Sei costosi equivoci sui SIEM tradizionali

Sei costosi equivoci sui SIEM tradizionali

Come ottenere maggior valore dagli strumenti SIEM: Approccio Tradizionale vs. Cloud

Negli ultimi anni, le soluzioni di sicurezza delle informazioni e di gestione degli eventi (SIEM) sono diventate uno degli strumenti preferiti per proteggere le risorse e gli utenti, fornendo un modo flessibile per inserire, analizzare e visualizzare i dati.

Sebbene la tradizionale tecnologia SIEM abbia contribuito a ridefinire il rilevamento e la risposta agli incidenti, gli strumenti SIEM non sono particolarmente amati. Dalle incertezze sulla loro possibilità di adattarsi agli ambienti moderni, ai dubbi sulla loro affidabilità, questi strumenti hanno offerto il fianco a più di una critica. Comprendere i recenti miglioramenti ai SIEM tradizionali incorporati dalle soluzioni di prossima generazione si rivela quindi fondamentale per raggiungere una corretta postura di sicurezza. In questo articolo cercheremo di correggere alcuni dei più diffusi (e spesso costosi) equivoci sul SIEM, descrivendo un confronto più chiaro possibile tra i SIEM tradizionali e le soluzioni SIEM di nuova generazione.

Equivoco n. 1: gli strumenti SIEM sono afflitti da un lungo e complesso processo di implementazione.
Realtà delle Soluzioni Next-Gen: i SIEM di oggi sono progettati per essere operativi (davvero) in pochissimo tempo.

Finalmente, un SIEM che puoi effettivamente implementare. Le moderne soluzioni SIEM come InsightIDR e MDR forniscono un’implementazione e un baselining rapidi. Grazie all’architettura basata su cloud, i clienti effettuano il deployment in giorni, non mesi. Inoltre, le fonti di eventi predefinite assicurano un’installazione più semplice che genera analisi preziose più rapidamente. Ciò riduce al minimo la necessità per i team di sicurezza di investire risorse preziose per la manipolazione dei dati raccolti o il perfezionamento delle regole di rilevamento. Per aiutare a stabilire e gestire le aspettative di successo, si consiglia sempre di definire i casi d’uso o realizzare un Proof of Concept (PoC) prima di acquistare una soluzione SIEM.
Idea sbagliata n. 2: la formattazione di dati leggibili è un progetto costoso e dispendioso in termini di tempo, afflitto da blocchi stradali.
Realtà di nuova generazione: i SIEM moderni offrono procedure guidate di raccolta delle origini degli eventi fondamentali e un hosting efficiente basato su cloud in modo da ottenere informazioni affidabili e più velocemente.
I dati da soli non significano nulla, soprattutto quando puoi leggerli o correlarli. Con i SIEM tradizionali, l’onere di rendere utili i dati è posto all’utente; sarebbe un processo manuale per configurare ogni origine evento, registro, switch di rete, ecc.

I moderni SIEM semplificano questo processo inserendo e trasformando i dati su larga scala. InsightIDR fa ancora di più per andare oltre la semplice raccolta e gestione dei registri. Una volta che InsightIDR raccoglie i dati, vengono normalizzati, attribuiti a utenti e sistemi e quindi arricchiti. Questo approccio struttura i dati e le analisi per le indagini, potenziando la visibilità e l’azione degli analisti.

Idea sbagliata n. 3: gli strumenti SIEM fanno troppo affidamento sulla configurazione manuale, riducendo la visibilità.
Realtà di nuova generazione: i SIEM con motori di analisi basati su cloud aiutano a eliminare i punti ciechi poiché tutti i tuoi dati sono tutti in un unico posto.
Storicamente, l’analisi dei dati era frammentaria e avveniva nel vuoto. Ciò significava affidarsi a processi manuali per configurare origini eventi, origini dati e registri. I moderni SIEM consentono un approccio più olistico, con la capacità di digerire i dati da fonti precedentemente disparate, trasformando tali dati in informazioni utilizzabili.

Scopri come InsightIDR centralizza i tuoi log su più origini dati in modo da poter rispondere rapidamente alle domande sui tuoi dati.

Idea sbagliata n. 4: i SIEM non riescono a fornire una copertura cloud sufficiente.
Realtà di nuova generazione: i SIEM nativi del cloud migliorano la protezione degli utenti in ambienti con minacce in evoluzione.
A differenza del SIEM tradizionale, le soluzioni di nuova generazione sono progettate pensando al cloud. I SIEM ora vanno oltre l’importazione di dati e log per includere aggiornamenti automatici, rilevamenti e altro ancora che scalano man mano che cresci. La forza lavoro remota può essere certo che i propri endpoint, app cloud e dati di rete rimangano protetti.

Ulteriori informazioni sulle funzionalità native di AWS e cloud di Azure di Rapid7.

Idea sbagliata n. 5: le soluzioni SIEM richiedono costosi investimenti in risorse aggiuntive.
Realtà di nuova generazione: i SIEM aggiornati riducono l’onere di un team numeroso e dedicato, sviluppando esperienza in ogni fase.
I SIEM più recenti combinano l’accessibilità di soluzioni out-of-the-box con l’efficienza del cloud. Procedure guidate di raccolta delle origini eventi prescrittive, interfaccia utente intuitiva e rilevamenti preconfigurati curati creano una facilità d’uso diversa da qualsiasi cosa tu abbia mai sperimentato prima.

Idea sbagliata n. 6: i SIEM ostacolano i processi decisionali poiché gli utenti spengono sempre gli incendi.
Realtà di nuova generazione: la funzionalità SIEM migliorata promuove il pensiero proattivo, l’azione decisiva e la fiducia degli utenti.
I nuovi SIEM sul mercato ti consentono di visualizzare e monitorare diverse fonti di dati che non dialogano tra loro negli strumenti tradizionali. Ciò accelera l’analisi dei dati e semplifica il processo decisionale, così puoi agire rapidamente e con sicurezza. Puoi anche avviare flussi di lavoro di contenimento e risposta automatizzati dalla stessa soluzione.

Gli errori di Email Security che gli MSP devono evitare

Gli errori di Email Security che gli MSP devono evitare

Un Managed Service Provider (MSP) ha un enorme impegno quando lavora con la posta elettronica dei client aziendali. Devono mantenere i server, impostare account di posta elettronica e, soprattutto, proteggere la posta elettronica dagli attacchi. Molte delle più grandi violazioni dei dati iniziano con un’e-mail di phishing e gli MSP devono garantire che queste e-mail rimangano non aperte e che gli utenti non scarichino allegati dannosi. Se sei stato assunto per proteggere i servizi di posta elettronica dei client, ecco alcuni errori comuni da evitare.

Nessuna formazione degli utenti

L’istruzione degli utenti ha dimostrato di ridurre il numero di email di phishing che gli utenti aprono o con cui interagiscono. Le e-mail di phishing di solito includono un collegamento a un sito controllato da un utente malintenzionato o un allegato dannoso. Si desidera che l’utente riconosca entrambi questi attacchi come dannosi e lo segnali alla persona giusta, quindi elimini il messaggio.

È ancora più importante educare gli utenti in reparti specifici come finanza e risorse umane. Non è raro che questo personale riceva dozzine di email di phishing al mese e deve essere in grado di identificare i messaggi dannosi per evitare compromessi.

Gli MSP possono formare gli utenti di persona, fornire formazione online o fornire agli utenti documentazione e informazioni quando vengono inseriti dopo essere stati assunti. La formazione dovrebbe fornire agli utenti le informazioni necessarie per riconoscere un’e-mail dannosa ed evitare tutto ciò che potrebbe portare a una violazione dei dati.

La formazione non dovrebbe essere solo una lezione una tantum. Gli aggressori cambiano il modo in cui ingannano gli utenti e qualsiasi attacco comune dovrebbe essere comunicato agli utenti. Ciò richiede che l’MSP sia aggiornato sugli ultimi attacchi e tecniche di phishing in modo che possano essere comunicati agli utenti. Questa comunicazione potrebbe avvenire tramite e-mail o formazione aggiuntiva. Oltre a comunicare agli utenti, gli MSP dovrebbero offrire una formazione annuale per aiutare gli utenti non solo a identificare gli attacchi di phishing, ma anche a proteggere la rete da furti di credenziali, malware e ransomware.

Implementazione della scarsa sicurezza informatica

Gli MSP sono tenuti a implementare i servizi richiesti dal cliente, ma è un errore saltare la sicurezza della posta elettronica anche se il cliente afferma che non è necessario. I clienti potrebbero pensare che tutte le email debbano essere recapitate alle caselle di posta degli utenti, perché non comprendono l’enorme quantità di phishing che viene inviata ogni giorno.

Si stima che ogni giorno vengano inviati 3,4 miliardi di email e ci sono buone probabilità che il tuo cliente ne riceva una parte. La sicurezza della posta elettronica si sta evolvendo per catturare meglio questi messaggi e impedire che vengano ricevuti in arrivo. L’intelligenza artificiale ha contribuito a migliorare la sicurezza informatica delle e-mail in modo che i filtri possano rilevare spoofing, macro dannose negli allegati, messaggi che contengono collegamenti a server controllati da aggressori e messaggi che potrebbero essere considerati spam. Anche se i clienti vogliono che tutte le email vengano inviate in arrivo, è essenziale che gli MSP li convincano che la sicurezza informatica è necessaria per fermare le violazioni dei dati e la compromissione della loro rete.

DMARC (Domain-based Message Authentication, Reporting & Conformance) è uno standard che filtra le email se determinate impostazioni di sicurezza non vengono superate. Ad esempio, una voce Sender Policy Framework (SPF) sui server DNS dell’azienda consentirà il passaggio dell’email alla posta in arrivo dell’utente quando DMARC è abilitato. Se un record SPF non viene rilevato, la sicurezza del server di posta elettronica non consente l’invio del messaggio in arrivo. Questa sicurezza impedisce ai messaggi di spoofing di raggiungere il destinatario previsto, riducendo il numero di e-mail di phishing.

Non mettere in quarantena messaggi sospetti

Anche con DMARC abilitato, gli MSP dovrebbero mettere in quarantena i messaggi sospetti. Mettendo in quarantena i messaggi, gli amministratori possono esaminarli e identificare se l’azienda è un obiettivo di attacco. In un attacco mirato, gli aggressori invieranno potenzialmente centinaia di messaggi a membri del personale specifici. È sufficiente un solo messaggio di successo affinché l’aggressore ottenga le credenziali da una vittima o convinca l’utente mirato a scaricare un allegato dannoso ed eseguire una macro incorporata.

La messa in quarantena delle e-mail fornisce anche agli MSP un modo per “addestrare” i programmi di sicurezza della posta elettronica per eliminare i falsi positivi. Un amministratore può inviare un messaggio di posta elettronica contrassegnato in modo errato alla posta in arrivo dell’utente e modificare le configurazioni sull’applicazione di sicurezza per filtrare le email dannose in modo più efficiente. Gli utenti si sentono frustrati dalla sicurezza della posta elettronica che ha troppi falsi positivi e questo li porterà a ignorare gli sforzi di sicurezza informatica. La riduzione dei falsi positivi guadagna anche maggiore fiducia da parte degli utenti che lavorano con un MSP.

Conclusione

Gli MSP possono generare entrate ricorrenti essendo proattivi nell’istruzione dei clienti sulle minacce e-mail. La formazione degli utenti è essenziale per gli MSP per fornire una buona sicurezza informatica della posta elettronica ai propri clienti. Oltre alla formazione, l’utilizzo di efficaci applicazioni per la sicurezza informatica della posta elettronica impedirà a questi messaggi di raggiungere le caselle di posta degli utenti. Le soluzioni per la sicurezza della posta elettronica assicurano che phishing o e-mail dannose non raggiungano le caselle di posta dei dipendenti. La combinazione di queste due tecniche eviterà che gli MSP cadano in insidie ​​comuni quando configurano server di posta elettronica e sicurezza informatica per i loro clienti.

La sicurezza informatica inizia con i fondamentali

La sicurezza informatica inizia con i fondamentali

Troppo spesso gli amministratori aziendali seguono le best practice per numerose infrastrutture di rete, ma dimenticano l’importanza della sicurezza della posta elettronica. Si potrebbe sostenere che la sicurezza delle e-mail è più importante di qualsiasi altra strategia OpSec,  poiché molte delle più grandi violazioni dei dati iniziano con un’e-mail di phishing. Con un numero sempre maggiore di dipendenti che lavorano da casa, è più importante che mai garantire che la sicurezza delle e-mail sia configurata e implementata su tutti i canali di comunicazione.

Solo un’e-mail di phishing riuscita porta a milioni di danni

È sufficiente una sola e-mail di phishing riuscita per un utente malintenzionato per compromettere una rete. Gli aggressori potrebbero inviare dozzine di e-mail agli utenti all’interno di un’organizzazione o utilizzare l’ingegneria sociale insieme al phishing per prendere di mira specifici account utente con privilegi elevati. Un recente rapporto Ponemon ha mostrato che il costo medio di una violazione dei dati è di 3,86 milioni di dollari. In molti di questi messaggi di posta elettronica dannosi, gli aggressori tentano di indurre gli utenti mirati ad aprire un allegato dannoso e ad eseguire malware sulla rete, oppure un utente malintenzionato potrebbe tentare di attirare la vittima su una delle loro pagine Web ospitate in cui l’utente viene indotto con l’inganno a inviare informazioni sensibili e credenziali per l’attaccante.

Tech Radar riferisce che ogni anno vengono inviati un trilione di e-mail e 3,4 miliardi di e-mail ogni giorno. Con più dipendenti che lavorano da casa, i loro account personali si mescolano con i dispositivi aziendali, il che significa che ci sono buone probabilità che i dipendenti ricevano almeno una di queste email ogni giorno. Se i dipendenti non sono addestrati a identificare le e-mail di phishing, queste potrebbero essere il prossimo vettore di una violazione dei dati. Con le numerose e-mail di phishing inviate ogni giorno, basta un solo dipendente per lasciare la rete dell’organizzazione vulnerabile al malware.

Anche gli utenti addestrati possono cadere vittima di un attacco di phishing. Gli amministratori, i dipendenti delle risorse umane e il personale finanziario ricevono la formazione necessaria per identificare un attacco di phishing perché spesso sono obiettivi specifici nello spear phishing. Anche con la formazione, i dipendenti possono cadere vittime di attacchi di phishing e ingegneria sociale. Quando gli utenti con privilegi elevati cadono vittime di questi attacchi, i dati divulgati e rubati agli aggressori possono essere molto più gravi. Questi utenti hanno accesso a dati finanziari, dati personali di dipendenti e clienti e numeri di previdenza sociale. Questi dati sono molto preziosi sui mercati darknet, quindi vale la pena pagare per un attacco complesso a lungo termine.

Cybersecurity e-mail

Firewall, controlli di accesso, gestione dell’identità degli utenti e altri elementi fondamentali della rete sono tutti componenti in una buona posizione di sicurezza informatica. Ciò che manca in questo elenco e spesso trascurato è la sicurezza informatica delle e-mail. La sicurezza informatica delle e-mail rimuove la responsabilità degli utenti e utilizza l’intelligenza artificiale per identificare i messaggi dannosi. I messaggi dannosi potrebbero essere phishing, quelli che contengono un collegamento a un server controllato da un utente malintenzionato o quelli con allegati malware. Gli utenti non vedono nemmeno più questi messaggi e invece il sistema li mette in quarantena finché gli amministratori non esaminano e verificano che i messaggi siano benigni.

La sicurezza della posta elettronica si basa su due componenti principali: Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM). Un record SPF è il più semplice da implementare e richiede solo pochi minuti del tempo dell’amministratore. Il record SPF viene aggiunto al server DNS dell’organizzazione come voce TXT. Questa voce TXT è una stringa con una sintassi specifica che fornisce ai server di posta elettronica del destinatario un elenco di indirizzi IP autorizzati che possono essere utilizzati per inviare posta elettronica aziendale.

DKIM è simile a una firma crittografata. Un’intestazione viene aggiunta a un messaggio di posta elettronica con la firma del mittente. Il destinatario verifica questa firma per assicurarsi che il messaggio sia stato inviato dal dominio del destinatario. Insieme a SPF, la sicurezza informatica DKIM convalida il mittente e impedisce ai server di posta elettronica del destinatario di inviare e-mail di phishing contraffatte alla posta in arrivo dell’utente mirato.

Il server di posta elettronica del destinatario può essere configurato con la sicurezza DMARC (Domain-based Message Authentication, Reporting and Conformance). Le regole DMARC determinano come un server di posta elettronica deve gestire i messaggi quando sono presenti SPF e DKIM. Con le rigide regole DMARC, i server di posta elettronica potrebbero rifiutare i messaggi in cui non è presente alcun record SPF. Ad esempio, le organizzazioni che utilizzano Google Suite potrebbero trovare le loro email di dominio bloccate se non è presente un record SPF per il mittente di terze parti.

Con gli attacchi e-mail più comuni che mai, la sicurezza informatica della posta elettronica dovrebbe far parte dei fondamenti della rete di qualsiasi organizzazione. Gli amministratori lavorano duramente per garantire che ogni aspetto della rete sia protetto dai firewall che bloccano il traffico Internet pubblico esterno ai controlli di accesso alle identità interne che limitano l’accesso non autorizzato ai dati. DMARC, DKIM e SPF sono tutti strumenti di base per la sicurezza, in grado di limitare le possibilità che l’organizzazione sia vittima di una grave violazione dei dati.

Uno dei buoni propositi per il nuovo anno: migliorare le proprie password

Uno dei buoni propositi per il nuovo anno: migliorare le proprie password

È quel periodo dell’anno in cui pensiamo tutti a come migliorare le nostre vite nel 2021, e non sarà difficile trovare idee su come rendere il prossimo anno migliore del 2020, ma quando si tratta di buoni propositi per l’anno nuovo, perchè non proviamo qualcosa di diverso dai soliti “perdere peso” e “mangiare meglio” come ad esempio “migliorare le proprie password”!

Diventiamo più scaltri con le password
Usi “12345678” o “password” come password? O forse usi “87654321” o “p@ssword”. Forse riutilizzi la stessa password sui tuoi account Netflix e Gmail come fai per l’accesso al tuo laptop, ma per la tua password bancaria, metti in maiuscolo la prima lettera e aggiungi un numero alla fine. Se sei colpevole di una di queste cattive abitudini, stai mettendo in pericolo te stesso, la tua identità, i tuoi beni e persino la tua azienda. Non aspettare per modificare queste abitudini. Cambiale ora.

Smetti di riutilizzare le stesse password per i tuoi account
Non sei il solo. Un sondaggio di Google del 2019 ha rilevato che il 52% delle persone riutilizza le password su più account e il 13% riutilizza la stessa password su ogni account. Ecco perché questa è una cattiva abitudine: i siti web subiscono frequenti violazioni della sicurezza e, quando ciò accade, i criminali ottengono l’accesso alle credenziali di accesso e password per quel sito. Quindi li testano su altri siti e vendono le credenziali ad altri hacker che li testano ancora di più. Se riutilizzi la stessa password, quei criminali sono tenuti a sbloccare account aggiuntivi, anche se quei siti non sono mai stati violati.

Quando SpyCloud, che cura la più grande raccolta al mondo di dati sulle violazioni, ha esaminato il riutilizzo delle password tra i dipendenti di Fortune 1000, ha scoperto che il 76,5% ha riutilizzato la stessa password abbinata alla propria e-mail aziendale su altri account violati. Questo è un problema sia per i consumatori che per le imprese.

Presta attenzione agli avvisi di violazione
Negli ultimi anni, i tuoi dati sono stati probabilmente parte di una violazione, o più. L’azienda i cui dati sono stati violati ti ha informato che le tue informazioni erano a rischio e ti ha costretto (o fortemente consigliato) a cambiare la tua password. Quante volte hai cambiato la stessa password o le sue varianti in tutti i tuoi siti?

Penseresti che sapere che una password sia a rischio potrebbe spingere tutti gli interessati a cambiarla, ma quando Google ha notificato agli utenti tramite un’estensione di Chrome che le loro password erano state compromesse, solo il 26% delle persone le ha cambiate.

Le violazioni sono così pericolose perché spesso non vengono scoperte fino a mesi dopo, il che dà ai cattivi un lungo vantaggio. Quando gli utenti vengono informati che i loro dati sono stati inclusi in una violazione, i criminali hanno setacciato i loro account e identificato altri che sono vulnerabili perché utilizzano le stesse password. Come ho spiegato sopra, ecco perché è importante non riutilizzare le password. Se vieni avvisato di una violazione, non ignorarla. Segui le istruzioni per proteggerti e aggiornare altri account che utilizzano le stesse password.

Usa password complesse
Oltre a riciclare le password tra account, le persone tendono a utilizzare password semplici facili da ricordare. Quando SpyCloud ha analizzato i dati sulla violazione raccolti solo lo scorso anno, ha trovato 13 milioni di istanze di “qwerty123” e 3 milioni di istanze di “iloveyou”. Queste password e le loro varianti sono facili da indovinare per i criminali. Mantengono elenchi di password comuni e li utilizzano negli attacchi di password spraying, mettendo a rischio gli account con password deboli anche se l’utente non ha riutilizzato la password.

Mentre i cracker di password possono capire praticamente qualsiasi password composta da caratteri alfanumerici, le password più lunghe e complesse sono più difficili. Utilizza password di almeno 16 caratteri, con una combinazione casuale di lettere minuscole e maiuscole, numeri e caratteri speciali. La realtà è che gli hacker hanno tempo e potenza di calcolo variabili per decifrare le password. Più gli fai fatica, più è probabile che si arrendano.

Usa un password manager
I password manager ti aiutano a generare password casuali e ad archiviarle in modo da non dover ricordare password diverse per ogni sito. Ci sono tanti password manager disponibili, quindi sceglierne uno richiederà un po’ di ricerca. Assicurati di sceglierne uno che supporti qualunque piattaforma utilizzi e che abbia anche integrato il monitoraggio delle credenziali violate. La maggior parte, ma non tutti, funzionano su PC o Mac e iOS e Android. Inoltre variano in base a ciò che fanno pagare, al numero di password che memorizzano e ad altre funzionalità.

Indipendentemente dal gestore che utilizzi, richiedono tutti una password principale per accedere al tuo gestore di password, quindi ricorda ciò che hai imparato nella sezione precedente sull’impostazione di password complesse.

Abilita l’autenticazione a più fattori
Probabilmente hai ricevuto suggerimenti dai tuoi vari account per configurare l’autenticazione a più fattori (MFA), un miglioramento della sicurezza che richiede di presentare due credenziali separate per accedere a un account. Di solito, quelle credenziali sono qualcosa che conosci come una password o un PIN, qualcosa che hai come un token digitale o fisico o qualcosa che sei come un’impronta digitale o una scansione della retina. In genere è necessario presentare due di questi tre, quindi dopo aver inserito la password, potrebbe essere richiesto di inserire un codice monouso inviato al telefono. L’idea è che mentre gli hacker potrebbero essere in grado di scoprire la tua password, non avranno nemmeno il tuo telefono o l’impronta digitale.

Come minimo, dovresti abilitare MFA sui tuoi account più sensibili, come i tuoi account di posta elettronica e finanziari. Nota: è possibile che ti venga presentata la possibilità di inviare i codici al tuo telefono o e-mail, ma gli hacker potrebbero essere in grado di intercettarli. Utilizzare un token hardware fisico è l’opzione più sicura, seguita da vicino utilizzando un’app come Hypr, Google Authenticator o OneLogin.

Questo è un periodo dell’anno frenetico e stressante, ma avere a che fare con un account compromesso, acquisti fraudolenti o denaro rubato o punti fedeltà non farà che peggiorare le cose. Rendi le pratiche migliori per le password parte dei tuoi piani per il 2021 o, meglio ancora, inizia ora.

Netwrix e Stealthbits si fondono per rispondere alla crescente domanda di protezione dei dati sensibili

Netwrix e Stealthbits si fondono per rispondere alla crescente domanda di protezione dei dati sensibili

Le società Netwrix e Stealthbits si uniscono le forze per offrire soluzioni per la sicurezza dei dati sensibili e la privacy a organizzazioni di qualsiasi dimensione e in qualsiasi regione del mondo.

Netwrix, fornitore di cybersecurity che semplifica la sicurezza dei dati, ha annunciato oggi una fusione con Stealthbits, leader della sicurezza informatica che protegge i dati sensibili e le credenziali dagli aggressori. L’entità combinata continuerà a offrire il suo portafoglio completo di oltre una mezza dozzina di soluzioni di sicurezza volte a identificare e rilevare i rischi per la sicurezza dei dati, nonché a proteggere dagli attacchi informatici e a rispondere in maniera proattiva alle minacce di cybersecurity.

Le soluzioni frammentate nel mercato della sicurezza dei dati impediscono alle organizzazioni di costruire strategie di sicurezza complete per proteggere i propri dati sensibili e regolamentati. Per affrontare questa sfida, Netwrix e Stealthbits stanno unendo le loro forze per sfruttare le reciproche competenze ed ampliare le funzionalità del prodotto migliorando l’esperienza utente. Ciò consentirà all’organizzazione combinata di offrire sette prodotti principali che coprono tutti gli elementi della sicurezza dei dati e delle informazioni, investire nell’innovazione per superare le aspettative dei clienti e dei partner esistenti ed espandere la propria base di clienti a livello globale.

Con oltre 500 dipendenti e clienti provenienti da più di 50 paesi, la società combinata opererà come Netwrix con Steve Dickson che continuerà a servire come CEO e nel consiglio di amministrazione della società. Steve Cochran, fondatore e presidente di Stealthbits, sarà un investitore in Netwrix e farà parte del suo consiglio di amministrazione.

Non potremmo essere più entusiasti di unirci alle persone e ai prodotti di Stealthbits. La nostra organizzazione combinata può ora offrire soluzioni di sicurezza dei dati per qualsiasi organizzazione in qualsiasi parte del mondo.
Steve Dickson, CEO di Netwrix

 

Stealthbits è sempre stata incline a lavorare con i nostri clienti per risolvere i loro requisiti più impegnativi di credenziali e sicurezza dei dati. Combinando la nostra ampiezza di prodotti e la nostra profonda esperienza con quella di Netwrix, i nostri clienti possono rafforzare rapidamente la loro posizione di sicurezza e soddisfare molteplici progetti e requisiti attraverso un unico fornitore
Steve Cochran, fondatore e chairman di Stealthbits

Per il prossimo futuro, clienti, potenziali clienti e partner di ogni azienda continueranno a interagire con ciascuna azienda come fanno oggi per le vendite, il supporto e l’attività dei partner. Sia Netwrix che Stealthbits si impegnano per la trasparenza e nei prossimi mesi informeranno i propri clienti, potenziali clienti e partner dei cambiamenti operativi.

Per maggiori informazioni sull’acquisizione, visita la nostra pagina delle FAQ

Informazioni su Stealthbits
Stealthbits Technologies, Inc. è una società di software incentrata sulla sicurezza dei clienti e focalizzata sulla protezione dei dati sensibili di un’organizzazione e delle credenziali utilizzate dagli aggressori per rubare tali dati. Rimuovendo l’accesso inappropriato ai dati, applicando criteri di sicurezza e rilevando minacce avanzate, riduciamo i rischi per la sicurezza, soddisfiamo i requisiti di conformità e diminuiamo le spese operative. Per maggiori informazioni visita www.stealthbits.com

Informazioni su Netwrix
Netwrix semplifica la sicurezza dei dati, rendendo facile il modo in cui i professionisti possono controllare i dati sensibili, regolamentati e business-critical, indipendentemente da dove risiedono. Più di 10.000 organizzazioni in tutto il mondo si affidano alle soluzioni Netwrix per proteggere i dati sensibili, comprendere a pieno il valore dei contenuti aziendali, superare gli audit di conformità con meno sforzi e spese e aumentare la produttività dei team IT e dei knowledge worker. Fondata nel 2006, Netwrix ha ottenuto più di 150 premi di settore ed è stata nominata negli elenchi Inc. 5000 e Deloitte Technology Fast 500 delle aziende in più rapida crescita negli Stati Uniti Per maggiori informazioni visitare il sito www.netwrix.it

Password moderne e sicure grazie ai suggerimenti del NIST

Password moderne e sicure grazie ai suggerimenti del NIST

Password moderne e sicure grazie ai suggerimenti del NIST

Le policy di sicurezza obsolete peggiorano le password degli utenti?

Negli ultimi dieci anni, gli esperti di sicurezza hanno imparato che molti criteri comuni per le password non portano a password più complesse. Al contrario, in effetti. Rigide regole di complessità e politiche periodiche di modifica forzata delle password rendono le password più difficili da ricordare per le persone, incoraggiando scorciatoie rischiose come la scelta di password prevedibili o il riutilizzo di alcuni preferiti su centinaia di account … Suona familiare? Molti di noi sono colpevoli di queste abitudini.

Queste scorciatoie sono esattamente il modo in cui i criminali informatici si insinuano. Gli aggressori testano sistematicamente le credenziali rubate da altre violazioni dei dati. Le password riutilizzate aprono la porta e, con l’aiuto di strumenti automatici di controllo degli account, anche i criminali non sofisticati possono facilmente colpire centinaia di bersagli.

Ecco perché le più recenti linee guida sulle password create dal National Institute of Standards and Technology (NIST) tengono conto del comportamento umano, incorporando le lezioni apprese in politiche che incoraggiano password complesse e mitigano i rischi. Per le aziende, queste modifiche possono aiutare a ridurre i costi derivanti dall’acquisizione di account, furto di dati e frodi online, ma possono essere impegnative e richiedono molte risorse da implementare.

SpyCloud ha lavorato duramente per creare soluzioni che riducano tale carico. Molti clienti di SpyCloud beneficiano già delle funzionalità di rilevamento e risposta automatizzate fornite da Active Directory Guardian per applicare le linee guida NIST ai propri dipendenti. Oggi abbiamo ampliato la nostra offerta Consumer ATO Prevention per rendere più semplice l’applicazione delle linee guida per le password NIST agli account consumer con la nostra nuova API Password Exposure. Le aziende possono impedire ai consumatori di scegliere password deboli o esposte confrontandole con miliardi di password precedentemente compromesse nel database di SpyCloud, contribuendo a ridurre il furto di account e le frodi online.

L’allineamento dei criteri per le password della tua organizzazione con le ultime linee guida del NIST aiuterà i tuoi dipendenti e i consumatori a creare password più sicure e ridurrà il rischio di acquisizione dell’account. Di seguito abbiamo condensato i consigli del NIST, iniziando con alcune buone notizie.

Lascia che sia il Directory Service a svolgere la gran parte del lavoro pesante

Proprio così. È possibile applicare criteri di password di base per i dipendenti tramite la maggior parte dei servizi di directory o, nel caso di account consumer, all’interno della propria applicazione. Questi includono:

  • Minimo 8 caratteri
  • Consenti più di 64 caratteri
  • Consenti (ma non richiedere) caratteri speciali
  • Limita i tentativi di accesso non riusciti

Solo alcuni consigli, come determinare se le password sono state esposte in una violazione di terze parti, richiedono l’applicazione esterna. Maggiori informazioni su questo alla fine di questo post.

Leggi la guida passo per passo su come impostare Active Directory allineandola ai suggerimenti del NIST.

Policy di password Human-Friendly: cosa non fare

Poiché le ultime linee guida del NIST hanno la precedenza su credenze vecchie di decenni su ciò che rende una policy forte per le password, offrono linee guida piuttosto significative sui modi per scoraggiare le cattive abitudini storiche degli utenti.

Non richiedere password complesse
Il NIST inverte la vecchia guida sconsigliando di richiedere regole come l’utilizzo di una combinazione di lettere e simboli. In teoria, una combinazione di lettere, numeri e simboli può aumentare la difficoltà di decifrare una password. In pratica, tuttavia, questo requisito ha portato gli utenti a creare password più brevi facili da decifrare per i criminali.

Ad esempio, un utente può sfuggire alla maggior parte dei requisiti di complessità con una password come “P @ ssw0rd!” Gli strumenti di controllo dell’account criminale testano automaticamente questo “parlare liberamente”, ovvero la pratica di sostituire le lettere con numeri o caratteri speciali che assomigliano a lettere. Peggio ancora, gli utenti spesso riutilizzano le varianti della loro password “sicura” su più servizi, esponendo tutti quegli account a ulteriori rischi.

Non forzare modifiche arbitrarie della password
Ciò include le politiche comuni come la scadenza della password ogni 90 giorni. Questo requisito rende più difficile per gli utenti ricordare le password e incoraggia cattive abitudini come la scelta di password deboli, la rotazione attraverso una serie di password familiari o l ‘”aggiornamento” delle password esistenti con modifiche banali.

La rotazione delle password è un vantaggio per i criminali. I criminali sanno che alcuni utenti passeranno inevitabilmente in rassegna le password più vecchie, comprese quelle che sono state esposte in precedenti violazioni. Questo è uno dei motivi per cui i criminali testeranno pazientemente le credenziali rubate su altri account nel corso di mesi o addirittura anni.

Non utilizzare suggerimenti o promemoria per la password
Gli utenti spesso sottovalutano il rischio di fornire troppe informazioni in un campo di promemoria, il che rende più facile per un criminale indovinare la password e accedere all’account. Alcuni in realtà arrivano al punto di impostare la password come suggerimento.

Non utilizzare l’autenticazione basata sulla conoscenza
Le risposte alle richieste di autenticazione basata sulla conoscenza, come la richiesta del modello della prima auto di un utente, sono spesso disponibili tramite registri pubblici o social media. Inoltre, agli utenti potrebbe essere richiesto di rispondere alle stesse domande su più servizi, incoraggiando il riutilizzo delle credenziali. Se un criminale ha accesso ad altre informazioni sull’utente, questo tipo di autenticazione può essere facile da indovinare.

Aiuta i tuoi utenti ad aiutare se stessi

Ok, sai cosa non fare. Queste linee guida sull’usabilità approvate dal NIST incoraggiano gli utenti a creare password complesse, senza implementare direttamente requisiti aggiuntivi.

Offri la possibilità di visualizzare la password completa
Consenti agli utenti di selezionare un’opzione per visualizzare la loro password completa, che può aiutarli a verificare la presenza di errori nella loro immissione. Facoltativamente, il NIST suggerisce di mostrare un carattere alla volta mentre l’utente lo inserisce per aiutare gli utenti mobili a evitare errori.

Consenti agli utenti di incollare le password
La possibilità di incollare le password facilita l’uso dei gestori di password, che secondo il NIST possono aumentare la probabilità che gli utenti scelgano password più forti.

Fornire indicazioni per la creazione della password, ad esempio un misuratore di sicurezza della password
Fornire indicazioni sulla sicurezza della password agli utenti mentre creano una password. Questo spesso assume la forma di un misuratore di sicurezza della password. Sebbene questa non sia una funzionalità pronta all’uso con Active Directory, può essere ottenuta tramite strumenti di terze parti, inclusi molti gestori di password. Le organizzazioni possono anche fornire ai dipendenti materiali di riferimento sulla sicurezza della password.

Stabilire controlli di sicurezza essenziali

Genera PIN sicuri
Se si generano pin o password per conto dei propri utenti, il NIST richiede che siano lunghi almeno 6 caratteri e “generati utilizzando un generatore di bit casuale approvato” come descritto nella pubblicazione speciale NIST 800-90A.

Crittografa le password durante la trasmissione
Questo requisito NIST per “utilizzare la crittografia approvata e un canale protetto autenticato” durante la trasmissione delle password degli utenti riduce il rischio che una terza parte possa intercettare le password degli utenti. Se la tua comunicazione di rete non è sicura, chiunque si connetta può vedere il suo traffico e quando vengono inviate le informazioni di accesso, la password può essere visualizzata in chiaro. Per gli utenti esterni, assicurati che il tuo portale di accesso disponga di un certificato SSL valido per garantire che la comunicazione di rete sia crittografata.

Credenziali archiviate in salt e hash

Le linee guida del NIST per il salting e l’hashing delle credenziali archiviate includono:

  • Scegli un algoritmo di hashing moderno (PBKDF2, bcrypt, ecc.) Resistente agli sforzi di decrittazione
  • Scegli un salt abbastanza lungo per ogni hash
  • Assicurati che anche il particolare algoritmo di hashing utilizzi un pepper

Vieta le password di uso comune

Non consentire agli utenti di scegliere password “comunemente usate, previste o compromesse”, come:

  • Password ottenute da precedenti corpi di violazione
  • Parole del dizionario
  • Caratteri ripetitivi o sequenziali (ad es. “Aaaaaa”, “1234abcd”)
  • Parole specifiche del contesto, come il nome del servizio, il nome utente e i suoi derivati

I criminali utilizzano attivamente questi tipi di password comuni e compromesse negli attacchi di acquisizione di account. Secondo il Verizon Breach Report del 2020, le credenziali rubate sono state la principale tecnica di hacking negli ultimi quattro anni.

Seguire le indicazioni del NIST bloccando la capacità degli utenti di scegliere questi tipi di password è uno dei modi più efficaci con cui le organizzazioni possono proteggere se stesse e i propri clienti. Tuttavia, questa funzionalità richiede l’accesso a una fonte di password completa e regolarmente aggiornata che dovrebbe essere bloccata, nonché la possibilità di controllare le password degli utenti su larga scala. È qui che un partner fidato può aiutare.

Non devi far tutto da solo

Mentre molti dei consigli del NIST possono essere soddisfatti facilmente utilizzando risorse interne e il minimo sforzo, c’è un’eccezione evidente: il controllo di password comuni o precedentemente compromesse.

Poiché la maggior parte dei team di sicurezza non ha le risorse per ricercare e rendere operativi i dati sulle violazioni da sola, affidarsi a un partner specializzato nella prevenzione delle acquisizioni di account può fare la differenza. Mentre consideri i fornitori, cerca queste capacità.

Controlla le password degli utenti con un elenco in evoluzione
Un elenco statico semplicemente non lo taglierà, data la frequenza con cui si verificano nuove violazioni. Per il contesto, i ricercatori di SpyCloud aggiungono circa un miliardo di nuove risorse di violazione al nostro database, ogni mese. Questo elenco in continua evoluzione aumenta continuamente la tua esposizione al rischio.

Accedi a nuove esposizioni il prima possibile dopo una violazione
Questo perché quando una violazione ha fatto notizia, il danno peggiore è già stato fatto. Il periodo più redditizio per i criminali è nei primi 18 mesi circa dopo una violazione; durante questo periodo limitano l’accesso alle informazioni rubate mentre lavorano per decifrare le password e monetizzare le credenziali rubate.

Raccogli i dati sulla violazione utilizzando HUMINT
I dati sulle violazioni raccolti tramite lo scraping e la scansione del dark web offrono una protezione limitata: nel momento in cui i dati sulla violazione giungono a queste fonti pubbliche, il danno peggiore è già stato fatto. Le tecniche di intelligenza umana sono l’unico modo per identificare le credenziali rubate all’inizio della sequenza temporale della violazione, mentre puoi comunque agire in tempo per proteggere i tuoi utenti.

In conclusione

Le linee guida per le password del NIST forniscono una roadmap per policy di password sicure e di facile utilizzo che combattono i modi più comuni in cui i criminali si intromettono negli account degli utenti.

SpyCloud consente la riparazione quando conta davvero, prima che i criminali abbiano accesso illegittimo ai sistemi e ai dati aziendali o sottraggano denaro e punti fedeltà ai tuoi consumatori.

Ulteriori informazioni su come Active Directory Guardian ti aiuta ad automatizzare la prevenzione del furto di account e ad allinearti alle linee guida del NIST.

 

Scopri di più su come Consumer ATO Prevention ti consente di prevenire le frodi per tutta la durata di un account consumatore, senza aggiungere attriti.

I 4 pilastri della Network Security di Windows

I 4 pilastri della Network Security di Windows

Il CISO di Microsoft elenca le quattro aree chiave su cui concentrarsi per proteggere le reti Windows: gestione delle identità passwordless, gestione delle patch, controllo dei dispositivi e benchmark.

Prima della conferenza Ignite di Microsoft, ho potuto parlare con il CISO di Microsoft Bret Arsenault di alcuni elementi chiave che tutti noi dovremmo considerare per mantenere le reti Windows protette. Parla di quattro pilastri della sicurezza: gestione delle identità senza password, gestione delle patch, controllo dei dispositivi e benchmark di sicurezza.

1. Passwordless identity management

I consigli di Arsenault iniziano con l’utilizzo dell’autenticazione a più fattori (MFA) e passano alla gestione dell’identità senza password. Sulla base del report Verizon Data Breach Investigations 2020, le credenziali rubate sono alla base dell’80% degli attacchi informatici. È una delle ragioni principali per cui Microsoft enfatizza l’eliminazione delle password normali e si concentra sulle tecniche passwordless.

Sono disponibili tre opzioni principali passwordless per Windows. La prima utilizza Windows Hello for Business, che include l’autenticazione biometrica. Per supportare Windows Hello for Business per distribuzioni solo cloud, è necessario Windows 10 versione 1511 o successiva, un account Microsoft Azure, Azure Active Directory (AD), Azure Multi-factor Authentication, Modern Management (Intune o MDM di terze parti supportato). Opzionalmente, una sottoscrizione ad Azure AD Premium per la registrazione MDM automatica quando il dispositivo si unisce ad Azure AD. Per le distribuzioni ibride, è necessario Windows 10 versione 1511 o successiva, aggiunto ad Azure AD ibrido o aggiunto ad Azure AD.

L’opzione successiva, e quella che utilizzo, è l’app Microsoft Authenticator. (Si può anche utilizzare l’app Google Authenticator per la verifica a due fattori, ma avrai bisogno di Microsoft Authenticator per l’implementazione passwordless.) Questa potrebbe essere un’opzione praticabile se le applicazioni supportano l’app Authenticator e gli utenti possono utilizzare la stessa piattaforma per più applicazioni cloud. Come indicato nella documentazione di Microsoft, la tecnologia utilizzata è simile a Windows Hello. Per distribuirlo è necessaria Azure Multi-Factor Authentication con notifiche push consentite come metodo di verifica. Quindi è necessaria l’ultima versione di Microsoft Authenticator installata sui dispositivi con iOS 8.0 o versioni successive o Android 6.0 o versioni successive.

Infine, si possono soluzioni senza password con le chiavi di sicurezza FIDO 2.0. Hai bisogno di qualcosa come Yubikey, che supporta una chiave residente, un PIN client, un segreto HMAC e più account per relying party (RP).

2. Patch management

Il prossimo elemento chiave che Arsenault ha indicato è assicurarsi di avere un processo per la gestione delle patch. La sua raccomandazione è di non ritardare e di rattoppare, rattoppare, rattoppare! Inoltre, consiglia di disporre di un sistema per mantenere aggiornato tutto il software utilizzato dai dipendenti.

Le aziende spesso non applicano immediatamente le patch. Piuttosto, testano immediatamente e poi decidono di distribuire l’aggiornamento se non sorgono problemi durante il test. Microsoft ha bisogno di ricostruire la fiducia dell’azienda con la qualità dei propri aggiornamenti. A giugno, le stampanti con driver PCL 5 sono state colpite da un effetto collaterale introdotto da KB4557957 che ha causato l’interruzione della stampa. Molte aziende si sono trattenute a distribuire gli aggiornamenti di giugno finché non hanno trovato una soluzione alternativa o hanno ricevuto una correzione da Microsoft. La maggior parte delle aziende alla fine applica le patch, ma chiaramente non così rapidamente come vorrebbero Arsenault o Microsoft.

3. Device control

Arsenault esorta gli amministratori della sicurezza a ottenere un controllo sul controllo del dispositivo. Assicurati che tutti i dispositivi che si connettono alla tua rete, inclusi i dispositivi di proprietà dell’azienda, personali e periferici come stampanti e sistemi telefonici, siano identificati, patchati e protetti. Soprattutto se si dispone di Microsoft 365, si consiglia di utilizzare Intune per identificare e gestire i dispositivi che si connettono alla rete. A causa della pandemia, le persone utilizzano più dispositivi di consumo per connettersi alle risorse aziendali. Microsoft Intune può aiutare a gestire una varietà di risorse, inclusi dispositivi iOS / iPadOS, Android, Windows e macOS.

Per le aziende, la gestione delle stampanti è ancora un lavoro in corso. Le esigenze principali spesso determinano determinati tipi e tipi di stampanti di rete. In quanto tali, comunicano a Internet, dispongono di dischi rigidi ed eseguono software. Il loro firmware deve essere aggiornato per essere sicuro, a volte in modi che non sono efficienti come l’applicazione di patch ai sistemi operativi. Con il passaggio al lavoro da casa, c’è meno bisogno di stampanti di rete e di più per la gestione dei PDF, ma in alcuni settori le stampanti sono ancora un’esigenza fondamentale.

Vorrei aggiungere un ulteriore elemento ai consigli di Arsenault sul controllo dei dispositivi: assicurati che i tuoi consulenti utilizzino anche strumenti sicuri e aggiornati quando si connettono in remoto e forniscono assistenza alla tua azienda. Troppi attacchi ransomware quest’anno sono iniziati con un utente malintenzionato che ha ottenuto l’accesso all’azienda tramite i suoi consulenti. Gli aggressori spesso non danneggiano solo un’azienda, ma tutte le aziende sotto la guida del fornitore di servizi gestiti. Rivedi anche la loro posizione sulla sicurezza.

4. Security benchmarks

La revisione dei benchmark ti dice quanto le tue best practice di sicurezza si confrontano con quelle dei tuoi colleghi, consiglia Arsenault. Microsoft 365 include il punteggio di sicurezza di Microsoft. È inoltre possibile utilizzare i documenti di benchmark del Center for Internet Security per verificare le impostazioni. Quindi rivedere periodicamente le informazioni nel Centro sicurezza di Microsoft 365 per le modifiche e rivedere le impostazioni per Microsoft 365 di conseguenza.

Stare al passo con i cambiamenti significa tenere traccia dei prodotti, della roadmap del prodotto e, spesso, delle modifiche al nome del prodotto. Ad esempio, le seguenti modifiche al nome del prodotto sono state annunciate a Ignite:

  • Microsoft Threat Protection è ora Microsoft 365 Defender
  • Azure Advanced Threat Protection è ora Microsoft Defender for Identity
  • Microsoft Defender Advanced Threat Protection è ora Microsoft Defender for Endpoint
  • Office 365 Advanced Threat Protection è ora Microsoft Defender per Office 365
  • Azure Security Center Standard Edition è ora Azure Defender for Servers
  • Il Centro sicurezza di Azure per IoT è ora Azure Defender per IoT
  • Advanced Threat Protection per SQL è ora Azure Defender per SQL

L’intento dei nuovi nomi è definire più chiaramente ciò che ciascuno fa. Aggiungi ai segnalibri ogni sito di destinazione e rivedi ciascuno. Se al momento non hai accesso alle funzionalità, registrati per una versione di prova (preferibilmente una versione di prova di Microsoft 365 E5 che riunisce tutti i pezzi) per vedere la visione di sicurezza unificata di Microsoft.

Tenere il passo con i cambiamenti di Microsoft può essere scoraggiante. Spesso il modo migliore per seguire Microsoft è prestare molta attenzione alle loro principali conferenze. Con la pandemia, Microsoft (e molti altri fornitori) si sono orientati verso luoghi online e hanno reso la conferenza gratuita oa basso costo.

La tecnologia sta cambiando rapidamente. Questi quattro pilastri: gestione delle identità senza password, gestione delle patch, controllo dei dispositivi e confronto con i benchmark sono tutti pilastri di una buona sicurezza aziendale.

Università di Palermo e Rapid7 InsightIDR SIEM

Università di Palermo e Rapid7 InsightIDR SIEM

L’università siciliana ottiene una vista panoramica sul rischio informatico dell’intera infrastruttura

Gaetano Pisano, amministratore di rete e sicurezza presso l’Università degli Studi di Palermo in Sicilia, in Italia, sa cosa significa dover monitorare un grande ambiente IT con un piccolo team.

Per svolgere il proprio lavoro in modo efficace, si è affidato alla potenza basata su cloud di InsightIDR, la soluzione di rilevamento e risposta agli incidenti di Rapid7 e su InsightVM, l’evoluzione della principale soluzione di gestione delle vulnerabilità di Rapid7 Nexpose.

Ora, lui e il suo team sono in grado di monitorare centinaia di migliaia di risorse, ottenendo un “panorama” di tutte le loro vulnerabilità e il loro rischio complessivo. In queste domande e risposte, descrive il successo del suo programma in modo più dettagliato.

Ci parli dell’Universita’ degli Studi di Palermo.

GAETANO: abbiamo 42.000 studenti e 3.600 impiegati in totale, professori inclusi. E’ una delle 10 maggiori università in Italia. Siamo al 6° posto su 10 per una varietà di aspetti e criteri, come i servizi offerti agli studenti, le borse di studio, le risorse e attrezzature disponibili, il livello di computerizzazione e i servizi digitali offerti, e il livello di “internazionalità”.

Chi c’è nel suo team di sicurezza e quali sono le sue responsabilità?

GAETANO: Siamo in 3, 2 persone per l’IT e una per IT/security. Usiamo InsightVM e InsightIDR. E’ la classica situazione dove una piccola squadra si occupa di tutto, dalla gestione IT alla security.

Ci parli dell’ambiente che state monitorando.

GAETANO: Siamo responsabili per centinaia di migliaia di asset in tutta l’Università. Questo include il monitoraggio di una classe transiente e insidiosa di dispositivi da gestire: quelli di proprietà dei nostri studenti.

Come si colloca il vulnerability management e l’incident response all’interno della vostra strategia di security?

GAETANO: Volevamo poter utilizzare una singola query per cercare su più server e servizi. Nel passato, dovevamo effettuare ogni query separatamente. Desideravamo anche un “panorama” di tutte le vulnerabilità e visibilità sul livello generale di rischio e sui servizi esposti. Mi piace poter usare i dati di Project Sonar di Rapid7 per capire quali asset universitari sono davvero esposti a rischi provenienti dall’esterno.

Quali erano le sfide da affrontare in tema di sicurezza, e i problemi da risolvere?

GAETANO: Dovevamo raccogliere e archiviare i nostri log in una location sicura per raggiungere la compliance, e con quei dati volevamo rispondere ad alcune domande. Dopo aver implementato InsightIDR, non c’era più la necessità di dover fare query su ciascun server syslog per trovare risposte. Avevamo anche bisogno di flessibilità verso diversi sistemi operativi, da Windows, Mac e Linux fino ad iOS, Android,  e telefoni Windows.

Cosa vi ha portati a scegliere Rapid7?

GAETANO: Abbiamo conosciuto Rapid7 grazie a un forum chiamato Cybrary (https://www.cybrary.it/forums/). Da qui abbiamo provato Nexpose e InsightIDR, verificando quanto fossero facili da utilizzare e configurare.

Quali strumenti utilizzavate prima di Rapid7?

GAETANO: Utilizzavamo Snort e AlienVault. Prima di Nexpose usavamo OpenVas (open source).

Qual’era il processo di ricerca degli incident prima di InsightIDR?

GAETANO: Usavamo Snort e AlienVault OSSIM. La ricerca dei log con InsightIDR e il suo Log Entry Query Language (LEQL) è molto più semplice e intuitiva. Poi, InsightIDR fornisce dati statistici ed è molto più ricco di funzionalità già pronte. InsightIDR centralizza i dati di log dell’Università in un’architettura cloud sicura.

Siete soddisfatti per come InsightIDR fornisce accesso a quei dati (log search, dashboard, e visibilità nel comportamento utenti)?

GAETANO: Siamo molto contenti per la velocità delle ricerche, e la qualità e chiarezza dei cruscotti, che sono molto intuitivi – ne apprezzo in particolare la sintesi nel rappresentare solo le informazioni di cui ho effettiva necessità.

Quale ruolo gioca InsightIDR nella vostra strategia SIEM?

GAETANO: Usiamo InsightIDR per la gestione centralizzata dei log, la ricerca e la visualizzazione dei dati. Possiamo quindi monitorare l’attività generale, nonché i picchi di traffico sugli endpoint degli utenti. Dopo aver identificato queste anomalie, possiamo quindi decidere se vale la pena indagare o meno. Un giorno, mentre studiavamo un picco del traffico, abbiamo trovato una macchina interessata da SYN flood, originata da un dispositivo compromesso.

Che tipi di incidenti ha rilevato sinora InsightIDR?

GAETANO: Il prodotto ha rilevato traffico di malware, infiltrazioni e persistenza. Ha rilevato inondazioni SYN in un’occasione e in generale offre la possibilità di indagare su picchi di attività e query personalizzate per verificare, ad esempio, minacce come WannaCry.

C’è qualche aneddoto sul prodotto che vorrebbe condividere?

GAETANO: Sì! Un giorno il nostro sito di backup è caduto a causa dell’alta temperatura (siamo in Sicilia…), ma non abbiamo avuto problemi con l’archiviazione dei log grazie a InsightIDR e al fatto che centralizza i nostri dati in un’architettura cloud sicura.

Come vorrebbe riassumere i benefici che InsightIDR porta alla vostra organizzazione?

GAETANO: Ci consente di correlare e interrogare i log dalle origini dati attraverso la nostra rete. Ci piace il fatto che InsightIDR memorizzi in modo sicuro i nostri log nel cloud a un buon prezzo. Il prodotto è facile da usare e pronto all’uso con numerosi rilevamenti comportamentali, query e dashboard.

Quali i prossimi passi per l’università di Palermo e Rapid7?

GAETANO: Nel prossimo futuro, aggiungeremo a InsightIDR la threat intelligence proveniente dal nostro Intrusion Detection System (IDS), e utilizzeremo l’Agent incluso in InsightIDR per raccogliere i dati degli endpoint. Siamo anche appena passati da Nexpose a InsightVM con grande soddisfazione. I cruscotti e i dettagli che Rapid7 ha inserito in questa nuova versione vanno aldilà delle nostre aspettative.

Commercio Network sceglie YubiHSM per i 100 nodi validatori

Commercio Network sceglie YubiHSM per i 100 nodi validatori

Commercio Network è la Blockchain aperta a 250 milioni di aziende nel mondo, nata per scambiare e firmare documenti. La rete è attualmente gestita da una trentina di aziende aderenti al consorzio CommercioConsortium.org, nato per coordinare e certificare l’attività dei 100 nodi validatori previsti della Blockchain.

“Identità, Firma Elettronica e Consegna dei documenti Conforme eIDAS, sono i tre pilastri dell’offerta di Commercio Network, nata per diffondere la digital transformation attraverso l’unica tecnologia decentralizzata, immutabile e distribuita: la Blockchain” afferma Enrico Talin, co-fondatore e CEO di Commercio.

Durante l’ultimo anno di attività della rete di test, la task force del consorzio, costituita dalle aziende aderenti, ha testato diverse soluzioni per la gestione del Key Management System (KMS). Il KMS è una componente fondamentale di un nodo validatore,  perché è il luogo dove vengono validate  tutte le transazioni della blockchain.  Tra le molteplici soluzioni offerte dal mercato, è stata scelta YubiHSM2.

“Oggi, un nodo validatore di Commercio.network per svolgere la funzione di firma delle transazioni può usare quindi la soluzione hardware di Yubico YubiHSM2 più il nostro software del nodo open source. YubiHSM2 si è rivelata l’arma vincente perché permette una gestione separata delle chiavi crittografiche garantendo i massimi livelli di sicurezza. “Con Yubico, azienda svedese leader nelle soluzioni di sicurezza, CommercioConsortium.org ha trovato il giusto compromesso fra sicurezza e costo.” afferma Silvia Rachela, Presidente del Consorzio.

La soluzione YubiHSM rappresenta oggi il più piccolo e versatile HSM (Hardware Security Module) al mondo. Offre una protezione avanzata per la chiavi crittografiche, si integra rapidamente con l’hardware di security grazie a toolbox di pubblico dominio con supporto per PKCS#11, permettendone una rapida implementazione.

Dopo aver completato l’implementazione di YubiHSM 2 in un periodo di tempo relativamente breve, Commercio è riuscita a ottenere i risultati attesi molto rapidamente e ha aumentato il livello di fiducia percepito del proprio ecosistema di sicurezza.

“Siamo orgogliosi di essere stati scelti da Commercio per proteggere i componenti chiave del loro progetto, cioè i nodi validatori della loro infrastruttura blockchain” Afferma Olivier Sicco, Sales Manager di Yubico. “YubiHSM2 è stato in grado di offrire tutte le funzionalità richieste, riducendo sensibilmente gli investimenti che sarebbero stati altrimenti necessari con soluzioni HSM tradizionali.

Web Application Security, come viene gestita oggi dalle aziende?

Web Application Security, come viene gestita oggi dalle aziende?

Le aziende combattono continuamente i criminali su molti fronti. Quella della Web Application Security è una guerra a tutto campo che viene gestita contro nemici che sono ben nascosti e rimangono imprevedibili. E la posta in gioco è alta: un attacco efficace in più fasi può paralizzare l’attività o addirittura portarla alla sua completa rovina.

Fortunatamente, la maggior parte delle aziende ora si rende conto che la sicurezza delle applicazioni web è uno dei fronti di guerra più importanti. Le aziende sono consapevoli del fatto che la maggior parte delle proprie risorse si trova già nel cloud o ci arriverà presto, e il cloud è il Web. Sanno che oltre al fattore umano, sono le vulnerabilità del web e le configurazioni errate che di solito lasciano che il nemico si intrufoli e causi il caos dietro le linee di difesa principali, ad esempio diffondendo ransomware.

Ma tutta questa consapevolezza è sufficiente per vincere la guerra?

Acunetix ha collaborato con Dimensional Research per condurre un sondaggio e scoprire quanto efficacemente le aziende gestiscono la sicurezza delle applicazioni web. Sfortunatamente, i risultati non sono così ottimistici.

Abbiamo appreso della reale portata delle metodologie agili. Abbiamo scoperto quante applicazioni web vengono lasciate volutamente insicure e perché. Abbiamo scoperto se le aziende sono in grado di gestire l’afflusso di nuovi problemi di sicurezza.

Potrai trovare tutte le risposte in questo report, oppure contattaci per approfondire l’argomento con i nostri esperti.

Come sono fatte le YubiKey

Come sono fatte le YubiKey

La prima YubiKey è stata prodotta in Svezia nel 2008. Alcuni anni dopo, una parte del nostro team si è trasferita da Stoccolma alla California, e abbiamo ampliato le nostre capacità di produzione in questa parte della costa occidentale degli Stati Uniti.

È stata una scelta consapevole produrre i nostri prodotti nei due paesi democratici vicini ai nostri team di innovazione e ai principali clienti. Per salvaguardare ulteriormente la sicurezza dei nostri prodotti, nell’ultimo decennio abbiamo continuato a fare investimenti lungo l’intera catena di fornitura, riassunti in maggiore dettaglio in questa pagina sulla produzione sicura di Yubico.

Il team di innovazione di Yubico è stato riconosciuto a livello internazionale per la creazione di design di prodotti e protocolli di sicurezza rivoluzionari nel nostro settore. Quello che molti potrebbero non sapere è che abbiamo anche inventato nuovi metodi per la produzione di chiavi USB in un fattore di forma monoblocco.

Un assaggio di come sono realizzate le YubiKey può essere visto in questo video dai nostri principali stabilimenti di produzione in Svezia:

Oggi stiamo lanciando e aumentando la produzione in serie per il nostro quarto dispositivo USB-C, YubiKey 5C NFC. Nel 2016, prima che USB-C fosse comunemente disponibile sui laptop su telefoni Android, abbiamo lanciato la prima chiave di sicurezza USB-C in fattore di forma portachiavi.

Due anni dopo abbiamo introdotto YubiKey C Nano, che è probabilmente il più piccolo autenticatore USB-C del settore mai realizzato. L’anno scorso abbiamo introdotto YubiKey 5Ci, la prima chiave di sicurezza a doppio connettore USB-C e Lightning al mondo. YubiKey 5C NFC è un nuovo membro della famiglia YubiKey.

Dopo ritardi imprevisti dovuti a COVID-19, è finalmente arrivato. Richiesto dai nostri clienti e conforme alle caratteristiche e ai valori fondamentali che significano una YubiKey autentica: qualità, sicurezza, robustezza e usabilità in un design minimalista.

Autore: Stina Ehresvard
Autore: Stina Ehresvard

CEO, Yubico

Stina Ehrensvärd è un’imprenditrice, innovatrice e designer industriale svedese-americana.

È la fondatrice e CEO di Yubico e co-inventore del dispositivo di autenticazione YubiKey. Stina continua a lavorare per realizzare la sua visione di portare FIDO U2F alle masse, avere una sola YubiKey per un numero illimitato di servizi e rendere l’accesso sicuro facile e disponibile per tutti.

Invicti lancia il nuovo programma di Canale dedicato ad Acunetix e Netsparker

Invicti lancia il nuovo programma di Canale dedicato ad Acunetix e Netsparker

L’azienda Invicti aggiunge Netsparker ad Acunetix, nell’offerta del proprio canale e intensifica il supporto globale con un programma unificato.

 

Invicti ha lanciato un nuovo portale unificato, dedicato a supportare i partner di Acunetix e Netsparker, il Programma Partner Invicti include un portale partner rinnovato, un supporto esteso del canale a livello globale e l’espansione dell’offerta per includere Netsparker, la soluzione leader per il DAST (Dynamic Application Security Testing) a livello enterprise.

I partner saranno quindi in grado di vendere entrambi i prodotti ai loro clienti, consentendo una flessibilità ancora maggiore per soddisfarne le esigenze.

Acunetix e Netsparker si sono uniti sotto l’egida di Invicti Security ™ nel 2018.

“Abbiamo fatto investimenti significativi in termini di aumento delle risorse interne per supportare i nostri partner”, ha affermato Kevin Abela, Vice Presidente di Global Channel Sales per Invicti. “I partner qualificati possono trarre vantaggio dai margini pass-through sulle opportunità che negoziamo attraverso di loro, beneficiando al contempo di un maggiore margine per le opportunità create in autonomia e condotte insieme”.

Per supportare i suoi partner su larga scala, l’azienda ha lanciato un portale web automatizzato insieme al nuovo programma per i partner. Il portale consente ai partner di registrare e tenere traccia delle offerte in modo rapido e semplice, creare materiali di marketing personalizzati e accedere a vari materiali di formazione.

“Siamo orgogliosi di offrire attraverso il nostro canale di distribuzione un programma ricco di strumenti, che rende le vendite, l’assistenza e il rinnovo sui nostri prodotti attività più facili e gratificanti per i nostri partner”, ha affermato Abela.

Progettato per soddisfare gli obiettivi e i requisiti unici di ogni partner, il Programma Partner Invicti offre livelli basati sulle esigenze di distributori, rivenditori e partner strategici. Questi livelli offrono ai partner l’accesso alla certificazione, alla registrazione delle opportunità commerciali e a contributi per lo sviluppo del mercato (Market Development Funding o MDF).

“Assistiamo a una crescente domanda di soluzioni di sicurezza, per soddisfare requisiti più severi per la protezione dei dati e la privacy”, è il commento di Fabrizio Bressani, Amministratore Unico di DotForce. “Infatti, un sempre maggior numero di organizzazioni si affidano oggi ad Internet per la gestione del loro business, sviluppando costantemente nuovi portali web, nuove applicazioni, nuovi servizi disponibili esclusivamente online.

In parallelo, Il numero di minacce alla sicurezza informatica legate al web sta aumentando man mano che più contenuti si spostano nel cloud. Questo è quindi il momento ideale per i nostri Clienti per aggiungere alla loro offerta di security le migliori tecnologie del mercato per l’analisi e la gestione delle vulnerabilità web, e le soluzioni DAST di Invicti Security sono lo standard di riferimento nella sicurezza delle applicazioni web per aziende di tutte le dimensioni”.

Informazioni su Invicti Security
Con sede ad Austin, Texas, Invicti Security fornisce la sicurezza delle applicazioni web per le organizzazioni di tutto il mondo. Invicti è stata fondata nel 2018 riunendo Netsparker e Acunetix, due marchi che identificano le vulnerabilità del Web per prevenire costose violazioni dei dati e altri incidenti di sicurezza. Netsparker è l’unica soluzione per la sicurezza delle applicazioni web che fornisce la verifica automatica delle vulnerabilità con la sua tecnologia proprietaria Proof-Based Scanning ™. Questa tecnologia per la sicurezza delle applicazioni Web identifica le vulnerabilità sin dalle prime fasi di sviluppo dell’applicazione fino alla produzione. Conosciuto per la sua velocità e precisione, Acunetix è un leader globale nella sicurezza web e il primo scanner di sicurezza per applicazioni web automatizzato. Società privata, Invicti è sostenuta da Turn / River Capital.

Yubico annuncia il suo Programma di Canale per l’Italia

Yubico annuncia il suo Programma di Canale per l’Italia

Il fornitore di chiavi di sicurezza per l’autenticazione hardware, Yubico, annuncia il suo programma di Partner di canale per l’Europa che sarà in vigore in Italia. Il programma verrà implementato con il supporto di DotForce come distributore nazionale. Per rafforzare questo programma, nomina anche Fabio Cichero a capo dei partner in Spagna, Portogallo e Italia.

“Con i suoi prodotti, Yubico sta rendendo possibile il raggiungimento dell’obiettivo finale di eliminare completamente l’uso di password statiche, e con la dedizione di Fabio alla nostra regione, prevediamo che la forte crescita che abbiamo vissuto negli ultimi tre anni con Yubico aumenterà anche di più”, Commenta Fabrizio Bressani, CEO di DotForce per l’Italia

Tutte le operazioni con i rivenditori in Italia, Portogallo e Spagna sono canalizzate attraverso DotForce, il distributore regionale a valore aggiunto di Yubico.

Il programma Yubico Channel Partner è progettato per facilitare la formazione e la promozione di soluzioni di Strong Authentication hardware YubiKey. Con l’introduzione di tre nuovi livelli di Partnership – Authorized, Certified e Certified Gold -, il Programma rafforza i rapporti con i distributori esistenti e trasferisce competenze ai partner di canale, permettendo loro di soddisfare le crescenti richieste del mercato con diversi servizi di formazione e supporto.

Il nuovo manager
Nel suo nuovo ruolo, Fabio Cichero giocherà un ruolo chiave nel supportare e formare i partner di canale di Yubico nella regione, oltre a contribuire alla crescita del business dei Partner con i loro clienti finali. In questo senso il nuovo manager commenta:

“Le password statiche sono state a lungo la soluzione standard per proteggere le informazioni sensibili e gli account da accessi non autorizzati, ma il numero crescente di violazioni dei dati causate dal furto di credenziali ci mostra che dobbiamo smettere di fare affidamento sulle password statiche per proteggere le credenziali. Non vedo l’ora di aiutare i nostri partner a fornire un’autenticazione forte ai loro Clienti”.

Il programma Yubico Channel Partner è personalizzato per soddisfare i requisiti di aziende di tutte le dimensioni e profili, contribuendo a semplificare il processo di onboarding per i nuovi distributori. In base alle prospettive di vendita, i partner Yubico sono classificati in tre livelli: Authorized, Certified e Certified Gold. I rispettivi vantaggi basati su livelli vanno dall’accesso a materiali e risorse di formazione, supporto aziendale dedicato e attività di marketing congiunte.

“Abbiamo introdotto il programma Yubico Channel Partner per raggiungere due obiettivi: aiutare le aziende che necessitano di solide soluzioni di autenticazione a identificare facilmente il miglior partner locale per i loro progetti e incentivare i partner Yubico esistenti diventare esperti nella nostra tecnologia “, ha affermato Oliver Sicco, Channel Sales Director, EMEA, Yubico. “Vogliamo essere certi che i clienti ricevano un supporto di prim’ordine, sia prima che dopo l’acquisto.”

Per registrare la propria azienda al Partner Program Yubico clicca qui

 

About Yubico
Yubico è stata fondata in Svezia nel 2007 con la missione di rendere il login sicuro facile e disponibile per tutti. Nel 2011, Stina, CEO e fondatore e Jakob, CTO, si sono trasferiti nella Silicon Valley per realizzare il sogno. In stretta collaborazione con le principali società di Internet e leader di pensiero, è stato creato il supporto nativo per le YubiKey nelle principali piattaforme e browser online, consentendo una connessione Internet più sicura per miliardi di persone. Oggi, il team Yubico è situato in 7 paesi e le Yubikey, prodotte in Svezia e negli Stati Uniti, hanno conquistato la fiducia delle più grandi imprese e milioni di utenti in tutto il mondo. Yubico cambia le regole del gioco per la strong authentication, offrendo sicurezza di livello superiore insieme a una facilità di utilizzo ineguagliata. Il prodotto principale, la YubiKey, è un piccolo dispositivo USB e NFC che supporta numerosi protocolli crittografici e di autenticazione e che garantisce l’accesso a qualsiasi numero di sistemi IT e servizi online. Con un semplice tocco, la YubiKey protegge l’accesso a computer, reti e servizi online per le più grandi organizzazioni del mondo. Yubico crea standard universali come principale contributore al protocollo aperto di autenticazione a due fattori FIDO Universal. La tecnologia Yubico è apprezzata da milioni di utenti in oltre 160 nazioni. Per proteggere i segreti sui server, Yubico ha creato anche YubiHSM2, il modulo di sicurezza hardware più piccolo al mondo. L’azienda offre agli sviluppatori server open source, supporto e servizi di validazione in hosting per una facile integrazione con qualsiasi sistema IT.

Web System Hardening in 5 semplici mosse

Web System Hardening in 5 semplici mosse

Il System Hardening di un sistema informatico o web significa rendere più difficile l’attacco di un hacker malintenzionato. In termini formali, l’hardening del sistema significa, in maniera semplice, ridurre la superficie di attacco, cioè la combinazione di tutti i punti in cui un attaccante può colpire.

Molti sistemi hanno una superficie di attacco molto ampia di default. Questo perché viene installato molto software con troppe autorizzazioni e quante più funzioni possibili. L’hardening del sistema, quindi, si basa essenzialmente su alcune operazioni di scrematura.

In questa breve guida all’hardening, esamineremo 5 mosse di un processo di hardening che è possibile eseguire come amministratore di un server che ospita applicazioni Web.

 

Passaggio 1. Hardening del sistema operativo

Il livello base dell’hardening del sistema si occupa della sicurezza del sistema operativo.

Un sistema operativo rinforzato consente di evitare molte minacce alla sicurezza .

Per rafforzare il sistema operativo del server:

  • Disinstallare tutto il software non necessario. Ogni programma può presentare una potenziale vulnerabilità che può consentire all’attaccante di intensificare l’attacco . Ciò include, ad esempio, anche compilatori / interpreti non necessari, poiché possono consentire all’attaccante di creare reverse shell .
  • Rimuovere tutti gli account utente non necessari e assicurarsi che gli account utente utilizzati per eseguire i servizi non dispongano di privilegi eccessivi. Ad esempio, se si utilizza un account utente per eseguire il proprio server Web, potrebbe non essere necessario l’accesso alla shell e questo account dovrebbe avere privilegi minimi.
  • Per evitare accessi non autorizzati, richiedere password complesse come parte del controllo degli accessi (ma non richiedere modifiche regolari della password – tali pratiche sono risultate meno sicure) o utilizzare l’autenticazione basata su chiave.
  • Attiva la registrazione dettagliata se puoi permetterti le risorse. Più dettagli hai nei tuoi registri, più facile sarà analizzare i registri dopo un attacco.
  • Abilita il patching automatico del sistema operativo o abilita le notifiche delle patch. Le patch di sicurezza sono di fondamentale importanza e installarle automaticamente è più sicura.

Si noti che i suggerimenti generali sopra riportati si applicano a tutti i sistemi operativi: Linux / UNIX, Microsoft Windows, macOS e tutti gli altri. Tuttavia, casi specifici possono applicarsi a sistemi specifici. Ad esempio, su Windows, potresti voler concentrarti sui criteri di gruppo.

 

Passaggio 2. Hardening della rete

La protezione della rete si estende oltre il server e spesso include dispositivi di rete aggiuntivi. Tuttavia, a livello del server che stai gestendo, ci sono già molte cose che puoi fare per migliorare la sicurezza della rete. Per rafforzare le connessioni di rete sul server:

  • Chiudere e disinstallare tutti i servizi non necessari se non vengono utilizzati su questo server. Ad esempio, FTP, telnet, POP / SMTP e altro. Ciò ti consentirà di eliminare tutte le porte di rete aperte non necessarie.
  • Applicare regole firewall rigide. Se si tratta di un server Web dedicato, assicurarsi che le uniche connessioni in entrata consentite siano connessioni Web e potenzialmente amministrative (ad es. SSH).
  • Se puoi permetterti le risorse, monitora le connessioni in uscita per potenziali inverse shell.

Molto hardening della rete è già fatto quando si rafforza il sistema operativo. Tuttavia, se non si è l’unica persona con accesso al server, è una buona idea proteggersi da qualcun altro utente che potrebbe apre connessioni di rete non sicure.

Passaggio 3. Hardening del server Web

Poiché supponiamo che per questo processo la funzione principale del server sia l’hosting di applicazioni Web, è necessario concentrarsi sull’hardening del software del server Web.

Per rafforzare il tuo server web:

  • Rimuovere tutti i moduli server Web non necessari. Molti server Web per impostazione predefinita sono dotati di diversi moduli che introducono rischi per la sicurezza.
  • Modifica le impostazioni di configurazione predefinite. Ad esempio, molti server Web supportano i vecchi protocolli SSL / TLS nelle loro impostazioni predefinite. Ciò significa che il tuo server è vulnerabile ad attacchi come BEAST o POODLE .
  • Attiva protezione aggiuntiva per le applicazioni web. Ad esempio, introdurre una politica di sicurezza dei contenuti (CSP).
  • Installa ed esegui un firewall per applicazioni Web (WAF). La maggior parte dei server Web supporta il firewall ModSecurity open source.
  • Se possibile, aggiorna automaticamente il software del server patch all’ultima versione o attiva le notifiche per il patching manuale.

Abbiamo anche guide dettagliate per rafforzare i server Web più popolari:

Passaggio 4. Hardening delle applicazioni Web

Conoscendo già un po ‘ la sicurezza web in generale , è noto che la maggior parte delle vulnerabilità del web sono il risultato di errori nelle applicazioni web, non nei software sottostanti (come server web o sistemi operativi). Pertanto, questo è il passo più importante.

Per rafforzare le applicazioni Web:

  • Scansionare regolarmente tutte le tue applicazioni web usando uno scanner di vulnerabilità web . Eliminare tutte le vulnerabilità il prima possibile. Il modo migliore per farlo è scansionare le applicazioni in fase di sviluppo, ad esempio usando Jenkins .
  • Eseguire ulteriori test di penetrazione. Mentre uno scanner di vulnerabilità rileva la maggior parte delle vulnerabilità di sicurezza, i pentester saranno in grado di trovare quelli che non sono rilevabili automaticamente. I pentest e la scansione delle vulnerabilità devono essere considerate come attività complementari, non alternative.
  • Aggiungere regole temporanee al firewall dell’applicazione Web se ci sono vulnerabilità che non si possono eliminare immediatamente.

Sebbene non faccia parte dell’hardening, la codifica sicura è molto importante per la sicurezza delle applicazioni web. Pertanto, se la tua organizzazione lo promuove, avrai meno vulnerabilità di cui preoccuparti.

Passaggio 5. Hardening continuo

La cosa più importante da capire sull’hardening è che si tratta di un processo continuativo. È necessario eseguire regolari controlli di rafforzamento del sistema per assicurarsi che la configurazione di sicurezza sia aggiornata, che tutte le misure di sicurezza siano ancora in atto e che non vi siano nuove minacce alla sicurezza delle informazioni. Tali nuove minacce possono provenire da altri utenti del server, dagli sviluppatori di applicazioni Web o semplicemente a causa di vulnerabilità rilevate nel software esistente.

Fortunatamente, parte del processo può essere automatizzata. Ad esempio, è possibile utilizzare il software di gestione delle patch per assicurarsi che il software chiave sia sempre aggiornato. È inoltre possibile eseguire scansioni pianificate utilizzando uno scanner di vulnerabilità Web per assicurarsi che le applicazioni Web nuove e aggiornate non introducano minacce alla sicurezza informatica.

Il modo migliore per farlo è quello di mantenere una checklist di hardening, che crei inizialmente con il tuo primo esercizio di hardening e poi modifichi mentre scopri nuovi modi per rendere il tuo sistema meno soggetto agli attacchi.

Scopri come Acunetix può aiutarti.

Lo Smart Working e le preoccupazioni della Privacy

Lo Smart Working e le preoccupazioni della Privacy

Mentre la pandemia di coronavirus ha costretto milioni di persone a rimanere a casa negli ultimi due mesi, alcuni hanno lavorato, altri no. Ci sono diverse applicazioni tra cui scegliere che consentono il VoIP, compresi i video: Zoom, GoToMeeting, Skype e molti altri. In particolare, la popolarità di Zoom è salita alle stelle quando è diventato il servizio di videoconferenza preferito per uso personale e aziendale. La piattaforma ha visto i partecipanti alla riunione quotidiana salire a 300 milioni di partecipanti alla riunione giornaliera in aprile. Man mano che Zoom e altri software di comunicazione aumentano, gli hacker hanno trovato il modo di sfruttare le vulnerabilità.

Zoom CVE – Tutto da XSS a Remote Code Execution

Il software Zoom non è nuovo, ma la sua popolarità dopo i blocchi COVID lo ha messo sulla mappa come vettore di attacco. Quando vengono rilevate vulnerabilità nel software, vengono pubblicate come vulnerabilità comuni ed esposizioni (CVE) in modo che lo sviluppatore possa risolvere il problema. Nel 2020 sono stati pubblicati diversi Zoom CVE , con i peggiori nel 2020 che hanno consentito a un utente malintenzionato di assumere il controllo del microfono e della videocamera dell’utente. Altri CVE del 2019 precedenti indicavano che un utente malintenzionato poteva avviare il codice remoto sul dispositivo di un utente di destinazione, iniettare codice XSS (cross site site scripting) e aumentare i privilegi su un computer remoto.

Con l’accesso alla videocamera e al microfono di un utente, un utente malintenzionato può ascoltare le conversazioni e ottenere dati privati ​​dai dipendenti dell’organizzazione. Questo problema consentirebbe lo spionaggio aziendale o divulgherebbe dati sulla proprietà intellettuale privata. I governi e altre grandi organizzazioni hanno utilizzato Zoom per collaborare, quindi le implicazioni delle vulnerabilità di Zoom possono essere enormi.

Il problema con Zoom mostra l’importanza di scegliere il software giusto per le funzioni di lavoro. Sebbene l’azienda possa utilizzare software specifici, gli utenti sui propri dispositivi installeranno applicazioni casuali e lo utilizzeranno per motivi personali. Ciò comporta maggiori rischi per i dati delle organizzazioni qualora vengano archiviati e utilizzati sul dispositivo personale di un utente. Il software di conferenza vulnerabile è solo un vettore di attacco che potrebbe essere utilizzato per intercettare dati e ascoltare strategie intellettuali durante le riunioni.

Brute Force ID

Quando un appuntamento per conferenze online è impostato in Zoom, viene generato un ID casuale contenente da 9 a 11 cifre. Creando una lunghezza fissa, i numeri possono essere forzati. Gli ID di forzatura bruta implicano “indovinare” il numero giusto eseguendo script che ripetono le possibilità fino a quando non viene trovato quello giusto.

Dopo aver ottenuto un ID, gli aggressori possono partecipare a una riunione Zoom e ascoltare le conversazioni. Gli aggressori possono anche inviare messaggi ai partecipanti, inclusi collegamenti malevoli. Poiché Zoom ti chiede di identificarti prima di unirti, l’attaccante può anche fingere di essere qualcuno legato all’organizzazione.

Oltre alle vulnerabilità agli attacchi di forza bruta , l’azienda ha anche pubblicizzato la crittografia end-to-end, che è stata giudicata falsa. Zoom utilizza la crittografia di trasporto, che protegge i dati quando vengono trasferiti ma non sul dispositivo locale. Questo problema lascia i dati vulnerabili su consiglio locale dell’utente, inclusi smartphone su iOS e Android.

Il CEO di Zoom Eric Yuan ha ammesso che Zoom non è mai stato concepito come un’applicazione di comunicazione su larga scala. Era pensato per incontri veloci tra singoli individui ed è una piattaforma gratuita per una semplice collaborazione. Il suo aumento di popolarità è il motivo principale per cui è diventato un bersaglio per gli aggressori, ma Zoom deve affrontare diverse cause legali a causa della sua scarsa sicurezza informatica, comprese le violazioni del Consumer Privacy Act della California. Zoom ha annunciato aggiornamenti di sicurezza in risposta a queste vulnerabilità.

Protezione dei dati aziendali

Poiché i dipendenti continuano a lavorare da casa, le organizzazioni devono comunque proteggere i dati dei clienti. Questo può essere difficile quando gli utenti sono a casa e usano i propri dispositivi. Esistono molti altri strumenti di collaborazione e applicazioni VoIP disponibili e, per comunicazioni altamente sensibili, le informazioni dovrebbero essere utilizzate con software sicuro con crittografia end-to-end reale. L’uso di diversi software di comunicazione non è l’unico passo che puoi fare per proteggere i dati.

In molti dei recenti exploit, gli aggressori inviano agli utenti collegamenti dannosi per indurli a divulgare dati, comprese le credenziali private. Puoi addestrare gli utenti a essere sempre consapevoli dei pericoli del phishing e verificare la legittimità dei collegamenti prima di inserire le credenziali dell’utente. Invece di fare clic sui collegamenti, è meglio digitare il sito Web direttamente nel browser prima di inserire credenziali e informazioni private.

filtri di posta elettronica dell’azienda possono bloccare collegamenti malevoli e documenti allegati, riducendo i rischi di phishing. Se gli utenti si connettono alla rete locale da casa e utilizzano la connettività Internet aziendale, l’organizzazione può anche utilizzare il filtro DNS per bloccare collegamenti dannosi. Il filtro DNS impedisce agli utenti di accedere a questi siti dannosi eseguendo una ricerca sul DNS del sito e bloccandoli qualora vengano trovati in una lista nera.

La formazione dell’utente e la giusta sicurezza informatica via e-mail impediscono agli utenti di aprire siti dannosi. Se la tua organizzazione utilizza una forma di comunicazione non sicura, è tempo di valutare la tua attuale soluzione VoIP e trovarne una che protegga completamente gli utenti dagli aggressori.

TitanHQ si impegna a fornire e-mail e Internet sicuri e sicuri per i nostri clienti, partner e i loro utenti, ora più che mai. Ti preghiamo di contattarci,  facci sapere come possiamo supportare al meglio i tuoi sforzi in questo momento difficile.

InsightVM di Rapid7 riceve 5 Stelle da SC Magazine

InsightVM di Rapid7 riceve 5 Stelle da SC Magazine

Siamo orgogliosi di annunciare che la soluzione InsightVM di Rapid7 è stata recentemente recensita dalla rivista SC Magazine, ricevendo un punteggio di cinque stelle. Nell’ambito di una revisione indipendente, gli analisti di SC Magazine hanno valutato InsightVM in queste sei aree:

Punti salienti della recensione

Punti di forza complessivi

InsightVM è stato riconosciuto per la sua forza sulla Threat Intelligence. InsightVM offre una visibilità senza pari necessaria per rilevare, stabilire le priorità e correggere le vulnerabilità. Secondo SC Magazine, l’intera piattaforma è facile da usare e navigare e viene dotata di un’ampia documentazione.

Caratteristiche di visibilità

SC Magazine è rimasta colpita dai motori di scansione, dagli agenti e dalle integrazioni di InsightVM, in grado di analizzare i dati delle risorse e valutare le vulnerabilità in un modo che nessun’altra soluzione sul mercato offre. Le vulnerabilità possono essere analizzate in base a policy, standard di conformità e configurazioni particolari, offrendo visibilità e supporto per la valutazione del rischio, la definizione delle priorità e la remediation.

Facilità di installazione

SC Magazine ha segnalato la facilità di installazione dovuta in gran parte alle istruzioni chiare e ad un processo di onboarding intuitivo. La redazione ha anche osservato come la creazione di attività di scansione fosse intuitiva e con la possibilità di scegliere tra una varietà di opzioni.

Cruscotti

SC Magazine ha riscontrato che la dashboard di InsightVM è intuitiva, pulita e moderna, facilitandone la lettura e la comprensione agli utenti. Grazie a una dashboard personalizzabile pre-costruita e basata su widget, i team possono creare una vista che fornirà loro la massima visibilità e capacità di agire.

Punteggio di Rischio

Componente fondamentale della gestione delle vulnerabilità, Rapid7 sfrutta un punteggio di rischio reale basato sull’apprendimento automatico , offrendo una gamma più ampia di rischi per una migliore definizione delle vulnerabilità. InsightVM assegna anche un tag critico ai problemi che richiedono attenzione immediata in modo che i problemi gravi vengano sollevati e possano essere risolti rapidamente, non mescolati con allarmi falsi positivi o problemi di priorità inferiore.

Patching automatizzato

SC Magazine è rimasta colpita dalle capacità di patch assistite dall’automazione di InsightVM , che riducono drasticamente il tempo necessario per implementare una patch, pur consentendo il processo decisionale umano prima della distribuzione. Una volta identificato il problema, Rapid7 si integra con strumenti di patching di terze parti come BigFix e SCCM per creare e implementare patch. Da lì, gli amministratori possono scegliere di distribuire le patch automaticamente o manualmente, il che significa che i punti decisionali umani possono essere integrati in modo intelligente nel processo.

Reportistica

SC Magazine ha anche messo in evidenza le capacità di reporting di InsightVM . Descritte come pulite, organizzate e intuitive (una parola che ha permeato l’intera recensione), sono state in grado di visualizzare rapidamente e facilmente visualizzazioni diverse e condividere report specifici con i team appropriati.

Per vedere la recensione completa, clicca qui . 

Grazie a SC Magazine per una brillante recensione di InsightVM!

DotForce lancia il Network as a Service di Perimeter 81

DotForce lancia il Network as a Service di Perimeter 81

Un modo rapido e semplice per creare una rete privata protetta su reti pubbliche per le organizzazioni che soffrono di VPN aziendali sovraccariche e non sicure

Milano, 14 maggio 2020 – DotForce, distributore a valore aggiunto di tecnologie innovative per l’ottimizzazione dell’IT e la protezione informatica, annuncia la disponibilità in Italia delle soluzioni di Network as a Service di Perimeter 81. Questo servizio è gestito nel cloud e può essere impostato in pochi minuti. Non è necessario acquistare alcun hardware aggiuntivo. Richiede solo l’installazione di un agent leggero sui dispositivi degli utenti, siano essi Windows, MacOS, Android o iOS.

Il Software Defined Perimeter (SDP) di Perimeter 81 crea una rete privata protetta utilizzando Internet pubblico per ciascuna organizzazione. Completa o sostituisce le reti private virtuali (VPN) vecchio stile esistenti che soffrono di problemi di prestazioni e sicurezza. Gli utenti possono spostarsi in modo trasparente da una rete pubblica a un’altra senza la necessità di ristabilire la connessione, indipendentemente dal tipo di rete.

Perimeter 81 può persino imporre che gli utenti si connettano tramite Perimeter 81 quando utilizzano reti WiFi pubbliche o domestiche. Troppo spesso le organizzazioni sacrificano la sicurezza consentendo agli utenti di connettersi alle risorse aziendali su reti pubbliche al fine di ridurre al minimo l’impatto sulla produttività.

Per molte organizzazioni, l’improvviso aumento imprevisto del telelavoro significa che devono assicurarsi che i dipendenti non siano limitati da colli di bottiglia della rete che potrebbero influire sulla produttività, ma devono anche garantire allo stesso tempo la sicurezza delle loro reti e informazioni aziendali.

Secondo Fabrizio Bressani, CEO di DotForce, “Perimeter 81 nasce per risolvere le sfide che le aziende e il settore pubblico devono affrontare per adattarsi e reagire rapidamente ai costanti cambiamenti dell’ambiente di lavoro e della trasformazione digitale. Oggi è necessario essere in grado di rispondere in tempo reale a nuovi modi di lavorare. “

“La collaborazione con DotForce è un enorme valore aggiunto per noi. DotForce ci ha dimostrato che comprende chiaramente le sfide che le organizzazioni si trovano ad affrontare nel nostro mondo in continua evoluzione, ma ancora più importante, come aiutare le organizzazioni ad affrontare tali sfide “, ha commentato Jim Finnerty, Channel Partner Manager di Perimeter 81.

Le VPN tradizionali non forniscono la visibilità, la capacità di controllo e di ispezione delle minacce necessarie per proteggere efficacemente la rete. Per fortuna, il Software Defined-Perimeter di Perimeter 81 offre una soluzione di accesso alla rete consolidata e sicura grazie all’utilizzo delle più avanzate tecniche di crittografia, con controllo degli accessi e autenticazione opzionale a due fattori.

La trasformazione digitale sta cambiando non solo i nostri sistemi e reti IT, ma anche il nostro modo di lavorare e relazionarci con i nostri clienti e il pubblico. La maggior parte dei lavoratori e dei subappaltatori accede alle informazioni aziendali per almeno una parte della giornata tramite reti pubbliche. Le VPN aziendali tradizionali non sono facilmente scalabili, poiché richiedono aggiornamenti o l’acquisto di nuovo hardware. Inoltre, non sono stati progettate per funzionare nel cloud e negli ambienti ibridi e, soprattutto, presentano lacune di sicurezza.

A partire dal 2018, Perimeter 81 ha rapidamente guadagnato quote di mercato nei mercati del Software Defined Perimeter e Network as a Service e sta trasformando il modo in cui proteggiamo reti, applicazioni e dati. Perimeter 81 è stato nominato Gartner Cool Vendor, ha vinto numerosi premi per la sicurezza informatica e detiene un brevetto di sicurezza Wi-Fi automatico.

Il Network as a Service di Perimeter 81 è una soluzione multitenant, progettata in modo che le organizzazioni possano avere reti dipartimentali e che i fornitori di servizi gestiti (MSP) possano servire più clienti dalla stessa piattaforma. Perimeter 81 offre una garanzia di rimborso di 30 giorni.

 

Informazioni su Perimeter 81

Perimeter 81 è una rete sicura come un servizio Zero Trust che semplifica la sicurezza della rete per la forza lavoro moderna e distribuita. Con sede a Tel Aviv, il cuore della nazione startup e un hub globale per lo sviluppo di tecnologie innovative, Perimeter 81 è stata fondata da due ex-alunni di intelligence d’élite IDF, il CEO Amit Bareket e CPO Sagi Gidali. I clienti di Perimeter 81 spaziano dalle piccole aziende alle aziende Fortune 500 in vari settori e i suoi partner sono tra i principali integratori, fornitori di servizi gestiti e rivenditori di canali al mondo. All’inizio dell’anno scorso, Gartner ha scelto Perimeter 81 come Cool Vendor per la sicurezza delle reti e dei sistemi informatici. Per ulteriori informazioni, visitare www.perimeter81.com

 

Informazioni su DotForce

DotForce è stata fondata nel 2006 con l’obiettivo di rendere disponibili le tecnologie e le competenze necessarie per proteggere la sicurezza e la privacy di persone, dati e applicazioni in un mondo IT mobile, sempre connessi e in continua evoluzione. Facendo leva su un portafoglio Cyber ​​Technology completo e integrato, DotForce è il distributore a valore aggiunto di riferimento per tutti gli operatori professionali (rivenditori, VAR, integratori di sistema, fornitori di servizi) che desiderano offrire ai propri clienti Enterprise soluzioni di sicurezza e gestione IT all’avanguardia, che indirizzano necessità attuali e future, migliorano la produttività e riducono costi – con il Cloud come grande driver infrastrutturale.

Contatti DotForce

Fabrizio Bressani
Managing Director
Via S. Anna 41
20090 Vimodrone (MI)
fabrizio.bressani@dotforce.it  Tel. +39 02 36735520

Contatti per la stampa
COMPETITION SRL
Samanta Fumagalli
samanta.fumagalli@competitionsrl.com
info@samantafumagalli.com | Tel. 320.9011759

 

5 consigli da Netwrix per il Work From Home Sicuro

5 consigli da Netwrix per il Work From Home Sicuro

5 consigli di Netwrix per aiutarti ad individuare gli aggressori e rafforzare la sicurezza nell’odierna realtà “Work From Home”

1) Rileva gli attacchi di forza bruta in corso

Gli attacchi “brute force” sono una tipologia di attacchi utilizzati per ottenere l’accesso alla tua infrastruttura, semplicemente trovando le credenziali corrette. È solo una questione di tempo prima che questi tentativi malevoli abbiano successo, non importa quanto siano forti i criteri per le password. Man mano che un numero sempre maggiore di dipendenti lavora da casa, il numero di tentativi di accesso alla propria infrastruttura IT aumenta, consentendo agli aggressori di integrarsi e passare inosservati, pertanto, è necessario essere in grado di monitorare i tentativi di accesso riusciti e non riusciti per permettere di individuare le minacce.

Netwrix Auditor ti consente di registrare gli attacchi brute force in corso, rilevando tutti gli account che hanno tentato di accedere da diversi endpoint in un breve periodo di tempo, nonché più tentativi di accesso falliti da parte di qualsiasi account, uno dei quali può indicare un attacco automatizzato.

2) Proteggi i server ADFS, VPN e proxy

I tuoi server sono sensibili agli attacchi oggi più che mai, poiché i dipendenti che lavorano da casa accedono a loro da nuovi dispositivi e tunnel VPN per rimanere produttivi. Inoltre, il carico sui server che supportano ADFS, VPN, proxy e altri servizi critici è notevolmente aumentato, è necessario quindi assicurarsi che gli hacker non possano accedere a tali macchine e sfruttare vulnerabilità note per aggirare le restrizioni di sicurezza.

Netwrix Auditor può aiutarti a trovare rapidamente tutte le debolezze della tua configurazione nota, come la mancanza di aggiornamenti del sistema operativo, antivirus obsoleti o software dannoso, in modo da poterli correggere prima che gli hacker possano usarli.

 
 
 
 
 

3) Individuare tentativi di privilege escalation

Una tattica di infiltrazione comune è quella di compromettere un account utente e quindi elevare i privilegi di tale account per ottenere l’accesso ai dati sensibili. Gli attaccanti intelligenti fanno un ulteriore passo avanti, rimuovendo successivamente l’account dal gruppo privilegiato per coprire le loro tracce.

Netwrix Auditor può avvisarti ogni volta che gli utenti vengono aggiunti a uno dei tuoi gruppi privilegiati in modo che tu possa immediatamente verificare se la modifica è stata autorizzata. Inoltre, può generare un report degli account che sono stati temporaneamente membri di gruppi privilegiati, permettendoti di individuare rapidamente un’intrusione, analizzarla e rispondere in modo appropriato.

4) Rileva l’attività dei ransomware nelle sue fasi iniziali

L’attuale pandemia ha aumentato le probabilità che le persone vengano ingannate dagli hacker, che hanno escogitato campagne di phishing per sfruttare l’ansia e l’incertezza di oggi. Abbiamo già visto un aumento delle e-mail di phishing relative a COVID-19 e anche il ransomware è tornato in prima pagina. Con i criminali che inventano costantemente modi sempre più sofisticati per propagare i cripto-ransomware, devi presumere che prima o poi, in un modo o nell’altro, dovrai essere pronto ad affrontare questa minaccia.

Netwrix Auditor ti consente di impostare alerts threshold-based, per avvisarti immediatamente di attività che indicano un attacco malware in corso, come la modifica di un numero elevato di file in breve tempo, in modo da poter agire subito ed evitare che si diffonda, crittografando tutti i dati che può raggiungere o, ancora meglio, puoi integrare degli script a questi avvisi per automatizzare la risposta e contenere ancora più velocemente questi attacchi.

5) Identifica account compromessi

Con tutti i lavoratori che stanno cercando di adattarsi alla nuova realtà del “Work From Home”, il numero di eventi anomali nei sistemi IT è probabilmente aumentato notevolmente, portando la soglia di allarme a un livello completamente nuovo. Hai così tante anomalie da gestire in questo momento che è essenziale avere una visione chiara e unificata di tutti i comportamenti nella tua infrastruttura per consentirti di individuare velocemente account compromessi evitandoti di perder tempo stando dietro ai falsi positivi.

La dashboard di Netwrix Auditor’s Behavior Anomaly Discovery, aggrega tutti gli alert generati ​​da ciascun account e fornisce un elenco prioritario di tutti gli utenti che si comportano in modo anomalo. In pochi clic, puoi eseguire il drill-down e scoprire se un account è stato compromesso o se il legittimo proprietario dell’account sta semplicemente generando alert per errore.

Richiedi una prova gratuita o una demo personale