys, per garantire solo l’accesso autorizzato all’account e transazioni autorizzate di alto valore.

Fornire la massima sicurezza ai dipendenti delle filiali utilizzando terminali di accesso condiviso: I dipendenti che lavorano su postazioni di lavoro condivise sono comuni nelle banche e nei call center. I cassieri si spostano da una stazione all’altra e i supervisori si spostano per autorizzare le transazioni. Gli utenti in questi ambienti sono spesso dipendenti part-time associati a un elevato turnover e un impegno minimo per l’organizzazione, aumentando la minaccia interna. I terminali e le workstation ad accesso condiviso aprono i vettori di attacco agli account amministratore tramite la registrazione delle sequenze di tasti e il pass-the-hash.

Le organizzazioni di servizi finanziari possono raddoppiare la sicurezza tra i terminali di accesso condiviso e le workstation condivise, per impedire l’accesso non autorizzato a sistemi e risorse di alto valore. L’autenticazione tramite nomi utente e password non offre un’elevata sicurezza: le password possono essere violate utilizzando la registrazione dei tasti. YubiKey offre la massima sicurezza MFA per terminali e workstation condivisi e offre un’esperienza utente semplice e senza attriti.

Proteggi le informazioni personali e finanziarie riservate nei call center: Nel 2019, Aite Group ha intervistato 25 dirigenti di 18 dei 40 principali istituti finanziari statunitensi e ha scoperto che il 61% delle frodi può essere ricondotto al contact center. Con un elevato tasso di abbandono dei dipendenti, picchi stagionali e altre dinamiche aziendali impegnative, gli ambienti dei call center necessitano di un approccio sicuro ma semplice per verificare le identità degli agenti prima di fornire l’accesso a sistemi e dati critici. I call center dei servizi finanziari possono implementare YubiKeys per fornire una maggiore sicurezza in grado di verificare in modo sicuro l’identità degli agenti del call center prima che venga loro concesso l’accesso alle PII e ad altri dati sensibili o apportare modifiche all’account di un cliente, come l’aumento di un limite di credito. Poiché i telefoni cellulari possono acquisire immagini dei clienti e dati finanziari come numeri di conto, date di scadenza delle carte e numerosi altri dettagli che potrebbero violare la privacy dei clienti, YubiKeys offre una soluzione di autenticazione molto più sicura.

Prevenire frodi, furti di account e ottenere risultati migliori: Sicurezza dell’autenticazione con YubiKey YubiKey offre un approccio moderno, altamente sicuro, facile da usare ed economico all’MFA per aiutare le organizzazioni di servizi finanziari a prevenire frodi e perdite di entrate. Fornendo solo ai dipendenti MFA autorizzati l’accesso ai dati sensibili e PII con YubiKey, le organizzazioni di servizi finanziari possono rimanere conformi alle normative esistenti ed emergenti, tra cui SOX, PSD2, PCI, FIPS e GDPR e mitigare il rischio di sicurezza informatica e le frodi legate all’acquisizione di account.

Scopri di più su come YubiKeys protegge le organizzazioni di servizi finanziari dalle minacce alla sicurezza informatica.

 

A proposito di Yubico

Yubico stabilisce nuovi standard globali per un accesso semplice e sicuro a computer, dispositivi mobili, server e account Internet. L’invenzione principale dell’azienda, la YubiKey, offre una forte protezione hardware, con un semplice tocco, su qualsiasi tipo di sistemi IT e servizi online. YubiHSM, il modulo di sicurezza hardware ultraportatile di Yubico, protegge i dati sensibili archiviati nei server.

Yubico è uno dei principali contributori agli standard di autenticazione aperta FIDO2, WebAuthn e FIDO Universal 2nd Factor e la tecnologia dell’azienda è implementata e amata da 9 dei 10 principali marchi Internet e da milioni di utenti in 160 paesi.

Fondata nel 2007, Yubico è una società privata, con uffici in Svezia, Regno Unito, Germania, Stati Uniti, Australia e Singapore. Per maggiori informazioni: www.yubico.com