Security Misconfiguration e conseguenze per la Web Security

Security Misconfiguration e conseguenze per la Web Security

Il termine security misconfiguration (configurazione errata della sicurezza) è molto generico e si applica a qualsiasi problema di sicurezza che non sia il risultato di un errore di programmazione ma il risultato di un errore di configurazione. Gli errori di configurazione della sicurezza sono stati definiti come una categoria separata nell’elenco OWASP Top-10 2017 (categoria A6-2017). Come afferma la definizione, possono verificarsi a qualsiasi livello di uno stack di applicazioni, inclusi servizi di rete, piattaforma, server Web, server applicativi, database, framework, codice personalizzato e macchine virtuali, contenitori o storage preinstallati.

Diamo un’occhiata alle più comuni configurazioni errate di sicurezza a cui dovresti prestare attenzione per mantenere la sicurezza delle applicazioni web.

 

Lax Permissions e Lack of Hardening
Una delle cause più comuni di security misconfiguration, è semplicemente non essere sufficientemente rigidi con le autorizzazioni utente e le impostazioni di sicurezza dell’account, soprattutto nel caso di ambienti di produzione. Ad esempio, un errore comune è abilitare un account utente che esegue un servizio per eseguire le shell. In tal caso, e se l’aggressore in qualche modo ottiene l’accesso a questo account utente, è in grado di eseguire comandi nel sistema operativo. Un altro errore comune è l’utilizzo di account condivisi per diversi servizi, ad esempio eseguire il server Web e il server database dallo stesso account.

Per garantire la sicurezza, tutti i servizi su un server di produzione dovrebbero essere eseguiti utilizzando account separati e questi account dovrebbero avere autorizzazioni minime, assolutamente solo quelle effettivamente necessarie per il servizio. Tale separazione sicura dei privilegi rende quasi impossibile per gli aggressori eseguire privilege escalation.

 

Default Settings e Default Passwords
Un’altra causa molto comune di security misconfiguration è la fiducia nelle impostazioni predefinite. Non si può presumere che il software professionale sia protetto per impostazione predefinita. Ogni software installato, incluso il server Web, il server applicazioni e il server database, necessita di una configurazione di sicurezza manuale.

Tale software di solito viene fornito con tutte le funzionalità attivate, supponendo che l’utente possa volerne trarre vantaggio. Si tratta di una configurazione insicura perché qualsiasi funzionalità aggiuntiva rappresenta un potenziale punto di ingresso aggiuntivo per un utente malintenzionato. Pertanto, la prima cosa da fare quando si installa un nuovo software è modificare le impostazioni predefinite e disattivare tutti i servizi non necessari, le funzionalità non necessarie, ecc.

Un altro problema che molte aziende devono affrontare è l’uso di account predefiniti e password predefinite. Ad esempio, questo vale per qualsiasi console di amministrazione, router, dispositivi IoT e altro ancora. Per evitare accessi non autorizzati, si dovrebbe cambiare ogni password predefinita e si dovrebbe sapere come creare password sicure. Le configurazioni errate del controllo degli accessi sono una delle cause principali di gravi violazioni della sicurezza.

 

Esposizione di informazioni
Se un utente malintenzionato scopre quale tipo di software si sta utilizzando nel back-end, ad esempio il tipo e il numero di versione del server di database, avrà molto più tempo per cercare di trovare le vulnerabilità correlate. Ecco perché è molto importante non esporre mai tali informazioni all’aggressore.

Un sistema ben configurato dovrebbe avere la gestione degli errori configurata per eliminare tutti i messaggi di errore che potrebbero fornire suggerimenti agli aggressori. È inoltre necessario eliminare tutti i banner informativi e qualsiasi altra informazione sensibile diretta o indiretta che possa aiutare l’autore dell’attacco a rilevare la configurazione.

Un altro esempio di esposizione eccessiva è consentire il directory listing. Se l’autore dell’attacco può elencare il contenuto delle directory sul server Web, è in grado di accedere potenzialmente a molti file non protetti e questi file potrebbero contenere dati sensibili. L’elenco delle directory è considerato un grave difetto di controllo degli accessi.

 

Out-of-Date Software
La sicurezza delle applicazioni Web è diversa dalla sicurezza della rete, ma le due sono strettamente correlate. Ad esempio, un errore nel software del server web è considerato un problema di sicurezza della rete. Tali errori compaiono spesso e alcuni di essi possono essere gravi. Ecco perché tutto il software deve essere monitorato e aggiornato con le patch di sicurezza più recenti. Un ottimo esempio di bug di sicurezza di rete che influisce sulla sicurezza delle applicazioni web e che ancora infesta molti sistemi è il bug Heartbleed.

Pertanto, per mantenere la sicurezza delle applicazioni Web, è molto importante controllare regolarmente la presenza di patch mancanti, soprattutto nel caso di software rivolto al pubblico come il server Web.

 

Security Scanning in soccorso
Come evitare gli errori di configurazione della sicurezza elencati sopra e altri non elencati?

Il metodo più efficiente consiste nell’eseguire regolarmente scansioni, che espongono problemi di sicurezza. Tali scansioni dovrebbero includere sistemi di produzione e sistemi di gestione temporanea: la configurazione della produzione è spesso basata sulla configurazione di gestione temporanea.

Il modo migliore per testare la sicurezza è utilizzare uno scanner professionale che scopre non solo le configurazioni errate della sicurezza di rete (come fa la maggior parte degli scanner), ma si concentra sulla sicurezza delle applicazioni web. Acunetix è uno scanner di questo tipo che aiuta a mantenere una solida architettura dell’applicazione e aiuta a prevenire futuri errori di configurazione. Oltre a trovare tipiche vulnerabilità web come SQLi e XSS, Acunetix rileva tutti i problemi di sicurezza sopra elencati e altro ancora.

Entra in contatto con l’estensibilità della piattaforma OneLogin con Smart Hooks

Entra in contatto con l’estensibilità della piattaforma OneLogin con Smart Hooks

Un requisito fondamentale di una piattaforma tecnologica moderna è la capacità di estendere, personalizzare o integrare altri sistemi, e in qualità di pioniere e leader di valore nella gestione dell’Identity and Access Management (IAM) basata su cloud, OneLogin è ben consapevole che una dimensione non va bene per tutti, motivo per cui oggi, è entusiasta di annunciare la general availability di Smart Hooks, una nuova funzionalità limitata solo dall’immaginazione, che rafforza ulteriormente lo status di OneLogin come leader del settore dell’Identity and Access Management.

Cos’è uno Smart Hook?
Per comprendere meglio il significato di un Smart Hooks, è importante comprendere la differenza con il suo cugino ben noto ma meno capace, il Webhook.

Per molti anni, i webhook sono stati il metodo di riferimento per condividere le informazioni da una piattaforma software e creare integrazioni guidate dagli eventi. Vale la pena notare che OneLogin dispone di un sistema webhook comunemente utilizzato per trasmettere eventi negli strumenti SIEM (Security Information and Event Management) e funziona con tutto ciò che accetta JSON.

I webhook sono ottimi per questo flusso di informazioni unidirezionale, ma presentano difficoltà quando si tenta di utilizzarli per flussi di lavoro più interattivi o personalizzazioni come:

  • Scarse prestazioni
  • Server hosting & infrastructure
  • Scalabilità

Ad esempio, supponiamo che si voglia utilizzare un webhook per personalizzare un workflow di autenticazione. Forse c’era una semplice condizione che si voleva controllare e inviare l’utente in un percorso o nell’altro in base a questa condizione. Se si è tentato di utilizzare un webhook regolare per questo, è necessario configurare e ospitare un server per rilevare l’evento webhook, eseguire la logica condizionale e quindi restituire il risultato. Si dovrebbe monitorare il tempo di attività di questo server, assicurarsi che sia scalabile e anche affrontare il problema delle prestazioni di chiamata attraverso Internet al proprio servizio di cattura webhook autonomo.

Risolvere questi problemi è dove Smart Hooks brilla davvero. Smart Hooks è come una piattaforma webhook con steroidi; consente la personalizzazione e i vantaggi di integrazione di un normale webhook, ma elimina l’onere di dover ospitare server, monitorare i tempi di attività e pensare alla scalabilità e alle prestazioni.

Smart Hooks è un’offerta serverless di OneLogin che consente di interagire con workflow comuni, creare personalizzazioni e anche integrarsi con quasi tutti i sistemi esterni. Essendo serverless, significa che fornisci il codice e OneLogin si prenderà cura delle sfide di hosting e infrastruttura. Si adatta automaticamente alla crescita degli utenti e della piattaforma, risultando una piattaforma estensibile e facile da gestire che può essere modellata per soddisfare anche i requisiti più complessi.

Tipi di Smart Hook
Sotto l’egida di Smart Hooks OneLogin ha considerato una serie di utili punti di estensione sulla piattaforma OneLogin, inclusa la possibilità di personalizzare i flussi di autenticazione e interagire con gli eventi del ciclo di vita degli utenti.

OneLogin è entusiasta di rilasciare il primo di molti Smart Hook:

  • User Migration Hook
  • Pre-Authentication Hook

L’Hook per la migrazione degli utenti è rivolto ai clienti Customer Identity and Access Management (CIAM) attuali e potenziali, e offre un modo per migrare senza problemi gli utenti da un database esterno o Identity Provider (IDP) nella OneLogin Cloud Directory. Questo approccio consente una migrazione progressiva degli utenti a una directory più sicura senza richiedere loro di modificare le password o interrompere in altro modo l’esperienza dell’utente.

D’altra parte, l’hook di pre-autenticazione fornisce un’estrema flessibilità al momento dell’autenticazione. Le informazioni contestuali sul dispositivo dell’utente, il browser, la posizione, i dispositivi MFA registrati e il profilo di rischio vengono trasmesse a Smart Hook, consentendo un accesso condizionale complesso o flussi zero-trust.

Immagina, quindi costruisci
Per ogni problema, c’è una soluzione. Ogni settore, cliente o potenziale cliente ha una serie sfumata di requisiti che è ciò che ha portato OneLogin a creare la piattaforma Smart Hooks. Dopo un lungo periodo beta con alcuni dei clienti che lo hanno utilizzato in anteprima, OneLogin è davvero entusiasta di vedere come Smart Hooks risolverà le sfide di autenticazione uniche e consentirà esperienze di integrazione sorprendenti.

Vuoi saperne di più? Consulta la pagina del prodotto, la documentazione per sviluppatori o richiedi una demo gratuita.

Rilevamento dell’HAFNIUM Exchange Exploitation Campaign con ReaQta

Rilevamento dell’HAFNIUM Exchange Exploitation Campaign con ReaQta

L’11 marzo, Microsoft ha segnalato una campagna di sfruttamento di diverse vulnerabilità zero-day che interessano le versioni OnPrem di Microsoft Exchange Server (HAFNIUM Exchange Exploitation) presumibilmente da un avversario sponsorizzato dallo stato, l’attacco inizia sfruttando le vulnerabilità – CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 – e distribuendo una webshell per mantenere l’accesso al server sfruttato, in risposta alla campagna di sfruttamento, il ReaQta Threat Intelligence Team ha preparato una serie di semplici passaggi volti a prevenire nuovi attacchi in tempo reale e bloccare quelli che potrebbero essere già in corso.

La webshell identificata nella maggior parte delle osservazioni sembra essere “China Chopper“. Una volta ottenuto l’accesso tramite lo sfruttamento, gli aggressori avviano attività di ricognizione per identificare e sottrarre dati dalla rete dell’organizzazione. Lo sfruttamento e il successivo attacco sembrano essere completamente automatizzati e richiedono una risposta rapida per prevenire tentativi di esfiltrazione di dati e movimenti laterali.

HAFNIUM Exchange Exploitation ReaQta

Utilizzo di HAFNIUM identificato da ReaQta-Hive

A caccia di HAFNIUM
ReaQta ha pubblicato una Threat Hunting Query per identificare i tentativi di post-sfruttamento.

HAFNIUM Exchange Exploitation ReaQta

Threat Hunting Query

La query di ricerca fornita dal team di ReaQta, fornisce informazioni immediate sulle attività degli aggressori.

HAFNIUM Exchange Exploitation ReaQta

ReaQta-Hive Threat Hunting Console

ReaQta-Hive Threat Hunting Console fornisce un approccio completo e granulare alla ricerca di specifici Indicatori di Compromesso (IOC) e Indicatori di Attacco (IOA), combinando i parametri in modo inclusivo o esclusivo. La piattaforma è estremamente completa ma facile da usare, dotata di parametri di ricerca preconfigurati che non richiedono alcuna conoscenza di linguaggi di query complessi.

HAFNIUM Exchange Exploitation ReaQta

Hunt Parameters

Sono compromesso?

Se la query non restituisce risultati, non sono stati effettuati tentativi di sfruttamento. Tuttavia, se vengono restituiti dati, si consiglia agli analisti di valutare i risultati in quanto vi sono 2 possibili esiti:

  • Il server è stato sfruttato
  • Sono presenti dati anomali ma il server NON è compromesso

Per questa campagna in corso, i risultati sono dannosi se vengono soddisfatte tutte le seguenti condizioni:

  1. È presente un evento Executable Dropped per il processo “w3wp.exe” e la riga di comando contiene MSExchangeOWAAppPool
  2. C’è una voce per dsquery.exe che non è stata avviata da un amministratore di sistema

Se w3wp.exe non contiene il flag MSExchangeOWAAppPool e dsquery.exe è stato lanciato di proposito da un amministratore, i risultati non sono dannosi.

I team IT dovrebbero sfruttare la capacità di “Create Incident” per ricostruire l’intera trama, prestando attenzione ai processi originari coinvolti.

Salvaguardia da futuri attacchi

ReaQta-Hive fornisce una funzionalità unica chiamata DeStra (Detection Strategies) creata appositamente per supportare in maniera avanzata i team nel rilevamento di Advanced Persistent Threat (APT)  e per creare scenari di rilevamento altamente personalizzati, adattati alle esigenze di sicurezza dell’organizzazione.

Tutte le DeStra funzionano in tempo reale a livello di endpoint e quindi sono in grado di identificare e rispondere a un nuovo comportamento man mano che accade, una volta creata una Destra, viene immediatamente attivata in tutta l’organizzazione senza alcun tipo di intervento o tempi di inattività. A differenza delle tradizionali regole di post-elaborazione, i playbook DeStra reagiscono immediatamente a qualsiasi minaccia, lasciando poco spazio di movimento a un aggressore.

In questo scenario, il ReaQta Threat Intelligence Team ha creato una DeStra per rilevare futuri attacchi di sfruttamento, che è stato reso pubblicamente disponibile a quesro URL.

DeStra Script

Abilitando semplicemente un nuovo scenario di rilevamento all’interno di DeStra, ReaQta-Hive protegge l’organizzazione da futuri exploit simili.

DeStra Creation

La nostra raccomandazione

Consigliamo vivamente a tutti gli utenti di server Microsoft Exchange OnPrem, di applicare patch e aggiornare i sistemi: Exchange Online non è interessato. Si prega di adottare anche i soliti playbook di risposta e correzione in caso di risultati positivi dalla query di ricerca o in presenza di un trigger DeStra. L’exploit è solo un punto di ingresso, ma la risposta post-sfruttamento non è diversa da quella di qualsiasi altro attacco.

Contattaci per maggiori informazioni.

Cosa succede dopo la violazione? Lo strumento EDR e Forense all-in-one di ReaQta raccoglie informazioni in pochi minuti per un efficace ripristino post-violazione

Cosa succede dopo la violazione? Lo strumento EDR e Forense all-in-one di ReaQta raccoglie informazioni in pochi minuti per un efficace ripristino post-violazione

  • ReaQta combina la protezione EDR/XDR di Endpoint Security con funzionalità forense per formare offerte integrate di sicurezza informatica post violazione.
  • Poiché il COVID-19 continua a limitare i viaggi, la raccolta di dati forensi a distanza offerta da ReaQta-Hive crescerà fino a diventare un punto fermo per qualsiasi organizzazione.

Dopo la violazione, ogni minuto conta. La crescente incidenza di gravi violazioni informatiche, insieme al rafforzamento delle normative governative che impongono la necessità di inviare rapporti forensi digitali sensibili al tempo, significano una crescente necessità di avere sia protezione informatica che capacità per supportare in modo efficiente un’indagine.

Ecco perché, al fine di snellire la risposta agli incidenti, ReaQta combina due diversi filoni della sicurezza informatica: monitoraggio degli endpoint e analisi forense digitale in un’unica offerta di sicurezza integrata: la piattaforma Endpoint Security di ReaQta. Mentre ReaQta-Hive raccoglie informazioni dal presente nel lontano futuro, Hive Forensics raccoglie i dati da ora, risalendo al passato. Insieme, forniscono ai team una visibilità completa dell’attività degli endpoint nel tempo per un piano e una protezione più olistici per la sicurezza informatica.

violazione reaqta forense edr

 

Sviluppato in base alle esigenze del mondo reale

Gli scenari post-violazione sono i più difficili da gestire, le informazioni sono sempre parziali e ricostruire l’intero quadro è impegnativo. Affrontare un incidente attivo è sempre delicato ed estremamente impegnativo, poiché i team devono considerare sia la loro velocità di risposta sia garantire che l’azienda rimanga protetta da ulteriori furti di dati.

violazione reaqta forense edr

Hive Forensics consente ai team di raccogliere rapidamente i dati forensi da remoto, in tempo reale

Hive Forensics è stato sviluppato sulla scia di un riuscito sforzo di riparazione post-violazione che ReaQta ha gestito per una delle più grandi società di vendita al dettaglio d’Europa. Il gruppo di vendita al dettaglio, che ha un organico di diecimila dipendenti e oltre 3.000 negozi nella regione, è stato preso di mira e ripetutamente violato da un attore di minacce che stava rubando le loro informazioni.

Ma l’azienda aveva trovato esponenzialmente difficile capire come operassero gli aggressori poiché non aveva quasi nessuna visibilità sugli endpoint, il che portava al problema frustrante di far tornare gli aggressori rapidamente anche dopo che l’azienda aveva bloccato i loro indirizzi IP C&C. Questa sfida è stata aggravata dal fatto che la società aveva capacità di accesso limitate sugli endpoint locali e nessuna su quelli remoti.

Il vantaggio di ReaQta nel settore

ReaQta è stato chiamato come soccorritore post-violazione di emergenza, per condurre analisi e rimedio dopo che il team di sicurezza ha notato un carico della CPU eccezionalmente elevato su una parte della propria infrastruttura, nonché una considerevole attività di rete anomala. Pochi fornitori sono in grado di lavorare su un’infrastruttura compromessa, ma ReaQta-Hive è stato in grado di raccogliere dati forensi passati fornendo allo stesso tempo la sicurezza degli endpoint per l’azienda. Questo è stato fondamentale in quanto la società era già stata violata in diverse occasioni.

La piattaforma Endpoint Security di ReaQta-Hive utilizza la tecnologia proprietaria NanoOS per ottenere una visibilità completa sull’attività degli endpoint. Esclusiva di ReaQta, questa tecnologia consente il monitoraggio anche a livello dell’hypervisor, una capacità che offre ai team di sicurezza il sopravvento, consentendo loro di rimanere nascosti agli avversari informatici.

Raccogliendo rapidamente elementi dell’attacco per ricostruire la catena dell’attacco, ReaQta ha scoperto che gli aggressori avevano utilizzato l’infrastruttura dell’azienda come una rete di mining di bitcoin e l’avevano infettata con malware personalizzato. ReaQta è stato anche in grado di capire che gli aggressori mantenevano l’accesso tramite una backdoor personalizzata.

Entro tre ore è stato creato ed eseguito un piano di mitigazione, seguito da un piano di eradicazione e risposta. In 24 ore, le operazioni sono tornate alla normalità e l’infrastruttura è stata completamente ripulita dal team di risposta agli incidenti di ReaQta. È stata avviata un’indagine approfondita sulla ricerca delle minacce per rafforzare la posizione di sicurezza informatica dell’azienda per evitare che incidenti simili si ripetano.

Una piattaforma come ReaQta-Hive si è rivelata fondamentale per automatizzare un’attività che sarebbe stata impossibile eseguire manualmente: l’eliminazione di un malware autoreplicante su migliaia di endpoint. Si è inoltre rivelato essenziale individuare immediatamente le fonti di infezioni, i loro percorsi e le tecniche, qualcosa che era al di là della portata di un SIEM. La visibilità completa consente ai team di sicurezza di identificare tempestivamente le minacce e di contenerle adeguatamente, senza interrompere alcuna continuità aziendale.

Presentazione di Hive Forensics

Che sia per scopi di conformità o per capire come proteggere l’organizzazione dagli attacchi in futuro, una copertura completa dei dati forensi è fondamentale per determinare la portata completa di una violazione e sapere come e dove gli aggressori stanno entrando nella tua infrastruttura.

La funzione Remote Forensic Data di Hive Forensics è protetta da password e disponibile nelle modalità Basic (5 minuti) e Advanced (15 minuti)

La funzione Remote Forensic Data di Hive Forensics fornisce istantanee cruciali dello stato degli endpoint. Lo fa da remoto, eliminando il ritardo dovuto all’andare sul posto per raccogliere tracce e identificatori di informazioni, una caratteristica che è diventata particolarmente critica ora che la pandemia COVID-19 sta limitando i viaggi internazionali. Con il recupero remoto dei dati forensi, i risparmi di tempo si traducono in risparmi sui costi per l’azienda. Ad esempio, i costi vari dei biglietti aerei e degli alloggi per i team IR possono essere eliminati e i team risparmiano tempo prezioso di risposta.

Costruita in due modalità, la funzione raccoglie in modo esponenziale più dati rispetto al tipico EDR e impiega 5 minuti a livello di base e 15 minuti per un recupero avanzato delle informazioni, riducendo drasticamente il tempo di risposta da giorni a minuti.

La modalità di base di Hive Forensics raccoglie le informazioni essenziali necessarie per la ricostruzione dell’attacco in soli 5 minuti

Elenco delle attività pianificate attive

Capacità tecniche di Hive Forensics:

  • Crittografia abilitata
  • Abilitazione semplice del modulo
  • La funzione Dati forensi remoti è disponibile in 2 modalità:
    • Base (5 minuti): visualizza i processi in esecuzione e un’istantanea delle informazioni di stato cruciali sull’endpoint. Attualmente disponibile su Windows.
    • Avanzato (15 minuti): offre funzionalità del kit di base e altro ancora. Offre una copertura forense più completa, come connessioni di rete, fusi orari, utenti associati a endpoint ecc.

Il kit Remote Forensic Data di Hive Forensics è disponibile come funzionalità a valore aggiunto all’interno di ReaQta-Hive. Per programmare una prova gratuita di ReaQta-Hive di 30 giorni, contattaci.

Il giusto strumento di gestione remota per le attuali sfide di sicurezza

Il giusto strumento di gestione remota per le attuali sfide di sicurezza

Secondo una ricerca di CSO, un’agenzia di stampa basata su Internet focalizzata sulla sicurezza aziendale, il 61% dei leader IT intervistati è preoccupato per un aumento degli attacchi informatici che prendono di mira i dipendenti remoti. Lo stesso studio ha rilevato che il 26% delle organizzazioni ha registrato un aumento della frequenza, della gravità e della portata degli attacchi informatici da marzo 2020. Per stare al passo con queste minacce, sempre più organizzazioni stanno cercando uno strumento di gestione remota per aumentare sicurezza, visibilità e controllo sul workstation remote, applicazioni aziendali e infrastruttura basata su cloud.

La pandemia di COVID-19, ha costretto le aziende di tutte le dimensioni a ripensare alle proprie operazioni digitali e integrare nuove tecnologie che consentano il lavoro a distanza, supportino flussi di lavoro indipendenti dai dispositivi e migliorino la preparazione alla sicurezza informatica. Sebbene la sicurezza del sistema e dei dati fosse già una delle principali preoccupazioni prima della comparsa della pandemia, l’attuale panorama aziendale è pieno di nuove sfide IT e minacce digitali.

 

Lotta al Cybercrime negli ambienti work-from-home

Una delle maggiori sfide alla sicurezza informatica relative a COVID-19 ha a che fare con il monitoraggio remoto e la valutazione della vulnerabilità. Con così tanti dipendenti che lavorano da casa, gli amministratori IT stanno lottando per mantenere le migliori pratiche e istruire gli utenti sulle minacce alla sicurezza emergenti. Sebbene la gestione dei sistemi IT e del software in sede di solito richieda molto più supporto back-end rispetto alle soluzioni basate su cloud, offre anche una maggiore supervisione a livello di dispositivo. Le aziende che hanno dovuto implementare rapidamente nuove tecnologie di telecomunicazione e condivisione dei dati probabilmente non hanno avuto il tempo di configurare i corretti controlli di sicurezza informatica su misura per la propria infrastruttura, necessari per scongiurare violazioni dei dati, distribuzione di malware e attacchi brute-force.

“Le organizzazioni di tutti i tipi stanno affrontando un aumento delle minacce basate sulla posta elettronica, delle lacune nella sicurezza degli endpoint e di altri problemi a causa del passaggio improvviso a una forza lavoro completamente remota”, ha affermato William Altman, analista senior presso il Global Cyber ​​Center di New York, durante un evento sulla sicurezza informatica virtuale tenutosi nell’aprile 2020, ha riferito Forbes.

Tra le principali preoccupazioni, le aziende devono prestare maggiore attenzione alla sicurezza Wi-Fi domestica, al rischio di truffe di phishing e alle password di dispositivi e/o applicazioni lassiste. In termini di comportamenti specifici dei dispositivi, i partecipanti all’evento virtuale sono stati avvertiti di prestare attenzione a questi segni comuni di una violazione informatica:

  • Vengono visualizzati nuovi programmi che non sono stati installati manualmente
  • Prestazioni del dispositivo lente o incoerenti
  • Strani annunci pop-up
  • Perdita di controllo del mouse o della tastiera

Sebbene questi segnali di avvertimento siano piuttosto semplici da individuare, spetta ai reparti IT adottare misure per mitigare le vulnerabilità della sicurezza informatica e garantire che sulle workstation siano installate le versioni più recenti del software e del sistema operativo. Queste preoccupazioni non sono applicabili solo durante la pandemia, poiché il suddetto sondaggio CSO ha rilevato che il 73% degli intervistati ritiene che la crisi sanitaria cambierà il modo in cui le loro organizzazioni valutano il rischio per i prossimi cinque anni. La necessità di soluzioni lungimiranti non è mai stata così evidente, ma trovare il giusto strumento di gestione remota richiederà tempo, impegno e consenso da parte dei leader dell’organizzazione.

 

Funzionalità essenziali di gestione remota

L’implementazione di nuove soluzioni di sicurezza informatica può sembrare un’ovvia difesa contro questi (e altri) rischi per la sicurezza informatica, ma l’eccessiva saturazione del mercato della sicurezza informatica ha reso difficile selezionare la piattaforma giusta. Ogni azienda ha esigenze operative e vincoli finanziari diversi: la ricerca di una soluzione valida per tutti può finire per fare più danni nel lungo periodo, in quanto può portare a spese inutili, capacità di gestione non corrispondenti e applicazioni in silos. Invece, i leader IT dovrebbero concentrarsi sull’integrazione di funzionalità specifiche che miglioreranno la loro visibilità e controllo sulle workstation remote.

Come rilevato dal Center for Internet Security, le aziende devono garantire che i propri dipendenti remoti adottino misure per proteggere i propri dispositivi personali. Ciò include tenere il passo con le patch delle applicazioni e del sistema operativo, installare software antivirus, configurare firewall e altro ancora. Senza una piattaforma di gestione centralizzata, gli amministratori IT potrebbero avere difficoltà a garantire che gli utenti finali rispettino le migliori pratiche e prendano sul serio le proprie responsabilità in materia di sicurezza informatica. È qui che può aiutare l’applicazione Faronics Deploy.

Con Deploy, gli amministratori IT possono gestire in modo proattivo i dispositivi remoti e inviare aggiornamenti in tempo reale senza la necessità di intervento umano. Questo livello di controllo è essenziale per ridurre i rischi per la sicurezza informatica e garantire che tutti i dispositivi collegati alle reti aziendali siano protetti, autorizzati e monitorati 24 ore su 24. Faronics Deploy, offre alle aziende funzionalità di gestione policy-based per applicazioni e aggiornamenti di Windows, insieme a una suite di funzionalità che possono aiutare a massimizzare la sicurezza a livello di dispositivo e distribuire senza problemi sulle workstation remote. Questo può aiutare a semplificare una serie di attività di gestione IT, come:

  • Applicazione di patch e software, inclusi MS Office, Adobe, Google Chrome e altro
  • Automatizzazione degli aggiornamenti del sistema operativo per macchine Windows e Mac
  • Facilitare nuove distribuzioni di hardware e software
  • Mantenimento dell’utilizzo remoto e monitoraggio delle prestazioni, supportato e analisi in tempo reale

Grazie all’architettura decentralizzata basata su cloud di Faronics Deploy, le organizzazioni possono gestire qualsiasi numero di dispositivi in modo indipendente o in batch. Gli aggiornamenti delle applicazioni e del sistema operativo non riusciti vengono rilevati immediatamente, fornendo una supervisione senza pari basata su una serie di controlli granulari predefiniti. Ad esempio, gli amministratori IT possono utilizzare Deploy per disabilitare o bloccare gli aggiornamenti per applicazioni specifiche, testare nuove versioni prima di inviare patch agli utenti finali e inviare URL personalizzati per installare più facilmente agenti critici.

Per scoprire come Faronics Deploy può supportare le esigenze di gestione remota, contattaci o inizia subito una prova gratuita.

Come trovare e correggere le vulnerabilità da Default Account in InsightVM

Come trovare e correggere le vulnerabilità da Default Account in InsightVM

In questo post del blog, parleremo di un paio di funzionalità meno recenti e meno conosciute che possono ancora fornire un valore straordinario utilizzando InsightVM trattando le Vulnerability Categories, per trovare le categorie e sfruttarle come filtri di asset con i Dynamic Asset Group (DAG), consentendoci di creare un workflow da configurare ed eseguire su nuove installazioni per monitorare e riparare le vulnerabilità dei Default Account. Vedremo anche come utilizzare questo workflow come template per altri workflow simili con diverse Vulnerability Categories.

Vulnerability Categories e dove trovarle in InsightVM
La prima cosa che suggeriamo di mostrare a ogni cliente durante una distribuzione, mentre esploriamo le opzioni nel template di scansione sono le Vulnerability Categories. È possibile visualizzare un elenco di tutte le Vulnerability Categories nella scheda Vulnerability di qualsiasi template di scansione. Mostrerà un elenco di tutte le diverse categorie e, se lo si desidera, è anche possibile approfondire ogni categoria e vedere tutti i controlli di vulnerabilità effettivi che risiedono in ciascuna categoria.

Andare nella Vulnerability Check Tab sullo Scan Template e fare clic su “Add Categories

vulnerabilità Default Account InsightVM

Ora che sappiamo di questo elenco di categorie di vulnerabilità, concentriamoci sulla categoria di vulnerabilità “Default Account“. Questa categoria mostrerà tutti i controlli di vulnerabilità associati alle risorse che sono vulnerabili alle credenziali dell’account predefinito. Un esempio potrebbe essere un sistema che esegue Telnet sulla porta 23 utilizzando il nome utente “admin” e la password “admin“. Questo tipo di vulnerabilità dovrebbe essere la prima cosa da risolvere nel proprio progetto di vulnerability management, poiché possono essere sfruttate con un’esperienza di hacking quasi nulla.

vulnerabilità Default Account InsightVM

Creazione di un Dynamic Asset Group (DAG) in InsightVM
Per sfruttare la categoria di vulnerabilità “Default Account“, la prima cosa da fare, è creare un Dynamic Asset Group o DAG.

Creare un Dynamic Asset Group (DAG)

vulnerabilità Default Account InsightVM

Creare un Dynamic Asset Group con un filtro ‘Vulnerability Category IS Default Account’, fare clic su Search, quindi su Create Asset Group e salvare il DAG con il nome “Devices Authenticated with Default Creds

vulnerabilità Default Account InsightVM

Questo mostrerà tutte le risorse con vulnerabilità del default account. La sfida adesso è, se una risorsa ha 1.000 vulnerabilità, come capire quale vulnerabilità su quella risorsa è la vulnerabilità del default account. Vediamo come superare questa sfida.

Per risolvere questa sfida, è possibile utilizzare una funzione meno nota durante la creazione di un Report denominato “Vulnerability Filters have been applied“. Quindi, definire l’ambito di un Report con il DAG “Devices Authenticated with Default Creds” creato nel passaggio precedente.

 

Report sulle vulnerabilità dell’account predefinito in InsightVM

Creare un report, selezionando il template “Top Remediation reportwith Details“:

Scegliere quindi come Scope, l’Asset Groups creato nel passaggio precedente “Devices Authenticated with Default Credentials“:

Selezionare il Vulnerability Filter per includere la categoria specifica ‘Default Account’:

Salvare ed eseguire il report:

Combinando il DAG “Devices Authenticated with Default Creds” con il filtro in un report (consigliato il report “Top Remediation with Details“), ora è possibile ottenere un report che mostra solo le risorse con vulnerabilità dell’account predefinito e mostra solo le soluzioni per queste vulnerabilità. Questo report consentirà di vedere esattamente quale vulnerabilità del Default Account è presente su ciascuna risorsa e la soluzione per risolvere la vulnerabilità.

Esempio di vulnerabilità e soluzione del Default Account:

Questo workflow è qualcosa da mostrare alla gente, come un modo per iniziare le attività di remediation in modo concreto. Non solo questi tipi di controlli possono essere un’ottima cosa da risolvere appena si avvia il progetto di vulnerability management, ma permettono anche di iniziare a stabilire una credibilità e un rispetto sorprendenti quando si inizia concretamente a fornire evidenze e soluzioni immediate.

Ora che abbiamo spiegato questo fantastico workflow e sappiamo come vedere tutte le possibili categorie di vulnerabilità, possiamo utilizzare lo stesso workflow con qualsiasi categoria di vulnerabilità. Alcune altre categorie di vulnerabilità che consigliamo di utilizzare sono “Obsolete OS”, “Insecure Remote Access”, “Obsolete Software” o qualcosa di più grande come “Adobe”.

Guida all’accesso passwordless di YubiKeys per Microsoft Azure AD

Guida all’accesso passwordless di YubiKeys per Microsoft Azure AD

Nota: questi documenti riguardano FIDO2 passwordless support in Azure AD, attualmente in public preview. Le funzionalità, l’interfaccia utente, ecc. sono soggette a modifiche fino a quando la versione diventerà disponibile al pubblico.

Introduzione

Microsoft ha recentemente introdotto una funzionalità in public preview in Azure Active Directory che consente alle organizzazioni di abilitare le chiavi di sicurezza FIDO2 come fattore di autenticazione passwordless. YubiKeys di Yubico, leader nella strong authentication, ha introdotto FIDO2 nella serie YubiKey 5, supportando l’accesso passwordless di Microsoft. Utilizzando i  Microsoft Passwordless Login flows, le organizzazioni possono realizzare i seguenti vantaggi:

  • Strong Security: protezione migliorata contro attacchi di phishing, man-in-the-middle e password spray.
  • Esperienza utente migliorata: gli utenti finali non devono più gestire password lunghe, complesse e rotanti
  • Costi ridotti: riduci al minimo i ticket di help desk relativi alle password che rappresentano una grande percentuale delle risorse dell’help desk IT.

L’accesso passwordless di Microsoft Azure Active Directory con YubiKeys si applica ai seguenti scenari:

  • Azure Active Directory web applications
  • Azure Active Directory joined Windows 10 (Windows 10 1909 e versioni successive)
  • Hybrid Azure Active Directory joined Windows 10 devices (Windows 10 2004 e versioni successive)

Azure AD Passwordless Sign in Deployment Documents

Questi documenti fungono da guida per le organizzazioni che desiderano configurare e distribuire l’accesso passwordless in Microsoft per Azure AD.

Se la tua organizzazione utilizza Microsoft AD (on-premises), leggi il nostro post su come è possibile integrare facilmente le Yubikeys in un dominio Active Directory, oppure contattaci.

Le YubiKey sono disponibili sul nostro Shop Online.

Ulteriori informazioni sulla partnership Microsoft + Yubico sono disponibili qui.

Ottenere ulteriore assistenza
Per ulteriori informazioni e per ottenere aiuto con le tue YubiKey:

Scansioni autenticate semplici con il Custom Script Editor di Netsparker

Scansioni autenticate semplici con il Custom Script Editor di Netsparker

Le scansioni autenticate hanno sempre rappresentato una sfida per le soluzioni di sicurezza delle applicazioni web automatizzate, ma Netsparker fornisce un editor visivo intuitivo per gli script di autenticazione per aiutare ad ottenere una scansione delle vulnerabilità accurata e dettagliata da ogni sito Web e applicazione nel proprio ambiente. Questo articolo mostra perché si dovrebbe assolutamente conoscere e utilizzare questa funzione.

Le sfide della scansione autenticata
Gli strumenti di Dynamic Application Security Testing (DAST) come Netsparker, chiamati anche black-box vulnerability scanners, funzionano controllando le vulnerabilità in tutte le parti accessibili di un’applicazione web. Per fare ciò, lo scanner deve prima identificare la superficie di attacco dell’applicazione di destinazione visitando ogni collegamento che trova nelle pagine Web ed effettuando richieste a tutti i punti di input nelle risorse Web rilevate. Ciò include gli URL utilizzati per raggiungere queste risorse.

Sebbene la scansione di pagine Web accessibili a tutti gli utenti sia relativamente facile, le pagine Web protette da password hanno sempre rappresentato una sfida per gli scanner di sicurezza a causa della varietà di metodi utilizzati per autorizzare l’accesso alle pagine. Oltre ai moduli di accesso di base, i siti possono utilizzare OAuth, impostare cookie di sessione personalizzati, richiedere Single Sign-On (SSO) e così via. Anche con l’autenticazione form-based, il modulo di accesso può, ad esempio, utilizzare elementi di modulo non standard, richiedere campi aggiuntivi (magari per selezionare un reparto da un elenco a discesa), utilizzare la verifica Captcha o estendersi su più pagine. E se lo scanner non riesce ad accedere, non può testare la pagina per le vulnerabilità.

Si ha davvero bisogno di scansionare siti web che richiedono l’autenticazione?
Può sorgere la domanda, tuttavia, su quanto sia davvero importante eseguire scansioni di sicurezza web autenticate. Ai tempi delle pagine web statiche, tutto ciò che richiedeva l’accesso dell’utente poteva essere considerato intrinsecamente sicuro semplicemente perché non era accessibile pubblicamente. Al giorno d’oggi, abbiamo applicazioni web complesse che richiedono l’autenticazione per accedere alla maggior parte (o a tutte) le loro funzionalità. Le scansioni autenticate possono aggiungere un valore importante alla sicurezza complessiva, rivelando vulnerabilità sfruttabili e altri problemi, come patch mancanti, autorizzazioni di condivisione deboli e configurazioni errate generali. In un certo senso, le scansioni autenticate rivelano il reale stato di sicurezza delle applicazione web.

Ancora più importante, il motivo per aggiungere l’autenticazione in primo luogo è proteggere l’accesso a qualcosa di prezioso, come dati personali, operazioni amministrative o informazioni finanziarie. Lungi dall’essere meno allettanti per i criminali informatici, le risorse protette sono in realtà gli obiettivi principali degli aggressori, quindi è fondamentale configurare lo scanner per eseguire la scansione e testare tutte le pagine Web che gli hacker malintenzionati potrebbero tentare di violare.

Custom Form Authentication facile
Per semplificare l’automazione del processo di autenticazione e garantire la massima copertura della scansione, Netsparker ha aggiornato la sua funzione di script personalizzato. Il nuovo editor di script ha un pannello dell’editor e una vista browser incorporata. E’ possibile utilizzare l’editor per scrivere script in qualsiasi HTML, JavaScript o DOM API supportata dai browser moderni. È inoltre possibile utilizzare funzioni di supporto aggiuntive fornite da Netsparker nello spazio dei nomi netsparker.auth.

Il Custom Script Editor è intuitivo e interattivo. La pagina di autenticazione viene caricata nel browser incorporato ed è possibile fare clic con il pulsante destro del mouse sugli elementi della pagina per inserire il codice CSS corrispondente direttamente nel pannello dell’editor. Successivamente, è possibile modificare il codice secondo necessità.

Scansioni autenticate semplici con il Custom Script Editor di Netsparker

I moduli di autenticazione che si estendono su più pagine sono una sfida comune durante la configurazione degli scanner. Ad esempio, si potrebbe avere una pagina per inserire il nome utente e poi un’altra pagina per fornire la password. L’editor di script lo gestisce facilmente, consentendo di definire pagine separate per abbinare la sequenza di accesso. Nella prima pagina, si direbbe all’editor di script di inserire un nome utente e quindi fare clic sul pulsante di invio. Nella seconda pagina, si indicherà quindi all’editor di inserire una password e fare clic sul pulsante per completare la sequenza di accesso.

Quello che si vede è quello che si scansiona
Il processo convenzionale di verifica dell’autenticazione consiste nell’immettere le credenziali e quindi monitorare i risultati della scansione o anche singole richieste e risposte HTTP per individuare errori o omissioni. Avere un’interfaccia visiva pratica per lo scripting personalizzato rende il lavoro più facile, veloce e preciso. Con un feedback immediato nel browser incorporato, è possibile perfezionare e testare gli script di autenticazione in pochi minuti e assicurarsi che le sequenze di accesso e disconnessione funzionino come previsto.

Il generatore di codice CSS automatico è anche un enorme risparmio di tempo rispetto all’ispezione manuale del codice della pagina per estrarre i selettori giusti. Ciò è particolarmente importante per le pagine che utilizzano elementi del modulo non standard o visualizzano il modulo di accesso in un popup. Lavorando con gli elementi effettivi della pagina nel browser incorporato, è possibile vedere in tempo reale se lo script funziona e cosa vedrà Netsparker durante la scansione autenticata.

Nessuna pagina va dimenticata
Una buona copertura della scansione è fondamentale per ottenere reali vantaggi in termini di sicurezza da una soluzione DAST. Dopotutto, se uno scanner di vulnerabilità salta alcune pagine in un’applicazione web perché non è in grado di autenticarsi, si ottengono solo informazioni limitate sullo stato di sicurezza corrente e qualcuno dovrà testare queste pagine manualmente. In qualità di leader del settore, Netsparker mira a massimizzare la copertura dei test di vulnerabilità con scansione e autenticazione avanzate su tutti i tipi di siti Web e applicazioni moderni.

Il custom authentication script editor rende molto più semplice e veloce garantire che Netsparker esegua il crawl e la scansione di ogni parte dell’applicazione web di destinazione. In combinazione con la sua tecnologia di rilevamento delle vulnerabilità estremamente accurata con Proof-Based Scanning™, questo offre un quadro fedele di tutti i problemi che è necessario risolvere per proteggere i siti Web e le applicazioni dai criminali informatici.

Per ulteriori informazioni e domande frequenti relative al modulo di autenticazione in Netsparker, vedere la pagina di supporto sullo script di autenticazione personalizzato.

 

 

ReaQta e DotForce firmano un accordo di distribuzione per le soluzioni EDR, NGAV+ e MDR

ReaQta e DotForce firmano un accordo di distribuzione per le soluzioni EDR, NGAV+ e MDR

Le soluzioni di ReaQta per Endpoint Detection and Response (EDR) arricchiscono il portafoglio del distributore di soluzioni di Next Generation Cybersecurity ReaQta-Hive e ReaQta-EON rafforzano la posizione di sicurezza delle imprese globali, dei governi e persino delle PMI locali contro le minacce alla sicurezza informatica nascoste, avanzate e sconosciute.

Amsterdam, Paesi Bassi, 9 dicembre 2020 – ReaQta, piattaforma leader di threat response basata su intelligenza artificiale (A.I.), con servizi di triaging completi, ha nominato DotForce come distributore per l’Italia. Questa partnership introdurrà una soluzione EDR avanzata (endpoint detection and response), prima nel suo genere, al settore della sicurezza informatica, considerando i crescenti attacchi informatici, sia in termini di numero che di sofisticazione.

“I prodotti di sicurezza tradizionali non sono in grado di soddisfare le esigenze dei clienti consapevoli del rischio informatico, specialmente nell’attuale panorama delle minacce in rapida evoluzione”, ha affermato Alberto Pelliccione, CEO di ReaQta. “C’è un urgente bisogno di una soluzione EDR avanzata, come ReaQta-Hive, che offra visibilità completa, rilevamento, protezione con funzionalità di remediation e tuttavia rimanga incredibilmente facile da usare. Con la loro consolidata reputazione nella regione come distributore di tecnologie innovative per la sicurezza informatica, siamo lieti di collaborare con DotForce per offrire una piattaforma di sicurezza altamente efficace e completa che verrà fornita attraverso il loro canale altamente qualificato, realizzato da rivenditori di prim’ordine, systems integrator e MSP.”

“Nella nostra missione di portare tecnologie e approcci innovativi al mercato, DotForce collabora con fornitori leader come ReaQta per introdurre tecnologie all’avanguardia che impediscono alle minacce alla sicurezza, come ransomware e attacchi fileless, di compromettere la continuità aziendale”, ha commentato Fabrizio Bressani, CEO presso DotForce Italia.“Considerando l’ambiente aziendale dinamico di oggi, crediamo che ReaQta possa offrire soluzioni di sicurezza informatica su misura sia per le aziende che richiedono un servizio di monitoraggio 24 ore su 24, 7 giorni su 7, sia per le PMI locali che necessitano di una protezione di base ma completa. Stiamo invitando rivenditori, system integrator e MSP a includere la soluzione Reaqta nel loro portafoglio di offerte, per sfruttare una solida opportunità di mercato per gli anni a venire “.

ReaQta-Hive è alimentato da due motori di intelligenza artificiale che apprendono in modo intelligente la rete individuale di un cliente, è in grado di rilevare anomalie di comportamento sia dell’endpoint che della rete e rimedia automaticamente anche le minacce più avanzate o sconosciute, riducendo i tempi di risposta a pochi minuti, non mesi.

ReaQta-Hive protegge endpoint, server e dispositivi mobili con un’ampia gamma di comandi pronti all’uso per la caccia alle minacce tra gli endpoint. Minacce immediate come trojan, ransomware, RATS, nonché movimenti laterali e attacchi supply-chain vengono rilevati e segnalati in tempo reale, con la funzione di remote kill. Un NanoOS™ unico offre agli analisti un livello di dettaglio senza precedenti e, allo stesso tempo, una barriera estremamente difficile da superare per gli aggressori. Due diversi set di motori applicano l’apprendimento automatico all’avanguardia ai comportamenti delle applicazioni, avvisando automaticamente delle minacce attive o emergenti senza la necessità di una conoscenza preliminare degli attacchi. Questo approccio senza firma, combinato con un’analisi comportamentale basata sull’intelligenza artificiale, garantisce che le minacce vengano rilevate indipendentemente dalle loro tecniche di consegna e dai tipi di carico utile.

ReaQta-EON, un Next-Generation Antivirus (NGAV+) basato su cloud, combina tecniche di difesa tradizionali e moderne con le più recenti strategie di AI/ML per fermare gli aggressori in tempo reale. Questo sistema ti protegge da minacce note e sconosciute, riducendo così la necessità di costosi sforzi di risposta e ripristino.

ReaQta-EON è stato progettato con le più recenti tecnologie innovative nell’intelligenza artificiale e nell’apprendimento automatico per fornire la sicurezza chiave ed essenziale di cui ogni organizzazione ha bisogno per combattere le minacce moderne.

 

A proposito di ReaQta

ReaQta è la piattaforma di sicurezza degli endpoint AI di alto livello in Europa, costruita da un gruppo d’élite di esperti di sicurezza informatica e ricercatori di AI/ML con una vasta esperienza nelle operazioni di intelligence governativa. Incentrato sulla creazione della migliore esperienza utente per la sicurezza degli endpoint, ReaQta è la piattaforma più elegante, potente e facile da usare che consente alle organizzazioni di eliminare le minacce più avanzate nel modo più veloce possibile.

In qualità di esperti in intelligenza artificiale e analisi comportamentale, i motori proprietari di doppia intelligenza artificiale di ReaQta forniscono alle organizzazioni di tutti i settori una sicurezza degli endpoint completa e completamente personalizzata, meno tutta la complessità. I team di sicurezza ora possono fare di più, con meno.

Per saperne di più contattaci per approfondimenti o per una demo gratuita.

Metasploit, come utilizzare questo strumento di pentesting

Metasploit, come utilizzare questo strumento di pentesting

Metasploit è uno strumento di pentesting ampiamente utilizzato dagli addetti ai lavori, che rende l’hacking molto più semplice di prima, diventato uno strumento indispensabile sia per il Red che per il Blue Team, posizionandosi come strumento essenziale da utilizzare per molti attaccanti e difensori.

Ai vecchi tempi, il pentesting comportava un sacco di lavoro ripetitivo che Metasploit ora automatizza. Information gathering? Ottenere l’accesso? Mantenere la persistenza? Evadere il rilevamento? Metasploit è un ottimo strumento, e chi lavora nella sicurezza informatica, probabilmente lo ha già utilizzato.

Metasploit, come utilizzare questo strumento di pentesting

Storia di Metasploit

H.D. Moore ha iniziato a lavorare su Metasploit rilasciando la versione 1.0, scritta in Perl, nel 2003. Il progetto è cresciuto notevolmente da allora, dagli 11 exploit originali con il progetto agli attuali 1.500, più circa 500 payload, con un passaggio a Ruby lungo la strada.

La società di sicurezza Rapid7 ha acquisito sia Metasploit che Moore nel 2009 (Moore ha lasciato il progetto nel 2016). Metasploit da allora è diventato il framework de facto per lo sviluppo degli exploit, nonostante la concorrenza di Canvas e Core Impact. Oggi è comune che i report zero day includano un modulo Metasploit come prova di concetto.

 

Come usare Metasploit

Durante la fase di raccolta delle informazioni (Information gathering) di un pentest, Metasploit si integra perfettamente con Nmap, la scansione SNMP e l’enumerazione delle patch di Windows, tra gli altri. C’è persino un ponte per Nessus, lo scanner di vulnerabilità di Tenable. Praticamente ogni strumento di ricognizione a cui si può pensare, si integra con Metasploit, rendendo possibile trovare la fessura nell’armatura che stai cercando.

Una volta identificato un punto debole, basterà cercare nell’ampio database di Metasploit l’exploit che aprirà quella fessura e permetterà di entrare. Ad esempio, l’exploit EternalBlue dell’NSA, rilasciato da Shadow Brokers nel 2017, è stato confezionato per Metasploit ed è un punto di riferimento affidabile quando si ha a che fare con sistemi Windows legacy privi di patch.

Metasploit abbina l’exploit a un payload utile e adatto al compito da svolgere. Poiché ciò che la maggior parte delle persone desidera è una shell, un payload adatto quando si attaccano i sistemi Windows è il sempre popolare Meterpreter, una shell interattiva in-memory-only. Le scatole Linux ottengono il proprio codice shell, a seconda dell’exploit utilizzato.

Una volta su una macchina di destinazione, il quiver di Metasploit contiene una suite completa di strumenti di post-exploitation, tra cui privilege escalation, pass the hash, packet sniffing, screen capure, keylogger e gli strumenti di pivot. È anche possibile impostare una backdoor persistente nel caso in cui la macchina in questione venga riavviata.

Ogni anno vengono aggiunte sempre più funzionalità a Metasploit, tra cui un fuzzer per identificare potenziali falle di sicurezza nei file binari, nonché un lungo elenco di moduli ausiliari troppo lungo per essere elencato qui.

Questa è solo una visione di alto livello di ciò che può fare Metasploit. Il framework è modulare e facilmente estensibile e gode di una comunità attiva. Se non fa esattamente quello che si vuole che faccia, è possibile quasi certamente modificarlo e adattarlo.

 

Come imparare a usare Metasploit

Sono disponibili molte risorse gratuite ed economiche per imparare Metasploit. Il miglior punto di partenza per molti è probabilmente il download e l’installazione di Kali Linux, insieme a una macchina virtuale vulnerabile (VM) per la pratica. NB Non apprendere l’utilizzo di Metasploit usandolo verso reti o infrastrutture di altre persone senza il loro permesso, è illegale.

Offensive Security, le persone che mantengono Kali e gestiscono la certificazione OSCP, offrono anche Metasploit Unleashed, un corso di formazione gratuito che in cambio chiede solo una donazione ai bambini affamati in Africa. Il libro No Starch Metasploit è anche una risorsa indispensabile che, come tutti i libri No Starch Press, viene fornito con un ebook privo di DRM.

Il progetto Metasploit offre una documentazione dettagliata e il suo canale YouTube è un’altra buona risorsa per i principianti del penetration tester.

 

Come ottenere Metasploit Framework

Metasploit Framework è la versione base, fornita come parte di Kali Linux (licenza BSD), offrendo solo un’interfaccia a riga di comando, oppure scaricabile gratuitamente e liberamente dal sito web di Metasploit, funziona su *nix e sistemi Windows. Il codice sorgente di Metasploit Framework è disponibile su GitHub.

Oltre al Metasploit Framework, Rapid7 produce anche Metasploit Pro, con i componenti aggiuntivi non gratuiti per pentesters che preferiscono una GUI o comodi wizards per eseguire audit di base o campagne di phishing per i propri clienti come servizio, oltre ad alcune altre interessanti funzionalità.

Rapid7 offre un confronto delle funzionalità sul suo sito web, e per chi fosse interessato ad acquistare la versione Metasploit Pro, con licenza per postazione, può farlo direttamente dal nostro Shop o contattandoci.

Cosa offre una TIP?

Cosa offre una TIP?

I criminali informatici stanno facendo gli straordinari. Le organizzazioni di sicurezza devono stare al passo con le minacce, comprendere le vulnerabilità delle aziende e porre rimedio rapidamente alle minacce. Tuttavia, spesso è necessario troppo tempo per esaminare tutti i feed dalle minacce esterne e i sistemi di sicurezza interni. L’attività manuale di setacciare tutti questi incidenti di minaccia richiede lunghe ore e spesso porta a falsi positivi e falsi negativi, fattori che portano a travolgere i team di sicurezza. E se fosse possibile prendere le attività più laboriose e automatizzarle? Una Threat Intelligence Platform (TIP) come DomainTools, offre ai team di sicurezza l’automazione di cui hanno bisogno.

Le tre funzioni chiave delle prestazioni di un TIP sono:

  • Processare
  • Deduplicare
  • Correlare 

Utilizzando queste funzioni chiave, una TIP aggrega le informazioni provenienti da varie fonti, le analizza, le elabora e quindi le presenta ai team per ulteriori analisi, fornendo informazioni utili sulle minacce. Poiché una TIP fornisce sia il contesto che i dati delle minacce analizzate, offre ai team la capacità di prevenire e prendersi cura delle minacce in modo più rapido ed efficace.

 

Processare. Deduplicare. Correlare.

Una TIP, abilita i programmi di intelligence sulle minacce, raccogliendo tutte le informazioni sulle minacce in una posizione centralizzata, consentendo all’analista di prendere tali informazioni, elaborarle e renderle utilizzabili per le organizzazioni. Questo crea un “unico pannello di vetro” per l’intelligence sulle minacce.

La maggior parte delle organizzazioni ha un piccolo team, o anche una singola persona, che raccoglie i dati sulle minacce e li elabora. Quanto sarebbe più efficiente lo stesso team di sicurezza se avesse un intero esercito di analisti che setacciano i dati sulle minacce? Probabilmente si hanno diverse fonti di intelligence e ognuna parla la propria lingua per quanto riguarda il punteggio di rischio, che tipo di minaccia è, quanto è attiva, etc. e, con così tanti diversi flussi di informazioni, è inevitabile che ci siano minacce ridondanti. Una persona può dedicare una quantità significativa di tempo a setacciare queste minacce, rimuovere ridondanze, valutare i rischi e analizzare informazioni. Una TIP, tuttavia:

  • Raccogliere dati da più feed (interni ed esterni)
  • Elaborare i dati: Rimuovere le informazioni irrilevanti o ridondanti, ordinarle e confrontarle con informazioni selezionate per trovare modelli e correlazioni
  • Aggiungere contesto ai dati ordinati: elimina i falsi positivi, aggiunge dati addizionali (network, indirizzo IP, blocklist)
  • Integrazione con gli strumenti di sicurezza esistenti per massimizzare le informazioni, inviando i dati sulle minacce analizzate al personale/reparto appropriato

La piattaforma analizzerà anche le minacce comuni nella settore di riferimento della propria organizzazione, consentendo di inserire misure di sicurezza per bloccare le attività dannose prima che si verifichino. La TIP fa sì che la sicurezza passi da uno spazio reattivo a uno spazio proattivo.

Nella comunità della sicurezza informatica, l’analisi e la condivisione delle informazioni sulle minacce sono inestimabili. Con una TIP, è possibile generare una personale intelligence sulle minacce e condividerla con la comunità della sicurezza. Non è necessario configurare qualcosa nella propria infrastruttura, poiché una TIP è costruita per assistere nella diffusione delle informazioni, aiutando le organizzazioni a fornire assistenza nella prevenzione proattiva di violazioni ed esposizioni.

Si tratta di raccogliere dati e trasformarli in intelligenza operativa!

 

Ecco un consiglio

Una TIP fornisce informazioni dettagliate, consentendo di risparmiare denaro e offrendo una visione proattiva del panorama delle minacce. I criminali informatici potrebbero fare gli straordinari, ma i team non dovrebbero farlo. Restare al passo con le minacce, conoscere le vulnerabilità comuni e gestire efficacemente le minacce con l’assistenza di una piattaforma di intelligence sulle minacce.

Per ulteriori informazioni sull’intelligence delle minacce:

Gartner nomina OneLogin Leader nel 2020 Magic Quadrant for Access Management

Gartner nomina OneLogin Leader nel 2020 Magic Quadrant for Access Management

OneLogin ha annunciato oggi 23 Novembre, di aver ricevuto la nomina da Gartner come Leader nel Magic Quadrant del 2020 per la categoria Access Management. Questo è un risultato incredibilmente eccitante è la prima volta che OneLogin viene nominata Leader nel Quadrante.

Prima di entrare nei dettagli, OneLogin vuole cogliere l’occasione per ringraziare tutti i clienti per la loro fiducia, supporto e prezioso feedback. Senza di essi, non sarebbero stati in grado di spingersi per essere riconosciuti come Leader nell’Access Management.

 

Cosa significa essere nominato leader nel Magic Quadrant di Gartner?

Pubblicato dalla principale società di analisi, Gartner, Il Magic Quadrant è una metodologia di ricerca per valutare le posizioni di diversi fornitori in un dato mercato. Il Magic Quadrant valuta i fornitori attraverso due vettori chiave: “Completezza della visione” e “Capacità di esecuzione”.

In OneLogin ritengono che essere nominati Leader sottolinei la loro capacità di fornire un’offerta matura che soddisfa e supera le richieste del mercato. Ritengono inoltre che i leader dimostrino sia la visione necessaria per continuare a innovare e influenzare il mercato, sia la capacità di realizzare tale visione. Secondo Gartner, “I leader si comportano bene rispetto alla loro visione attuale e sono ben posizionati per domani”.

Ritengono che Gartner abbia valutato i seguenti elementi della piattaforma OneLogin:

  • Funzionalità di prodotto robuste che si estendono su tutta la forza lavoro e la Customer Identity and Access Management (IAM)
  • Set di funzionalità avanzate, come la AI-powered SmartFactor AuthenticationTM e Vigilance AITM
  • Elevati punteggi di soddisfazione del cliente
  • Prezzi competitivi, offerte in bundle e opzioni flessibili a la carte
  • Espansione delle API
  • Crescita aziendale

 

2020 e la strada verso il 2021

In qualità di organizzazione incentrata sul cliente, OneLogin si impegna a mettere sempre i clienti in prima linea in tutto ciò che fanno e in qualsiasi decisione che prendono. Avere il supporto e la difesa continua dei clienti è ciò che credono abbia permesso loro di sportare alle stelle la loro posizione nel Magic Quadrant di quest’anno. Quindi un enorme “grazie” a tutti i clienti, per aver giocato un ruolo fondamentale nel loro successo.

Quest’anno hanno potuto, tra le altre cose:

Il 2021 è dietro l’angolo. Ne hanno passate molte insieme, con i colleghi, partner e clienti. Sanno di poter fare insieme, cose incredibili di fronte a sfide incredibili. Non vedono l’ora di portare ancora di più sulla loro piattaforma il prossimo anno e continueranno ad essere un vendor esperto nello spazio IAM.

 

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Acunetix nominato October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing

Acunetix nominato October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing

Il team di Acunetix è lieto di annunciare che sono stati premiati come October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing. Il team di Acunetix è orgoglioso di questo riconoscimento, poiché il feedback dei clienti continua a plasmare i loro prodotti e servizi.

Nel suo annuncio, Gartner spiega: “The Gartner Peer Insights Customers ‘Choice è un riconoscimento dei fornitori in questo mercato, da parte di professionisti degli utenti finali verificati, tenendo conto sia del numero di recensioni sia delle valutazioni degli utenti complessive”. Per garantire un’equa valutazione, Gartner mantiene criteri rigorosi per il riconoscimento dei fornitori con un alto tasso di soddisfazione del cliente.

Ecco alcuni estratti dei clienti che hanno contribuito alla nomina:

  • “La parte migliore di Acunetix è che non è necessario avere una conoscenza approfondita del prodotto. Può adattarsi facilmente a diversi ambienti “. – Software Engineer, Services Industry (leggi la recensione completa)
  • “Questo è un ottimo punto di vista che offre una buona dose di successo per il vostro acquisto e sicuramente terrà conto di altri aspetti di una grande varietà di situazioni.” – Business System Analyst, Communications Industry (leggi la recensione completa)
  • “Nel complesso è uno strumento davvero valido, che mantiene ciò che viene promesso e semplifica la vita ai pentester e ai professionisti SDLC”. – Security Officer, Media Industry (leggi la recensione completa)

Leggi altre recensioni per Acunetix qui.

Tutti in Acunetix sono profondamente orgogliosi di essere stati premiati come October 2020 Customers’ Choice for Application Security Testing. Per ulteriori informazioni su questa distinzione o per leggere le recensioni scritte sui nostri prodotti dai professionisti IT che li utilizzano, è possibile visualizzare il Customers’ Choice Report completo.

A tutti i clienti che hanno inviato recensioni, grazie! Queste recensioni aiutano a plasmare i prodotti e il percorso Acunetix, dove non vedono l’ora di costruire sulla base delle esperienze che hanno permesso loro di guadagnare questo riconoscimento!

 

The GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE badge is a trademark and service mark of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved. Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

Netsparker nominato October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing

Netsparker nominato October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing

Il team di Netsparker è lieto di annunciare che sono stati premiati come October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing. Il team di Netsparker è molto orgoglioso di questo riconoscimento, poiché il feedback dei clienti continua a plasmare i loro prodotti e servizi.

Nel suo annuncio, Gartner spiega: “The Gartner Peer Insights Customers ‘Choice è un riconoscimento dei fornitori in questo mercato, da parte di professionisti degli utenti finali verificati, tenendo conto sia del numero di recensioni sia delle valutazioni degli utenti complessive”. Per garantire un’equa valutazione, Gartner mantiene criteri rigorosi per il riconoscimento dei fornitori con un alto tasso di soddisfazione del cliente.

Di seguito sono riportati alcuni estratti dei clienti Netsparker che hanno contribuito alla distinzione:

  • “Miglior strumento di scansione di siti Web per problemi di sicurezza” – Software Test Engineer, services industry (leggi la recensione completa)
  • “Fantastico strumento DAST per applicazioni web aziendali” – Head Of Application Security, services industry (leggi la recensione completa)
  • “Un ottimo strumento online che consente di dedicare più tempo alla valutazione che alla distribuzione e alla manutenzione. Ha grandi capacità di integrazione “– IT Supporto, transportation industry (leggi la recensione completa)

Leggi altre recensioni per Netsparker qui.

Tutti in Netsparker sono profondamente orgogliosi di essere stati premiati come October 2020 Customers’ Choice for Application Security Testing. Per saperne di più su questa distinzione e leggere le recensioni scritte sui nostri prodotti dai professionisti IT che li utilizzano, puoi leggere il Customers’ Choice report completo.

A tutti i clienti che hanno inviato recensioni, grazie! Queste recensioni aiutano a plasmare i prodotti e il percorso Netsparker, dove non vedono l’ora di costruire sulla base delle esperienze che hanno permesso loro di guadagnare questo riconoscimento!

Se hai una storia di Netsparker da condividere, ti invitiamo a unirti al gruppo di Gartner Peer Insights e valutare.

 

The GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE badge is a trademark and service mark of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved. Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

Come rilevare un SSH reverse tunnel

Come rilevare un SSH reverse tunnel

Oggi parleremo del nuovo algoritmo di Flow Analytics di Plixer, Reverse SSH Shell, che è stato incluso nell’ultimo aggiornamento di Plixer Scrutinizer. L’algoritmo Reverse SSH Shell identifica i possibili SSH reverse tunnel verso destinazioni esterne.

Un SSH reverse tunnel consente a un’entità esterna di accedere a risorse interne protette tramite l’uso di una connessione SSH in uscita stabilita. L’SSH reverse tunnel è in ascolto su una porta di rete su un computer locale. Se rileva una richiesta SSH su quella porta, ritrasmette la richiesta di connessione a sé stesso, in fondo alla connessione stabilita. Ciò fornisce una nuova connessione dal computer locale al computer remoto.

Se si ha difficoltà a configurare l’istanza nel proprio laboratorio o ambiente di produzione, potrebbe essere meglio provarlo all’interno di una rete semplice prima di diventare hardcore e verificarlo in reti più complesse che includono la traduzione dell’indirizzo di rete o IPsec site-to-site VPN. Questo ti aiuterà a capire un meccanismo di “connessione” Reverse SSH Shell.

Come testare l’algoritmo Reverse SSH Shell

Nell’esempio, ci sono due diverse reti ipotetiche collegate tra loro tramite un tunnel VPN IPsec.

Verrà stabilita una reverse SSH Shell tra ClientHost e Devil. Si trovano in reti diverse e possono eseguire il ping a vicenda tramite il tunnel VPN, che verrà disattivato dopo aver stabilito la connessione iniziale.

Prima di andare avanti, è necessario andare su vai su Scrutinizer > Admin> Settings> Reverse SSH Shell, quindi verificare che entrambi i dispositivi L3 siano stati aggiunti nelle exporters list.

  1. SSH dalla destinazione alla sorgente utilizzando un indirizzo IP pubblico utilizzando il comando seguente:

ssh –R 19999:localhost:22 sourceuser@18.210.158.60

Nota: la porta 19999 può essere qualsiasi porta inutilizzata.

  1. Ora è possibile fare SSH dall’origine alla destinazione attraverso il tunneling SSH:

ssh localhost –p 19999

Nota: la connessione tra destinazione e origine deve essere sempre attiva.

Ora come possiamo vederlo e come Scrutinizer può aiutarci con un modo per definire questa violazione?

Nello screenshot sopra “10.30.1.118” è apparso sotto l’elenco dei trasgressori, quindi diamo un’occhiata più da vicino facendo clic su Reverse SSH Shell policy, che farà apparire la sua policy di allarme:

L’immagine sopra mostra quando si è verificata ciascuna di queste violazioni e ciascuna violazione ha il proprio livello di gravità. Più in basso, possiamo ottenere un rapporto relativo alla connessione tra il trasgressore e una vittima:

Qui possiamo vedere la conversazione avvenuta tra i due indirizzi IP. Con l’aiuto di Plixer Scrutinizer, siamo stati in grado di identificare un tentativo di minaccia osservando il traffico avvenuto tra i due host. Se ci sono domande sull’identificazione di SSH reverse tunnel nella tua rete, fatecelo sapere.

Credential Stuffing vs Password Spraying

Credential Stuffing vs Password Spraying

Due metodi comuni utilizzati dai criminali per compromettere le credenziali degli utenti e facilitare l’account takeover (furto di account) sono il credential stuffing e il password spraying. I due termini a volte sono usati in modo intercambiabile, quindi esaminiamo le differenze.

Il credential stuffing è un tipo di attacco brute-force (forza bruta) che si basa su strumenti automatizzati per testare grandi volumi di nomi utente e password rubati su più siti finché uno non funziona. Il credential stuffing fa leva su due cose:

  1. Molte organizzazioni consentono ancora a clienti e dipendenti di utilizzare accessi solo tramite password (senza MFA).
  2. Gli utenti sono così sopraffatti dal numero di credenziali che devono utilizzare (in media fino a 200) che ricorrono al riutilizzo delle password su più account.

 

 

Il credential stuffing è molto popolare tra gli exploiters meno esperti, poiché in genere hanno poca esperienza tecnica e si affidano a strumenti di verifica account facilmente scaricabili, in grado di testare elenchi di credenziali di grandi dimensioni su vari portali di accesso per violare servizi online, sistemi e reti.

Al contrario, il password spraying è un attacco che tenta di accedere a un gran numero di siti utilizzando identificatori di account noti (usernames) con alcune password di uso comune.

A prima vista, si potrebbe mettere in dubbio l’efficacia del password spraying, basta pensare ai molti sistemi che si basano sul blocco degli account dopo N tentativi di accesso falliti, ma in realtà non impediscono di provare tutti gli account conosciuti con una singola password, che può effettivamente avere più successo, dato il numero maggiore di account coinvolti.

 

In sintesi, sebbene entrambi i metodi possano essere estremamente efficaci quando si tratta di acquisizione dell’account, la differenza fondamentale tra i due è se la password è nota per essere associata all’account o meno. Entrambi i metodi, tuttavia, possono fornire ai malintenzionati un accesso illegittimo agli account degli utenti, portando a costose frodi e danni alle aziende e relativi brand.

Molti responsabili della sicurezza dicono che il loro più grande punto cieco, è sapere se i dipendenti stanno utilizzando password personali compromesse su account di lavoro, questo è qualcosa per cui SpyCloud ha lavorato duramente per risolverlo. SpyCloud Active Directory Guardian consente di controllare gli account di AD per qualsiasi password che sia mai apparsa nel database delle violazioni di SpyCloud, composto da miliardi di password esposte e di rilevare quando i dipendenti selezionano le password che i criminali stanno attivamente utilizzando negli attacchi di credential stuffing e password spray. Non solo è possibile verificare le corrispondenze esatte delle credenziali dell’utente, ma anche variazioni fuzzy (sfocate) di tali corrispondenze, allineamento con le linee guida per le password del NIST e altro ancora. La parte migliore è che si può rimediare alle credenziali violate senza alcun effort amministrativo.

Controlla l’esposizione del tuo account personale e contattaci per una demo di SpyCloud Active Directory Guardian

Autenticazione avanzata nei servizi finanziari con Yubico

Autenticazione avanzata nei servizi finanziari con Yubico

Il settore dei servizi finanziari è uno degli obiettivi di maggior valore per i criminali informatici a causa della sua enorme riserva di informazioni finanziarie e di identificazione personale (PII) e del potenziale per rapidi guadagni attraverso trasferimenti di denaro fraudolenti.

Poiché le password vengono facilmente violate, le organizzazioni di servizi finanziari non possono più fare affidamento su nome utente e password per l’autenticazione dei dipendenti su sistemi e applicazioni. È necessaria un’autenticazione più forte sotto forma di autenticazione a due fattori (2FA) o autenticazione a più fattori (MFA) per bloccare le acquisizioni di account e per aiutare a eliminare le frodi guidate da attacchi informatici.

I nomi utente e le password creano rischi per la sicurezza: Le password erano la forma di autenticazione più comunemente usata oggi, ma erano anche l’anello più debole nella sicurezza aziendale in quanto suscettibili a una serie di vettori di attacco: phishing e social engineering, password spray, brute force, credential stuffing, key logging, ecc. Le organizzazioni di servizi finanziari che si affidano alle password espongono una superficie di minaccia ampia e facile da sfruttare.

L’affaticamento delle password porta a violazioni dei dati: Gli utenti si stancano di creare nuove password per diversi servizi e cambiarle ogni pochi mesi. Molti utenti finiscono per fare affidamento su password semplici che sono facili da decifrare o riutilizzare le password su account personali e professionali, dove la violazione di un account si traduce in violazione di un altro. Lo State of Password and Authentication Security Behaviors Report 2020 ha rilevato che le persone riutilizzano le password su una media di 16 account sul posto di lavoro e gli intervistati sulla sicurezza IT riutilizzano le password su una media di 12 account sul posto di lavoro.

Gli attacchi di phishing mirano al furto di credenziali: Il phishing continua a rappresentare un enorme problema di sicurezza poiché le tecniche di attacco continuano a evolversi. Il Verizon Data Breach Investigations Report del 2019 afferma che il 32% delle violazioni riguardava il phishing e l’e-mail era il metodo di phishing di consegna principale, 96,8%, nel settore finanziario. I criminali informatici inviano messaggi di posta elettronica falsi che invitano gli utenti a reinserire le credenziali che vengono poi raccolte per l’acquisizione di account. Molti attacchi di phishing portano anche all’installazione di malware, per aiutare a perpetrare una violazione. Anche se gli utenti impostano password complesse, gli hacker possono facilmente accedervi tramite attacchi di phishing.

Non tutti gli MFA sono uguali: Esistono molti strumenti e tecniche di autenticazione avanzata per aumentare o sostituire le password. Sebbene la sostituzione delle password (passwordless) dovrebbe essere l’obiettivo finale di tutte le organizzazioni, quelle di servizi finanziari possono iniziare rafforzando la sicurezza dell’autenticazione con 2FA o MFA. Sebbene MFA sotto forma di domande di sicurezza, codici SMS e OTP siano prevalenti, questi metodi offrono poca o nessuna protezione contro furti di account, phishing, malware e attacchi man-in-the-middle. La richiesta di autenticazione basata su dispositivo mobile può anche rendere le aziende responsabili dei costi relativi alla mobilità dei dipendenti. Le chiavi di sicurezza hardware come YubiKey offrono un’alternativa moderna, sicura ed economica per proteggere gli account digitali da phishing e furti di account. È stato dimostrato che YubiKeys offre i massimi livelli di sicurezza contro le acquisizioni di account nella ricerca indipendente, prevenendo attacchi mirati, e molti dei più grandi istituti finanziari del mondo utilizzano YubiKeys per proteggere le loro informazioni, account e applicazioni più importanti.

Tassi di prevenzione delle acquisizioni di account

Vantaggi di YubiKey per MFA

Le YubiKeys possono essere utilizzate per l’autenticazione a fattore singolo, 2FA o MFA a seconda dei requisiti dell’organizzazione. Come unico fattore (passwordless), le YubiKeys possono essere utilizzate come un primo fattore di autenticazione forte, richiedendo solo il possesso della chiave e consentendo un’esperienza TAP&GO senza password. Per l’autenticazione del secondo fattore (2FA), le YubiKey vengono utilizzate come secondo fattore oltre a una combinazione di nome utente e password, le organizzazioni possono utilizzare YubiKeys per MFA che richiedono il possesso della chiave e un PIN o biometrico.

 

YubiKeys offre diversi vantaggi come soluzione MFA

Forte sicurezza: L’architettura aperta di YubiKey e l’ampio set di protocolli (OTP, FIDO U2F, FIDO2, PIV) consentono una rapida integrazione con i sistemi nuovi ed esistenti, supportando oltre 1.000 app out-of-the-box. Sfruttando questi moderni protocolli di autenticazione, YubiKey fornisce un’autenticazione a più fattori molto forte. Inoltre, YubiKey memorizza le credenziali di un utente in modo sicuro sull’hardware, assicurando che non possa essere esfiltrato.

Facilità di utilizzo: Le YubiKeys offrono un’esperienza utente senza intoppi. Gli utenti accedono con un solo tocco, che è 4 volte più veloce della ricezione e della digitazione di un codice consegnato tramite SMS, quindi viene sprecato meno tempo per l’accesso ai sistemi. Google ha condotto uno studio approfondito e ha scoperto che l’utilizzo di YubiKeys ha ridotto il tempo di accesso di quasi il 50% rispetto a un autenticatore mobile. A più applicazioni un utente deve accedere, più questo diventa importante.

Durevole e affidabile: Le YubiKey sono estremamente resistenti. Le chiavi non richiedono batterie e funzionano senza connessione cellulare o Internet, quindi possono essere utilizzate in qualsiasi ambiente, inclusi gli ambienti con limitazioni di Internet e dispositivi mobili. Inoltre, a differenza dei telefoni o delle app di autenticazione, non è necessario aggiornarli o effettuare l’autenticazione.

ROI forte: La configurazione MFA può essere eseguita tramite self-service e non richiede un amministratore IT. L’implementazione delle chiavi per i dipendenti è molto rapida ed economica: le chiavi possono essere inviate a una filiale o sede centrale, o anche direttamente a ciascun dipendente, inclusi i dipendenti remoti. È stato inoltre dimostrato che le YubiKeys riducono del 92% le chiamate di supporto IT relative alla reimpostazione della password, risparmiando migliaia di ore all’anno in help desk e costi di supporto.

 

YubiKeys per casi d’uso MFA

Rispetta le normative di conformità e i controlli di sicurezza: Il settore dei servizi finanziari è altamente regolamentato e diverse normative impongono un’autenticazione forte tra cui SOX, FIPS, GDPR, PCI e PSD2. Le organizzazioni di servizi finanziari possono soddisfare le normative di conformità e gli audit di sicurezza implementando YubiKeys per una MFA forte. YubiKey consente una forte verifica degli utenti prima di fornire l’accesso a dati sensibili e PII, mantenendo le organizzazioni di servizi finanziari conformi alle normative esistenti ed emergenti. Sono inoltre certificati FIPS 140-2 (Certificato n. 3517) Livello complessivo 2, Livello di sicurezza fisica 3.

Proteggi gli account privilegiati: Un utente privilegiato è un dipendente che dispone di livelli di autorizzazione più elevati per accedere a informazioni sensibili su clienti, società o finanziarie. La stragrande maggioranza delle violazioni della sicurezza di grandi dimensioni comporta l’uso improprio o l’escalation di credenziali privilegiate e l’accesso immediato a informazioni preziose come dati dei clienti, numeri di conto, informazioni sulla carta di credito e altro, con conseguenze paralizzanti per l’azienda. Le organizzazioni di servizi finanziari possono rafforzare la gestione degli accessi privilegiati e garantire la MFA utilizzando YubiKeys per tutti gli utenti privilegiati, inclusi amministratori di rete e database, amministratori di sicurezza e di sistema, sviluppatori di applicazioni, dipendenti di C-suite e impiegati in finanza, contabilità e risorse umane. Richiedere agli utenti con privilegi di autenticarsi con chiavi di sicurezza hardware resistenti al phishing per accedere in modo sicuro ai servizi e alle applicazioni aiuterà a fermare gli attacchi mirati e prevenire il furto di account.

Proteggi i lavoratori remoti: Gli hacker stanno approfittando dell’aumento del lavoro remoto con attacchi di phishing mirati. I progressi della tecnologia consentono ai dipendenti di lavorare ovunque, ma introducono anche una nuova serie di sfide per l’IT. Reti Wi-Fi non protette, dispositivi mobili personali non gestiti e frodi di phishing rendono facile per i criminali informatici rubare le credenziali degli utenti e difficile per i team IT gestire in modo sicuro i team dislocati geograficamente.

Le organizzazioni di servizi finanziari possono sviluppare piani di emergenza aziendale che includono la protezione della forza lavoro remota, in modo che i dipendenti possano accedere in modo sicuro ai sistemi senza introdurre nuovi rischi e vulnerabilità. L’abilitazione dell’MFA dovrebbe essere uno dei requisiti principali per una politica di lavoro da casa. Per MFA con la massima garanzia, le chiavi di sicurezza hardware come YubiKey possono essere utilizzate con i sistemi di gestione dell’accesso alle identità e i provider di identità per accedere ai computer, proteggere l’accesso VPN, aumentare l’autenticazione per i gestori di password e persino generare in modo sicuro una volta codici di accesso.

Sicurezza di autenticazione step-up per transazioni ad alto rischio e di alto valore: I dipendenti che eseguono quotidianamente transazioni ad alto rischio e valore elevato sono spesso l’obiettivo dei criminali informatici. Il phishing resistente all’MFA, lo spear phishing e la compromissione della posta elettronica aziendale (BEC) utilizzano esche di ingegneria sociale per indurre i dipendenti a cedere le credenziali del loro account, installare malware o ransomware sul proprio dispositivo o pagare una fattura falsificata ma realistica sul conto bancario del criminale. Le password sono troppo facili da indovinare, forzate, violate, compromesse o persino copiate da una nota adesiva collegata al laptop / desktop di un utente. L’accesso ai sistemi ad alto rischio può essere rafforzato richiedendo MFA forte e moderno utilizzando YubiKeys, per garantire solo l’accesso autorizzato all’account e transazioni autorizzate di alto valore.

Fornire la massima sicurezza ai dipendenti delle filiali utilizzando terminali di accesso condiviso: I dipendenti che lavorano su postazioni di lavoro condivise sono comuni nelle banche e nei call center. I cassieri si spostano da una stazione all’altra e i supervisori si spostano per autorizzare le transazioni. Gli utenti in questi ambienti sono spesso dipendenti part-time associati a un elevato turnover e un impegno minimo per l’organizzazione, aumentando la minaccia interna. I terminali e le workstation ad accesso condiviso aprono i vettori di attacco agli account amministratore tramite la registrazione delle sequenze di tasti e il pass-the-hash.

Le organizzazioni di servizi finanziari possono raddoppiare la sicurezza tra i terminali di accesso condiviso e le workstation condivise, per impedire l’accesso non autorizzato a sistemi e risorse di alto valore. L’autenticazione tramite nomi utente e password non offre un’elevata sicurezza: le password possono essere violate utilizzando la registrazione dei tasti. YubiKey offre la massima sicurezza MFA per terminali e workstation condivisi e offre un’esperienza utente semplice e senza attriti.

Proteggi le informazioni personali e finanziarie riservate nei call center: Nel 2019, Aite Group ha intervistato 25 dirigenti di 18 dei 40 principali istituti finanziari statunitensi e ha scoperto che il 61% delle frodi può essere ricondotto al contact center. Con un elevato tasso di abbandono dei dipendenti, picchi stagionali e altre dinamiche aziendali impegnative, gli ambienti dei call center necessitano di un approccio sicuro ma semplice per verificare le identità degli agenti prima di fornire l’accesso a sistemi e dati critici. I call center dei servizi finanziari possono implementare YubiKeys per fornire una maggiore sicurezza in grado di verificare in modo sicuro l’identità degli agenti del call center prima che venga loro concesso l’accesso alle PII e ad altri dati sensibili o apportare modifiche all’account di un cliente, come l’aumento di un limite di credito. Poiché i telefoni cellulari possono acquisire immagini dei clienti e dati finanziari come numeri di conto, date di scadenza delle carte e numerosi altri dettagli che potrebbero violare la privacy dei clienti, YubiKeys offre una soluzione di autenticazione molto più sicura.

Prevenire frodi, furti di account e ottenere risultati migliori: Sicurezza dell’autenticazione con YubiKey YubiKey offre un approccio moderno, altamente sicuro, facile da usare ed economico all’MFA per aiutare le organizzazioni di servizi finanziari a prevenire frodi e perdite di entrate. Fornendo solo ai dipendenti MFA autorizzati l’accesso ai dati sensibili e PII con YubiKey, le organizzazioni di servizi finanziari possono rimanere conformi alle normative esistenti ed emergenti, tra cui SOX, PSD2, PCI, FIPS e GDPR e mitigare il rischio di sicurezza informatica e le frodi legate all’acquisizione di account.

Scopri di più su come YubiKeys protegge le organizzazioni di servizi finanziari dalle minacce alla sicurezza informatica.

 

A proposito di Yubico

Yubico stabilisce nuovi standard globali per un accesso semplice e sicuro a computer, dispositivi mobili, server e account Internet. L’invenzione principale dell’azienda, la YubiKey, offre una forte protezione hardware, con un semplice tocco, su qualsiasi tipo di sistemi IT e servizi online. YubiHSM, il modulo di sicurezza hardware ultraportatile di Yubico, protegge i dati sensibili archiviati nei server.

Yubico è uno dei principali contributori agli standard di autenticazione aperta FIDO2, WebAuthn e FIDO Universal 2nd Factor e la tecnologia dell’azienda è implementata e amata da 9 dei 10 principali marchi Internet e da milioni di utenti in 160 paesi.

Fondata nel 2007, Yubico è una società privata, con uffici in Svezia, Regno Unito, Germania, Stati Uniti, Australia e Singapore. Per maggiori informazioni: www.yubico.com

InsightIDR: Cloud-Native SIEM vs Sfide di sicurezza moderne

InsightIDR: Cloud-Native SIEM vs Sfide di sicurezza moderne

Per quanto la frase “un teatro affollato” richiami alla mente immagini dei tempi passati, siamo abbastanza grandi per ricordare l’emozione di una buona prima. La star prende lo schermo (o il palco, se il teatro dal vivo fa per te) e il silenzio cala sulla folla. Dimenticate il trucco e gli effetti speciali: è ora di rilassarsi e godersi la magia della narrazione.

Il nostro debutto della demo di InsightIDR potrebbe non essere un esempio di alto livello dell’entusiasmo di Hollywood, ma è più che compensato da solide offerte di sicurezza. InsightIDR è una soluzione di sicurezza SIEM completa e pronta per l’uso che risponde alla crescente complessità del moderno ambiente di sicurezza. InsightIDR rappresenta l’ultima novità nell’evoluzione degli strumenti SIEM tradizionali.

Ma come risponde esattamente ai punti deboli della sicurezza odierna? Prendete dei popcorn e guardate il video dimostrativo di Rapid7 che offre un assaggio di InsightIDR in azione. E assicuratevi di leggere per saperne di più sulle sfide che devono affrontare i moderni professionisti della sicurezza.

Sfida critica n. 1: Visibilità limitata delle minacce

Man mano che sempre più organizzazioni si spostano verso ambienti multi-cloud, ciò amplia notevolmente la superficie delle minacce vulnerabili agli aggressori. Si traduce anche in una minore visibilità per i team di sicurezza, che ora sono responsabili del monitoraggio di una varietà di ambienti. Due terzi delle organizzazioni operano in ambienti multi-cloud, quindi non sorprende che due terzi dei professionisti della sicurezza dichiarino di sentirsi esausti sul lavoro.

Ma con InsightIDR, si può ottenere uno sguardo olistico e completo dei propri dati, senza il fastidio di passare da una piattaforma all’altra. Insight Agent, Insight Collector e sensori di rete acquisiscono dati da fonti disparate nel panorama delle minacce, dall’attività degli utenti ai registri e agli endpoint. InsightIDR quindi raccoglie, normalizza, attribuisce e arricchisce i dati per ulteriori trasformazioni e analisi del cloud.

Scopri come InsightIDR centralizza la gestione dei log in modo da poter cercare e visualizzare i tuoi dati di sicurezza.

 

Sfida critica n. 2: Avvisi rumorosi ed eccessivi

Poiché l’attività degli utenti si estende su un numero sempre maggiore di endpoint e le aziende vedono un corrispondente aumento dell’esposizione, i professionisti della sicurezza trovano difficile tenere il passo con il flusso di dati sugli eventi. Può essere difficile per i team di sicurezza rispondere a tutti gli incidenti che si verificano e, tra quelli a cui si rivolgono, abbondano i falsi positivi, che bloccano le indagini e sottraggono tempo prezioso alla risoluzione di minacce reali.

InsightIDR aiuta a ridurre il rumore utilizzando l’apprendimento automatico per analizzare i dati nel cloud. Gli avvisi vengono visualizzati automaticamente con i dati correlati dell’attività dell’utente per fornire il contesto. InsightIDR è inoltre basato (e costantemente aggiornato) sull’esperienza del Team MDR (Managed Detection and Response) di Rapid7, in modo che i team di sicurezza possano essere sicuri di vedere le vere minacce sulla base di indicatori visti in natura, insieme a una chiara direzione per rispondere rapidamente e con sicurezza.

Scopri come InsightIDR fornisce avvisi di sicurezza utilizzabili per eventi di sicurezza reali nella tua rete moderna.

 

Sfida critica n. 3: Tempistiche di indagine prolungate

Partendo dal punto precedente, l’incapacità di distinguere prontamente le minacce reali dal rumore estraneo si traduce in tempi di indagine prolungati. Gli attacchi vengono misurati in pochi minuti, ma troppo spesso il rilevamento delle minacce e la riparazione vengono misurati in mesi. Più tempo occorre per risolvere le indagini, più tempo gli hacker hanno accesso ai dati. La preoccupazione principale non è solo il furto di dati, ma anche il potenziale per gli aggressori di modificare le reti violate, inclusi i dati vulnerabili o non protetti. Oltre a danneggiare il profilo di sicurezza dell’organizzazione, questo può portare a danni costosi e dispendiosi in termini di tempo che non possono essere annullati dall’oggi al domani.

Per abbreviare i tempi di risposta, InsightIDR aiuta non solo permettendoti di setacciare facilmente una montagna di dati, ma anche di individuare e dare la priorità alle minacce all’inizio della catena di attacco. Con le native Network Traffic Analysis, File Integrity Monitor, Endpoint Detection and Response e altro ancora, si può stare tranquilli, sapendo che ogni angolo del proprio ambiente è coperto, niente più punti ciechi. E poiché InsightIDR è cloud-native, gli aggiornamenti automatici consentono di correlare i dati più velocemente, mentre i collector e le API comprimono e forniscono i dati in tempo reale. Ciò consente di rispondere agilmente quando si verificano gli eventi.

Scopri come InsightIDR accelera le indagini sulla sicurezza e la risposta agli incidenti.

How Acunetix Works!

How Acunetix Works!

Fondata nel 2005, conta ad oggi più di 5.000 clienti in tutto il mondo, dalle piccole e medie aziende fino alle Enterprise appartenenti alla lista delle Fortune 500.

Acunetix è principalmente uno scanner di app web Black-Box con una copertura di vulnerabilità molto ampia, oltre 6.500 vulnerabilità web e 50.000 vulnerabilità di rete tramite OpenVAS.

Le principali caratteristiche della soluzione sono sintetizzabili in:

  • scansione interattiva in modalità Black- Box e Grey-Box
  • testare applicazioni lato client e a pagina singola
  • rilevare vulnerabilità out-of-band
  • rilevare non solo vulnerabilità web, ma anche vulnerabilità di rete e malware

 

Le fasi di lavoro di Acunetix sono 3:

FIND– è la fase in cui viene eseguita una ricerca accurata per l’indicizzazione e scansione. Viene fatta eseguendo una scansione accurata e automatica dell’intero sito Web, mappandolo, decidendo per ogni pagina quali test eseguire e allo stesso tempo avviando test con script che simulano l’attacco di un hacker in ogni singola pagina.

Il crawler Acunetix analizza accuratamente l’intera struttura di un’applicazione Web cercando collegamenti e input, ed ha uno dei migliori punteggi WIVET per la tecnologia e la copertura dei parametri di input.

Al termine della ricerca per indicizzazione o anche mentre la ricerca per indicizzazione è in corso, Acunetix procederà a testare ogni pagina trovata durante la ricerca.

Pensate di poter fare tutto questo manualmente?

Un piccolo sito web di 500 pagine per 500 possibili test potrebbe significare di dover compiere tra 1.000 e 25.000 test unici, ciò richiederebbe tempo, denaro e possibilità di dati falsati dall’errore umano.

 

FIX– è la fase di remediation delle vulnerabilità rilevate, è possibile assegnare la correzione a specifici utenti e monitorarne lo stato di avanzamento.

È possibile generare:

  • Report dettagliati per sviluppatori con collegamenti aggiuntivi che spiegano come correggere la vulnerabilità
  • Report di gestione e per dirigenti che mostrano le tendenze attuali
  • Report di conformità PCI DSS, HIPAA e ISO 27001 su misura

 

PREVENT – assegna automaticamente le vulnerabilità scoperte ai team appropriati utilizzando sistemi di ticketing già presenti. Se è necessaria un’integrazione personalizzata, è possibile utilizzare l’API RESTful.

È anche possibile esportare i risultati della scansione come regole per WAF (Web Application Firewall) tipo Imperva SecureSphere, F5 BIG-IP Application Security Manager e Fortinet FortiWeb.

Ove siano presenti altri tools di security è possibile importare dati da molte applicazioni e formati diversi, tra cui Selenium, Telerik Fiddler, Postman, Burp, Swagger 2.0 e 3.0, WADL, WSDL e altro ancora.

 

Caratteristiche Principali

  • DeepScan – il miglior supporto per HTML5 e JavaScript (Angular, React, Ember, Google Web Toolkit). La tecnologia Deep Scan basata sul motore di scansione Chromium garantisce un elevatissimo livello di accuratezza ed è in grado di comprendere tecnologie, framework e servizi web: SOAP/WSDL/WCF, REST/WADL, XML, JSON, CRUD e anche Ruby on Rails e i framework JAVA più comuni. Ultimo ma sicuramente non meno importante, supporta i più popolari Content Management Systems (CMS), con grande attenzione su WordPress (che rappresenta più di 80 milioni di siti web nel mondo), Joomla e Drupal
  • SmartScan – La tecnologia SmartScan dà la priorità dinamica alle attività di scansione per ottenere risultati significativi il più rapidamente possibile. Uno speciale algoritmo di crawler consente di riconoscere le pagine simili a quelle già analizzate e di portarle in fondo alla “coda” delle attività. In questo modo, le prime pagine che vengono scansionate sono tutte uniche. A seconda del sito analizzato, questo può significare che è possibile ottenere fino all’80% delle vulnerabilità nel primo 20% di tempo della scansione.
  • AcuSensor – analisi IAST tramite abilitazione della scansione in modalità Grey-Box. Controlla il codice sorgente di un’applicazione Web mentre è in esecuzione e mostra:
    • il numero di riga del codice sorgente vulnerabile
    • l’analisi dello stack del codice sorgente vulnerabile
    • query SQL vulnerabili
    • analizzare la configurazione dei server per le vulnerabilità
    • verifica al 100% delle seguenti vulnerability High Severity:

AcuSensor è un componente facoltativo per PHP, Java e ASP.NET installato sul server e che comunica con l’interprete/compilatore.

  • AcuMonitor – è il servizio di rilevazione delle vulnerabilità Out-of-Band. Non richiede installazioni o configurazioni ma una semplice registrazione.
  • Network scanning – il miglior motore di scanner di sicurezza di rete OpenVas integrato con lo scanner web Acunetix v13 per l’individuazione delle porte aperte e dei servizi in esecuzione. Test per oltre 50.000 vulnerabilità di rete note e configurazioni errate o non richieste. Incluso in Acunetix versione Premium.
  • Rilevazione Malware – utilizza database di navigazione sicuri da Google e Yandex per identificare i link dannosi. In ambiente Windows viene utilizzato Windows Defender mentre in ambiente Linux si utilizza ClamAV.
  • Scansione incrementale – la funzione di scansione incrementale è ideale per siti web di grandi dimensioni e applicazioni che tendono a cambiare frequentemente. Dopo la prima scansione completa, è possibile configurare Acunetix per eseguire la scansione solo delle parti del sito o dell’applicazione che sono state modificate dall’ultima scansione. Questa caratteristica può ridurre i tempi di scansione di oltre il 90%.
  • Proof of exploit – aggiunge ulteriori verifiche e conferme alle vulnerabilità rilevate
  • Interfaccia User-friendly – facile, moderna, intuitiva, con possibilità di ordinamenti e filtri personalizzati per fornire sempre le informazioni più appropriate.
  • Altre caratteristiche – integrazione con sistemi come Jira, Jenkins, GitHub, GitLab, TFS, Bugzilla e Mantis.

Tre livelli di confidenza: High, Medium e Low per un’immediata identificazione e gestione delle vulnerabilità. Supporto di script Selenium e altro ancora.

Acunetix è disponibile in 3 versioni:

  • Standard
  • Premium
  • 360° (Cloud)

Si consiglia la versione Standard per piccole aziende, la Premium per Medium e Enterprise, 360° soluzione Cloud-based.

 

Tabella delle Caratteristiche