Il giusto strumento di gestione remota per le attuali sfide di sicurezza

Il giusto strumento di gestione remota per le attuali sfide di sicurezza

Secondo una ricerca di CSO, un’agenzia di stampa basata su Internet focalizzata sulla sicurezza aziendale, il 61% dei leader IT intervistati è preoccupato per un aumento degli attacchi informatici che prendono di mira i dipendenti remoti. Lo stesso studio ha rilevato che il 26% delle organizzazioni ha registrato un aumento della frequenza, della gravità e della portata degli attacchi informatici da marzo 2020. Per stare al passo con queste minacce, sempre più organizzazioni stanno cercando uno strumento di gestione remota per aumentare sicurezza, visibilità e controllo sul workstation remote, applicazioni aziendali e infrastruttura basata su cloud.

La pandemia di COVID-19, ha costretto le aziende di tutte le dimensioni a ripensare alle proprie operazioni digitali e integrare nuove tecnologie che consentano il lavoro a distanza, supportino flussi di lavoro indipendenti dai dispositivi e migliorino la preparazione alla sicurezza informatica. Sebbene la sicurezza del sistema e dei dati fosse già una delle principali preoccupazioni prima della comparsa della pandemia, l’attuale panorama aziendale è pieno di nuove sfide IT e minacce digitali.

 

Lotta al Cybercrime negli ambienti work-from-home

Una delle maggiori sfide alla sicurezza informatica relative a COVID-19 ha a che fare con il monitoraggio remoto e la valutazione della vulnerabilità. Con così tanti dipendenti che lavorano da casa, gli amministratori IT stanno lottando per mantenere le migliori pratiche e istruire gli utenti sulle minacce alla sicurezza emergenti. Sebbene la gestione dei sistemi IT e del software in sede di solito richieda molto più supporto back-end rispetto alle soluzioni basate su cloud, offre anche una maggiore supervisione a livello di dispositivo. Le aziende che hanno dovuto implementare rapidamente nuove tecnologie di telecomunicazione e condivisione dei dati probabilmente non hanno avuto il tempo di configurare i corretti controlli di sicurezza informatica su misura per la propria infrastruttura, necessari per scongiurare violazioni dei dati, distribuzione di malware e attacchi brute-force.

“Le organizzazioni di tutti i tipi stanno affrontando un aumento delle minacce basate sulla posta elettronica, delle lacune nella sicurezza degli endpoint e di altri problemi a causa del passaggio improvviso a una forza lavoro completamente remota”, ha affermato William Altman, analista senior presso il Global Cyber ​​Center di New York, durante un evento sulla sicurezza informatica virtuale tenutosi nell’aprile 2020, ha riferito Forbes.

Tra le principali preoccupazioni, le aziende devono prestare maggiore attenzione alla sicurezza Wi-Fi domestica, al rischio di truffe di phishing e alle password di dispositivi e/o applicazioni lassiste. In termini di comportamenti specifici dei dispositivi, i partecipanti all’evento virtuale sono stati avvertiti di prestare attenzione a questi segni comuni di una violazione informatica:

  • Vengono visualizzati nuovi programmi che non sono stati installati manualmente
  • Prestazioni del dispositivo lente o incoerenti
  • Strani annunci pop-up
  • Perdita di controllo del mouse o della tastiera

Sebbene questi segnali di avvertimento siano piuttosto semplici da individuare, spetta ai reparti IT adottare misure per mitigare le vulnerabilità della sicurezza informatica e garantire che sulle workstation siano installate le versioni più recenti del software e del sistema operativo. Queste preoccupazioni non sono applicabili solo durante la pandemia, poiché il suddetto sondaggio CSO ha rilevato che il 73% degli intervistati ritiene che la crisi sanitaria cambierà il modo in cui le loro organizzazioni valutano il rischio per i prossimi cinque anni. La necessità di soluzioni lungimiranti non è mai stata così evidente, ma trovare il giusto strumento di gestione remota richiederà tempo, impegno e consenso da parte dei leader dell’organizzazione.

 

Funzionalità essenziali di gestione remota

L’implementazione di nuove soluzioni di sicurezza informatica può sembrare un’ovvia difesa contro questi (e altri) rischi per la sicurezza informatica, ma l’eccessiva saturazione del mercato della sicurezza informatica ha reso difficile selezionare la piattaforma giusta. Ogni azienda ha esigenze operative e vincoli finanziari diversi: la ricerca di una soluzione valida per tutti può finire per fare più danni nel lungo periodo, in quanto può portare a spese inutili, capacità di gestione non corrispondenti e applicazioni in silos. Invece, i leader IT dovrebbero concentrarsi sull’integrazione di funzionalità specifiche che miglioreranno la loro visibilità e controllo sulle workstation remote.

Come rilevato dal Center for Internet Security, le aziende devono garantire che i propri dipendenti remoti adottino misure per proteggere i propri dispositivi personali. Ciò include tenere il passo con le patch delle applicazioni e del sistema operativo, installare software antivirus, configurare firewall e altro ancora. Senza una piattaforma di gestione centralizzata, gli amministratori IT potrebbero avere difficoltà a garantire che gli utenti finali rispettino le migliori pratiche e prendano sul serio le proprie responsabilità in materia di sicurezza informatica. È qui che può aiutare l’applicazione Faronics Deploy.

Con Deploy, gli amministratori IT possono gestire in modo proattivo i dispositivi remoti e inviare aggiornamenti in tempo reale senza la necessità di intervento umano. Questo livello di controllo è essenziale per ridurre i rischi per la sicurezza informatica e garantire che tutti i dispositivi collegati alle reti aziendali siano protetti, autorizzati e monitorati 24 ore su 24. Faronics Deploy, offre alle aziende funzionalità di gestione policy-based per applicazioni e aggiornamenti di Windows, insieme a una suite di funzionalità che possono aiutare a massimizzare la sicurezza a livello di dispositivo e distribuire senza problemi sulle workstation remote. Questo può aiutare a semplificare una serie di attività di gestione IT, come:

  • Applicazione di patch e software, inclusi MS Office, Adobe, Google Chrome e altro
  • Automatizzazione degli aggiornamenti del sistema operativo per macchine Windows e Mac
  • Facilitare nuove distribuzioni di hardware e software
  • Mantenimento dell’utilizzo remoto e monitoraggio delle prestazioni, supportato e analisi in tempo reale

Grazie all’architettura decentralizzata basata su cloud di Faronics Deploy, le organizzazioni possono gestire qualsiasi numero di dispositivi in modo indipendente o in batch. Gli aggiornamenti delle applicazioni e del sistema operativo non riusciti vengono rilevati immediatamente, fornendo una supervisione senza pari basata su una serie di controlli granulari predefiniti. Ad esempio, gli amministratori IT possono utilizzare Deploy per disabilitare o bloccare gli aggiornamenti per applicazioni specifiche, testare nuove versioni prima di inviare patch agli utenti finali e inviare URL personalizzati per installare più facilmente agenti critici.

Per scoprire come Faronics Deploy può supportare le esigenze di gestione remota, contattaci o inizia subito una prova gratuita.

Come trovare e correggere le vulnerabilità da Default Account in InsightVM

Come trovare e correggere le vulnerabilità da Default Account in InsightVM

In questo post del blog, parleremo di un paio di funzionalità meno recenti e meno conosciute che possono ancora fornire un valore straordinario utilizzando InsightVM trattando le Vulnerability Categories, per trovare le categorie e sfruttarle come filtri di asset con i Dynamic Asset Group (DAG), consentendoci di creare un workflow da configurare ed eseguire su nuove installazioni per monitorare e riparare le vulnerabilità dei Default Account. Vedremo anche come utilizzare questo workflow come template per altri workflow simili con diverse Vulnerability Categories.

Vulnerability Categories e dove trovarle in InsightVM
La prima cosa che suggeriamo di mostrare a ogni cliente durante una distribuzione, mentre esploriamo le opzioni nel template di scansione sono le Vulnerability Categories. È possibile visualizzare un elenco di tutte le Vulnerability Categories nella scheda Vulnerability di qualsiasi template di scansione. Mostrerà un elenco di tutte le diverse categorie e, se lo si desidera, è anche possibile approfondire ogni categoria e vedere tutti i controlli di vulnerabilità effettivi che risiedono in ciascuna categoria.

Andare nella Vulnerability Check Tab sullo Scan Template e fare clic su “Add Categories

vulnerabilità Default Account InsightVM

Ora che sappiamo di questo elenco di categorie di vulnerabilità, concentriamoci sulla categoria di vulnerabilità “Default Account“. Questa categoria mostrerà tutti i controlli di vulnerabilità associati alle risorse che sono vulnerabili alle credenziali dell’account predefinito. Un esempio potrebbe essere un sistema che esegue Telnet sulla porta 23 utilizzando il nome utente “admin” e la password “admin“. Questo tipo di vulnerabilità dovrebbe essere la prima cosa da risolvere nel proprio progetto di vulnerability management, poiché possono essere sfruttate con un’esperienza di hacking quasi nulla.

vulnerabilità Default Account InsightVM

Creazione di un Dynamic Asset Group (DAG) in InsightVM
Per sfruttare la categoria di vulnerabilità “Default Account“, la prima cosa da fare, è creare un Dynamic Asset Group o DAG.

Creare un Dynamic Asset Group (DAG)

vulnerabilità Default Account InsightVM

Creare un Dynamic Asset Group con un filtro ‘Vulnerability Category IS Default Account’, fare clic su Search, quindi su Create Asset Group e salvare il DAG con il nome “Devices Authenticated with Default Creds

vulnerabilità Default Account InsightVM

Questo mostrerà tutte le risorse con vulnerabilità del default account. La sfida adesso è, se una risorsa ha 1.000 vulnerabilità, come capire quale vulnerabilità su quella risorsa è la vulnerabilità del default account. Vediamo come superare questa sfida.

Per risolvere questa sfida, è possibile utilizzare una funzione meno nota durante la creazione di un Report denominato “Vulnerability Filters have been applied“. Quindi, definire l’ambito di un Report con il DAG “Devices Authenticated with Default Creds” creato nel passaggio precedente.

 

Report sulle vulnerabilità dell’account predefinito in InsightVM

Creare un report, selezionando il template “Top Remediation reportwith Details“:

Scegliere quindi come Scope, l’Asset Groups creato nel passaggio precedente “Devices Authenticated with Default Credentials“:

Selezionare il Vulnerability Filter per includere la categoria specifica ‘Default Account’:

Salvare ed eseguire il report:

Combinando il DAG “Devices Authenticated with Default Creds” con il filtro in un report (consigliato il report “Top Remediation with Details“), ora è possibile ottenere un report che mostra solo le risorse con vulnerabilità dell’account predefinito e mostra solo le soluzioni per queste vulnerabilità. Questo report consentirà di vedere esattamente quale vulnerabilità del Default Account è presente su ciascuna risorsa e la soluzione per risolvere la vulnerabilità.

Esempio di vulnerabilità e soluzione del Default Account:

Questo workflow è qualcosa da mostrare alla gente, come un modo per iniziare le attività di remediation in modo concreto. Non solo questi tipi di controlli possono essere un’ottima cosa da risolvere appena si avvia il progetto di vulnerability management, ma permettono anche di iniziare a stabilire una credibilità e un rispetto sorprendenti quando si inizia concretamente a fornire evidenze e soluzioni immediate.

Ora che abbiamo spiegato questo fantastico workflow e sappiamo come vedere tutte le possibili categorie di vulnerabilità, possiamo utilizzare lo stesso workflow con qualsiasi categoria di vulnerabilità. Alcune altre categorie di vulnerabilità che consigliamo di utilizzare sono “Obsolete OS”, “Insecure Remote Access”, “Obsolete Software” o qualcosa di più grande come “Adobe”.

Guida all’accesso passwordless di YubiKeys per Microsoft Azure AD

Guida all’accesso passwordless di YubiKeys per Microsoft Azure AD

Nota: questi documenti su FIDO2 passwordless support in Azure AD, attualmente in public preview. Le funzionalità, l’interfaccia utente, ecc. sono soggette a modifiche quando la versione diventerà generally-available.

 

Introduzione

Microsoft ha recentemente introdotto una funzionalità in public preview in Azure Active Directory che consente alle organizzazioni di abilitare le chiavi di sicurezza FIDO2 come fattore di autenticazione passwordless. YubiKeys di Yubico, leader nella strong authentication, ha introdotto FIDO2 nella serie YubiKey 5, supportando l’accesso passwordless di Microsoft. Utilizzando i  Microsoft Passwordless Login flows, le organizzazioni possono realizzare i seguenti vantaggi:

  • Strong Security: protezione migliorata contro attacchi di phishing, man-in-the-middle e password spray.
  • Esperienza utente migliorata: gli utenti finali non devono più gestire password lunghe, complesse e rotanti
  • Costi ridotti: riduci al minimo i ticket di help desk relativi alle password che rappresentano una grande percentuale delle risorse dell’help desk IT.

L’accesso passwordless di Microsoft Azure Active Directory con YubiKeys si applica ai seguenti scenari:

  1. Azure Active Directory web applications
  2. Azure Active Directory joined Windows 10 (Windows 10 1909 e versioni successive)
  3. Hybrid Azure Active Directory joined Windows 10 devices (Windows 10 2004 e versioni successive)

 

Azure AD Passwordless Sign in Deployment Documents

Admin Deployment Guide

Admin Pre Deployment Checklist

Admin Post Deployment Checklist

User Enablement Guide

Questi documenti fungono da guida per le organizzazioni che desiderano configurare e distribuire l’accesso passwordless in Microsoft per Azure AD. Se la tua organizzazione utilizza Microsoft AD (on-premises), leggi il nostro post su come è possibile integrare facilmente le Yubikeys in un dominio Active Directory, oppure contattaci per richiedere un’appronfodimento, le YubiKey sono disponibili sul nostro Shop.

Ulteriori informazioni sulla partnership Microsoft + Yubico sono disponibili qui: https://www.yubico.com/solutions/passwordless 

 

Ottenere ulteriore assistenza

Per ulteriori informazioni e per ottenere aiuto con le tue YubiKey:

 

Link al post originale:

https://support.yubico.com/hc/en-us/articles/360016913619-YubiKeys-for-Microsoft-Azure-AD-Passwordless-Sign-In-Guide

Scansioni autenticate semplici con il Custom Script Editor di Netsparker

Scansioni autenticate semplici con il Custom Script Editor di Netsparker

Le scansioni autenticate hanno sempre rappresentato una sfida per le soluzioni di sicurezza delle applicazioni web automatizzate, ma Netsparker fornisce un editor visivo intuitivo per gli script di autenticazione per aiutare ad ottenere una scansione delle vulnerabilità accurata e dettagliata da ogni sito Web e applicazione nel proprio ambiente. Questo articolo mostra perché si dovrebbe assolutamente conoscere e utilizzare questa funzione.

Le sfide della scansione autenticata
Gli strumenti di Dynamic Application Security Testing (DAST) come Netsparker, chiamati anche black-box vulnerability scanners, funzionano controllando le vulnerabilità in tutte le parti accessibili di un’applicazione web. Per fare ciò, lo scanner deve prima identificare la superficie di attacco dell’applicazione di destinazione visitando ogni collegamento che trova nelle pagine Web ed effettuando richieste a tutti i punti di input nelle risorse Web rilevate. Ciò include gli URL utilizzati per raggiungere queste risorse.

Sebbene la scansione di pagine Web accessibili a tutti gli utenti sia relativamente facile, le pagine Web protette da password hanno sempre rappresentato una sfida per gli scanner di sicurezza a causa della varietà di metodi utilizzati per autorizzare l’accesso alle pagine. Oltre ai moduli di accesso di base, i siti possono utilizzare OAuth, impostare cookie di sessione personalizzati, richiedere Single Sign-On (SSO) e così via. Anche con l’autenticazione form-based, il modulo di accesso può, ad esempio, utilizzare elementi di modulo non standard, richiedere campi aggiuntivi (magari per selezionare un reparto da un elenco a discesa), utilizzare la verifica Captcha o estendersi su più pagine. E se lo scanner non riesce ad accedere, non può testare la pagina per le vulnerabilità.

Si ha davvero bisogno di scansionare siti web che richiedono l’autenticazione?
Può sorgere la domanda, tuttavia, su quanto sia davvero importante eseguire scansioni di sicurezza web autenticate. Ai tempi delle pagine web statiche, tutto ciò che richiedeva l’accesso dell’utente poteva essere considerato intrinsecamente sicuro semplicemente perché non era accessibile pubblicamente. Al giorno d’oggi, abbiamo applicazioni web complesse che richiedono l’autenticazione per accedere alla maggior parte (o a tutte) le loro funzionalità. Le scansioni autenticate possono aggiungere un valore importante alla sicurezza complessiva, rivelando vulnerabilità sfruttabili e altri problemi, come patch mancanti, autorizzazioni di condivisione deboli e configurazioni errate generali. In un certo senso, le scansioni autenticate rivelano il reale stato di sicurezza delle applicazione web.

Ancora più importante, il motivo per aggiungere l’autenticazione in primo luogo è proteggere l’accesso a qualcosa di prezioso, come dati personali, operazioni amministrative o informazioni finanziarie. Lungi dall’essere meno allettanti per i criminali informatici, le risorse protette sono in realtà gli obiettivi principali degli aggressori, quindi è fondamentale configurare lo scanner per eseguire la scansione e testare tutte le pagine Web che gli hacker malintenzionati potrebbero tentare di violare.

Custom Form Authentication facile
Per semplificare l’automazione del processo di autenticazione e garantire la massima copertura della scansione, Netsparker ha aggiornato la sua funzione di script personalizzato. Il nuovo editor di script ha un pannello dell’editor e una vista browser incorporata. E’ possibile utilizzare l’editor per scrivere script in qualsiasi HTML, JavaScript o DOM API supportata dai browser moderni. È inoltre possibile utilizzare funzioni di supporto aggiuntive fornite da Netsparker nello spazio dei nomi netsparker.auth.

Il Custom Script Editor è intuitivo e interattivo. La pagina di autenticazione viene caricata nel browser incorporato ed è possibile fare clic con il pulsante destro del mouse sugli elementi della pagina per inserire il codice CSS corrispondente direttamente nel pannello dell’editor. Successivamente, è possibile modificare il codice secondo necessità.

Scansioni autenticate semplici con il Custom Script Editor di Netsparker

I moduli di autenticazione che si estendono su più pagine sono una sfida comune durante la configurazione degli scanner. Ad esempio, si potrebbe avere una pagina per inserire il nome utente e poi un’altra pagina per fornire la password. L’editor di script lo gestisce facilmente, consentendo di definire pagine separate per abbinare la sequenza di accesso. Nella prima pagina, si direbbe all’editor di script di inserire un nome utente e quindi fare clic sul pulsante di invio. Nella seconda pagina, si indicherà quindi all’editor di inserire una password e fare clic sul pulsante per completare la sequenza di accesso.

Quello che si vede è quello che si scansiona
Il processo convenzionale di verifica dell’autenticazione consiste nell’immettere le credenziali e quindi monitorare i risultati della scansione o anche singole richieste e risposte HTTP per individuare errori o omissioni. Avere un’interfaccia visiva pratica per lo scripting personalizzato rende il lavoro più facile, veloce e preciso. Con un feedback immediato nel browser incorporato, è possibile perfezionare e testare gli script di autenticazione in pochi minuti e assicurarsi che le sequenze di accesso e disconnessione funzionino come previsto.

Il generatore di codice CSS automatico è anche un enorme risparmio di tempo rispetto all’ispezione manuale del codice della pagina per estrarre i selettori giusti. Ciò è particolarmente importante per le pagine che utilizzano elementi del modulo non standard o visualizzano il modulo di accesso in un popup. Lavorando con gli elementi effettivi della pagina nel browser incorporato, è possibile vedere in tempo reale se lo script funziona e cosa vedrà Netsparker durante la scansione autenticata.

Nessuna pagina va dimenticata
Una buona copertura della scansione è fondamentale per ottenere reali vantaggi in termini di sicurezza da una soluzione DAST. Dopotutto, se uno scanner di vulnerabilità salta alcune pagine in un’applicazione web perché non è in grado di autenticarsi, si ottengono solo informazioni limitate sullo stato di sicurezza corrente e qualcuno dovrà testare queste pagine manualmente. In qualità di leader del settore, Netsparker mira a massimizzare la copertura dei test di vulnerabilità con scansione e autenticazione avanzate su tutti i tipi di siti Web e applicazioni moderni.

Il custom authentication script editor rende molto più semplice e veloce garantire che Netsparker esegua il crawl e la scansione di ogni parte dell’applicazione web di destinazione. In combinazione con la sua tecnologia di rilevamento delle vulnerabilità estremamente accurata con Proof-Based Scanning™, questo offre un quadro fedele di tutti i problemi che è necessario risolvere per proteggere i siti Web e le applicazioni dai criminali informatici.

Per ulteriori informazioni e domande frequenti relative al modulo di autenticazione in Netsparker, vedere la pagina di supporto sullo script di autenticazione personalizzato.

 

 

ReaQta e DotForce firmano un accordo di distribuzione per le soluzioni EDR, NGAV+ e MDR

ReaQta e DotForce firmano un accordo di distribuzione per le soluzioni EDR, NGAV+ e MDR

Le soluzioni di ReaQta per Endpoint Detection and Response (EDR) arricchiscono il portafoglio del distributore di soluzioni di Next Generation Cybersecurity ReaQta-Hive e ReaQta-EON rafforzano la posizione di sicurezza delle imprese globali, dei governi e persino delle PMI locali contro le minacce alla sicurezza informatica nascoste, avanzate e sconosciute.

Amsterdam, Paesi Bassi, 9 dicembre 2020 – ReaQta, piattaforma leader di threat response basata su intelligenza artificiale (A.I.), con servizi di triaging completi, ha nominato DotForce come distributore per l’Italia. Questa partnership introdurrà una soluzione EDR avanzata (endpoint detection and response), prima nel suo genere, al settore della sicurezza informatica, considerando i crescenti attacchi informatici, sia in termini di numero che di sofisticazione.

“I prodotti di sicurezza tradizionali non sono in grado di soddisfare le esigenze dei clienti consapevoli del rischio informatico, specialmente nell’attuale panorama delle minacce in rapida evoluzione”, ha affermato Alberto Pelliccione, CEO di ReaQta. “C’è un urgente bisogno di una soluzione EDR avanzata, come ReaQta-Hive, che offra visibilità completa, rilevamento, protezione con funzionalità di remediation e tuttavia rimanga incredibilmente facile da usare. Con la loro consolidata reputazione nella regione come distributore di tecnologie innovative per la sicurezza informatica, siamo lieti di collaborare con DotForce per offrire una piattaforma di sicurezza altamente efficace e completa che verrà fornita attraverso il loro canale altamente qualificato, realizzato da rivenditori di prim’ordine, systems integrator e MSP.”

“Nella nostra missione di portare tecnologie e approcci innovativi al mercato, DotForce collabora con fornitori leader come ReaQta per introdurre tecnologie all’avanguardia che impediscono alle minacce alla sicurezza, come ransomware e attacchi fileless, di compromettere la continuità aziendale”, ha commentato Fabrizio Bressani, CEO presso DotForce Italia.“Considerando l’ambiente aziendale dinamico di oggi, crediamo che ReaQta possa offrire soluzioni di sicurezza informatica su misura sia per le aziende che richiedono un servizio di monitoraggio 24 ore su 24, 7 giorni su 7, sia per le PMI locali che necessitano di una protezione di base ma completa. Stiamo invitando rivenditori, system integrator e MSP a includere la soluzione Reaqta nel loro portafoglio di offerte, per sfruttare una solida opportunità di mercato per gli anni a venire “.

ReaQta-Hive è alimentato da due motori di intelligenza artificiale che apprendono in modo intelligente la rete individuale di un cliente, è in grado di rilevare anomalie di comportamento sia dell’endpoint che della rete e rimedia automaticamente anche le minacce più avanzate o sconosciute, riducendo i tempi di risposta a pochi minuti, non mesi.

ReaQta-Hive protegge endpoint, server e dispositivi mobili con un’ampia gamma di comandi pronti all’uso per la caccia alle minacce tra gli endpoint. Minacce immediate come trojan, ransomware, RATS, nonché movimenti laterali e attacchi supply-chain vengono rilevati e segnalati in tempo reale, con la funzione di remote kill. Un NanoOS™ unico offre agli analisti un livello di dettaglio senza precedenti e, allo stesso tempo, una barriera estremamente difficile da superare per gli aggressori. Due diversi set di motori applicano l’apprendimento automatico all’avanguardia ai comportamenti delle applicazioni, avvisando automaticamente delle minacce attive o emergenti senza la necessità di una conoscenza preliminare degli attacchi. Questo approccio senza firma, combinato con un’analisi comportamentale basata sull’intelligenza artificiale, garantisce che le minacce vengano rilevate indipendentemente dalle loro tecniche di consegna e dai tipi di carico utile.

ReaQta-EON, un Next-Generation Antivirus (NGAV+) basato su cloud, combina tecniche di difesa tradizionali e moderne con le più recenti strategie di AI/ML per fermare gli aggressori in tempo reale. Questo sistema ti protegge da minacce note e sconosciute, riducendo così la necessità di costosi sforzi di risposta e ripristino.

ReaQta-EON è stato progettato con le più recenti tecnologie innovative nell’intelligenza artificiale e nell’apprendimento automatico per fornire la sicurezza chiave ed essenziale di cui ogni organizzazione ha bisogno per combattere le minacce moderne.

 

A proposito di ReaQta

ReaQta è la piattaforma di sicurezza degli endpoint AI di alto livello in Europa, costruita da un gruppo d’élite di esperti di sicurezza informatica e ricercatori di AI/ML con una vasta esperienza nelle operazioni di intelligence governativa. Incentrato sulla creazione della migliore esperienza utente per la sicurezza degli endpoint, ReaQta è la piattaforma più elegante, potente e facile da usare che consente alle organizzazioni di eliminare le minacce più avanzate nel modo più veloce possibile.

In qualità di esperti in intelligenza artificiale e analisi comportamentale, i motori proprietari di doppia intelligenza artificiale di ReaQta forniscono alle organizzazioni di tutti i settori una sicurezza degli endpoint completa e completamente personalizzata, meno tutta la complessità. I team di sicurezza ora possono fare di più, con meno.

Per saperne di più contattaci per approfondimenti o per una demo gratuita.

Metasploit, come utilizzare questo strumento di pentesting

Metasploit, come utilizzare questo strumento di pentesting

Metasploit è uno strumento di pentesting ampiamente utilizzato dagli addetti ai lavori, che rende l’hacking molto più semplice di prima, diventato uno strumento indispensabile sia per il Red che per il Blue Team, posizionandosi come strumento essenziale da utilizzare per molti attaccanti e difensori.

Ai vecchi tempi, il pentesting comportava un sacco di lavoro ripetitivo che Metasploit ora automatizza. Information gathering? Ottenere l’accesso? Mantenere la persistenza? Evadere il rilevamento? Metasploit è un ottimo strumento, e chi lavora nella sicurezza informatica, probabilmente lo ha già utilizzato.

Metasploit, come utilizzare questo strumento di pentesting

Storia di Metasploit

H.D. Moore ha iniziato a lavorare su Metasploit rilasciando la versione 1.0, scritta in Perl, nel 2003. Il progetto è cresciuto notevolmente da allora, dagli 11 exploit originali con il progetto agli attuali 1.500, più circa 500 payload, con un passaggio a Ruby lungo la strada.

La società di sicurezza Rapid7 ha acquisito sia Metasploit che Moore nel 2009 (Moore ha lasciato il progetto nel 2016). Metasploit da allora è diventato il framework de facto per lo sviluppo degli exploit, nonostante la concorrenza di Canvas e Core Impact. Oggi è comune che i report zero day includano un modulo Metasploit come prova di concetto.

 

Come usare Metasploit

Durante la fase di raccolta delle informazioni (Information gathering) di un pentest, Metasploit si integra perfettamente con Nmap, la scansione SNMP e l’enumerazione delle patch di Windows, tra gli altri. C’è persino un ponte per Nessus, lo scanner di vulnerabilità di Tenable. Praticamente ogni strumento di ricognizione a cui si può pensare, si integra con Metasploit, rendendo possibile trovare la fessura nell’armatura che stai cercando.

Una volta identificato un punto debole, basterà cercare nell’ampio database di Metasploit l’exploit che aprirà quella fessura e permetterà di entrare. Ad esempio, l’exploit EternalBlue dell’NSA, rilasciato da Shadow Brokers nel 2017, è stato confezionato per Metasploit ed è un punto di riferimento affidabile quando si ha a che fare con sistemi Windows legacy privi di patch.

Metasploit abbina l’exploit a un payload utile e adatto al compito da svolgere. Poiché ciò che la maggior parte delle persone desidera è una shell, un payload adatto quando si attaccano i sistemi Windows è il sempre popolare Meterpreter, una shell interattiva in-memory-only. Le scatole Linux ottengono il proprio codice shell, a seconda dell’exploit utilizzato.

Una volta su una macchina di destinazione, il quiver di Metasploit contiene una suite completa di strumenti di post-exploitation, tra cui privilege escalation, pass the hash, packet sniffing, screen capure, keylogger e gli strumenti di pivot. È anche possibile impostare una backdoor persistente nel caso in cui la macchina in questione venga riavviata.

Ogni anno vengono aggiunte sempre più funzionalità a Metasploit, tra cui un fuzzer per identificare potenziali falle di sicurezza nei file binari, nonché un lungo elenco di moduli ausiliari troppo lungo per essere elencato qui.

Questa è solo una visione di alto livello di ciò che può fare Metasploit. Il framework è modulare e facilmente estensibile e gode di una comunità attiva. Se non fa esattamente quello che si vuole che faccia, è possibile quasi certamente modificarlo e adattarlo.

 

Come imparare a usare Metasploit

Sono disponibili molte risorse gratuite ed economiche per imparare Metasploit. Il miglior punto di partenza per molti è probabilmente il download e l’installazione di Kali Linux, insieme a una macchina virtuale vulnerabile (VM) per la pratica. NB Non apprendere l’utilizzo di Metasploit usandolo verso reti o infrastrutture di altre persone senza il loro permesso, è illegale.

Offensive Security, le persone che mantengono Kali e gestiscono la certificazione OSCP, offrono anche Metasploit Unleashed, un corso di formazione gratuito che in cambio chiede solo una donazione ai bambini affamati in Africa. Il libro No Starch Metasploit è anche una risorsa indispensabile che, come tutti i libri No Starch Press, viene fornito con un ebook privo di DRM.

Il progetto Metasploit offre una documentazione dettagliata e il suo canale YouTube è un’altra buona risorsa per i principianti del penetration tester.

 

Come ottenere Metasploit Framework

Metasploit Framework è la versione base, fornita come parte di Kali Linux (licenza BSD), offrendo solo un’interfaccia a riga di comando, oppure scaricabile gratuitamente e liberamente dal sito web di Metasploit, funziona su *nix e sistemi Windows. Il codice sorgente di Metasploit Framework è disponibile su GitHub.

Oltre al Metasploit Framework, Rapid7 produce anche Metasploit Pro, con i componenti aggiuntivi non gratuiti per pentesters che preferiscono una GUI o comodi wizards per eseguire audit di base o campagne di phishing per i propri clienti come servizio, oltre ad alcune altre interessanti funzionalità.

Rapid7 offre un confronto delle funzionalità sul suo sito web, e per chi fosse interessato ad acquistare la versione Metasploit Pro, con licenza per postazione, può farlo direttamente dal nostro Shop o contattandoci.

Cosa offre una TIP?

Cosa offre una TIP?

I criminali informatici stanno facendo gli straordinari. Le organizzazioni di sicurezza devono stare al passo con le minacce, comprendere le vulnerabilità delle aziende e porre rimedio rapidamente alle minacce. Tuttavia, spesso è necessario troppo tempo per esaminare tutti i feed dalle minacce esterne e i sistemi di sicurezza interni. L’attività manuale di setacciare tutti questi incidenti di minaccia richiede lunghe ore e spesso porta a falsi positivi e falsi negativi, fattori che portano a travolgere i team di sicurezza. E se fosse possibile prendere le attività più laboriose e automatizzarle? Una Threat Intelligence Platform (TIP) come DomainTools, offre ai team di sicurezza l’automazione di cui hanno bisogno.

Le tre funzioni chiave delle prestazioni di un TIP sono:

  • Processare
  • Deduplicare
  • Correlare 

Utilizzando queste funzioni chiave, una TIP aggrega le informazioni provenienti da varie fonti, le analizza, le elabora e quindi le presenta ai team per ulteriori analisi, fornendo informazioni utili sulle minacce. Poiché una TIP fornisce sia il contesto che i dati delle minacce analizzate, offre ai team la capacità di prevenire e prendersi cura delle minacce in modo più rapido ed efficace.

 

Processare. Deduplicare. Correlare.

Una TIP, abilita i programmi di intelligence sulle minacce, raccogliendo tutte le informazioni sulle minacce in una posizione centralizzata, consentendo all’analista di prendere tali informazioni, elaborarle e renderle utilizzabili per le organizzazioni. Questo crea un “unico pannello di vetro” per l’intelligence sulle minacce.

La maggior parte delle organizzazioni ha un piccolo team, o anche una singola persona, che raccoglie i dati sulle minacce e li elabora. Quanto sarebbe più efficiente lo stesso team di sicurezza se avesse un intero esercito di analisti che setacciano i dati sulle minacce? Probabilmente si hanno diverse fonti di intelligence e ognuna parla la propria lingua per quanto riguarda il punteggio di rischio, che tipo di minaccia è, quanto è attiva, etc. e, con così tanti diversi flussi di informazioni, è inevitabile che ci siano minacce ridondanti. Una persona può dedicare una quantità significativa di tempo a setacciare queste minacce, rimuovere ridondanze, valutare i rischi e analizzare informazioni. Una TIP, tuttavia:

  • Raccogliere dati da più feed (interni ed esterni)
  • Elaborare i dati: Rimuovere le informazioni irrilevanti o ridondanti, ordinarle e confrontarle con informazioni selezionate per trovare modelli e correlazioni
  • Aggiungere contesto ai dati ordinati: elimina i falsi positivi, aggiunge dati addizionali (network, indirizzo IP, blocklist)
  • Integrazione con gli strumenti di sicurezza esistenti per massimizzare le informazioni, inviando i dati sulle minacce analizzate al personale/reparto appropriato

La piattaforma analizzerà anche le minacce comuni nella settore di riferimento della propria organizzazione, consentendo di inserire misure di sicurezza per bloccare le attività dannose prima che si verifichino. La TIP fa sì che la sicurezza passi da uno spazio reattivo a uno spazio proattivo.

Nella comunità della sicurezza informatica, l’analisi e la condivisione delle informazioni sulle minacce sono inestimabili. Con una TIP, è possibile generare una personale intelligence sulle minacce e condividerla con la comunità della sicurezza. Non è necessario configurare qualcosa nella propria infrastruttura, poiché una TIP è costruita per assistere nella diffusione delle informazioni, aiutando le organizzazioni a fornire assistenza nella prevenzione proattiva di violazioni ed esposizioni.

Si tratta di raccogliere dati e trasformarli in intelligenza operativa!

 

Ecco un consiglio

Una TIP fornisce informazioni dettagliate, consentendo di risparmiare denaro e offrendo una visione proattiva del panorama delle minacce. I criminali informatici potrebbero fare gli straordinari, ma i team non dovrebbero farlo. Restare al passo con le minacce, conoscere le vulnerabilità comuni e gestire efficacemente le minacce con l’assistenza di una piattaforma di intelligence sulle minacce.

Per ulteriori informazioni sull’intelligence delle minacce:

Gartner nomina OneLogin Leader nel 2020 Magic Quadrant for Access Management

Gartner nomina OneLogin Leader nel 2020 Magic Quadrant for Access Management

OneLogin ha annunciato oggi 23 Novembre, di aver ricevuto la nomina da Gartner come Leader nel Magic Quadrant del 2020 per la categoria Access Management. Questo è un risultato incredibilmente eccitante è la prima volta che OneLogin viene nominata Leader nel Quadrante.

Prima di entrare nei dettagli, OneLogin vuole cogliere l’occasione per ringraziare tutti i clienti per la loro fiducia, supporto e prezioso feedback. Senza di essi, non sarebbero stati in grado di spingersi per essere riconosciuti come Leader nell’Access Management.

 

Cosa significa essere nominato leader nel Magic Quadrant di Gartner?

Pubblicato dalla principale società di analisi, Gartner, Il Magic Quadrant è una metodologia di ricerca per valutare le posizioni di diversi fornitori in un dato mercato. Il Magic Quadrant valuta i fornitori attraverso due vettori chiave: “Completezza della visione” e “Capacità di esecuzione”.

In OneLogin ritengono che essere nominati Leader sottolinei la loro capacità di fornire un’offerta matura che soddisfa e supera le richieste del mercato. Ritengono inoltre che i leader dimostrino sia la visione necessaria per continuare a innovare e influenzare il mercato, sia la capacità di realizzare tale visione. Secondo Gartner, “I leader si comportano bene rispetto alla loro visione attuale e sono ben posizionati per domani”.

Ritengono che Gartner abbia valutato i seguenti elementi della piattaforma OneLogin:

  • Funzionalità di prodotto robuste che si estendono su tutta la forza lavoro e la Customer Identity and Access Management (IAM)
  • Set di funzionalità avanzate, come la AI-powered SmartFactor AuthenticationTM e Vigilance AITM
  • Elevati punteggi di soddisfazione del cliente
  • Prezzi competitivi, offerte in bundle e opzioni flessibili a la carte
  • Espansione delle API
  • Crescita aziendale

 

2020 e la strada verso il 2021

In qualità di organizzazione incentrata sul cliente, OneLogin si impegna a mettere sempre i clienti in prima linea in tutto ciò che fanno e in qualsiasi decisione che prendono. Avere il supporto e la difesa continua dei clienti è ciò che credono abbia permesso loro di sportare alle stelle la loro posizione nel Magic Quadrant di quest’anno. Quindi un enorme “grazie” a tutti i clienti, per aver giocato un ruolo fondamentale nel loro successo.

Quest’anno hanno potuto, tra le altre cose:

Il 2021 è dietro l’angolo. Ne hanno passate molte insieme, con i colleghi, partner e clienti. Sanno di poter fare insieme, cose incredibili di fronte a sfide incredibili. Non vedono l’ora di portare ancora di più sulla loro piattaforma il prossimo anno e continueranno ad essere un vendor esperto nello spazio IAM.

 

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Acunetix nominato October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing

Acunetix nominato October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing

Il team di Acunetix è lieto di annunciare che sono stati premiati come October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing. Il team di Acunetix è orgoglioso di questo riconoscimento, poiché il feedback dei clienti continua a plasmare i loro prodotti e servizi.

Nel suo annuncio, Gartner spiega: “The Gartner Peer Insights Customers ‘Choice è un riconoscimento dei fornitori in questo mercato, da parte di professionisti degli utenti finali verificati, tenendo conto sia del numero di recensioni sia delle valutazioni degli utenti complessive”. Per garantire un’equa valutazione, Gartner mantiene criteri rigorosi per il riconoscimento dei fornitori con un alto tasso di soddisfazione del cliente.

Ecco alcuni estratti dei clienti che hanno contribuito alla nomina:

  • “La parte migliore di Acunetix è che non è necessario avere una conoscenza approfondita del prodotto. Può adattarsi facilmente a diversi ambienti “. – Software Engineer, Services Industry (leggi la recensione completa)
  • “Questo è un ottimo punto di vista che offre una buona dose di successo per il vostro acquisto e sicuramente terrà conto di altri aspetti di una grande varietà di situazioni.” – Business System Analyst, Communications Industry (leggi la recensione completa)
  • “Nel complesso è uno strumento davvero valido, che mantiene ciò che viene promesso e semplifica la vita ai pentester e ai professionisti SDLC”. – Security Officer, Media Industry (leggi la recensione completa)

Leggi altre recensioni per Acunetix qui.

Tutti in Acunetix sono profondamente orgogliosi di essere stati premiati come October 2020 Customers’ Choice for Application Security Testing. Per ulteriori informazioni su questa distinzione o per leggere le recensioni scritte sui nostri prodotti dai professionisti IT che li utilizzano, è possibile visualizzare il Customers’ Choice Report completo.

A tutti i clienti che hanno inviato recensioni, grazie! Queste recensioni aiutano a plasmare i prodotti e il percorso Acunetix, dove non vedono l’ora di costruire sulla base delle esperienze che hanno permesso loro di guadagnare questo riconoscimento!

 

The GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE badge is a trademark and service mark of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved. Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

Netsparker nominato October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing

Netsparker nominato October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing

Il team di Netsparker è lieto di annunciare che sono stati premiati come October 2020 Gartner Peer Insights Customers’ Choice for Application Security Testing. Il team di Netsparker è molto orgoglioso di questo riconoscimento, poiché il feedback dei clienti continua a plasmare i loro prodotti e servizi.

Nel suo annuncio, Gartner spiega: “The Gartner Peer Insights Customers ‘Choice è un riconoscimento dei fornitori in questo mercato, da parte di professionisti degli utenti finali verificati, tenendo conto sia del numero di recensioni sia delle valutazioni degli utenti complessive”. Per garantire un’equa valutazione, Gartner mantiene criteri rigorosi per il riconoscimento dei fornitori con un alto tasso di soddisfazione del cliente.

Di seguito sono riportati alcuni estratti dei clienti Netsparker che hanno contribuito alla distinzione:

  • “Miglior strumento di scansione di siti Web per problemi di sicurezza” – Software Test Engineer, services industry (leggi la recensione completa)
  • “Fantastico strumento DAST per applicazioni web aziendali” – Head Of Application Security, services industry (leggi la recensione completa)
  • “Un ottimo strumento online che consente di dedicare più tempo alla valutazione che alla distribuzione e alla manutenzione. Ha grandi capacità di integrazione “– IT Supporto, transportation industry (leggi la recensione completa)

Leggi altre recensioni per Netsparker qui.

Tutti in Netsparker sono profondamente orgogliosi di essere stati premiati come October 2020 Customers’ Choice for Application Security Testing. Per saperne di più su questa distinzione e leggere le recensioni scritte sui nostri prodotti dai professionisti IT che li utilizzano, puoi leggere il Customers’ Choice report completo.

A tutti i clienti che hanno inviato recensioni, grazie! Queste recensioni aiutano a plasmare i prodotti e il percorso Netsparker, dove non vedono l’ora di costruire sulla base delle esperienze che hanno permesso loro di guadagnare questo riconoscimento!

Se hai una storia di Netsparker da condividere, ti invitiamo a unirti al gruppo di Gartner Peer Insights e valutare.

 

The GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE badge is a trademark and service mark of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved. Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

Come rilevare un SSH reverse tunnel

Come rilevare un SSH reverse tunnel

Oggi parleremo del nuovo algoritmo di Flow Analytics di Plixer, Reverse SSH Shell, che è stato incluso nell’ultimo aggiornamento di Plixer Scrutinizer. L’algoritmo Reverse SSH Shell identifica i possibili SSH reverse tunnel verso destinazioni esterne.

Un SSH reverse tunnel consente a un’entità esterna di accedere a risorse interne protette tramite l’uso di una connessione SSH in uscita stabilita. L’SSH reverse tunnel è in ascolto su una porta di rete su un computer locale. Se rileva una richiesta SSH su quella porta, ritrasmette la richiesta di connessione a sé stesso, in fondo alla connessione stabilita. Ciò fornisce una nuova connessione dal computer locale al computer remoto.

Se si ha difficoltà a configurare l’istanza nel proprio laboratorio o ambiente di produzione, potrebbe essere meglio provarlo all’interno di una rete semplice prima di diventare hardcore e verificarlo in reti più complesse che includono la traduzione dell’indirizzo di rete o IPsec site-to-site VPN. Questo ti aiuterà a capire un meccanismo di “connessione” Reverse SSH Shell.

Come testare l’algoritmo Reverse SSH Shell

Nell’esempio, ci sono due diverse reti ipotetiche collegate tra loro tramite un tunnel VPN IPsec.

Verrà stabilita una reverse SSH Shell tra ClientHost e Devil. Si trovano in reti diverse e possono eseguire il ping a vicenda tramite il tunnel VPN, che verrà disattivato dopo aver stabilito la connessione iniziale.

Prima di andare avanti, è necessario andare su vai su Scrutinizer > Admin> Settings> Reverse SSH Shell, quindi verificare che entrambi i dispositivi L3 siano stati aggiunti nelle exporters list.

  1. SSH dalla destinazione alla sorgente utilizzando un indirizzo IP pubblico utilizzando il comando seguente:

ssh –R 19999:localhost:22 sourceuser@18.210.158.60

Nota: la porta 19999 può essere qualsiasi porta inutilizzata.

  1. Ora è possibile fare SSH dall’origine alla destinazione attraverso il tunneling SSH:

ssh localhost –p 19999

Nota: la connessione tra destinazione e origine deve essere sempre attiva.

Ora come possiamo vederlo e come Scrutinizer può aiutarci con un modo per definire questa violazione?

Nello screenshot sopra “10.30.1.118” è apparso sotto l’elenco dei trasgressori, quindi diamo un’occhiata più da vicino facendo clic su Reverse SSH Shell policy, che farà apparire la sua policy di allarme:

L’immagine sopra mostra quando si è verificata ciascuna di queste violazioni e ciascuna violazione ha il proprio livello di gravità. Più in basso, possiamo ottenere un rapporto relativo alla connessione tra il trasgressore e una vittima:

Qui possiamo vedere la conversazione avvenuta tra i due indirizzi IP. Con l’aiuto di Plixer Scrutinizer, siamo stati in grado di identificare un tentativo di minaccia osservando il traffico avvenuto tra i due host. Se ci sono domande sull’identificazione di SSH reverse tunnel nella tua rete, fatecelo sapere.

Credential Stuffing vs Password Spraying

Credential Stuffing vs Password Spraying

Due metodi comuni utilizzati dai criminali per compromettere le credenziali degli utenti e facilitare l’account takeover (furto di account) sono il credential stuffing e il password spraying. I due termini a volte sono usati in modo intercambiabile, quindi esaminiamo le differenze.

Il credential stuffing è un tipo di attacco brute-force (forza bruta) che si basa su strumenti automatizzati per testare grandi volumi di nomi utente e password rubati su più siti finché uno non funziona. Il credential stuffing fa leva su due cose:

  1. Molte organizzazioni consentono ancora a clienti e dipendenti di utilizzare accessi solo tramite password (senza MFA).
  2. Gli utenti sono così sopraffatti dal numero di credenziali che devono utilizzare (in media fino a 200) che ricorrono al riutilizzo delle password su più account.

 

 

Il credential stuffing è molto popolare tra gli exploiters meno esperti, poiché in genere hanno poca esperienza tecnica e si affidano a strumenti di verifica account facilmente scaricabili, in grado di testare elenchi di credenziali di grandi dimensioni su vari portali di accesso per violare servizi online, sistemi e reti.

Al contrario, il password spraying è un attacco che tenta di accedere a un gran numero di siti utilizzando identificatori di account noti (usernames) con alcune password di uso comune.

A prima vista, si potrebbe mettere in dubbio l’efficacia del password spraying, basta pensare ai molti sistemi che si basano sul blocco degli account dopo N tentativi di accesso falliti, ma in realtà non impediscono di provare tutti gli account conosciuti con una singola password, che può effettivamente avere più successo, dato il numero maggiore di account coinvolti.

 

In sintesi, sebbene entrambi i metodi possano essere estremamente efficaci quando si tratta di acquisizione dell’account, la differenza fondamentale tra i due è se la password è nota per essere associata all’account o meno. Entrambi i metodi, tuttavia, possono fornire ai malintenzionati un accesso illegittimo agli account degli utenti, portando a costose frodi e danni alle aziende e relativi brand.

Molti responsabili della sicurezza dicono che il loro più grande punto cieco, è sapere se i dipendenti stanno utilizzando password personali compromesse su account di lavoro, questo è qualcosa per cui SpyCloud ha lavorato duramente per risolverlo. SpyCloud Active Directory Guardian consente di controllare gli account di AD per qualsiasi password che sia mai apparsa nel database delle violazioni di SpyCloud, composto da miliardi di password esposte e di rilevare quando i dipendenti selezionano le password che i criminali stanno attivamente utilizzando negli attacchi di credential stuffing e password spray. Non solo è possibile verificare le corrispondenze esatte delle credenziali dell’utente, ma anche variazioni fuzzy (sfocate) di tali corrispondenze, allineamento con le linee guida per le password del NIST e altro ancora. La parte migliore è che si può rimediare alle credenziali violate senza alcun effort amministrativo.

Controlla l’esposizione del tuo account personale e contattaci per una demo di SpyCloud Active Directory Guardian

Autenticazione avanzata nei servizi finanziari con Yubico

Autenticazione avanzata nei servizi finanziari con Yubico

Il settore dei servizi finanziari è uno degli obiettivi di maggior valore per i criminali informatici a causa della sua enorme riserva di informazioni finanziarie e di identificazione personale (PII) e del potenziale per rapidi guadagni attraverso trasferimenti di denaro fraudolenti.

Poiché le password vengono facilmente violate, le organizzazioni di servizi finanziari non possono più fare affidamento su nome utente e password per l’autenticazione dei dipendenti su sistemi e applicazioni. È necessaria un’autenticazione più forte sotto forma di autenticazione a due fattori (2FA) o autenticazione a più fattori (MFA) per bloccare le acquisizioni di account e per aiutare a eliminare le frodi guidate da attacchi informatici.

I nomi utente e le password creano rischi per la sicurezza: Le password erano la forma di autenticazione più comunemente usata oggi, ma erano anche l’anello più debole nella sicurezza aziendale in quanto suscettibili a una serie di vettori di attacco: phishing e social engineering, password spray, brute force, credential stuffing, key logging, ecc. Le organizzazioni di servizi finanziari che si affidano alle password espongono una superficie di minaccia ampia e facile da sfruttare.

L’affaticamento delle password porta a violazioni dei dati: Gli utenti si stancano di creare nuove password per diversi servizi e cambiarle ogni pochi mesi. Molti utenti finiscono per fare affidamento su password semplici che sono facili da decifrare o riutilizzare le password su account personali e professionali, dove la violazione di un account si traduce in violazione di un altro. Lo State of Password and Authentication Security Behaviors Report 2020 ha rilevato che le persone riutilizzano le password su una media di 16 account sul posto di lavoro e gli intervistati sulla sicurezza IT riutilizzano le password su una media di 12 account sul posto di lavoro.

Gli attacchi di phishing mirano al furto di credenziali: Il phishing continua a rappresentare un enorme problema di sicurezza poiché le tecniche di attacco continuano a evolversi. Il Verizon Data Breach Investigations Report del 2019 afferma che il 32% delle violazioni riguardava il phishing e l’e-mail era il metodo di phishing di consegna principale, 96,8%, nel settore finanziario. I criminali informatici inviano messaggi di posta elettronica falsi che invitano gli utenti a reinserire le credenziali che vengono poi raccolte per l’acquisizione di account. Molti attacchi di phishing portano anche all’installazione di malware, per aiutare a perpetrare una violazione. Anche se gli utenti impostano password complesse, gli hacker possono facilmente accedervi tramite attacchi di phishing.

Non tutti gli MFA sono uguali: Esistono molti strumenti e tecniche di autenticazione avanzata per aumentare o sostituire le password. Sebbene la sostituzione delle password (passwordless) dovrebbe essere l’obiettivo finale di tutte le organizzazioni, quelle di servizi finanziari possono iniziare rafforzando la sicurezza dell’autenticazione con 2FA o MFA. Sebbene MFA sotto forma di domande di sicurezza, codici SMS e OTP siano prevalenti, questi metodi offrono poca o nessuna protezione contro furti di account, phishing, malware e attacchi man-in-the-middle. La richiesta di autenticazione basata su dispositivo mobile può anche rendere le aziende responsabili dei costi relativi alla mobilità dei dipendenti. Le chiavi di sicurezza hardware come YubiKey offrono un’alternativa moderna, sicura ed economica per proteggere gli account digitali da phishing e furti di account. È stato dimostrato che YubiKeys offre i massimi livelli di sicurezza contro le acquisizioni di account nella ricerca indipendente, prevenendo attacchi mirati, e molti dei più grandi istituti finanziari del mondo utilizzano YubiKeys per proteggere le loro informazioni, account e applicazioni più importanti.

Tassi di prevenzione delle acquisizioni di account

Vantaggi di YubiKey per MFA

Le YubiKeys possono essere utilizzate per l’autenticazione a fattore singolo, 2FA o MFA a seconda dei requisiti dell’organizzazione. Come unico fattore (passwordless), le YubiKeys possono essere utilizzate come un primo fattore di autenticazione forte, richiedendo solo il possesso della chiave e consentendo un’esperienza TAP&GO senza password. Per l’autenticazione del secondo fattore (2FA), le YubiKey vengono utilizzate come secondo fattore oltre a una combinazione di nome utente e password, le organizzazioni possono utilizzare YubiKeys per MFA che richiedono il possesso della chiave e un PIN o biometrico.

 

YubiKeys offre diversi vantaggi come soluzione MFA

Forte sicurezza: L’architettura aperta di YubiKey e l’ampio set di protocolli (OTP, FIDO U2F, FIDO2, PIV) consentono una rapida integrazione con i sistemi nuovi ed esistenti, supportando oltre 1.000 app out-of-the-box. Sfruttando questi moderni protocolli di autenticazione, YubiKey fornisce un’autenticazione a più fattori molto forte. Inoltre, YubiKey memorizza le credenziali di un utente in modo sicuro sull’hardware, assicurando che non possa essere esfiltrato.

Facilità di utilizzo: Le YubiKeys offrono un’esperienza utente senza intoppi. Gli utenti accedono con un solo tocco, che è 4 volte più veloce della ricezione e della digitazione di un codice consegnato tramite SMS, quindi viene sprecato meno tempo per l’accesso ai sistemi. Google ha condotto uno studio approfondito e ha scoperto che l’utilizzo di YubiKeys ha ridotto il tempo di accesso di quasi il 50% rispetto a un autenticatore mobile. A più applicazioni un utente deve accedere, più questo diventa importante.

Durevole e affidabile: Le YubiKey sono estremamente resistenti. Le chiavi non richiedono batterie e funzionano senza connessione cellulare o Internet, quindi possono essere utilizzate in qualsiasi ambiente, inclusi gli ambienti con limitazioni di Internet e dispositivi mobili. Inoltre, a differenza dei telefoni o delle app di autenticazione, non è necessario aggiornarli o effettuare l’autenticazione.

ROI forte: La configurazione MFA può essere eseguita tramite self-service e non richiede un amministratore IT. L’implementazione delle chiavi per i dipendenti è molto rapida ed economica: le chiavi possono essere inviate a una filiale o sede centrale, o anche direttamente a ciascun dipendente, inclusi i dipendenti remoti. È stato inoltre dimostrato che le YubiKeys riducono del 92% le chiamate di supporto IT relative alla reimpostazione della password, risparmiando migliaia di ore all’anno in help desk e costi di supporto.

 

YubiKeys per casi d’uso MFA

Rispetta le normative di conformità e i controlli di sicurezza: Il settore dei servizi finanziari è altamente regolamentato e diverse normative impongono un’autenticazione forte tra cui SOX, FIPS, GDPR, PCI e PSD2. Le organizzazioni di servizi finanziari possono soddisfare le normative di conformità e gli audit di sicurezza implementando YubiKeys per una MFA forte. YubiKey consente una forte verifica degli utenti prima di fornire l’accesso a dati sensibili e PII, mantenendo le organizzazioni di servizi finanziari conformi alle normative esistenti ed emergenti. Sono inoltre certificati FIPS 140-2 (Certificato n. 3517) Livello complessivo 2, Livello di sicurezza fisica 3.

Proteggi gli account privilegiati: Un utente privilegiato è un dipendente che dispone di livelli di autorizzazione più elevati per accedere a informazioni sensibili su clienti, società o finanziarie. La stragrande maggioranza delle violazioni della sicurezza di grandi dimensioni comporta l’uso improprio o l’escalation di credenziali privilegiate e l’accesso immediato a informazioni preziose come dati dei clienti, numeri di conto, informazioni sulla carta di credito e altro, con conseguenze paralizzanti per l’azienda. Le organizzazioni di servizi finanziari possono rafforzare la gestione degli accessi privilegiati e garantire la MFA utilizzando YubiKeys per tutti gli utenti privilegiati, inclusi amministratori di rete e database, amministratori di sicurezza e di sistema, sviluppatori di applicazioni, dipendenti di C-suite e impiegati in finanza, contabilità e risorse umane. Richiedere agli utenti con privilegi di autenticarsi con chiavi di sicurezza hardware resistenti al phishing per accedere in modo sicuro ai servizi e alle applicazioni aiuterà a fermare gli attacchi mirati e prevenire il furto di account.

Proteggi i lavoratori remoti: Gli hacker stanno approfittando dell’aumento del lavoro remoto con attacchi di phishing mirati. I progressi della tecnologia consentono ai dipendenti di lavorare ovunque, ma introducono anche una nuova serie di sfide per l’IT. Reti Wi-Fi non protette, dispositivi mobili personali non gestiti e frodi di phishing rendono facile per i criminali informatici rubare le credenziali degli utenti e difficile per i team IT gestire in modo sicuro i team dislocati geograficamente.

Le organizzazioni di servizi finanziari possono sviluppare piani di emergenza aziendale che includono la protezione della forza lavoro remota, in modo che i dipendenti possano accedere in modo sicuro ai sistemi senza introdurre nuovi rischi e vulnerabilità. L’abilitazione dell’MFA dovrebbe essere uno dei requisiti principali per una politica di lavoro da casa. Per MFA con la massima garanzia, le chiavi di sicurezza hardware come YubiKey possono essere utilizzate con i sistemi di gestione dell’accesso alle identità e i provider di identità per accedere ai computer, proteggere l’accesso VPN, aumentare l’autenticazione per i gestori di password e persino generare in modo sicuro una volta codici di accesso.

Sicurezza di autenticazione step-up per transazioni ad alto rischio e di alto valore: I dipendenti che eseguono quotidianamente transazioni ad alto rischio e valore elevato sono spesso l’obiettivo dei criminali informatici. Il phishing resistente all’MFA, lo spear phishing e la compromissione della posta elettronica aziendale (BEC) utilizzano esche di ingegneria sociale per indurre i dipendenti a cedere le credenziali del loro account, installare malware o ransomware sul proprio dispositivo o pagare una fattura falsificata ma realistica sul conto bancario del criminale. Le password sono troppo facili da indovinare, forzate, violate, compromesse o persino copiate da una nota adesiva collegata al laptop / desktop di un utente. L’accesso ai sistemi ad alto rischio può essere rafforzato richiedendo MFA forte e moderno utilizzando YubiKeys, per garantire solo l’accesso autorizzato all’account e transazioni autorizzate di alto valore.

Fornire la massima sicurezza ai dipendenti delle filiali utilizzando terminali di accesso condiviso: I dipendenti che lavorano su postazioni di lavoro condivise sono comuni nelle banche e nei call center. I cassieri si spostano da una stazione all’altra e i supervisori si spostano per autorizzare le transazioni. Gli utenti in questi ambienti sono spesso dipendenti part-time associati a un elevato turnover e un impegno minimo per l’organizzazione, aumentando la minaccia interna. I terminali e le workstation ad accesso condiviso aprono i vettori di attacco agli account amministratore tramite la registrazione delle sequenze di tasti e il pass-the-hash.

Le organizzazioni di servizi finanziari possono raddoppiare la sicurezza tra i terminali di accesso condiviso e le workstation condivise, per impedire l’accesso non autorizzato a sistemi e risorse di alto valore. L’autenticazione tramite nomi utente e password non offre un’elevata sicurezza: le password possono essere violate utilizzando la registrazione dei tasti. YubiKey offre la massima sicurezza MFA per terminali e workstation condivisi e offre un’esperienza utente semplice e senza attriti.

Proteggi le informazioni personali e finanziarie riservate nei call center: Nel 2019, Aite Group ha intervistato 25 dirigenti di 18 dei 40 principali istituti finanziari statunitensi e ha scoperto che il 61% delle frodi può essere ricondotto al contact center. Con un elevato tasso di abbandono dei dipendenti, picchi stagionali e altre dinamiche aziendali impegnative, gli ambienti dei call center necessitano di un approccio sicuro ma semplice per verificare le identità degli agenti prima di fornire l’accesso a sistemi e dati critici. I call center dei servizi finanziari possono implementare YubiKeys per fornire una maggiore sicurezza in grado di verificare in modo sicuro l’identità degli agenti del call center prima che venga loro concesso l’accesso alle PII e ad altri dati sensibili o apportare modifiche all’account di un cliente, come l’aumento di un limite di credito. Poiché i telefoni cellulari possono acquisire immagini dei clienti e dati finanziari come numeri di conto, date di scadenza delle carte e numerosi altri dettagli che potrebbero violare la privacy dei clienti, YubiKeys offre una soluzione di autenticazione molto più sicura.

Prevenire frodi, furti di account e ottenere risultati migliori: Sicurezza dell’autenticazione con YubiKey YubiKey offre un approccio moderno, altamente sicuro, facile da usare ed economico all’MFA per aiutare le organizzazioni di servizi finanziari a prevenire frodi e perdite di entrate. Fornendo solo ai dipendenti MFA autorizzati l’accesso ai dati sensibili e PII con YubiKey, le organizzazioni di servizi finanziari possono rimanere conformi alle normative esistenti ed emergenti, tra cui SOX, PSD2, PCI, FIPS e GDPR e mitigare il rischio di sicurezza informatica e le frodi legate all’acquisizione di account.

Scopri di più su come YubiKeys protegge le organizzazioni di servizi finanziari dalle minacce alla sicurezza informatica.

 

A proposito di Yubico

Yubico stabilisce nuovi standard globali per un accesso semplice e sicuro a computer, dispositivi mobili, server e account Internet. L’invenzione principale dell’azienda, la YubiKey, offre una forte protezione hardware, con un semplice tocco, su qualsiasi tipo di sistemi IT e servizi online. YubiHSM, il modulo di sicurezza hardware ultraportatile di Yubico, protegge i dati sensibili archiviati nei server.

Yubico è uno dei principali contributori agli standard di autenticazione aperta FIDO2, WebAuthn e FIDO Universal 2nd Factor e la tecnologia dell’azienda è implementata e amata da 9 dei 10 principali marchi Internet e da milioni di utenti in 160 paesi.

Fondata nel 2007, Yubico è una società privata, con uffici in Svezia, Regno Unito, Germania, Stati Uniti, Australia e Singapore. Per maggiori informazioni: www.yubico.com

InsightIDR: Cloud-Native SIEM vs Sfide di sicurezza moderne

InsightIDR: Cloud-Native SIEM vs Sfide di sicurezza moderne

Per quanto la frase “un teatro affollato” richiami alla mente immagini dei tempi passati, siamo abbastanza grandi per ricordare l’emozione di una buona prima. La star prende lo schermo (o il palco, se il teatro dal vivo fa per te) e il silenzio cala sulla folla. Dimenticate il trucco e gli effetti speciali: è ora di rilassarsi e godersi la magia della narrazione.

Il nostro debutto della demo di InsightIDR potrebbe non essere un esempio di alto livello dell’entusiasmo di Hollywood, ma è più che compensato da solide offerte di sicurezza. InsightIDR è una soluzione di sicurezza SIEM completa e pronta per l’uso che risponde alla crescente complessità del moderno ambiente di sicurezza. InsightIDR rappresenta l’ultima novità nell’evoluzione degli strumenti SIEM tradizionali.

Ma come risponde esattamente ai punti deboli della sicurezza odierna? Prendete dei popcorn e guardate il video dimostrativo di Rapid7 che offre un assaggio di InsightIDR in azione. E assicuratevi di leggere per saperne di più sulle sfide che devono affrontare i moderni professionisti della sicurezza.

Sfida critica n. 1: Visibilità limitata delle minacce

Man mano che sempre più organizzazioni si spostano verso ambienti multi-cloud, ciò amplia notevolmente la superficie delle minacce vulnerabili agli aggressori. Si traduce anche in una minore visibilità per i team di sicurezza, che ora sono responsabili del monitoraggio di una varietà di ambienti. Due terzi delle organizzazioni operano in ambienti multi-cloud, quindi non sorprende che due terzi dei professionisti della sicurezza dichiarino di sentirsi esausti sul lavoro.

Ma con InsightIDR, si può ottenere uno sguardo olistico e completo dei propri dati, senza il fastidio di passare da una piattaforma all’altra. Insight Agent, Insight Collector e sensori di rete acquisiscono dati da fonti disparate nel panorama delle minacce, dall’attività degli utenti ai registri e agli endpoint. InsightIDR quindi raccoglie, normalizza, attribuisce e arricchisce i dati per ulteriori trasformazioni e analisi del cloud.

Scopri come InsightIDR centralizza la gestione dei log in modo da poter cercare e visualizzare i tuoi dati di sicurezza.

 

Sfida critica n. 2: Avvisi rumorosi ed eccessivi

Poiché l’attività degli utenti si estende su un numero sempre maggiore di endpoint e le aziende vedono un corrispondente aumento dell’esposizione, i professionisti della sicurezza trovano difficile tenere il passo con il flusso di dati sugli eventi. Può essere difficile per i team di sicurezza rispondere a tutti gli incidenti che si verificano e, tra quelli a cui si rivolgono, abbondano i falsi positivi, che bloccano le indagini e sottraggono tempo prezioso alla risoluzione di minacce reali.

InsightIDR aiuta a ridurre il rumore utilizzando l’apprendimento automatico per analizzare i dati nel cloud. Gli avvisi vengono visualizzati automaticamente con i dati correlati dell’attività dell’utente per fornire il contesto. InsightIDR è inoltre basato (e costantemente aggiornato) sull’esperienza del Team MDR (Managed Detection and Response) di Rapid7, in modo che i team di sicurezza possano essere sicuri di vedere le vere minacce sulla base di indicatori visti in natura, insieme a una chiara direzione per rispondere rapidamente e con sicurezza.

Scopri come InsightIDR fornisce avvisi di sicurezza utilizzabili per eventi di sicurezza reali nella tua rete moderna.

 

Sfida critica n. 3: Tempistiche di indagine prolungate

Partendo dal punto precedente, l’incapacità di distinguere prontamente le minacce reali dal rumore estraneo si traduce in tempi di indagine prolungati. Gli attacchi vengono misurati in pochi minuti, ma troppo spesso il rilevamento delle minacce e la riparazione vengono misurati in mesi. Più tempo occorre per risolvere le indagini, più tempo gli hacker hanno accesso ai dati. La preoccupazione principale non è solo il furto di dati, ma anche il potenziale per gli aggressori di modificare le reti violate, inclusi i dati vulnerabili o non protetti. Oltre a danneggiare il profilo di sicurezza dell’organizzazione, questo può portare a danni costosi e dispendiosi in termini di tempo che non possono essere annullati dall’oggi al domani.

Per abbreviare i tempi di risposta, InsightIDR aiuta non solo permettendoti di setacciare facilmente una montagna di dati, ma anche di individuare e dare la priorità alle minacce all’inizio della catena di attacco. Con le native Network Traffic Analysis, File Integrity Monitor, Endpoint Detection and Response e altro ancora, si può stare tranquilli, sapendo che ogni angolo del proprio ambiente è coperto, niente più punti ciechi. E poiché InsightIDR è cloud-native, gli aggiornamenti automatici consentono di correlare i dati più velocemente, mentre i collector e le API comprimono e forniscono i dati in tempo reale. Ciò consente di rispondere agilmente quando si verificano gli eventi.

Scopri come InsightIDR accelera le indagini sulla sicurezza e la risposta agli incidenti.

How Acunetix Works!

How Acunetix Works!

Fondata nel 2005, conta ad oggi più di 5.000 clienti in tutto il mondo, dalle piccole e medie aziende fino alle Enterprise appartenenti alla lista delle Fortune 500.

Acunetix è principalmente uno scanner di app web Black-Box con una copertura di vulnerabilità molto ampia, oltre 6.500 vulnerabilità web e 50.000 vulnerabilità di rete tramite OpenVAS.

Le principali caratteristiche della soluzione sono sintetizzabili in:

  • scansione interattiva in modalità Black- Box e Grey-Box
  • testare applicazioni lato client e a pagina singola
  • rilevare vulnerabilità out-of-band
  • rilevare non solo vulnerabilità web, ma anche vulnerabilità di rete e malware

 

Le fasi di lavoro di Acunetix sono 3:

FIND– è la fase in cui viene eseguita una ricerca accurata per l’indicizzazione e scansione. Viene fatta eseguendo una scansione accurata e automatica dell’intero sito Web, mappandolo, decidendo per ogni pagina quali test eseguire e allo stesso tempo avviando test con script che simulano l’attacco di un hacker in ogni singola pagina.

Il crawler Acunetix analizza accuratamente l’intera struttura di un’applicazione Web cercando collegamenti e input, ed ha uno dei migliori punteggi WIVET per la tecnologia e la copertura dei parametri di input.

Al termine della ricerca per indicizzazione o anche mentre la ricerca per indicizzazione è in corso, Acunetix procederà a testare ogni pagina trovata durante la ricerca.

Pensate di poter fare tutto questo manualmente?

Un piccolo sito web di 500 pagine per 500 possibili test potrebbe significare di dover compiere tra 1.000 e 25.000 test unici, ciò richiederebbe tempo, denaro e possibilità di dati falsati dall’errore umano.

 

FIX– è la fase di remediation delle vulnerabilità rilevate, è possibile assegnare la correzione a specifici utenti e monitorarne lo stato di avanzamento.

È possibile generare:

  • Report dettagliati per sviluppatori con collegamenti aggiuntivi che spiegano come correggere la vulnerabilità
  • Report di gestione e per dirigenti che mostrano le tendenze attuali
  • Report di conformità PCI DSS, HIPAA e ISO 27001 su misura

 

PREVENT – assegna automaticamente le vulnerabilità scoperte ai team appropriati utilizzando sistemi di ticketing già presenti. Se è necessaria un’integrazione personalizzata, è possibile utilizzare l’API RESTful.

È anche possibile esportare i risultati della scansione come regole per WAF (Web Application Firewall) tipo Imperva SecureSphere, F5 BIG-IP Application Security Manager e Fortinet FortiWeb.

Ove siano presenti altri tools di security è possibile importare dati da molte applicazioni e formati diversi, tra cui Selenium, Telerik Fiddler, Postman, Burp, Swagger 2.0 e 3.0, WADL, WSDL e altro ancora.

 

Caratteristiche Principali

  • DeepScan – il miglior supporto per HTML5 e JavaScript (Angular, React, Ember, Google Web Toolkit). La tecnologia Deep Scan basata sul motore di scansione Chromium garantisce un elevatissimo livello di accuratezza ed è in grado di comprendere tecnologie, framework e servizi web: SOAP/WSDL/WCF, REST/WADL, XML, JSON, CRUD e anche Ruby on Rails e i framework JAVA più comuni. Ultimo ma sicuramente non meno importante, supporta i più popolari Content Management Systems (CMS), con grande attenzione su WordPress (che rappresenta più di 80 milioni di siti web nel mondo), Joomla e Drupal
  • SmartScan – La tecnologia SmartScan dà la priorità dinamica alle attività di scansione per ottenere risultati significativi il più rapidamente possibile. Uno speciale algoritmo di crawler consente di riconoscere le pagine simili a quelle già analizzate e di portarle in fondo alla “coda” delle attività. In questo modo, le prime pagine che vengono scansionate sono tutte uniche. A seconda del sito analizzato, questo può significare che è possibile ottenere fino all’80% delle vulnerabilità nel primo 20% di tempo della scansione.
  • AcuSensor – analisi IAST tramite abilitazione della scansione in modalità Grey-Box. Controlla il codice sorgente di un’applicazione Web mentre è in esecuzione e mostra:
    • il numero di riga del codice sorgente vulnerabile
    • l’analisi dello stack del codice sorgente vulnerabile
    • query SQL vulnerabili
    • analizzare la configurazione dei server per le vulnerabilità
    • verifica al 100% delle seguenti vulnerability High Severity:

AcuSensor è un componente facoltativo per PHP, Java e ASP.NET installato sul server e che comunica con l’interprete/compilatore.

  • AcuMonitor – è il servizio di rilevazione delle vulnerabilità Out-of-Band. Non richiede installazioni o configurazioni ma una semplice registrazione.
  • Network scanning – il miglior motore di scanner di sicurezza di rete OpenVas integrato con lo scanner web Acunetix v13 per l’individuazione delle porte aperte e dei servizi in esecuzione. Test per oltre 50.000 vulnerabilità di rete note e configurazioni errate o non richieste. Incluso in Acunetix versione Premium.
  • Rilevazione Malware – utilizza database di navigazione sicuri da Google e Yandex per identificare i link dannosi. In ambiente Windows viene utilizzato Windows Defender mentre in ambiente Linux si utilizza ClamAV.
  • Scansione incrementale – la funzione di scansione incrementale è ideale per siti web di grandi dimensioni e applicazioni che tendono a cambiare frequentemente. Dopo la prima scansione completa, è possibile configurare Acunetix per eseguire la scansione solo delle parti del sito o dell’applicazione che sono state modificate dall’ultima scansione. Questa caratteristica può ridurre i tempi di scansione di oltre il 90%.
  • Proof of exploit – aggiunge ulteriori verifiche e conferme alle vulnerabilità rilevate
  • Interfaccia User-friendly – facile, moderna, intuitiva, con possibilità di ordinamenti e filtri personalizzati per fornire sempre le informazioni più appropriate.
  • Altre caratteristiche – integrazione con sistemi come Jira, Jenkins, GitHub, GitLab, TFS, Bugzilla e Mantis.

Tre livelli di confidenza: High, Medium e Low per un’immediata identificazione e gestione delle vulnerabilità. Supporto di script Selenium e altro ancora.

Acunetix è disponibile in 3 versioni:

  • Standard
  • Premium
  • 360° (Cloud)

Si consiglia la versione Standard per piccole aziende, la Premium per Medium e Enterprise, 360° soluzione Cloud-based.

 

Tabella delle Caratteristiche

ReaQta nominata Cool Vendor da Gartner

ReaQta nominata Cool Vendor da Gartner

Amsterdam, Paesi Bassi, 8 ottobre 2020ReaQta, fornitore leader di soluzioni per la sicurezza degli endpoint, ha annunciato oggi di essere stata nominata Cool Vendor in Network and Endpoint Security da Gartner, Inc.

Il report osserva: “Gli aggressori stanno diventando più sofisticati e prendono di mira le organizzazioni, effettuando ricognizioni per identificare i punti deboli nelle difese”. Gartner raccomanda che i responsabili della sicurezza e della gestione del rischio “valutino gli usi nuovi e innovativi del Machine Learning (ML) e dell’Intelligenza Artificiale (AI) per rilevare le minacce in base a comportamenti appresi piuttosto che per modelli pre-addestrati”.

In un mercato EDR in rapida crescita, ReaQta – che ha una forte presenza in Europa e in Asia – si distingue per due principali fattori di differenziazione.

La prima è la tecnologia proprietaria NanoOS di ReaQta che fornisce una visibilità approfondita dei processi e delle applicazioni in esecuzione sugli endpoint. Il NanoOS si trova a livello dell’hypervisor e protegge l’endpoint dall’esterno del sistema operativo, rendendolo invisibile a malware e aggressori.

Il secondo elemento di differenziazione è l’uso da parte di ReaQta di AI e ML nella sua piattaforma di sicurezza degli endpoint basata su AI, ReaQta-Hive. Mentre altre soluzioni EDR ed endpoint utilizzano il ML basato su modelli e analisi pre-addestrati, il modello di apprendimento iniziale di ReaQta identifica il comportamento normale di ciascun endpoint, consentendo una maggiore precisione nei rilevamenti e negli avvisi quando ci sono deviazioni dalla norma.

A differenza della maggior parte degli altri fornitori che richiedono agli analisti di monitorare eventi e avvisi in modo da identificare e aumentare i risultati, ReaQta non richiede l’utilizzo di alcuna funzionalità di servizio gestito per il rilevamento.

“Credo che la nomina di ReaQta a Cool Vendor di Gartner confermi la nostra capacità di fornire una tecnologia all’avanguardia per mantenere i nostri clienti al sicuro da attacchi informatici avanzati”, ha affermato Alberto Pelliccione, CEO di ReaQta.

“Continuiamo a spingere i confini dell’innovazione per stare al passo con il forte aumento della sofisticazione degli attacchi. Con ReaQta-Hive, stiamo rendendo l’intero processo di rilevamento e risposta completamente automatizzato e in tempo reale. Gli aggressori di oggi si stanno muovendo velocemente, quindi è necessario un nuovo approccio per garantire che il rischio di danni e perdita di dati sia ridotto il più possibile.”

ReaQta-Hive consente ai suoi utenti di rilevare e bloccare minacce sofisticate e sconosciute, che vanno dal ransomware agli attacchi fileless e in-memory. L’aggiunta di funzionalità di proactive threat hunting consente la scoperta di minacce nascoste all’interno dell’infrastruttura che non vengono rilevate dalle soluzioni legacy.

 

Gartner Disclaimer: Gartner does not endorse any vendor, product or service depicted in our research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

 

A proposito di ReaQta

ReaQta è una piattaforma di AI Endpoint Security Platform top-tiered Europea, costruita da un gruppo d’élite di esperti di sicurezza informatica e ricercatori AI/ML con una vasta esperienza nelle operazioni di intelligence governativa. Incentrato sulla creazione della migliore esperienza utente per la sicurezza degli endpoint, ReaQta è la piattaforma più elegante, potente e facile da usare che consente alle organizzazioni di eliminare le minacce più avanzate, nel modo più veloce possibile.

In qualità di esperti in AI e behavioral analysis, i dual-AI engines proprietari di ReaQta forniscono alle organizzazioni di tutti i settori una sicurezza degli endpoint completa e completamente personalizzata, meno tutta la complessità. I team di sicurezza ora possono fare di più, con meno.

Per saperne di più contattaci.

Come rilevare il traffico ICMP sospetto con Plixer Scrutinizer

Come rilevare il traffico ICMP sospetto con Plixer Scrutinizer

La versione 19 di Plixer Scrutinizer introduce una serie di nuovi controlli per particolari metriche di comportamento per rilevare il traffico ICMP sospetto.

Alcuni anni fa, è stato aggiunto un algoritmo comportamentale a Plixer Scrutinizer che esaminava tutti i dati di flusso raccolti e determinava se era in atto un possibile ICMP tunneling. Quell’algoritmo si attivava se determinava che le dimensioni dei pacchetti erano anormali per il traffico ICMP da una piattaforma Windows o Linux.

Diversi clienti hanno trovato un valore immediato nella capacità di scoprire questo tipo di comportamento del traffico, ma alla fine si trattava solo di fornire un controllo per una singola dimensione correlata al comportamento ICMP sospetto.

Benvenuto in Plixer Scrutinizer versione 19, adesso è quindi possibile rilevare comportamenti sospetti relativi a:

Ping scan o ping sweep: Avvisa quando un host è sospettato di eseguire una ping scan. Un ping scan utilizza le richieste di ICMP echo per scoprire quali IP sono in uso su una rete. Il comportamento è comunemente utilizzato dagli aggressori che tentano di trovare obiettivi da compromettere o per il lateral movement.

Ping floods: Avvisa quando viene rilevato un ping flood. Un ping flood è caratterizzato da un grande volume di richieste di ICMP echo destinate a sopraffare la capacità del target di elaborare traffico legittimo.

ICMP destination unreachable: Avvisa quando un numero elevato di messaggi di destinazione ICMP non raggiungibili è stato inviato all’indirizzo IP sospetto.

ICMP port unreachable: Avvisa quando un numero elevato di messaggi di destinazione ICMP non raggiungibili sono stati inviati all’indirizzo IP sospetto.

Large Ping: Funzione disponibile in una versione precedente, era utilizzato principalmente per rilevare possibili tunneling. Avvisa quando è stato determinato che, in base al numero di byte e al numero di pacchetti, la dimensione del pacchetto sembra essere al di fuori della normale dimensione del pacchetto ICMP.

Tunneling: Con la versione 19 di Plixer Scrutinizer, è stata introdotta la Plixer Security Intelligence, un’appliance di machine learning dedicata, che acquisisce e analizza i dati direttamente da Scrutinizer. Trasmettendo i dati di flusso al motore ML, è possibile analizzare il traffico ICMP su una serie di dimensioni diverse che ci consentono di comprendere:

  • hosts trends
  • numero di hosts targeted
  • variazioni nei conteggi di byte/packet
  • dimensione/durata

La raccolta dei flussi dai dispositivi di rete, fornisce una preziosa visibilità forense in qualsiasi conversazione che attraversa la rete. Plixer fornisce una soluzione che avvisa in modo proattivo della presenza di traffico sospetto e dispone dei dettagli sul traffico, necessari per mitigare l’incidente.

L’amministratore vede l’avviso e un singolo clic del mouse fornisce informazioni generali sull’avviso.

Chi è il trasgressore?

A quale segmento di rete appartiene questo trasgressore?

Quali erano gli obiettivi?

Qualche altro allarme è correlato a questo host?

Hai bisogno di informazioni sul traffico ICMP sospetto che si sposta sulla tua rete? Contattaci se vuoi saperne di più o se hai bisogno di aiuto con le configurazioni degli allarmi.

 

 

OneLogin ottiene l’AWS Digital Workplace Competency

OneLogin ottiene l’AWS Digital Workplace Competency

OneLogin è entusiasta di annunciare che è uno dei partner inaugurali che ottiene lo status Amazon Web Services (AWS) Digital Workplace Competency. Questa designazione riconosce che OneLogin ha dimostrato una profonda esperienza e successo nell’aiutare i clienti a creare un ambiente di lavoro digitale su AWS per liberare gli utenti finali dall’ufficio, consentendo loro di lavorare in sicurezza praticamente su qualsiasi dispositivo, da qualsiasi luogo e in qualsiasi momento.

OneLogin è un partner di lunga data di AWS con Advanced APN Partner, AWS Public Sector, AWS Marketplace, Security Competency e ora Digital Workplace Competency Status. Lieti di ottenere questa certificazione APN e la convalida per come stanno aiutando i clienti a navigare con successo attraverso le transizioni della forza lavoro in corso.

 

Protezione del Digital Workplace

Le organizzazioni si affidano al cloud più che mai. Con il passaggio al lavoro remoto e l’evoluzione delle richieste dei clienti, la trasformazione digitale sta accelerando a un ritmo rapido. Indipendentemente dal settore, dalle dimensioni o dall’area geografica, i nostri clienti ci dicono costantemente che una gestione delle identità forte, affidabile e scalabile è fondamentale per adattarsi rapidamente alle mutevoli esigenze aziendali e di sicurezza mentre costruiscono il loro ambiente di lavoro digitale.

La partnership strategica di OneLogin con AWS supporta i nostri clienti nell’integrazione rapida dell’identità come parte fondamentale della loro strategia di sicurezza per l’infrastruttura e il cloud. La designazione di OneLogin come partner AWS Competency è una grande pietra miliare che riconosce le capacità estese per aiutare i clienti a proteggere il loro ambiente di lavoro digitale. Le soluzioni IAM (Identity and Access Management) di OneLogin, completamente ospitate su AWS Cloud, possono essere implementate rapidamente per consentire agli utenti finali di accedere in modo sicuro alle applicazioni aziendali sia all’interno dell’ufficio che da casa.

Inoltre, i nostri clienti possono sfruttare le integrazioni avanzate IAM con i servizi AWS per migliorare la sicurezza e la visibilità nella loro infrastruttura, senza rallentare gli utenti remoti o la loro attività:

  1. Abilitare le best practice IAM consigliate nel proprio ambiente AWS. Ulteriori informazioni sulle soluzioni OneLogin con AWS SSO, AWS Organizations, AWS Session Tags per next-gen Multi-Factor Authentication (MFA), Single Sign-On (SSO), Role-Based Access Control (RBAC) to AWS Console/CLI, AWS Redshift, e altri.
  2. Ridimensionare l’utilizzo e l’ambiente del cloud con guardrail di sicurezza automatizzati. Ulteriori informazioni sull’integrazione di OneLogin con AWS Control Tower.
  3. Ottenere maggiore visibilità e coordinare le risposte di sicurezza nell’ambiente cloud. Ulteriori informazioni sul AWS EventBridge Integration.
  4. Provare, acquistare e distribuire facilmente le soluzioni OneLogin tramite AWS Cloud Marketplace.

Cosa dicono i clienti OneLogin

Point Loma Nazarene University, un cliente di lunga data di OneLogin, è un college liberal arts a San Diego, in California. Il livello aggiuntivo di sicurezza fornito da OneLogin ha dato loro la tranquillità quando sono dovuti passare rapidamente a una forza lavoro remota.

“Non avevamo preoccupazioni per la sicurezza delle identità dei nostri utenti mentre lavoravamo da casa su una rete potenzialmente non protetta. Ogni autenticazione, dall’e-mail ad AWS a VPN, a VDI, è protetta da OneLogin. Cambiare una password era così difficile per un utente remoto, ora è semplice con OneLogin. La piattaforma di identità che abbiamo in OneLogin è una delle risorse più preziose di PLNU ITS”, ha affermato Joseph Alcorn, Manager of Infrastructure Services and Architecture al Point Loma Nazarene University.

 

Herman Miller è un fornitore riconosciuto a livello mondiale di arredi, tecnologie e servizi correlati. Hanno sfruttato OneLogin come piattaforma fondamentale in quanto l’azienda ha completamente riprogettato la propria infrastruttura locale e l’ha migrata ad Amazon Web Services (AWS).

“OneLogin ci consente di muoverci alla velocità del cloud, rendendo facile per il mio team supportare le esigenze delle applicazioni dinamiche dei nostri utenti soddisfacendo al contempo i requisiti di sicurezza in continua evoluzione della nostra azienda.” Rob Williams, Director, Global Technology Operations, at Herman Miller.

 

AWS Digital Workplace Competency

OneLogin è orgogliosa di far parte dell’AWS Partner Competency Program ed essere riconosciuta da AWS come strumento pre-qualificato che si integra e può estendere i servizi AWS per soddisfare le esigenze dei clienti unici. Oggi OneLogin detiene le competenze AWS sulla sicurezza e sul digital workplace.

AWS Digital Workplace Competency aiuta i clienti a trovare partner per l’AWS Partner Network (APN) altamente specializzati che offrono soluzioni su AWS che li aiutano a supportare efficacemente i lavoratori remoti e la continuità aziendale con il Digital Workplace end-to-end nel cloud. I partner tecnologici APN che ottengono questa nuova competenza AWS forniscono funzionalità che aiutano a ridurre i rischi per la sicurezza e soddisfare i requisiti di conformità, consentendo ai clienti di supportare efficacemente i lavoratori remoti e implementare piani di continuità aziendale.

Ulteriori informazioni sulla partnership di OneLogin con AWS.

Consigli dai clienti Rapid7 per i primi 90 giorni di InsightVM

Consigli dai clienti Rapid7 per i primi 90 giorni di InsightVM

Gli ambienti moderni oggi sono, manco a dirlo, complessi. Spesso includono una combinazione di servizi on-premise, cloud, container e virtualizzazione. C’è molto da fare per assicurarsi che la propria soluzione di gestione delle vulnerabilità sia sufficientemente dinamica da essere distribuita rapidamente e facilmente su tutte queste risorse, in modo da poter vedere un rapido ritorno in termini di valore e assicurarsi che non ci sia niente di lasciato al caso.

Alzi la mano chi non hai mai acquistato una soluzione tecnologica senza ritrovarsi a dire:

“Sono certo che qui ci siano tantissime funzioni che potremmo utilizzare, ma non so bene quali!”

In un recente sondaggio con i clienti di InsightVM, è stato chiesto loro di condividere i migliori suggerimenti su cosa concentrarsi nei primi 90 giorni di utilizzo di una soluzione di gestione delle vulnerabilità. Di seguito sono riportati i loro consigli passo-passo per estrarre il massimo valore dalla propria soluzione:

Step 1: Esaminare l’ambiente

Il primo consiglio condiviso da tutti i clienti intervistati è stato quello di realizzare l’inventario del proprio ambiente, compresi i sistemi rivolti verso l’interno e verso l’esterno. Un cliente ha consigliato di eseguire una discovery scan per acquisire tutte le risorse trovate sulle reti.

“Una volta ottenuti i dati dalle prime scansioni complete di vulnerabilità, è necessario dare la priorità a quei sistemi che presentano vulnerabilità critiche e/o violazioni delle policy, tenendo presente quei sistemi che sono cruciali per la propria azienda”.

Ulteriori informazioni sulla funzione di priorizzazione del rischio reale di InsightVM

I clienti hanno anche suggerito di organizzare le proprie risorse per regione, piano, tipo, ecc., In anticipo, per risparmiare un sacco di lavoro in seguito. Poiché la scansione può avere un impatto sull’intera organizzazione, un altro cliente Rapid7 ha suggerito di informare la propria azienda che la scansione sarà in corso e cosa aspettarsi.

“Fare colloqui tecnici per guidare gli utenti attraverso la piattaforma e mostrare loro le caratteristiche e i vantaggi che offre. Se sono coinvolti nel processo, potrebbero perdonare i campanelli d’allarme emessi dalla scansione.”

I clienti hanno inoltre consigliato di concentrarsi sulla copertura il prima possibile distribuendo Rapid7 Insight Agent su tutte le risorse possibili (anche laptop remoti) in modo che le scansioni con credenziali vengano eseguite ogni sei ore, invece di eseguire scansioni attraverso un firewall e potenzialmente scansioni senza credenziali (e anche fuori dalla rete). E, naturalmente, assicurarsi che le scansioni siano autenticate. Un altro cliente ha aggiunto che la personalizzazione della dashboard di InsightVM li ha aiutati a comprendere meglio il loro ambiente e a dare significato ai dati sin dal primo giorno.

 

Step 2: Organizzare il processo di gestione delle vulnerabilità

Una volta presa confidenza con il proprio ambiente, è importante organizzare il processo di gestione delle vulnerabilità, per renderlo più facile da capire e gestire. Un cliente ha consigliato di contrassegnare le risorse in base ai criteri con cui si ritiene più facile lavorare (sistema operativo, rischio, fisico, virtuale, ecc.), e di separare e organizzare le risorse in base alla posizione o al tag delle risorse. È anche possibile creare asset groups. Da lì, si può determinare la pianificazione della scansione e tenere presente l’effetto che la scansione ha sulle operazioni e se la scansione dopo l’orario lavorativo o durante la notte funzionerebbe meglio per la propria azienda.

Anche la struttura è importante. Come ha detto un cliente:

“Decidere la struttura che si desidera adottare per organizzare e delegare le responsabilità per la scansione dei sistemi: system scope, gruppi responsabili, ecc. Un altro passo importante è definire chi deve ricevere i rapporti e qual è il processo di riparazione. Senza questi passaggi, durante il lancio del progetto di VM, è necessario tenere in considerazione molto lavoro aggiuntivo per ripetere alcune attività o la mancanza di responsabilità.”

Step 3: Creare un piano d’azione per il rilevamento delle vulnerabilità e l’applicazione di patch

Una volta che l’ambiente è completamente definito e si ha un processo di scansione in atto, si deve pensare a cosa succede quando il tuo team deve entrare in azione.

 “Creare un piano d’azione per l’applicazione di patch ai sistemi, soprattutto quelli critici, per determinare quali vulnerabilità dovrebbero essere corrette per prime. Al termine del primo round di patch, rieseguire la scansione dell’ambiente per confermare la riparazione.”

Chad Kliewer, responsabile della sicurezza delle informazioni per Pioneer Telephone Cooperative, Inc. consiglia: “C’è sempre un sacco di rumore intorno alle ultime vulnerabilità, in particolare quelle con nomi accattivanti, quindi è necessario assicurarsi di identificare prima i gioielli della corona e proteggerli di conseguenza. Piuttosto che rincorrere la notizia dell’ultima vulnerabilità scoperta, assicurarsi di poter creare una strategia per la gestione a lungo termine delle vulnerabilità che sono importanti per la propria organizzazione invece di giocare a infosec whack-a-mole”.

 

Livello nei servizi di distribuzione e formazione

I consigli forniti sopra dai nostri clienti hanno un valore inestimabile e sappiamo che avere il partner giusto rende molto più facile mettere in pratica questi consigli. Qui a Rapid7, offriamo servizi di implementazione per aiutare le aziende a implementare il nostro InsightVM già facile da usare per garantire che sia impostato correttamente la prima volta. Il nostro team di esperti nella gestione delle vulnerabilità può aiutare a massimizzare il valore di InsightVM assicurandosi che sia configurato correttamente è pronto all’uso sin dal giorno 1.

Abbiamo diversi tipi di pacchetti di servizi di distribuzione che si possono acquistare, e questi servizi possono essere ulteriormente adattati alle esigenze del proprio programma di sicurezza specifico. Possiamo aiutare con aree specifiche come le configurazioni dei prodotti, l’automazione, la creazione di flussi di lavoro per la creazione di rapporti e la garanzia che il programma soddisfi le migliori pratiche del settore.

Ulteriori informazioni sui nostri servizi di distribuzione

Offriamo anche certificazioni di formazione per spiegare tutte le migliori funzionalità che InsightVM ha da offrire in modo che si possa massimizzare l’investimento nella soluzione.

All’interno della nostra certificazione di formazione, si imparano cose come:

  • Introduzione a InsightVM: Per familiarizzare con l’architettura di InsightVM, Insight Agent e le best practice per una strategia di gestione delle vulnerabilità di prim’ordine.
  • Operations: Come configurare i siti, comprendere il processo di scansione, organizzare le risorse e creare rapporti per le parti interessate. Mostreremo anche come funziona il nostro modello di rischio reale e i vari modi in cui puoi generare rapporti sui rischi.
  • Administration: Per assicurarsi di sapere completamente come scansionare e gestire le credenziali, creare modelli di report ed eseguire query su scansioni personalizzate, abbiamo una formazione completa solo su questi elementi chiave per l’esecuzione e l’ottimizzazione della potenza di InsightVM.
  • Creation: Mostreremo come creare Remediation Projects, eseguire query per approfondire l’analisi di vari set di dati, creare dashboard e altro ancora.