Pass to nowhere: Group-IB assiste le forze dell’ordine italiane nell’identificazione dei truffatori che vendono Green Pass falsi

Pass to nowhere: Group-IB assiste le forze dell’ordine italiane nell’identificazione dei truffatori che vendono Green Pass falsi

Group-IB, uno dei leader mondiali della sicurezza informatica, ha assistito la Guardia di Finanza (GdF), l’agenzia di polizia italiana preposta alla lotta contro i reati finanziari, nell’indagine sulle attività dell’organizzazione criminale che ha trafficato falsi Green Pass – documenti rilasciati per cittadini italiani vaccinati e quelli risultati negativi o recentemente guariti da COVID-19 – tramite Telegram messenger. A seguito dell’operazione No-Vax Free, sono stati perquisiti diversi presunti amministratori dei canali Telegram in Veneto, Liguria, Puglia e Sicilia. Gli indagati hanno ammesso il reato.

L’attività fraudolenta è stata sotto i riflettori della Guardia di Finanza a metà luglio, dopo di che ha coinvolto il dipartimento investigativo criminale hi-tech di Group-IB con sede ad Amsterdam. Gli analisti di Group-IB sono riusciti a confermare l’esistenza di almeno 35 canali Telegram che mettono in vendita Green Pass falsi, con un pubblico totale di circa 100.000 utenti, e hanno condotto una ricerca per aiutare a rivelare l’identità dei sospetti autori. Agli acquirenti sono stati promessi «autentici Green Pass con codici QR» — la prova della vaccinazione, un test negativo o il recupero dal COVID-19. I venditori hanno affermato che era possibile grazie alla complicità degli operatori sanitari. In realtà, non erano altro che falsi.

La GdF, con il supporto di Group-IB, ha fornito una completa segnalazione alla Procura di Milano, dopodiché ha avviato un’azione di contrasto che ha portato a diverse perquisizioni su cittadini italiani nelle province di Veneto, Liguria, Puglia e Sicilia . Gli indagati hanno confessato di gestire una rete di canali Telegram. Come risultato dello sforzo cooperativo, il numero di canali Telegram attivi è diminuito. L’azione delle forze dell’ordine è ancora in corso poiché nuovi canali tendono a riapparire.  

Esortiamo gli italiani a non utilizzare questi servizi illegali fasulli in quanto non solo perdono i loro soldi, ma inviano i loro dati personali sensibili ai criminali e si espongono a un rischio maggiore di truffe successive. Ringrazio il team di Group-IB per aver sostenuto l’indagine GdF per smascherare questa organizzazione criminale.

Gian Luca Berruti

Colonnello, Guardia di Finanza

L’Italia è uno degli elementi centrali del nostro ecosistema globale di ricerca e ricerca delle minacce. Grazie alla nostra crescente conoscenza delle minacce specifiche locali siamo stati in grado di aiutare la GdF a smascherare gli amministratori del canale Telegram e abbiamo assistito alla raccolta di prove digitali. La tempestiva ed efficace collaborazione con la GdF e la Procura della Repubblica di Milano ha permesso di svelare gli autori, che risuona con il nostro impegno nella lotta alla criminalità informatica di qualsiasi origine.

Anton Ushakov

Vice capo del dipartimento investigativo sulla criminalità ad alta tecnologia, Group IB

Secondo gli analisti di Group-IB Digital Risk Protection (DRP), il prezzo medio per i Green Pass falsi è di € 100 e dipende dalla sua forma, digitale o stampata. I truffatori offrono ai propri clienti vari metodi di pagamento, inclusi pagamenti in criptovaluta (Bitcoin, Ethereum), trasferimento di denaro PayPal o pagamenti con voucher, come le carte regalo Amazon.

Un esempio di post di Telegram che offre in vendita un Green Pass falso.

Per ottenere un Green Pass, al potenziale cliente viene chiesto di creare una chat segreta su Telegram con il venditore — così facendo, gli attori delle minacce speravano di proteggersi da potenziali rivelazioni. Al cliente viene quindi chiesto di rivelare le proprie informazioni personali presumibilmente contenute nel codice QR: nome e cognome, data di nascita, città di residenza e identificatore del codice fiscale. In alcuni casi, i venditori chiedono anche all’acquirente di condividere le foto della propria tessera sanitaria, dei documenti di identità e del proprio indirizzo di casa per inviargli presumibilmente il certificato stampato. Dopo aver ricevuto le informazioni personali dell’acquirente e il pagamento, gli attori della minaccia eliminano la chat e scompaiono o restituiscono un codice QR falso.

Netwrix acquisisce PolicyPak, sicurezza ai desktop

Netwrix acquisisce PolicyPak, sicurezza ai desktop

I Clienti PolicyPak avranno accesso al portafoglio Netwrix di soluzioni di sicurezza e conformità, per identificare e mitigare i rischi per la sicurezza dei dati

Netwrix acquisisce PolicyPak, produttore di software che aiuta le organizzazioni di tutte le dimensioni a proteggere e gestire i propri desktop e laptop Windows 10 locali e remoti.

Con l’inserimento a portafoglio di questa realtà, Netwrix completa il portafoglio di prodotti estendendo la sicurezza dei dati e il controllo sugli account con privilegi ai desktop, supportando così ulteriormente la forza lavoro sia ibrida e sia solo remota.

In particolare, la piattaforma di gestione desktop PolicyPakNetwrix acquisisce PolicyPak, sicurezza ai desktop consente alle organizzazioni di gestire e proteggere gli endpoint in sede e remoti, inclusi i relativi browser e applicazioni; rimuovere i diritti di amministratore locale per facilitare l’implementazione di un modello Zero Trust; prevenire ransomware e altre infezioni da malware.

Inoltre, blocca le minacce su chiavette USB, DVD e CD-ROM e semplifica la gestione di Windows 10 e dei criteri di gruppo e, da ultimo, raggiungere la conformità ai requisiti normativi. I clienti della società potranno beneficiare di una piattaforma di gestione desktop che semplifica la gestione e migliora la sicurezza della forza lavoro ibrida o remota.

I clienti PolicyPak avranno accesso al portafoglio Netwrix di soluzioni di sicurezza e conformità che li aiuterà a identificare e mitigare i rischi per la sicurezza dei dati, nonché a proteggere, rispondere e recuperare dagli attacchi di sicurezza informatica.

“Siamo entusiasti di vedere PolicyPak entrare a far parte del team Netwrix. Questa acquisizione supporta ulteriormente il nostro impegno a fornire uno sportello unico per le soluzioni di sicurezza informatica. La sicurezza degli endpoint continua a essere un’esigenza pressante per le organizzazioni, in particolare per quelle che restano remote o adottano un modello di lavoro ibrido, e sono lieto che Netwrix possa ora aiutarle ad affrontare questa sfida“, ha dichiarato Steve Dickson, CEO di Netwrix.

Dal canto suo, Jeremy Moskowitz, fondatore e CTO di PolicyPak Software, ribatte: “Siamo entusiasti di entrare a far parte del team Netwrix e sfruttare i vantaggi di un fornitore globale di sicurezza dei dati. Entrambe le società condividono lo stesso obiettivo di semplificare il lavoro quotidiano dei professionisti IT e della sicurezza informatica, quindi sono fiducioso che continueremo a offrire un servizio ai nostri clienti e partner. Questa acquisizione apre un nuovo capitolo per PolicyPak e ci fornisce le risorse per espandere la nostra offerta di prodotti e servizi alle organizzazioni di tutto il mondo”.

I prodotti PolicyPak sono ora disponibili a livello globale per tutti i clienti della realtà che si occupa di sicurezza. I termini della transazione non sono stati resi noti.

Photo by Domenico Loia on Unsplash

DotForce si allea con Pikered per la distribuzione di ZAIUX in esclusiva per l’Italia

DotForce si allea con Pikered per la distribuzione di ZAIUX in esclusiva per l’Italia

Il Distributore specializzato in Tecnologie di Cybersecurity innovative contribuirà allo sviluppo del mercato e della rete di Reseller/MSP/MSSP per ZAIUX

Milano, 2 Novembre 2021 – DotForce e Pikered hanno siglato un accordo che garantisce a DotForce la distribuzione in esclusiva sul territorio italiano della soluzione di Internal Pentesting automatico denominata ZAIUX.

ZAIUX è una soluzione software innovativa di Internal Penetration Test automatizzata dall’IA, che esegue numerose tecniche d’attacco per individuare e sfruttare le vulnerabilità di una qualsiasi rete basata su MS Active Directory, fornendo un piano di remediation riferito al framework MITRE ATT&CK®.

 

“Grazie all’accordo con Pikered per la distribuzione di ZAIUX, aggiungiamo un importante tassello al nostro portafoglio di soluzioni di cybersecurity. Con ZAIUX, infatti, ci rivolgiamo non solo ai Red Team, ai professionisti cyber incaricati di svolgere l’attività di simulazione degli attacchi informatici o agli ethical hacker ma soprattutto ai “normali” Amministratori IT che non possiedono competenze specifiche sulle tematiche di Pentesting, competenze fondamentali per individuare e correggere le vulnerabilità presenti all’interno dell’infrastruttura IT. ZAIUX è un complemento ideale anche alle operazioni svolte dai Blue Team, che hanno l’incarico di prevenire e difendere.” ha commentato Fabrizio Bressani, CEO di DotForce.”Siamo poi particolarmente lieti di promuovere una nuova tecnologia 100% Made in Italy, che rappresenta una nostra eccellenza assolutamente in grado di competere con tecnologie sviluppate in altre geografie, più comunemente ma talvolta erroneamente associate alla cybersecurity. Lo testimonia infatti la presenza di Pikered durante il recente IT-SA Expo di Norimberga (DE) che, presso il loro stand, posizionato a fianco di molti blasoni della cybersecurty mondiale, ha presentato ZAIUX oltreconfine riscuotendo l’entusiasmo dei visitatori.”

 

“Abbiamo scelto DotForce come nostro Distributore in esclusiva per l’Italia sulla base delle sue competenze specifiche e delle conoscenze del mercato Cyber oltre che per il suo portafoglio tecnologico, fortemente complementare alla nostra offerta. Pensiamo che questo sia un passo che ci permetterà di realizzare importanti sinergie con le migliori realtà che si occupano di cybersecurity nel nostro paese.” ha dichiarato Marco Gallina, Co-fondatore e Amministratore di Pikered. “Il mercato della Cybersecurity oggi è focalizzato sull’offerta di soluzioni difensive, finalizzate ad alzare barriere protettive e al monitoraggio proattivo. Questo scenario innesca molte complessità di gestione e non sempre l’adozione di tali soluzioni è sufficiente a proteggersi dagli errori umani o dalle vulnerabilità di software e protocolli di comunicazione. L’approccio Pikered è complementare a quello difensivo, validando lo stato di sicurezza delle reti attraverso tecniche offensive ma a scopo etico. Ci riferiamo ad attività come i Penetration test manuali, che tradizionalmente vengono poco eseguite a causa di tempistiche lunghe, costi elevati, difficile reperibilità di competenze e scarsa automazione. Unendo le competenze di Ethical Hacking e Intelligenza Artificiale (IA), con ZAIUX abbattiamo queste barriere colmando le lacune presenti nell’attuale offerta del mercato, introducendo l’automazione sul tema dei Penetration Test.”

 

L’offerta ZAIUX verrà presentata il prossimo 17 Novembre alle ore 10.30 all’interno di un live webinar organizzato da DotForce.

PARTECIPA AL WEBINAR

 

Informazioni su Pikered

Oltre allo sviluppo di soluzioni software e l’erogazione di servizi di consulenza, Pikered si pone come obiettivo primario quello di sensibilizzare sui temi legati all’importanza della Cybersecurity. Un punto di forza nella proposta di valore di Pikered è l’applicazione di moderni algoritmi di Intelligenza Artificiale e Machine Learning, che consentono di dare alle soluzioni un’autonomia decisionale senza precedenti, risolvendo problemi concreti senza l’intervento umano. Il team di Pikered include hacker etici certificati in continuo apprendimento, permettendo di sviluppare internamente strumenti che eseguono le più avanzate tecniche di attacco informatico.

 

Informazioni su DotForce

DotForce distribuisce tecnologie innovative e all’avanguardia per difendere le aziende dagli attacchi informatici, dall’interno o dall’esterno degli ambienti aziendali. DotForce fornisce soluzioni comprovate, efficaci e pluripremiate. DotForce è stata fondata nel 2006 come distributore a valore aggiunto specializzato in Cyber Security con attività in Italia, Spagna e Portogallo. L’azienda promuove tecnologie emergenti di aziende affermate che hanno compiuto un importante salto tecnologico, con brevetti propri e con clienti del settore pubblico e multinazionali.

Suggerimenti da SpyCloud per password complesse

Suggerimenti da SpyCloud per password complesse

Sì, sappiamo cosa stai pensando… stai già destreggiandoti con più accessi online di quanto avresti mai pensato che si potesse immaginare e preferiresti non passare più tempo a pensarci, è giusto, ma la verità è che le password che scegli e come le gestisci hanno implicazioni su scala globale: oltre l’80% delle violazioni dei dati risulta da password rubate e/o deboli, per questo in SpyCloud, passiamo molto tempo a pensare alle password perché il loro uso improprio ha dimostrato di essere uno dei fattori che contribuiscono più persistenti all’aumento del crimine informatico, sappiamo anche che le password non scompariranno presto, quale occasione migliore della Giornata mondiale delle password per condividere i nostri 5 migliori suggerimenti per password più efficaci complesse per una protezione dell’account più forte in generale.

1. Scegli una password o una passphrase complessa di 16+ caratteri

Ormai, penseresti che tutti i consigli sull’importanza delle password complesse sarebbero stati assorbiti. Eppure, tra le password recuperate da SpyCloud solo l’anno scorso, “123456” è stato trovato oltre 9,8 milioni di volte, “password” è stata trovata oltre 1,2 milioni di volte e “qwerty” è stato trovato 719.178 volte. Se utilizziamo password facili da ricordare, per i criminali sono facili da indovinare. Questo ci rende vulnerabili al password spraying, un attacco di forza bruta in cui un criminale informatico utilizza un elenco di nomi utente e password comuni per tentare di accedere a un determinato sito. Una volta ottenuta una corrispondenza, il criminale testerà la stessa combinazione di nome utente e password su quanti più account possibile.

Inoltre, i nostri test hanno rivelato che le password con più di 16 lettere, numeri e caratteri casuali, indipendentemente dall’algoritmo di hashing utilizzato, richiederebbero secoli per essere decifrate. È utile ricordare che mentre il modo in cui un’azienda protegge le password è fuori dal controllo degli utenti, possiamo assumerci la responsabilità della sicurezza del nostro account creando password più complesse.

2. Rendi uniche le password tra gli account

Data l’esplosione dei servizi digitali negli ultimi anni e il passaggio globale al lavoro a distanza nel 2020, la maggior parte delle persone si destreggia con più accessi online che mai. I criminali si affidano a credenziali rubate per perpetrare frodi e agiscono partendo dal presupposto che se si utilizza una password per un account, probabilmente si utilizza la stessa password per un altro. Ma nonostante l’istruzione diffusa su questo argomento, negli ultimi due anni SpyCloud ha osservato un tasso di riutilizzo delle password del 60% nei nostri dati sulle violazioni recuperati, quindi sembra che il problema non stia migliorando. L’introduzione di strumenti automatizzati di stuffing delle credenziali ha reso facile per i criminali testare le coppie di credenziali su un numero di siti Web per vedere quali account aggiuntivi possono rilevare; ecco perché il riutilizzo della password è così pericoloso.

Rendi tutto più facile: usa un gestore di password per generare e archiviare password univoche per le tue centinaia di accessi online.

3. Non mischiare gli accessi aziendali con gli account personali

Oltre il 76% dei dipendenti di Fortune 1000 riutilizza le password negli account di lavoro e personali. Sebbene questo problema sembri simile a quello sopra, la sfumatura qui è che la disattenzione a casa mette a rischio i datori di lavoro. Se il tuo account di streaming o di gioco è compromesso e sei colpevole di riutilizzare le password (anche variazioni di tali password), è possibile che i criminali informatici accedano a più account personali e professionali.

4. Usa l’autenticazione a più fattori

Quando è stata introdotta per la prima volta, l’autenticazione a più fattori (MFA) è stata venduta come una “proiettile magica” progettata per colmare le lacune nella sicurezza delle password. Richiedere agli utenti di fornire qualcosa che conoscono (una password) più qualcosa che sono (biometria) o qualcosa che hanno (token per smartphone) è un importante livello di protezione e dissuaderà alcuni attacchi informatici. Come tutti i deterrenti, i criminali hanno trovato il modo per aggirarlo, ma ciò non significa che non dovresti usarlo.

5. Appoggiati alle linee guida del NIST

Il National Institute for Standards and Technology (NIST) sviluppa regole in base alle quali le agenzie federali devono conformarsi, ma queste linee guida sono utili anche per le organizzazioni del settore privato. Uno degli aspetti più critici della guida del NIST quando si tratta di sicurezza delle password è limitare l’uso delle password contenute nei precedenti corpus di violazioni. Ciò significa che qualsiasi password esposta in una violazione dei dati, non importa quanto complessa, dovrebbe essere vietata.

Sebbene le aziende possano applicare molte linee guida NIST attraverso le impostazioni integrate fornite dalla maggior parte dei servizi di directory (incluso Microsoft Active Directory), il confronto delle password con un elenco in continua evoluzione di password esposte non è una funzionalità predefinita e il confronto delle password ad un elenco statico non soddisferà la guida del NIST. Nuove violazioni si verificano continuamente, aumentando continuamente l’esposizione al rischio della tua organizzazione, quindi prendi in considerazione i servizi di terze parti per migliorare le capacità di Active Directory in questo senso.

Come utente, puoi anche registrarti per il monitoraggio proattivo da SpyCloud gratuitamente. Dopo aver fatto clic sul pulsante “Accedi” e aver effettuato la registrazione, riceverai un avviso ogni volta che rileviamo il tuo indirizzo e-mail + password in una violazione dei dati. È un avvertimento per cambiare la password per quel servizio (e qualsiasi altro servizio in cui usi la stessa password o una simile) con qualcosa di nuovo, complesso e unico.

Con i servizi online che vengono violati regolarmente, le password trapelate/rubate rappresentano una grave minaccia se continuiamo a riutilizzare le password. I gestori di password sono importanti, così come il monitoraggio continuo delle credenziali esposte, ma per le organizzazioni è anche fondamentale educare gli utenti sui rischi di una scarsa igiene delle password. Se c’è una variabile che le misure di sicurezza informatica non possono affrontare, è il comportamento umano. Tuttavia, queste pratiche e suggerimenti dovrebbero essere i primi passi verso la creazione di un framework di password sicuro per te e la tua organizzazione.

Come funziona il DNS Filtering

Come funziona il DNS Filtering

Curioso di sapere come funziona il DNS filtering? I filtri DNS sono progettati per combattere malware, ransomware, attacchi di spam, pedopornografia e altri siti pericolosi sul Web. Il DNS è sia un interprete che una roadmap per Internet. Il DNS associa i nomi descrittivi agli indirizzi IP. Normalmente, quando il browser interroga un server DNS, viene restituito un indirizzo IP, consentendo al browser di aprire il sito Web all’indirizzo IP specifico. I servizi di filtro DNS sono il processo di utilizzo del Domain Name System per bloccare le minacce dei siti Web dannosi e filtrare i contenuti Web dannosi. Ciò garantisce che i dati di rete rimangano al sicuro e consente alle organizzazioni di avere il controllo su ciò a cui il loro personale può accedere sulle reti gestite dall’azienda.

Il server DNS filtra la richiesta e la blocca piuttosto che restituire un indirizzo IP. È anche utile per le organizzazioni che desiderano proteggere le risorse interne bloccando i siti dannosi noti. Questa funzione viene normalmente svolta a livello di router bloccando gli indirizzi IP o filtrando le porte. Per coloro che non hanno il lusso di router di fascia alta, il DNS filtering è un’alternativa potente ed efficiente.

Quanto è importante il DNS filtering nella sicurezza web nel 2021?

A causa della sua funzione critica sia all’interno di Internet che all’interno dell’azienda, il DNS è un obiettivo primario per gli hacker, quindi è fondamentale proteggerlo. Un’efficace strategia di sicurezza DNS comporta non solo il blocco delle ricerche dannose, ma anche la manutenzione delle ricerche valide. Il DNS svolge un ruolo giudizioso in una strategia di sicurezza della rete a più livelli, in cui sono richiesti molteplici approcci alla difesa informatica. Questo approccio a più livelli riduce la possibilità di un attacco.

Il DNS filtering è davvero la risposta?

Negli ultimi anni, gli enti governativi hanno tentato di introdurre nuovi modi per proteggere le vittime alla fonte del traffico Internet. Sfortunatamente, questi standard sono legiferati da persone che non comprendono appieno le implicazioni delle loro azioni. Internet utilizza già una miriade di opzioni di filtro web e DNS. Le organizzazioni filtrano a livello di router mentre i motori di ricerca utilizzano metodi euristici per rilevare gli indirizzi IP che ospitano contenuti dannosi. Il software di DNS filtering e i programmi antivirus bloccano i siti Web e i contenuti sospetti scaricabili utilizzando impronte eseguibili. Tutti questi metodi hanno funzionato bene in collaborazione, ma gli aggressori sono costantemente alla ricerca di modi per aggirare la protezione.

Il DNS rimane un componente vulnerabile e regolarmente preso di mira da exploit e attacchi informatici. Ad esempio, le risposte DNS possono essere falsificate o create con informazioni false per reindirizzare gli utenti da siti legittimi a siti Web dannosi. Tuttavia, prendere di mira gli exploit dei criminali informatici è una sfida nella migliore delle ipotesi a causa della scalabilità di Internet. Gli aggressori registrano costantemente nuovi nomi di dominio e si spostano in quartieri “puliti”. Non appena un metodo di sicurezza rileva un’attività dannosa e la spegne, questi camaleonti criminali si spostano semplicemente in una nuova posizione che rimane inosservata per un po’ prima che il ciclo si ripeta.

Il DNS filtering dovrebbe essere un componente importante della strategia di sicurezza della rete utilizzata insieme al monitoraggio delle porte, ai sistemi di rilevamento delle intrusioni, ai sistemi di prevenzione delle intrusioni, agli antivirus e ai firewall. Insieme, questi livelli di sicurezza necessari lavorano in modo coerente per creare un sistema di protezione della sicurezza funzionale ed efficace.

Il DNS filtering, tuttavia, non è esente da critiche, che sottolineano alcuni dei suoi svantaggi congeniti:

  • I filtri DNS non sono bulletproof. Gli aggressori maligni sono abbastanza intelligenti da aggirarlo.
  • Gli utenti possono utilizzare i proxy per nascondere il proprio IP originale e ottenere l’accesso all’indirizzo IP richiesto dal DNS.
  • La modifica del protocollo DNS potrebbe portare a problemi di sicurezza imprevisti e bug tecnici.

Per ulteriori informazioni sui miti del filtro DNS, visita questo recente post sul blog: 4 miti sul filtro DNS e alcune verità

Nessun sistema è ovviamente bulletproof e, sebbene sia vero che i criminali informatici cambiano costantemente i nomi di dominio, soluzioni come WebTitan DNS Filter sono molto efficaci nel contrastare i loro sforzi di occultamento. Il filtro DNS di WebTitan lo fa classificando circa 60.000 domini di malware e spyware al giorno, rintracciando i siti pericolosi e bloccandoli.

Esaminiamo la struttura del DNS

Il Domain Name System (DNS) è stato progettato per rendere comodo l’uso di Internet da parte del pubblico. Come accennato in precedenza, traduce i nomi di dominio negli indirizzi IP corrispondenti dei dispositivi ospitati. Il DNS ci consente di utilizzare http://www.google.com invece di http://74.125.224.72/ per avviare una ricerca. In breve, è il servizio di directory principale di Internet.

Il sistema DNS che serve Internet è un sistema distribuito ancorato a un insieme di root name server sparsi in tutto il mondo. Sotto i root server ci sono i domini di primo livello (.com, .org, .net) seguiti da domini di secondo livello (google, TitanHQ, Microsoft). Questi domini formano zone DNS, che possono essere costituite da uno o più domini (ad esempio, google.com è un dominio). A ciascuna zona DNS viene assegnato un insieme di server dei nomi autorevoli. Un server dei nomi autorevole può essere un server master o slave. Un master contiene le copie originali di lettura/scrittura dei record di zona mentre uno slave mantiene solo copie leggibili dei record master che vengono aggiornate tramite la replica.

I server DNS utilizzano la porta TCP 53 per i trasferimenti di zona al fine di mantenere gli slave sincronizzati con il file di zona principale. Gli intrusi possono utilizzare questo meccanismo per scaricare il contenuto del file di zona di un server dei nomi. Per evitare ciò, gli amministratori dovrebbero bloccare le richieste di trasferimento di zona da qualsiasi dispositivo che non sia un server dei nomi slave autorizzato. La porta 53 viene spesso utilizzata per incanalare il traffico non autorizzato e il traffico sospetto dovrebbe essere esaminato.

Che cos’è il Reverse DNS?

Un reverse DNS lookup o risoluzione DNS inversa (rDNS) è l’interrogazione del DNS (Domain Name System) per determinare il nome di dominio associato a un indirizzo IP, l’inverso della ricerca DNS “forward” standard di un indirizzo IP da un dominio nome.

Questo è spesso utile per determinare la legittimità di un IP. Ad esempio, uno dei test sui contenuti eseguiti dal filtro antispam SpamTitan è quello di abbinare le voci DNS in avanti e inverse, assicurando che i record A, IP e PTR corrispondano di conseguenza.

L’Associazione di DHCP e DNS

Per IPv4, il DNS è spesso strettamente integrato con il protocollo DHCP (Dynamic Host Configuration Protocol). Un server DHCP fornisce automaticamente indirizzi IP ai client abilitati DHCP e altre informazioni come l’identità dei server dei nomi DNS. La sicurezza del DNS richiede quindi la protezione dell’infrastruttura DHCP. A seconda della configurazione della rete IPv6, DHCP può fornire o meno informazioni DNS poiché il messaggio Router Advertisement (RA) fornisce invece queste informazioni.

Attacchi DNS

Il DNS è un’arma a doppio taglio in gran parte a causa della natura insicura dell’infrastruttura DNS, che la rende vulnerabile a questi tipi di attacchi:

  • DNS dinamico (DDNS ) – Sebbene il DDNS svolga una funzione legittima di consentire la modifica rapida dell’indirizzo di un nome di dominio e l’hosting di indirizzi temporanei, viene abusato da operatori di botnet e phisher che cambiano rapidamente indirizzo per evitare il rilevamento.
  • DNS a flusso veloce (Fast Flux DNS) – Questo è un altro modo in cui i criminali informatici possono alterare rapidamente gli indirizzi DNS per nascondere malware e siti di phishing dietro una rete in continua evoluzione di host compromessi che fungono da proxy.
  • Packet Amplification – Questa tecnica viene definita attacco Smurf (dal nome del malware DDoS Smurf). Si tratta di un attacco denial-of-service distribuito che coinvolge un gran numero di pacchetti ICMP con l’IP di origine contraffatto della vittima designata che vengono trasmessi a una rete di computer utilizzando un indirizzo di trasmissione IP.
  • DNS Amplification – Questa forma popolare di DDoS si basa sull’uso di server DNS aperti pubblicamente accessibili per sopraffare un sistema vittima con traffico di risposta DNS. Viene anche definito “attacco DRDoS” (riflessione distribuita e negazione del servizio di amplificazione).

Che cos’è un attacco DDoS?

Un attacco DDoS (Distributed Denial of Service) è il sovraccarico intenzionale di un dispositivo per renderlo non disponibile al traffico legittimo. Un DDoS di solito ha origine da un gran numero di bot o PC zombie che sono sotto il controllo di una macchina centrale chiamata botnet. La motivazione alla base di questi attacchi può essere quella di abbattere un concorrente aziendale o una forma di ransomware in cui la vittima deve pagare per fermare l’assalto dei pacchetti. Uno dei più grandi attacchi registrati è stato l’attacco Spamhaus avvenuto nel marzo del 2013 che ha coinvolto oltre 30.000 resolver DNS. I metodi di sicurezza tradizionali sono configurati per limitare i pacchetti da un indirizzo IP designato avviando grandi quantità di traffico. Nel caso di Spamhaus, gli aggressori hanno utilizzato un numero enorme di indirizzi IP diversi, quindi gli sforzi di limitazione non sono mai stati attivati.

Prevenire un attacco DNS

Il DNS può essere configurato per mitigare i problemi di sicurezza DNS comuni. Secondo l’Open Resolver Project, “i resolver aperti rappresentano una minaccia significativa per l’infrastruttura di rete globale”. (http://openresolverproject.org) Evita che il tuo server DNS sia un risolutore aperto e limita la sua capacità di rispondere alle richieste DNS da qualsiasi indirizzo su Internet. Consenti solo server ricorsivi interni alle sottoreti IP utilizzate dalla tua azienda. (Questo include anche gli intervalli di clienti se si utilizza un’extranet.) Tieni presente, tuttavia, che molti (se non la maggior parte) dei resolver DNS su Internet sono risolutori aperti, perché non sono stati protetti o perché essere aperti al pubblico come il servizio Comodo. Per testare il tuo indirizzo IP per i resolver aperti, vai qui.

Sebbene non esista un modo sicuro per escludere un attacco DNS, le seguenti misure possono ridurre al minimo le probabilità:

  • Il blocco DNS utilizzato per la sicurezza contro phishing e spam può aiutare a prevenire gli attacchi DNS. Questo meccanismo rende difficile per le entità individuare domini o siti Web specifici su Internet che sono siti dannosi.
  • Configura i tuoi server DNS autorevoli per utilizzare la limitazione della velocità di risposta DNS.
  • Il traffico DNS dovrebbe essere limitato a seconda del tipo di pacchetto DNS. Ad esempio, una risposta di trasferimento di zona avrebbe una soglia più alta di una risposta per il nome del server DNS.
  • Collabora con il tuo provider Internet per bloccare o limitare il traffico che non desideri sulla rete, se possibile.
  • Monitora la tua rete e prendi nota degli IP dei client utilizzando quantità insolite di larghezza di banda.
  • I siti pubblicamente esposti dovrebbero essere bilanciati dal carico e includere riserve di risorse per larghezza di banda aggiuntiva e cicli di CPU al fine di gestire i carichi aumentati causati da un attacco. Google sostiene questa pratica .

Per qualsiasi organizzazione che prende sul serio la sicurezza della rete, la protezione della propria infrastruttura DNS dovrebbe essere una parte vitale del proprio piano di sicurezza aziendale. Un po’ di tempo e sforzi spesi per la sicurezza DNS possono fornire vantaggi immediati e significativi per la sicurezza.

Cos’è il filtraggio DNS di WebTitan?

Fondamentalmente, WebTitan DNS Filtering è una tecnica utilizzata per limitare o bloccare l’accesso a determinati siti Web o “domini”. In questo modo, in base all’implementazione, WebTitan DNS Filtering fornisce protezioni nel tentativo di creare un ambiente di lavoro più sicuro e produttivo su Internet. WebTitan DNS Filtering ha anche altri usi e può funzionare con protocolli come ftp e smtp, ma per gli scopi di questo articolo, ci concentreremo specificamente sulla sua applicazione per il web filtering.

In termini semplici, ogni server Web, sito Web, ecc., ha un indirizzo o, più precisamente, un indirizzo di protocollo Internet (o IP). Tutte le macchine (ad es. siti Web, server e servizi Web) hanno un indirizzo IP assegnato, che consente ai nostri computer di individuare e connettersi ad altri computer remoti e consente la comunicazione che supporta il nostro World Wide Web. Il Domain Name System lavora per rendere più facile per gli umani l’uso di Internet e rimuove il requisito per noi di ricordare tutti quegli indirizzi IP solo numerici. Piuttosto, il sistema DNS traduce nomi e parole alfanumerici leggibili in un indirizzo IPv4 o IPv6 corrispondente. I server DNS si trovano in tutto il mondo e mappano gli indirizzi IP sui rispettivi nomi di dominio, come un elenco telefonico mondiale per i siti web.

Il filtro DNS di WebTitan consente in modo efficace configurazioni di sicurezza di rete avanzate a livello di dominio. Se provi a visitare un sito Web e il dominio risulta dannoso, una soluzione di filtraggio DNS di WebTitan potrebbe bloccare o reindirizzare tale richiesta a una pagina sicura, a seconda della sua configurazione.

I reparti IT hanno implementato il filtro DNS di WebTitan e configurato le impostazioni DNS a livello di router/gateway su macchine fisiche residenti in sede. Negli anni più recenti, le aziende hanno sempre più esternalizzato questo tipo di attività di amministrazione, facendo affidamento sul supporto esterno di provider di servizi Internet (ISP) e provider di servizi di sicurezza gestiti (MSSP). Al giorno d’oggi, puoi acquistare una soluzione DNS premium o aziendale, configurare la tua rete per elaborare le richieste DNS attraverso quel servizio ed essere subito operativo con una soluzione di filtraggio DNS WebTitan funzionale in pochissimo tempo. Tuttavia, prima di prendere una decisione significativa che potrebbe avere un impatto sulla sicurezza della tua rete e sui futuri piani di protezione informatica, dovresti comprendere i vantaggi, i limiti e i dettagli sulla scalabilità di una soluzione di filtraggio DNS standard di ebTitan per il filtraggio web.

Il filtro DNS di WebTitan è ancora uno dei passaggi di base più importanti verso la creazione di un’infrastruttura IT scalabile e sicura e può fornire una protezione avanzata per qualsiasi cosa, dalla pornografia ai siti di gioco, dalla condivisione di file ai siti Web di notizie, social media, piattaforme di blog e altro ancora.

Vantaggi del DNS filtering di WebTitan

Ci sono una serie di vantaggi critici forniti da  WebTitan DNS Filtering. Il principale è la capacità di bloccare completamente l’accesso a siti Web dannosi e compromessi, nonché a quelli che sarebbero considerati siti “sgradevoli” come quelli che ospitano contenuti relativi alla pornografia, alla violenza, al terrorismo e altro ancora.

I vantaggi secondari rendono WebTitan DNS Filtering una soluzione ideale per un’ampia gamma di aziende e organizzazioni. Il filtro DNS di WebTitan è leggero, veloce e scalabile e con offerte premium e di livello aziendale offre una flessibilità avanzata per la gestione e la personalizzazione delle policy. Ogni organizzazione opera in modo diverso e ha requisiti e norme culturali unici, nonché abitudini di navigazione sul web. Il filtro DNS di WebTitan consente ai team IT di supportare configurazioni personalizzate in tutta tranquillità.

Come accennato, il vantaggio più significativo che WebTitan DNS Filtering offre alle organizzazioni è la capacità di bloccare in modo proattivo l’accesso a siti potenzialmente dannosi, un primo livello critico di sicurezza e difesa informatica. Quando esaminiamo i metodi comuni di consegna del payload e i punti di compromissione dalle varie minacce online (ad es. malware, ransomware, attacchi di phishing, ecc.) troviamo un evidente denominatore comune. E questo è il buon vecchio errore dell’utente.

Con WebTitan DNS Filtering in atto e la corretta configurazione e supporto dai feed forniti da società di sicurezza informatica affidabili, puoi costruire un importante muro di difesa. Quando il traffico di rete e gli utenti hanno limitato l’accesso a siti Web indesiderati (in particolare siti dannosi e discutibili), vengono immediatamente rimossi numerosi rischi per la sicurezza di scarsa entità.

Inoltre, se sei un imprenditore, ottieni l’ulteriore vantaggio di impedire a quegli utenti di accedere ai tipi di materiali che potrebbero ostacolare la loro produttività o offendere gli altri durante il giorno (ad es. social media, siti di blog discutibili, eccetera.).

I provider di sicurezza e filtro come WebTitan offrono opzioni di distribuzione ibride che supportano il filtro DNS standard di WebTitan, nonché il filtro e l’analisi degli URL a percorso completo. Ciò consente a un’organizzazione di sviluppare e implementare soluzioni avanzate che supportano non solo configurazioni avanzate per il blocco, il reindirizzamento o l’inserimento di domini in whitelist, ma anche per la categorizzazione del contenuto del percorso completo, l’analisi, il rilevamento dannoso, l’analisi del traffico e altro ancora. Per le aziende di comunicazione, i fornitori di sicurezza e altri in cui la sicurezza è di primaria importanza, un’infrastruttura scalabile e sicura è fondamentale per la scalabilità, l’agilità e la crescita a lungo termine.

Soluzioni di DNS Filtering di WebTitan

È importante ricordare e comprendere che nessuna singola soluzione di sicurezza informatica è efficace al 100% contro il panorama delle minacce in evoluzione che affrontiamo. Il filtro DNS di WebTitan fa molto per fornirti un’infrastruttura di rete critica per proteggere il tuo traffico Internet e gli utenti, ma richiede anche una strategia solida e partner di sicurezza informatica, feed e altre tecnologie affidabili per fornire la massima protezione. Anche antivirus, filtri antispam, autenticazione a due fattori e criteri di riparazione sono fondamentali per difendere le tue reti.

Tutto sommato, WebTitan DNS Filtering consente alle organizzazioni di applicare politiche di utilizzo di Internet complete, lungimiranti e solide, bloccando l’accesso a contenuti di siti Web dannosi e altre minacce che potrebbero potenzialmente causare danni. Potresti non essere in grado di impedire a te stesso di diventare il bersaglio di un hacker, ma con l’infrastruttura e le tecnologie in atto come il filtro DNS di WebTitan, puoi migliorare significativamente le tue difese contro le minacce note e ridurre le possibilità che la tua rete venga penetrata da un errore accidentale dell’utente.

Rapid7 visionary per Gartner nel Magic Quadrant 2021 per Application Security Testing (DAST)

Rapid7 visionary per Gartner nel Magic Quadrant 2021 per Application Security Testing (DAST)

Rapid7, Inc (NASDAQ: RPD), fornitore leader di analisi e automazione della sicurezza, ha annunciato oggi di essere stata riconosciuta come Visionary da Gartner nel Magic Quadrant 2021 per l’Application Security Testing (DAST). Rapid7 è stato riconosciuto per la sua completezza di visione e capacità di esecuzione.

Poiché gli sviluppatori distribuiscono applicazioni con sempre maggior velocità, attraverso forze lavoro remote e distribuite, gli ambienti applicativi moderni stanno diventando più complessi e difficili da proteggere. La sicurezza delle applicazioni richiede una forte collaborazione interfunzionale che comprenda i gruppi responsabili della sicurezza, dello sviluppo software e delle operazioni, nonché la capacità di scalare rapidamente e fornire informazioni tempestive sullo stato attuale delle attività. Il portafoglio di sicurezza delle applicazioni best-in-class di Rapid7, parte della più ampia piattaforma di operazioni di sicurezza dell’azienda, offre agli utenti un’esperienza senza soluzione di continuità, generando approfondimenti sulla sicurezza delle applicazioni per le principali parti interessate durante l’ntero ciclo di vita della distribuzione del software (SDLC) per correggere rapidamente le vulnerabilità e ridurre i rischi.

“Le sfide uniche poste nell’ultimo anno hanno presentato nuove opportunità alle aziende di investire nelle loro applicazioni, sottolineando anche la necessità di una maggiore sicurezza”, ha affermato Cindy Stanton, vicepresidente senior, gestione del rischio di vulnerabilità presso Rapid7. “Abbiamo riconosciuto il crescente desiderio di un portafoglio di sicurezza delle applicazioni che fornisca senza soluzione di continuità la collaborazione e la visibilità necessarie per proteggere i moderni ambienti applicativi. Siamo onorati di essere stati riconosciuti da Gartner per le nostre capacità di sicurezza delle applicazioni e non vediamo l’ora di continuare a offrire esperienze innovative che proteggano le aziende”.

Rapid7 è noto per il suo portafoglio in espansione di soluzioni che soddisfano i moderni requisiti di sicurezza delle applicazioni. Questo portafoglio include funzionalità di monitoraggio e protezione delle applicazioni attraverso i servizi tCell RASP e Next Generation WAF, nonché la scansione Infrastructure-as-Code (IaC), la protezione del carico di lavoro e la gestione della sicurezza del cloud. La società ha anche recentemente annunciato una partnership con Snyk per fornire SCA e SAST per proteggere le applicazioni moderne durante la fase di sviluppo.

Inoltre, InsightAppSec, la migliore soluzione DAST di Rapid7, offre ai clienti:

  • Un’unica visione dei rischi applicativi e una guida esperta per la riparazione che dà priorità ai risultati in modo che i team di sviluppo possano concentrarsi sui rischi più critici.
  • Uno strumento di scansione delle vulnerabilità delle applicazioni dinamiche a basso falso positivo e ad alta copertura che esegue la scansione di qualsiasi applicazione moderna per trovare le vulnerabilità; riproduce anche gli attacchi per la verifica.
  • Modelli di attacco best-in-class che possono essere utilizzati per identificare rapidamente le 10 principali vulnerabilità di OWASP; questi modelli sfruttano anche i risultati della comunità globale Metasploit e la ricerca sulle minacce di Rapid7 .
  • Ricche funzionalità di reporting che aiutano con la conformità e la correzione degli standard normativi come OWASP, PCI-DSS e HIPAA, nonché la reportistica per i team dirigenziali ed esecutivi.
  • Risultati sulla sicurezza delle applicazioni e identificazione delle vulnerabilità integrati in anticipo nella pipeline di sviluppo e CI/CD.
  • Integrazione con Web application firewall (WAF), per generare automaticamente regole di patching virtuali e supportare la correzione delle vulnerabilità.

Per saperne di più sul portafoglio di sicurezza delle applicazioni di Rapid7, fai clic qui.

Per visualizzare una copia gratuita del rapporto completo Gartner Magic Quadrant for Application Security Testing, fai clic qui.

Gartner, Magic Quadrant for Application Security Testing, Dale Gardner, Mark Horvath, Dionisio Zumerle,27 May 2021

Gartner does not endorse any vendor, product or service depicted in its research publications and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Informazioni su Rapid7
Rapid7 (Nasdaq: RPD) sta migliorando la sicurezza con visibilità, analisi e automazione fornite attraverso il nostro cloud Insight. Le nostre soluzioni semplificano il complesso, consentendo ai team di sicurezza di lavorare in modo più efficace con l’IT e lo sviluppo per ridurre le vulnerabilità, monitorare i comportamenti dannosi, indagare e arrestare gli attacchi e automatizzare le attività di routine. Oltre 8.900 clienti si affidano alla tecnologia, ai servizi e alla ricerca Rapid7 per migliorare i risultati di sicurezza e far progredire in modo sicuro le proprie organizzazioni.

I tre ostacoli sulla strada del passwordless

I tre ostacoli sulla strada del passwordless

In Hypr, abbiamo avuto il privilegio di osservare le aziende di tutto il mondo eliminare con successo le password per i loro clienti e dipendenti. Questi pionieri hanno stabilito lo standard e hanno dimostrato i vantaggi permessi dall’autenticazione senza password. Alcuni degli ingredienti chiave includono una chiara comprensione del motivo per cui stanno andando oltre le password, nonché la volontà di fidarsi dei loro partner nella definizione del come.

Abbiamo anche visto aziende meno fortunate che hanno incontrato degli ostacoli: infatti, nonostante il forte desiderio di implementare la sicurezza di nuova generazione, alcune organizzazioni non riescono a rimuovere le password. Alcuni hanno condotto ricerche di mercato che non hanno avuto alcun esito pratico. Altri avevano “iniziative passwordless” iniziate nel 2018, impantanate da progetti di orchestrazione delle identità e solo ora stanno finalmente implementando password complesse di 14 caratteri (?).

Queste situazioni sfortunate hanno alcune cose in comune. Ecco le 3 principali cose che abbiamo visto ostacolare un percorso passwordless e come evitarle:

1. Aspettarsi che lo faccia il tuo Identity Provider

Se pensi che l’attuale Identity Provider (IdP) che stai utilizzando eliminerà tutte le tue password, non è l’assunzione corretta: le piattaforme di identità legacy sono state costruite su password e MFA basato su password. Mentre i giganti IAM hanno fatto un lavoro incredibile e hanno rivoluzionato la sicurezza digitale, l’eliminazione di password e segreti condivisi non è la loro competenza principale. In effetti, l’autenticazione stessa è sempre stata una funzionalità aggiuntiva per l’IdP. Non è stato necessario investire risorse significative per migliorare l’autenticazione. Di conseguenza, su questo fronte sono state apportate pochissime innovazioni. Basta guardare il Gartner Magic Quadrant 2020 per IAM. Perché il quadrante “Visionari” è vuoto?

La mancanza di concentrazione e innovazione è il motivo per cui vediamo sempre più aziende disaccoppiare l’autenticazione dall’identità. Dopo anni di attesa per l’arrivo dell’autenticazione di nuova generazione e la lettura di post su blog sui vantaggi dell’assenza di password, questi clienti restano confusi quando si rendono conto che il loro IdP utilizza ancora le password… ovunque.

Fortunatamente, un numero crescente di organizzazioni ha capito le differenze tra marketing senza password e MFA senza password. Coloro che sono riusciti in questa missione sono team che si sono resi conto che non possono evolversi oltre le password se si affidano semplicemente ai loro fornitori di identità in carica.

2. Lasciare che Perfect sia il nemico di Great

“Abbiamo bisogno che tutti siano in grado di utilizzare lo stesso metodo di autenticazione ovunque, in tutte le condizioni, il primo giorno.”

Questa mentalità unica per tutti appare spesso in organizzazioni grandi e complesse che stanno (giustamente) cercando di eliminare le password per tutti gli utenti. È lodevole vedere i leader di progetto che si sforzano di soddisfare tutti i casi d’uso e casi limite il primo giorno. Sfortunatamente, il bombardamento a tappeto della password non funziona mai. Il processo effettivo è più simile a falciare un prato, una sezione alla volta, finché tutta l’erba non appare uniforme.

Per un’azienda, la trasformazione senza password è simile a una trasformazione nel cloud. Si muove in modo incrementale e soddisfa le esigenze di una vasta gamma di dispositivi utente, applicazioni e casi limite. Queste variabili si manifestano in diversi modi:

  • Le preferenze personali degli utenti possono variare. Molte persone sono incollate al proprio smartphone. Alcuni preferiscono utilizzare il desktop per tutto ciò che riguarda il lavoro.
  • Alcuni utenti hanno un vecchio telefono o nessun telefono. Gli ambienti complessi hanno popolazioni di dispositivi e requisiti di conformità molto diversi.
  • I reparti altamente regolamentati potrebbero vietare gli smartphone e richiedere l’uso di un token di sicurezza hardware.
  • E, naturalmente, molti utenti semplicemente non vogliono portare con sé un altro pezzo di hardware.

Vedi perché l’approccio “taglia unica” fallisce? Cercare di risolvere ogni caso d’uso e caso limite il primo giorno è una ricerca assoluta della perfezione. Queste organizzazioni sfruttano i vari metodi di accesso senza password che soddisfano le esigenze di ogni situazione. La tua strategia MFA dovrebbe consentire l’uso di Autenticazione avviata da dispositivo mobile, Token di sicurezza FIDO2 e autenticatori nativi come Windows Hello. Le aziende passwordless di successo sono quelle che si concentrano su un’implementazione progressiva come delineato nella nostra Guida gratuita all’eliminazione della password.

3. Team IT e di sicurezza che non sono allineati

L’allineamento dei team è fondamentale per il successo di un progetto di trasformazione. Molte iniziative IT si sono fermate quando i reparti non si vedono negli occhi o hanno programmi contrastanti. Qualsiasi trasformazione significativa della forza lavoro dipende dal fatto che l’IT e l’help desk diventino sostenitori del progetto. È qui che entra in gioco il mio punto precedente sull’enfasi sul “perché”.

L’eliminazione delle password porta un enorme vantaggio in termini di esperienza utente, maggiore sicurezza e risparmio sui costi. Questi impatti si manifestano immediatamente in tutta l’organizzazione poiché la riduzione dei ticket di supporto relativi alle password migliora la vita dell’IT, dell’help desk e dei team di supporto. Questi gruppi sono la base per qualsiasi iniziativa di autenticazione di successo e devono capire perché sta accadendo e come possono trarne vantaggio.

La buona notizia è che MFA senza password ha l’abitudine di riunire i reparti. Raramente i team IT, InfoSec, Frode, Conformità e Line of Business si uniscono con una tale passione per un obiettivo comune. Abbiamo visto alcuni dei team più frammentati costruire legami duraturi sul successo di un’implementazione senza password.

Per sbarazzarti delle password, pensa come una password

No, non proprio. Ma farlo bene significa adottare una mentalità senza password. Ecco un riepilogo di ciò che stanno facendo le società senza password:

Vai senza password alle tue condizioni. Non aspettare che il tuo provider IAM in carica elimini le password (non lo faranno) e non lasciare che siano i fornitori legacy a dettare cosa dovrebbe significare per te l’identità senza password.

Non lasciare che il perfetto sia il nemico del grande. Concentrati sulle vittorie rapide con un gruppo di utenti alla volta mentre avanzi verso uno stato senza password.

Allinea le tue squadre verso un obiettivo comune. MFA senza password si vende da solo. Nessuno vuole tornare alle password. Concentrati sul motivo per cui l’eliminazione della password è importante per i tuoi colleghi e accelererà naturalmente da sola.

Separare i fatti dalla finzione nel viaggio verso l’autenticazione passwordless

Separare i fatti dalla finzione nel viaggio verso l’autenticazione passwordless

Lo scopo di questo post è quello di adottare un approccio obiettivo per comprendere le sfide che presentano le password, cosa significa “passwordless” e cosa possono aspettarsi le aziende che intraprendono il viaggio verso l’autenticazione senza password dei propri utenti, analizzando i fatti e la finzione. Ora, è difficile avere una conversazione sulla mancanza di password se non c’è stata prima una conversazione sulle password.

Pronunciando la parola “passwordless” in una stanza piena di professionisti della sicurezza si possono ottenere diverse reazioni, da un sorriso ironico a un abbandono della stessa stanza. Questo perché la comunità della sicurezza delle informazioni sa che “passwordless” è un termine complicato, e il settore è pieno di posizioni diverse e contraddittorie sull’argomento.

Il paradosso delle password

Le password sono la forma più comune di autenticazione degli utenti e sono facili da odiare perché offrono un livello di sicurezza debole e una difficile esperienza per gli utenti. Per definizione, una password è un segreto condiviso. Il segreto è noto all’utente e al servizio di convalida, è spesso memorizzato su vari dispositivi e può anche essere condiviso nei messaggi o su di un Post-it. Ogni servizio, dispositivo o utente che sia a conoscenza di quel segreto può essere l’obiettivo di un attacco informatico.

Per migliorare la sicurezza, le best practice impongono che le password siano univoche e complesse. Tuttavia, queste pratiche sono sempre più inefficaci contro i moderni attacchi di phishing, e rendono le password ancor più difficili da usare. Per evitare flussi di “password dimenticata”, si diventa tentati di condividere le password tra i servizi (il che, ancora una volta, aumenta i rischi per la sicurezza).

Inoltre, la sicurezza e l’usabilità sono in contrasto con le password. Una migliore sicurezza porta a un’esperienza utente peggiore e viceversa. Quindi è ora di dire addio alle password, giusto? Non così in fretta.

In realtà, c’è molto da apprezzare sulle password. Sebbene le password possano offrire scarsa sicurezza e usabilità, sono ancora ampiamente utilizzate per diversi motivi:

  • Portabilità : una password o un segreto condiviso può essere applicato a quasi tutto: accesso a dispositivi, documenti, account, servizi. Implementare questa forma di autenticazione, rendendo davvero facile l’accesso a qualcosa, non richiede molta infrastruttura.
  • Compatibilità : con pochissime eccezioni, ogni applicazione e servizio che utilizzi ha una password. Certo, potrebbe essere necessario un secondo fattore aggiuntivo per l’autenticazione, ma la password è fondamentale e universale. Non devi mai davvero pensare se un servizio è compatibile o meno con il concetto di password. L’immissione delle password è l’attività predefinita che svolgiamo tutti i giorni.
  • Interoperabilità : sia che si stia effettuando l’autenticazione su un computer, smartphone, Nintendo o Apple TV, si può inserire facilmente una password. Le password sono universalmente supportate e non è necessario eseguire l’aggiornamento al dispositivo mobile più recente o installare il software client per utilizzare una password. Funzionano e basta.

Perché questo è importante? Se l’obiettivo è di mandare in pensione l’autenticazione tramite password, qualsiasi alternativa ha bisogno di offrire significativi miglioramenti sia per la sicurezza che per la fruibilità, senza compromettere i nostri bisogni per la portabilità , compatibilità , e l’interoperabilità . Per mettere questi concetti in prospettiva, definiamo il termine “passwordless”.

Cos’è l’autenticazione passwordless?

Negli ultimi anni, il termine “passwordless” ha preso piede e ora è utilizzato da molti fornitori di soluzioni di sicurezza, autenticazione e identità, ciascuno con la propria sfumatura unica. Per chiarezza, forse meglio usare una definizione più ampia. In Yubico, è stata adottata la seguente definizione:

L’autenticazione passwordless è qualsiasi forma di autenticazione che non richiede all’utente di fornire una password all’accesso.

Può sembrare semplice, ma c’è un po’ da elaborare in merito. Esistono molte implementazioni diverse dell’autenticazione passwordless, e tutte hanno dei compromessi. Ad esempio, alcune implementazioni passwordless sono progettate specificamente per risolvere i problemi di usabilità:

SMS  : molti si riferiscono alla verifica tramite SMS come passwordless, semplicemente perché non è necessario ricordare una password. Di solito viene inviato un codice OTP valido per un breve periodo di tempo che l’utente può utilizzare per autenticarsi. (E non sottolineiamo l’ironia del fatto che “OTP” sta per “password monouso – One Time Password”)

Email Magic Link : un collegamento univoco con un token viene creato per un utente e consegnato a un’e-mail. Facendo clic sul collegamento si verifica l’utente per quel particolare servizio.

Esistono varianti dell’utilizzo di SMS per fornire il Magic Link, ma in generale questi due flussi di autenticazione possono offrire una migliore usabilità rispetto alle password. Tuttavia, entrambi sono altamente suscettibili al phishing. Se l’utente viene indotto a digitare il codice OTP o a fare clic sul magic link, nessuna di queste soluzioni senza password offre molta sicurezza. Consulta il nostro blog su “In che modo il phishing moderno sconfigge l’autenticazione a più fattori di base “.

Altre implementazioni di passwordless sono progettate specificamente per affrontare i problemi di sicurezza:

Smart card (PIV / CAC) : le smart card sono uno dei modi più efficaci per proteggersi dal phishing. L’utente deve inserire la propria smart card in un lettore e convalidare la smart card con un PIN univoco. Questo è un modo infallibile per fermare gli attacchi di phishing remoti nelle loro tracce. Ma le smart card tradizionali non sono molto portatili, compatibili o interoperabili. Può essere complesso e costoso implementare le smart card tradizionali su larga scala, rendendole difficili da usare e inaccessibili per la maggior parte delle persone e di molte aziende.

Password vs PIN

Dal punto di vista dell’usabilità, possono sembrare molto simili, qualcos’altro da ricordare. Ma dal punto di vista della sicurezza, sono molto diversi. Una password viene trasmessa e convalidata su un server, il che significa che può essere intercettata o rubata. Un PIN è locale per il dispositivo. Ad esempio, quando utilizzi la tua carta di debito presso un bancomat, il PIN sblocca solo la carta di debito. Non viene mai trasmesso o archiviato altrove. Ecco perché quando viene rubata una carta di debito e viene emessa una nuova carta, è necessario selezionare un nuovo PIN.

Ci sono alcuni motivi per cui questa distinzione è importante.
  1. Un PIN è molto più sicuro di una password (oh yes).
  2. La maggior parte delle forme complesse di autenticazione senza password richiede un PIN, quindi devi comunque ricordare qualcosa (sorry).
  3. La maggior parte degli autenticatori biometrici utilizza il viso o l’impronta digitale per “rilasciare” il PIN per eseguire l’operazione, e per impostazione predefinita il PIN non è disponibile (come quando riavvii un iPhone o provi a sbloccarlo mentre indossi una maschera). In altre parole, l’autenticatore biometrico non sostituisce effettivamente il PIN.

Microsoft fornisce anche molte informazioni utili che spiegano “Perché un PIN è meglio di una password” .

Il ruolo degli standard aperti e delle piattaforme di identità

Ci vuole un ricco ecosistema di standard aperti costruito per ottenere sicurezza e usabilità, soddisfacendo anche la necessità di portabilità, compatibilità e interoperabilità per scalare alle masse. Fin dall’inizio, Yubico ha sostenuto standard di sicurezza aperti per raggiungere questi obiettivi. Yubico ha aperto la strada aprendo la strada agli standard aperti WebAuthn e FIDO e ha lavorato con giganti della tecnologia come Google, Microsoft e Apple per integrare questi standard nei sistemi operativi e nei browser che usiamo ogni giorno. Questi standard, associati a una YubiKey , consentono un’autenticazione forte su dispositivi, app e servizi senza alcun software proprietario aggiuntivo. Funziona e basta.

Le soluzioni di Identity and Access Management (IAM) (ad esempio Azure Active Directory, Onelogin, Okta, Duo, Ping) hanno anche adottato standard aperti sovrapponendosi ai giganti della piattaforma per fornire la funzionalità e la scala di cui le aziende hanno bisogno per adottare una forte autenticazione senza password per le aziende critiche applicazioni e servizi.

Se hai già investito in una piattaforma IAM, esplora le opzioni senza password che offrono. La maggior parte avrà un’app di autenticazione mobile per aumentare alcune delle esperienze utente su vari sistemi legacy fornendo un’esperienza alternativa senza password non WebAuthn / FIDO. Sebbene l’autenticazione mobile sia più forte di una password, le app di autenticazione mobile possono essere modificate , motivo per cui tutte le principali piattaforme IAM hanno il supporto nativo per le chiavi di sicurezza hardware come YubiKey.

Il ponte verso il passwordless

Passwordless è un percorso, non una transizione dall’oggi al domani. E Yubico è in questo percorso con te.

Questo periodo transitorio è ciò per cui YubiKey è stato progettato: per essere in grado di incontrarti esattamente dove sei ed evolversi con la tua infrastruttura di sicurezza. Le YubiKeys non richiedono software client o periferiche, come un lettore di schede. E abbiamo progettato YubiKey per supportare la più ampia serie di protocolli di sicurezza. Puoi porre fine alle acquisizioni di account ora utilizzando YubiKey resistente al phishing come secondo fattore oltre a una password. E la stessa YubiKey può essere implementata in ambienti senza password con i nostri partner IAM come smart card o chiave di sicurezza FIDO2. YubiKey è davvero il tuo ponte verso il passwordless

Insieme all’ecosistema degli standard aperti e ai partner IAM, Yubico è entusiasta di offrire sicurezza e usabilità su qualsiasi scala, senza compromessi.

Tripletta per TitanHQ ai Best-Of Awards di Expert Insights

Tripletta per TitanHQ ai Best-Of Awards di Expert Insights

TitanHQ è stato riconosciuto da Expert Insights per la forza delle sue soluzioni di sicurezza web e e-mail.

GALWAY , Irlanda e TAMPA, Florida , 25 febbraio 2021 / PRNewswire / – TitanHQ è lieta di annunciare che tre delle sue soluzioni di sicurezza sono state nominate tra i vincitori del premio “Best-Of” 2021 di  Expert Insights in entrambe le e-mail e categorie di sicurezza web. I premi Best-Of di Expert Insights riconoscono soluzioni IT innovative che forniscono una protezione potente per i loro clienti. TitanHQ è stato riconosciuto da Expert Insights  per la potente protezione dalle minacce, la facilità d’uso e l’economicità, che li rende popolari per le imprese, le PMI e gli MSP alla ricerca di una protezione completa contro le minacce via web e e-mail.

Secondo Craig MacAlpine , CEO e fondatore di Expert Insights, “il 2020 è stato un anno senza precedenti di sfide alla sicurezza informatica, con un rapido aumento del lavoro a distanza che ha causato una massiccia accelerazione del crimine informatico. I premi Best-Of di Expert Insights sono progettati per riconoscere i fornitori di sicurezza informatica innovativi come TitanHQ, che ha sviluppato soluzioni potenti per proteggere le aziende da crimini informatici sempre più sofisticati “.

Con sede a Galway, in Irlanda e con uffici a Tampa, in Florida , TitanHQ fornisce ai Managed Service Provider (MSP) e alle aziende soluzioni avanzate di filtraggio web , sicurezza e-mail e archiviazione della posta. L’azienda ha oltre 20 anni di esperienza nel settore della sicurezza informatica e protegge oltre 8.500 aziende e 2.500 MSP in 150 paesi.

Secondo il CEO di TitanHQ Ronan Kavanagh , “La recente pandemia e la crescita delle iniziative di lavoro a distanza hanno ulteriormente evidenziato la necessità di più livelli di sicurezza informatica e le nostre soluzioni pluripremiate costituiscono i pilastri chiave di questa strategia di sicurezza. Continueremo a innovare e fornire soluzioni che gli MSP possono utilizzare per fornire un’esperienza coerente, sicura e affidabile ai propri clienti “.

TitanHQ fornisce una gamma completa di soluzioni di sicurezza potenti e sicure, tutte ampiamente meritevoli di questi premi Expert Insights: WebTitan per la sicurezza web e il filtraggio dei contenuti; SpamTitan per la sicurezza della posta elettronica  e la protezione anti-malware; e ArcTitan per l’archiviazione della posta elettronica. 

Informazioni su TitanHQ
TitanHQ è un’azienda SaaS di 20 anni e pluripremiata di filtraggio web, sicurezza e-mail e archiviazione e-mail. Proteggiamo 8.500 aziende e lavoriamo quotidianamente con oltre 2.500 MSP. Proteggiamo i tuoi clienti da malware, ransomware, phishing, virus, botnet e altre minacce informatiche. La cosa più importante è che i nostri prodotti sono stati costruiti da zero con MSP per MSP. Risparmiamo tempo di progettazione e supporto agli MSP bloccando i problemi alla fonte e fornendo allo stesso tempo prodotti ideali da vendere nel loro stack tecnologico.
www.TitanHQ.com

Come fermare il diluvio di dati esposti tramite DNS Filtering

Come fermare il diluvio di dati esposti tramite DNS Filtering

Nel 2020, 37 miliardi di record di dati sono stati segnalati a seguito di violazioni dei dati. Le violazioni dei dati costano denaro, reputazione e tempo per essere corrette e i criminali informatici non sembrano mai stancarsi di creare metodi di attacco sofisticati e complessi per contrastare le misure di sicurezza. Una volta persi, i dati rubati diventano il dono che continua a dare, poiché i dati vengono venduti per essere utilizzati in una serie di ulteriori atti fraudolenti. Misure di sicurezza positive come le soluzioni di filtraggio intelligente dei contenuti tramite DNS possono ribaltare la situazione sui criminali informatici e, osservando le recenti violazioni dei dati, un’organizzazione può capire quali misure sono necessarie per rendere il suo atteggiamento di sicurezza informatica abbastanza positivo da fermare il flusso di dati esposti.

Analisi di una recente violazione dei mega dati

Nitro PDF è un servizio utilizzato per firmare digitalmente, spesso sensibili, documenti e contratti aziendali. L’azienda è stata vittima di un recente attacco informatico che ha portato alla violazione dei dati personali di oltre 77 milioni di utenti. La società ha agito rapidamente e ha inserito un avviso sul proprio sito Web con alcuni dettagli della violazione e le azioni correttive.

Tuttavia, è stato da allora troppo tardi, e un gruppo di hacker noto come ‘ShinyHunters’, aveva messo i dati rubati in vendita : Questi dati inclusi in tutto 1 TB di documenti PDF, insieme con i set di dati di 77 milioni di utenti, compresi i nomi, indirizzi e-mail e password con hash bcrypt. Il furto ha colpito molte grandi aziende tecnologiche tra cui Amazon, Google e Microsoft. L’attacco al servizio di Nitro è stato identificato nel settembre 2020. Tuttavia, nel maggio 2020, Cisco Talos ha pubblicato diverse vulnerabilità trovate nel servizio “Pro” di Nitro, attivate da un utente che esegue codice dannoso, come quello trovato in molti siti Web di phishing o allegati di posta elettronica. .

Il gruppo di hacker ShinyHunters è stato responsabile di numerosi attacchi, inclusa una violazione che ha coinvolto i repository GitHub privati ​​di Microsoft . Dall’attacco a Nitro, ShinyHunters è stato coinvolto in diverse ulteriori violazioni, esponendo quasi 130 milioni di record di dati.

ShinyHunters non è un esempio isolato. Sia gli individui che i gruppi sono alla continua ricerca di punti deboli nell’infrastruttura di un’organizzazione da sfruttare.

La caduta a lungo raggio di una violazione dei dati

I metodi utilizzati da gruppi di hacking come ShinyHunters e singoli criminali informatici sono vari e spesso possono essere sfaccettati. Le tecniche spesso coinvolgono e-mail di phishing o spear-phishing che portano al furto di credenziali di accesso che possono essere trasferite all’accesso privilegiato di dati sensibili e altre risorse. Altre tattiche di violazione includono vulnerabilità di configurazione errata del server e scarsa igiene della sicurezza e gestione delle credenziali. Questa intricata rete di tecniche connesse può portare a una scarsa efficacia delle misure preventive a meno che non venga utilizzato un approccio più intelligente. I criminali informatici continuano a scatenarsi sulle soluzioni di sicurezza tradizionali come il software antivirus perché non è un modo proattivo per fermare le minacce in evoluzione. I gruppi, come ShinyHunters, si muovono rapidamente, cambiando le loro tattiche per aggirare ed eludere il rilevamento.

Le violazioni dei dati spesso vengono alla luce solo giorni se non settimane o mesi dopo che i dati sono stati violati, aggravando così il problema di trovare la corretta prevenzione delle minacce informatiche. Durante questo intervallo di tempo, i criminali informatici esfiltrano i dati, li raccolgono, li filtrano, li posizionano su siti di aste e li trasferiscono su altri truffatori, che poi li utilizzano per commettere crimini informatici continui. Frodi come il furto di identità e l’acquisizione di account sono in aumento, con la tecnica del ” credential stuffing” utilizzata per eseguire l’accesso e il controllo fraudolento dell’account. Il risultato della perdita di dati è di vasta portata e di lunga durata. È stato dimostrato, ad esempio, che l’acquisizione di un account ha un grave impatto negativo sui commercianti e sui clienti. In un recente sondaggio sull’impatto dell’acquisizione di account, Il 65% dei clienti smetterebbe di acquistare da un commerciante se il proprio account venisse compromesso.

Il furto di dati crea una spirale di ulteriori crimini informatici che si alimentano a vicenda e rendono defunta qualsiasi misura più reattiva.

Controllo in tempo reale delle violazioni dei dati

Gli approcci statici (più reattivi) per proteggere i dati sono quasi uno straccio rosso per un toro quando si tratta di truffatori. A meno che un’organizzazione non abbia un atteggiamento proattivo di sicurezza informatica, i gruppi di hacker continueranno a scatenarsi attraverso i servizi cloud e oltre. Invece, un’organizzazione dovrebbe utilizzare un approccio che implementa misure avanzate e in tempo reale per chiudere la porta prima che il cavallo digitale sia scappato. Nel caso di gruppi di hacker come ShinyHunters, l’uso di più tecniche per hackerare i servizi cloud rende più difficile rilevare e prevenire le minacce informatiche. Una combinazione di misure mitigative è il modo per fermare questi attacchi:

  1. Protezione preventiva per bloccare le email di phishing prima che arrivino nelle caselle di posta degli utenti. Una soluzione di prevenzione della posta elettronica e dello spam impedisce alle e-mail dannose di entrare nelle caselle di posta dei dipendenti. Inoltre, lo spear-phishing può essere prevenuto scansionando le e-mail in tempo reale e bloccando le e-mail prima che raggiungano la posta in arrivo di un utente.
  2. Gli strumenti di protezione dalle minacce trasmessi dal Web, come un filtro dei contenuti HTTPS, verificano che un sito Web sia sicuro e non contenga malware. Gli strumenti possono anche verificare se un sito è un sito di phishing: se tutto va bene, un utente può quindi essere autorizzato ad accedere al file.
  3. L’uso di credenziali di accesso affidabili, come l’autenticazione a due fattori, può aiutare a impedire che le credenziali rubate vengano utilizzate nelle acquisizioni di account.
  4. La formazione sulla consapevolezza della sicurezza in tutta l’organizzazione può aiutare a prevenire problemi di igiene della sicurezza, come la condivisione delle password.
  5. Testare un sistema per rilevare i punti deboli della sicurezza rispetto alle prime dieci vulnerabilità delle applicazioni Web di OWASP , che includono aree come l’errata configurazione di server Web e database.

 

Utilizzando un approccio proattivo alla prevenzione della violazione dei dati, è possibile prevenire la furia dei cybercriminali in tutti i servizi aziendali. Leggi la nostra “Guida alla prevenzione della violazione dei dati” .

Proteggi la tua organizzazione dai criminali informatici e dalle violazioni dei dati con WebTitan. WebTitan è un filtro web avanzato che fornisce sia protezione dalle minacce alla sicurezza HTTP e HTTPS, sia filtri DNS avanzati. Avvia la prova gratuita di WebTitan

SpyCloud migliora Active Directory Guardian con un nuovo filtro password

SpyCloud migliora Active Directory Guardian con un nuovo filtro password

SpyCloud, azienda nota per la sua esclusiva piattaforma antifrode alla base di soluzioni per la prevenzione di furti di account e le indagini sulle frodi, ha annunciato oggi di aver aggiunto una nuova funzione di filtro delle password a SpyCloud Active Directory Guardian.

Con dozzine o centinaia di accessi online da gestire, le persone spesso prendono scorciatoie per tenere traccia delle proprie password. Usano parole o nomi facili da ricordare, stringhe facili da digitare come “12345678” o anche password che hanno usato prima. Poiché queste abitudini sono così comunemente seguite, sono anche facili da capire per i cybercriminali. Di conseguenza, negli ultimi quattro anni, le password deboli e quelle rubate sono state costantemente la principale tecnica di hacking identificata nel Verizon Data Breach Investigations Report .

SpyCloud Active Directory Guardian ora impedisce automaticamente ai dipendenti di impostare password rischiose utilizzando un filtro password. Quando un dipendente imposterà una nuova password di Active Directory, il filtro della password selezionerà automaticamente la scelta per caratteri ripetuti o sequenziali, fino a 30.000 voci in un dizionario personalizzato e miliardi di password esposte trovate nel database di SpyCloud di dati di violazione ripristinati, leader del settore.

“Nonostante i ripetuti avvisi, le persone cercano ancora di utilizzare password comuni e deboli”, ha affermato Chris Hajdu , Product Manager di SpyCloud. “È una cosa molto umana da fare semplicemente perché tutti abbiamo così tanti account e password di cui tenere traccia, ma le aziende non possono permettersi di lasciare che queste abitudini mettano a rischio le loro reti”.

Utilizzando insieme le funzionalità esistenti di Active Directory Guardian e il nuovo filtro per le password, le aziende possono applicare password più sicure e ridurre il rischio di una violazione dei dati causata da credenziali deboli o rubate. Il filtro password garantisce che gli account dei dipendenti siano protetti con credenziali sicure dal momento in cui viene creata una nuova password. Poiché nel tempo si verificano nuove violazioni e compromettono più credenziali, Active Directory Guardian può garantire che gli accessi dei dipendenti rimangano protetti rilevando e reimpostando automaticamente le password esposte.

Poiché il filtro della password viene eseguito sul controller di dominio, il filtro della password è progettato per “non essere aperto” per ridurre al minimo qualsiasi potenziale impatto sulle operazioni aziendali. In altre parole, se il filtro delle password fallisce per qualsiasi motivo, consentirà agli utenti di creare password non controllate invece di bloccarle. L’esecuzione di scansioni pianificate o manuali con Active Directory Guardian fornisce il backup per le password ignorate che potrebbero altrimenti scivolare via.

Il filtro delle password riduce anche il tempo e le risorse necessari per allinearsi alle linee guida per le password del NIST, in particolare la guida impegnativa per verificare e reimpostare le password “comunemente usate, previste o compromesse”. Sebbene alcune linee guida per le password NIST possano essere soddisfatte utilizzando le impostazioni integrate nei servizi di directory, l’identificazione di nuove violazioni dei dati e il loro controllo rispetto alle password degli utenti può essere un processo laborioso. Utilizzando il filtro delle password, le aziende possono bloccare le password che NIST considera deboli o compromesse, attingendo al database in continua crescita di SpyCloud di password esposte.

Per ulteriori informazioni, visitare la pagina del prodotto Active Directory Guardian di SpyCloud.

Informazioni su SpyCloud

SpyCloud è leader nella prevenzione delle acquisizioni di account (ATO), proteggendo miliardi di account di consumatori e dipendenti direttamente o attraverso integrazioni di prodotti. Le nostre soluzioni pluripremiate, supportate dal repository di risorse esposte più completo e utilizzabile al mondo, sconfiggono in modo proattivo i tentativi di frode e interrompono la capacità dei criminali di trarre profitto dalle informazioni rubate.

Scopri di più e controlla la tua esposizione

Rapid7 acquisisce Alcide, il principale fornitore di sicurezza Kubernetes

Rapid7 acquisisce Alcide, il principale fornitore di sicurezza Kubernetes

Rapid7 acquisisce Alcide, leader nella sicurezza Kubernetes

Le organizzazioni di tutto il mondo continuano ad abbracciare la flessibilità, la velocità e l’agilità del cloud. Coloro che l’hanno adottata sono in grado di accelerare l’innovazione e fornire valore reale ai propri clienti più rapidamente che mai. Tuttavia, sebbene il cloud possa portare un’enorme quantità di vantaggi a un’azienda, non è privo di rischi. Le organizzazioni necessitano di una visibilità completa dei propri ambienti cloud e container per mitigare rischi, potenziali minacce e configurazioni errate.

In Rapid7, ci sforziamo di aiutare i nostri clienti a stabilire e implementare strategie che consentano loro di adottare e proteggere rapidamente gli ambienti cloud. Osservare solo l’infrastruttura o i contenitori cloud in un silo fornisce una capacità limitata di comprendere l’impatto di una possibile vulnerabilità o violazione.

Per aiutare i nostri clienti ad ottenere una visione più completa dei loro ambienti cloud, sono lieto di annunciare che abbiamo acquisito Alcide, leader nella sicurezza Kubernetes con sede a Tel Aviv, Israele. Alcide fornisce una sicurezza Kubernetes senza soluzione di continuità completamente integrata nel ciclo di vita e nei processi DevOps in modo che le applicazioni aziendali possano essere distribuite rapidamente proteggendo allo stesso tempo gli ambienti cloud da attacchi dannosi.

La piattaforma di protezione del carico di lavoro cloud (CWPP) leader del settore di Alcide offre ampia visibilità e governance in tempo reale, runtime dei container e monitoraggio della rete, nonché la capacità di rilevare, controllare e indagare su minacce alla sicurezza note e sconosciute. Riunendo le funzionalità CWPP di Alcide con le nostre capacità esistenti di gestione della postura (CSPM) e titolarità dell’infrastruttura (CIEM), saremo in grado di fornire ai nostri clienti una piattaforma di sicurezza nativa per il cloud che consente loro di gestire il rischio e la conformità nell’intero ambiente cloud .

Questo è un momento entusiasmante per la sicurezza del cloud, poiché stiamo assistendo a un cambiamento nella percezione. I team di sicurezza del cloud non sono più visti come un centro di costo o un ostacolo operativo e si sono guadagnati il ​​loro posto al tavolo come un investimento critico essenziale per far avanzare il business. Con Alcide, siamo entusiasti di aumentare ulteriormente questo vantaggio competitivo per i nostri clienti.

Non vediamo l’ora di unire le forze con il talentuoso team di Alcide mentre lavoriamo insieme per fornire ai nostri clienti una visibilità completa e unificata sull’intera infrastruttura cloud e sulle applicazioni cloud native.

Il malware per il coin mining aumenta del 53% in Q4 2020

Il malware per il coin mining aumenta del 53% in Q4 2020

È tornato . . . la frenesia delle criptovalute e, di conseguenza, aumenta il malware di coin mining. Come il mercato azionario, l’oro, gli immobili e altre attività, i prezzi dei bitcoin sono aumentati da quando hanno toccato il fondo poco dopo l’epidemia di COVID lo scorso anno. I prezzi dei bitcoin sono aumentati di quasi il 300% durante l’intero periodo di dodici mesi del 2020, chiudendo a un valore di quasi 30.000 USD. Sembra impressionante, finché non si considera che la seconda criptovaluta più popolare, Ethereum, è cresciuta di un sorprendente 450%.

Questa è un’ottima notizia per coloro che hanno investito in Bitcoin all’inizio del 2020. Per i manager IT e i professionisti della sicurezza informatica, tuttavia, non così tanto. Proprio come i prezzi delle criptovalute sono aumentati, così è cresciuto l’interesse per il malware di coin mining. Secondo un recente rapporto, i rilevamenti di malware di cripto-mining sono aumentati del 53% per il quarto trimestre del 2020 rispetto ai tre mesi precedenti. Quando i prezzi aumentano, aumentano anche le infezioni.

Cos’è il Coin Mining?

Il malware Coin-Miner, altrimenti noto come malware di criptovaluta, è un’applicazione che genera criptovalute come Bitcoin, Ehtereum e Monero. Queste valute digitali richiedono molta potenza di elaborazione e memoria per essere create. Oltre ad essere costosi da acquistare e mantenere, i server necessari per estrarli richiedono una grande quantità di elettricità. Per questi motivi, esiste un costo di base per l’estrazione di monete legittime, quindi quando i profitti aumentano, aumenta anche la redditività insieme all’interesse di mining. Quindi, al fine di massimizzare i profitti, alcuni miner malvagi usano malware per estrarre monete per soldi di qualcun altro. Infettando i computer, possono quindi utilizzare le loro risorse di elaborazione e potenza. Queste attività di mining illegali creano il caos sulle prestazioni del computer che quindi influiscono negativamente sulla produttività. Mentre Bitcoin è la criptovaluta più popolare, i coin miner illegali di solito trattano con altre criptovalute come Monero. Questo perché i requisiti per estrarlo sono molto meno rigorosi e le sue transazioni non sono trasparenti, il che apre la porta a transazioni illegali.

Perché il malware Coin-Miner è difficile da rilevare?

Se vieni infettato da Ransomware, una cosa è certa: il malware alla fine annuncerà la sua presenza. Deve informarti del riscatto e di come pagarlo per decrittografare i tuoi dati. Il malware di mining di monete funziona con l’intenzione opposta. Funziona silenziosamente in background il più a lungo possibile, rubando le tue risorse come processore, memoria, scheda grafica e larghezza di banda. L’obiettivo è operare in segreto il più a lungo possibile. Alcuni dei sintomi che potrebbero indicare un’infezione includono quanto segue:

  • Utilizzo elevato di CPU o GPU
  • Tempi di risposta lenti
  • Picchi insoliti nell’attività di rete
  • Utilizzo elevato della memoria
  • Arresti anomali e blocchi frequenti
  • Surriscaldamento

I diversi tipi di malware CoinMiner

Questo silenzioso assassino di risorse informatiche ha tre diversi modi per imporre al tuo dispositivo informatico o smartphone di estrarre criptovaluta:

  • Eseguibili: questo è il tipo tradizionale di malware in cui un’applicazione indesiderata appare sul disco rigido come file eseguibile (.exe).
  • Minatori di criptovaluta basati su browser: in questo caso, l’attività di mining è guidata da un sito Web connesso, non da malware infetto. Il codice di mining viene eseguito nel browser utilizzando JavaScript o un worm direttamente dalla pagina Web attiva. Il computer vittimizzato verrà minato solo finché il browser è collegato al sito Web infetto. Sebbene non così nefasti, gli utenti potrebbero comunque essere ignari dell’attività.
  • Minatori senza file avanzati: qui l’operazione di payload utilizza strumenti legittimi come PowerShell ed esegue il codice di mining all’interno della memoria del computer. Poiché l’operazione non lascia un’impronta duratura, questi tipi di attacchi sono ancora più difficili da rilevare.

Come proteggersi da queste minacce crittografiche

Poiché questi ceppi di malware di cripto-mining sono così difficili da rilevare, la prevenzione è un obiettivo primario.La prevenzione inizia con le basi come garantire che il sistema operativo, i browser Web e l’hardware siano aggiornati.Anche una soluzione per la sicurezza degli endpoint è importante, soprattutto nel rilevare e combattere gli eseguibili di crypto-miner. Sebbene il filtro Internet svolga un ruolo significativo all’interno di qualsiasi strategia di sicurezza multilivello, gioca un ruolo ancora più significativo nell’arresto delle attività di crypto mining indesiderate.Una soluzione come WebTitan impedirà agli utenti di connettersi a siti Web noti per promuovere minatori di criptovaluta basati su browser.Il suo Malicious Detection Service monitora e identifica le minacce dannose in tempo reale per proteggere le sessioni web.Inoltre, blocca malware e altri virus al fine di prevenire gli eseguibili o avanzati Fileless Miners dall’infettare le tue macchine in primo luogo. Con WebTitan, il tuo computer è protetto dalle minacce di mining di monete indipendentemente da quale possa essere il prezzo delle criptovalute ora e in futuro.

Proteggi la tua organizzazione dal malware utilizzando una pluripremiata soluzione di filtraggio DNS e sicurezza web, WebTitan . Inizia una prova gratuita per scoprire tutte le funzionalità di WebTitan per proteggerti dagli attacchi di malware. Inizia oggi la prova gratuita.

 

Rapid7 riconosciuta Strong Performer nel Security Analytics da Forrester Research

Rapid7 riconosciuta Strong Performer nel Security Analytics da Forrester Research

Siamo entusiasti di condividere che Rapid7 è stato incluso nel rapporto Forrester e riconosciuto come Strong Performer in The Forrester Wave™: Security Analytics Platforms, Q4 2020. Secondo il report Now Tech: Security Analytics Platforms di Forrester, Q3 2020, “Una piattaforma di analisi della sicurezza (SA) è costruita su un’infrastruttura di big data, convergenti di registri da rete, identità, endpoint, applicazione e altre fonti rilevanti per la sicurezza per generare comportamenti ad alta fedeltà avvisa e facilita la rapida analisi, indagine e risposta agli incidenti. ” Ciò includerebbe la tecnologia di gestione delle informazioni di sicurezza (SIEM) .

Rapid7 è consapevole che i professionisti della sicurezza stanno affrontando un panorama più impegnativo che mai. La missione di InsightIDR, soluzione SIEM nativamente cloud, è rimuovere il lavoro faticoso e gli oneri operativi associati agli approcci tradizionali e guidare un rilevamento e una risposta efficienti ed efficaci negli ambienti moderni.

La complessità del rilevamento e della risposta non è limitata al lavoro in sé. Per i SOC alla ricerca di nuove tecnologie e partner, la navigazione in questo mercato affollato può essere impegnativa e confusa. Per aiutare gli utenti a navigare in questo settore e nelle sue centinaia di player, Forrester ha valutato gli undici principali fornitori di piattaforme di analisi della sicurezza per fornire un contesto sulle loro attuali offerte e strategie.

Le piccole e medie imprese così come le grandi imprese con risorse limitate che cercano una soluzione SA basata su SaaS dovrebberoconsiderare Rapid7 “. – The Forrester Wave ™: piattaforme di analisi della sicurezza, quarto trimestre 2020 .

Un riconoscimento come questo Wave Report ha dato ulteriore energia al team Rapid7, fornendogli la conferma di essere sulla strada giusta. Questo riconoscimento è il frutto di un impegno incessante e di una grande focalizzazione sui bisogni dei clienti. Secondo The Forrester Wave, “Il feedback che proviene dai clienti indica la facilità di implementazione e funzionamento come punti di forza” e, parlando con i clienti, sappiamo che quasi tutti i team sono limitati in termini di risorse in questo momento. In effetti, molti degli eventi del 2020 hanno ampliato questo divario tra le crescenti esigenze di sicurezza e le risorse e la larghezza di banda disponibili per fare tutto. Rapid7 vuole aiutare i team di sicurezza a colmare questa lacuna e promuovere un rilevamento e una risposta efficaci ed efficienti.

InsightIDR: aiutare i team di sicurezza a concentrarsi su ciò che conta di più

Oltre agli stessi aggressori, il rischio numero uno per i team di sicurezza sono le distrazioni che rendono impossibile riconoscere e rispondere a minacce reali. Per molti team, le distrazioni e la complessità sono in aumento. Come abbiamo esplorato nell’ultima puntata della nostra serie di blog sulla pianificazione della sicurezza , i team sono tesi: spesso indossano molti cappelli, lottano per tenere il passo con ambienti in rapida evoluzione e più aggressori ne stanno approfittando.

Sfortunatamente, molti SIEM tradizionali progettati per aiutare i team a gestire il riconoscimento di queste minacce, spesso finiscono per aumentare la complessità. Le soluzioni tradizionali e in modo nativo on-premise comportano un costo operativo significativo per i team per gestire queste distribuzioni, configurare e mantenere le regole, gestire lo storage e l’hardware e ottimizzare i sistemi per soddisfare le loro esigenze. Questo approccio tradizionale al SIEM non è più solo impegnativo, rende impossibile avere successo nell’attuale panorama del clima e della sicurezza. Come chiarisce questo rapporto di Forrester Wave: “Il futuro dell’analisi della sicurezza è nel cloud”.

Correlati: confronto del valore e del ROI di un SIEM cloud rispetto a un SIEM tradizionale

InsightIDR, il nostro SaaS SIEM nativo, è stato costruito nel cloud da zero per garantire ai team la flessibilità, la potenza di analisi e la scalabilità necessarie per avere successo negli ambienti moderni. Mentre i team cercano soluzioni per combattere la complessità e le carenze di risorse, InsightIDR offre un approccio unico e si concentra sulla promozione dell’efficienza e del ROI per i clienti.

Questo approccio include:

  • Time to value impareggiabile . Nel nostro studio sull’impatto economico totale (TEI) con Forrester Consulting all’inizio di quest’anno: i clienti InsightIDR sono attivi e funzionano 4,7 volte più velocemente del precedente SIEM. Non solo la nostra implementazione SaaS significa che i team si alzano più velocemente, ma non hanno nemmeno hardware o aggiornamenti da gestire e beneficiano di nuovi contenuti, funzionalità e capacità non appena sono disponibili.
  • Visibilità istantanea in ambienti moderni . The Wave osserva: “Rapid7 combina più funzionalità di sicurezza nel cloud” con InsightIDR, che consideriamo una componente fondamentale dell’efficienza che offriamo. Tramite i nostri collettori leggeri, agenti e sensori di rete, i clienti hanno visibilità immediata su diversi ambienti moderni, inclusi endpoint remoti e locali, utenti, traffico di rete, cloud, applicazioni web e altro ancora. Questa copertura completa elimina i punti ciechi e riduce lo sforzo di gestione degli incidenti del 38% , secondo lo studio TEI.
  • Esperienza infusa per rispondere rapidamente e con sicurezza. InsightIDR viene fornito con una ricca libreria di rilevamenti pronti all’uso: nessuna regolazione fine o creazione di regole ardue richieste in anticipo dagli analisti. Questa libreria è gestita e curata dal team SOC MDR di Rapid7e sfrutta le informazioni provenienti dalla rete di intelligence sulle minacce Rapid7 e dai nostri servizi. Questa esperienza integrata si traduce in un27% in meno di falsi positivi rispetto ai precedenti SIEM (fonte: The Total Economic Impact ™ di Rapid7 InsightIDR, uno studio commissionato condotto da Forrester Consulting per conto di Rapid7).
  • Correlazione e automazione per accelerare la risposta . Il motore di attribuzione di InsightIDR tiene traccia degli utenti e delle risorse mentre si spostano nella rete, arricchendo automaticamente ogni registro con i dettagli degli utenti e delle risorse. Non ci limitiamo a importare dati e lasciamo che i team capiscano cosa farne. InsightIDR mette in correlazione e analizza i dati attraverso diverse fonti per fornire indagini complete e ad alto contesto e fornisce funzionalità di automazione per agire direttamente dalla console. Di conseguenza, i clienti di InsightIDR rispondono agli incidenti in un terzo del tempo rispetto al precedente SIEM.

Ci impegniamo a consentire ai clienti di ottenere risultati di sicurezza sofisticati con meno tempo e meno ostacoli e continuerai a vederci investire qui nel prossimo anno. Grazie ai nostri clienti per aver intrapreso questo viaggio con noi e per il vostro continuo feedback e collaborazione. Attendiamo con impazienza il futuro ed entusiasti di condividerne altri presto. Rimanete sintonizzati!

Best practice per la gestione delle minacce e delle vulnerabilità

Best practice per la gestione delle minacce e delle vulnerabilità

Il mondo business di oggi è sempre più guidato dall’e-commerce e dal cloud, il che richiede un approccio proattivo alla gestione delle vulnerabilità . Dopo tutto, i dati delle aziende, così come quelli dei loro clienti, rimangono a rischio per i criminali informatici, il che pone l’onere di proteggere l’infrastruttura IT, sia che si trovi in ​​loco o presso un provider di servizi  cloud.

In questo post del blog, forniamo una panoramica di alto livello sulla gestione delle vulnerabilità e sui motivi per cui è fondamentale per le aziende moderne. Inoltre, esamineremo alcune best practice per la gestione delle minacce e delle vulnerabilità volte a implementare con successo una policy di gestione delle vulnerabilità .

Perché gestire le vulnerabilità è importante

Prima di esaminare alcune best practice, ecco un breve riepilogo dei motivi per cui la gestione delle vulnerabilità è vitale per le odierne attività basate sul cloud. Quattro aree principali evidenziano l’importanza generale di implementare con successo una completa politica di gestione delle vulnerabilità in qualsiasi organizzazione.

In cima a questo elenco c’è la sicurezza. Qualsiasi azienda che adotta la gestione delle vulnerabilità ottiene una migliore capacità di monitorare e porre rimedio alle minacce alla propria infrastruttura hardware e software, sia essa on premise oppure in cloud.

Inoltre, un aumento del tempo di attività del sistema alla fine porta a clienti soddisfatti e a una migliore gestione della stessa. Sfruttare uno strumento di gestione delle vulnerabilità di prim’ordine, come Rapid7 InsightVM , integrato con il sistema di gestione delle patch di un’azienda è un approccio saggio per migliorare il tempo di attività. Aiuta a garantire che le risorse software dell’azienda siano protette da un panorama di minacce in continua evoluzione e non vengano messe offline da attività nefaste.

La conformità alle normative è un’altra considerazione importante per qualsiasi azienda, ma soprattutto per quelle organizzazioni nei settori finanziario, sanitario e governativo. Per alcune di queste aziende, l’implementazione della gestione delle vulnerabilità è semplicemente un requisito. La mancata adozione di una politica di gestione delle vulnerabilità porta potenzialmente a multe costose e danni alla reputazione dell’azienda in questione.

Infine, lo sviluppo di prodotti innovativi separa i leader del settore da tutti gli altri player. Un solido approccio alla gestione delle vulnerabilità garantisce che le nuove funzionalità software vengano implementate ponendo al centro la sicurezza. La gestione delle vulnerabilità aiuta ad allineare meglio i diversi software e il team delle operazioni IT per migliorare il processo di sviluppo .

Le best practice per la gestione di minacce e vulnerabilità in azienda

Quando si adotta la gestione delle vulnerabilità, è importante stabilire aspettative chiare per i diversi team dell’organizzazione. I dipendenti ottengono risultati migliori se ispirati da una serie di obiettivi chiaramente definiti. Quando tutti sono allineati, la protezione delle risorse tecniche dell’organizzazione viene eseguita in modo efficiente.

Come parte di questo approccio, crea accordi organizzativi per ogni squadra. Questi sono essenzialmente l’equivalente interno degli accordi sul livello di servizio visti in tutto il settore tecnologico. È una best practice che consente a diversi team di lavorare in modo cooperativo verso un obiettivo comune.

La collaborazione tra i team è un segno distintivo di un’organizzazione di successo

Promuovere il lavoro di squadra è fondamentale. È uno dei motivi della crescente popolarità del DevOps come metodologia di sviluppo software. Pertanto, è fondamentale che i team collaborino in modo efficiente quando si adotta la gestione delle vulnerabilità in azienda.

Un aspetto di questo focus sul lavoro di squadra implica la standardizzazione della terminologia utilizzata tra i diversi team tecnologici dell’organizzazione. Ad esempio, il team addetto alla sicurezza può fare riferimento agli errori software come “rischi”, mentre il team delle operazioni IT si riferisce ad essi come a qualcosa da correggere. Sebbene sia un problema minore, illustra che l’uso di un gergo diverso per la stessa cosa potrebbe portare a confusione e inefficienza quando si adotta la gestione delle vulnerabilità.

Una best practice per gestire questa situazione è garantire che ogni team tecnico utilizzi le stesse origini dati e la stessa terminologia quando condivide la documentazione e segue gli accordi organizzativi. Si può anche adottare un approccio DevOps creando un team di consulenza composto da dipendenti di livello senior provenienti da tutto il reparto IT.

Anche un processo di ripristino di emergenza deve essere parte dell’equazione

Stabilire un processo di ripristino di emergenza come parte di qualsiasi politica di gestione delle vulnerabilità è un’idea intelligente. In effetti, alcune aziende si muovono nella direzione opposta, inclusa la gestione delle vulnerabilità come parte del loro programma di ripristino di emergenza esistente. In ogni caso, è fondamentale disporre di un programma formalizzato per gestire qualsiasi tipo di disastro che colpisce le risorse tecniche di un’azienda, come un attacco di hacking su larga scala. Avere i mezzi per ripristinare rapidamente il software dell’azienda e altre risorse tecniche diventa essenziale durante qualsiasi disastro. 

In che modo InsightVM può aiutare la gestione delle vulnerabilità

In qualità di migliore soluzione per la gestione delle vulnerabilità, InsightVM analizza qualsiasi ambiente IT, identificando le vulnerabilità e mettendo in evidenza i maggiori rischi per l’infrastruttura IT dell’azienda. La tua organizzazione trae vantaggio anche dall’allineamento di team tradizionalmente isolati grazie al linguaggio e alla terminologia comuni di InsightVM.

In quanto fonte di intelligence per l’intera infrastruttura tecnica aziendale, InsightVM garantisce sicurezza, alta disponibilità e prestazioni superiori. Contattaci per capirecome InsightVM possa avere un impatto positivo sulla tua organizzazione.

Sei costosi equivoci sui SIEM tradizionali

Sei costosi equivoci sui SIEM tradizionali

Come ottenere maggior valore dagli strumenti SIEM: Approccio Tradizionale vs. Cloud

Negli ultimi anni, le soluzioni di sicurezza delle informazioni e di gestione degli eventi (SIEM) sono diventate uno degli strumenti preferiti per proteggere le risorse e gli utenti, fornendo un modo flessibile per inserire, analizzare e visualizzare i dati.

Sebbene la tradizionale tecnologia SIEM abbia contribuito a ridefinire il rilevamento e la risposta agli incidenti, gli strumenti SIEM non sono particolarmente amati. Dalle incertezze sulla loro possibilità di adattarsi agli ambienti moderni, ai dubbi sulla loro affidabilità, questi strumenti hanno offerto il fianco a più di una critica. Comprendere i recenti miglioramenti ai SIEM tradizionali incorporati dalle soluzioni di prossima generazione si rivela quindi fondamentale per raggiungere una corretta postura di sicurezza. In questo articolo cercheremo di correggere alcuni dei più diffusi (e spesso costosi) equivoci sul SIEM, descrivendo un confronto più chiaro possibile tra i SIEM tradizionali e le soluzioni SIEM di nuova generazione.

Equivoco n. 1: gli strumenti SIEM sono afflitti da un lungo e complesso processo di implementazione.
Realtà delle Soluzioni Next-Gen: i SIEM di oggi sono progettati per essere operativi (davvero) in pochissimo tempo.

Finalmente, un SIEM che puoi effettivamente implementare. Le moderne soluzioni SIEM come InsightIDR e MDR forniscono un’implementazione e un baselining rapidi. Grazie all’architettura basata su cloud, i clienti effettuano il deployment in giorni, non mesi. Inoltre, le fonti di eventi predefinite assicurano un’installazione più semplice che genera analisi preziose più rapidamente. Ciò riduce al minimo la necessità per i team di sicurezza di investire risorse preziose per la manipolazione dei dati raccolti o il perfezionamento delle regole di rilevamento. Per aiutare a stabilire e gestire le aspettative di successo, si consiglia sempre di definire i casi d’uso o realizzare un Proof of Concept (PoC) prima di acquistare una soluzione SIEM.

Equivoco n. 2: la formattazione di dati leggibili è un progetto costoso e dispendioso in termini di tempo.
Realtà di Next-Gen: i SIEM moderni offrono procedure guidate di raccolta delle origini degli eventi fondamentali e un hosting efficiente basato su cloud in modo da ottenere informazioni affidabili e più velocemente.

I dati da soli non significano nulla, soprattutto quando puoi leggerli o correlarli. Con i SIEM tradizionali, l’onere di rendere utili i dati è posto all’utente; sarebbe un processo manuale per configurare ogni origine evento, registro, switch di rete, ecc.

I moderni SIEM semplificano questo processo inserendo e trasformando i dati su larga scala. InsightIDR fa ancora di più per andare oltre la semplice raccolta e gestione dei registri. Una volta che InsightIDR raccoglie i dati, vengono normalizzati, attribuiti a utenti e sistemi e quindi arricchiti. Questo approccio struttura i dati e le analisi per le indagini, potenziando la visibilità e l’azione degli analisti.

Equivoco n. 3: gli strumenti SIEM fanno troppo affidamento sulla configurazione manuale, riducendo la visibilità.
Realtà Next-Gen: i SIEM con motori di analisi basati su cloud aiutano a eliminare i punti ciechi poiché tutti i tuoi dati sono tutti in un unico posto.

Storicamente, l’analisi dei dati era frammentaria e avveniva nel vuoto. Ciò significava affidarsi a processi manuali per configurare origini eventi, origini dati e registri. I moderni SIEM consentono un approccio più olistico, con la capacità di digerire i dati da fonti precedentemente disparate, trasformando tali dati in informazioni utilizzabili.

Scopri come InsightIDR centralizza i tuoi log su più origini dati in modo da poter rispondere rapidamente alle domande sui tuoi dati.

Equivoco n. 4: i SIEM non riescono a fornire una copertura cloud sufficiente.
Realtà di nuova generazione: i SIEM nativi del cloud migliorano la protezione degli utenti in ambienti con minacce in evoluzione.

A differenza del SIEM tradizionale, le soluzioni di nuova generazione sono progettate pensando al cloud. I SIEM ora vanno oltre l’importazione di dati e log per includere aggiornamenti automatici, rilevamenti e altro ancora che scalano man mano che cresci. La forza lavoro remota può essere certo che i propri endpoint, app cloud e dati di rete rimangano protetti.

Equivoco n. 5: le soluzioni SIEM richiedono costosi investimenti in risorse aggiuntive.
Realtà Next-Gen: i SIEM aggiornati riducono l’onere di un team numeroso e dedicato, sviluppando esperienza in ogni fase.

I SIEM più recenti combinano l’accessibilità di soluzioni out-of-the-box con l’efficienza del cloud. Procedure guidate di raccolta delle origini eventi prescrittive, interfaccia utente intuitiva e rilevamenti preconfigurati curati creano una facilità d’uso diversa da qualsiasi cosa tu abbia mai sperimentato prima.

Idea sbagliata n. 6: i SIEM ostacolano i processi decisionali.
Realtà NExt-Gen: la funzionalità SIEM migliorata promuove il pensiero proattivo, l’azione decisiva e la fiducia degli utenti.

I nuovi SIEM sul mercato ti consentono di visualizzare e monitorare diverse fonti di dati che non dialogano tra loro negli strumenti tradizionali. Ciò accelera l’analisi dei dati e semplifica il processo decisionale, così puoi agire rapidamente e con sicurezza. Puoi anche avviare flussi di lavoro di contenimento e risposta automatizzati dalla stessa soluzione.

Gli errori di Email Security che gli MSP devono evitare

Gli errori di Email Security che gli MSP devono evitare

Un Managed Service Provider (MSP) ha un enorme impegno quando lavora con la posta elettronica dei client aziendali. Devono mantenere i server, impostare account di posta elettronica e, soprattutto, proteggere la posta elettronica dagli attacchi. Molte delle più grandi violazioni dei dati iniziano con un’e-mail di phishing e gli MSP devono garantire che queste e-mail rimangano non aperte e che gli utenti non scarichino allegati dannosi. Se sei stato assunto per proteggere i servizi di posta elettronica dei client, ecco alcuni errori comuni da evitare.

Nessuna formazione degli utenti

L’istruzione degli utenti ha dimostrato di ridurre il numero di email di phishing che gli utenti aprono o con cui interagiscono. Le e-mail di phishing di solito includono un collegamento a un sito controllato da un utente malintenzionato o un allegato dannoso. Si desidera che l’utente riconosca entrambi questi attacchi come dannosi e lo segnali alla persona giusta, quindi elimini il messaggio.

È ancora più importante educare gli utenti in reparti specifici come finanza e risorse umane. Non è raro che questo personale riceva dozzine di email di phishing al mese e deve essere in grado di identificare i messaggi dannosi per evitare compromessi.

Gli MSP possono formare gli utenti di persona, fornire formazione online o fornire agli utenti documentazione e informazioni quando vengono inseriti dopo essere stati assunti. La formazione dovrebbe fornire agli utenti le informazioni necessarie per riconoscere un’e-mail dannosa ed evitare tutto ciò che potrebbe portare a una violazione dei dati.

La formazione non dovrebbe essere solo una lezione una tantum. Gli aggressori cambiano il modo in cui ingannano gli utenti e qualsiasi attacco comune dovrebbe essere comunicato agli utenti. Ciò richiede che l’MSP sia aggiornato sugli ultimi attacchi e tecniche di phishing in modo che possano essere comunicati agli utenti. Questa comunicazione potrebbe avvenire tramite e-mail o formazione aggiuntiva. Oltre a comunicare agli utenti, gli MSP dovrebbero offrire una formazione annuale per aiutare gli utenti non solo a identificare gli attacchi di phishing, ma anche a proteggere la rete da furti di credenziali, malware e ransomware.

Implementazione della scarsa sicurezza informatica

Gli MSP sono tenuti a implementare i servizi richiesti dal cliente, ma è un errore saltare la sicurezza della posta elettronica anche se il cliente afferma che non è necessario. I clienti potrebbero pensare che tutte le email debbano essere recapitate alle caselle di posta degli utenti, perché non comprendono l’enorme quantità di phishing che viene inviata ogni giorno.

Si stima che ogni giorno vengano inviati 3,4 miliardi di email e ci sono buone probabilità che il tuo cliente ne riceva una parte. La sicurezza della posta elettronica si sta evolvendo per catturare meglio questi messaggi e impedire che vengano ricevuti in arrivo. L’intelligenza artificiale ha contribuito a migliorare la sicurezza informatica delle e-mail in modo che i filtri possano rilevare spoofing, macro dannose negli allegati, messaggi che contengono collegamenti a server controllati da aggressori e messaggi che potrebbero essere considerati spam. Anche se i clienti vogliono che tutte le email vengano inviate in arrivo, è essenziale che gli MSP li convincano che la sicurezza informatica è necessaria per fermare le violazioni dei dati e la compromissione della loro rete.

DMARC (Domain-based Message Authentication, Reporting & Conformance) è uno standard che filtra le email se determinate impostazioni di sicurezza non vengono superate. Ad esempio, una voce Sender Policy Framework (SPF) sui server DNS dell’azienda consentirà il passaggio dell’email alla posta in arrivo dell’utente quando DMARC è abilitato. Se un record SPF non viene rilevato, la sicurezza del server di posta elettronica non consente l’invio del messaggio in arrivo. Questa sicurezza impedisce ai messaggi di spoofing di raggiungere il destinatario previsto, riducendo il numero di e-mail di phishing.

Non mettere in quarantena messaggi sospetti

Anche con DMARC abilitato, gli MSP dovrebbero mettere in quarantena i messaggi sospetti. Mettendo in quarantena i messaggi, gli amministratori possono esaminarli e identificare se l’azienda è un obiettivo di attacco. In un attacco mirato, gli aggressori invieranno potenzialmente centinaia di messaggi a membri del personale specifici. È sufficiente un solo messaggio di successo affinché l’aggressore ottenga le credenziali da una vittima o convinca l’utente mirato a scaricare un allegato dannoso ed eseguire una macro incorporata.

La messa in quarantena delle e-mail fornisce anche agli MSP un modo per “addestrare” i programmi di sicurezza della posta elettronica per eliminare i falsi positivi. Un amministratore può inviare un messaggio di posta elettronica contrassegnato in modo errato alla posta in arrivo dell’utente e modificare le configurazioni sull’applicazione di sicurezza per filtrare le email dannose in modo più efficiente. Gli utenti si sentono frustrati dalla sicurezza della posta elettronica che ha troppi falsi positivi e questo li porterà a ignorare gli sforzi di sicurezza informatica. La riduzione dei falsi positivi guadagna anche maggiore fiducia da parte degli utenti che lavorano con un MSP.

Conclusione

Gli MSP possono generare entrate ricorrenti essendo proattivi nell’istruzione dei clienti sulle minacce e-mail. La formazione degli utenti è essenziale per gli MSP per fornire una buona sicurezza informatica della posta elettronica ai propri clienti. Oltre alla formazione, l’utilizzo di efficaci applicazioni per la sicurezza informatica della posta elettronica impedirà a questi messaggi di raggiungere le caselle di posta degli utenti. Le soluzioni per la sicurezza della posta elettronica assicurano che phishing o e-mail dannose non raggiungano le caselle di posta dei dipendenti. La combinazione di queste due tecniche eviterà che gli MSP cadano in insidie ​​comuni quando configurano server di posta elettronica e sicurezza informatica per i loro clienti.

La sicurezza informatica inizia con i fondamentali

La sicurezza informatica inizia con i fondamentali

Troppo spesso gli amministratori aziendali seguono le best practice per numerose infrastrutture di rete, ma dimenticano l’importanza della sicurezza della posta elettronica. Si potrebbe sostenere che la sicurezza delle e-mail è più importante di qualsiasi altra strategia OpSec,  poiché molte delle più grandi violazioni dei dati iniziano con un’e-mail di phishing. Con un numero sempre maggiore di dipendenti che lavorano da casa, è più importante che mai garantire che la sicurezza delle e-mail sia configurata e implementata su tutti i canali di comunicazione.

Solo un’e-mail di phishing riuscita porta a milioni di danni

È sufficiente una sola e-mail di phishing riuscita per un utente malintenzionato per compromettere una rete. Gli aggressori potrebbero inviare dozzine di e-mail agli utenti all’interno di un’organizzazione o utilizzare l’ingegneria sociale insieme al phishing per prendere di mira specifici account utente con privilegi elevati. Un recente rapporto Ponemon ha mostrato che il costo medio di una violazione dei dati è di 3,86 milioni di dollari. In molti di questi messaggi di posta elettronica dannosi, gli aggressori tentano di indurre gli utenti mirati ad aprire un allegato dannoso e ad eseguire malware sulla rete, oppure un utente malintenzionato potrebbe tentare di attirare la vittima su una delle loro pagine Web ospitate in cui l’utente viene indotto con l’inganno a inviare informazioni sensibili e credenziali per l’attaccante.

Tech Radar riferisce che ogni anno vengono inviati un trilione di e-mail e 3,4 miliardi di e-mail ogni giorno. Con più dipendenti che lavorano da casa, i loro account personali si mescolano con i dispositivi aziendali, il che significa che ci sono buone probabilità che i dipendenti ricevano almeno una di queste email ogni giorno. Se i dipendenti non sono addestrati a identificare le e-mail di phishing, queste potrebbero essere il prossimo vettore di una violazione dei dati. Con le numerose e-mail di phishing inviate ogni giorno, basta un solo dipendente per lasciare la rete dell’organizzazione vulnerabile al malware.

Anche gli utenti addestrati possono cadere vittima di un attacco di phishing. Gli amministratori, i dipendenti delle risorse umane e il personale finanziario ricevono la formazione necessaria per identificare un attacco di phishing perché spesso sono obiettivi specifici nello spear phishing. Anche con la formazione, i dipendenti possono cadere vittime di attacchi di phishing e ingegneria sociale. Quando gli utenti con privilegi elevati cadono vittime di questi attacchi, i dati divulgati e rubati agli aggressori possono essere molto più gravi. Questi utenti hanno accesso a dati finanziari, dati personali di dipendenti e clienti e numeri di previdenza sociale. Questi dati sono molto preziosi sui mercati darknet, quindi vale la pena pagare per un attacco complesso a lungo termine.

Cybersecurity e-mail

Firewall, controlli di accesso, gestione dell’identità degli utenti e altri elementi fondamentali della rete sono tutti componenti in una buona posizione di sicurezza informatica. Ciò che manca in questo elenco e spesso trascurato è la sicurezza informatica delle e-mail. La sicurezza informatica delle e-mail, offerta da soluzioni come SpamTitan, rimuove la responsabilità degli utenti e utilizza l’intelligenza artificiale per identificare i messaggi dannosi. I messaggi dannosi potrebbero essere phishing, quelli che contengono un collegamento a un server controllato da un utente malintenzionato o quelli con allegati malware. Gli utenti non vedono nemmeno più questi messaggi e invece il sistema li mette in quarantena finché gli amministratori non esaminano e verificano che i messaggi siano benigni.

La sicurezza della posta elettronica si basa su due componenti principali: Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM). Un record SPF è il più semplice da implementare e richiede solo pochi minuti del tempo dell’amministratore. Il record SPF viene aggiunto al server DNS dell’organizzazione come voce TXT. Questa voce TXT è una stringa con una sintassi specifica che fornisce ai server di posta elettronica del destinatario un elenco di indirizzi IP autorizzati che possono essere utilizzati per inviare posta elettronica aziendale.

DKIM è simile a una firma crittografata. Un’intestazione viene aggiunta a un messaggio di posta elettronica con la firma del mittente. Il destinatario verifica questa firma per assicurarsi che il messaggio sia stato inviato dal dominio del destinatario. Insieme a SPF, la sicurezza informatica DKIM convalida il mittente e impedisce ai server di posta elettronica del destinatario di inviare e-mail di phishing contraffatte alla posta in arrivo dell’utente mirato.

Il server di posta elettronica del destinatario può essere configurato con la sicurezza DMARC (Domain-based Message Authentication, Reporting and Conformance). Le regole DMARC determinano come un server di posta elettronica deve gestire i messaggi quando sono presenti SPF e DKIM. Con le rigide regole DMARC, i server di posta elettronica potrebbero rifiutare i messaggi in cui non è presente alcun record SPF. Ad esempio, le organizzazioni che utilizzano Google Suite potrebbero trovare le loro email di dominio bloccate se non è presente un record SPF per il mittente di terze parti.

Con gli attacchi e-mail più comuni che mai, la sicurezza informatica della posta elettronica dovrebbe far parte dei fondamenti della rete di qualsiasi organizzazione. Gli amministratori lavorano duramente per garantire che ogni aspetto della rete sia protetto dai firewall che bloccano il traffico Internet pubblico esterno ai controlli di accesso alle identità interne che limitano l’accesso non autorizzato ai dati. DMARC, DKIM e SPF sono tutti strumenti di base per la sicurezza, in grado di limitare le possibilità che l’organizzazione sia vittima di una grave violazione dei dati.