Netwrix acquisisce MATESO per una migliore protezione di password e identità

Netwrix acquisisce MATESO per una migliore protezione di password e identità

La soluzione di gestione delle password di MATESO protegge l’accesso al team aziendale e alle password personali da qualsiasi luogo .

IRVINE, California, 23 settembre 2022 – Netwrix, un fornitore di sicurezza informatica che semplifica la sicurezza dei dati, ha annunciato oggi l’acquisizione di MATESO, un produttore di software con sede in Germania che sviluppa, vende e supporta un prodotto che consente ai clienti di ridurre il rischio di una violazione dei dati proteggendo l’accesso alle credenziali dei dipendenti . 

Con questa acquisizione, Netwrix approfondisce la sua esperienza nella gestione delle password e rafforza la sua posizione nel mercato della gestione dell’identità e dell’accesso (IAM). Netwrix migliora anche le sue capacità tecniche nella funzione Protect del NIST Cybersecurity Framework. I termini della transazione non sono stati divulgati. 

Netwrix dispone già di una soluzione di gestione degli accessi privilegiati (PAM) di nuova generazione, Netwrix SbPAM, che copre gli account privilegiati. L’applicazione di gestione delle password di MATESO la integra proteggendo tutte le altre credenziali riducendo al minimo l’affaticamento della sicurezza informatica dei dipendenti. L’applicazione offre date di scadenza delle password, flussi di lavoro di approvazione personalizzati, rotazione delle credenziali completamente automatizzata per gli account di servizio e altro ancora. 

Allo stesso tempo, i clienti MATESO potranno utilizzare i prodotti Netwrix per garantire protezione non solo sulle identità degli utenti, ma su tutte e tre le principali superfici di attacco: dati, identità e infrastruttura. In particolare, sapere esattamente quali dati sono sensibili aiuterà i clienti MATESO a prendere decisioni più informate su come proteggere ciò che conta davvero e individuare attività sospette intorno a quei dati li aiuterà a rispondere efficacemente alle minacce. 

“Siamo entusiasti di rafforzare ulteriormente la nostra offerta nella gestione delle identità e degli accessi: Netwrix USERCUBE fornisce la governance e l’amministrazione delle identità, il prodotto di gestione delle password di MATESO protegge l’accesso a tali identità e Netwrix SbPAM garantisce che alle identità vengano concessi privilegi solo quando sono necessari. Siamo lieti di aggiungere il prodotto MATESO al portafoglio Netwrix e non vediamo l’ora di unire le competenze dei nostri team”, ha affermato Steve Dickson, CEO di Netwrix.   

 

” Secondo il Ponemon Institute , la compromissione dell’account è stato il vettore di attacco iniziale più comune nel 2021, responsabile del 20% delle violazioni. L’unione dell’applicazione di MATESO con il portafoglio di prodotti Netwrix affronta questa minaccia per garantire che i dati dei nostri clienti siano più sicuri domani di quanto non lo siano oggi”, ha affermato Sascha Martens, CTO di MATESO.  

Scopri di più su questo strumento di gestione delle password visitando il sito web di MATESO . 

A proposito di Netwrix

Netwrix semplifica la sicurezza dei dati, semplificando così il modo in cui i professionisti possono controllare i dati sensibili, regolamentati e business-critical, indipendentemente da dove risiedono. Più di 11.500 organizzazioni in tutto il mondo si affidano alle soluzioni Netwrix per proteggere i dati sensibili, realizzare il pieno valore aziendale dei contenuti aziendali, superare gli audit di conformità con meno sforzi e spese e aumentare la produttività dei team IT e dei knowledge worker.

Fondata nel 2006, Netwrix ha vinto più di 150 premi del settore ed è stata nominata sia negli elenchi Inc. 5000 che Deloitte Technology Fast 500 delle aziende in più rapida crescita negli Stati Uniti

Per ulteriori informazioni, visitare www.netwrix.com .

Photo by Philipp Katzenberger on Unsplash

L’evoluzione di Domaintools

L’evoluzione di Domaintools

Di Timothy Chen – Chief Executive Officer, Domaintools

[Nuovo look, stesso impegno] Per un Internet sicuro, protetto e aperto per tutti

Oggi abbiamo lanciato un aggiornamento del sito e del marchio DomainTools e un aggiornamento della piattaforma di navigazione e hosting. Il nostro obiettivo con questo sforzo è triplice:

  • Consentire ai visitatori di comprendere meglio ciò che facciamo e di navigare più rapidamente verso i contenuti che stanno cercando.
  • Migliorare la velocità di caricamento della pagina e la deliverability da tutte le parti del mondo.
  • Modernizzare il marchio DomainTools per riflettere dove stiamo andando piuttosto che dove siamo stati.

DomainTools è il motore di Internet Intelligence che alimenta i migliori programmi di sicurezza. Mappiamo e monitoriamo Internet per rilevare e prevedere le minacce emergenti. Siamo, letteralmente, il primo posto in cui molti dei nostri clienti vanno quando ricevono un avviso o un IOC (indicatore di compromissione) e hanno bisogno di conoscere il contesto immediato dei domini e dell’infrastruttura DNS che possono essere associati. Abbiamo una missione ambiziosa e incentrata sulla sicurezza e c’era una chiara necessità di aggiornare il marchio e il posizionamento per rispecchiarlo.

Molte cose sono successe negli ultimi anni in DomainTools. Abbiamo continuato a investire nei nostri motori di raccolta dati su scala Internet e nella nostra tesi di inoltro dei dati per l’intelligence delle minacce e il punteggio del rischio. Abbiamo lanciato nuovi prodotti leader di mercato come Rileva l’iridee ha continuato a investire nell’intersecare la nostra intelligenza dove i nostri clienti ne hanno bisogno, come il recente aggiornamento alla nostra 4a generazioneIntegrazione Splunk. Abbiamo ricevuto un importante investimento da Battery Ventures alla fine del 2020 e acquisito Farsight Security alla fine del 2021. In effetti, parte dello sforzo di progettazione del sito consiste nell’integrare meglio i prodotti Farsight e il marchio e creare un quadro per tali acquisizioni future.

Come tutto ciò che facciamo in DomainTools, il lavoro sul nostro marchio e sul nostro sito Web è stato svolto pensando ai nostri utenti e clienti. Spero che la tua esperienza qui sia migliorata e sicuramente accogliamo con favore qualsiasi feedback su team@domaintools.com.

Post Originale

L’evoluzione di Domaintools

Gli ISP conquistano e mantengono clienti offrendo il servizio di protezione DDoS

Di Emma Cazdov, Reponsabile Marketing di Prodotto, Corero

C’è un’intensa concorrenza tra i provider di servizi Internet sia nel mercato commerciale che in quello residenziale. L’abbandono dei clienti è una preoccupazione costante per loro, perché molti clienti hanno poca fedeltà a un particolare fornitore. Il tempo di attività del servizio è un fattore chiave per gli utenti aziendali, perché anche pochi secondi di inattività possono avere un impatto drastico sull’attività quotidiana, che si tratti di giochi online, servizi finanziari o sicurezza della rete. Anche se i tempi di inattività e l’interruzione di Internet non causano una violazione degli accordi sul livello di servizio (SLA), hanno un impatto negativo sulla reputazione del marchio dell’ISP, sulla fiducia dei clienti e sui ricavi. Sapevi che una delle minacce più grandi (se non la più grande) all’uptime sono gli attacchi Distributed Denial of Service (DDoS) ?

Il valore della visibilità e delle informazioni sugli attacchi

Molte organizzazioni considerano la sicurezza DDoS un centro di costo; tuttavia, gli ISP sono i bersagli preferiti dagli attori delle minacce ed è essenziale che gli ISP proteggano la propria infrastruttura, poiché i loro clienti tenant fanno affidamento su di essi per essere completamente funzionali. Molti ISP stanno adottando la fase di sicurezza aggiuntiva offrendo protezione DDoS come servizio, in modo che i clienti possano effettivamente avere visibilità e informazioni dettagliate sul traffico degli attacchi DDoS che colpisce la loro rete e ottenere informazioni utili. Conoscere i tipi di attacchi DDoS che sono stati mitigati non è solo un “bello da avere”, ma è un buon affare avere l’intelligence per poter regolare le regole di mitigazione DDoS che possono bloccare gli attacchi futuri. I dati degli eventi di sicurezza archiviati consentono l’analisi forense delle minacce passate per il reporting di conformità.

ROI sulla sicurezza DDoS: guadagno e mantenimento

La protezione DDoS come servizio offerto ai clienti tenant è un vero fattore di differenziazione competitivo, perché pochi provider possono garantire una solida protezione DDoS ai propri clienti. Alcuni ISP offrono protezione gratuitamente, come servizio a valore aggiunto, mentre altri scelgono di generare entrate incrementali offrendo protezione come servizio in abbonamento. Altri possono offrire servizi di mitigazione DDoS di base a tutti i clienti, ma per quei clienti che privilegiano l’elevata disponibilità, il provider può creare opzioni a valore aggiunto. Indipendentemente dal fatto che offrano un servizio di protezione DDoS gratuito oa pagamento, gli ISP ottengono e mantengono più clienti.

Qual è il miglior tipo di protezione?

Data la natura sofisticata degli attacchi DDoS odierni, gli ISP richiedono l’applicazione precisa delle politiche di mitigazione contro il traffico degli attacchi DDoS. Questo può essere ottenuto solo con prestazioni line-rate ed efficacia di massima sicurezza. I centri di scrubbing DDoS su richiesta e fuori banda legacy e i servizi cloud possono creare ritardi inaccettabili tra l’inizio di un attacco e l’inizio degli effettivi sforzi di riparazione. L’approccio legacy è anche in genere dispendioso in termini di risorse e costoso per i fornitori perché richiede personale altamente qualificato per monitorare il traffico 24 ore su 24, 7 giorni su 7. È anche soggetto a errori, dal momento che gli analisti della sicurezza umana non possono reagire abbastanza velocemente ai moderni attacchi DDoS multi-vettoriali che sono in genere di breve durata, di volume ridotto e difficili da distinguere dal traffico legittimo. Questi attacchi brevi e sub-saturanti sono motivo di preoccupazione,

Al contrario, la tecnologia di mitigazione DDoS automatica in tempo reale consente la protezione DDoS a tutta la larghezza di banda perimetrale, scalando fino a decine di terabit al secondo di capacità protetta, laddove in precedenza era possibile solo una capacità di scrubbing parziale. Elimina la necessità di analizzare manualmente gli eventi ed elimina la necessità di reindirizzare il traffico, sia buono che cattivo, per rimuovere chirurgicamente i pacchetti DDoS, prima di restituirlo alla rete. Di conseguenza, la sequenza temporale dal rilevamento alla mitigazione si riduce a secondi o addirittura a meno di secondi.

Con il modello DDoS Protection as a Service di Corero, i provider possono fornire facilmente ai propri clienti una pluripremiata protezione DDoS in tempo reale come servizio di sicurezza premium. Possono offrirlo come un servizio a valore aggiunto o monetizzare la loro protezione DDoS offrendo livelli di protezione a più livelli ai tenant. I provider possono strutturare il loro servizio a valore aggiunto in vari modi e il modello di servizio può essere gestito centralmente tramite il portale multi-tenant, che consente ai provider di integrare i clienti tenant, definire e assegnare livelli di servizio di protezione DDoS e visualizzare dashboard di attacco per ciascuno. Ogni cliente tenant può essere facilmente configurato per fornire il livello di servizio per il quale sta pagando. I clienti protetti possono accedere alla propria vista, accedere a report e analisi degli attacchi DDoS e comprendere il valore della protezione DDoS che stanno ricevendo.

Nell’odierno mercato competitivo degli ISP, la protezione DDoS come servizio è un ottimo modo per gli ISP di aggiungere valore ai loro servizi esistenti e prevenire l’abbandono dei clienti.

Da oltre un decennio, Corero fornisce soluzioni di protezione DDoS automatiche in tempo reale all’avanguardia, altamente efficaci per aziende, hosting e fornitori di servizi in tutto il mondo. Le nostre soluzioni di mitigazione DDoS SmartWall® proteggono gli ambienti on-premise, cloud, virtuali e ibridi. Per ulteriori informazioni sui diversi modelli di implementazione di Corero, fare clic qui.

Photo by Robynne Hu on Unsplash

L’autenticazione passwordless è sicura?

L’autenticazione passwordless è sicura?

Di Chris Collier, Technology Advocate for Identity and Access Management, HYPR

Nonostante l’aumento degli investimenti per la sicurezza informatica, normative più severe e attività specifiche di formazione del personale, gli attacchi informatici continuano la loro traiettoria ascendente. Nel solo 2021, c’è stato un aumento del 125% del volume degli incidentirispetto all’anno precedente. Gli attacchi alle credenziali sono il metodo più utilizzato per ottenere l’accesso non autorizzato. Secondo il Verizon 2021 Data Breach Investigations Report , il 61% delle violazioni riguarda credenziali compromesse.

Anche gestire le password è impresa che implica frustrazione, soprattutto quando si tenta di conformarsi a criteri aziendali con ottime intenzioni ma che richiedono una complessità e una frequenza sempre maggiori delle modifiche delle password. Sebbene ciò produca un aumento marginale della sicurezza, le password diventano ancora più difficili da ricordare e digitare, e non sorprende che proprio per questo motivo il 65% delle persone riutilizzi le password tra gli account. Le nuove tecnologie di autenticazione che rimuovono le password dal processo di autenticazione promettono di risolvere queste sfide, ma l’autenticazione senza password è sicura?

Per cercare di rispondere in modo completo a questa domanda, esaminiamo alcuni termini e background.

Che cos’è l’autenticazione passwordless?

Nella sua forma più semplice, l’autenticazione senza password è l’eliminazione delle password dal processo di autenticazione. Si noti che l’enfasi è sul processo di autenticazione, non sul metodo di accesso. C’è una differenza significativa tra la rimozione completa della password dal processo di accesso end-to-end e la semplice automazione del processo per comodità; ad esempio, inoltrando le credenziali da un vault o deposito (noto come “password store and forward”). Sebbene all’utente questo possa sembrare un metodo di accesso biometrico e quindi senza password, l’applicazione back-end sta ancora convalidando una password.

Che cos’è l’autenticazione a più fattori senza password?

Per complicare ulteriormente le cose, non tutta l’autenticazione senza password è multifattoriale. L’autenticazione a più fattori (MFA) riduce il rischio richiedendo agli utenti di fornire almeno due fattori di autenticazione indipendenti. Qualcosa che conosci (es. password, sequenza, domanda di sicurezza), qualcosa che possiedi (es. token crittografico, codice OTP, dispositivo fuori banda), qualcosa che sei (es. impronta digitale, riconoscimento facciale). L’autenticazione a più fattori impedisce agli aggressori di ottenere l’accesso a un sistema sicuro negando l’accesso nonostante la compromissione di una singola credenziale o fattore di autenticazione.

Gli autenticatori passwordless, come le chiavi di sicurezza hardware, possono richiedere metodi di autenticazione a uno o più fattori. A seconda del protocollo specifico, le chiavi intelligenti potrebbero richiedere solo la presenza della chiave in uno slot USB e che un utente tocchi la chiave. Pertanto le chiavi intelligenti sono comunemente combinate con una password per imporre l’autenticazione a più fattori. Richiedendo una chiave intelligente insieme a una password, il processo risultante non è più senza password. Pertanto, per rispondere “l’autenticazione senza password è sicura” è necessario sapere se la soluzione in questione è a singolo fattore o multifattore, e quali metodi di autenticazione utilizza.

Per ottenere un’autenticazione a più fattori senza password, il processo di accesso deve includere due o più metodi di autenticazione e deve eliminare completamente qualsiasi dipendenza dai segreti condivisi.

Vantaggi dell’autenticazione senza password

Se eseguita correttamente, l’implementazione dell’autenticazione senza password non è dirompente, non è traumatica per gli utenti e migliorerà significativamente la tua posizione di sicurezza generale eliminando i vettori di attacco associati ai segreti condivisi.

Riduzione della superficie attaccabile

I metodi di autenticazione dipendenti dalla password espongono l’intera organizzazione a rischi che vanno ben oltre i dati dei singoli utenti. È comunemente accettato che le password siano facilmente sfruttabili dagli aggressori e che le persone riutilizzino le password tra gli account. Di conseguenza, le credenziali sono l’obiettivo principale di molti attacchi informatici. Questi includono attacchi di phishing , key logging e altri malware e attacchi di social engineering. La rimozione totale delle password riduce il valore complessivo per gli hacker di prendere di mira dipendenti e clienti.

Login semplificato

La rimozione delle password aumenta intrinsecamente la produttività complessiva degli utenti, in modo che possano concentrarsi sul contributo alle direttive aziendali principali. Al personale a cui viene richiesto di modificare le password regolarmente, che prova frustrazione per le procedure di accesso in più fasi e agli amministratori che dedicano tempo al monitoraggio dell’igiene delle password e alle frequenti reimpostazioni delle password hanno un impatto cumulativo sulla produttività. Una ricerca recente ha rilevato che quasi la metà degli esperti di IT e sicurezza ha indicato la scarsa esperienza utente come un ostacolo all’implementazione dell’AMF nella propria organizzazione. Il passaggio all’autenticazione senza password elimina questi problemi.

Mitigazione del rischio da violazioni dei dati

Una delle conseguenze più dannose di una violazione dei dati deriva dal fatto che gli aggressori ottengono l’accesso a elenchi interni di password che possono quindi essere utilizzate in attacchi futuri. Anche se un’organizzazione utilizza protocolli di sicurezza come salting o hashing , la moderna potenza di elaborazione significa che la maggior parte delle credenziali offuscate possono essere violate facilmente. Oltre alle implicazioni immediate sulla sicurezza, le violazioni possono portare a una perdita a lungo termine di fiducia e fiducia nella tua azienda.

Protezione dei lavoratori a distanza

Il trasferimento su larga scala al lavoro da casa negli ultimi due anni sembra ora destinato a durare. Ciò ha creato importanti sfide di sicurezza per le organizzazioni, con i dipendenti che accedono alle risorse aziendali da reti domestiche non sicure, utilizzano dispositivi non protetti e installano app non controllate. Inoltre, gli attacchi RDP (Remote Desk Protocol) sono ai massimi livelli. Le soluzioni di autenticazione senza password complete consentono ai lavoratori remoti di accedere in modo sicuro ad applicazioni, desktop, VPN, gateway e altri punti di accesso remoto.

Metodi di autenticazione senza password non sicuri

L’abbiamo già detto, ma vale la pena ripeterlo: non tutte le autenticazioni senza password sono uguali. La più grande determinazione nella sicurezza di una soluzione di autenticazione senza password si basa sui fattori di verifica che utilizza e sui suoi processi di back-end.

Non veramente passwordless

Molte soluzioni di autenticazione senza password si definiscono tali ma sono solo password nascoste mascherate e combinate con passaggi aggiuntivi. Rimuovere la debolezza intrinseca delle password dovrebbe significare fare esattamente questo: sbarazzarsi di un fattore di conoscenza condivisa che un utente deve ricordare e che è archiviato, in qualche modo, su un server o nel cloud per essere verificato. Questa nomenclatura fuorviante provoca resistenza ed esitazione che impedisce l’adozione di una vera tecnologia di autenticazione senza password e i miglioramenti della sicurezza che offre.

Password monouso (OTP)

Le password monouso sono i codici inviati tramite e-mail o SMS per confermare che l’utente ha il controllo del dispositivo collegato al proprio account. Sebbene inteso a soddisfare il fattore “qualcosa che l’utente possiede” dell’AMF, il risultato è ancora l’uso di una password, che i cyberattaccanti, sfortunatamente, sono stati molto rapidi ed efficaci nello sfruttare. Gli attacchi di scambio di SIM, man-in-the-middle e di ingegneria sociale si sono dimostrati molto efficaci nel rubare queste OTP e nel continuare gli sforzi di compromissione dell’account. In effetti, i kit di hacking automatizzati progettati per aggirare questi fattori sono prontamente disponibili sul mercato nero. Sono inoltre disponibili molte app di autenticazione per generare OTP su dispositivi mobili. Questi meccanismi spesso dipendono da un segreto condiviso (seme).

Quindi l’autenticazione senza password è sicura?

Sebbene qualsiasi autenticazione MFA o senza password rappresenti un miglioramento rispetto all’utilizzo dell’accesso con password di base, se si basa su segreti condivisi che gli hacker possono rubare, si corre comunque un rischio considerevole. L’autenticazione senza password più potente e con il minimo attrito si basa sulle linee guida FIDO (Fast IDentity Online). FIDO è un insieme di standard di sicurezza e interoperabilità che sfrutta la crittografia a chiave pubblica e robusti verificatori di identità per garantire sicurezza e usabilità su vasta scala.

FIDO2 supporta test biometrici e altri verificatori resistenti al phishing , autenticando in modo sicuro le persone senza password. È considerato il gold standard per l’autenticazione dalla Cybersecurity and Infrastructure Security Agency (CISA) del governo degli Stati Uniti e dall’OMB .

HYPR –  Autenticazione sicura senza password

La tecnologia True Passwordless™ MFA di HYPR utilizza i meccanismi biometrici e protegge gli elementi hardware sul dispositivo intelligente dell’utente, insieme a rigorosi protocolli crittografici, per trasformare un normale smartphone in un autenticatore FIDO sicuro. HYPR riduce la superficie di attacco offrendo al contempo un flusso di autenticazione senza interruzioni e senza attriti, dal desktop al cloud, inclusi i punti di accesso remoti. Offre una modalità di accesso offline sicura utilizzando PIN memorizzati sul dispositivo, in cui non esiste un segreto condiviso che risieda su un server o nel cloud che può essere sfruttato.

Scopri di più su HYPR o richiedici una demo per vedere di persona.

Photo by Towfiqu barbhuiya on Unsplash

Rapid7 riconosciuto come Visionary per il secondo anno consecutivo nel Gartner® Magic Quadrant™ 2022 per Application Security Testing

Rapid7 riconosciuto come Visionary per il secondo anno consecutivo nel Gartner® Magic Quadrant™ 2022 per Application Security Testing

Boston, MA — 21 aprile 2022 – Rapid7, Inc. , (NASDAQ: RPD), fornitore leader di analisi e automazione della sicurezza, ha annunciato oggi di essere stato riconosciuto da Gartner come Visionary per il secondo anno consecutivo nel Magic Quadrant 2022 per i test di sicurezza delle applicazioni.

La sicurezza delle applicazioni moderne sta diventando più complessa e impegnativa a causa degli ambienti DevOps remoti e distribuiti. Oggi, la sicurezza delle applicazioni richiede una forte collaborazione interfunzionale tra i team di sicurezza, sviluppo software e operazioni, nonché la capacità di scalare rapidamente e fornire informazioni tempestive sullo stato attuale delle attività.

“C’è un crescente desiderio di un portafoglio di sicurezza delle applicazioni che faciliti senza soluzione di continuità la collaborazione e la visibilità necessarie per proteggere i moderni ambienti applicativi”, ha affermato Cindy Stanton, vicepresidente senior, gestione del rischio di vulnerabilità di Rapid7. “In Rapid7, il nostro obiettivo è fornire esperienze innovative che proteggano le aziende e siamo onorati di essere ancora una volta riconosciuti da Gartner per la nostra completezza di visione e capacità di esecuzione”.

Il portafoglio di sicurezza delle applicazioni best-in-class di Rapid7 si integra con la sua più ampia piattaforma per le operazioni di sicurezza per generare senza interruzioni informazioni dettagliate sulla sicurezza delle applicazioni per le principali parti interessate durante il ciclo di vita della distribuzione del software (SDLC) al fine di correggere rapidamente le vulnerabilità e ridurre i rischi. Ciò fornisce una visione olistica delle infrastrutture, sia cloud che tradizionali, nonché applicazioni e API.

Rapid7 è noto per il suo portafoglio in espansione di soluzioni che soddisfano i moderni requisiti di sicurezza delle applicazioni. Questo portafoglio include funzionalità di monitoraggio e protezione delle applicazioni tramite i servizi tCell RISP e WAF di nuova generazione, nonché la scansione dell’infrastruttura come codice (IaC), la protezione del carico di lavoro e la gestione dello stato di sicurezza del cloud. L’azienda ha anche collaborazioni con Checkmarx e Snyk per fornire SCA e SAST per proteggere le applicazioni moderne durante la fase di sviluppo.

Per ulteriori informazioni sul portafoglio di sicurezza delle applicazioni di Rapid7, fare clic qui .

Per visualizzare una copia gratuita del rapporto completo Gartner Magic Quadrant for Application Security Testing, fare clic qui .

Fonte: Gartner, Magic Quadrant for Application Security Testing, Dale Gardner, Mark Horvath, Dionisio Zumerle, 18 aprile 2022

Gartner non sostiene alcun fornitore, prodotto o servizio descritto nelle sue pubblicazioni di ricerca e non consiglia agli utenti di tecnologia di selezionare solo quei fornitori con le valutazioni più alte o altra designazione. Le pubblicazioni di ricerca di Gartner consistono nelle opinioni dell’organizzazione di ricerca di Gartner e non devono essere interpretate come dichiarazioni di fatto. Gartner declina ogni garanzia, espressa o implicita, in relazione a questa ricerca, comprese eventuali garanzie di commerciabilità o idoneità per uno scopo particolare.

Gartner e Magic Quadrant sono marchi registrati di Gartner, Inc. e/o delle sue affiliate negli Stati Uniti ea livello internazionale e sono qui utilizzati con autorizzazione. Tutti i diritti riservati.

Informazioni su Rapid7
Rapid7 (Nasdaq: RPD) sta migliorando la sicurezza con visibilità, analisi e automazione fornite attraverso il nostro cloud Insight. Le nostre soluzioni semplificano il complesso, consentendo ai team di sicurezza di lavorare in modo più efficace con l’IT e lo sviluppo per ridurre le vulnerabilità, monitorare i comportamenti dannosi, indagare e arrestare gli attacchi e automatizzare le attività di routine. Oltre 10.000 clienti si affidano alla tecnologia, ai servizi e alla ricerca Rapid7 per migliorare i risultati della sicurezza e far progredire in modo sicuro le proprie organizzazioni.

Photo by Philipp Katzenberger on Unsplash

7 suggerimenti per fermare gli hacker del Wi-Fi

7 suggerimenti per fermare gli hacker del Wi-Fi

La sicurezza perimetrale non è più sufficiente per le reti di oggi. Questo perché ci sono tanti modi per aggirare il tuo robusto firewall e semplicemente entrare dalla porta sul retro. Alcuni dei metodi utilizzati dagli hacker per aggirare le difese perimetrali includono attacchi di phishing , deposito di codice dannoso su siti Web legittimi e attacchi al sistema wireless. Per le piccole imprese, questo significa il router wireless, quell’appliance all-inclusive da cui i tuoi utenti dipendono non solo per il wireless, ma spesso anche per la sicurezza del firewall. Per le piccole aziende, proteggere il router wireless è il primo lavoro. Tuttavia, anche se si utilizzano punti di accesso aziendali per fornire una copertura wireless globale, il sistema wireless rimane un punto di vulnerabilità.

Di seguito sono riportati sette passaggi che puoi eseguire per proteggere il tuo Wi-Fi. Tieni presente che molti di questi consigli potrebbero essere utilizzati anche dagli utenti domestici.

1. Modifica le credenziali di amministratore del router

Questo passaggio sembra ovvio e quasi abbiamo timore a menzionarlo, per paura che i lettori possano rinunciare a leggere ulteriormente, vista la banalità apparente. Eppure, anche le aziende più grandi e credibili a volte non riescono a farlo. Due mesi fa è stato scoperto da un sistema scolastico che il suo provider WAN, un importante fornitore di servizi di rete globale, non era riuscito a modificare le password dei router che erano stati in servizio all’interno del sistema scolastico per anni. La password era la password Cisco predefinita che può essere facilmente ottenuta da Internet. Sì, anche i passaggi più comuni e fondamentali vengono spesso ignorati. Che si tratti di un router wireless o di un controller wireless, la modifica della password predefinita dell’amministratore dovrebbe essere la prima operazione.

2. Disabilita la funzione Admin tramite Wireless sul tuo router

La maggior parte dei router wireless dà la possibilità di una gestione remota utilizzando un browser. Questa è una grande comodità per quando si è fuori sede. Sfortunatamente, questo è comodo anche per gli aggressori remoti. Un aggressore remoto potrebbe essere la persona nell’ufficio in fondo al corridoio o un utente malintenzionato che ha trovato su Internet la connessione del tuo router. Al giorno d’oggi, tuttavia, la sicurezza ha la meglio sulla comodità. Dovresti disporre di un mezzo sicuro per accedere in remoto alla tua rete per gestire il tuo router o dispositivi wireless. Ciò non significa aprire la rete per RDP, che è altamente vulnerabile al di fuori del firewall. Ogni azienda dovrebbe invece utilizzare una connessione VPN sicura.

3. Monitora le tue impostazioni DNS

La protezione delle impostazioni DNS è assolutamente fondamentale per garantire che i tuoi utenti non vengano reindirizzati a siti Web di phishing dannosi. Per le aziende che non dispongono di un server DNS interno, il router wireless spesso ricopre questo ruolo.  Le impostazioni DNS del router wireless sono un obiettivo primario per gli hacker che desiderano reindirizzare il traffico ai propri siti Web. Ad esempio, gli hacker possono creare siti Web fasulli creati per impersonare l’aspetto di siti bancari online popolari nel tentativo di acquisire le credenziali di accesso.

4. Accendi la tua rete ospite

La segmentazione della rete dovrebbe essere un principio guida quando si tratta di architettura di rete. I dispositivi non attendibili devono essere segmentati dai dispositivi aziendali e dai file condivisi. Tuttavia, se offri un solo SSID, tutti condividono la stessa area di rete. Abilitando la tua rete ospite, i visitatori hanno un posto designato a cui connettere i propri dispositivi che li tiene a distanza di braccia dalla tua rete principale. Serve anche come rete predefinita per i dispositivi sconosciuti.

5. Riduci la portata del Wi-Fi

Sia che tu affitti uno spazio ufficio da un edificio per uffici tradizionale o uno spazio commerciale in un centro commerciale, il tuo segnale Wi-Fi viene trasmesso oltre le tue quattro mura. Ciò significa che persone non in vista possono tentare di accedere alla tua rete utilizzando attacchi di forza bruta e altri strumenti che possono essere facilmente scaricati da Internet. La visibilità gioca un ruolo importante in un piano di sicurezza. Ciò che non puoi vedere è più difficile da difendere. È possibile ridurre la potenza del segnale wireless per ridurre la superficie della copertura SSID. Ciò impedirà a potenziali aggressori di effettuare ripetuti tentativi di accedere al tuo wireless.

6. Mantieni aggiornata tutta la tua attrezzatura

Questo semplicemente non si applica al tuo router wireless. Vale per tutte le apparecchiature di rete. Mantenere il firmware del router è essenziale per due motivi. Il primo è che vuoi che il tuo dispositivo funzioni con i più recenti protocolli di sicurezza. Ci sono milioni di dispositivi nel mondo oggi che eseguono protocolli obsoleti che possono essere facilmente compromessi dagli hacker. Inoltre, i fornitori rilasciano patch per eliminare gli exploit che vengono perennemente scoperti.

7. Utilizzare il livello di crittografia più elevato possibile

Proprio come la prima raccomandazione, questo dovrebbe essere ovvio. Una rete aperta significa proprio questo, è aperta. Ciò significa che gli hacker possono annusare il traffico wireless e acquisire informazioni e dati. Come minimo, dovresti usare la crittografia WPA. Se si dispone di un dispositivo gravemente obsoleto che supporta solo WEP, dovrebbe essere davvero buttato via poiché WEP non può più offrire alcuna protezione reale. Dovrebbe essere utilizzato lo standard attuale di WPA2. Se stai acquistando un nuovo router wireless, cercane uno che supporti il ​​nuovo WPA3 che presenta vantaggi distinti rispetto al suo predecessore.

Crea un ambiente sicuro per accedere a Internet con WebTitan Cloud for WiFi.
Prenota oggi una demo gratuita
7 suggerimenti per fermare gli hacker del Wi-Fi

Come capire se una mail ha subito spoofing

L’email spoofing è la creazione di e-mail con un indirizzo mittente contraffatto, e ha l’obiettivo di indurre il destinatario a fornire denaro o informazioni sensibili. Se la tua azienda utilizza un dominio registrato per la propria e-mail, è probabile che tu ne abbia visti alcuni nella tua casella di posta. È anche probabile che la maggior parte, se non tutte, fosse semplicemente una truffa di phishing.

Il tuo account è stato violato (hacked) o falsificato (spoofed)?

Il timore iniziale in queste circostanze è che l’account del mittente sia stato violato. Se il tuo account fosse compromesso, un utente malintenzionato potrebbe utilizzarlo per implementare attacchi sui social media contro i tuoi colleghi, dipendenti e contatti e-mail. Oppure, potrebbe essere utilizzato come account di spamming, il che influirebbe negativamente sulla reputazione della tua posta elettronica. La buona notizia è che gli account di posta elettronica vengono raramente violati. La maggior parte di questi episodi è dovuta allo spoofing.

Lo spoofing consiste nel far sembrare che l’e-mail provenga da un mittente di cui ti fidi, incluso te stesso. In realtà, l’e-mail proviene da una fonte esterna che potrebbe trovarsi dall’altra parte del mondo. Sfortunatamente, oggi è facile falsificare un account di posta elettronica. Qualsiasi server di posta elettronica può essere configurato per inviare posta da un determinato dominio, ovviamente da qualcuno che ne possieda le competenze necessarie. Anche se non si possiede questo know-how, ci sono siti Web che permettono di inviare e-mail una tantum utilizzando un indirizzo e-mail a scelta. Tutto questo è possibile perché, per il suo stesso design, il protocollo di posta elettronica rende possibile lo spoofing. Infatti, la sicurezza non era integrata nel protocollo di posta elettronica quando questo è stato creato.

Verificare l’Origine di una e-mail

Una buona regola oggi per le email che ti chiedono di “fare qualcosa” è di non fare affidamento solo sul nome visualizzato. Ad esempio, il nome del mittente potrebbe essere PayPal ma l’indirizzo e-mail è paypal@eydh12.com. Se un’e-mail proviene da una fonte attendibile all’interno della tua azienda, una rapida occhiata alla loro firma e-mail potrebbe essere una chiara indicazione che l’e-mail non proviene da quella persona. Le firme e-mail contraffatte spesso contengono numeri di telefono fasulli che non hanno alcuna correlazione con la tua azienda, o mancano del logo aziendale obbligatorio. Puoi anche fare clic sul pulsante Avanti che mostrerà quindi i campi “A” e “Da” dell’e-mail originale nel corpo.

Sebbene la verifica dell’indirizzo e-mail corretto ti consentirà di discernere correttamente se un’e-mail è stata falsificata per la maggior parte del tempo, non è infallibile. L’unico modo per sapere con certezza da dove proviene un’e-mail è esaminare l’intestazione (header) dell’e-mail. Ogni applicazione di posta elettronica ha un modo diverso per accedere all’intestazione.

  • Per Office 365, apri l’e-mail e fai clic sul menu Azione contenuto nell’e-mail e seleziona “Visualizza dettagli messaggio”
  • Per Gmail, apri l’e-mail e fai clic sui tre punti verticali accanto alla freccia di risposta e seleziona “Mostra originale”.
  • Per Outlook, apri l’e-mail e vai su File – Proprietà e visualizza “Intestazione Internet”.

Ci sono molte informazioni contenute nell’intestazione dell’e-mail, molte più di quelle che probabilmente vorresti sapere. Quando leggi l’intestazione di un’e-mail, i dati sono in ordine cronologico inverso. Ciò significa che le informazioni contenute in alto sono le più recenti. Per tracciare l’e-mail dal mittente al destinatario, devi iniziare dal basso. Ci sono due campi molto importanti contenuti nell’intestazione completa.

Ricevuto (received):
Questa parte dell’intestazione elenca tutti i server e i computer utilizzati per inviare l’e-mail. Poiché andiamo dal basso verso l’alto, l’ultima riga “Ricevuto:” è il punto in cui ha avuto origine l’e-mail. Questo dominio e-mail deve corrispondere a quello visualizzato nell’e-mail.

Ricevuto-SPF:
Il Sender Policy Framework (SPF) viene utilizzato dalle organizzazioni per specificare quali server sono autorizzati a inviare e-mail per suo conto. La posta inviata dai server consentiti verrà visualizzata come “Passato” – “Pass” nel campo SPF ricevuto, che è un indicatore molto forte del fatto che l’e-mail è legittima. Se i risultati mostrano “Fail” o “Softfail”, è un’indicazione che l’e-mail potrebbe essere contraffatta. Tieni presente che questo non è vero il 100 percento delle volte poiché alcuni domini non mantengono aggiornati i record SPF, con conseguenti errori di convalida.

Campi opzionali: per quelle organizzazioni che scelgono di utilizzare DKIM e DMARC, l’intestazione ha un altro campo per fornire indizi:

Risultati dell’autenticazione (Authentication-Results)
Questo campo ti consentirà di sapere se l’e-mail ha superato l’autenticazione DKIM o DMARC. Mentre SPF può essere aggirato tramite spoofing, DKIM e DMARC sono molto più affidabili.

I filtri e-mail che utilizzano le più recenti funzionalità di sicurezza anti-malware sono il modo principale con cui gli amministratori possono bloccare questi attacchi, andando alla radice del problema: le e-mail di phishing. Il blocco delle e-mail di phishing impedisce agli utenti di fare clic su collegamenti dannosi, quindi un amministratore non deve limitare la funzionalità di condivisione dei file. Invece, l’amministratore può fermare l’attacco prima che raggiunga la posta in arrivo dell’utente.

Che cos’è DMARC (Domain-based Message Authentication – Autenticazione dei messaggi basata sul dominio)?

Le difese DMARC (Domain-based Message Authentication, Reporting, and Conformance) bloccano le e-mail di phishing in base alle impostazioni dell’amministratore e a un insieme di regole che sfruttano il DNS e la crittografia a chiave pubblica-privata. DMARC comprende il Sender Policy Framework (SPF), che richiede una voce DNS dall’organizzazione in modo che i server di posta elettronica del destinatario possano identificare se l’IP del mittente è autorizzato a inviare un’e-mail per conto del proprietario del dominio.

Anche DomainKeys Identified Mail (DKIM) è compreso nelle regole DMARC. Il DKIM aggiunge una firma di crittografia a chiave pubblica che può essere decrittografata solo dal server di posta elettronica dell’organizzazione che contiene la chiave privata. Aggiungendo una firma al messaggio di posta elettronica, l’organizzazione sa che solo i messaggi crittografati con la sua chiave pubblica sono destinati al destinatario. Insieme a SPF, questo framework di sicurezza blocca i messaggi contraffatti che potrebbero sembrare provenienti da un mittente attendibile.

Gli attacchi OAuth sono comuni in natura e basta un solo errore dell’utente per consentire a un utente malintenzionato di accedere a un’unità cloud. Con DMARC e i giusti filtri e-mail, un’organizzazione può impedire a un utente malintenzionato di raggiungere la casella di posta di un utente mirato.

Articolo correlato Abilitare e configurare DMARC in SpamTitan

Nessuna azienda è immune dalla perdita di dati

I rischi derivanti da e-mail contraffatte e dannose sono oggi molto maggiori. Gli individui possono perdere la stabilità finanziaria a causa del furto di identità. I database delle organizzazioni possono essere estratti per numeri di previdenza sociale, informazioni sulla carta di credito, cartelle cliniche, numeri di conto bancario, ecc. Con conseguenti danni ingenti non solo all’organizzazione, ma anche alle persone le cui informazioni sono state rubate. Non solo le grandi organizzazioni, ma anche le piccole imprese sono spesso vittime di significativi danni finanziari causati da e-mail dannose.

Rimanere protetti dai tentativi di phishing tramite e-mail contraffatte

Nonostante sia relativamente facile proteggersi dalle e-mail contraffatte, questa è ancora una tecnica molto frequente e comune utilizzata da spammer e criminali informatici. Ci vuole un certo sforzo, e quindi denaro, per combattere lo spoofing delle e-mail. Probabilmente è per questo motivo che molte medie e piccole aziende non prendono le precauzioni necessarie. Le nostre raccomandazioni sono piuttosto semplici:

Iscriviti a un servizio di filtro antispam altamente professionale, rivalutandone l’efficacia ogni anno.
Assegna qualcuno (se non un dipendente, impiega una società di outsourcing IT) per monitorare e amministrare il sistema di posta elettronica, incluso il servizio di filtro antispam. Questo non è un compito banale in quanto le funzionalità e-mail cambiano, le nuove minacce si evolvono costantemente e gli indirizzi e-mail cambiano frequentemente a causa dei cambiamenti del personale.

Educa i dipendenti allo spoofing delle e-mail e ad altre tecniche utilizzate da spammer e criminali informatici.
Informali su cosa cercare durante la scansione della posta in arrivo in modo che possano identificare rapidamente potenziali e-mail dannose. Fornisci loro una risorsa che possa aiutarli a decidere se non sono sicuri che un’e-mail sia falsa.

La posta elettronica è uno strumento di comunicazione aziendale necessario ed estremamente utile. Sfortunatamente, poiché viene utilizzato così tanto, è un facile bersaglio per i criminali informatici. Per un utente medio di posta elettronica è un compito difficile nella migliore delle ipotesi individuare un’e-mail dannosa tra le centinaia o migliaia che si riversano nella loro casella di posta. Ecco perché è così importante per le organizzazioni allocare risorse e fondi per proteggere il proprio personale e la propria organizzazione da tutte le minacce che potrebbero arrivare come un messaggio dall’aspetto innocente da parte di un amico.

Dal 1999 SpamTitan ha sviluppato informazioni sulle minacce (threat intelligence) per ridurre drasticamente i rischi e i danni provocati da un attacco riuscito alla tua organizzazione. Con SpamTitan ridurrai significativamente il rischio che nuove varianti di email dannose entrino nella tua rete.

Se stai cercando il miglior filtro antispam per gli utenti aziendali, dai un’occhiata a SpamTitan, la soluzione antispam leader per PMI, MSP e scuole.

InsightIDR era XDR prima ancora che ci fosse l’XDR: storia dell’origine

InsightIDR era XDR prima ancora che ci fosse l’XDR: storia dell’origine

Una storia dell’origine aiuta a spiegare chi sei e perché.

Rapid7 ha iniziato a creare InsightIDR nel 2013. È stato l’anno in cui l’epica violazione dei dati di Yahoo ha rivelato i nomi, le date di nascita, le password e le domande e risposte di sicurezza di 3 miliardi di utenti.

A quel tempo, i professionisti della sicurezza volevano semplicemente i dati. Se qualcuno avesse potuto semplicemente raccoglierli tutti, loro sarebbero partiti da lì. Quindi il mercato si è concentrato su grandi quantità di dati (data first), la maggior parte rumorosi e inutili.
Rapid7 ha scelto un percorso e un approcciodiverso: prima i rilevamenti (detection first).

Abbiamo studiato come i criminali hanno attaccato le reti e abbiamo capito di cosa avevamo bisogno per trovarli (anche grazie ai nostri amici del progetto Metasploit). Quindi abbiamo scritto e testato questi rilevamenti, assemblato una libreria e consentito agli utenti di adattare i rilevamenti ai propri ambienti. Sembra così facile ora, in questo breve paragrafo, ma ovviamente allora non lo era.

Alla fine, nel 2015, ci siamo incontrati con gli analisti del settore subito prima del lancio. Le domande sono state numerose.

“Lo chiamate InsightIDR? Che cosa significa IDR?”

Incident. Detection. Response.

Ed è allora che sono iniziate le obiezioni. È andata più o meno così: “Incident Detection and Response è una categoria di mercato, non un prodotto! Servono 10 prodotti diversi per farlo davvero! l’obiettivo è troppo ampio! State cercando di fare troppo!”

E poi il colpo di grazia: “Il nome del prodotto è stupido”.

InsightIDR ha avuto un inizio cupo ma anche fantastico

Quando stai cercando di essere dirompente, la cosa più spaventosa è la tranquilla indifferenza. Qualsiasi grande reazione è ottima, anche se vieni interpretato. Quindi abbiamo pensato che forse avevamo qualcosa di importante da dire.

A quel tempo, i lavoratori moderni stavano seminando molti modi per essere trovati online: LinkedIn, Facebook, Gmail. Gli aggressori li hanno trovati. Siamo diventati tutti bersagli. Nel 2016 sono stati acquisiti 4 miliardi di dati, quasi tutti a causa di password rubate o deboli e intuibili. Naturalmente, gli intrusi mascherati da dipendenti non sono stati catturati dal monitoraggio tradizionale. Sebbene sia una buona idea impostare la politica delle password e formare i dipendenti sull’igiene della sicurezza, abbiamo deciso di studiare la natura umana piuttosto che provare a cambiarla.

Al centro di ciò che stavamo facendo c’era un nuovo modo di tracciare l’attività e condensare i dati rumorosi in eventi significativi. Con User and Entity Behavior Analytics (UEBA), InsightIDR basa continuamente il comportamento “normale” degli utenti in modo da individuare rapidamente anomalie, rischi e, in definitiva, comportamenti dannosi, aiutandoti a interrompere la catena di attacco.

Ma UEBA è solo una parte di una piattaforma di Detection and Response. Quindi abbiamo aggiunto funzionalità SIEM tradizionali come la nostra tecnologia proprietaria data lake (che ci ha permesso di evitare una politica di prezzi basati sulla quantità di dati – questa affligge il mercato), il monitoraggio dell’integrità dei file e dashboard e report di conformità.

Abbiamo anche aggiunto alcune funzionalità non così tradizionali come l’analisi del comportamento degli aggressori e il rilevamento e la risposta degli endpoint. L’EDR era arrivato a un punto morto. I fornitori di EDR continuano a concentrarsi sulla raccolta dei dati degli agenti. Ma abbiamo deciso anni fa che l’ingegneria del rilevamento e la cura – concentrandoci sul male – sono il modo giusto di fare EDR.

Si scopre che InsightIDR non stava facendo “troppo” – stava facendo XDR

Nel 2017 abbiamo aggiunto l’orchestrazione della sicurezza e l’automazione alla piattaforma Insight. XDR è incentrato sull’efficienza dell’analista e per questo è necessaria sempre più automazione. Successivamente, il nostro sensore di rete e le funzionalità SOAR complete hanno alleggerito ulteriormente gli analisti. La triade della visibilità è stata presto completata quando abbiamo aggiunto il rilevamento e la risposta della rete.

Qualche tempo l’anno successivo, il fondatore e CTO di Palo Alto Networks coniò l’acronimo “XDR” per spiegare la “sinfonia” che richiederebbe una grande sicurezza informatica. (almeno ora avevamo un nome per questo.)

Poi, nel 2021, sono successe tre cose.

In primo luogo, Rapid7 ha acquisito Velociraptor, una piattaforma open source incentrata sul monitoraggio degli endpoint, sull’analisi forense digitale e sulla risposta agli incidenti. (Ci impegniamo per l’open source dal 2009, quando abbiamo acquisito Metasploit, ora la rete di test di penetrazione più utilizzata al mondo con una community di 300.000 collaboratori.)

In secondo luogo, con i perimetri così estesi da rompersi, abbiamo acquisito IntSights. I clienti ora beneficiano di informazioni sulle minacce interne ed esterne senza rivali, che coprono il web chiaro, profondo e oscuro. Confronteremo gli avvisi ad alta fedeltà e il rapporto segnale/rumore di InsightIDR con quelli di chiunque altro.

Infine, XDR è diventato l’argomento al centro dell’attenzione. Seriamente, non passa giorno o conferenza che non veda il dibattito sull’esatta definizione di XDR, la speculazione che sia più pettegolezzo che buona tecnologia e la preoccupazione che XDR possa spostarsi molto rapidamente attraverso il Gartner Hype Cycle fino al “Trough of Disillusionment”.

InsightIDR ti dà la libertà di concentrarti su ciò che conta di più

In un recente sondaggio tra i clienti del programma Rapid7 Voice (un gruppo che fornisce input mentre sviluppiamo nuove idee) il 42% ha affermato di utilizzare InsightIDR per ottenere risultati XDR in questo momento. Ho sentito uno dire che è sempre sorpreso dal dibattito alle conferenze e dice: ma non sai che puoi già fare queste cose? Io le faccio!

A proposito, sta lavorando completamente da solo, un one-man show per un’azienda globale quotata al NASDAQ nel settore sanitario (un obiettivo piuttosto caldo di questi tempi). XDR, giunto al suo quinto anno, può aiutare con il problema del divario di competenze del settore? Questo è per un altro blog.

Per ora, scarica il nostro eBook: ” 4 Modi in cui l’XDR fa salire di livello la sicurezza “.

È un rapido set di indicazioni che deriva da una lunga esperienza. Buona lettura.

> Articolo originale di Sam Adams

Pagare gli attacchi ransomware potrebbe avere ripercussioni legali

Pagare gli attacchi ransomware potrebbe avere ripercussioni legali

Gli attacchi ransomware potrebbero costare molto più di una semplice perdita finanziaria, possono sfociare in una battaglia legale.

I blocchi del 2020 e 2021 hanno causato un aumento degli attacchi informatici, in particolare ransomware e phishing. Con più persone che lavorano da casa e alla disperata ricerca di reddito, gli aggressori informatici hanno raccolto milioni in riscatti con una media di un quarto delle vittime che hanno pagato il riscatto . Questi attacchi prendono di mira aziende ed enti governativi.

Di conseguenza, l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha emesso un avviso avvertendo le persone che sanzioni e possibili sanzioni potrebbero essere valutate se facilitano o pagano gli aggressori.

Ransomware e phishing

Con più persone che lavorano da casa, le aziende sono costrette a rimanere produttive fornendo a questi dipendenti l’accesso remoto alle applicazioni interne e alle risorse di rete. Anche se questo può essere comune nelle grandi imprese, le piccole imprese faticano a configurare un sistema che sia comodo per gli utenti ma sicuro dagli attacchi informatici. Gli aggressori sono consapevoli del fatto che la maggior parte dei lavoratori domestici non dispone delle difese di sicurezza informatica per proteggersi da sofisticati ransomware e phishing, quindi è stato un modo redditizio e di successo per compromettere i dispositivi domestici e di lavoro.

Phishing e ransomware sono due attacchi devastanti, ma il ransomware di solito inizia con una campagna di phishing. La campagna di phishing potrebbe essere presa di mira (spear-phishing) oppure gli aggressori potrebbero contattare casualmente i dipendenti trovati dopo la ricognizione. La fase di ricognizione di un attacco viene eseguita leggendo i social media e LinkedIn per trovare potenziali bersagli. Dopo che gli obiettivi sono stati valutati e l’azienda è stata esaminata, gli aggressori inviano e-mail di phishing con allegato malware. Un’altra alternativa per gli aggressori è inviare messaggi con collegamenti a server che ospitano malware.

Ciò che rende il ransomware particolarmente pericoloso è che non esiste una soluzione o un modo per eliminarlo dal dispositivo senza backup, ma il ransomware esegue la scansione della rete alla ricerca di file vulnerabili e li crittografa. L’unico modo per recuperare i file se l’utente di destinazione non ha backup è pagare il riscatto. Pagando il riscatto, OFAC riconosce che l’atto di pagamento facilita la criminalità informatica e incoraggia più campagne di ransomware.

Sanzioni OFAC e incident response

La nuova consulenza OFAC rende difficile per i team di incident response supportare completamente i clienti. A volte, l’unica opzione è tentare di pagare il riscatto e il costo aumenta se il pagamento non è stato effettuato entro un breve lasso di tempo. Gli aggressori in particolare fanno riscatti di alcune migliaia di dollari in modo che sia conveniente per privati ​​​​e aziende, quindi pagare il riscatto è un rischio più economico rispetto al recupero senza backup.

Ora, questa azione rientra nelle nuove sanzioni dell’OFAC e potrebbe mettere in difficoltà una squadra di incident response con il governo degli Stati Uniti. Per aumentare il rischio, il governo degli Stati Uniti richiede alle aziende di conoscere i loro beneficiari, ma gli aggressori fanno di tutto per proteggere la loro identità. Il malware ransomware include un indirizzo e-mail usa e getta con un ID portafoglio di criptovaluta. Queste due informazioni non sono sufficienti per identificare un aggressore. Gli indirizzi bitcoin non sono anonimi, ma gli aggressori “lavano” la criptovaluta per evitare il tracciamento e l’identificazione.

Le vittime di ransomware sono tenute ad avvisare le forze dell’ordine di un attacco, ma la presentazione di una segnalazione potrebbe essere troppo onerosa per le persone. In un ambiente aziendale, mantenere le prove di una violazione influisce sulla produttività se è l’unico computer di lavoro a disposizione del dipendente. Per la piccola impresa media, la formattazione del computer e il ripristino dai backup sono una scelta che incide meglio sulle entrate rispetto alla conservazione delle prove per le forze dell’ordine.

La migliore difesa è rappresentata da strategie anti-phishing e anti-malware proattive

Il vettore ransomware più comune è preso di mira con messaggi di posta elettronica dannosi. Per fermare in modo efficace gli attacchi di phishing, le aziende necessitano di strategie anti-phishing, compresi i filtri dei server di posta elettronica e le quarantene. I filtri e-mail rilevano allegati e collegamenti dannosi e mettono in quarantena i messaggi in un luogo sicuro. Gli amministratori possono rivedere i messaggi e inoltrarli al destinatario previsto o eliminarli in modo permanente.

È una strategia di difesa comune per educare gli utenti ad aiutarli a rilevare i messaggi dannosi, in particolare gli utenti con account di rete con privilegi elevati. Tuttavia, questo metodo si basa ancora sull’interazione dell’utente e lascia spazio all’errore umano. Con i filtri e-mail, i messaggi non raggiungono mai la posta in arrivo del destinatario, quindi il rischio è notevolmente ridotto e l’errore umano eliminato. In caso di falso positivo, gli amministratori possono inoltrare messaggi e modificare le impostazioni per identificare meglio le minacce reali anziché i messaggi innocui.

Le organizzazioni non possono ottenere una rete senza minacce al 100%, ma possono implementare difese che la riducono notevolmente. Entro il 2021, il ransomware aumenterà le sanzioni anche per i team di risposta agli incidenti. Aggiungendo filtri e-mail ai normali server operativi, gli amministratori e i team di sicurezza informatica possono proteggere l’organizzazione da una delle maggiori minacce alla continuità aziendale e all’integrità dei dati.

Utilizza  SpamTitan  Email Protection per proteggere la tua azienda da spam, virus, malware, ransomware e collegamenti a siti Web dannosi. Con un tasso di cattura dello spam del 99,99%, puoi essere certo che le email dannose non entreranno nella tua organizzazione. Mettiti in contatto con un membro del team di SpamTitan per scoprire come possiamo proteggere meglio la tua azienda dagli attacchi ransomware. Mettiti in contatto oggi stesso.

Photo by Muhannad Ajjan on Unsplash

Come proteggere le email aziendali con encryption TLS

Come proteggere le email aziendali con encryption TLS

Nel 2021, l’e-mail è stata l’arma prescelta dai criminali informatici, utilizzata nel 91% degli attacchi. Il motivo è semplice: la posta elettronica è il vettore di attacco ideale perché funge da gateway per una rete aziendale. L’e-mail contiene spesso informazioni riservate o proprietarie.

Ciò rende l’e-mail interessante non solo per un’intercettazione dannosa, ma anche una fonte di fuga accidentale di dati. Se questo gateway non è protetto, diventa una porta aperta che consente a errori, abusi e attacchi informatici di trasformarsi in violazioni dei dati. Pertanto, è fondamentale proteggere le e-mail da attacchi, usi impropri o indirizzamenti errati. La crittografia e-mail TLS viene utilizzata per fornire questa protezione.

Che cos’è TLS e come viene utilizzato per proteggere e-mail e dati?

TLS o Transport Layer Security è un protocollo di sicurezza sviluppato specificamente per proteggere i dati trasmessi tramite una connessione Internet, ad esempio il contenuto della posta elettronica. TLS è stato sviluppato nell’ambito dell’attività dell’Internet Engineering Task Force (IETF). È un sostituto del precedente protocollo Secure Sockets Layer (SSL) che è nato a metà degli anni ’90 quando l’Internet commerciale è decollato. Ci sono voluti dieci anni per perfezionare il protocollo TLS, che è stato rilasciato ad agosto 2018 ed è ora nella versione 1.3.

La sicurezza TLS si basa sulla crittografia. Tutti i dati, come password, informazioni finanziarie, contenuto e-mail, ecc., inviati tramite TLS verranno crittografati. La crittografia funziona end-to-end, in altre parole, tutti i dati trasmessi utilizzando il protocollo TLS saranno protetti durante tale trasmissione. Se una persona o una cosa tenta di intercettare quei dati crittografati, non sarà in grado di decrittografarli a meno che non sia autorizzato a farlo.

Il protocollo TLS funziona utilizzando un mix di crittografia asimmetrica e simmetrica per ottimizzare velocità e sicurezza. Questa crittografia si basa su certificati digitali e crea qualcosa noto come “TLS handshake”, accoppiando i certificati TLS corrispondenti per eseguire un processo di decrittazione sicuro. Dietro il simbolo di sicurezza del lucchetto e la S in HTTPS si trova un certificato TLS che segnala agli utenti che un sito Web è protetto tramite TLS.

Perché un’organizzazione dovrebbe utilizzare la crittografia e-mail TLS?

La posta elettronica continua a essere una fonte significativa di fughe di dati. Una ricerca recente ha rilevato che l’83% delle violazioni dei dati potrebbe essere ricondotto a un’e-mail e il 95% dei leader IT ritiene che l’e-mail rappresenti una minaccia significativa alla protezione dei dati. Uno studio del 2020 ha rilevato che il 93% delle organizzazioni ha subito una violazione dei dati a causa di e-mail in uscita compromesse.

La sicurezza delle e-mail è vulnerabile in molti modi dalle e-mail indirizzate in modo errato che finiscono nelle mani sbagliate e causano imbarazzo all’intercettazione dannosa di informazioni aziendali sensibili da parte degli hacker. Ovunque si trovi la vulnerabilità, la crittografia TLS aiuta a ridurre significativamente questo rischio.

In che modo EncryptTitan utilizza TLS per proteggere la posta elettronica

TLS è una parte fondamentale di un approccio olistico per proteggere la posta elettronica aziendale. Come standard riconosciuto, è mantenuto dal settore ed è ampiamente adottato e supportato da tutti i principali browser e app. Senza utilizzare questa crittografia end-to-end basata su protocollo standard, i messaggi di posta elettronica sono vulnerabili all’intercettazione e all’esposizione dei dati. EncryptTitan utilizza questo protocollo standard come base per la sua piattaforma di protezione della posta elettronica.

Una delle vulnerabilità comuni inerenti ai sistemi di sicurezza è l’errore umano. Spesso i sistemi di sicurezza falliscono semplicemente perché l’operatore umano, ad esempio un dipendente, dimentica di abilitare la protezione. EncryptTitan evita ciò automatizzando l’uso della crittografia e-mail in modo che i messaggi siano sempre crittografati prima dell’invio ai destinatari.

EncryptTitan offre due tipi di protezione della posta elettronica, tramite TLS Verify o un Secure Portal. Entrambi utilizzano TLS per crittografare i messaggi end-to-end, ma utilizzano metodi diversi per consentire l’accesso sicuro a un’e-mail crittografata con TLS dopo la ricezione.

In che modo i destinatari accedono a un’e-mail crittografata TLS?

TLS crittografa l’e-mail durante la sua trasmissione tra il server Web e il client di posta elettronica, ovvero il contenuto dell’e-mail è protetto utilizzando la crittografia end-to-end. Una volta ricevuta un’e-mail, è possibile proteggerla ulteriormente richiedendo le credenziali di autenticazione per accedervi.

Alcuni servizi avanzati di crittografia delle e-mail TLS, come EncryptTitan, offrono un accesso sicuro, continuo e automatizzato alle e-mail crittografate creando una rete di fiducia, chiamata TLS Verify.

Accesso tramite TLS Verify

TLS Verify automatizza il processo per crittografare i messaggi di posta elettronica e, così facendo, EncryptTitan evita l’errore umano. TLS Verify garantisce inoltre che gli standard di sicurezza dei dati soddisfino i requisiti delle normative statali e federali per l’invio di informazioni private tramite e-mail. TLS Verify utilizza il confinamento sicuro, creando una rete di fiducia, per condividere senza problemi i messaggi di posta elettronica crittografati.

Quando un destinatario riceve un messaggio di posta elettronica crittografato tramite TLS Verify, può accedere a quel messaggio utilizzando questo ambiente protetto condiviso. Il processo di decrittazione è quindi continuo e invisibile all’utente.

Funziona perché TLS Verify si connette tramite l’host di posta del destinatario, associato ai record MX del dominio, utilizzando TLS versione 1.2 o 1.3. Il nome dell’host di posta deve corrispondere al nome comune (CN) del certificato digitale utilizzato per facilitare il TLS: questa corrispondenza garantisce un accesso sicuro.

Accesso tramite un Portale Sicuro

Se un’organizzazione decide di non facilitare l’accesso senza interruzioni alla posta elettronica crittografata, può in alternativa utilizzare un metodo di “portale sicuro”. In questo scenario, il messaggio crittografato viene inviato a un’area del portale per l’accesso protetto.

Un destinatario riceve un’e-mail di notifica che il messaggio protetto lo sta aspettando nel portale. Per accedere al messaggio, il destinatario in genere inserisce l’autenticazione a due fattori per accedere al portale. Questo ulteriore livello di autenticazione aggiunge ulteriore sicurezza.

Portale sicuro e crittografia e-mail TLS

I modelli di crittografia delle e-mail end-to-end e basati su portali sicuri utilizzano TLS per proteggere le e-mail durante la trasmissione. Tuttavia, i messaggi crittografati basati su portale sicuro sono più sicuri della crittografia e-mail TLS poiché richiedono un ulteriore livello di autenticazione per accedere all’e-mail. Tuttavia, così facendo, non sono facili da usare come il metodo di verifica TLS senza interruzioni, che richiede ai dipendenti di eseguire clic aggiuntivi e inserire le credenziali di autenticazione per accedere alle e-mail.

Idealmente, un’organizzazione dovrebbe utilizzare entrambi i tipi di crittografia e-mail e scegliere quando utilizzarne uno rispetto all’altro. Per le e-mail altamente sensibili, il metodo del portale protetto è il metodo preferito. Tuttavia, per gli scambi quotidiani di posta elettronica tra dipendenti e aziende partner, TLS Verify è l’opzione migliore in quanto offre un modo più semplice ma sicuro per lo scambio di informazioni trasmesse tramite posta elettronica.

EncryptTitan per la crittografia TLS

Encrypt Titan offre sia l’accesso ai messaggi crittografato senza interruzioni utilizzando la verifica TLS che l’accesso al portale protetto. Questo approccio unisce il meglio dei due mondi alla protezione delle e-mail, permettendo di raggiungere l’equilibrio tra sicurezza e usabilità. Per vedere come la crittografia e-mail può rendere più sicure le comunicazioni aziendali, richiedi una demo gratuita di EncryptTitan.

> Post Originale di Trevagh Stankard

Photo by fabio on Unsplash

4 modi in cui gli underground data aiutano i criminali a superare i controlli antifrode e cosa puoi fare al riguardo

4 modi in cui gli underground data aiutano i criminali a superare i controlli antifrode e cosa puoi fare al riguardo

Con l’aumento delle minacce di frode online, accelerato dall’adozione digitale da parte dei consumatori durante le chiusure pandemiche, le aziende hanno bisogno della certezza che gli utenti che interagiscono con i loro siti Web siano legittimi. Data la natura in continua evoluzione dell’attività criminale, anche i programmi di prevenzione delle frodi più sofisticati faticano a separare gli utenti buoni da quelli cattivi, in particolare quando i criminali utilizzano i dati rubati per eludere le tradizionali misure di prevenzione delle frodi.

Oggi l’offerta di SpyCloud si arricchisce di una nuova soluzione per aiutare le aziende a impedire che i criminali utilizzino i dati rubati per creare false identità e farla franca. SpyCloud Identity Risk Engine è uno strumento di prevenzione delle frodi che attinge ai dati della criminalità clandestina per valutare il rischio degli utenti, qualcosa che nessun’altra soluzione sul mercato può offrire. Può essere inserito a strati in un quadro di controllo esistente per aiutare i team antifrode a prendere decisioni più accurate, consentendo loro di prevenire più frodi e consentire più buoni affari senza interruzioni.

Identity Risk Engine offre analisi fruibili che aiutano le organizzazioni a:

  • Prevedere le frodi legate al malware : rileva quando i dati personali dei consumatori sono stati rubati da un malware, esponendoli a un rischio elevato di frode;
  • Rilevare identità sintetiche : individua le irregolarità nelle informazioni di un utente che suggeriscono che l’identità è stata rubata o creata utilizzando i dati personali disponibili per i criminali;
  • Anticipa l’acquisizione dell’account : identifica i segnali di pericolo che indicano che i consumatori sono ad alto rischio di acquisizione dell’account, ad esempio alti tassi di riutilizzo delle password nei loro account.

Guarda il nostro video per saperne di più su come Identity Risk Engine aiuta le aziende a fermare le frodi difficili da rilevare. 

In che modo SpyCloud Identity Risk Engine può rafforzare il tuo framework di controllo delle frodi

SpyCloud Identity Risk Engine può aiutare le aziende a prendere decisioni di frode più sicure per una varietà di scenari diversi. Ecco solo alcuni esempi.

Scenario n. 1: arriva un’ondata di nuove registrazioni di account. Come puoi sapere quali sono legittime?

Una sfida comune che abbiamo sentito dai clienti dall’inizio della pandemia è capire come gestire un afflusso di nuove registrazioni di account. Mentre molte delle nuove iscrizioni provengono da utenti reali che espandono i servizi che utilizzano online, molte provengono anche da criminali informatici. Il problema è significativo: secondo Lexis Nexis , una creazione di nuovi account su 11 è potenzialmente fraudolenta .

Le creazioni fraudolente di account sono spesso difficili da rilevare perché i criminali si iscrivono utilizzando dati legittimi rubati a utenti reali, in genere combinati in identità sintetiche. La manichetta antincendio delle nuove registrazioni esacerba la sfida di eliminare i cattivi attori senza rallentare il processo di registrazione per i nuovi utenti legittimi.

Identity Risk Engine aiuta le aziende a rilevare le creazioni di account rischiose segnalando quando le informazioni di un nuovo utente includono anomalie che suggeriscono che l’identità è stata rubata o costruita. Le aziende possono chiamare l’API durante il processo di creazione dell’account per supportare altri processi di verifica dell’identità come Know Your Consumer (KYC). Oltre a un punteggio che indica il livello di rischio dell’utente, Identity Risk Engine restituisce anche codici di motivazione che spiegano perché l’account è stato segnalato come sospetto.

 

Scenario n. 2: un cliente effettua transazioni tramite il checkout degli ospiti. Dovresti lasciare che l’acquisto vada a buon fine?

Il check-out degli ospiti riduce l’attrito per gli acquirenti occasionali, ma può fornire informazioni limitate per supportare le decisioni di frode. Senza un account per fornire informazioni storiche, può essere difficile determinare come procedere con la transazione. I controlli per la prevenzione delle frodi possono aiutare, ma in genere offrono una protezione limitata se un malintenzionato ha riciclato i dati rubati che appartengono a utenti reali. 

Identity Risk Engine elimina parte delle congetture dalla valutazione delle transazioni di checkout degli ospiti, arricchendo i dati disponibili per il tuo team antifrode con approfondimenti tratti da dati sotterranei recuperati. SpyCloud distilla miliardi di punti dati in un chiaro segnale di rischio correlando le informazioni sull’identità e analizzando fattori come l’attualità e la portata delle esposizioni precedenti, l’igiene delle password, le prove che i dati dell’utente sono stati raccolti da malware e altri indicatori chiave di rischio. Con il punteggio di rischio e i codici motivo forniti da SpyCloud, puoi prendere una decisione sicura se lasciare che l’ordine venga eseguito, richiedere all’utente un’ulteriore verifica dell’identità o rifiutare la transazione. L’utilizzo di dati sotterranei recuperati per valutare il rischio di frode può aiutare non solo a ridurre le frodi, ma anche a ridurre i tassi di revisione manuale. Un rivenditore nella versione beta di questo prodotto ha scoperto che avrebbe potuto evitare la revisione manuale per il 76% degli ordini testati con Identity Risk Engine.

Scenario n. 3: alcuni clienti utilizzano senza saperlo dispositivi infettati da malware. Come impedire ai criminali di utilizzare i loro dati per frode?

È una minaccia silenziosa: un utente accede con il browser, la posizione e le credenziali abituali, o forse anche con un cookie memorizzato. Non vengono lanciati allarmi e nulla sembra che non vada, fino a settimane dopo, quando il vero titolare del conto emette uno storno di addebito o segnala altre attività fraudolente. Dopo il fatto, il team antifrode potrebbe scoprire o meno che il motivo per cui la transazione fraudolenta è sfuggita alle loro difese era perché i dati dell’utente originale erano stati sottratti al malware e sono stati utilizzati per rubare i loro account e l’identità.

I dati raccolti dal malware per il furto di credenziali consentono ai criminali di aggirare più facilmente le misure antifrode. Ogni consumatore i cui dati sono stati raccolti da malware corre un rischio significativo di furto di account, furto di identità e altre forme di frode online.

A differenza di qualsiasi prodotto sul mercato, Identity Risk Engine è in grado di identificare in anticipo gli utenti ad alto rischio, aiutando a prevenire perdite di frode legate alle infezioni da malware. Durante i beta test dei clienti che abbiamo eseguito durante lo sviluppo di questo prodotto, Identity Risk Engine ha rivelato che circa l’1% degli account dei consumatori testati era stato colpito da malware. Identificando che i criminali hanno accesso alle impronte digitali del browser dei clienti, alle credenziali esatte e alle informazioni riservate, puoi segnalare in modo proattivo il loro account o agire prima che si verifichino ATO e frode.

Scenario n. 4: un titolare di conto esistente effettua l’accesso e modifica il proprio indirizzo. Si sono trasferiti davvero?

L’acquisizione di account rappresenta un grosso problema per le imprese e un’opportunità redditizia per i criminali. Solo l’anno scorso, SpyCloud ha recuperato 1,7 miliardi di credenziali dalla criminalità clandestina e il 70% degli utenti con più di una password nel nostro database le ha riutilizzate. I criminali testano queste password contro account online, che usano per drenare fondi, rubare punti fedeltà, effettuare acquisti fraudolenti, rivendere e monetizzare in qualsiasi altro modo gli venga in mente.

Per anni, SpyCloud è stata leader nella prevenzione dell’acquisizione di account perché consente alle aziende di rilevare e ripristinare le credenziali compromesse, ma con l’aggiunta di Identity Risk Engine, i team antifrode possono arricchire i propri modelli di rischio con nuove informazioni sufficienti per personalizzare il percorso del cliente in base a rischio del singolo utente. Comprendere l’esposizione degli utenti alla criminalità clandestina non solo può aiutare le aziende ad agire per proteggere gli account vulnerabili, ma anche evitare inutili attriti per i clienti che corrono un rischio eccezionalmente basso.

Il tipo di esposizione, la gravità e la tempistica possono tutti influenzare il rischio dell’utente. Ad esempio, se la password di un utente è apparsa in un elenco combinato, significa che le sue credenziali stanno circolando ampiamente in un formato che è facile da usare per i criminali non sofisticati negli attacchi automatici. È probabile che il loro account venga colpito da attacchi di credential stuffing. Al contrario, un utente le cui credenziali sono apparse di recente in una nuova violazione di terze parti è maggiormente a rischio di attacchi mirati di acquisizione del controllo dell’account , che possono includere sforzi creativi e manuali da parte di un utente malintenzionato. (Secondo i clienti di SpyCloud, gli attacchi mirati rappresentano solo il 10% dei tentativi di acquisizione dell’account e rappresentano l’80% delle perdite.)

In entrambi i casi, la cronologia delle password dell’utente è un fattore critico. Se l’utente ha un alto tasso di riutilizzo delle password negli altri accessi esposti (incluse le password associate agli altri indirizzi e-mail), ci sono buone probabilità che gli attacchi abbiano successo a un certo punto. Potrebbe essere utile fare un ulteriore passo per verificare che l’utente sia legittimo e non un attore di minacce, come attivare l’autenticazione a più fattori o fargli reinserire il numero di carta di credito memorizzato. D’altra parte, una forte igiene delle password su altri account significa che i criminali molto probabilmente non hanno gli strumenti per rubare l’account di questo utente. In questo caso, puoi consentire all’utente di procedere con l’aggiornamento del proprio account senza interrompere il percorso del cliente.

Come funziona Identity Risk Engine

SpyCloud Identity Risk Engine analizza miliardi di punti dati e distilla ciò che è importante in elementi statistici riepilogati che puoi utilizzare per guidare l’azione per la tua applicazione. Può fungere da complemento alle tue soluzioni esistenti, con la flessibilità di essere stratificato in un percorso del cliente in punti ad alto rischio di tua scelta (creazione di account, transazione, ecc.). Interrogando l’API Identity Risk Engine con un semplice indirizzo e-mail o numero di telefono, avrai accesso a un punteggio di rischio e agli elementi analitici che ne forniscono il contesto, informazioni che possono aiutare la tua organizzazione a migliori decisioni sulle frodi e a proteggere i tuoi profitti dalle frodi.

Per saperne di più su come SpyCloud Identity Risk Engine può aiutare a limitare le frodi e l’attrito con i clienti, pianifica una demo oggi stesso.

DotForce diventa il primo distributore di Group-IB in Italia

DotForce diventa il primo distributore di Group-IB in Italia

In qualità di primo distributore ufficiale di Group-IB in Italia, DotForce faciliterà l’accesso per integratori di sistema e fornitori di servizi di sicurezza gestiti (MSSP) all’ecosistema di prodotti e servizi di Group-IB

Group-IB, specialista globale attivo nel campo della cybersecurity, ha firmato un accordo con DotForce, tra i principali distributori italiani di prodotti e servizi di sicurezza informatica future-proof. In qualità di primo distributore ufficiale di Group-IB in Italia, DotForce faciliterà l’accesso per integratori di sistema e fornitori di servizi di sicurezza gestiti (MSSP) all’ecosistema di prodotti e servizi di Group-IB, finalizzato alla prevenzione e all’indagine di attacchi informatici, protezione contro le frodi online e uso improprio della proprietà intellettuale.

La scelta di DotForce deriva dalla sua forte rete di partner, che comprende rivenditori specializzati in sicurezza informatica, systems integrator, managed security provider e consulenti di sicurezza IT, nonché una lunga esperienza nell’acquisizione dei clienti con soluzioni di cybersecurity all’avanguardia.

L’Italia riporta un tasso di criminalità informatica allarmante. Secondo l’ultimo rapporto Hi-Tech Crime Trends 2021/2022 di Group-IB, le aziende italiane sono il terzo target più popolare in Europa tra i venditori di accesso a reti compromesse, rappresentando il 13% di tutte le offerte. Nel 2021, l’Europa è diventata la seconda regione più frequentemente presa di mira dai ransomware con i dati su 598 aziende locali pubblicati su Data Leak Sites, subito dopo il Nord America (1.213). L’Italia è arrivata nella lista dei “top-5” con i dati su 76 aziende locali pubblicati sul ransomware DLS.

Per resistere con successo alla crescente criminalità informatica, è fondamentale che le aziende comprendano adeguatamente quali minacce sono rilevanti per la loro specifica organizzazione. Group-IB fa leva sul proprio focus sugli attaccanti attraverso l’intero stack dei suoi prodotti e servizi, a difesa delle aziende del settore pubblico e privato di oltre 60 paesi.

Con il nuovo accordo, un numero sempre maggiore di aziende italiane avrà accesso alle potenti soluzioni, prodotti e servizi di Group-IB. L’offerta di Group-IB include il pluripremiato sistema di Threat Intelligence & Attribution (TIA) che consente l’accesso a dati fruibili a misura delle organizzazioni sugli attori delle minacce e uno strumento per analizzare le loro tattiche, tecniche e procedure (TTP) per cercare in modo proattivo le minacce di cui sono responsabili.

Altri prodotti che diventano disponibili per i clienti esistenti e potenziali di DotForce includono Fraud Hunting Platform, Digital Risk Protection volto a mitigare i rischi digitali esterni alla proprietà intellettuale e ai marchi. DotForce sarà anche in grado di fornire il Threat Hunting Framework di Group-IB che protegge le reti aziendali da minacce sconosciute e attacchi mirati, va a caccia di minacce sia all’interno che all’esterno del perimetro dell’organizzazione protetta e aiuta a indagare e rispondere agli incidenti di sicurezza informatica e a minimizzarne l’impatto.

Giulio Vada, Group-IB

“Siamo felici di collaborare con DotForce, perché la cooperazione con attori forti in ciascuna delle regioni in cui siamo presenti è stata il fulcro della nostra strategia di crescita”, commenta Giulio Vada, responsabile dello sviluppo del business di Group-IB in Italia. “Insieme a DotForce, vogliamo stabilire una forte presenza sul territorio e contiamo di espanderci in nuovi mercati. DotForce ha una lunga esperienza come distributore focalizzato sulla sicurezza informatica e vogliamo che diventi un hub per le nostre attività di canale locale. Questa partnership facilita notevolmente la diffusione di Group-IB in Italia, il che implica che sempre più aziende locali avranno la possibilità di adottare soluzioni di Group-IB che forniranno loro una difesa su misura contro le minacce rilevanti”.

Group-IB è presente sul mercato italiano già da alcuni anni, avendo acquisito la fiducia delle principali società locali di servizi finanziari, e-commerce, retail, viaggi, logistica, trasporti e produzione. A novembre, il team di investigazioni informatiche di Group-IB con sede in Europa ha assistito la Guardia di Finanza italiana nell’operazione NO-VAX FREE contro i truffatori che hanno scambiato un falso Green Pass su Telegram.

Godendo di una solida base per la crescita, l’azienda si aspetta che la nuova cooperazione rafforzi ulteriormente la sua posizione nella regione.

Fabrizio Bressani, DotForce

“L’offerta di Group-IB si integra perfettamente con il nostro portafoglio di fornitori di cybersecurity esistente”, commenta Fabrizio Bressani, CEO di DotForce. “La sicurezza non riguarda solo la tecnologia di base come la gestione di accessi, protocolli, contenuti, vulnerabilità. All’inizio si tratta di sapere cosa c’è nelle menti dei potenziali attaccanti e nei loro piani. L’ecosistema di Group-IB si rivolge perfettamente a quell’area, che offre ai nostri partner potenti armi per proteggere tutte le preziose risorse digitali dei loro Clienti. Riuscire a ottenere informazioni in anticipo su chi o cosa esattamente può danneggiare la tua azienda è oggi un compito cruciale per qualsiasi team di sicurezza informatica. Essere consapevoli dei possibili ostacoli e debolezze della sicurezza e allo stesso tempo disporre di uno strumento per rilevare e gestire tali minacce è sicuramente uno degli approcci più avanzati nella protezione delle aziende. Affidarsi esclusivamente alla protezione dei propri dati e non concentrarsi sull’attaccante stesso significa saltare un passaggio, che apre la possibilità di non riprendersi completamente dopo un attacco informatico o di non prepararsi in modo efficace. Siamo lieti di avere l’opportunità di lavorare insieme a Group-IB per migliorare la resilienza informatica delle imprese locali”.

Utilizzare le informazioni dei Data Breach per prevenire le frodi

Utilizzare le informazioni dei Data Breach per prevenire le frodi

Percezioni errate sull’utilizzo dei Breach Data per combattere le frodi online

  • Ogni utente è ugualmente esposto.
  • I dati sulle violazioni sono preziosi solo per i criminali.

Un malinteso comune è che, dal momento che tutti sono stati esposti a violazioni dei dati, la battaglia contro il furto di identità e le frodi sia già stata persa. È vero che una parte significativa della popolazione è stata compromessa: solo l’anno scorso, SpyCloud ha recuperato 1,5 miliardi di credenziali esposte , scoprendo che l’identità della persona media è esposta in circa una violazione dei dati al trimestre.

Per quanto questo sia allarmante, non significa che siamo impotenti contro la frode alimentata dai dati esposti.

Due presupposti fondamentali stanno ostacolando la lotta contro le frodi nei pagamenti online: in primo luogo, che ogni utente sia ugualmente esposto e, in secondo luogo, che i dati sulla violazione siano preziosi solo per i criminali. Ma la verità è che la prevenzione delle frodi può trarre vantaggio dai “dati sotterranei” esposti alla violazione (dati che sono trapelati nell’area criminale). Fornisce segnali di rischio per gli utenti, consentendo un rilevamento e una prevenzione più rapidi e precisi delle frodi nelle transazioni online.

Ma per capire veramente come sfruttare per sempre i dati esposti, in primo luogo, abbiamo bisogno di capire come i criminali utilizzano i dati sotterranei per eseguire transazioni fraudolente e perché la portata del problema richiede un nuovo framework per risolverlo.

Il crescente problema delle frodi

L’epidemia di violazioni e fughe di dati si è rivelata molto redditizia per i criminali e il denaro è destinato a continuare a fluire. Secondo Juniper Research , le frodi sui pagamenti online nei prossimi quattro anni dovrebbero raggiungere quasi 206 miliardi di dollari, dieci volte l’utile netto di Amazon. nel 2020. I criminali stanno diventando più esperti e, con la crescente prevalenza di strumenti e dati utilizzati per sfruttare le vulnerabilità, gli attori delle minacce stanno crescendo in numero e abilità.

Analisi recenti indicano che gli attacchi stanno diventando più chirurgici. Il rapporto sulla violazione dei dati del 2020 del Centro risorse per il furto di identità ha citato più di 1.108 violazioni dei dati segnalate pubblicamente nel 2020, una diminuzione del 19% delle violazioni e una diminuzione del 66% delle persone colpite. Sempre più spesso, i criminali prendono di mira le aziende con maggiori vulnerabilità a causa del comportamento rischioso dei consumatori, piuttosto che rubare le informazioni personali dei consumatori in grandi quantità.

Per le aziende che dipendono dalle transazioni online, il crescente rischio di frode rappresenta una seria minaccia alla redditività a lungo termine. Questi rischi sono accentuati dalla sofisticatezza dei metodi utilizzati dai criminali, dagli utenti che effettuano transazioni da più dispositivi e dall’aumento della mobilità. Il riutilizzo delle password ha contribuito alla diffusa disponibilità di credenziali esposte nell’ambiente criminale. Il rapporto annuale sull’esposizione delle credenziali di SpyCloud ha rilevato un tasso di riutilizzo della password del 60% tra gli utenti esposti a violazioni dei dati nel 2020. Di conseguenza, le credenziali sono diventate la valuta preferita dei criminali pronti a sfruttarle per profitto, notorietà e spesso entrambi.

Le credenziali sono strumenti a basso sforzo nella cassetta degli attrezzi del criminale per rilevare gli account dei consumatori ed eseguire frodi. L’elusione dell’MFA richiede ulteriori PII che vengono anche sottratte a violazioni dei dati o dati di sessioni Web (cookie) rubati tramite infezioni da malware che consentono l’acquisizione della sessione, in particolare se abbinati a browser anti-rilevamento in grado di emulare il dispositivo affidabile di un utente legittimo e l’impronta digitale del browser.

Una crescente varietà di strumenti di crimeware insieme a enormi quantità di dati rubati a disposizione dei criminali clandestini consente loro di volare sotto il radar degli odierni controlli antifrode.

Superare il nostro stack di frodi

Per difendersi dalle frodi nelle transazioni di pagamento online, la maggior parte delle organizzazioni si affida a una serie di strumenti o “quadri di controllo”, selezionati per massimizzare l’efficacia e ridurre i costi quando possibile. È disponibile un’ampia gamma di strumenti antifrode: verifica dell’identità tradizionale, rilevamento botnet, rilevamento delle impronte digitali del dispositivo, monitoraggio dell’indirizzo IP, triangolazione della geolocalizzazione, autenticazione a più fattori, autenticazione basata sulla conoscenza, strumenti comportamentali, biometria, dati del consorzio e altro ancora.

Tutti i tipi di strumenti di rilevamento delle frodi sono, in varia misura, preziosi, fino a quando non funzionano più. Nessuna forma di protezione è impenetrabile. Inevitabilmente, gli strumenti di rilevamento delle frodi diventano prevedibili per i criminali. Una volta che i criminali rilevano un punto di debolezza, lo sfruttano a scopo di lucro, dicono ai loro stretti alleati come fare lo stesso e vendono gli strumenti e i dati per continuare a farlo nel sottosuolo criminale.

A questo punto, molte delle soluzioni antifrode disponibili sono diventate obsolete, tecnologie legacy che possono essere aggirate dai criminali con poco sforzo. Pertanto, è fondamentale dotare i framework di controllo delle frodi di molteplici soluzioni solide che possono essere facilmente e rapidamente adattate per adattarsi alle tendenze emergenti delle frodi.

Ripensare la difesa dalle frodi – Indizi di contesto

Le aziende devono bilanciare l’esperienza del cliente con l’importanza di monitorare e agire in base ai segnali di frode. Ignorare i segnali di frode per aumentare le entrate può far rischiare alle aziende di perdere la fiducia dei clienti e diventare obiettivi più grandi per i criminali. D’altro canto, l’utilizzo di strumenti troppo onerosi e dirompenti per il percorso del cliente potrebbe soffocare la crescita.

I dati sotterranei violati hanno un valore inestimabile nel fornire un contesto intorno al livello di rischio di transazione di un utente. Sepolti in grandi quantità di dati sotterranei ci sono indicatori che offrono approfondimenti critici sui profili di rischio dei clienti. Sfruttare questi indicatori in modo proattivo fornisce un nuovo metodo predittivo per difendersi dalle frodi. Queste attribuzioni di dati possono aiutare a indirizzare senza problemi gli utenti attraverso i canali di transazione appropriati per migliorare la fidelizzazione e la soddisfazione dei clienti, aumentare le vendite e ridurre le frodi.

In altre parole, più informazioni ha un’azienda sui suoi utenti, maggiore è la fiducia che può estendere. Le soluzioni di verifica dell’identità come l’autenticazione a più fattori o basata sulla conoscenza possono verificare l’accuratezza di nomi, indirizzi, telefoni ed e-mail. Tuttavia, non possono fornire un quadro completo del rischio di acquisizione dell’account da parte degli utenti o del rischio della tua azienda di essere defraudato da identità sintetiche create dalle credenziali esposte degli utenti.

Conoscere l’attribuzione, i tempi e la frequenza del momento in cui si è verificata l’esposizione di un utente, nonché in che misura le sue informazioni sensibili sono disponibili per i criminali, è un insieme di specifiche critiche che aiutano a creare un’immagine distinta del rischio dell’utente. Questa conoscenza dell’identità arricchita consente a un’azienda di conoscere meglio i propri utenti, generare un percorso di transazione fluido e senza intoppi e prendere decisioni di transazione appropriate, fornendo al contempo la fiducia e la sicurezza che gli utenti si aspettano.

Sebbene la maggior parte di noi sia stata smascherata in qualche modo, possiamo trarre importanti lezioni dai registri delle denunce che già circolano nelle reti criminali. Ignorare questi dati significa ignorare le informazioni che potrebbero aiutare a prevenire le frodi e ridurre i rischi. I criminali hanno rubato e sfruttato la conoscenza intima di chi siamo e di come ci comportiamo in un mondo digitale. È tempo di far funzionare quella conoscenza per noi.

Questo articolo è stato originariamente pubblicato su About-Fraud.com .

Contattaci per sapere come stiamo aiutando le aziende a utilizzare i dati sulle violazioni per combattere le frodi.

Le vulnerabilità delle Supply Chain e come risolverle

Le vulnerabilità delle Supply Chain e come risolverle

La carenza di visibilità sulla Supply Chain conduce ad Attacchi Cyber su tutta la catena

La Supply Chain è un fattore determinante per il business in tutto il mondo. I fornitori aggiungono funzionalità, aiutano a spostare le merci e, in generale, arricchiscono e facilitano la produzione e i processi. Ma la Supply Chain è anche un tallone d’Achille, a causa dei criminali informatici che cercano punti deboli nella sicurezza della catena per sfruttare e prendere di mira queste importanti relazioni.

Un recente sondaggio di BlueVoyant sulle dinamiche e la visibilità della Supply Chain mette in evidenza il ruolo che l’ecosistema dei fornitori svolge nel rischio di sicurezza informatica, rilevando che uno sbalorditivo 97% delle aziende è stato “colpito negativamente” da una violazione della sicurezza informatica presso un fornitore. La colpa di questa statistica scioccante risiede nella mancanza di visibilità lungo la catena che porta a una scarsa applicazione di solide misure di sicurezza.

I fornitori sono essenziali per far funzionare bene il business moderno, quindi come fa un’organizzazione a gestire e proteggere questa risorsa così vitale?

Shock per la sicurezza della Supply Chain

La natura degli attacchi alla sicurezza della Supply Chain è insidiosa e di vasta portata. Questo non è stato illustrato meglio che nel recente attacco informatico di SolarWinds. SolarWinds è un fornitore di software per molti clienti aziendali e governativi. Gli hacker hanno sfruttato una vulnerabilità nel sistema di distribuzione degli aggiornamenti dell’azienda, inserendo malware. Quando il successivo aggiornamento di SolarWinds è stato consegnato ai client, il malware è stato installato insieme al software SolarWinds.

Gli attacchi alla sicurezza della Supply Chain sono fin troppo comuni. Nel 2013, l’ hacking della catena di approvvigionamento di Target ha fatto ondate globali, costando alla società 202 milioni di dollari in reclami dei clienti, legali e altri costi finanziari.

Nel primo trimestre del 2021, gli attacchi alla catena di approvvigionamento con sede negli Stati Uniti sono aumentati del 42%. Un rapporto dell’ENISA sulle vulnerabilità della Supply Chain ha rilevato che nel 58% degli attacchi l’accesso ai dati era l’obiettivo principale. Inoltre, il 62% degli attacchi si basava sulla manipolazione della fiducia dei clienti nella catena di approvvigionamento.

Poiché le Supply Chain sono sempre più minacciate, come può un’organizzazione raggiungere questa rete eterogenea e rafforzare la sicurezza? Per capire come risolvere questo problema, dobbiamo capire come le Supply Chain vengono abusate dai cyber criminali.

In che modo gli hacker sfruttano le Supply Chain?

Ci sono diverse ragioni dietro lo sfruttamento delle Supply Chain da parte dei criminali informatici, ognuna delle quali si basa sulla precedente per creare una tempesta perfetta:

Il Mantello dell’Invisibilità della Supply Chain

Le Supply Chain sono per loro natura entità separate dall’organizzazione capofila; questo porta a problemi di visibilità. La principale scoperta dello studio BlueVoyant è stata che la mancanza di visibilità lungo la catena di approvvigionamento è una vulnerabilità fondamentale nella governance e nella gestione dei dati. Lo studio ha concluso:

“La visibilità del rischio del fornitore e il monitoraggio continuo di terze parti rimangono relativamente bassi nonostante l’accresciuta consapevolezza del rischio e gli aumenti sostanziali del budget per affrontare il problema”.

Complessità della Supply Chain

Molte Supply Chain moderne sono altamente complesse , in genere hanno più livelli, rendendo la visibilità ancora più difficile e offuscando o complicando le misure di sicurezza. Le misure di sicurezza possono anche diventare isolate, avendo un impatto minore su tutta la catena. Questa complessità della catena crea un’enorme superficie di attacco con più punti di contatto che possono essere sfruttati dai criminali informatici. Se un hacker può eludere la sicurezza in un punto cruciale di quella catena, ad esempio utilizzando l’ingegneria sociale o il phishing, può avere effetti a catena sull’intera catena fino all’organizzazione radice.

Il phishing è un problema della Supply Chain

Un ulteriore rapporto dell’ENISA sottolinea che il 95% delle e-mail di phishing necessita dell’intervento umano per avviare il processo che porta a un’infezione da malware. Il fornitore della Supply Chain è una relazione di fiducia. Questo non va perso per i criminali informatici che abusano di questa fiducia, infiltrandosi in e-mail e marchi di fornitori di terze parti, che vengono quindi utilizzati per inviare e-mail di phishing convincenti attraverso la catena.

Compromissione dell’e-mail del fornitore (VEC)

Il Social Engineering viene utilizzato all’interno delle Supply Chain per indirizzare e sfruttare gli account di posta elettronica dei dipendenti della contabilità fornitori e del dipartimento finanziario. Vendor Email Compromise (VEC) utilizza credenziali di accesso rubate per infiltrarsi in importanti account di posta elettronica. L’Agari Cyber ​​Intelligence Division (ACID) ha scoperto che il gruppo di hacker “Silent Starling” si stava infiltrando negli account e-mail dei fornitori per indurre le aziende a pagare fatture false dei fornitori. Questo tipo di compromissione della posta elettronica sta riscuotendo successo per i criminali informatici, quindi è probabile che diventi una tattica preferita.

Servizi gestiti (MSP) sotto attacco

Gli MSP sono visti come un motore di exploit dai criminali informatici poiché spesso hanno molti clienti. Un rapporto Datto del 2020 ” Global State of the Channel Ransomware Report ” descrive un attacco ai servizi sanitari universali (UHS) iniziato da un MSP preso di mira da una campagna di phishing per rubare credenziali. Le credenziali sono state quindi utilizzate per infiltrarsi nell’intera rete client e installare il ransomware.

Tutti questi elementi si uniscono per creare un parco giochi ideale per gli attacchi dei criminali informatici.

Mantenere la Supply Chain sicura, utilizzando Smart Email Security basata su cloud

Uno dei risultati più illuminanti del rapporto BlueVoyant è stato che anche con i soldi pompati nella sicurezza informatica, si verificano ancora carenze nella sicurezza della catena di approvvigionamento. La probabile spiegazione di ciò è che le misure di sicurezza utilizzate non sono semplicemente efficaci in una Supply Chain disparata, ma connessa a Internet. Qualsiasi anello della catena può essere sfruttato e utilizzato per infiltrarsi nell’intera rete di fornitori. La fiducia può quindi essere sfruttata. Poiché il phishing è alla base di molti attacchi informatici, è fondamentale concentrare gli sforzi sulla sicurezza della posta elettronica.

Ogni e-mail attraverso una Supply Chain dovrebbe essere visualizzata utilizzando una lente di fiducia zero. Per garantire che le e-mail siano sicure lungo l’intera Supply Chain e per impedire la propagazione di malware, inclusi ransomware, lungo tutta la catena, una piattaforma di sicurezza e-mail intelligente basata su cloud che può funzionare lungo l’intera catena di approvvigionamento.

SpamTitan utilizza un approccio di difesa in profondità per proteggersi dalle minacce di phishing della Supply Chain, utilizzando l’apprendimento automatico per identificare anche le minacce di phishing zero-day. Implementando la sicurezza intelligente della posta elettronica , la Supply Chain può essere rafforzata contro il phishing e l’ingegneria sociale in modo che tutti i fornitori ne traggano vantaggio.

Inizia oggi stesso la prova gratuita di 14 giorni di SpamTitan.

Post Originale

Photo by JJ Ying on Unsplash

Pass to nowhere: Group-IB assiste le forze dell’ordine italiane nell’identificazione dei truffatori che vendono Green Pass falsi

Pass to nowhere: Group-IB assiste le forze dell’ordine italiane nell’identificazione dei truffatori che vendono Green Pass falsi

Group-IB, uno dei leader mondiali della sicurezza informatica, ha assistito la Guardia di Finanza (GdF), l’agenzia di polizia italiana preposta alla lotta contro i reati finanziari, nell’indagine sulle attività dell’organizzazione criminale che ha trafficato falsi Green Pass – documenti rilasciati per cittadini italiani vaccinati e quelli risultati negativi o recentemente guariti da COVID-19 – tramite Telegram messenger. A seguito dell’operazione No-Vax Free, sono stati perquisiti diversi presunti amministratori dei canali Telegram in Veneto, Liguria, Puglia e Sicilia. Gli indagati hanno ammesso il reato.

L’attività fraudolenta è stata sotto i riflettori della Guardia di Finanza a metà luglio, dopo di che ha coinvolto il dipartimento investigativo criminale hi-tech di Group-IB con sede ad Amsterdam. Gli analisti di Group-IB sono riusciti a confermare l’esistenza di almeno 35 canali Telegram che mettono in vendita Green Pass falsi, con un pubblico totale di circa 100.000 utenti, e hanno condotto una ricerca per aiutare a rivelare l’identità dei sospetti autori. Agli acquirenti sono stati promessi «autentici Green Pass con codici QR» — la prova della vaccinazione, un test negativo o il recupero dal COVID-19. I venditori hanno affermato che era possibile grazie alla complicità degli operatori sanitari. In realtà, non erano altro che falsi.

La GdF, con il supporto di Group-IB, ha fornito una completa segnalazione alla Procura di Milano, dopodiché ha avviato un’azione di contrasto che ha portato a diverse perquisizioni su cittadini italiani nelle province di Veneto, Liguria, Puglia e Sicilia . Gli indagati hanno confessato di gestire una rete di canali Telegram. Come risultato dello sforzo cooperativo, il numero di canali Telegram attivi è diminuito. L’azione delle forze dell’ordine è ancora in corso poiché nuovi canali tendono a riapparire.  

Esortiamo gli italiani a non utilizzare questi servizi illegali fasulli in quanto non solo perdono i loro soldi, ma inviano i loro dati personali sensibili ai criminali e si espongono a un rischio maggiore di truffe successive. Ringrazio il team di Group-IB per aver sostenuto l’indagine GdF per smascherare questa organizzazione criminale.

Gian Luca Berruti

Colonnello, Guardia di Finanza

L’Italia è uno degli elementi centrali del nostro ecosistema globale di ricerca e ricerca delle minacce. Grazie alla nostra crescente conoscenza delle minacce specifiche locali siamo stati in grado di aiutare la GdF a smascherare gli amministratori del canale Telegram e abbiamo assistito alla raccolta di prove digitali. La tempestiva ed efficace collaborazione con la GdF e la Procura della Repubblica di Milano ha permesso di svelare gli autori, che risuona con il nostro impegno nella lotta alla criminalità informatica di qualsiasi origine.

Anton Ushakov

Vice capo del dipartimento investigativo sulla criminalità ad alta tecnologia, Group IB

Secondo gli analisti di Group-IB Digital Risk Protection (DRP), il prezzo medio per i Green Pass falsi è di € 100 e dipende dalla sua forma, digitale o stampata. I truffatori offrono ai propri clienti vari metodi di pagamento, inclusi pagamenti in criptovaluta (Bitcoin, Ethereum), trasferimento di denaro PayPal o pagamenti con voucher, come le carte regalo Amazon.

Un esempio di post di Telegram che offre in vendita un Green Pass falso.

Per ottenere un Green Pass, al potenziale cliente viene chiesto di creare una chat segreta su Telegram con il venditore — così facendo, gli attori delle minacce speravano di proteggersi da potenziali rivelazioni. Al cliente viene quindi chiesto di rivelare le proprie informazioni personali presumibilmente contenute nel codice QR: nome e cognome, data di nascita, città di residenza e identificatore del codice fiscale. In alcuni casi, i venditori chiedono anche all’acquirente di condividere le foto della propria tessera sanitaria, dei documenti di identità e del proprio indirizzo di casa per inviargli presumibilmente il certificato stampato. Dopo aver ricevuto le informazioni personali dell’acquirente e il pagamento, gli attori della minaccia eliminano la chat e scompaiono o restituiscono un codice QR falso.

Netwrix acquisisce PolicyPak, sicurezza ai desktop

Netwrix acquisisce PolicyPak, sicurezza ai desktop

I Clienti PolicyPak avranno accesso al portafoglio Netwrix di soluzioni di sicurezza e conformità, per identificare e mitigare i rischi per la sicurezza dei dati

Netwrix acquisisce PolicyPak, produttore di software che aiuta le organizzazioni di tutte le dimensioni a proteggere e gestire i propri desktop e laptop Windows 10 locali e remoti.

Con l’inserimento a portafoglio di questa realtà, Netwrix completa il portafoglio di prodotti estendendo la sicurezza dei dati e il controllo sugli account con privilegi ai desktop, supportando così ulteriormente la forza lavoro sia ibrida e sia solo remota.

In particolare, la piattaforma di gestione desktop PolicyPakNetwrix acquisisce PolicyPak, sicurezza ai desktop consente alle organizzazioni di gestire e proteggere gli endpoint in sede e remoti, inclusi i relativi browser e applicazioni; rimuovere i diritti di amministratore locale per facilitare l’implementazione di un modello Zero Trust; prevenire ransomware e altre infezioni da malware.

Inoltre, blocca le minacce su chiavette USB, DVD e CD-ROM e semplifica la gestione di Windows 10 e dei criteri di gruppo e, da ultimo, raggiungere la conformità ai requisiti normativi. I clienti della società potranno beneficiare di una piattaforma di gestione desktop che semplifica la gestione e migliora la sicurezza della forza lavoro ibrida o remota.

I clienti PolicyPak avranno accesso al portafoglio Netwrix di soluzioni di sicurezza e conformità che li aiuterà a identificare e mitigare i rischi per la sicurezza dei dati, nonché a proteggere, rispondere e recuperare dagli attacchi di sicurezza informatica.

“Siamo entusiasti di vedere PolicyPak entrare a far parte del team Netwrix. Questa acquisizione supporta ulteriormente il nostro impegno a fornire uno sportello unico per le soluzioni di sicurezza informatica. La sicurezza degli endpoint continua a essere un’esigenza pressante per le organizzazioni, in particolare per quelle che restano remote o adottano un modello di lavoro ibrido, e sono lieto che Netwrix possa ora aiutarle ad affrontare questa sfida“, ha dichiarato Steve Dickson, CEO di Netwrix.

Dal canto suo, Jeremy Moskowitz, fondatore e CTO di PolicyPak Software, ribatte: “Siamo entusiasti di entrare a far parte del team Netwrix e sfruttare i vantaggi di un fornitore globale di sicurezza dei dati. Entrambe le società condividono lo stesso obiettivo di semplificare il lavoro quotidiano dei professionisti IT e della sicurezza informatica, quindi sono fiducioso che continueremo a offrire un servizio ai nostri clienti e partner. Questa acquisizione apre un nuovo capitolo per PolicyPak e ci fornisce le risorse per espandere la nostra offerta di prodotti e servizi alle organizzazioni di tutto il mondo”.

I prodotti PolicyPak sono ora disponibili a livello globale per tutti i clienti della realtà che si occupa di sicurezza. I termini della transazione non sono stati resi noti.

Photo by Domenico Loia on Unsplash

DomainTools annuncia l’acquisizione di Farsight Security per fornire una Best-in-class Threat Intelligence

DomainTools annuncia l’acquisizione di Farsight Security per fornire una Best-in-class Threat Intelligence

L’acquisizione supporta l’investimento dell’azienda in capacità di intelligence sulle minacce predittive in tempo reale per una difesa proattiva contro le minacce emergenti.

SEATTLE, 10 novembre 2021DomainTools, leader nell’intelligence sui domain name e sulle minacce informatiche basata su DNS, ha annunciato oggi l’acquisizione di Farsight Security, leader nell’intelligence DNS e nelle soluzioni di sicurezza informatica passive DNS. L’acquisizione rappresenta una naturale estensione della partnership di lunga data di entrambe le società per fornire i dati passive DNS leader di mercato di Farsight tramite la piattaforma di indagine Iris di DomainTools per valutare il rischio, mappare l’infrastruttura degli aggressori e aumentare rapidamente la visibilità e il contesto sulle minacce.

La mossa arriva quando il ransomware è diventato una delle più grandi minacce finanziarie per l’economia globale. Secondo un rapporto del Financial Crimes Enforcement Network (FinCEN), una filiale del Dipartimento del Tesoro degli Stati Uniti, il ransomware è costato agli Stati Uniti quasi 600 milioni di dollari nella prima metà del 2021. Per combattere questa e altre minacce online, i team di sicurezza hanno bisogno di complete capacità di intelligence e indagine per identificare in anticipo i modelli dietro l’infrastruttura avversaria che possono aiutarli ad anticipare e difendersi in modo proattivo contro le mosse future degli attori delle minacce.

I dati di osservazione DNS leader di mercato di Farsight, combinati con i migliori dati DNS attivi di DomainTools, offrono ai clienti lo sguardo più tempestivo e completo sulle minacce che emergono al di fuori della loro rete. Farsight Security DNSDB® è il database di intelligence DNS più grande al mondo con oltre 100 miliardi di record di risoluzione del dominio aggiornati in tempo reale con oltre 300.000 risoluzioni DNS uniche al secondo in tutto il mondo. DomainTools Iris è una piattaforma di indagine e intelligence sulle minacce proprietaria che combina informazioni di livello superiore sull’infrastruttura DNS e di dominio e punteggio di rischio con i dati DNS passivi leader del settore di Farsight Security.

“DomainTools e Farsight hanno dimostrato per molti anni il valore dei nostri set di dati combinati e delle nostre soluzioni di intelligence integrate. La nostra soluzione unificata viene utilizzata da alcune delle organizzazioni di sicurezza più sofisticate in tutto il mondo per aumentare l’efficacia delle loro capacità di intelligence sulle minacce e di risposta agli incidenti”, ha affermato Tim Chen, CEO, DomainTools. “Questa acquisizione migliora la nostra capacità di guidare i risultati di rilevamento, indagine, arricchimento e mitigazione della sicurezza per i nostri clienti comuni, accelerando i nostri progressi nella scienza dei dati per il punteggio predittivo del rischio di nomi di dominio, nomi host, indirizzi IP, server dei nomi e altri indicatori DNS”.

“Nel corso degli anni, DomainTools e Farsight hanno costantemente fornito intelligence DNS leader di mercato e telemetria di sicurezza in tempo reale necessarie per difendersi dagli attacchi informatici di oggi”, ha affermato il dott. Paul Vixie, presidente, cofondatore e CEO di Farsight Security. “Riconosciamo l’immenso opportunità che questa acquisizione rappresenta non solo per entrambe le società, ma anche per i nostri clienti globali. Siamo entusiasti di unirci a DomainTools in questa prossima fase della crescita dell’azienda e, insieme, contribuiamo a rendere Internet più sicuro per tutti”.

Informazioni su DomainTools
DomainTools, supportato dalla società di investimento globale Battery Ventures, consente ai professionisti della sicurezza di anticipare gli attacchi identificando l’infrastruttura degli aggressori, ottenendo un contesto e una visibilità immediati sulle minacce ed effettuando valutazioni dei rischi più rapide, migliorando così notevolmente la posizione di sicurezza della loro organizzazione. Le aziende Fortune 1000, le agenzie governative globali e i principali fornitori di soluzioni di sicurezza utilizzano la piattaforma DomainTools come ingrediente fondamentale nel loro lavoro di indagine e mitigazione delle minacce. Scopri di più su come collegare i punti sulle attività dannose su https://www.domaintools.com o su Twitter: @domaintools.

Informazioni su Farsight Security, Inc.
Farsight Security, Inc. è un fornitore leader di dati DNS passivi storici e in tempo reale, inclusa la sua soluzione di punta, DNSDB, il più grande database DNS passivo al mondo. Consentiamo ai team di sicurezza di qualificare, arricchire e correlare tutte le fonti di dati sulle minacce e, infine, risparmiare tempo quando è più critico, durante un attacco o un’indagine. Le nostre soluzioni forniscono al personale e alle piattaforme aziendali, governative e del settore della sicurezza una visibilità, un contesto e una risposta globali senza pari. Farsight Security ha sede a San Mateo, California, USA. Scopri di più su come possiamo potenziare la tua piattaforma per le minacce e il tuo team di sicurezza con le soluzioni DNS passive di Farsight Security su https://www.farsightsecurity.com/ o su Twitter: @FarsightSecInc.

Le 7 cose da ricercare nelle passwordless authentication solutions

Le 7 cose da ricercare nelle passwordless authentication solutions

La recente mossa di Microsoft di offrire l’autenticazione passwordless come authentication solutions, per gli account dei consumatori ha suscitato sospiri di sollievo dagli esperti di sicurezza di tutto il mondo, poichè le password sono tra i rischi per la sicurezza più significativi per individui e aziende. Un recente sondaggio ha rilevato che il 65% delle persone riutilizza le password tra gli account e il 45% non ha modificato la propria password nell’ultimo anno, anche dopo una violazione. Con semplici ed economici attacchi di credential stuffing e di password spraying, le password sono l’equivalente di chiudere a chiave una porta ma lasciare la chiave sotto il tappetino.

Molte soluzioni di autenticazione a più fattori (Multi Factor Authentication o MFA) aggiungono semplicemente un altro fattore di autenticazione oltre alla password, tuttavia gli aggressori possono utilizzare diversi metodi come phishing, Man in the Middle (MitM) o Push Attacks per ottenere l’accesso a interi sistemi. Alcune soluzioni di autenticazione che si definiscono “passwordless”, nonostante il loro nome, rientrano in questa categoria. Ecco perché le recenti direttive MFA e le linee guida sulle migliori pratiche mirano a spostare l’autenticazione verso metodi sicuri e resistenti al phishing per dimostrare l’identità.

A parte i problemi di sicurezza, alcune soluzioni di autenticazione passwordless sono eccessivamente complicate, causando frustrazione tra gli utenti, altre invece aggiungono complessità nelle integrazioni per i team IT o non sono scalabili a livello aziendale. Qui esaminiamo le principali domande che è necessario porre a qualsiasi potenziale fornitore sulla loro soluzione di autenticazione passwordless

Utilizza comunque le password?

Questo dovrebbe essere ovvio, ma molti cosiddetti provider passwordless offrono una “esperienza” senza password piuttosto che un prodotto veramente senza password. Possono utilizzare funzionalità di convenienza biometrica senza password come TouchID o FaceID per l’interfaccia utente, ma queste semplicemente sbloccano una password memorizzata da inviare per l’autenticazione. Oppure le soluzioni inviano una password monouso (OTP) tramite SMS o e-mail come parte del flusso MFA. Per definizione, una OTP è ancora una password e come tutte le altre password è vulnerabile alle stesse minacce di phishing e intercettazione.Sebbene l’autenticazione tramite infrastruttura a chiave pubblica (PKI) sia stata a lungo considerata il metodo più sicuro, la disponibilità di soluzioni basate su PKI di facile utilizzo e business è relativamente recente. Assicurati che la soluzione di autenticazione passwordless scelta sfrutti una solida crittografia e non utilizzi modalità di autenticazione non sicure come password, OTP o token SMS in qualsiasi punto del flusso di accesso.

Fornisce MFA passwordless per l’accesso desktop?

L’accesso sicuro all’applicazione è importante, tuttavia il punto di autenticazione iniziale per la maggior parte della forza lavoro è il proprio dispositivo. Se la soluzione di autenticazione passwordless che utilizzi funziona solo per le applicazioni, stai lasciando aperta una falla di sicurezza critica per la tua forza lavoro. Inoltre, con gli obblighi normativi, come l’ordine esecutivo sul miglioramento della sicurezza informatica della nazione, e gli assicuratori informatici che insistono sull’implementazione dell’MFA per ottenere la copertura, l’autenticazione desktop è ora uno degli imperativi legali e aziendali.La soluzione di autenticazione passwordless scelta, dovrebbe offrire diverse opzioni di autenticazione sicura per i desktop della forza lavoro, idealmente con la stessa esperienza di accesso utente delle applicazioni. Inoltre, è necessaria una funzionalità di autenticazione offline sicuraquando i dipendenti sono in viaggio o non sono in grado di connettersi a Internet.

È una soluzione certificata FIDO o FIDO2 dall’inizio alla fine?

Fast Identity Online (FIDO) è un insieme di standard aperti per migliorare la sicurezza informatica riducendo la dipendenza dalle password. Essere certificati FIDO® significa implementare la crittografia a chiave pubblica per l’autenticazione e aderire agli standard di usabilità e interoperabilità per favorire l’adozione da parte degli utenti e garantire la compatibilità con altri prodotti certificati FIDO.Alcuni fornitori affermano di essere conformi a FIDO o supportano FIDO, il che non garantisce la stessa sicurezza, usabilità e interoperabilità della certificazione FIDO. È anche possibile che un provider abbia la certificazione FIDO per il suo server di convalida, ma un autenticatore non certificato. Ciò significa che il loro server è in grado di accettare verificatori di autenticazione certificati FIDO esterni, ma che il client della soluzione stesso non soddisfa gli standard FIDO.

Gli standard FIDO corrispondono alle linee guida del NIST (800-63B), della FFIEC, dell’OMB e di altri statuti sulla sicurezza informatica, nonché ai requisiti di PSD2 Strong Customer Authentication. L’utilizzo di una soluzione completamente certificata FIDO significa conformità integrata. Per determinare lo stato di certificazione di una soluzione di autenticazione passwordless, è possibile controllare il registro delle tecnologie certificate FIDO a questo indirizzo.

La soluzione è in grado di interagire ed integrarsi con il tuo Identity Provider (IdP)?

I provider di identità (IdP)come OneLogin e Azure AD sono essenziali per mantenere la sicurezza del sistema, in particolare per le aziende con una forza lavoro distribuita. Con l’enorme <passaggio al lavoro da casa negli ultimi anni, l’aumento della superficie di attacco degli utenti che accedono da ambienti non sicuri o dispositivi condivisi minaccia l’integrità di intere reti. Gli IdP rafforzano questi potenziali vettori di attacco, quindi una soluzione di autenticazione passwordless deve integrarsi con qualunque IdP si stia utilizzando.Molte soluzioni “senza password” funzionano solo con IdP specifici o tentano di sfruttare il loro prodotto per bloccare le organizzazioni al proprio IdP. Si consiglia di disaccoppiare l’autenticazione dall’Identity Provider. Qualunque sia la soluzione di autenticazione passwordless che si sceglierà di utilizzare, dovrebbe integrarsi con tutti i principali IdP e supportare standard aperti (come SAML o OIDC) per integrarsi facilmente con il servizio SSO di tua scelta.

È facile da integrare e distribuire?

Un grosso ostacolo alla sostituzione dei sistemi obsoleti di autenticazione basati su password, è rappresentato dalle potenziali difficoltà e disservizi durante l’implementazione di una nuova tecnologia, e questo non deve accadere. Una soluzione di autenticazione passwordless che segue un approccio basato su standard, dovrebbe essere facile da integrare con i provider SSO già presenti. Inoltre, le soluzioni che forniscono un robusto SDKconsentono ai team di sviluppo di integrarsi facilmente con applicazioni personalizzate o legacy non connesse al proprio provider SSO. Se gli obblighi normativi come la PSD2 Strong Customer Authentication (SCA) influiscono sulla tua attività, assicurati che gli SDK della soluzione includano controlli di sicurezza integrati e funzioni per aiutarti a soddisfarli.

Com’è l’esperienza dell’utente?

L’esperienza dell’utente e la facilità d’uso di qualsiasi sistema di sicurezza, gioca un ruolo chiave nella sua adozione di successo e rende molto meno probabile che le persone cerchino soluzioni alternative per motivi di convenienza o facilità. Sfortunatamente, molte soluzioni di autenticazione passwordless, si concentrano esclusivamente sull’aspetto della sicurezza e dimenticano la User Experience (UX). Se la tua soluzione passwordless richiede più tempo rispetto alla digitazione di una password, la tua organizzazione avrà difficoltà a adottarla.I fornitori di soluzioni devono rendere l’esperienza di autenticazione veloce, intuitiva e conveniente, oltre che tenere conto delle preferenze degli utenti. Una solida soluzione di autenticazione passwordless dovrebbe anche fornire alternative per coloro che non possono o non vogliono utilizzare la biometriao il proprio smartphone.

Oltre a soddisfare i tuoi utenti, una soluzione di autenticazione efficace e veloce offre un ROI migliore attraverso una maggiore produttività e un risparmio di tempo per i reparti IT.

Come vengono archiviate le chiavi private sui dispositivi?

Una soluzione di autenticazione passwordless può comunque essere vulnerabile agli attacchi sui dispositivo da parte di hacker, anche se utilizza la crittografia a chiave pubblica. Malware, attacchi side-channel e reverse engineering sono tra le tante tecniche a disposizione degli aggressori che vogliono rubare le chiavi private di un sistema crittografico. Per garantire la sicurezza delle chiavi sui dispositivi mobili, i sistemi di autenticazione dovrebbero utilizzare la sicurezza basata sull’hardware, come la tecnologia TrustZone di ARM, gli ambienti di esecuzione affidabile di Android, l’enclave sicura di iOS o Samsung KNOX per archiviare le chiavi ed eseguire operazioni crittografiche.

True Passwordless™ MFA

L’implementazione di una soluzione di autenticazione passwordless efficace, è fondamentale per la conformità normativa, l’ottenimento di gare d’appalto e la riduzione dei costi assicurativi informatici. Tuttavia, molti fornitori che affermano di offrire tale soluzione offrono semplicemente una “esperienza” senza password o una sicurezza scadente. Inoltre, le soluzioni spesso si rivelano difficili da integrare con gli IdP preesistenti, o rendono improbabile l’adozione con interfacce scadenti o contorte.

HYPR fornisce una True Passwordless™ MFA che trasforma un normale smartphone in una chiave di sicurezza supportata da PKI, per un’esperienza di autenticazione familiare e semplice. In qualità di sistema di autenticazione completamente certificato FIDO, HYPR si impegna a migliorare la sicurezza e l’interoperabilità del sistema, mettendo al contempo in primo piano le esigenze della tua forza lavoro e dei tuoi clienti.

Per saperne di più sulle soluzioni di autenticazione passwordless HYPR, contattaci.

DotForce si allea con Pikered per la distribuzione di ZAIUX in esclusiva per l’Italia

DotForce si allea con Pikered per la distribuzione di ZAIUX in esclusiva per l’Italia

Il Distributore specializzato in Tecnologie di Cybersecurity innovative contribuirà allo sviluppo del mercato e della rete di Reseller/MSP/MSSP per ZAIUX

Milano, 2 Novembre 2021 – DotForce e Pikered hanno siglato un accordo che garantisce a DotForce la distribuzione in esclusiva sul territorio italiano della soluzione di Internal Pentesting automatico denominata ZAIUX.

ZAIUX è una soluzione software innovativa di Internal Penetration Test automatizzata dall’IA, che esegue numerose tecniche d’attacco per individuare e sfruttare le vulnerabilità di una qualsiasi rete basata su MS Active Directory, fornendo un piano di remediation riferito al framework MITRE ATT&CK®.

 

“Grazie all’accordo con Pikered per la distribuzione di ZAIUX, aggiungiamo un importante tassello al nostro portafoglio di soluzioni di cybersecurity. Con ZAIUX, infatti, ci rivolgiamo non solo ai Red Team, ai professionisti cyber incaricati di svolgere l’attività di simulazione degli attacchi informatici o agli ethical hacker ma soprattutto ai “normali” Amministratori IT che non possiedono competenze specifiche sulle tematiche di Pentesting, competenze fondamentali per individuare e correggere le vulnerabilità presenti all’interno dell’infrastruttura IT. ZAIUX è un complemento ideale anche alle operazioni svolte dai Blue Team, che hanno l’incarico di prevenire e difendere.” ha commentato Fabrizio Bressani, CEO di DotForce.”Siamo poi particolarmente lieti di promuovere una nuova tecnologia 100% Made in Italy, che rappresenta una nostra eccellenza assolutamente in grado di competere con tecnologie sviluppate in altre geografie, più comunemente ma talvolta erroneamente associate alla cybersecurity. Lo testimonia infatti la presenza di Pikered durante il recente IT-SA Expo di Norimberga (DE) che, presso il loro stand, posizionato a fianco di molti blasoni della cybersecurty mondiale, ha presentato ZAIUX oltreconfine riscuotendo l’entusiasmo dei visitatori.”

 

“Abbiamo scelto DotForce come nostro Distributore in esclusiva per l’Italia sulla base delle sue competenze specifiche e delle conoscenze del mercato Cyber oltre che per il suo portafoglio tecnologico, fortemente complementare alla nostra offerta. Pensiamo che questo sia un passo che ci permetterà di realizzare importanti sinergie con le migliori realtà che si occupano di cybersecurity nel nostro paese.” ha dichiarato Marco Gallina, Co-fondatore e Amministratore di Pikered. “Il mercato della Cybersecurity oggi è focalizzato sull’offerta di soluzioni difensive, finalizzate ad alzare barriere protettive e al monitoraggio proattivo. Questo scenario innesca molte complessità di gestione e non sempre l’adozione di tali soluzioni è sufficiente a proteggersi dagli errori umani o dalle vulnerabilità di software e protocolli di comunicazione. L’approccio Pikered è complementare a quello difensivo, validando lo stato di sicurezza delle reti attraverso tecniche offensive ma a scopo etico. Ci riferiamo ad attività come i Penetration test manuali, che tradizionalmente vengono poco eseguite a causa di tempistiche lunghe, costi elevati, difficile reperibilità di competenze e scarsa automazione. Unendo le competenze di Ethical Hacking e Intelligenza Artificiale (IA), con ZAIUX abbattiamo queste barriere colmando le lacune presenti nell’attuale offerta del mercato, introducendo l’automazione sul tema dei Penetration Test.”

 

L’offerta ZAIUX verrà presentata il prossimo 17 Novembre alle ore 10.30 all’interno di un live webinar organizzato da DotForce.

PARTECIPA AL WEBINAR

 

Informazioni su Pikered

Oltre allo sviluppo di soluzioni software e l’erogazione di servizi di consulenza, Pikered si pone come obiettivo primario quello di sensibilizzare sui temi legati all’importanza della Cybersecurity. Un punto di forza nella proposta di valore di Pikered è l’applicazione di moderni algoritmi di Intelligenza Artificiale e Machine Learning, che consentono di dare alle soluzioni un’autonomia decisionale senza precedenti, risolvendo problemi concreti senza l’intervento umano. Il team di Pikered include hacker etici certificati in continuo apprendimento, permettendo di sviluppare internamente strumenti che eseguono le più avanzate tecniche di attacco informatico.

 

Informazioni su DotForce

DotForce distribuisce tecnologie innovative e all’avanguardia per difendere le aziende dagli attacchi informatici, dall’interno o dall’esterno degli ambienti aziendali. DotForce fornisce soluzioni comprovate, efficaci e pluripremiate. DotForce è stata fondata nel 2006 come distributore a valore aggiunto specializzato in Cyber Security con attività in Italia, Spagna e Portogallo. L’azienda promuove tecnologie emergenti di aziende affermate che hanno compiuto un importante salto tecnologico, con brevetti propri e con clienti del settore pubblico e multinazionali.