La scelta degli Hardware Security Module (HSM) dipende dall’applicazione specifica per cui viene utilizzato. Qui elenchiamo alcune raccomandazioni generali, delineando un elenco di criteri potenziali da considerare, indipendentemente da quale sia l’utilizzo dell’HSM.
Quali servizi di implementazione offre il fornitore?
Nell’analizzare vari fornitori di HSM, vale la pena considerare il loro portfolio e l’assistenza durante l’implementazione. Prima di tutto, assicurati che un fornitore offra una vasta gamma di soluzioni HSM e supporti tutti i tipi di applicazioni. Una vasta gamma di applicazioni generiche e di pagamento ti consente di supportare qualsiasi combinazione di opzioni firmware e software su diversi modelli di distribuzione (on-premises, cloud e ibridi). Ciò ti aiuterà a scegliere una soluzione che soddisfi le esigenze della tua azienda.
Lo sapevi? L’ultima valutazione competitiva OEM dei Moduli di Sicurezza Hardware di ABI Research ha designato Utimaco come il ‘Top Implementer’ nel mercato degli HSM. Il portfolio di Utimaco offre la gamma più completa e diversificata di soluzioni, servendo tutti i tipi di applicazioni, a tutti i livelli di prezzo (dall’entry-level al top di gamma) e in vari fattori di forma. Secondo il rapporto, ‘ciò è possibile perché Utimaco ha lavorato partendo dalla base di costruire una piattaforma hardware uniforme su cui possono essere aggiunte varie (e multiple) pile firmware e opzioni software, che includono API pronte per il cloud’.
Fattori tecnici
Considera quanto segue:
Prestazioni – Guarda i fattori di prestazione per ciascun tipo di HSM, ma concentrati specificamente sul tuo caso d’uso: crittografia/decrittografia/generazione/chiusura di chiavi/firme, simmetrica, asimmetrica, EC, ecc. Chiedi dati di prestazione reali, ad esempio per un HSM connesso in rete, informazioni sulla configurazione di rete o per le schede integrate, informazioni sulle specifiche rilasciate dopo il bus PCIe.
Scalabilità – Quali sono i fattori limitanti in termini di scalabilità, in relazione alla tua applicazione? Hai bisogno di un numero definito di chiavi memorizzate all’interno dell’HSM? Come potresti aggiungere un altro HSM? Quanto sarebbe facile farlo?
Ridondanza – Cosa succede se un HSM si guasta? Quanto influirebbe ciò sulle tue operazioni? Quanto sarebbe facile sostituirlo senza perdita di servizio, ecc.
Backup – Come vengono eseguiti i processi di backup e ripristino? Quanto sforzo richiederebbe per la tua organizzazione implementare questi processi? Sei in grado di evitare la perdita irreversibile dei tuoi dati?
Supporto API – L’API è il collegamento con il tuo ambiente Application-Host. Ecco alcuni suggerimenti per gestire le domande sulle API supportate:
Microsoft MS CSP/CNG: L’API “standard” di Microsoft è il modo più semplice per connettersi a un HSM quando si utilizza Windows;
JCE: Lo sviluppatore Java “standard”.
PKCS#11: Lo “standard industriale”, ma ci sono alcune insidie come noti problemi di sicurezza ed estensioni proprietarie del fornitore. ATTENZIONE: Le estensioni o meccanismi proprietari del fornitore sono estensioni specifiche del caso d’uso dell’API e non fanno parte dello standard PKCS#11. Ciò aumenterà i costi quando si cambia fornitore
Software e assistenza
Scegli l’API compatibile con il tuo caso d’uso e sistema operativo. Se stai usando un sistema operativo Microsoft, scegli CNG. Se stai utilizzando un’applicazione che supporta PKCS#11, scegli PKCS#11. Chiedi orientamenti sull’integrazione o guide su come fare.
Supporto OS/hardware – Questo richiede di prendere in considerazione diverse questioni. La prima è: quali sistemi operativi sono supportati dalla scheda integrata (PCIe-Driver)? Un’altra questione: quali sistemi operativi sono supportati dall’HSM connesso in rete? Inoltre: quale sistema operativo è supportato dagli strumenti di gestione, ad esempio GUI/linea di comando?
Gestione – L’HSM può essere gestito a distanza? Quali funzioni possono essere attivate e controllate a distanza?
Programmabilità – La maggior parte del tuo sviluppo sarà dall’altra parte delle API, ma a volte può essere utile avere la possibilità di scrivere applicazioni che girano sul dispositivo, per una maggiore flessibilità o velocità e per specificare la tua API.
Sicurezza fisica – Chiediti quanto sia resistente a un attacco fisico diretto la tua soluzione. Se, per qualsiasi motivo, ritieni che sia particolarmente importante, potresti voler cercare “rilevamento e risposta attiva all’effrazione”, oltre che semplice “resistenza e prova passiva all’effrazione”. In alternativa, in termini di FIPS 140-2, cerca la sicurezza fisica di livello 4 FIPS 140-2 o attieniti al convenzionale livello 3 FIPS 140-2.
Algoritmi – L’HSM supporta l’algoritmo crittografico che desideri utilizzare, tramite l’API selezionata (primitive, modalità di funzionamento e parametri, ad esempio curve, dimensioni delle chiavi)?
Opzioni di autenticazione – password; quorum; n-fattori; smart card; ecc. Almeno dovresti cercare qualcosa che richieda una dimensione del quorum configurabile o utenti autenticati tramite password prima di consentire operazioni tramite l’uso di una chiave.
Opzioni di policy – Potresti voler essere in grado di definire politiche, come il controllo del fatto che le chiavi possano essere esportate dall’HSM (avvolte o non criptate); una chiave può essere utilizzata solo per firma/crittografia/decrittografia/…; l’autenticazione è richiesta per la firma, ma non per la verifica, ecc.
Capacità di audit – Includendo sia operazioni simili a quelle di un HSM (chiave generata, qualcosa firmata con chiave Y) che la gestione dei problemi di connessione o crash. Quanto sarà facile integrare i log nel tuo sistema di monitoraggio (syslog/snmp/altro accessibile via rete – o almeno output non proprietari)?
Architettura e distribuzione
I Moduli di Sicurezza Hardware possono essere operati in loco, ospitati o come servizio dal cloud.
Le implementazioni in loco offrono le seguenti opzioni:
HSM connesso in rete: per implementazioni su larga scala, soprattutto quando più applicazioni/server/client devono utilizzare servizi HSM.
HSM integrato (scheda PCIe): questa è una soluzione più economica rispetto agli HSM connessi in rete. È importante notare che questi tipi di soluzioni richiedono una maggiore potenza di elaborazione per eseguire contemporaneamente più applicazioni.
HSM containerizzati scalabili: per soluzioni multi-tenant veramente multi-tenant (ad esempio, in piattaforme cloud che operano con account client indipendenti), consentendo di eseguire implementazioni HSM, policy e firmware indipendenti per contenitore. Sconsigliamo vivamente le soluzioni multi-tenant deboli che operano con un unico motore firmware o di policy.
Soluzioni hosted o As-a-Service
Le soluzioni hosted o As-a-Service forniscono HSM fisicamente indipendenti nel cloud: questa soluzione offre il più alto livello di protezione fisica contro l’accesso fisico non autorizzato ed è idealmente conforme a FIPS 140-2, livello 4 per cliente. Tuttavia, la scalabilità di tale soluzione è solo al livello dei server fisici distribuiti localmente.
Soluzione as-a-service che fornisce HSM condivisi completamente o parzialmente gestiti. Le funzioni di gestione come la gestione delle chiavi possono far parte della soluzione di servizio o potrebbero essere gestite dal cliente in loco o in un diverso cloud.
Soluzione as-a-service che fornisce tenant in HSM containerizzato, protetto a livello 3 di FIPS 140-2 per tenant. Tali container forniscono politiche e firmware individuali per tenant e offrono i vantaggi di scalabilità del cloud. Sono al di fuori dell’infrastruttura del provider di servizi cloud (CSP) e preservano il controllo completo del cliente sulle proprie esigenze di crittografia.
Utilizzo del cluster HSM del CSP: Consente di beneficiare dei servizi delle piattaforme cloud (tra cui AWS, Azure, Google Cloud). Il controllo delle chiavi è limitato.
Certificazioni
Certificazioni – Una delle aree di falsa interpretazione più grandi. Se stai acquistando un prodotto certificato FIPS 140-2 di livello 3, deve passare alla cosiddetta modalità FIPS. La modalità FIPS implica una restrizione a livello di API, una restrizione su algoritmi (lunghezza della chiave, uso, attributi delle chiavi, ecc.). Chiediti quale livello ti serve effettivamente? Di cosa hai bisogno per motivi normativi?
FIPS 140-2 – Schema di certificazione da parte del NIST sotto il CMVP. Questo framework è utile poiché conferma che gli algoritmi approvati dal NIST funzionino normalmente e che la loro implementazione abbia superato un test di risposta noto in fase di esecuzione. Per quanto riguarda la sicurezza fisica, un certificato FIPS 140 con sicurezza di livello 3 ti dice che un prodotto soddisfa il requisito di protezione fisica di base, ma non di più!
Common Criteria – Le valutazioni dei prodotti possono variare di più in termini di fornitura di garanzie: leggi l’Obiettivo di Sicurezza! Al momento, c’è solo un buon set di Profili di Protezione HSM, quindi dovrai almeno leggere la Definizione del Problema di Sicurezza (minacce e presupposti) per avere un’idea di ciò che la valutazione offre.
Altri schemi di certificazione – Come ad esempio PCI-HSM, approvazione DK o NITES (approvazione Singapore CC), questi schemi saranno utili se sei nell’industria pertinente. Oltre alle certificazioni, chiedi referenze specifiche per il tuo settore industriale pertinente o per lo spazio governativo. Non fare affidamento solo sulla certificazione ISO nello sviluppo del ciclo di vita del software.
Utimaco è in grado di offrire soluzioni HSM conformi sia a PCI-HSM che a FIPS 140-2 o 3 (o nessuno, se non necessario).
Soft factor
Quali servizi di supporto offre il fornitore? Non considerare solo i diversi tipi di opzioni; chiedi informazioni sulla reputazione e su alcuni test!
Quali servizi di integrazione offre il fornitore? Se hai requisiti complessi, potrebbe valere la pena coinvolgere il fornitore nel tuo processo di configurazione/programmazione.
Qual è l’andamento futuro? C’è un problema che potresti conoscere che si presenterà tra qualche anno?
Qual è il paese d’origine (progettazione e produzione)?
Sostituzioni end-of-life
Quando si sostituisce un HSM esistente o fuori produzione, le soluzioni proprietarie potrebbero richiedere la necessità di apportare modifiche a tutte le applicazioni collegate. La soluzione preferibile sarebbe la scelta di un HSM agnostico all’applicazione e cripto-agile, in grado di:
Ospitare chiavi e blocchi chiave pertinenti
Connettersi a sistemi di gestione chiavi principali
Connettersi a applicazioni di grado industriale tipiche con un registro applicazioni documentato
Di conseguenza, le sostituzioni nel contesto dei cicli di servizio saranno rapide, senza richiedere molto investimento in tempo o risorse umane.
Fattori importanti
Costo – Come si presenta il costo per unità/i? Qual è il costo per supporto e manutenzione? Cosa è incluso nel prezzo unitario? Paghi per API, ecc.?
Tempo di consegna – Sii realistico! Se senti di aver bisogno di un HSM immediatamente, probabilmente stai sottovalutando la complessità di un HSM. Gli HSM non sono prodotti in serie; è richiesta una certa quantità di tempo per fabbricare gli HSM per garantire la qualità
I Microchip, o semplicemente ‘chip’, sono un componente fondamentale di molte attività economiche e si trovano in una gamma di prodotti, dai veicoli agli elettrodomestici ai telefoni cellulari. Gli HSM contengono uno o più chip necessari per eseguire operazioni crittografiche e le recenti carenze di fornitura hanno avuto un impatto sull’economia più ampia.
Utimaco non è stato significativamente influenzato dalla carenza globale di chip che ha interrotto le catene di approvvigionamento a livello globale, e possiamo continuare a fornire beni e servizi affidabili che i nostri clienti si aspettano.
Le passkey e l’autenticazione a più fattori non sono sufficienti per combattere il malware infostealer, che può esfiltrare i dati aziendali prima che qualcuno si accorga dell’attacco.
Di Trevor Hilligoss, Direttore senior della ricerca sulla sicurezza, SpyCloud
Dalle passkey all’autenticazione a più fattori (MFA), la maggior parte delle aziende sta adottando soluzioni che proteggono le informazioni sensibili per ridurre al minimo la superficie di attacco e migliorare la posizione di sicurezza informatica. Sebbene questi approcci rappresentino un passo nella giusta direzione, i team di sicurezza dovrebbero riconoscere che potrebbero non essere sufficienti per proteggere completamente i dati degli utenti.
Mentre le aziende implementano nuovi modi per proteggere le proprie reti, i criminali informatici stanno contemporaneamente evolvendo tattiche per aggirare queste difese. I malintenzionati stanno già utilizzando tecniche come il dirottamento delle sessioni e il furto degli account per aggirare passkey e MFA per ottenere l’accesso ai sistemi aziendali . Quel che è peggio è che queste tattiche sono rese possibili principalmente dai dati filtrati dal malware, una delle lacune di sicurezza più difficili da colmare.
Il malware ruba rapidamente e furtivamente grandi quantità di dati di autenticazione accurati, comprese informazioni di identificazione personale (PII) come credenziali di accesso, informazioni finanziarie e cookie di autenticazione, e alcuni malware stanno già iniziando a esfiltrare depositi di chiavi locali come quelli gestiti dai gestori di password, molti di cui hanno iniziato a offrire soluzioni passkey. L’anno scorso, gli autori delle minacce hanno condotto oltre 4 miliardi di tentativi di malware , rendendolo il metodo di attacco informatico preferito. Inoltre, secondo il ” 2023 Annual Identity Exposure Report ” di SpyCloud, lo scorso anno oltre 22 milioni di dispositivi unici sono stati infettati da malware, con i dati rubati che si sono fatti strada verso le reti criminali per essere utilizzati in attacchi che vanno dal dirottamento della sessione al ransomware.
Sebbene i dati sottratti dal malware, compresi gli accessi alle applicazioni aziendali e i cookie per repository di codici, database dei clienti e sistemi finanziari, diventino sempre più importanti per i criminali, i team di sicurezza non hanno ancora la visibilità necessaria per affrontare tali esposizioni. Coloro che capiscono come funziona il malware e come i criminali informatici utilizzano i dati sottratti dal malware per sferrare attacchi successivi sono meglio attrezzati per affrontare la minaccia.
Il session hijacking abilitato dal malware è la grande minaccia Il session hijacking inizia quando il malware infostealer (spesso distribuito tramite e-mail di phishing o siti Web dannosi) esfiltra i dati del dispositivo e dell’identità dalla macchina infetta e dai suoi browser Web. Sebbene tutti i dati rubati abbiano un certo valore per i criminali, il malware infostealer prende di mira sempre più dati di alto valore, inclusi i cookie.
Quando un utente accede a un sito o a un’applicazione, il server memorizza un token (o cookie) di autenticazione temporaneo in quel browser, consentendo al server di ricordare l’utente per un certo periodo di tempo. Finché il cookie rimane valido, un malintenzionato può importarlo, insieme a dettagli aggiuntivi che imitano il dispositivo e la posizione dell’utente, in un browser anti-rilevamento, dandogli accesso a una sessione già autenticata.
Il dirottamento della sessione è estremamente efficace anche contro i metodi di autenticazione più potenti. Il semplice utilizzo di cookie rubati validi consente ai criminali di saltare completamente il processo di autenticazione senza far scattare segnali di allarme. Ciò consente ai criminali di rimanere nascosti sulle reti aziendali per lunghi periodi, garantendo loro un passaggio gratuito alle informazioni sensibili e la possibilità di rubare dati aggiuntivi o aumentare i privilegi nel tentativo di sferrare attacchi mirati come il ransomware.
I criminali comprendono il potenziale devastante del dirottamento delle sessioni e hanno già creato strumenti come EvilProxy ed Emotet per prendere di mira i cookie di autenticazione. Quindi, cosa possono fare le aziende contro una minaccia che annulla le difese chiave? Sebbene possa sembrare impossibile, esistono nuovi approcci per contribuire a porre fine al ciclo della criminalità informatica.
Non puoi aggiustare ciò che non puoi vedere Superare la crescente sfida del dirottamento delle sessioni è un compito arduo, ma non impossibile. Uno dei maggiori problemi nella difesa dagli attacchi alimentati dal malware infostealer è la capacità del malware di eludere il rilevamento. Le forme più recenti di malware possono sottrarre dati e cancellarsi in pochi secondi, rendendo difficile per i team di sicurezza sapere se si è verificato un attacco.
Inoltre, il malware infostealer può infettare i dispositivi personali dei dipendenti e quelli degli appaltatori al di fuori della normale competenza del team di sicurezza, rendendo estremamente difficile identificare tutti i casi di esposizione aziendale.
Fortunatamente, entrambe queste preoccupazioni possono essere risolte aumentando la consapevolezza e la visibilità delle minacce. Dopotutto, le organizzazioni non possono difendersi dall’ignoto… I team di sicurezza dovrebbero istruire gli utenti sugli infostealer, su come evitare di scaricarne uno erroneamente su qualsiasi dispositivo che accede alla rete aziendale o ad applicazioni aziendali critiche e su come eliminare regolarmente i cookie memorizzati nel proprio browser.
Per il malware che riesce a sfuggire, capire esattamente quali informazioni sono state rubate può aiutare i team a identificare quali credenziali utente e cookie di autenticazione devono essere riparati. Cancellare il dispositivo infetto non è sufficiente, poiché i dati attivi rubati possono essere utilizzati molto tempo dopo che l’infezione iniziale è stata risolta. Le organizzazioni devono invece identificare i dati compromessi e forzare in modo proattivo l’invalidazione della sessione e la reimpostazione della password per eliminare potenziali punti di ingresso nell’organizzazione.
In definitiva, un processo completo di riparazione del malware dovrebbe basarsi sulla conoscenza di quali dati sono stati sottratti dal malware infostealer. I team IT dovrebbero dare priorità ad approcci e soluzioni che forniscano la maggiore visibilità necessaria per colmare le lacune di sicurezza legate al malware. Una volta acquisite queste informazioni, i team possono adottare misure per affrontare tutte le risorse esposte, inclusi i dati di autenticazione, per proteggere la reputazione dell’azienda e i profitti.
La crittografia sta diventando sempre più cruciale nelle infrastrutture e nelle organizzazioni di varie industrie per numerosi casi d’uso aziendali come i requisiti di Infrastruttura a Chiave Pubblica, la generazione, l’archiviazione e l’elaborazione delle chiavi, i servizi di firma digitale, la sicurezza dei sistemi blockchain, l’autenticazione dei sottoscrittori nelle reti mobili e così via.
Di conseguenza, vi sono una serie di nuovi obblighi e responsabilità legati a come questi segreti vengono elaborati, archiviati e utilizzati, anche in base a regolamenti specifici per ciascun paese.
Gli Hardware Security Module (HSM) non sono solo il metodo più comprovato e sicuro per i casi d’uso crittografici, ma hanno anche soddisfatto nuovi obblighi e responsabilità di mercato per decenni. Gli HSM sono dispositivi fisici che eseguono operazioni crittografiche come la generazione e l’archiviazione delle chiavi, la gestione delle identità e dei database, lo scambio delle chiavi e la crittografia e la decrittografia per garantire la sicurezza dei segreti aziendali.
Gli HSM general purpose di Utimaco per la protezione degli tuoi asset più sensibili
Gli HSM a uso generico di Utimaco sono stati progettati per soddisfare le esigenze e gli standard di una vasta gamma di casi d’uso e segmenti di mercato in modo altamente affidabile e sicuro.
Basandosi su oltre 40 anni di esperienza nella sicurezza basata su hardware, Utimaco ha sviluppato e ottimizzato una famiglia di HSM con numerosi modelli che offrono diversi livelli di prestazioni e sicurezza fisica per casi d’uso in aziende, governo e amministrazione pubblica e grandi infrastrutture. Gli HSM soddisfano vari mandati di conformità e regolamentazioni come:
Rapid7 è stata incaricata di condurre un’analisi del sito web di un fornitore operante nel settore sanitario. Questo portale web consentiva ai fornitori di presentare candidature per posizioni lavorative, gestire gli orari, stabilire collegamenti con datori di lavoro in cerca di supporto negli ospedali, richiedere contratti e gestire la documentazione necessaria. Il sito aveva l’obiettivo di accertare la presenza di eventuali vulnerabilità nell’applicazione web, date le personalizzazioni significative apportate al sistema.
Inizialmente, è stata condotta un’analisi dei campi di input al fine di individuare potenziali vulnerabilità. La mancata corretta sanificazione di questi campi potrebbe esporre l’applicazione a rischi di attacchi informatici, come l’iniezione di codice malevolo. Un campo di input può essere qualsiasi spazio in cui sia possibile inserire dati, come ad esempio nome o indirizzo email. Nel corso dell’analisi, è stato individuato un campo che non gestiva correttamente l’input dell’utente: questo, una volta inviato, poteva essere visualizzato da account con privilegi amministrativi.
Sfruttando questa vulnerabilità, è stato attuato un attacco di Cross Site Scripting (XSS), che comporta l’inserimento di codice JavaScript all’interno di un campo vulnerabile. Tale codice viene poi restituito agli utenti, e quando visualizzato, viene eseguito nel browser della vittima. È stato creato un payload XSS che, una volta visualizzato dagli utenti, inviava un token di aggiornamento a un server sotto il nostro controllo. Questo ha consentito di ottenere token amministrativi da account che avevano visualizzato il campo vulnerabile, risultando in un presa di controllo degli account stessi. Inoltre, è stato riscontrato che il token di aggiornamento era configurato erroneamente, consentendo un accesso continuo all’applicazione anche dopo aver ottenuto il token, anche nel caso in cui la password fosse stata cambiata.
L’attenzione è stata poi focalizzata sui problemi legati all’autorizzazione nell’applicazione. Utilizzando un account non privilegiato, è stata individuata una dashboard che consentiva ai fornitori di accedere a documenti in scadenza. Tuttavia, è stato rilevato che la richiesta era vulnerabile a problemi di autorizzazione come Broken Object-Level Authorization e Insecure Direct Object Reference (IDOR). Sfruttando queste debolezze, abbiamo manipolato la richiesta e abbiamo avuto accesso a tutti i documenti caricati dagli utenti, compresi documenti sanitari, informazioni personali, documenti medici e altro.
Proseguendo nell’analisi, è stato scoperto che gli utenti non privilegiati potevano accedere a chiamate riservate agli utenti amministrativi. Queste chiamate esponevano dati sensibili come nomi utente e password per fornitori e personale associato agli ospedali contrattati tramite l’applicazione. Sfruttando una combinazione di problemi di autorizzazione e una vulnerabilità IDOR, abbiamo estratto nomi utente e password da oltre 15.000 account in pochi minuti.
Successivamente, abbiamo proseguito con ulteriori analisi e scoperto che i candidati a posizioni ospedaliere in varie sedi avevano numeri di previdenza sociale memorizzati in modo non sicuro. Sfruttando un punto di ingresso API vulnerabile a IDOR, è stato eseguito un attacco di forza bruta per recuperare nomi e numeri di previdenza sociale da centinaia di account.
Questa analisi ha messo in luce problematiche comuni riscontrabili in numerose applicazioni web. È emerso quanto sia veloce un attaccante nel raccogliere dati sensibili da un’applicazione non adeguatamente protetta. L’importanza della corretta sanificazione dell’input utente e dell’implementazione accurata delle autorizzazioni è stata evidenziata come cruciale per la sicurezza degli utenti e dell’azienda. Nel settore sanitario, in particolare, l’isolamento degli utenti e la gestione delle autorizzazioni rivestono un’importanza fondamentale per proteggere le informazioni personali e sanitarie dei clienti.
Il cliente è rimasto stupefatto dai risultati dell’analisi sulla sicurezza dell’applicazione. Questo test ha rivelato gravi vulnerabilità che erano sfuggite ai test condotti in passato da altri fornitori di sicurezza, sottolineando l’importanza di test regolari, specialmente in contesti di applicazioni personalizzate in continua evoluzione.
Sono stati dedicati numerosi articoli relativi alle sfide per dimostrare il valore degli investimenti in cybersecurity. Tra le varie discussioni è sorto un dibattito riguardo all’adeguatezza del termine “ROI” (ritorno sull’investimento) quando si parla di spese per la sicurezza informatica, poiché tradizionalmente il ROI implica un ritorno, idealmente positivo, di valore superiore all’investimento iniziale.
Quando un’azienda investe denaro e risorse in sicurezza e beneficia di un periodo privo di problemi, si verifica un’ambiguità nella dimostrazione del valore delle spese. Gli investimenti in sicurezza hanno effettivamente prevenuto attacchi? Oppure durante quel periodo nessuno ha tentato di attaccarli? Certamente si potrebbero considerare le indagini di routine e le scansioni di fondo che ogni indirizzo IP accessibile affronta e considerarle come attacchi respinti.
Tuttavia, le tecniche davvero costose e pericolose sono molto più difficili da rilevare. Un periodo di tranquillità potrebbe indicare l’assenza di attacchi oppure potrebbe significare che un’eventuale intrusione in corso è riuscita a passare inosservata. Uno o più attacchi sofisticati confermati e respinti con successo possono rendere il valore della spesa per la sicurezza molto più evidente. Ma anche quando tali eventi si verificano e i controlli e le procedure di sicurezza svolgono il loro ruolo, si tratta veramente di un “ritorno sull’investimento” o è più appropriato considerarlo come un valore adeguato per la spesa effettuata? È improbabile che l’intero mondo giunga mai a un consenso su come affrontare questa questione, ma la buona notizia è che esistono modi significativi per quantificare i successi legati a diverse implementazioni di sicurezza.
Per questo motivo, presentiamo uno studio commissionato a Enterprise Strategy Group (ESG), un’azienda specializzata nell’analisi IT e nella ricerca di mercato con ampia esperienza nel settore. Da parte nostra, DomainTools, siamo ovviamente orgogliosi quando riceviamo storie di successo dai nostri clienti. Tuttavia, queste storie non ci forniscono molti dettagli riguardo ai veri successi aziendali o finanziari collegati agli investimenti; sono di natura qualitativa, non quantitativa.
È qui che interviene l’ESG: li abbiamo incaricati di interagire con i clienti di DomainTools e di utilizzare una metodologia collaudata per calcolare i benefici netti. L’analisi da loro condotta è stata approvata dai clienti ed è ciò che troverete nelle pagine dello studio.
Abbiamo chiesto all’ESG di esaminare due categorie di clienti di DomainTools: gli utenti finali (personale SOC e altri professionisti in prima linea nell’ambito della sicurezza informatica e della protezione del marchio) e le aziende produttrici di attrezzature originali (OEM) che integrano le tecnologie di DomainTools nelle loro offerte per renderle più robuste e differenziate in un mercato affollato. Non riassumeremo l’intero studio in questa sede, ma sarebbe opportuno analizzare alcuni punti salienti: uno dal punto di vista degli utenti finali e uno dall’ottica del mondo degli OEM.
Individuare più Minacce, in Tempi più Brevi
Non è controverso affermare che quando si tratta di rilevare minacce emergenti, il fattore tempo è essenziale. L’ESG ha posto alcune domande ai partecipanti al sondaggio riguardo a come impiegano il loro tempo e come l’uso di DomainTools influisce su questo aspetto. Una delle domande riguardava la velocità del rilevamento, e quanto riportato da questi professionisti coincide con la nostra prospettiva su Internet – ovvero che il rilevamento tempestivo è di primaria importanza e individuare domini malevoli prima che possano causare danni (ciò che li fa finire nelle liste di blocco) è prezioso per i team SOC.
Distinguersi dalla Concorrenza
Un numero sempre maggiore di prodotti di sicurezza presenti sul mercato utilizza i dati di DomainTools come input fondamentali nei loro motori di regole e altre tecnologie. L’utilità dei dati DNS, Whois e degli altri punti di dati correlati, oltre alla valutazione del rischio, è evidente. Tuttavia, quando un’azienda cerca di incorporare questi tipi di dati nei propri prodotti, è spesso tentata di costruire internamente le funzionalità necessarie. Dopo tutto, questi dati sono principalmente di tipo OSINT (Open Source Intelligence).
Tuttavia, una volta che si iniziano a comprendere appieno le complessità coinvolte nello sviluppo di tali capacità, molti analisti di CyberSecurity scelgono i dati di DomainTools invece di cercare di costruirli autonomamente, consapevoli del vantaggio competitivo che questo comporta.
Quando si tratta di consolidamento dei fornitori di sicurezza, Gartner ha scoperto che il 57% delle organizzazioni collabora con meno di dieci fornitori di sicurezza, utilizzando il consolidamento per ridurre i costi e migliorare la propria posizione complessiva in termini di sicurezza.
Ma cosa succede per l’altro 43%?
Sebbene il consolidamento dei fornitori di sicurezza abbia molti vantaggi, come una migliore sicurezza ed efficienza operativa, nonché la riduzione dei costi e un miglioramento del ROI, è chiaro che persistono alcune falsità sulla consolidazione. Approfondiamo tre dei miti più comuni sulla consolidazione:
La supremazia delle soluzioni di sicurezza “best of breed”
Mancanza di flessibilità o blocco del fornitore
Aumento del rischio di compromissione del fornitore
Mito n. 1: La supremazia delle soluzioni di sicurezza “best of breed” Uno dei miti più grandi del consolidamento dei fornitori di sicurezza è che, dopo la consolidazione, le organizzazioni perderanno l’accesso all’approccio superiore delle soluzioni di sicurezza “best of breed”. “Best of breed” si riferisce all’acquisto del miglior prodotto di ciascun tipo per le esigenze di sicurezza dell’infrastruttura. Questo potrebbe includere l’uso di un fornitore per la protezione del firewall, un altro per l’osservabilità, un terzo per la rimediazione e così via.
Sebbene sia vero che l’approccio “best of breed” sembri consentire alle organizzazioni di assemblare un insieme di tecnologie con i migliori prodotti possibili, questa non è tutta la storia. Le organizzazioni con soluzioni “best of breed” spesso si trovano con un eccesso di tecnologie, o una pila tecnologica più grande che richiede molto più lavoro di manutenzione rispetto alle offerte su piattaforma unica o più snelle. Inoltre, l’uso di strumenti di fornitori multipli porta a una maggiore quantità di dati, che può effettivamente aumentare la superficie di attacco e il livello complessivo di rischio per un’organizzazione.
Alcuni ambienti “best of breed” sono afflitti da problemi di interoperabilità, in cui gli strumenti non riescono a comunicare tra di loro e a scambiarsi informazioni correttamente. Ciò può comportare una prestazione complessiva della sicurezza peggiore, caratterizzata da falsi allarmi e un tempo medio per la risoluzione (MTTR) più lungo.
Mito n. 2: La consolidazione limita la flessibilità e crea un blocco del fornitore Molte squadre di sicurezza credono che la consolidazione li vincoli a lavorare con un numero ridotto di fornitori che potrebbero rivelarsi poco affidabili o offrire servizi scadenti. In realtà, è possibile affrontare facilmente le preoccupazioni legate alle prestazioni e alla flessibilità del fornitore selezionando attentamente i potenziali fornitori prima di scegliere una soluzione. Durante il processo di valutazione, rivolgi domande ai potenziali fornitori riguardo all’implementazione, alla sicurezza, alla manutenzione, alle tariffe di abbonamento e licenza.
È importante ricordare anche che molti fornitori offrono flessibilità all’interno dei loro pacchetti di consolidamento, il che significa che spesso sarai in grado di creare una serie di prodotti per soddisfare le tue esigenze anziché essere bloccato in un pacchetto specifico.
Infine, lavorare con meno fornitori ti consente di sviluppare relazioni più solide con pochi rappresentanti dei fornitori, il che porta a un servizio clienti e supporto più completi.
Mito n. 3: Aumento del rischio di compromissione da parte del fornitore Molte organizzazioni temono che, dopo la consolidazione, se uno dei loro fornitori viene compromesso, ciò rappresenti un grave rischio per la sicurezza. Tuttavia, questo è facilmente evitabile se le organizzazioni praticano la consolidazione attraverso le funzioni e non le diverse strati di sicurezza.
In generale, le organizzazioni sicure hanno livelli di sicurezza, o ridondanze, per individuare e risolvere rapidamente le vulnerabilità. Questo approccio, noto anche come “difesa in profondità”, potrebbe consistere in una soluzione di sicurezza per monitorare i tuoi endpoint e uno strumento separato per gestire le minacce nel tuo ecosistema.
Non si dovrebbe consolidare all’interno di questi livelli. Ad esempio, immagina di avere lo stesso fornitore di sicurezza sia per il monitoraggio degli endpoint che per la gestione delle minacce. Se il fornitore viene compromesso e non è in grado di fornire protezione, la tua infrastruttura rimarrebbe senza gestione degli endpoint e gestione delle minacce contemporaneamente, il che rappresenta un grave rischio per la sicurezza.
Di conseguenza, è opportuno consolidare attraverso le funzioni. Può essere utile immaginare le tue esigenze di sicurezza all’interno di un livello. Ad esempio, se cerchi una maggiore protezione degli endpoint – monitoraggio, visibilità e rimediazione – puoi cercare soluzioni di consolidamento in questo settore. La consolidazione attraverso le funzioni può effettivamente rafforzare la tua posizione in termini di sicurezza. Lavorare da una piattaforma unica può migliorare la condivisione di dati tra gli strumenti, l’efficienza e i processi di rimediazione, creando uno strato di sicurezza più forte. Quindi, se un fornitore viene compromesso, avrai comunque una protezione attiva dai fornitori negli altri livelli.
Il consolidamento ha senso L’incertezza riguardo al consolidamento dei fornitori di sicurezza è comprensibile. È importante non affrettarsi e scegliere il fornitore o la piattaforma sbagliati, cosa che potrebbe mettere a rischio l’organizzazione. Tuttavia, i miti diffusi sulla consolidazione potrebbero frenarti nel trarre vantaggio dai benefici finanziari, operativi e di sicurezza della consolidazione.
La riduzione dei costi è uno dei principali vantaggi. Le organizzazioni con vari fornitori di sicurezza pagano per ogni servizio e spesso anche per licenze multiple. La consolidazione offre la possibilità di ridurre i costi di abbonamenti e licenze multiple, oltre a beneficiare dei pacchetti di consolidamento a prezzi competitivi.
Il consolidamento aumenta anche l’efficienza operativa. Le organizzazioni con troppi fornitori di sicurezza hanno problemi di visibilità, falsi allarmi e lacune nella copertura dell’infrastruttura. L’interoperabilità offerta dal consolidamento può eliminare falsi allarmi e migliorare la visibilità, consentendo di collaborare con i fornitori di sicurezza per creare un pacchetto di sicurezza consolidato e personalizzato che soddisfi le esigenze dell’organizzazione.
Quando si tratta di consolidamento, smontare le principali concezioni errate può portare a una soluzione di sicurezza più forte e coesa, in grado di affrontare il mutevole panorama delle minacce in modo più efficace.
Se vuoi scoprire come le soluzioni Rapid7 favoriscano il consolidamento del tuo ambiente di cybersecurity, visita la pagina Rapid7 sul nostro sito oppure scrivi a rapid7 [at] dotforce.it
Di Jerry Caponera – VP Cyber Risk Strategy | Board Member, ThreatConnect
Nell’ambito di questo articolo, si discute del riconoscimento ottenuto nella Forrester Wave™ per la Quantificazione del Rischio Cibernetico e dell’approccio di ThreatConnect alla CRQ basato sulle minacce. Jerry Caponera, VP della Strategia per il Rischio Cibernetico presso ThreatConnect, è stato il principale artefice di questa strategia.
La CRQ è un argomento di crescente importanza in un mondo sempre più digitalizzato, e il contributo di Jerry Caponera è stato fondamentale nel portare avanti la comprensione e la gestione del rischio cibernetico attraverso l’approccio della quantificazione finanziaria. Grazie alla sua esperienza nel campo della sicurezza informatica e alla sua ampia formazione, ha guidato con successo la creazione di una strategia basata sulle minacce che si è dimostrata efficace e leader nel settore, come evidenziato dalla valutazione positiva nella Forrester Wave™.
L’articolo sottolinea anche l’importanza di un approccio centrato sulle minacce alla CRQ. Caponera e il team di ThreatConnect hanno abbracciato questa prospettiva, riconoscendo che la valutazione del rischio cibernetico deve andare oltre la semplice identificazione delle vulnerabilità tecniche. L’articolo spiega come questa metodologia permetta di prendere decisioni più informate e basate sui dati riguardo alla gestione del rischio cibernetico.
Inoltre, l’articolo menziona il coinvolgimento di Jerry Caponera in conferenze internazionali, dimostrando la sua influenza e l’importanza del suo lavoro nel campo della CRQ. La sua formazione accademica, che spazia dall’ingegneria elettrica all’informatica e al business, offre una base solida per affrontare le sfide complesse legate alla sicurezza cibernetica e alla quantificazione del rischio.
Nel complesso, l’articolo evidenzia il ruolo chiave di Jerry Caponera e di ThreatConnect nella promozione di un approccio centrato sulle minacce alla CRQ e nell’ottenimento del riconoscimento nella Forrester Wave™ per la Quantificazione del Rischio Cibernetico.
ThreatConnect Risk Quantifier è stato recentemente riconosciuto come leader nella The Forrester Wave™ per la Quantificazione del Rischio Cibernetico (CRQ), Q3 2023, e non potremmo essere più entusiasti per questo riconoscimento. Siamo cresciuti nel corso degli anni, passando da un piccolo team che cercava di risolvere un problema complesso a un leader nello spazio della CRQ che sfrutta al meglio l’IA e l’apprendimento automatico. Vedere che Forrester ci ha valutato con il punteggio più alto nella categoria dell’offerta attuale e il punteggio massimo possibile nelle categorie di esperienza utente, integrazioni e metodologia (per citarne alcune) è qualcosa a cui teniamo molto.
Il rapporto di Forrester ha fatto un’osservazione molto perspicace nel loro rapporto sulla nostra approccio e strategia. Hanno detto che “ThreatConnect definisce lo standard per un approccio basato sulle minacce per la CRQ”. È una dichiarazione fantastica, e non potremmo essere più d’accordo.
Inizialmente abbiamo creato RQ per poter aiutare le organizzazioni a comprendere il proprio rischio informatico in termini finanziari, per identificare dove (e quanto) potessero trasferire agli assicuratori cibernetici e, probabilmente ancora più importante, per dare priorità alle mitigazioni basate sulla riduzione del rischio finanziario. Quest’ultimo aspetto, la riduzione del rischio finanziario, è fondamentale per RQ poiché vediamo la sicurezza come una funzione aziendale, non solo tecnica. Mostrare semplicemente che esiste un rischio non è sufficiente: la CRQ deve fornire opzioni tattiche e attuabili su come mitigare e potenzialmente eliminare quel rischio.
Dedichiamo un notevole quantitativo di tempo all’analisi dei dati sulle perdite e dei dati sugli attacchi, e la nostra analisi mostra che c’è una correlazione diretta tra la perdita finanziaria causata da un attacco informatico e le caratteristiche tecniche dell’attacco in questione. In effetti, la correlazione è così chiara che l’abbiamo inserita nel prodotto.
I dati mostrano che si verifica una perdita quando un attore lancia un attacco su risorse tecniche (ad esempio, endpoint) e supera le difese circostanti. Perdita e tipo di attacco sono correlati – non sono indipendenti. Avrai una tipologia di perdita diversa in caso di attacco di violazione dei dati rispetto a un attacco di ransomware. Anche i controlli che aiutano a prevenire il successo dell’attacco variano in efficacia contro attacchi diversi (e TTP MITRE).
Ecco perché siamo impegnati non solo a “definire lo standard” per un approccio basato sulle minacce per la CRQ, ma anche a garantire che possiamo tracciare i risultati dal livello esecutivo ai leader della sicurezza e aziendali, e nel Security Operations Center (SOC). Questa tracciabilità operativa è ciò che fa sì che la CRQ diventi parte di uno sforzo di monitoraggio continuo.
Oggi la maggior parte delle organizzazioni esegue la CRQ in modo occasionale o basato su scenari. La sfida qui è che si può perdere la visione d’insieme. Le minacce cambiano regolarmente e la maggior parte della costruzione occasionale di scenari non si adatta a quella velocità. Unendo l’analisi delle minacce con la quantificazione del rischio utilizzando l’IA e l’apprendimento automatico, possiamo misurare meglio quando il rischio supera il tuo limite accettabile e – cosa più importante – aiutarti a mitigare il rischio tecnico prima che si realizzi.
Ciò che a volte si perde nella conversazione sulla CRQ è il fatto che ciò che si mitiga è di natura tecnica o incentrata sulle minacce. Trasferisci la perdita finanziaria (a una compagnia di assicurazione o a un partner), ma per prevenire che ciò accada è necessaria una comprensione della superficie di attacco e di come gli attacchi si materializzano contro le difese. Ecco perché siamo completamente d’accordo che ThreatConnect definisce lo standard per un approccio basato sulle minacce per la CRQ.
Il nostro obiettivo è continuare ad alimentare la presa di decisioni sulla CRQ a vari livelli, compresi quelli esecutivi, operativi e tattici. Dopotutto, se puoi prevenire che una minaccia diventi un evento di perdita correggendo una carenza nel sistema, perché non lo faresti?
Note sull’ Autore Gerald (Jerry) Caponera è il Vice Presidente della Strategia per il Rischio Cibernetico presso ThreatConnect e guida l’effort per quantificare il rischio cibernetico in termini finanziari. Ha lavorato sugli sforzi di quantificazione del rischio cibernetico per diversi anni ed ha un’ampia esperienza nel campo della sicurezza informatica, avendo lavorato per aziende di risposta agli incidenti, analisi di malware e servizi di sicurezza. Ha tenuto discorsi in numerose conferenze in tutto il mondo, tra cui ISS World MEA, InfoSecurity Russia e TM World Forum. Possiede un MBA dall’Università del Massachusetts, una laurea magistrale in Informatica dall’Università della Pennsylvania e una laurea triennale in Ingegneria Elettrica dall’Università di Buffalo.
L’autorevole programma SC Awards, ospitato da SC Media, riconosce le soluzioni, le organizzazioni e le persone che guidano l’innovazione e il successo nella sicurezza delle informazioni. Giunti alla loro 26a edizione, gli SC Awards continuano a crescere ed evolversi.
Rapid7 è orgogliosa di annunciare di aver ricevuto quest’anno non uno, ma due prestigiosi SC Awards! InsightVM ha ricevuto il premio SC 2023 per la migliore soluzione di gestione delle vulnerabilità e InsightIDR ha ricevuto il premio nella nuovissima categoria Migliore tecnologia di rilevamento delle minacce.
Quest’anno, la giuria di SC composta da leader industriali indipendenti, provenienti da settori quali sanità, servizi finanziari, produzione, consulenza e istruzione, ha selezionato un numero record di candidature. Inoltre, SC ha aggiunto al concorso diverse nuove categorie di premi e diverse categorie modificate.
Perché è stato selezionato InsightVM
InsightVM è uno strumento di gestione delle vulnerabilità che fornisce visibilità sul programma di sicurezza di un’organizzazione, consentendo ai team di sicurezza di ridurre la superficie di attacco e i rischi per la sicurezza. Lo strumento aiuta a gestire e maturare i programmi di gestione delle vulnerabilità identificando le vulnerabilità, dando priorità agli interventi correttivi e monitorando i progressi rispetto ai parametri chiave.
SC Media afferma che InsightVM è stata scelta per la sua capacità di supportare l’intero ciclo di vita della gestione delle vulnerabilità e per consentire ai team di sicurezza di gestire il proprio programma in modo più efficace. SC ha inoltre notato l’integrazione della soluzione con Project Sonar per il monitoraggio delle risorse rivolte all’esterno e dell’esposizione alle minacce, nonché il suo robusto sistema di etichettatura per dare priorità alle risorse critiche da riparare. Infine, hanno notato che dashboard in tempo reale, progetti di riparazione, obiettivi e SLA facilitano la collaborazione con le parti interessate.
InsightVM è stato progettato per fornire una visione condivisa e un linguaggio comune necessari per collaborare con team tradizionalmente isolati e promuovere soluzioni efficaci. Di conseguenza, anche i clienti apprezzano la facilità di collaborazione.
“Abbiamo almeno cinque diversi team responsabili dei propri sistemi”, ha affermato Nick Defoe, direttore della sicurezza informatica di US Signal . “Utilizzando l’interfaccia del dashboard, siamo stati in grado di creare report per ogni singolo team. Riunire tutti questi gruppi eterogenei su un’unica piattaforma dove possano vedere cosa devono fare per la gestione delle vulnerabilità è stato fondamentale per il nostro successo”.
Perché è stato selezionato InsightIDR
InsightIDR , XDR cloud-native e SIEM di nuova generazione di Rapid7, offre dati di sicurezza unificati e trasformati per rilevare attacchi reali e fornire approfondimenti ad alto contesto per fermare le minacce nelle prime fasi della catena di attacco.
Secondo SC Media , InsightIDR è stato scelto perché consente ai team di fornire risultati sofisticati di rilevamento e risposta con maggiore efficienza ed efficacia, ovunque si trovino nel loro percorso verso la sicurezza. Questo tiene traccia anche dei clienti.
In un recente sondaggio Techvalidate, il 92% dei clienti Rapid7 ha riferito che InsightIDR crea efficienza e scalabilità e offre risparmi che lo rendono una soluzione accessibile e solida per diversi settori e team.
“Quando ho installato Rapid7, il mio tempo di risposta è passato da tre-quattro ore a dieci-quindici minuti”, ha affermato Kerry LeBlanc, IT Security Engineer, Bioventus. “Vedo di cosa si tratta e come risolverlo. È tutto a posto. Posso interrogare l’endpoint o ottenere informazioni e visualizzare diversi aspetti dell’utente.”
SC ha inoltre sottolineato la “visibilità completa, la copertura, il rapporto segnale-rumore superiore e le risposte più intelligenti” di InsightIDR. InsightIDR fornisce visibilità e copertura complete con un agente endpoint nativo, sensori di rete, raccoglitori e API.
La tecnologia di raccolta e le integrazioni leggere e basate su software vanno oltre l’unificazione dei dati per correlare, attribuire e arricchire diversi set di dati in un unico quadro armonioso, sbloccando l’efficienza per restituire tempo ai team, garantire che trovino le minacce reali più rapidamente e che possano rispondere rapidamente e completamente.
Oggi DomainTools è entusiasta di presentare una nuova versione di Iris Investigate, il nostro prodotto di indagine sull’infrastruttura principale. Stiamo introducendo nuovi modi per individuare comportamenti maligni e gestire le indagini sui domini. Abbiamo anche semplificato l’interfaccia utente, rendendola più facile da utilizzare, garantendo al contempo flessibilità per consentirti di dare priorità ai dati che ti interessano di più.
Un nuovo look and feel
La prima cosa che noterai quando accedi al nuovo Iris Investigate è un aspetto modernizzato. Sulla base del feedback dei clienti, abbiamo anche aggiornato il modo in cui i dati sono organizzati nell’applicazione. I vari pannelli dati sembreranno ancora familiari, ma ci sono alcune utili modifiche che renderanno ancora più facile il loro utilizzo. Ci sono due modi importanti per personalizzare i pannelli per aiutarti a vedere ciò che conta di più per te. Innanzitutto, puoi modificare l’ordine dei pannelli semplicemente trascinando e rilasciando i pannelli più importanti per essere più vicini al Pivot Engine. In secondo luogo, puoi modificare la larghezza di ciascun pannello: piccolo, medio o grande. Questo ti aiuta a dare la priorità a quali pannelli ottengono la maggior parte dello spazio sullo schermo. Se hai un monitor ampio, puoi avere parecchi pannelli che si estendono da sinistra a destra.
Nuove funzionalità per trovare domini malevoli
Abbiamo aggiunto nuove funzionalità di dati per aiutare gli utenti a trovare e gestire domini dannosi. Innanzitutto, abbiamo migliorato la raccolta e l’accuratezza dei nostri dati sui contenuti web. Ora stiamo acquisendo e indicizzando due nuovi campi:
Titolo del sito Web: il titolo HTML viene ora visualizzato in Pivot Engine e i pivot guidati possono aiutarti a trovare altri domini con lo stesso titolo. Il titolo del sito web può anche essere ricercato tramite Ricerca avanzata in modo da poter trovare domini con pagine che fanno riferimento a marchi o termini che ti interessano.
Tipo di server: il tipo di server visualizzato durante la raccolta di uno screenshot viene salvato e indicizzato. Anche questo può avere pivot guidati e può essere interrogato in Ricerca Avanzata. Il tipo di server può essere un buon connettore dati per aiutarti a identificare i modelli di hosting nelle campagne che potresti monitorare.
Inoltre, puoi attivare gli aggiornamenti dei contenuti Web mettendo in coda un dominio per un nuovo screenshot! Abbiamo anche aggiunto un nuovo attributo di dati, Lifecycle First Seen , abbreviato in solo First Seen in Pivot Engine. Questa è la data e l’ora in cui DomainTools identifica un dominio come appena attivo. Prima di questo aggiornamento, la data di creazione di Whois era il modo per identificare l’età di un dominio. Tuttavia, molti TLD non forniscono record Whois , rendendo difficile giudicare rapidamente l’età di tutti i domini. Ora puoi vedere facilmente l’età dei domini di tutti i TLD. Abbiamo semplificato l’identificazione dei nuovi domini attivi nel contesto di ricerche più ampie che potresti eseguire: un nuovo operatore di ricerca avanzata ti consente di cercare domini con un primo accesso entro un tempo specifico, ad esempio nell’ultimo giorno. Ciò accelera notevolmente il processo di azzeramento solo dei nuovi domini attivi che corrispondono alla ricerca e ignorando quelli più vecchi. L’operatore può anche essere utilizzato con Whois Create Date per fornire maggiore flessibilità nella ricerca di quell’attributo. Questi nuovi campi sono stati aggiunti alle API Iris Investigate e Enrich. Il First Seen può essere particolarmente utile come parametro di query con l’API Iris Investigate. Spesso, l’API Investigate viene utilizzata in “modalità di ricerca” in cui vengono forniti più attributi anziché un solo dominio, in modo simile alle ricerche salvate nell’interfaccia utente Web di Investigate. Il First Seen può essere interrogato per una data e ora specifica (formato UTC) in modo che un’integrazione possa effettivamente richiedere nuovi domini attivi dall’ultima query. Ciò crea effettivamente una nuova funzionalità di monitoraggio all’interno dell’API Iris Investigate. IP Inspect visualizza i dati di arricchimento per un indirizzo IP in una finestra pop-up da quasi ovunque appaia un indirizzo IP su Iris Investigate. Puoi visualizzare i dettagli di un IP (posizione, ASN, dati Whois, DNS PTR e altro) senza fare clic sulle schede o perdere la tua posizione nell’applicazione.
Visualizza una migliore Threat Intel
Anche il modulo Visualizzazione è stato notevolmente modernizzato. Interagire con i dati è più facile, più veloce e più vivace. Un nuovo “Node Inspector” ti aiuta a vedere i valori specifici visualizzati nella visualizzazione e individuare punti di interesse specifici. Puoi anche filtrare i nodi visibili in base al numero di connessioni, che può essere particolarmente utile quando lavori con set di dati di grandi dimensioni. Puoi filtrare i domini con un numero ridotto di connessioni poiché potrebbero non far parte di un modello più ampio che stai monitorando. Puoi anche filtrare i domini con un numero elevato di connessioni. Questo può essere utile se stai cercando di concentrarti su domini che utilizzano un’infrastruttura dedicata e non vuoi vedere le connessioni all’infrastruttura ospitata utilizzate da un numero elevato di domini.
Il nuovo Iris Investigate è molto di più di un semplice aggiornamento estetico. Ci auguriamo che i nuovi campi e l’esperienza utente aggiornata rendano le tue indagini più veloci, più efficaci e, perchè no … più divertenti. Per favore, scrivici a domaintools@dotforce.it e facci sapere cosa ne pensi!
Se non hai ancora accesso a Iris Investigate ma sei interessato a capire come questo strumento possa aiutarti, contattaci allo 02/36735520, oppure visita la Pagina Domaintools sul nostro sito.
Le ultime settimane sono state straordinarie per il panorama delle minacce globali con vulnerabilità zero-day come MOVEit (CVE-2023-34362) ed Email Security Gateway (ESG) di Barracuda (CVE-2023-2868). Il team di ricerca sulla sicurezza di Rapid7 è stato uno dei primi a rilevare lo sfruttamento della soluzione MOVEit Transfer di Progress Software , quattro giorni prima che il fornitore emettesse un avviso pubblico. Da lì, il team si è mosso rapidamente per fornire ai clienti di InsightVM e Nexpose una rapida guida alla correzione.
Con un’attenzione continua per ottenere migliori risultati per i clienti, questo trimestre è pieno di aggiornamenti del prodotto come un’interfaccia utente migliorata per la console, criteri personalizzati per la valutazione basata su agenti, una scheda dashboard aggiornata e altro ancora. Diamo un’occhiata ad alcuni degli aggiornamenti chiave di InsightVM e Nexpose del secondo trimestre.
[InsightVM] Il criterio basato su agente supporta la valutazione del criterio personalizzato Le linee guida del Center for Internet Security (CIS) e le Security Technical Implementation Guides (STIG) sono parametri di riferimento del settore ampiamente utilizzati per la valutazione della configurazione. Tuttavia, un benchmark o una linea guida da soli potrebbero non soddisfare le esigenze specifiche di ogni azienda.
Pertanto, la valutazione dei criteri basata su agenti ora supporta i criteri personalizzati. Gli amministratori globali possono ora personalizzare le policy integrate, caricare le policy o abilitare una copia delle policy personalizzate esistenti per le valutazioni basate su agenti.
[InsightVM] La scheda del dashboard Posizioni delle risorse più rischiose fornisce ulteriori dettagli La scheda del dashboard Posizioni delle risorse più rischiose in precedenza mostrava la posizione del sito e il punteggio di rischio. Questa scheda è stata migliorata, su richiesta del cliente, per includere anche il totale degli asset e il totale delle vulnerabilità nell’anteprima della scheda. Ciò fornisce ai clienti un contesto aggiuntivo sul motivo per cui una posizione ha un punteggio di rischio elevato e aiuta ad avvisare gli utenti dei siti che richiedono ulteriore attenzione.
[InsightVM e Nexpose] Nuovo look per la sezione Utenti dell’amministrazione della console In questo trimestre, abbiamo anche continuato ad aggiornare l’interfaccia utente (UI) dell’amministrazione della console per facilitare un’esperienza utente più intuitiva e coerente attraverso la console e la piattaforma Insight, incluso InsightVM.
L’ultima sezione ad essere aggiornata è la sezione Utenti dell’amministrazione della console. L’aggiornamento migliora l’accessibilità e l’esperienza utente complessiva della pagina Utenti. Abbiamo anche apportato alcune fantastiche nuove aggiunte come la modalità luce, una procedura guidata per rendere più intuitiva l’aggiunta di nuovi utenti nella sezione “Aggiungi utenti” e la possibilità di gestire le colonne visualizzate nella sezione Panoramica utenti.
[InsightVM e Nexpose] Supporto per Ubuntu 22.04 LTS
La console di sicurezza e il motore di scansione ora supportano il sistema operativo Ubuntu 22.04. Ubuntu è una delle distribuzioni Linux più popolari. La versione 22.04 di Ubuntu riceverà supporto a lungo termine dal fornitore per gli aggiornamenti hardware e di manutenzione, nonché la manutenzione estesa della sicurezza. I clienti delle versioni precedenti di Ubuntu possono ora eseguire l’aggiornamento alla 22.04!
[InsightVM e Nexpose] Motore di scansione containerizzato – rilascio continuo
Il motore di scansione containerizzato fornisce il motore di scansione come applicazione portatile o in pacchetto che può essere facilmente implementata nell’infrastruttura moderna. Ora una nuova immagine del motore containerizzato viene creata automaticamente e pubblicata su Docker Hub con ogni aggiornamento del prodotto o del contenuto di InsightVM. Ciò garantisce di lavorare continuamente con l’ultima versione. Sono disponibili anche versioni precedenti, contrassegnate da tag. Ulteriori informazioni sui motori di scansione containerizzati .
[InsightVM e Insight Platform] Nuova impostazione di conservazione per il monitoraggio degli agenti Insight
È ora possibile configurare il periodo di conservazione che determina per quanto tempo gli agenti Insight vengono monitorati nella tabella degli agenti. Oltre al periodo predefinito di 30 giorni, questa nuova impostazione consente di impostare periodi di conservazione di 7 e 15 giorni. Consulta la nostra documentazione aggiornata sulle impostazioni di gestione degli agenti per le istruzioni di configurazione e ulteriori dettagli.
[InsightVM e Nexpose] Verifica la presenza di vulnerabilità notevoli
Ci siamo impegnati a fornire una copertura rapida per le minacce emergenti a cui Rapid7 risponde nell’ambito del nostro programma ETR (Emergent Threat Response). Dal quarto trimestre del 2022, abbiamo fornito copertura lo stesso giorno o entro 24 ore per oltre 20 minacce emergenti, incluse le vulnerabilità zero-day.
Il programma ETR (Emergent Threat Response) di Rapid7 ha segnalato diversi CVE in questo trimestre. I clienti di InsightVM e Nexpose possono valutare la loro esposizione a molti di questi CVE con controlli di vulnerabilità, tra cui:
Soluzione MOVEit Transfer CVE-2023-34362 : Il team di ricerca di Rapid7 ha riscontrato i primi casi di compromissione nella soluzione MOVEit Transfer di Progress Software. Questo è stato quattro giorni prima che il venditore emettesse un avviso pubblico. Da allora il nostro team ha monitorato questa vulnerabilità critica zero-day. Rapid7 dispone di controlli di vulnerabilità remoti e autenticati disponibili per i clienti InsightVM e Nexpose per entrambe le vulnerabilità MOVEit Transfer. Scopri di piùqui.
Sfruttamento diffuso dei dispositivi di rete Zyxel CVE-2023-28771 : aggiunta all’elenco delle vulnerabilità sfruttate note (KEV) da CISA, questa vulnerabilità ha avuto un impatto sui dispositivi di rete Zyxel. La vulnerabilità è presente nella configurazione predefinita dei dispositivi vulnerabili ed è sfruttabile nell’interfaccia WAN (Wide Area Network), destinata ad essere esposta a Internet. Scopri di più sulla risposta di Rapid7 qui .
Vulnerabilità legata all’esecuzione di codice in modalità remota di PaperCut CVE-2023-27350: una vulnerabilità legata all’esecuzione di codice in modalità remota non autenticata nel software di gestione della stampa PaperCut MF/NG che consente agli aggressori di aggirare l’autenticazione ed eseguire codice arbitrario come SISTEMA su obiettivi vulnerabili. I clienti di InsightVM hanno a disposizione un assegno autenticato per CVE su sistemi Windows e MacOS. Scopri di più sulla risposta di Rapid7 qui .
Appliance Barracuda ESG CVE-2023-2868: le appliance Email Security Gateway (ESG) di Barracuda Networks sono state interessate da una vulnerabilità di tipo Remote Command Injection che, secondo l’azienda, è stata sfruttata dagli attori delle minacce almeno dall’ottobre 2022. Ulteriori informazioni su il CVE e la guida alla mitigazione qui .
Fortigate Firewall CVE-2023-27997 di Fortinet: è stata scoperta una vulnerabilità critica per l’esecuzione di codice remoto (RCE) nei firewall Fortigate SSL VPN. Le vulnerabilità dei dispositivi Fortinet sono storicamente popolari tra gli aggressori di tutti i livelli, anche se la sfruttabilità varia a seconda della vulnerabilità. Un controllo di vulnerabilità autenticato è disponibile per i clienti Rapid7 per valutare la loro esposizione. Scopri di più qui .
Il passaggio a un futuro senza password è uno sviluppo positivo. Ci sarà un giorno in cui gli account di tutti saranno meno vulnerabili alle attività criminali? Questo è un enorme passo avanti nella visione di SpyCloud per rendere Internet un posto più sicuro. Purtroppo quel giorno è ancora molto lontano. Le passkey, pur essendo un coraggioso passo nella giusta direzione, sono semplicemente un miglioramento rispetto a una metodologia di password per applicazione e presentano molte delle stesse sfide quando si tratta di mantenere la sicurezza degli account utente.
In risposta ai miglioramenti nelle tecnologie senza password, gli ecosistemi criminali si stanno rapidamente adattando:
Spostando la loro attenzione dalle credenziali dell’account ai metodi di recupero dell’account
In SpyCloud, ci concentriamo sul recupero su larga scala dei dati esfiltrati da violazioni e malware, mentre cerchiamo e recuperiamo nuove forme di dati che gli attori malintenzionati trovano preziosi per le loro intenzioni criminali per aiutare le aziende a reagire rapidamente, invalidando i dati di autenticazione rubati per mantenere i loro utenti e la loro attività protetta. Le chiavi di accesso, insieme ad altre tecnologie che verranno sviluppate in futuro, fanno parte di questa missione.
Man mano che la tecnologia passa, sarebbe ignorante presumere che qualsiasi nuova soluzione sia immune da compromissioni informatiche. Questo è vero nel caso del passaggio da password a passwordless. Poiché le password sono una misura di sicurezza semplice, conveniente e onnipresente, facile da implementare e praticamente senza curva di apprendimento per l’utente medio, è probabile che siano disponibili per un po’ di tempo. Ma nel frattempo, esaminiamo le opzioni per l’autenticazione senza password che esistono ora.
L’autenticazione senza password è un concetto di controllo della sicurezza progettato per sostituire le password tradizionali. E per decenni, nuovi metodi di autenticazione aumentata si sono avvicinati a categorie di hard token e soft token. I più comunemente usati sono:
HARD TOKENS
YubiKey Dispositivo di autenticazione proprietario basato su hardware che consente l’accesso sicuro a computer, reti e servizi online attraverso l’uso di password monouso, sviluppato da FIDO Alliance.
Biometria Utilizza identificatori personali univoci, come una scansione della retina, il riconoscimento facciale o l’impronta digitale che fornisce l’accesso tramite l’integrazione direttamente con l’hardware o l’applicazione.
SOFT TOKENS
Time-based One Time Password (TOTP) Un tipo di autenticazione a due fattori (2FA) in cui vengono create password numeriche univoche basate sul tempo. Offre un ulteriore livello di sicurezza dell’account attraverso un processo continuo e facile da usare, disponibile anche offline.
Passkey Progettata in conformità con FIDO, una passkey è una credenziale digitale legata in modo univoco a un sito Web oa un’applicazione che consente l’autenticazione senza la necessità di un nome utente, una password o persino un fattore di autenticazione aggiuntivo.
Sebbene rappresentino la prossima iterazione della tecnologia senza password, generando molta eccitazione e novità, le passkey non sono immuni ai compromessi. Sono più sicuri di alcuni metodi di autenticazione e decisamente meno soggetti a cattive pratiche igieniche e, in termini di usabilità, è molto più facile tenere traccia dell’accesso a tutto ciò che riguarda la nostra impronta digitale. Detto questo, qualsiasi livello di autenticazione non bloccherà mai completamente l’accesso a un malintenzionato. Le soluzioni SpyCloud si evolvono con l’evolversi dei criminali, poiché miriamo a mantenere i clienti agili nel rispondere a tattiche criminali in continua evoluzione. Negli ultimi 12-18 mesi, abbiamo iniziato a vedere i criminali andare oltre le password rubate per perpetrare il furto di account . Sono passati a ciò che chiamiamo ATO di nuova generazione: dirottamento di sessione . Con l’elevato volume di cookie di sessione esfiltrati da malware disponibili sulla darknet, questo attacco sta diventando sempre più popolare. Gli infostealer sottraggono tutto ciò che è contenuto nel browser di un utente infetto, inclusi i cookie di sessione. Questi cookie vengono venduti (e talvolta regalati) sui mercati del darknet e consentono un attacco che richiede solo pochi secondi, consentendo a un criminale di impersonare l’utente legittimo senza sollevare segnali d’allarme.
Tutto ciò che serve è un cookie rubato per una sessione attiva e un browser anti-rilevamento per consentire a un criminale di perpetrare il dirottamento della sessione. Questi attacchi aggirano qualsiasi meccanismo di autenticazione forte esistente. Non importa se l’utente ha effettuato l’accesso con un nome utente e una password, ha completato una verifica MFA o ha utilizzato una passkey. E se il cookie rubato è legato a una sessione SSO attiva, ciò potrebbe aprire la porta a un criminale informatico a oltre 200 applicazioni per la media impresa di grandi dimensioni.
Indipendentemente dal fatto che una sessione sia stata originariamente autenticata con una password o una passkey, ogni sito e applicazione assegna un cookie/token, una stringa di caratteri che il sito o il server utilizza per ricordare i visitatori e rendere più facile visitare nuovamente il sito senza eseguire l’autenticazione. Questi cookie variano in termini di “tempo di vita”, ma rimarrai sorpreso dal fatto che molti di essi rimangano validi per settimane, mesi o anche di più.
Se ti stai chiedendo, ‘quanti di questi cookie sono davvero disponibili per essere utilizzati dai criminali?’ Solo lo scorso anno, SpyCloud ha recuperato oltre 22 miliardi di cookie di sessione rubati da infostealer. Solo per i dipendenti di Fortune 1000, 1,87 miliardi .
Se ti stai chiedendo, ‘possiamo eliminare i cookie se presentano un rischio così grande?’ Francamente no. I cookie sono fondamentali per il funzionamento di Internet.
Inutile dire che ci sono enormi opportunità per i criminali quando si tratta di dirottamento della sessione, che rimarrà una minaccia critica anche se le passkey cresceranno in popolarità.
È disponibile una patch per questa vulnerabilità e deve essere applicata in caso di emergenza.
Panoramica
La vulnerabilità è stata pubblicata nel marzo 2023 ed è ampiamente sfruttata in natura da un’ampia gamma di attori delle minacce, tra cui più APT e gruppi di ransomware come Cl0p e LockBit. Diverse altre società di sicurezza e testate giornalistiche hanno già pubblicato articoli sull’uso di CVE-2023-27350 da parte di attori delle minacce, incluso il team di intelligence sulle minacce di Microsoft, che sta monitorando lo sfruttamento da parte di più attori delle minacce sponsorizzati dallo stato iraniano .
La US Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI hanno rilasciato un avviso congiunto l’11 maggio 2023 avvertendo che CVE-2023-27350 era stato sfruttato almeno da metà aprile e veniva utilizzato negli attacchi ransomware Bl00dy in corso contro “il Sottosettore delle strutture educative. Il loro avviso include indicatori di compromissione (IOC) e rafforza la necessità di patch immediate.
La superficie di attacco esposta a Internet per CVE-2023-27350 sembra essere modesta, con meno di 2.000 istanze vulnerabili di PaperCut identificate ad aprile 2023. Tuttavia, la società afferma di avere più di 100 milioni di utenti, il che è un forte motivatore per un vasta gamma di attori della minaccia.
Prodotti interessati
Secondo l’ avviso del fornitore , CVE-2023-27350 riguarda PaperCut MF o NG 8.0 e versioni successive su tutte le piattaforme. Questo include le seguenti versioni:
8.0.0 a 19.2.7 (incluso)
20.0.0 a 20.1.6 (incluso)
Dal 21.0.0 al 21.2.10 (compreso)
Dal 22.0.0 al 22.0.8 (compreso)
PaperCut ha una FAQ disponibile per i clienti alla fine del loro avviso . Tieni presente che l’aggiornamento a una versione fissa di PaperCut risolve sia CVE-2023-27350 che CVE-2023-27351 .
Clienti Rapid7
La seguente copertura di prodotti è disponibile per i clienti Rapid7:
InsightVM e Nexpose
Un controllo autenticato per CVE-2023-27350 su sistemi Windows e MacOS è disponibile per i clienti Nexpose e InsightVM a partire dal 28 aprile 2023. Un controllo remoto e non autenticato per PaperCut MF dovrebbe essere spedito nella versione di solo contenuto del 17 maggio.
InsightIDR e rilevamento e risposta gestiti
La seguente regola è stata aggiunta per i clienti Rapid7 InsightIDR e Managed Detection and Response (MDR) e si attiverà in caso di comportamenti dannosi noti derivanti dallo sfruttamento di PaperCut:
Suspicious Process - PaperCut Process Spawning Powershell or CMD
GALWAY, Irlanda e SHELTON, Conn., 15 marzo 2023- @TitanHQ , leader nella sicurezza delle e-mail aziendali, ha annunciato oggi di essere stato riconosciuto come leader in cinque categorie nel rapporto G2 Crowd Grid® Winter 2023, oltre a guadagnare una delle prime cinque posizioni in altre 12 categorie: una prestazione eccezionale.
Notizie entusiasmanti da G2 questo mese in quanto SpamTitan Email Security è stato nominato leader nel rapporto Winter 2023 di G2 per le seguenti categorie: Cloud Email Security, Small Business Email Security, Email Anti-Spam SMB e Email Security. Questo riconoscimento arriva sulla scia del rilascio dei G2 Grid Reports dell’inverno 2023, in cui la sicurezza e-mail di SpamTitan è stata anche annunciata in una posizione di vertice per altre 12 categorie.
I premi per gli utenti di G2 Crowd sono una classifica definitiva delle migliori aziende di software e prodotti in tutto il mondo. G2 è una fonte altamente affidabile per le recensioni tecnologiche, combina recensioni verificate dei clienti, opinioni sui social media e altre fonti di dati online per valutare software e servizi per i loro report Grid trimestrali. I premi si basano su autentiche revisioni tra pari e mostrano all’utente che il sito è sicuro e affidabile. Le organizzazioni classificate nel quadrante Leader sono molto apprezzate dagli utenti e hanno una presenza significativa sul mercato.
La piattaforma di sicurezza informatica di TitanHQ riceve costantemente valutazioni di soddisfazione molto elevate da parte dei nostri utenti. Oltre ai premi G2, SpamTitan ha oltre 500 recensioni di clienti a 5 stelle su Capterra/Gartner, GetApp e Software Advice. È anche il leader di categoria per la sicurezza della posta elettronica su Expert Insights e PeerSpot, siti di recensioni del settore della sicurezza molto rispettati. “Il feedback estremamente positivo degli utenti di SpamTitan sui siti di recensioni indipendenti è un ritorno per il massiccio investimento che abbiamo fatto nei nostri prodotti e nelle informazioni sulle minacce”, ha affermato Ronan Kavanagh, CEO di TitanHQ.
Attacchi di phishing e malware causano gravi danni alle aziende, con conseguenti perdite finanziarie significative e danni alla reputazione. TitanHQ ha lanciato SpamTitan Plus lo scorso anno, che si concentra in particolare sul blocco degli attacchi di phishing in tempo reale utilizzando l’intelligenza artificiale e l’apprendimento automatico all’avanguardia. Le informazioni sulle minacce alla base di questa soluzione sono 1,5 volte più potenti delle soluzioni leader del settore. Il nuovo prodotto ha riscosso un enorme successo tra i clienti di TitanHQ ed è la soluzione più popolare nel settore. Che tu sia un professionista IT in un’azienda o un MSP che offre servizi di sicurezza, TitanHQ semplifica l’implementazione della sicurezza e-mail e Web e aggiunge livelli di protezione altamente efficaci contro malware, ransomware e attacchi di phishing.
SpamTitan compete direttamente con leader del settore come Proofpoint, Mimecast e Barracuda ed è visto come un’opzione efficace, facile da usare e più conveniente con un eccellente supporto di prima linea. Per ulteriori informazioni sulla piattaforma TitanHQ e su come proteggiamo i tuoi utenti e clienti da malware, ransomware, phishing, virus, botnet e altre minacce informatiche, visita www.titanhq.com
Grazie a G2 Crowd e a tutti gli utenti G2 che continuano a dare alla suite di soluzioni TitanHQ queste eccellenti valutazioni!
A proposito di TitanHQ
TitanHQ offre una piattaforma di sicurezza informatica SaaS best-in-class che offre una soluzione di sicurezza a più livelli per prevenire la vulnerabilità degli utenti. La nostra piattaforma incentrata sugli MSP consente ai nostri partner di generare entrate ricorrenti attraverso la vendita delle nostre soluzioni alle PMI e di ridimensionare e gestire in modo efficace le proprie attività.
Le violazioni si verificano continuamente. Sebbene nessuno di noi possa controllare il modo in cui le altre aziende proteggono i nostri dati, possiamo fare molto per proteggere noi stessi.
La nostra prima azione consigliata dopo una violazione è che gli utenti esposti cambino immediatamente la propria password per quell’account e per qualsiasi altro account protetto dalla stessa password (o da una simile). Con un tipo di attacco chiamato credential stuffing , una password riutilizzata può offrire ai criminali una porta aperta agli altri tuoi account. Quando la tua password viene compromessa, malintenzionati possono impossessarsi del tuo account, fingendosi il legittimo proprietario, accedendo a dati personali sensibili, prosciugando account ed effettuando acquisti fraudolenti.
In caso di acquisizione di un account aziendale, il criminale potrebbe essere in grado di rubare dati che facilitano ulteriori attacchi, incluso il ransomware, contro l’azienda.
Dal momento che pochi di noi riescono a ricordare una password complessa e univoca per ogni account che possediamo, è facile diventare compiacenti, ma questo incoraggia solo i malintenzionati. Hanno già così tanto su cui lavorare: solo lo scorso anno, SpyCloud ha riconquistato 1,7 miliardi di credenziali esposte in violazioni dei dati e vendute o scambiate sulla darknet. Inoltre, abbiamo trovato un numero impressionante di indirizzi e-mail aziendali e password in chiaro nel nostro set di dati: 27,36 milioni di paia di credenziali associate ai dipendenti Fortune 1000.
Con tutti che fanno affidamento sulle identità digitali ora più che mai, i criminali informatici hanno molte più opportunità di trarre profitto dalle password e dai dati di identità esposti nelle violazioni. La chiave è agire rapidamente dopo un’esposizione in modo da interrompere la loro capacità di trarre profitto da quei dati rubati.
Le mie credenziali aziendali sono state esposte in una violazione dei dati – e adesso?
I criminali informatici agiscono in fretta. Sanno che il tempo stringe dal momento in cui le credenziali vengono rubate. Usano tecnologie sofisticate e robot per confrontare la password con migliaia di siti Web e app comuni. Modificando la password esposta nel momento in cui viene scoperta una violazione, riduci al minimo il rischio che il criminale possa utilizzare la password per accedere a dati personali o di lavoro.
Gli esperti consigliano vivamente di utilizzare password complesse che sono univoche per ogni account. Utilizzare la stessa password su più account o riutilizzare una vecchia password è estremamente rischioso. Dai un’occhiata ai suggerimenti di SpyCloud per password complesse per ulteriori consigli su come creare password uniche e complesse che migliorino l’igiene della tua password.
Cambia tutte le varianti della password compromessa
Quando alle persone viene chiesto di cambiare le proprie password, la maggior parte decide di cambiare semplicemente un carattere o due. Può sembrare una buona idea e renderla più facile da ricordare, ma i criminali informatici se lo aspettano. Possono prendere solo pochi caratteri di una password compromessa e decifrare rapidamente il resto, anche se è stata modificata di recente. Tuttavia, la nostra ricerca mostra che decifrare una password complessa può richiedere decenni e un’ampia potenza di supercalcolo.
Assicurati che tutte le variazioni della password compromessa vengano modificate e non utilizzare mai più quella password compromessa o una sua variazione. I criminali informatici sanno che gli utenti spesso tornano alle vecchie password. Eseguiranno ripetutamente quella password attraverso il loro sistema per anni.
Abilita l’autenticazione a più fattori
Ogni volta che viene offerto, consigliamo di utilizzare l’autenticazione a più fattori (MFA). Sebbene non fornisca la massima protezione, offre un altro livello di sicurezza ed è in genere un deterrente sufficiente per tutti tranne i criminali più persistenti. MFA stabilirà un altro metodo di identificazione sugli account che offrono la funzionalità, spesso inviando all’utente un codice univoco tramite una notifica push o un programma di autenticazione sul proprio dispositivo mobile.
Anche se un criminale informatico ottiene l’accesso alle credenziali, non sarà immediatamente in grado di accedere all’account associato a meno che non fornisca il secondo fattore di autenticazione. Se l’unico metodo di MFA offerto dall’account sono le risposte segrete alle domande di sicurezza, inventa le risposte! Non utilizzare informazioni reali; è abbastanza facile da mettere insieme da database pubblici o piattaforme come i social media. Memorizza le tue (false) risposte segrete nel tuo gestore di password.
Implementa un gestore di password
Uno dei modi migliori per proteggere le tue password è utilizzare un gestore di password. I gestori di password generano automaticamente password lunghe e complesse che sono quasi impossibili da violare per i criminali e sono uniche per ogni account. Ai dipendenti dovrebbe essere richiesto di utilizzare i gestori di password, in particolare sui loro account relativi al lavoro (ma dovrebbero estenderne l’uso ai loro account personali!).
Controlla la tua esposizione Darknet
Non sembra che le violazioni dei dati stiano rallentando. Nel 2022 ci sono state 1.802 violazioni dei dati segnalate pubblicamente che hanno avuto un impatto su 422,1 milioni di persone. Con ogni violazione, vengono esposte le credenziali che mettono a rischio gli account aziendali e personali. Comprendere la tua esposizione alla darknet e quindi adottare le misure necessarie per proteggere te stesso e la tua azienda sono i primi passi per proteggerti dagli attacchi informatici.
Utilizza lo strumento Verifica la tua esposizione di SpyCloud per scoprire cosa sanno i criminali informatici su di te e sulla tua organizzazione, tra cui:
Violazione dei dati basata sul rischio aziendale ed esposizione al malware per gli utenti del tuo dominio
Con oltre 325 miliardi di risorse di violazione e malware riconquistate, SpyCloud ti offre la visibilità della tua esposizione aziendale e personale e offre alle aziende soluzioni automatizzate per rilevare password esposte, malware, cookie rubati e applicazioni cloud e shadow IT a rischio che sono porte aperte per i criminali.
Scopri di più sulla tua esposizione aziendale nel darknet.
Ultimo aggiornamento venerdì 10 febbraio 2023 16:55:49 GMT
La scorsa settimana, diverse organizzazioni hanno emesso avvisi secondo cui una campagna ransomware denominata “ESXiArgs” stava prendendo di mira i server VMware ESXi, presumibilmente sfruttando CVE-2021-21974, una vulnerabilità di overflow dell’heap di quasi due anni. Due anni. Eppure, la ricerca di Rapid7 ha rilevato che un numero significativo di server ESXi rimane probabilmente vulnerabile. Riteniamo, con grande sicurezza, che ci siano almeno 18.581 server ESXi vulnerabili connessi a Internet al momento della stesura di questo documento.
Quel numero di 18.581 si basa sulla telemetria del Project Sonar. Sfruttiamo la firma Recog del certificato TLS per determinare che un determinato server è un server ESXi legittimo. Quindi, dopo aver rimosso i probabili honeypot dai risultati, abbiamo confrontato gli ID build dei server scansionati con un elenco di ID build vulnerabili.
Project Sonar è uno sforzo di ricerca Rapid7 volto a migliorare la sicurezza attraverso l’analisi attiva delle reti pubbliche. Come parte del progetto, conduciamo sondaggi su Internet su più di 70 diversi servizi e protocolli per ottenere informazioni sull’esposizione globale a vulnerabilità comuni.
Abbiamo anche osservato ulteriori incidenti che prendono di mira i server ESXi, non correlati alla campagna ESXiArgs, che probabilmente sfruttano anche CVE-2021-21974. RansomExx2: è stato osservato che un ceppo relativamente nuovo di ransomware scritto in Rust e mirato a Linux sfrutta i server ESXi vulnerabili. Secondo un recente rapporto IBM Security X-Force , il ransomware scritto in Rust ha tassi di rilevamento antivirus inferiori rispetto a quelli scritti in linguaggi più comuni.
Problemi CISA risolti, più o meno
La US Cybersecurity and Infrastructure Security Agency (CISA) mercoledì ha rilasciato un decryptor ransomware per aiutare le vittime a riprendersi dagli attacchi ESXiArgs. Tuttavia, è importante notare che lo script non è una cura per tutti e richiede strumenti aggiuntivi per un ripristino completo. Inoltre, i rapporti suggeriscono che l’autore della minaccia dietro la campagna ha modificato il proprio attacco per mitigare il decryptor.
Lo script funziona consentendo agli utenti di annullare la registrazione delle macchine virtuali che sono state crittografate dal ransomware e di registrarle nuovamente con un nuovo file di configurazione. Tuttavia, è comunque necessario disporre di un backup delle parti crittografate della VM per eseguire un ripristino completo.
Il vantaggio principale dello script decryptor è che consente agli utenti di riportare le macchine virtuali a uno stato funzionante mentre il ripristino dei dati dal backup avviene in background. Ciò è particolarmente utile per gli utenti di strumenti di backup tradizionali senza funzionalità di ripristino di emergenza basate sulla virtualizzazione.
I consigli di Rapid7
Negare l’accesso ai server. A meno che un servizio non debba assolutamente essere su Internet, non esporlo a Internet. Alcune vittime di questi attacchi hanno esposto questi server a Internet aperto, ma avrebbero potuto ricavarne altrettanto valore commerciale limitando l’accesso agli indirizzi IP consentiti. Se stai eseguendo un server ESXi o qualsiasi server, per impostazione predefinita nega l’accesso a quel server tranne che dallo spazio IP attendibile.
Applica patch ai server ESXi vulnerabili. VMware ha rilasciato una patch per CVE-2021-21974 quasi due anni fa. Se disponi di server ESXi senza patch nel tuo ambiente, fai clic su quel collegamento e correggili ora.
Sviluppare e aderire a una strategia di patching. L’applicazione di patch presenta indubbiamente delle sfide. Tuttavia, questo evento illustra perfettamente il motivo per cui è essenziale disporre di una strategia di patching e attenersi ad essa.
Eseguire il backup delle macchine virtuali. Assicurati di disporre di una soluzione di backup, anche per le macchine virtuali. Come notato sopra, lo script decryptor emesso dalla CIA è solo una soluzione parziale. L’unico modo per recuperare completamente dagli attacchi associati a CVE-2021-21974 è tramite backup operativi. Oggi è disponibile un’ampia varietà di soluzioni di backup per proteggere le macchine virtuali.
Malware-as-a-service (MaaS) è un’economia in crescita nel sottosuolo criminale, che apre le porte a ransomware, frode di identità e altri crimini informatici. L’aumento della popolarità del malware per il furto di credenziali (noto anche come infostealer) è particolarmente una grande preoccupazione per le organizzazioni perché può rubare i dati di autenticazione dei dipendenti direttamente dai dispositivi dei dipendenti (gestiti o non gestiti), consentendo ai criminali informatici di impersonare quegli individui – e basta pochi secondi.
Probabilmente hai sentito molto che i criminali informatici diventano sempre più sofisticati. Ma non ci vuole molto buon senso per sfruttare gli infostealer. Chiunque abbia un paio di centinaia di dollari e qualche minuto libero può lanciare una campagna di malware, soprattutto considerando che ci sono anche persone che eseguiranno l’installazione per te.
Per immaginare l’entità della minaccia, considera il Raccoon Infostealer che è stato nelle notizie di recente. Il Dipartimento di Giustizia degli Stati Uniti ha recentemente incriminato la mente dietro il malware, un cittadino ucraino di 26 anni. Come parte della sua indagine, il DOJ ha trovato più di 50 milioni di credenziali di accesso univoche che sono state sottratte da endpoint infetti, ma ciò non tiene conto di tutto ciò che potrebbe ancora circolare sulla rete oscura.
La barriera all’ingresso per questo infostealer è praticamente nulla. Venduto nei mercati clandestini per circa $ 200 al mese, Raccoon era completo di tutti gli strumenti necessari per infettare i dispositivi e rubare i dati, inclusa una dashboard che consentiva al cliente di scaricare i dati rubati e creare configurazioni di malware individuali che potevano essere utilizzate per prendere di mira una varietà di privati o aziende. E anche se il governo degli Stati Uniti ha smantellato l’infrastruttura di Raccoon, la banda dietro questo MaaS è tornata in attività. Raccoon 2.0 viene pubblicizzato come una versione nuova e migliorata, con ancora più funzionalità.
Uno degli strumenti che consente agli attori malintenzionati di eseguire ampi attacchi di infostealer sono le “botnet” o reti di robot. Mentre gli infostealer sono spesso una delle parti più dannose del pacchetto, le botnet possono amplificare la portata e l’efficacia di una campagna automatizzando la parte di accesso iniziale del ciclo di attacco. Anche le botnet possono essere una specie di doppio smacco: devi preoccuparti non solo che i dati critici vengano sottratti su larga scala, ma anche che i dispositivi dei dipendenti diventino parte di questa rete.
L’evoluzione delle botnet
Le botnet sono state notoriamente utilizzate per lanciare attacchi DDoS (Distributed Denial-of-Service), come la botnet BredoLab del 2010 che, al suo apice, comprendeva oltre 30 milioni di singole macchine. Oggi le botnet si sono evolute per distribuire malware, compresi gli infostealer, spesso progettati per lasciare tracce minime o nulle sul dispositivo bersaglio. Questo malware spesso vola sotto il radar rimuovendosi dopo l’esecuzione, quindi qualsiasi segno viene eliminato quando il computer viene riavviato.
Dotati di strumenti come i moderni infostealer e altri mezzi per ottenere l’accesso iniziale, gli aggressori possono spesso prendere piede su una rete in pochi minuti. Il cloud lo rende ancora più semplice, poiché un utente malintenzionato può ridimensionare tale processo in modo tale da poter infettare migliaia di computer con poche interazioni manuali e sottrarre passivamente dati sensibili da una vasta rete di host infetti.
Grazie all’economia sommersa, chiunque può acquistare una botnet o pagare un infostealer, estrarre le credenziali che ha sottratto, creare un elenco combinato (combinazioni di nome utente e password) e lanciarlo contro un elenco di siti mirati per provare ad accedere ad altri account. Oppure, in alternativa, lo stesso utente malintenzionato può decidere di vendere un accesso prezioso, per una società specifica o forse per un asset come un grande conto di criptovaluta, al miglior offerente, che può essere un affiliato di ransomware o un altro attore criminale motivato finanziariamente.
Ma gli attori nefasti non devono nemmeno prendersi così tanti problemi. Basta guardare Raccoon – il gruppo dietro di esso lo pubblicizzava come un processo completamente automatizzato che era il risultato di mesi di sviluppo per far risparmiare ai “clienti” tempo prezioso e mal di testa – con tutti i componenti software, front-end e back-end inclusi.
Ciò che rende gli infostealer così pericolosi è che i dati sottratti direttamente dal dispositivo dei dipendenti aumentano notevolmente la percentuale di successo dei criminali informatici. Questi dati vengono condivisi in piccoli circoli criminali tra collaboratori fidati che possono utilizzarli per lanciare rapidamente attacchi. Ecco perché le infezioni da malware sono così strettamente legate agli attacchi ransomware: con le credenziali e i cookie appena raccolti o i dati delle impronte digitali del browser in mano, i malintenzionati sfruttano rapidamente tali informazioni per dirottare una sessione, aggirare l’autenticazione a più fattori (MFA), accedere al enterprise e iniziare a crittografare le risorse.
Quando il team di sicurezza scopre cosa è successo, è troppo tardi. E questo se rilevano effettivamente il malware. Considerando l’esplosione di dispositivi non gestiti e non monitorati, in particolare con l’aumento del lavoro da remoto, per non parlare dei dispositivi gestiti non sicuri e dei dispositivi degli appaltatori che non sono aggiornati, molti team di sicurezza hanno una visibilità limitata o nulla su ciò che accade sui dispositivi che i dipendenti utilizzare per accedere alle risorse aziendali.
Cosa può fare la tua azienda
Soluzioni di rilevamento e risposta alle minacce degli endpoint, backup dei dati, MFA, robuste policy di accesso: questi e altri controlli di sicurezza di base aiutano tutti a ridurre al minimo i rischi contro le botnet e le successive infezioni da malware. Per un’ulteriore prevenzione, le aziende possono assumere una posizione forte riducendo al minimo o addirittura eliminando completamente le pratiche BYOD che possono rappresentare una minaccia significativa per l’organizzazione.
Ma la prevenzione è solo uno strato. Le infezioni da malware possono capitare a chiunque: anche gli utenti più scaltri possono essere inconsapevolmente compromessi aprendo accidentalmente un’e-mail fantasticamente ingannata con un collegamento dannoso. Il rilevamento del malware distribuito dalle botnet al momento dell’infezione e la rapida risoluzione post-infezione sono una parte necessaria della tua difesa.
Cancellare semplicemente il malware dal dispositivo non fornisce quel livello di protezione. Devi sapere esattamente quali dati sono stati sottratti e come possono essere utilizzati come armi contro la tua azienda e reagire rapidamente prima che l’attaccante abbia l’opportunità di farlo.
È qui che la visibilità sui dati della rete oscura è fondamentale. Il monitoraggio di utenti e dispositivi compromessi consente di eseguire rapidamente la riparazione post-infezione. Per limitare la portata della minaccia, è necessario sapere non solo quali utenti e dati sono stati esposti, ma anche quali sistemi e applicazioni sono stati compromessi.
Sebbene le botnet siano solo un tipo di attacco informatico di cui essere a conoscenza, è anche utile rimanere aggiornati sulle minacce che colpiscono il proprio settore. Non hai necessariamente bisogno di un costoso feed di intelligence sulle minacce per essere a conoscenza delle tendenze e delle tattiche che i criminali informatici stanno impiegando: puoi farlo anche leggendo ricerche e notizie del settore. Sapere quali vulnerabilità vengono prese di mira attivamente può aiutarti a dare la priorità ai passaggi critici di mitigazione all’interno della tua organizzazione.
Tieni presente che la maggior parte degli infostealer moderni impiega meno di un secondo per infettare un dispositivo. Una volta che i tuoi dati sono fuori dalla porta, il rischio potrebbe durare per anni se non agisci per riparare tutte le informazioni compromesse. Nessuna impresa può permettersi di correre questo rischio.
C’è troppo da fare con troppo poco talento? Se il tuo SOC non funziona correttamente da un po’ di tempo, ci sono probabilmente più ragioni per cui. Come dice una frase gergale popolare in questi giorni, è a causa di “tutti i motivi”. Budget, tasso di abbandono dei talenti, gestione degli avvisi ovunque; potresti anche lavorare in un settore ad alto rischio / ad alta frequenza di attacco come l’assistenza sanitaria o i media.
A causa di “tutti questi motivi” – e forse alcuni altri – ti ritrovi con un carico pesante da mettere al sicuro. Un carico che forse non sembra mai alleggerirsi. Anche quando ottieni personale di sicurezza veramente talentuoso e inizi il processo di onboarding, più spesso in questi giorni sembra un enorme punto interrogativo se saranno disponibili anche solo tra un anno. E forse l’attuale divario di competenze in materia di sicurezza informatica è qui per restare.
Ma ciò non significa che non ci sia niente che tu possa fare al riguardo. Ciò non significa che non puoi essere potente di fronte a quel carico pesante e alla frequenza di attacco. Rafforzando il tuo elenco attuale e mettendo a punto strategie su come il tuo talento potrebbe collaborare al meglio con un fornitore di servizi di rilevamento e risposta gestiti (MDR), potresti non doverti semplicemente accontentare di superare il divario di talenti. Potresti scoprire che stai risparmiando denaro, creando nuove efficienze e attivando un superpotere che può aiutarti a sollevare il carico come mai prima d’ora.
Il vantaggio nascosto
Diciamo che la conservazione non è un grosso problema nella tua organizzazione. Come manager, cerchi di rimanere ottimista, rafforzare la positività quotidiana e mostrare la tua gratitudine per un lavoro ben fatto. Se è davvero così, molto probabilmente le persone si divertono a lavorare per te e probabilmente restano nei paraggi se sono pagate bene e in modo equo per la media del settore. Allora perché non rafforzare quella cultura e fiducia:
Alleggerire il carico: elimina la necessità di gestire la maggior parte dei falsi positivi e gli avvisi frequenti. Se alle tue persone piace davvero lavorare nella tua organizzazione, anche nel bel mezzo di un difficile divario di talenti, apprezzano il loro equilibrio tra lavoro e vita privata. Sfidare questo equilibrio chiedendo orari più lunghi per trasformare i tuoi dipendenti in glorificati pusher di pulsanti invierà il messaggio sbagliato e potrebbe mandarli a fare i bagagli per altri lavori.
Prevenire il burnout: i professionisti della sicurezza informatica devono iniziare da qualche parte e probabilmente in una posizione di livello base si occuperanno di molti avvisi e attività ripetitive mentre acquisiscono una preziosa esperienza. Ma di fronte allo stress crescente di incidenti ripetuti e ripetuti, falsi o meno, è più probabile che i lavoratori esperti pensino di abbandonare il loro lavoro attuale per qualcosa che considerano migliore. Quasi il 30% degli intervistati in un recente sondaggio di ThreatConnect ha citato il forte stress come motivo principale per cui lascerebbe un lavoro.
Creare spazio per innovare: tutti devono affrontare noiosi avvisi in qualche modo nel corso di una carriera. Tuttavia, le persone qualificate dovrebbero avere lo spazio per affrontare sfide più grandi e creative rispetto a qualcosa che molto probabilmente può essere automatizzato o gestito da un partner di servizi qualificato. Ecco perché un partner MDR può essere un moltiplicatore di forza, fornendo valore al tuo programma di sicurezza consentendo ai tuoi analisti di fare di più in modo che possano proteggere meglio l’azienda.
La conservazione potrebbe essere la ragione
L’ultimo punto sopra è più che giusto da fare. Liberare i singoli membri del tuo team per lavorare su progetti che guidano la visione e la missione più macro dell’organizzazione di sicurezza può essere quel moltiplicatore di forza che determina alti tassi di conservazione. Ed è fantastico!
La sfida successiva, quindi, consiste nel trovare quel partner che può essere un’estensione del tuo team di sicurezza, uno specialista di rilevamento e risposta in grado di raccogliere gli avvisi e concentrarsi sull’eliminazione delle attività ripetitive dalla tua organizzazione, aumentando il tasso di conservazione e creando spazio per innovare . Garantire un’ottima connessione tra il tuo team e il tuo fornitore di servizi preferito è fondamentale. Il fornitore diventerà essenzialmente parte del tuo team, quindi quella relazione è importante tanto quanto le dinamiche interpersonali dei tuoi team interni.
Un fornitore con una squadra di esperti interni di risposta agli incidenti può aiutare a velocizzare l’identificazione degli avvisi e la risoluzione delle vulnerabilità. Se puoi collaborare con un fornitore che gestisce la risposta alle violazioni al 100% internamente, invece di subappaltarla, questo può aiutare a formare legami più stretti tra il tuo team interno e quello del fornitore in modo da poter contenere e sradicare le minacce in modo più efficace.
Come puoi fare di più quando ti viene costantemente dato lo stesso o meno? Quando i budget per la sicurezza non corrispondono al ritmo delle operazioni cloud che hanno il compito di proteggere, l’unica cosa da fare è diventare un esperto del tratto. È difficile e potresti essere attualmente sotto stress crescente per farcela.
Mentre i budget complessivi totali diminuiranno effettivamente, Gartner ha recentemente previsto che la spesa per la sicurezza informatica e la gestione del rischio aumenterebbe dell’11,3% nel 2023, guidata in gran parte dal passaggio alle piattaforme cloud. E qual è stato un fattore importante nell’aumento dell’adozione del cloud? Hai indovinato: il passaggio a modelli di lavoro a distanza o ibridi durante il culmine delle misure di mitigazione della pandemia. In questi giorni potresti avere più a sostegno della tua argomentazione per un aumento dei finanziamenti.
Nella corsa del 2020 per mantenere le persone al sicuro esortandole a rimanere a casa e a rimanere occupate, la forza lavoro è diventata rapidamente virtuale, più distribuita e incredibilmente dipendente dalle piattaforme cloud per consentire la connettività reciproca. Le aziende che avrebbero potuto immergere le dita dei piedi prima della pandemia ora stanno facendo il pieno tuffo nel cloud dopo la pandemia.
La promessa del cloud è un punto interessante da discutere. Può essere più economico scalare nel cloud, ma a seconda di come è fatto e in quale settore, potrebbe effettivamente richiedere una parte maggiore del budget. Ma può ancora essere potente e flessibile. In altre parole, molto probabilmente i budget continueranno ad aumentare per l’adozione del cloud. Detto questo, se hai ancora problemi ad acquisire più budget per la sicurezza, cosa dovresti fare?
Trovare la giusta misura
Non stiamo parlando di uno scenario apocalittico in cui non vedrai mai un altro aumento del tuo budget. La sicurezza informatica e la sicurezza del cloud sono argomenti prioritari per le aziende e le nazioni di tutto il mondo. Tuttavia, le soluzioni si sono evolute per affrontare i problemi di budget delle organizzazioni di sicurezza. E ci sono fornitori affidabili che hanno creato offerte che possono fare di più senza chiedere di più al tuo budget. Questo scenario più con meno ha il potenziale per soddisfare tutti i livelli aiutandoti a:
Concentrarti sui casi d’uso: di che tipo di sicurezza cloud hai bisogno? Spendere inutilmente denaro per soluzioni di cui non hai bisogno equivale a un comportamento criminale nell’attuale crisi economica globale. Assicurati di sapere esattamente cosa devi proteggere, quanto si estendono i tuoi perimetri e i tipi generali di sicurezza disponibili (CSPM, CWPP, ecc.). InsightCloudSec di Rapid7 è una piattaforma unificata che incorpora molteplici casi d’uso e tipi di sicurezza cloud.
Estrapolare i potenziali costi e dimostrare il valore della sicurezza: una volta che sai di cosa hai bisogno e il tipo o i tipi di soluzioni che possono risolverlo, è una buona idea collaborare con chiunque controlli i tuoi budget per la sicurezza. Perché si tratta meno dei costi o delle quote di abbonamento che vedi oggi e più dell’estrapolazione dei risparmi sui costi man mano che crescono gli ambienti cloud, il trasferimento dei dati, l’archiviazione e altri aspetti di tale adozione. Allora saprai quanto o poco ti servirà per impegnarti in atti eroici che allungano il budget.
Individuaew soluzioni sotto un unico ombrello: vuoi trattare con uno o più fornitori? In quest’ultimo scenario, tieni a mente i molteplici team di supporto con cui dovrai destreggiarti e le diverse piattaforme su cui opereranno tali soluzioni. Non esiste una soluzione valida per tutti, ma esistono fornitori in grado di fornire una suite di funzionalità ad ampio raggio in modo da avere un unico punto di contatto e rendere operativa al meglio la sicurezza del cloud.
A proposito di tutta quella faccenda del “dimostrare il valore della sicurezza”…
Al giorno d’oggi, non dovresti davvero dimostrare il valore della tua organizzazione. Ma molto probabilmente ti senti così ogni volta che devi lottare per una fetta più grande della torta del budget. Certo, puoi impegnarti nell’allungamento dell’eroismo, ma dovresti impegnarti in quegli eroismi giorno dopo giorno, per anni e anni? Si spera non ora, quando il ransomware è ancora di gran moda e gli attacchi sponsorizzati dagli stati nazionali stanno diventando affari più legittimi in molte parti del mondo.
Il tempismo è tutto, tuttavia, e ora – alla fine dell’anno – sarebbe il momento di tirare fuori alcuni di quegli eroi e sostenere la tua causa per più budget. Ciò consentirà la tua esplorazione in una soluzione che può fare di più con meno. InsightCloudSec di Rapid7 è una piattaforma di gestione dei rischi e della conformità del cloud che consente alle organizzazioni di accelerare in modo sicuro l’adozione del cloud con sicurezza e conformità continue durante l’intero ciclo di vita dello sviluppo del software (SDLC).
Fornisce una soluzione completa per gestire e mitigare i rischi anche negli ambienti cloud più complessi. La piattaforma rileva i segnali di rischio in tempo reale e in un contesto completo, consentendo ai tuoi team di concentrarsi sui problemi che presentano il rischio maggiore per la tua azienda in base al potenziale impatto e alla probabilità di sfruttamento.
I responsabili IT sono sempre sotto pressione per fornire prestazioni senza interruzioni al minor costo possibile. Di recente, queste pressioni sono aumentate notevolmente con l’aumento dell’inflazione in gran parte del mondo. Tutto sta diventando più costoso e molto più costoso. I dipartimenti IT prestano ancora più attenzione ai potenziali risparmi. Fortunatamente, ci sono molte che qualsiasi manager IT può prendere in considerazione.
1. Riduci la dipendenza dall’hardware Se stai ancora eseguendo server per le tue attività principali, dovresti considerare seriamente se stai ancora ottenendo un buon rapporto qualità-prezzo con questo approccio. Quasi tutte le esigenze aziendali possono ora essere gestite nel cloud, liberandoti dai tuoi server e da gran parte dei tuoi costi di manutenzione.
2. Automatizza gli aggiornamenti del software La distribuzione di aggiornamenti software può consumare un’enorme quantità di tempo per un reparto IT. Per motivi di sicurezza, è importante che tu abbia sempre le ultime versioni installate sui tuoi dispositivi. Ma questo processo non deve essere eseguito manualmente: puoi pianificare tutto in modo che avvenga al di fuori degli orari di produzione.
3. Automatizza gli aggiornamenti di Windows Anche gli aggiornamenti di Windows non devono necessariamente richiedere tempo prezioso; l’intero problema può essere affrontato mentre dormi e nessuno lavora. Ovviamente, se preferisci programmare gli aggiornamenti, puoi farlo anche tu, ma ogni volta che hai bisogno di sapere quali patch sono installate su quali dispositivi, tali informazioni dovrebbero essere disponibili su un’unica schermata.
4. Non sprecare risorse per software e licenze inutilizzate Quando il budget annuale arriva e i capi dipartimento ti dicono le loro esigenze software, raramente qualcuno ti dirà che hanno bisogno di meno di qualsiasi cosa. Ma spesso è richiesto di più. Non deve essere difficile avere queste discussioni in pieno possesso dei fatti rilevanti: se hai pagato 100 licenze costose ma puoi vedere in tempo reale che ne stai usando solo 30, dovresti liberartene 70.
5. Niente più viaggi Remote Connect è da tempo parte integrante dei tipici processi di supporto IT. Quindi, se stai ancora migrando tra i diversi edifici nella tua posizione, o addirittura stai guidando verso posizioni diverse, vale la pena dare un’occhiata alle soluzioni di gestione degli endpoint che includono Remote Connect per impostazione predefinita.
6. Non sprecare nemmeno un KWH Anche se questo potrebbe non rientrare direttamente nel centro di costo IT, puoi comunque dare un contributo significativo alla riduzione dei costi complessivi dell’elettricità della tua azienda. Ora è possibile impostare facilmente piani di risparmio energetico che riducano il consumo delle postazioni di lavoro senza incidere negativamente sulla facilità d’uso.
7. Evita numerosi ticket di helpdesk Se stai utilizzando una soluzione dal riavvio al ripristino che ripristina ogni workstation al suo stato originale dopo un riavvio, probabilmente scoprirai che una grossa fetta di ticket dell’helpdesk scompare: un riavvio è spesso tutto ciò che è necessario.
8. Previeni il deteriorarsi dell’hardware Un altro vantaggio di Reboot-to-Restore è che riduce significativamente l’impatto del degrado dell’hardware. Le tue stesse workstation sono estremamente costose ed è fondamentale trarre il massimo vantaggio da questo enorme investimento. Ogni volta che un utente avvia una sessione, viene liberato da tutto il disordine che ostruisce un computer nel tempo, pur essendo in grado di eseguire il backup di tutto il proprio lavoro sincronizzandosi su un’unità cloud.
I servizi di sicurezza della posta elettronica sono uno dei componenti più importanti per proteggere la tua organizzazione dalle violazioni dei dati. Leggi le attuali violazioni dei dati di oggi e noterai che molte di esse iniziano con un messaggio di posta elettronica dannoso. Phishing, ingegneria sociale, frode del CEO, script dannosi che scaricano malware e frode sulle fatture sono tutte truffe comuni che sfruttano i messaggi di posta elettronica.
Spesso le organizzazioni iniziano con una formazione sulla sicurezza informatica. Sebbene la formazione riduca il rischio di compromissione da un’e-mail, lascia comunque l’organizzazione esposta all’errore umano. Anche i dipendenti che hanno familiarità con i messaggi dannosi possono essere colti alla sprovvista e potrebbero essere vittime di una truffa via e-mail o di phishing. Invece di fare affidamento esclusivamente sulla formazione sulla sicurezza informatica, dovrebbe essere combinato con un’adeguata sicurezza della posta elettronica.
I buoni servizi di sicurezza della posta elettronica impediscono ai messaggi dannosi di raggiungere la posta in arrivo di un utente mirato, salvandoli dal commettere errori e cadendo vittime di un attacco. Questi servizi metteranno in quarantena i messaggi e consentiranno agli amministratori di esaminarli prima di consentire a qualsiasi messaggio di raggiungere il destinatario previsto. Con la sicurezza della posta elettronica, la tua organizzazione riduce il rischio di violazione dei dati dovuta a errore umano.
Cosa succede quando la tua email non dispone di sicurezza informatica?
L’ultimo Verizon Data Breach Investigation Report indica che l’82% delle violazioni dei dati coinvolge un elemento umano e circa il 25% delle violazioni dei dati inizia con il phishing. Per le piccole imprese che pensano di non essere obiettivi, ripensaci. Le piccole imprese sono i bersagli preferiti dai criminali informatici, perché sanno che le piccole imprese non hanno i soldi per investire in una sofisticata sicurezza informatica che potrebbe costare centinaia di migliaia di dollari.
Circa un’e-mail di phishing su 99 (circa l’1%) ha esito positivo. Delle e-mail di phishing inviate alle aziende, circa il 65% di esse è indirizzato a utenti con privilegi elevati. Lo spear phishing prende di mira dirigenti, dipartimenti finanziari, contabili, risorse umane e altre aree di attività in cui gli aggressori sanno che le loro vittime hanno accesso a un’ampia raccolta di dati personali per dipendenti e clienti.
Anche la posta elettronica poco protetta è un problema di conformità. Molti degli standard conformi più severi odierni richiedono che le organizzazioni facciano ciò che è necessario per proteggersi dalle minacce comuni, inclusi gli attacchi e-mail. Una violazione dei dati in un’organizzazione poco protetta può costare milioni in violazioni e contenziosi. Per alcune organizzazioni, il danno al marchio associato a una violazione dei dati riuscita è sufficiente per incidere gravemente su entrate, fedeltà dei clienti e continuità aziendale.
L’email è sicura?
Per quanto importante sia la posta elettronica per molte organizzazioni, è una delle forme di comunicazione meno sicure. La posta ordinaria potrebbe non essere più una forma di comunicazione veloce, ma è più sicura dell’e-mail. Senza alcuna infrastruttura di sicurezza, i messaggi di posta elettronica vengono inviati non crittografati su Internet e possono essere intercettati con un aggressore correttamente posizionato. Ad esempio, un utente malintenzionato sulla stessa rete potrebbe intercettare i messaggi di posta elettronica e leggerli.
Poiché la posta elettronica non è sicura, gli utenti dovrebbero sapere di non inviare informazioni private tramite i sistemi di posta elettronica. In effetti, l’invio di informazioni sanitarie tramite e-mail è una violazione delle normative HIPAA (Health Insurance Portability and Accountability Act). L’assistenza sanitaria e altri dati sensibili non devono mai essere inviati tramite e-mail, anche internamente con altri dipendenti.
Alcuni servizi di posta elettronica gratuiti pubblici includono la sicurezza. Ad esempio, Gmail e Office 365 hanno la sicurezza integrata nei loro servizi. Per gli individui, questa sicurezza e-mail è sufficiente per gli attacchi di base. Per gli attacchi sofisticati, tuttavia, nessuno dei due è in grado di gestire messaggi indirizzati agli utenti da un elenco raccolto di potenziali vittime con privilegi elevati.
Esempio di email di phishing che aggirano la sicurezza standard
Un errore comune commesso da una piccola impresa è pensare che servizi come Office 365 abbiano una sicurezza sufficiente per proteggerla dal phishing. Il falso senso di sicurezza è ciò che rende gli attacchi di phishing così efficaci contro queste aziende. Sebbene Microsoft Office 365 svolga un buon lavoro nel difendersi da attacchi semplici, una minaccia dedicata rivolta a un’azienda può aggirare le difese di Office 365.
Un trucco comune consiste nell’utilizzare i messaggi di “consegna e-mail non riuscita” e nell’inviarli a una vittima mirata. Il messaggio indica che il messaggio non è riuscito, ma l’utente di destinazione può fare clic su un pulsante per inviare nuovamente il messaggio. Quando l’utente fa clic sul pulsante di invio, il messaggio scarica uno script dannoso che installerà malware sul computer locale.
Un altro attacco comune utilizza gli avvisi di sistema. Ad esempio, Office 365 offre agli utenti una determinata quantità di spazio di archiviazione per il piano di abbonamento scelto. Quando gli utenti raggiungono i propri limiti, Office 365 invia un messaggio agli utenti per informarli che raggiungeranno presto i propri limiti di archiviazione. Gli aggressori utilizzano una copia di questo avviso da inviare alle potenziali vittime. Il messaggio di posta elettronica potrebbe contenere uno script dannoso o richiedere agli utenti mirati di fare clic su un pulsante per aggiornare il proprio account o rivedere la capacità di archiviazione. Gli utenti che scaricano uno script dannoso avranno malware installato sul proprio sistema. Se il collegamento invia l’utente a una pagina Web controllata da un utente malintenzionato, la pagina chiederà loro di immettere le credenziali di Office 365 per accedere ai propri report. La pagina è una pagina di phishing e l’inserimento delle credenziali le invierà a un atta
Gli avvisi con tecniche simili indicheranno agli utenti che il loro account sta per essere disattivato o che devono accedere al proprio account per risolvere un problema di fatturazione. Tutti questi esempi termineranno con il furto di credenziali o l’installazione di malware sul computer locale. I file potrebbero essere allegati in modo da sembrare documenti Office 365 legittimi, inclusi i file condivisi che utilizzano SharePoint per aggirare la convalida della sicurezza e raggiungere la posta in arrivo del destinatario previsto. Per ogni e-mail di phishing che raggiunge l’obiettivo previsto, la tua organizzazione accumula ulteriori rischi per la sicurezza informatica. Questi rischi non sono necessari con la giusta infrastruttura di sicurezza informatica.
Best practices per i servizi di sicurezza della posta elettronica
Sebbene i servizi di sicurezza e-mail siano uno dei componenti più importanti in una strategia di sicurezza informatica, è anche uno dei più semplici con SpamTitan. SpamTitan fornisce una difesa sicura tra i tuoi utenti, Internet e i tuoi destinatari di posta elettronica. Implementa diverse best practice che qualsiasi organizzazione può implementare come efficace strategia di sicurezza informatica della posta elettronica.
La crittografia è lo strumento numero uno per qualsiasi organizzazione per evitare l’intercettazione dei dati. È comunemente usato per i siti di e-commerce e altre attività che scambiano dati sensibili su Internet, ma è utile anche per i messaggi di posta elettronica. I dipendenti non dovrebbero comunque inviare dati sensibili tramite e-mail, ma la crittografia interrompe le intercettazioni qualora i messaggi contengano informazioni sensibili come segreti commerciali o proprietà intellettuale.
Il filtraggio dei contenuti e l’identificazione delle e-mail sospette sono due protezioni che SpamTitan fa meglio. Utilizzando l’intelligenza artificiale, SpamTitan scansiona le e-mail man mano che vengono inviate e ricevute. L’intelligenza artificiale rileva i trigger contestuali e il linguaggio che potrebbero indicare che un messaggio è dannoso. SpamTitan scansiona anche gli allegati per assicurarsi che non contengano script o malware dannosi.
I collegamenti incorporati possono anche puntare a siti Web dannosi. Un filtro del contenuto insieme alla sicurezza della posta elettronica aiuterà a impedire agli utenti di accedere a siti Web controllati da aggressori. La sicurezza dell’e-mail rileva il dominio dannoso utilizzato per il collegamento incorporato e invia il messaggio a un’area in quarantena della rete. Simile al modo in cui il software antivirus mette in quarantena i file sospetti, SpamTitan invia i messaggi sospetti a un’area in quarantena dove un amministratore può esaminare il messaggio e determinare se si tratta effettivamente di un tentativo di phishing di un dipendente e con l’inganno di accedere a un sito Web dannoso. Se l’amministratore determina che la quarantena è un falso positivo, può essere inoltrata al destinatario previsto.
Sono inoltre necessarie politiche di sicurezza e-mail efficaci e disponibili con SpamTitan. Un criterio di posta elettronica determinerà il tipo di allegati e messaggi che un utente può ricevere. Ad esempio, gli amministratori potrebbero dover leggere i PDF, ma questi file possono avere script incorporati che scaricano malware. Gli amministratori di posta elettronica possono creare criteri per consentire a persone specifiche di ricevere file PDF, ma il sistema di posta elettronica impedirà ad altri utenti di ricevere messaggi con allegati PDF.
I criteri possono bloccare e consentire qualsiasi tipo di messaggio, messaggi con collegamenti incorporati, messaggi con allegati o mittenti specifici. Queste politiche miglioreranno i tuoi servizi di sicurezza della posta elettronica in modo che i tuoi utenti ricevano messaggi solo da utenti legittimi e non vengano indotti ad accedere a siti Web dannosi. Le politiche di sicurezza della rete combinate con la sicurezza della posta elettronica rappresentano un modo efficace per fermare gli attacchi sofisticati, inclusi malware come il ransomware.
SpamTitan fa molto di più della semplice protezione della posta elettronica. Può fermare gli attacchi zero-day, fermare i messaggi fastidiosi sotto forma di spam e prevenire la fuga di dati. Il livello di protezione aggiuntivo di Office 365 si integra con il tuo attuale sistema Office 365 in modo da poter migliorare la sicurezza della posta elettronica. Le blacklist predefinite bloccano i domini comuni già noti per la distribuzione eccessiva di spam e malware, in modo da ottenere una protezione immediata dei dati immediata.
Gli amministratori possono visualizzare i rapporti sulla quarantena dello spam in modo da comprendere i molti modi in cui SpamTitan blocca efficacemente i messaggi dannosi. Se gli amministratori devono modificare le configurazioni per consentire o bloccare messaggi aggiuntivi, SpamTitan include un dashboard delle politiche personalizzabile in cui gli amministratori possono configurare il sistema di sicurezza della posta elettronica per soddisfare le tue pratiche aziendali uniche.
Man mano che gli attacchi informatici continuano a evolversi, puoi assicurarti che la tua organizzazione e i suoi dati siano protetti dalle numerose minacce che prendono di mira i dipendenti. L’errore umano non deve essere un rischio enorme per la tua organizzazione.
