I tre ostacoli sulla strada del passwordless

I tre ostacoli sulla strada del passwordless

In Hypr, abbiamo avuto il privilegio di osservare le aziende di tutto il mondo eliminare con successo le password per i loro clienti e dipendenti. Questi pionieri hanno stabilito lo standard e hanno dimostrato i vantaggi permessi dall’autenticazione senza password. Alcuni degli ingredienti chiave includono una chiara comprensione del motivo per cui stanno andando oltre le password, nonché la volontà di fidarsi dei loro partner nella definizione del come.

Abbiamo anche visto aziende meno fortunate che hanno incontrato degli ostacoli: infatti, nonostante il forte desiderio di implementare la sicurezza di nuova generazione, alcune organizzazioni non riescono a rimuovere le password. Alcuni hanno condotto ricerche di mercato che non hanno avuto alcun esito pratico. Altri avevano “iniziative passwordless” iniziate nel 2018, impantanate da progetti di orchestrazione delle identità e solo ora stanno finalmente implementando password complesse di 14 caratteri (?).

Queste situazioni sfortunate hanno alcune cose in comune. Ecco le 3 principali cose che abbiamo visto ostacolare un percorso passwordless e come evitarle:

1. Aspettarsi che lo faccia il tuo Identity Provider

Se pensi che l’attuale Identity Provider (IdP) che stai utilizzando eliminerà tutte le tue password, non è l’assunzione corretta: le piattaforme di identità legacy sono state costruite su password e MFA basato su password. Mentre i giganti IAM hanno fatto un lavoro incredibile e hanno rivoluzionato la sicurezza digitale, l’eliminazione di password e segreti condivisi non è la loro competenza principale. In effetti, l’autenticazione stessa è sempre stata una funzionalità aggiuntiva per l’IdP. Non è stato necessario investire risorse significative per migliorare l’autenticazione. Di conseguenza, su questo fronte sono state apportate pochissime innovazioni. Basta guardare il Gartner Magic Quadrant 2020 per IAM. Perché il quadrante “Visionari” è vuoto?

La mancanza di concentrazione e innovazione è il motivo per cui vediamo sempre più aziende disaccoppiare l’autenticazione dall’identità. Dopo anni di attesa per l’arrivo dell’autenticazione di nuova generazione e la lettura di post su blog sui vantaggi dell’assenza di password, questi clienti restano confusi quando si rendono conto che il loro IdP utilizza ancora le password… ovunque.

Fortunatamente, un numero crescente di organizzazioni ha capito le differenze tra marketing senza password e MFA senza password. Coloro che sono riusciti in questa missione sono team che si sono resi conto che non possono evolversi oltre le password se si affidano semplicemente ai loro fornitori di identità in carica.

2. Lasciare che Perfect sia il nemico di Great

“Abbiamo bisogno che tutti siano in grado di utilizzare lo stesso metodo di autenticazione ovunque, in tutte le condizioni, il primo giorno.”

Questa mentalità unica per tutti appare spesso in organizzazioni grandi e complesse che stanno (giustamente) cercando di eliminare le password per tutti gli utenti. È lodevole vedere i leader di progetto che si sforzano di soddisfare tutti i casi d’uso e casi limite il primo giorno. Sfortunatamente, il bombardamento a tappeto della password non funziona mai. Il processo effettivo è più simile a falciare un prato, una sezione alla volta, finché tutta l’erba non appare uniforme.

Per un’azienda, la trasformazione senza password è simile a una trasformazione nel cloud. Si muove in modo incrementale e soddisfa le esigenze di una vasta gamma di dispositivi utente, applicazioni e casi limite. Queste variabili si manifestano in diversi modi:

  • Le preferenze personali degli utenti possono variare. Molte persone sono incollate al proprio smartphone. Alcuni preferiscono utilizzare il desktop per tutto ciò che riguarda il lavoro.
  • Alcuni utenti hanno un vecchio telefono o nessun telefono. Gli ambienti complessi hanno popolazioni di dispositivi e requisiti di conformità molto diversi.
  • I reparti altamente regolamentati potrebbero vietare gli smartphone e richiedere l’uso di un token di sicurezza hardware.
  • E, naturalmente, molti utenti semplicemente non vogliono portare con sé un altro pezzo di hardware.

Vedi perché l’approccio “taglia unica” fallisce? Cercare di risolvere ogni caso d’uso e caso limite il primo giorno è una ricerca assoluta della perfezione. Queste organizzazioni sfruttano i vari metodi di accesso senza password che soddisfano le esigenze di ogni situazione. La tua strategia MFA dovrebbe consentire l’uso di Autenticazione avviata da dispositivo mobile, Token di sicurezza FIDO2 e autenticatori nativi come Windows Hello. Le aziende passwordless di successo sono quelle che si concentrano su un’implementazione progressiva come delineato nella nostra Guida gratuita all’eliminazione della password.

3. Team IT e di sicurezza che non sono allineati

L’allineamento dei team è fondamentale per il successo di un progetto di trasformazione. Molte iniziative IT si sono fermate quando i reparti non si vedono negli occhi o hanno programmi contrastanti. Qualsiasi trasformazione significativa della forza lavoro dipende dal fatto che l’IT e l’help desk diventino sostenitori del progetto. È qui che entra in gioco il mio punto precedente sull’enfasi sul “perché”.

L’eliminazione delle password porta un enorme vantaggio in termini di esperienza utente, maggiore sicurezza e risparmio sui costi. Questi impatti si manifestano immediatamente in tutta l’organizzazione poiché la riduzione dei ticket di supporto relativi alle password migliora la vita dell’IT, dell’help desk e dei team di supporto. Questi gruppi sono la base per qualsiasi iniziativa di autenticazione di successo e devono capire perché sta accadendo e come possono trarne vantaggio.

La buona notizia è che MFA senza password ha l’abitudine di riunire i reparti. Raramente i team IT, InfoSec, Frode, Conformità e Line of Business si uniscono con una tale passione per un obiettivo comune. Abbiamo visto alcuni dei team più frammentati costruire legami duraturi sul successo di un’implementazione senza password.

Per sbarazzarti delle password, pensa come una password

No, non proprio. Ma farlo bene significa adottare una mentalità senza password. Ecco un riepilogo di ciò che stanno facendo le società senza password:

Vai senza password alle tue condizioni. Non aspettare che il tuo provider IAM in carica elimini le password (non lo faranno) e non lasciare che siano i fornitori legacy a dettare cosa dovrebbe significare per te l’identità senza password.

Non lasciare che il perfetto sia il nemico del grande. Concentrati sulle vittorie rapide con un gruppo di utenti alla volta mentre avanzi verso uno stato senza password.

Allinea le tue squadre verso un obiettivo comune. MFA senza password si vende da solo. Nessuno vuole tornare alle password. Concentrati sul motivo per cui l’eliminazione della password è importante per i tuoi colleghi e accelererà naturalmente da sola.

Separare i fatti dalla finzione nel viaggio verso l’autenticazione passwordless

Separare i fatti dalla finzione nel viaggio verso l’autenticazione passwordless

Lo scopo di questo post è quello di adottare un approccio obiettivo per comprendere le sfide che presentano le password, cosa significa “passwordless” e cosa possono aspettarsi le aziende che intraprendono il viaggio verso l’autenticazione senza password dei propri utenti, analizzando i fatti e la finzione. Ora, è difficile avere una conversazione sulla mancanza di password se non c’è stata prima una conversazione sulle password.

Pronunciando la parola “passwordless” in una stanza piena di professionisti della sicurezza si possono ottenere diverse reazioni, da un sorriso ironico a un abbandono della stessa stanza. Questo perché la comunità della sicurezza delle informazioni sa che “passwordless” è un termine complicato, e il settore è pieno di posizioni diverse e contraddittorie sull’argomento.

Il paradosso delle password

Le password sono la forma più comune di autenticazione degli utenti e sono facili da odiare perché offrono un livello di sicurezza debole e una difficile esperienza per gli utenti. Per definizione, una password è un segreto condiviso. Il segreto è noto all’utente e al servizio di convalida, è spesso memorizzato su vari dispositivi e può anche essere condiviso nei messaggi o su di un Post-it. Ogni servizio, dispositivo o utente che sia a conoscenza di quel segreto può essere l’obiettivo di un attacco informatico.

Per migliorare la sicurezza, le best practice impongono che le password siano univoche e complesse. Tuttavia, queste pratiche sono sempre più inefficaci contro i moderni attacchi di phishing, e rendono le password ancor più difficili da usare. Per evitare flussi di “password dimenticata”, si diventa tentati di condividere le password tra i servizi (il che, ancora una volta, aumenta i rischi per la sicurezza).

Inoltre, la sicurezza e l’usabilità sono in contrasto con le password. Una migliore sicurezza porta a un’esperienza utente peggiore e viceversa. Quindi è ora di dire addio alle password, giusto? Non così in fretta.

In realtà, c’è molto da apprezzare sulle password. Sebbene le password possano offrire scarsa sicurezza e usabilità, sono ancora ampiamente utilizzate per diversi motivi:

  • Portabilità : una password o un segreto condiviso può essere applicato a quasi tutto: accesso a dispositivi, documenti, account, servizi. Implementare questa forma di autenticazione, rendendo davvero facile l’accesso a qualcosa, non richiede molta infrastruttura.
  • Compatibilità : con pochissime eccezioni, ogni applicazione e servizio che utilizzi ha una password. Certo, potrebbe essere necessario un secondo fattore aggiuntivo per l’autenticazione, ma la password è fondamentale e universale. Non devi mai davvero pensare se un servizio è compatibile o meno con il concetto di password. L’immissione delle password è l’attività predefinita che svolgiamo tutti i giorni.
  • Interoperabilità : sia che si stia effettuando l’autenticazione su un computer, smartphone, Nintendo o Apple TV, si può inserire facilmente una password. Le password sono universalmente supportate e non è necessario eseguire l’aggiornamento al dispositivo mobile più recente o installare il software client per utilizzare una password. Funzionano e basta.

Perché questo è importante? Se l’obiettivo è di mandare in pensione l’autenticazione tramite password, qualsiasi alternativa ha bisogno di offrire significativi miglioramenti sia per la sicurezza che per la fruibilità, senza compromettere i nostri bisogni per la portabilità , compatibilità , e l’interoperabilità . Per mettere questi concetti in prospettiva, definiamo il termine “passwordless”.

Cos’è l’autenticazione passwordless?

Negli ultimi anni, il termine “passwordless” ha preso piede e ora è utilizzato da molti fornitori di soluzioni di sicurezza, autenticazione e identità, ciascuno con la propria sfumatura unica. Per chiarezza, forse meglio usare una definizione più ampia. In Yubico, è stata adottata la seguente definizione:

L’autenticazione passwordless è qualsiasi forma di autenticazione che non richiede all’utente di fornire una password all’accesso.

Può sembrare semplice, ma c’è un po’ da elaborare in merito. Esistono molte implementazioni diverse dell’autenticazione passwordless, e tutte hanno dei compromessi. Ad esempio, alcune implementazioni passwordless sono progettate specificamente per risolvere i problemi di usabilità:

SMS  : molti si riferiscono alla verifica tramite SMS come passwordless, semplicemente perché non è necessario ricordare una password. Di solito viene inviato un codice OTP valido per un breve periodo di tempo che l’utente può utilizzare per autenticarsi. (E non sottolineiamo l’ironia del fatto che “OTP” sta per “password monouso – One Time Password”)

Email Magic Link : un collegamento univoco con un token viene creato per un utente e consegnato a un’e-mail. Facendo clic sul collegamento si verifica l’utente per quel particolare servizio.

Esistono varianti dell’utilizzo di SMS per fornire il Magic Link, ma in generale questi due flussi di autenticazione possono offrire una migliore usabilità rispetto alle password. Tuttavia, entrambi sono altamente suscettibili al phishing. Se l’utente viene indotto a digitare il codice OTP o a fare clic sul magic link, nessuna di queste soluzioni senza password offre molta sicurezza. Consulta il nostro blog su “In che modo il phishing moderno sconfigge l’autenticazione a più fattori di base “.

Altre implementazioni di passwordless sono progettate specificamente per affrontare i problemi di sicurezza:

Smart card (PIV / CAC) : le smart card sono uno dei modi più efficaci per proteggersi dal phishing. L’utente deve inserire la propria smart card in un lettore e convalidare la smart card con un PIN univoco. Questo è un modo infallibile per fermare gli attacchi di phishing remoti nelle loro tracce. Ma le smart card tradizionali non sono molto portatili, compatibili o interoperabili. Può essere complesso e costoso implementare le smart card tradizionali su larga scala, rendendole difficili da usare e inaccessibili per la maggior parte delle persone e di molte aziende.

Password vs PIN

Dal punto di vista dell’usabilità, possono sembrare molto simili, qualcos’altro da ricordare. Ma dal punto di vista della sicurezza, sono molto diversi. Una password viene trasmessa e convalidata su un server, il che significa che può essere intercettata o rubata. Un PIN è locale per il dispositivo. Ad esempio, quando utilizzi la tua carta di debito presso un bancomat, il PIN sblocca solo la carta di debito. Non viene mai trasmesso o archiviato altrove. Ecco perché quando viene rubata una carta di debito e viene emessa una nuova carta, è necessario selezionare un nuovo PIN.

Ci sono alcuni motivi per cui questa distinzione è importante.
  1. Un PIN è molto più sicuro di una password (oh yes).
  2. La maggior parte delle forme complesse di autenticazione senza password richiede un PIN, quindi devi comunque ricordare qualcosa (sorry).
  3. La maggior parte degli autenticatori biometrici utilizza il viso o l’impronta digitale per “rilasciare” il PIN per eseguire l’operazione, e per impostazione predefinita il PIN non è disponibile (come quando riavvii un iPhone o provi a sbloccarlo mentre indossi una maschera). In altre parole, l’autenticatore biometrico non sostituisce effettivamente il PIN.

Microsoft fornisce anche molte informazioni utili che spiegano “Perché un PIN è meglio di una password” .

Il ruolo degli standard aperti e delle piattaforme di identità

Ci vuole un ricco ecosistema di standard aperti costruito per ottenere sicurezza e usabilità, soddisfacendo anche la necessità di portabilità, compatibilità e interoperabilità per scalare alle masse. Fin dall’inizio, Yubico ha sostenuto standard di sicurezza aperti per raggiungere questi obiettivi. Yubico ha aperto la strada aprendo la strada agli standard aperti WebAuthn e FIDO e ha lavorato con giganti della tecnologia come Google, Microsoft e Apple per integrare questi standard nei sistemi operativi e nei browser che usiamo ogni giorno. Questi standard, associati a una YubiKey , consentono un’autenticazione forte su dispositivi, app e servizi senza alcun software proprietario aggiuntivo. Funziona e basta.

Le soluzioni di Identity and Access Management (IAM) (ad esempio Azure Active Directory, Onelogin, Okta, Duo, Ping) hanno anche adottato standard aperti sovrapponendosi ai giganti della piattaforma per fornire la funzionalità e la scala di cui le aziende hanno bisogno per adottare una forte autenticazione senza password per le aziende critiche applicazioni e servizi.

Se hai già investito in una piattaforma IAM, esplora le opzioni senza password che offrono. La maggior parte avrà un’app di autenticazione mobile per aumentare alcune delle esperienze utente su vari sistemi legacy fornendo un’esperienza alternativa senza password non WebAuthn / FIDO. Sebbene l’autenticazione mobile sia più forte di una password, le app di autenticazione mobile possono essere modificate , motivo per cui tutte le principali piattaforme IAM hanno il supporto nativo per le chiavi di sicurezza hardware come YubiKey.

Il ponte verso il passwordless

Passwordless è un percorso, non una transizione dall’oggi al domani. E Yubico è in questo percorso con te.

Questo periodo transitorio è ciò per cui YubiKey è stato progettato: per essere in grado di incontrarti esattamente dove sei ed evolversi con la tua infrastruttura di sicurezza. Le YubiKeys non richiedono software client o periferiche, come un lettore di schede. E abbiamo progettato YubiKey per supportare la più ampia serie di protocolli di sicurezza. Puoi porre fine alle acquisizioni di account ora utilizzando YubiKey resistente al phishing come secondo fattore oltre a una password. E la stessa YubiKey può essere implementata in ambienti senza password con i nostri partner IAM come smart card o chiave di sicurezza FIDO2. YubiKey è davvero il tuo ponte verso il passwordless

Insieme all’ecosistema degli standard aperti e ai partner IAM, Yubico è entusiasta di offrire sicurezza e usabilità su qualsiasi scala, senza compromessi.

Tripletta per TitanHQ ai Best-Of Awards di Expert Insights

Tripletta per TitanHQ ai Best-Of Awards di Expert Insights

TitanHQ è stato riconosciuto da Expert Insights per la forza delle sue soluzioni di sicurezza web e e-mail.

GALWAY , Irlanda e TAMPA, Florida , 25 febbraio 2021 / PRNewswire / – TitanHQ è lieta di annunciare che tre delle sue soluzioni di sicurezza sono state nominate tra i vincitori del premio “Best-Of” 2021 di  Expert Insights in entrambe le e-mail e categorie di sicurezza web. I premi Best-Of di Expert Insights riconoscono soluzioni IT innovative che forniscono una protezione potente per i loro clienti. TitanHQ è stato riconosciuto da Expert Insights  per la potente protezione dalle minacce, la facilità d’uso e l’economicità, che li rende popolari per le imprese, le PMI e gli MSP alla ricerca di una protezione completa contro le minacce via web e e-mail.

Secondo Craig MacAlpine , CEO e fondatore di Expert Insights, “il 2020 è stato un anno senza precedenti di sfide alla sicurezza informatica, con un rapido aumento del lavoro a distanza che ha causato una massiccia accelerazione del crimine informatico. I premi Best-Of di Expert Insights sono progettati per riconoscere i fornitori di sicurezza informatica innovativi come TitanHQ, che ha sviluppato soluzioni potenti per proteggere le aziende da crimini informatici sempre più sofisticati “.

Con sede a Galway, in Irlanda e con uffici a Tampa, in Florida , TitanHQ fornisce ai Managed Service Provider (MSP) e alle aziende soluzioni avanzate di filtraggio web , sicurezza e-mail e archiviazione della posta. L’azienda ha oltre 20 anni di esperienza nel settore della sicurezza informatica e protegge oltre 8.500 aziende e 2.500 MSP in 150 paesi.

Secondo il CEO di TitanHQ Ronan Kavanagh , “La recente pandemia e la crescita delle iniziative di lavoro a distanza hanno ulteriormente evidenziato la necessità di più livelli di sicurezza informatica e le nostre soluzioni pluripremiate costituiscono i pilastri chiave di questa strategia di sicurezza. Continueremo a innovare e fornire soluzioni che gli MSP possono utilizzare per fornire un’esperienza coerente, sicura e affidabile ai propri clienti “.

TitanHQ fornisce una gamma completa di soluzioni di sicurezza potenti e sicure, tutte ampiamente meritevoli di questi premi Expert Insights: WebTitan per la sicurezza web e il filtraggio dei contenuti; SpamTitan per la sicurezza della posta elettronica  e la protezione anti-malware; e ArcTitan per l’archiviazione della posta elettronica. 

Informazioni su TitanHQ
TitanHQ è un’azienda SaaS di 20 anni e pluripremiata di filtraggio web, sicurezza e-mail e archiviazione e-mail. Proteggiamo 8.500 aziende e lavoriamo quotidianamente con oltre 2.500 MSP. Proteggiamo i tuoi clienti da malware, ransomware, phishing, virus, botnet e altre minacce informatiche. La cosa più importante è che i nostri prodotti sono stati costruiti da zero con MSP per MSP. Risparmiamo tempo di progettazione e supporto agli MSP bloccando i problemi alla fonte e fornendo allo stesso tempo prodotti ideali da vendere nel loro stack tecnologico.
www.TitanHQ.com

Come fermare il diluvio di dati esposti tramite DNS Filtering

Come fermare il diluvio di dati esposti tramite DNS Filtering

Nel 2020, 37 miliardi di record di dati sono stati segnalati a seguito di violazioni dei dati. Le violazioni dei dati costano denaro, reputazione e tempo per essere corrette e i criminali informatici non sembrano mai stancarsi di creare metodi di attacco sofisticati e complessi per contrastare le misure di sicurezza. Una volta persi, i dati rubati diventano il dono che continua a dare, poiché i dati vengono venduti per essere utilizzati in una serie di ulteriori atti fraudolenti. Misure di sicurezza positive come le soluzioni di filtraggio intelligente dei contenuti tramite DNS possono ribaltare la situazione sui criminali informatici e, osservando le recenti violazioni dei dati, un’organizzazione può capire quali misure sono necessarie per rendere il suo atteggiamento di sicurezza informatica abbastanza positivo da fermare il flusso di dati esposti.

Analisi di una recente violazione dei mega dati

Nitro PDF è un servizio utilizzato per firmare digitalmente, spesso sensibili, documenti e contratti aziendali. L’azienda è stata vittima di un recente attacco informatico che ha portato alla violazione dei dati personali di oltre 77 milioni di utenti. La società ha agito rapidamente e ha inserito un avviso sul proprio sito Web con alcuni dettagli della violazione e le azioni correttive.

Tuttavia, è stato da allora troppo tardi, e un gruppo di hacker noto come ‘ShinyHunters’, aveva messo i dati rubati in vendita : Questi dati inclusi in tutto 1 TB di documenti PDF, insieme con i set di dati di 77 milioni di utenti, compresi i nomi, indirizzi e-mail e password con hash bcrypt. Il furto ha colpito molte grandi aziende tecnologiche tra cui Amazon, Google e Microsoft. L’attacco al servizio di Nitro è stato identificato nel settembre 2020. Tuttavia, nel maggio 2020, Cisco Talos ha pubblicato diverse vulnerabilità trovate nel servizio “Pro” di Nitro, attivate da un utente che esegue codice dannoso, come quello trovato in molti siti Web di phishing o allegati di posta elettronica. .

Il gruppo di hacker ShinyHunters è stato responsabile di numerosi attacchi, inclusa una violazione che ha coinvolto i repository GitHub privati ​​di Microsoft . Dall’attacco a Nitro, ShinyHunters è stato coinvolto in diverse ulteriori violazioni, esponendo quasi 130 milioni di record di dati.

ShinyHunters non è un esempio isolato. Sia gli individui che i gruppi sono alla continua ricerca di punti deboli nell’infrastruttura di un’organizzazione da sfruttare.

La caduta a lungo raggio di una violazione dei dati

I metodi utilizzati da gruppi di hacking come ShinyHunters e singoli criminali informatici sono vari e spesso possono essere sfaccettati. Le tecniche spesso coinvolgono e-mail di phishing o spear-phishing che portano al furto di credenziali di accesso che possono essere trasferite all’accesso privilegiato di dati sensibili e altre risorse. Altre tattiche di violazione includono vulnerabilità di configurazione errata del server e scarsa igiene della sicurezza e gestione delle credenziali. Questa intricata rete di tecniche connesse può portare a una scarsa efficacia delle misure preventive a meno che non venga utilizzato un approccio più intelligente. I criminali informatici continuano a scatenarsi sulle soluzioni di sicurezza tradizionali come il software antivirus perché non è un modo proattivo per fermare le minacce in evoluzione. I gruppi, come ShinyHunters, si muovono rapidamente, cambiando le loro tattiche per aggirare ed eludere il rilevamento.

Le violazioni dei dati spesso vengono alla luce solo giorni se non settimane o mesi dopo che i dati sono stati violati, aggravando così il problema di trovare la corretta prevenzione delle minacce informatiche. Durante questo intervallo di tempo, i criminali informatici esfiltrano i dati, li raccolgono, li filtrano, li posizionano su siti di aste e li trasferiscono su altri truffatori, che poi li utilizzano per commettere crimini informatici continui. Frodi come il furto di identità e l’acquisizione di account sono in aumento, con la tecnica del ” credential stuffing” utilizzata per eseguire l’accesso e il controllo fraudolento dell’account. Il risultato della perdita di dati è di vasta portata e di lunga durata. È stato dimostrato, ad esempio, che l’acquisizione di un account ha un grave impatto negativo sui commercianti e sui clienti. In un recente sondaggio sull’impatto dell’acquisizione di account, Il 65% dei clienti smetterebbe di acquistare da un commerciante se il proprio account venisse compromesso.

Il furto di dati crea una spirale di ulteriori crimini informatici che si alimentano a vicenda e rendono defunta qualsiasi misura più reattiva.

Controllo in tempo reale delle violazioni dei dati

Gli approcci statici (più reattivi) per proteggere i dati sono quasi uno straccio rosso per un toro quando si tratta di truffatori. A meno che un’organizzazione non abbia un atteggiamento proattivo di sicurezza informatica, i gruppi di hacker continueranno a scatenarsi attraverso i servizi cloud e oltre. Invece, un’organizzazione dovrebbe utilizzare un approccio che implementa misure avanzate e in tempo reale per chiudere la porta prima che il cavallo digitale sia scappato. Nel caso di gruppi di hacker come ShinyHunters, l’uso di più tecniche per hackerare i servizi cloud rende più difficile rilevare e prevenire le minacce informatiche. Una combinazione di misure mitigative è il modo per fermare questi attacchi:

  1. Protezione preventiva per bloccare le email di phishing prima che arrivino nelle caselle di posta degli utenti. Una soluzione di prevenzione della posta elettronica e dello spam impedisce alle e-mail dannose di entrare nelle caselle di posta dei dipendenti. Inoltre, lo spear-phishing può essere prevenuto scansionando le e-mail in tempo reale e bloccando le e-mail prima che raggiungano la posta in arrivo di un utente.
  2. Gli strumenti di protezione dalle minacce trasmessi dal Web, come un filtro dei contenuti HTTPS, verificano che un sito Web sia sicuro e non contenga malware. Gli strumenti possono anche verificare se un sito è un sito di phishing: se tutto va bene, un utente può quindi essere autorizzato ad accedere al file.
  3. L’uso di credenziali di accesso affidabili, come l’autenticazione a due fattori, può aiutare a impedire che le credenziali rubate vengano utilizzate nelle acquisizioni di account.
  4. La formazione sulla consapevolezza della sicurezza in tutta l’organizzazione può aiutare a prevenire problemi di igiene della sicurezza, come la condivisione delle password.
  5. Testare un sistema per rilevare i punti deboli della sicurezza rispetto alle prime dieci vulnerabilità delle applicazioni Web di OWASP , che includono aree come l’errata configurazione di server Web e database.

 

Utilizzando un approccio proattivo alla prevenzione della violazione dei dati, è possibile prevenire la furia dei cybercriminali in tutti i servizi aziendali. Leggi la nostra “Guida alla prevenzione della violazione dei dati” .

Proteggi la tua organizzazione dai criminali informatici e dalle violazioni dei dati con WebTitan. WebTitan è un filtro web avanzato che fornisce sia protezione dalle minacce alla sicurezza HTTP e HTTPS, sia filtri DNS avanzati. Avvia la prova gratuita di WebTitan

Strumenti di scansione delle vulnerabilità, perché non open source?

Strumenti di scansione delle vulnerabilità, perché non open source?

Con l’immensa popolarità del software open source come Linux, WordPress o Magento, ci si potrebbe chiedere perché la situazione è così diversa nel mondo della scansione di sicurezza delle vulnerabilità delle applicazioni web. Proviamo a confrontare gli scanner di vulnerabilità open source con soluzioni commerciali e presto sarà chiaro perché le aziende evitano gli strumenti di sicurezza delle applicazioni web open source.

Open-Source e sicurezza informatica

Molti dei più diffusi software di sicurezza IT vengono distribuiti utilizzando licenze open source. La maggior parte degli strumenti di test di penetrazione come nmap o Wireshark sono open source. Esistono anche soluzioni avanzate come Snort IPS/IDS e OpenVAS network vulnerability scanner (un ramo di Nessus). Allora perché è così diverso quando si parla di sicurezza delle applicazioni web?

Solitamente, la qualità degli strumenti di sicurezza delle applicazioni web open source è in ritardo rispetto ai prodotti commerciali. Sebbene ci siano piccole imprese che affermano che gli strumenti open source sono sufficienti per loro, anche loro tendono a cambiare idea quando crescono. Ecco alcuni dei motivi per cui gli strumenti di sicurezza delle applicazioni web open source non sono all’altezza di soluzioni professionali come Acunetix o Netsparker.

Motivo 1. Facilità d’uso

Quando sono comparsi i primi scanner di sicurezza Web, dovevano essere utilizzati manualmente per eseguire test di vulnerabilità. Erano destinati agli esperti di sicurezza – pentester, ricercatori di sicurezza, analisti ecc. Pertanto, la facilità d’uso non è mai stata un fattore molto importante perché gli esperti comprendono la sicurezza delle applicazioni web abbastanza bene da capire come ottenere il massimo dal software.

Col tempo, gli utenti di strumenti di scansione di vulnerabilità web sono cambiati. Ne avevano bisogno anche persone prive di una conoscenza approfondita della sicurezza, ad esempio amministratori di sistema incaricati di gestire la sicurezza nelle piccole imprese, amministratori DevOps che configurano SLDC agili o persino gli stessi sviluppatori. Perché non solo personale di sicurezza? Per un semplice motivo: le esigenze di sicurezza stanno crescendo così rapidamente che non ci sono abbastanza professionisti della sicurezza disponibili. C’è un grande divario di competenze in materia di sicurezza informatica , che tra l’altro peggiora con il passare del tempo. Pertanto, sempre più attività di sicurezza devono essere affidate a persone che hanno meno formazione e che si affidano a buoni strumenti automatizzati.

Lo sviluppo di strumenti open source non ha seguito questa tendenza. Gli scanner di vulnerabilità web open source sono rimasti piuttosto difficili da usare.

Motivo 2. Spingersi oltre la scansione delle vulnerabilità

Gli strumenti di protezione delle applicazioni Web open source sono, per impostazione predefinita, unicamente scanner di vulnerabilità. Tuttavia, le aziende hanno bisogno di molto di più che puntare uno strumento che fornisce loro un elenco di vulnerabilità. Ad esempio, non è possibile correggere tutte le vulnerabilità contemporaneamente: un’azienda deve sapere a quali vulnerabilità dare la priorità perché rappresentano un rischio per la sicurezza maggiore. È inoltre necessario gestire il processo di correzione e ricontrollo.

Gli strumenti professionali per la sicurezza delle applicazioni web come Acunetix e Netsparker non sono solo scanner, ma anche strumenti di gestione e valutazione delle vulnerabilità. Valutano la gravità della vulnerabilità in modo da iniziare risolvendo problemi importanti come SQL injection o cross-site scripting, e solo successivamente dedicano tempo a configurazioni errate non critiche. Forniscono inoltre sia la gestione dei problemi incorporata che le integrazioni pronte all’uso con noti tracker di problemi come Jira.

Motivo 3. Tenere il passo con la crescita

Il terzo motivo per cui gli strumenti di sicurezza delle applicazioni web open source non sono adatti alle aziende è legato al rapido sviluppo della sicurezza delle applicazioni web. Un’azienda non può permettersi di aspettare fino a quando i team di progetto open source non trovano il tempo per aggiungere nuove classi di vulnerabilità, nuove funzionalità o supporto per nuovi framework web. L’importanza della sicurezza delle applicazioni Web cresce rapidamente, semplicemente perché sempre più aziende passano da soluzioni locali ad ambienti virtuali (e cloud based). Ciò significa anche che i criminali sono molto interessati a stare al passo con gli ultimi sviluppi e a trovare nuovi modi per sfruttare le vulnerabilità.

I fornitori di software che sono completamente focalizzati sulla sicurezza delle applicazioni web, come Invicti , hanno un vantaggio unico: possono concentrarsi completamente sul tenersi al passo con le tecnologie e le tendenze web. Questo non è solo un vantaggio rispetto agli strumenti open source, ma anche rispetto ad altri fornitori commerciali. Molti fornitori di strumenti per la sicurezza web si concentrano principalmente sugli scanner per la sicurezza della rete, che si occupano esclusivamente di firme e patch, ed evitano le complessità della moderna sicurezza delle applicazioni web. Semplicemente non riescono a tenere il passo.

Motivo 4. Costi nascosti dell’open source

Molte aziende che lavorano con strumenti open source sanno molto bene che ci sono alcuni costi nascosti associati al software gratuito. Nel software, gratuito significa nessun aiuto e nessun supporto, ad eccezione del supporto della comunità. Ad esempio, le aziende che scelgono il sistema operativo Linux per sostituire Windows spesso si iscrivono a programmi di supporto di terze parti. Ciò rende il software libero non più gratuito e, a lungo termine, spesso più costoso delle alternative commerciali.

Ovviamente, la necessità di supporto è diversa per le diverse classi di software. Un semplice word processor potrebbe non aver bisogno dello stesso supporto di una complessa soluzione di sicurezza IT. A causa della loro natura, gli scanner di vulnerabilità web potrebbero aver bisogno di supporto con problemi di configurazione iniziale e ancora più supporto se si vogliono automatizzare le attività e integrare gli strumenti con gli ambienti IT disponibili.

Senza supporto, gli strumenti di vulnerabilità web open source sono solo strumenti manuali di pentesting per i ricercatori della sicurezza: aiutano a identificare le minacce alla sicurezza, vero, ma tutto finisce lì.

Motivo 5. Falsi positivi in ​​un Vulnerability Scanner

I falsi positivi sono il principale punto dolente della sicurezza delle applicazioni web. Questo perché la sicurezza delle applicazioni web si occupa principalmente di codice personalizzato. Se si ha un falso positivo identificato da un test di vulnerabilità della rete, ciò non influisce sugli sviluppatori e di solito significa solo che le patch applicate al software o ai dispositivi di rete non sono critiche. In uno scenario di sicurezza delle applicazioni Web, è possibile ricontrollare ogni vulnerabilità rilevata utilizzando uno scanner e consumare le risorse del team di pentesting, per non rischiare che gli sviluppatori cerchino fantasmi, cercando di risolvere un problema che non esiste.

Ecco perché uno dei criteri più importanti per la selezione di uno scanner di sicurezza web è il modo in cui gestisce i falsi positivi. Se lo scanner può, in qualche modo, dimostrare che la vulnerabilità esiste, significa che il problema può andare direttamente allo sviluppatore per una soluzione: non è necessaria la conferma manuale. Gli scanner open source (e anche diversi prodotti commerciali) non hanno tali capacità. Ogni problema segnalato è solo una potenziale vulnerabilità, non reale. D’altra parte, Acunetix può contrassegnare la vulnerabilità come confermata al 100% e in molti casi fornire una prova come una copia di dati sensibili che non dovrebbero essere accessibili.

Peggio ancora, il problema dei falsi positivi non cresce solo in modo lineare con il numero di applicazioni web e lo sviluppo dell’attività. Più grande è l’attività e più applicazioni si utilizzano, peggiore sarà l’impatto dei falsi positivi sulle risorse aziendali disponibili. Quindi, se si guarda al futuro, semplicemente non ci si può permettere di utilizzare uno strumento che potrebbe potenzialmente limitare e ostacolare la crescita, come uno scanner di sicurezza web di base, manuale e open source.

Puoi permetterti l’open source?

Il software open source è un ottimo punto di partenza se sei uno studente, un ricercatore indipendente o una piccola start-up (ad esempio, se hai meno di 5 applicazioni web in totale). Tuttavia, se hai intenzione di crescere, prima o poi noterai che il software open source non è più sufficiente e anche se identifica le vulnerabilità della sicurezza web, non può aiutarti a risolverle. E, in definitiva, l’obiettivo della sicurezza delle applicazioni web non è quello di evidenziare le vulnerabilità, ma di eliminarle.

SpyCloud migliora Active Directory Guardian con un nuovo filtro password

SpyCloud migliora Active Directory Guardian con un nuovo filtro password

SpyCloud, azienda nota per la sua esclusiva piattaforma antifrode alla base di soluzioni per la prevenzione di furti di account e le indagini sulle frodi, ha annunciato oggi di aver aggiunto una nuova funzione di filtro delle password a SpyCloud Active Directory Guardian.

Con dozzine o centinaia di accessi online da gestire, le persone spesso prendono scorciatoie per tenere traccia delle proprie password. Usano parole o nomi facili da ricordare, stringhe facili da digitare come “12345678” o anche password che hanno usato prima. Poiché queste abitudini sono così comunemente seguite, sono anche facili da capire per i cybercriminali. Di conseguenza, negli ultimi quattro anni, le password deboli e quelle rubate sono state costantemente la principale tecnica di hacking identificata nel Verizon Data Breach Investigations Report .

SpyCloud Active Directory Guardian ora impedisce automaticamente ai dipendenti di impostare password rischiose utilizzando un filtro password. Quando un dipendente imposterà una nuova password di Active Directory, il filtro della password selezionerà automaticamente la scelta per caratteri ripetuti o sequenziali, fino a 30.000 voci in un dizionario personalizzato e miliardi di password esposte trovate nel database di SpyCloud di dati di violazione ripristinati, leader del settore.

“Nonostante i ripetuti avvisi, le persone cercano ancora di utilizzare password comuni e deboli”, ha affermato Chris Hajdu , Product Manager di SpyCloud. “È una cosa molto umana da fare semplicemente perché tutti abbiamo così tanti account e password di cui tenere traccia, ma le aziende non possono permettersi di lasciare che queste abitudini mettano a rischio le loro reti”.

Utilizzando insieme le funzionalità esistenti di Active Directory Guardian e il nuovo filtro per le password, le aziende possono applicare password più sicure e ridurre il rischio di una violazione dei dati causata da credenziali deboli o rubate. Il filtro password garantisce che gli account dei dipendenti siano protetti con credenziali sicure dal momento in cui viene creata una nuova password. Poiché nel tempo si verificano nuove violazioni e compromettono più credenziali, Active Directory Guardian può garantire che gli accessi dei dipendenti rimangano protetti rilevando e reimpostando automaticamente le password esposte.

Poiché il filtro della password viene eseguito sul controller di dominio, il filtro della password è progettato per “non essere aperto” per ridurre al minimo qualsiasi potenziale impatto sulle operazioni aziendali. In altre parole, se il filtro delle password fallisce per qualsiasi motivo, consentirà agli utenti di creare password non controllate invece di bloccarle. L’esecuzione di scansioni pianificate o manuali con Active Directory Guardian fornisce il backup per le password ignorate che potrebbero altrimenti scivolare via.

Il filtro delle password riduce anche il tempo e le risorse necessari per allinearsi alle linee guida per le password del NIST, in particolare la guida impegnativa per verificare e reimpostare le password “comunemente usate, previste o compromesse”. Sebbene alcune linee guida per le password NIST possano essere soddisfatte utilizzando le impostazioni integrate nei servizi di directory, l’identificazione di nuove violazioni dei dati e il loro controllo rispetto alle password degli utenti può essere un processo laborioso. Utilizzando il filtro delle password, le aziende possono bloccare le password che NIST considera deboli o compromesse, attingendo al database in continua crescita di SpyCloud di password esposte.

Per ulteriori informazioni, visitare la pagina del prodotto Active Directory Guardian di SpyCloud.

Informazioni su SpyCloud

SpyCloud è leader nella prevenzione delle acquisizioni di account (ATO), proteggendo miliardi di account di consumatori e dipendenti direttamente o attraverso integrazioni di prodotti. Le nostre soluzioni pluripremiate, supportate dal repository di risorse esposte più completo e utilizzabile al mondo, sconfiggono in modo proattivo i tentativi di frode e interrompono la capacità dei criminali di trarre profitto dalle informazioni rubate.

Scopri di più e controlla la tua esposizione

Rapid7 acquisisce Alcide, il principale fornitore di sicurezza Kubernetes

Rapid7 acquisisce Alcide, il principale fornitore di sicurezza Kubernetes

Rapid7 acquisisce Alcide, leader nella sicurezza Kubernetes

Le organizzazioni di tutto il mondo continuano ad abbracciare la flessibilità, la velocità e l’agilità del cloud. Coloro che l’hanno adottata sono in grado di accelerare l’innovazione e fornire valore reale ai propri clienti più rapidamente che mai. Tuttavia, sebbene il cloud possa portare un’enorme quantità di vantaggi a un’azienda, non è privo di rischi. Le organizzazioni necessitano di una visibilità completa dei propri ambienti cloud e container per mitigare rischi, potenziali minacce e configurazioni errate.

In Rapid7, ci sforziamo di aiutare i nostri clienti a stabilire e implementare strategie che consentano loro di adottare e proteggere rapidamente gli ambienti cloud. Osservare solo l’infrastruttura o i contenitori cloud in un silo fornisce una capacità limitata di comprendere l’impatto di una possibile vulnerabilità o violazione.

Per aiutare i nostri clienti ad ottenere una visione più completa dei loro ambienti cloud, sono lieto di annunciare che abbiamo acquisito Alcide, leader nella sicurezza Kubernetes con sede a Tel Aviv, Israele. Alcide fornisce una sicurezza Kubernetes senza soluzione di continuità completamente integrata nel ciclo di vita e nei processi DevOps in modo che le applicazioni aziendali possano essere distribuite rapidamente proteggendo allo stesso tempo gli ambienti cloud da attacchi dannosi.

La piattaforma di protezione del carico di lavoro cloud (CWPP) leader del settore di Alcide offre ampia visibilità e governance in tempo reale, runtime dei container e monitoraggio della rete, nonché la capacità di rilevare, controllare e indagare su minacce alla sicurezza note e sconosciute. Riunendo le funzionalità CWPP di Alcide con le nostre capacità esistenti di gestione della postura (CSPM) e titolarità dell’infrastruttura (CIEM), saremo in grado di fornire ai nostri clienti una piattaforma di sicurezza nativa per il cloud che consente loro di gestire il rischio e la conformità nell’intero ambiente cloud .

Questo è un momento entusiasmante per la sicurezza del cloud, poiché stiamo assistendo a un cambiamento nella percezione. I team di sicurezza del cloud non sono più visti come un centro di costo o un ostacolo operativo e si sono guadagnati il ​​loro posto al tavolo come un investimento critico essenziale per far avanzare il business. Con Alcide, siamo entusiasti di aumentare ulteriormente questo vantaggio competitivo per i nostri clienti.

Non vediamo l’ora di unire le forze con il talentuoso team di Alcide mentre lavoriamo insieme per fornire ai nostri clienti una visibilità completa e unificata sull’intera infrastruttura cloud e sulle applicazioni cloud native.

Il malware per il coin mining aumenta del 53% in Q4 2020

Il malware per il coin mining aumenta del 53% in Q4 2020

È tornato . . . la frenesia delle criptovalute e, di conseguenza, aumenta il malware di coin mining. Come il mercato azionario, l’oro, gli immobili e altre attività, i prezzi dei bitcoin sono aumentati da quando hanno toccato il fondo poco dopo l’epidemia di COVID lo scorso anno. I prezzi dei bitcoin sono aumentati di quasi il 300% durante l’intero periodo di dodici mesi del 2020, chiudendo a un valore di quasi 30.000 USD. Sembra impressionante, finché non si considera che la seconda criptovaluta più popolare, Ethereum, è cresciuta di un sorprendente 450%.

Questa è un’ottima notizia per coloro che hanno investito in Bitcoin all’inizio del 2020. Per i manager IT e i professionisti della sicurezza informatica, tuttavia, non così tanto. Proprio come i prezzi delle criptovalute sono aumentati, così è cresciuto l’interesse per il malware di coin mining. Secondo un recente rapporto, i rilevamenti di malware di cripto-mining sono aumentati del 53% per il quarto trimestre del 2020 rispetto ai tre mesi precedenti. Quando i prezzi aumentano, aumentano anche le infezioni.

Cos’è il Coin Mining?

Il malware Coin-Miner, altrimenti noto come malware di criptovaluta, è un’applicazione che genera criptovalute come Bitcoin, Ehtereum e Monero. Queste valute digitali richiedono molta potenza di elaborazione e memoria per essere create. Oltre ad essere costosi da acquistare e mantenere, i server necessari per estrarli richiedono una grande quantità di elettricità. Per questi motivi, esiste un costo di base per l’estrazione di monete legittime, quindi quando i profitti aumentano, aumenta anche la redditività insieme all’interesse di mining. Quindi, al fine di massimizzare i profitti, alcuni miner malvagi usano malware per estrarre monete per soldi di qualcun altro. Infettando i computer, possono quindi utilizzare le loro risorse di elaborazione e potenza. Queste attività di mining illegali creano il caos sulle prestazioni del computer che quindi influiscono negativamente sulla produttività. Mentre Bitcoin è la criptovaluta più popolare, i coin miner illegali di solito trattano con altre criptovalute come Monero. Questo perché i requisiti per estrarlo sono molto meno rigorosi e le sue transazioni non sono trasparenti, il che apre la porta a transazioni illegali.

Perché il malware Coin-Miner è difficile da rilevare?

Se vieni infettato da Ransomware, una cosa è certa: il malware alla fine annuncerà la sua presenza. Deve informarti del riscatto e di come pagarlo per decrittografare i tuoi dati. Il malware di mining di monete funziona con l’intenzione opposta. Funziona silenziosamente in background il più a lungo possibile, rubando le tue risorse come processore, memoria, scheda grafica e larghezza di banda. L’obiettivo è operare in segreto il più a lungo possibile. Alcuni dei sintomi che potrebbero indicare un’infezione includono quanto segue:

  • Utilizzo elevato di CPU o GPU
  • Tempi di risposta lenti
  • Picchi insoliti nell’attività di rete
  • Utilizzo elevato della memoria
  • Arresti anomali e blocchi frequenti
  • Surriscaldamento

I diversi tipi di malware CoinMiner

Questo silenzioso assassino di risorse informatiche ha tre diversi modi per imporre al tuo dispositivo informatico o smartphone di estrarre criptovaluta:

  • Eseguibili: questo è il tipo tradizionale di malware in cui un’applicazione indesiderata appare sul disco rigido come file eseguibile (.exe).
  • Minatori di criptovaluta basati su browser: in questo caso, l’attività di mining è guidata da un sito Web connesso, non da malware infetto. Il codice di mining viene eseguito nel browser utilizzando JavaScript o un worm direttamente dalla pagina Web attiva. Il computer vittimizzato verrà minato solo finché il browser è collegato al sito Web infetto. Sebbene non così nefasti, gli utenti potrebbero comunque essere ignari dell’attività.
  • Minatori senza file avanzati: qui l’operazione di payload utilizza strumenti legittimi come PowerShell ed esegue il codice di mining all’interno della memoria del computer. Poiché l’operazione non lascia un’impronta duratura, questi tipi di attacchi sono ancora più difficili da rilevare.

Come proteggersi da queste minacce crittografiche

Poiché questi ceppi di malware di cripto-mining sono così difficili da rilevare, la prevenzione è un obiettivo primario.La prevenzione inizia con le basi come garantire che il sistema operativo, i browser Web e l’hardware siano aggiornati.Anche una soluzione per la sicurezza degli endpoint è importante, soprattutto nel rilevare e combattere gli eseguibili di crypto-miner. Sebbene il filtro Internet svolga un ruolo significativo all’interno di qualsiasi strategia di sicurezza multilivello, gioca un ruolo ancora più significativo nell’arresto delle attività di crypto mining indesiderate.Una soluzione come WebTitan impedirà agli utenti di connettersi a siti Web noti per promuovere minatori di criptovaluta basati su browser.Il suo Malicious Detection Service monitora e identifica le minacce dannose in tempo reale per proteggere le sessioni web.Inoltre, blocca malware e altri virus al fine di prevenire gli eseguibili o avanzati Fileless Miners dall’infettare le tue macchine in primo luogo. Con WebTitan, il tuo computer è protetto dalle minacce di mining di monete indipendentemente da quale possa essere il prezzo delle criptovalute ora e in futuro.

Proteggi la tua organizzazione dal malware utilizzando una pluripremiata soluzione di filtraggio DNS e sicurezza web, WebTitan . Inizia una prova gratuita per scoprire tutte le funzionalità di WebTitan per proteggerti dagli attacchi di malware. Inizia oggi la prova gratuita.

 

Rapid7 riconosciuta Strong Performer nel Security Analytics da Forrester Research

Rapid7 riconosciuta Strong Performer nel Security Analytics da Forrester Research

Siamo entusiasti di condividere che Rapid7 è stato incluso nel rapporto Forrester e riconosciuto come Strong Performer in The Forrester Wave™: Security Analytics Platforms, Q4 2020. Secondo il report Now Tech: Security Analytics Platforms di Forrester, Q3 2020, “Una piattaforma di analisi della sicurezza (SA) è costruita su un’infrastruttura di big data, convergenti di registri da rete, identità, endpoint, applicazione e altre fonti rilevanti per la sicurezza per generare comportamenti ad alta fedeltà avvisa e facilita la rapida analisi, indagine e risposta agli incidenti. ” Ciò includerebbe la tecnologia di gestione delle informazioni di sicurezza (SIEM) .

Rapid7 è consapevole che i professionisti della sicurezza stanno affrontando un panorama più impegnativo che mai. La missione di InsightIDR, soluzione SIEM nativamente cloud, è rimuovere il lavoro faticoso e gli oneri operativi associati agli approcci tradizionali e guidare un rilevamento e una risposta efficienti ed efficaci negli ambienti moderni.

La complessità del rilevamento e della risposta non è limitata al lavoro in sé. Per i SOC alla ricerca di nuove tecnologie e partner, la navigazione in questo mercato affollato può essere impegnativa e confusa. Per aiutare gli utenti a navigare in questo settore e nelle sue centinaia di player, Forrester ha valutato gli undici principali fornitori di piattaforme di analisi della sicurezza per fornire un contesto sulle loro attuali offerte e strategie.

Le piccole e medie imprese così come le grandi imprese con risorse limitate che cercano una soluzione SA basata su SaaS dovrebberoconsiderare Rapid7 “. – The Forrester Wave ™: piattaforme di analisi della sicurezza, quarto trimestre 2020 .

Un riconoscimento come questo Wave Report ha dato ulteriore energia al team Rapid7, fornendogli la conferma di essere sulla strada giusta. Questo riconoscimento è il frutto di un impegno incessante e di una grande focalizzazione sui bisogni dei clienti. Secondo The Forrester Wave, “Il feedback che proviene dai clienti indica la facilità di implementazione e funzionamento come punti di forza” e, parlando con i clienti, sappiamo che quasi tutti i team sono limitati in termini di risorse in questo momento. In effetti, molti degli eventi del 2020 hanno ampliato questo divario tra le crescenti esigenze di sicurezza e le risorse e la larghezza di banda disponibili per fare tutto. Rapid7 vuole aiutare i team di sicurezza a colmare questa lacuna e promuovere un rilevamento e una risposta efficaci ed efficienti.

InsightIDR: aiutare i team di sicurezza a concentrarsi su ciò che conta di più

Oltre agli stessi aggressori, il rischio numero uno per i team di sicurezza sono le distrazioni che rendono impossibile riconoscere e rispondere a minacce reali. Per molti team, le distrazioni e la complessità sono in aumento. Come abbiamo esplorato nell’ultima puntata della nostra serie di blog sulla pianificazione della sicurezza , i team sono tesi: spesso indossano molti cappelli, lottano per tenere il passo con ambienti in rapida evoluzione e più aggressori ne stanno approfittando.

Sfortunatamente, molti SIEM tradizionali progettati per aiutare i team a gestire il riconoscimento di queste minacce, spesso finiscono per aumentare la complessità. Le soluzioni tradizionali e in modo nativo on-premise comportano un costo operativo significativo per i team per gestire queste distribuzioni, configurare e mantenere le regole, gestire lo storage e l’hardware e ottimizzare i sistemi per soddisfare le loro esigenze. Questo approccio tradizionale al SIEM non è più solo impegnativo, rende impossibile avere successo nell’attuale panorama del clima e della sicurezza. Come chiarisce questo rapporto di Forrester Wave: “Il futuro dell’analisi della sicurezza è nel cloud”.

Correlati: confronto del valore e del ROI di un SIEM cloud rispetto a un SIEM tradizionale

InsightIDR, il nostro SaaS SIEM nativo, è stato costruito nel cloud da zero per garantire ai team la flessibilità, la potenza di analisi e la scalabilità necessarie per avere successo negli ambienti moderni. Mentre i team cercano soluzioni per combattere la complessità e le carenze di risorse, InsightIDR offre un approccio unico e si concentra sulla promozione dell’efficienza e del ROI per i clienti.

Questo approccio include:

  • Time to value impareggiabile . Nel nostro studio sull’impatto economico totale (TEI) con Forrester Consulting all’inizio di quest’anno: i clienti InsightIDR sono attivi e funzionano 4,7 volte più velocemente del precedente SIEM. Non solo la nostra implementazione SaaS significa che i team si alzano più velocemente, ma non hanno nemmeno hardware o aggiornamenti da gestire e beneficiano di nuovi contenuti, funzionalità e capacità non appena sono disponibili.
  • Visibilità istantanea in ambienti moderni . The Wave osserva: “Rapid7 combina più funzionalità di sicurezza nel cloud” con InsightIDR, che consideriamo una componente fondamentale dell’efficienza che offriamo. Tramite i nostri collettori leggeri, agenti e sensori di rete, i clienti hanno visibilità immediata su diversi ambienti moderni, inclusi endpoint remoti e locali, utenti, traffico di rete, cloud, applicazioni web e altro ancora. Questa copertura completa elimina i punti ciechi e riduce lo sforzo di gestione degli incidenti del 38% , secondo lo studio TEI.
  • Esperienza infusa per rispondere rapidamente e con sicurezza. InsightIDR viene fornito con una ricca libreria di rilevamenti pronti all’uso: nessuna regolazione fine o creazione di regole ardue richieste in anticipo dagli analisti. Questa libreria è gestita e curata dal team SOC MDR di Rapid7e sfrutta le informazioni provenienti dalla rete di intelligence sulle minacce Rapid7 e dai nostri servizi. Questa esperienza integrata si traduce in un27% in meno di falsi positivi rispetto ai precedenti SIEM (fonte: The Total Economic Impact ™ di Rapid7 InsightIDR, uno studio commissionato condotto da Forrester Consulting per conto di Rapid7).
  • Correlazione e automazione per accelerare la risposta . Il motore di attribuzione di InsightIDR tiene traccia degli utenti e delle risorse mentre si spostano nella rete, arricchendo automaticamente ogni registro con i dettagli degli utenti e delle risorse. Non ci limitiamo a importare dati e lasciamo che i team capiscano cosa farne. InsightIDR mette in correlazione e analizza i dati attraverso diverse fonti per fornire indagini complete e ad alto contesto e fornisce funzionalità di automazione per agire direttamente dalla console. Di conseguenza, i clienti di InsightIDR rispondono agli incidenti in un terzo del tempo rispetto al precedente SIEM.

Ci impegniamo a consentire ai clienti di ottenere risultati di sicurezza sofisticati con meno tempo e meno ostacoli e continuerai a vederci investire qui nel prossimo anno. Grazie ai nostri clienti per aver intrapreso questo viaggio con noi e per il vostro continuo feedback e collaborazione. Attendiamo con impazienza il futuro ed entusiasti di condividerne altri presto. Rimanete sintonizzati!

Best practice per la gestione delle minacce e delle vulnerabilità

Best practice per la gestione delle minacce e delle vulnerabilità

Il mondo business di oggi è sempre più guidato dall’e-commerce e dal cloud, il che richiede un approccio proattivo alla gestione delle vulnerabilità . Dopo tutto, i dati delle aziende, così come quelli dei loro clienti, rimangono a rischio per i criminali informatici, il che pone l’onere di proteggere l’infrastruttura IT, sia che si trovi in ​​loco o presso un provider di servizi  cloud.

In questo post del blog, forniamo una panoramica di alto livello sulla gestione delle vulnerabilità e sui motivi per cui è fondamentale per le aziende moderne. Inoltre, esamineremo alcune best practice per la gestione delle minacce e delle vulnerabilità volte a implementare con successo una policy di gestione delle vulnerabilità .

Perché gestire le vulnerabilità è importante

Prima di esaminare alcune best practice, ecco un breve riepilogo dei motivi per cui la gestione delle vulnerabilità è vitale per le odierne attività basate sul cloud. Quattro aree principali evidenziano l’importanza generale di implementare con successo una completa politica di gestione delle vulnerabilità in qualsiasi organizzazione.

In cima a questo elenco c’è la sicurezza. Qualsiasi azienda che adotta la gestione delle vulnerabilità ottiene una migliore capacità di monitorare e porre rimedio alle minacce alla propria infrastruttura hardware e software, sia essa on premise oppure in cloud.

Inoltre, un aumento del tempo di attività del sistema alla fine porta a clienti soddisfatti e a una migliore gestione della stessa. Sfruttare uno strumento di gestione delle vulnerabilità di prim’ordine, come Rapid7 InsightVM , integrato con il sistema di gestione delle patch di un’azienda è un approccio saggio per migliorare il tempo di attività. Aiuta a garantire che le risorse software dell’azienda siano protette da un panorama di minacce in continua evoluzione e non vengano messe offline da attività nefaste.

La conformità alle normative è un’altra considerazione importante per qualsiasi azienda, ma soprattutto per quelle organizzazioni nei settori finanziario, sanitario e governativo. Per alcune di queste aziende, l’implementazione della gestione delle vulnerabilità è semplicemente un requisito. La mancata adozione di una politica di gestione delle vulnerabilità porta potenzialmente a multe costose e danni alla reputazione dell’azienda in questione.

Infine, lo sviluppo di prodotti innovativi separa i leader del settore da tutti gli altri player. Un solido approccio alla gestione delle vulnerabilità garantisce che le nuove funzionalità software vengano implementate ponendo al centro la sicurezza. La gestione delle vulnerabilità aiuta ad allineare meglio i diversi software e il team delle operazioni IT per migliorare il processo di sviluppo .

Le best practice per la gestione di minacce e vulnerabilità in azienda

Quando si adotta la gestione delle vulnerabilità, è importante stabilire aspettative chiare per i diversi team dell’organizzazione. I dipendenti ottengono risultati migliori se ispirati da una serie di obiettivi chiaramente definiti. Quando tutti sono allineati, la protezione delle risorse tecniche dell’organizzazione viene eseguita in modo efficiente.

Come parte di questo approccio, crea accordi organizzativi per ogni squadra. Questi sono essenzialmente l’equivalente interno degli accordi sul livello di servizio visti in tutto il settore tecnologico. È una best practice che consente a diversi team di lavorare in modo cooperativo verso un obiettivo comune.

La collaborazione tra i team è un segno distintivo di un’organizzazione di successo

Promuovere il lavoro di squadra è fondamentale. È uno dei motivi della crescente popolarità del DevOps come metodologia di sviluppo software. Pertanto, è fondamentale che i team collaborino in modo efficiente quando si adotta la gestione delle vulnerabilità in azienda.

Un aspetto di questo focus sul lavoro di squadra implica la standardizzazione della terminologia utilizzata tra i diversi team tecnologici dell’organizzazione. Ad esempio, il team addetto alla sicurezza può fare riferimento agli errori software come “rischi”, mentre il team delle operazioni IT si riferisce ad essi come a qualcosa da correggere. Sebbene sia un problema minore, illustra che l’uso di un gergo diverso per la stessa cosa potrebbe portare a confusione e inefficienza quando si adotta la gestione delle vulnerabilità.

Una best practice per gestire questa situazione è garantire che ogni team tecnico utilizzi le stesse origini dati e la stessa terminologia quando condivide la documentazione e segue gli accordi organizzativi. Si può anche adottare un approccio DevOps creando un team di consulenza composto da dipendenti di livello senior provenienti da tutto il reparto IT.

Anche un processo di ripristino di emergenza deve essere parte dell’equazione

Stabilire un processo di ripristino di emergenza come parte di qualsiasi politica di gestione delle vulnerabilità è un’idea intelligente. In effetti, alcune aziende si muovono nella direzione opposta, inclusa la gestione delle vulnerabilità come parte del loro programma di ripristino di emergenza esistente. In ogni caso, è fondamentale disporre di un programma formalizzato per gestire qualsiasi tipo di disastro che colpisce le risorse tecniche di un’azienda, come un attacco di hacking su larga scala. Avere i mezzi per ripristinare rapidamente il software dell’azienda e altre risorse tecniche diventa essenziale durante qualsiasi disastro. 

In che modo InsightVM può aiutare la gestione delle vulnerabilità

In qualità di migliore soluzione per la gestione delle vulnerabilità, InsightVM analizza qualsiasi ambiente IT, identificando le vulnerabilità e mettendo in evidenza i maggiori rischi per l’infrastruttura IT dell’azienda. La tua organizzazione trae vantaggio anche dall’allineamento di team tradizionalmente isolati grazie al linguaggio e alla terminologia comuni di InsightVM.

In quanto fonte di intelligence per l’intera infrastruttura tecnica aziendale, InsightVM garantisce sicurezza, alta disponibilità e prestazioni superiori. Contattaci per capirecome InsightVM possa avere un impatto positivo sulla tua organizzazione.

Sei costosi equivoci sui SIEM tradizionali

Sei costosi equivoci sui SIEM tradizionali

Come ottenere maggior valore dagli strumenti SIEM: Approccio Tradizionale vs. Cloud

Negli ultimi anni, le soluzioni di sicurezza delle informazioni e di gestione degli eventi (SIEM) sono diventate uno degli strumenti preferiti per proteggere le risorse e gli utenti, fornendo un modo flessibile per inserire, analizzare e visualizzare i dati.

Sebbene la tradizionale tecnologia SIEM abbia contribuito a ridefinire il rilevamento e la risposta agli incidenti, gli strumenti SIEM non sono particolarmente amati. Dalle incertezze sulla loro possibilità di adattarsi agli ambienti moderni, ai dubbi sulla loro affidabilità, questi strumenti hanno offerto il fianco a più di una critica. Comprendere i recenti miglioramenti ai SIEM tradizionali incorporati dalle soluzioni di prossima generazione si rivela quindi fondamentale per raggiungere una corretta postura di sicurezza. In questo articolo cercheremo di correggere alcuni dei più diffusi (e spesso costosi) equivoci sul SIEM, descrivendo un confronto più chiaro possibile tra i SIEM tradizionali e le soluzioni SIEM di nuova generazione.

Equivoco n. 1: gli strumenti SIEM sono afflitti da un lungo e complesso processo di implementazione.
Realtà delle Soluzioni Next-Gen: i SIEM di oggi sono progettati per essere operativi (davvero) in pochissimo tempo.

Finalmente, un SIEM che puoi effettivamente implementare. Le moderne soluzioni SIEM come InsightIDR e MDR forniscono un’implementazione e un baselining rapidi. Grazie all’architettura basata su cloud, i clienti effettuano il deployment in giorni, non mesi. Inoltre, le fonti di eventi predefinite assicurano un’installazione più semplice che genera analisi preziose più rapidamente. Ciò riduce al minimo la necessità per i team di sicurezza di investire risorse preziose per la manipolazione dei dati raccolti o il perfezionamento delle regole di rilevamento. Per aiutare a stabilire e gestire le aspettative di successo, si consiglia sempre di definire i casi d’uso o realizzare un Proof of Concept (PoC) prima di acquistare una soluzione SIEM.

Equivoco n. 2: la formattazione di dati leggibili è un progetto costoso e dispendioso in termini di tempo.
Realtà di Next-Gen: i SIEM moderni offrono procedure guidate di raccolta delle origini degli eventi fondamentali e un hosting efficiente basato su cloud in modo da ottenere informazioni affidabili e più velocemente.

I dati da soli non significano nulla, soprattutto quando puoi leggerli o correlarli. Con i SIEM tradizionali, l’onere di rendere utili i dati è posto all’utente; sarebbe un processo manuale per configurare ogni origine evento, registro, switch di rete, ecc.

I moderni SIEM semplificano questo processo inserendo e trasformando i dati su larga scala. InsightIDR fa ancora di più per andare oltre la semplice raccolta e gestione dei registri. Una volta che InsightIDR raccoglie i dati, vengono normalizzati, attribuiti a utenti e sistemi e quindi arricchiti. Questo approccio struttura i dati e le analisi per le indagini, potenziando la visibilità e l’azione degli analisti.

Equivoco n. 3: gli strumenti SIEM fanno troppo affidamento sulla configurazione manuale, riducendo la visibilità.
Realtà Next-Gen: i SIEM con motori di analisi basati su cloud aiutano a eliminare i punti ciechi poiché tutti i tuoi dati sono tutti in un unico posto.

Storicamente, l’analisi dei dati era frammentaria e avveniva nel vuoto. Ciò significava affidarsi a processi manuali per configurare origini eventi, origini dati e registri. I moderni SIEM consentono un approccio più olistico, con la capacità di digerire i dati da fonti precedentemente disparate, trasformando tali dati in informazioni utilizzabili.

Scopri come InsightIDR centralizza i tuoi log su più origini dati in modo da poter rispondere rapidamente alle domande sui tuoi dati.

Equivoco n. 4: i SIEM non riescono a fornire una copertura cloud sufficiente.
Realtà di nuova generazione: i SIEM nativi del cloud migliorano la protezione degli utenti in ambienti con minacce in evoluzione.

A differenza del SIEM tradizionale, le soluzioni di nuova generazione sono progettate pensando al cloud. I SIEM ora vanno oltre l’importazione di dati e log per includere aggiornamenti automatici, rilevamenti e altro ancora che scalano man mano che cresci. La forza lavoro remota può essere certo che i propri endpoint, app cloud e dati di rete rimangano protetti.

Equivoco n. 5: le soluzioni SIEM richiedono costosi investimenti in risorse aggiuntive.
Realtà Next-Gen: i SIEM aggiornati riducono l’onere di un team numeroso e dedicato, sviluppando esperienza in ogni fase.

I SIEM più recenti combinano l’accessibilità di soluzioni out-of-the-box con l’efficienza del cloud. Procedure guidate di raccolta delle origini eventi prescrittive, interfaccia utente intuitiva e rilevamenti preconfigurati curati creano una facilità d’uso diversa da qualsiasi cosa tu abbia mai sperimentato prima.

Idea sbagliata n. 6: i SIEM ostacolano i processi decisionali.
Realtà NExt-Gen: la funzionalità SIEM migliorata promuove il pensiero proattivo, l’azione decisiva e la fiducia degli utenti.

I nuovi SIEM sul mercato ti consentono di visualizzare e monitorare diverse fonti di dati che non dialogano tra loro negli strumenti tradizionali. Ciò accelera l’analisi dei dati e semplifica il processo decisionale, così puoi agire rapidamente e con sicurezza. Puoi anche avviare flussi di lavoro di contenimento e risposta automatizzati dalla stessa soluzione.

Gli errori di Email Security che gli MSP devono evitare

Gli errori di Email Security che gli MSP devono evitare

Un Managed Service Provider (MSP) ha un enorme impegno quando lavora con la posta elettronica dei client aziendali. Devono mantenere i server, impostare account di posta elettronica e, soprattutto, proteggere la posta elettronica dagli attacchi. Molte delle più grandi violazioni dei dati iniziano con un’e-mail di phishing e gli MSP devono garantire che queste e-mail rimangano non aperte e che gli utenti non scarichino allegati dannosi. Se sei stato assunto per proteggere i servizi di posta elettronica dei client, ecco alcuni errori comuni da evitare.

Nessuna formazione degli utenti

L’istruzione degli utenti ha dimostrato di ridurre il numero di email di phishing che gli utenti aprono o con cui interagiscono. Le e-mail di phishing di solito includono un collegamento a un sito controllato da un utente malintenzionato o un allegato dannoso. Si desidera che l’utente riconosca entrambi questi attacchi come dannosi e lo segnali alla persona giusta, quindi elimini il messaggio.

È ancora più importante educare gli utenti in reparti specifici come finanza e risorse umane. Non è raro che questo personale riceva dozzine di email di phishing al mese e deve essere in grado di identificare i messaggi dannosi per evitare compromessi.

Gli MSP possono formare gli utenti di persona, fornire formazione online o fornire agli utenti documentazione e informazioni quando vengono inseriti dopo essere stati assunti. La formazione dovrebbe fornire agli utenti le informazioni necessarie per riconoscere un’e-mail dannosa ed evitare tutto ciò che potrebbe portare a una violazione dei dati.

La formazione non dovrebbe essere solo una lezione una tantum. Gli aggressori cambiano il modo in cui ingannano gli utenti e qualsiasi attacco comune dovrebbe essere comunicato agli utenti. Ciò richiede che l’MSP sia aggiornato sugli ultimi attacchi e tecniche di phishing in modo che possano essere comunicati agli utenti. Questa comunicazione potrebbe avvenire tramite e-mail o formazione aggiuntiva. Oltre a comunicare agli utenti, gli MSP dovrebbero offrire una formazione annuale per aiutare gli utenti non solo a identificare gli attacchi di phishing, ma anche a proteggere la rete da furti di credenziali, malware e ransomware.

Implementazione della scarsa sicurezza informatica

Gli MSP sono tenuti a implementare i servizi richiesti dal cliente, ma è un errore saltare la sicurezza della posta elettronica anche se il cliente afferma che non è necessario. I clienti potrebbero pensare che tutte le email debbano essere recapitate alle caselle di posta degli utenti, perché non comprendono l’enorme quantità di phishing che viene inviata ogni giorno.

Si stima che ogni giorno vengano inviati 3,4 miliardi di email e ci sono buone probabilità che il tuo cliente ne riceva una parte. La sicurezza della posta elettronica si sta evolvendo per catturare meglio questi messaggi e impedire che vengano ricevuti in arrivo. L’intelligenza artificiale ha contribuito a migliorare la sicurezza informatica delle e-mail in modo che i filtri possano rilevare spoofing, macro dannose negli allegati, messaggi che contengono collegamenti a server controllati da aggressori e messaggi che potrebbero essere considerati spam. Anche se i clienti vogliono che tutte le email vengano inviate in arrivo, è essenziale che gli MSP li convincano che la sicurezza informatica è necessaria per fermare le violazioni dei dati e la compromissione della loro rete.

DMARC (Domain-based Message Authentication, Reporting & Conformance) è uno standard che filtra le email se determinate impostazioni di sicurezza non vengono superate. Ad esempio, una voce Sender Policy Framework (SPF) sui server DNS dell’azienda consentirà il passaggio dell’email alla posta in arrivo dell’utente quando DMARC è abilitato. Se un record SPF non viene rilevato, la sicurezza del server di posta elettronica non consente l’invio del messaggio in arrivo. Questa sicurezza impedisce ai messaggi di spoofing di raggiungere il destinatario previsto, riducendo il numero di e-mail di phishing.

Non mettere in quarantena messaggi sospetti

Anche con DMARC abilitato, gli MSP dovrebbero mettere in quarantena i messaggi sospetti. Mettendo in quarantena i messaggi, gli amministratori possono esaminarli e identificare se l’azienda è un obiettivo di attacco. In un attacco mirato, gli aggressori invieranno potenzialmente centinaia di messaggi a membri del personale specifici. È sufficiente un solo messaggio di successo affinché l’aggressore ottenga le credenziali da una vittima o convinca l’utente mirato a scaricare un allegato dannoso ed eseguire una macro incorporata.

La messa in quarantena delle e-mail fornisce anche agli MSP un modo per “addestrare” i programmi di sicurezza della posta elettronica per eliminare i falsi positivi. Un amministratore può inviare un messaggio di posta elettronica contrassegnato in modo errato alla posta in arrivo dell’utente e modificare le configurazioni sull’applicazione di sicurezza per filtrare le email dannose in modo più efficiente. Gli utenti si sentono frustrati dalla sicurezza della posta elettronica che ha troppi falsi positivi e questo li porterà a ignorare gli sforzi di sicurezza informatica. La riduzione dei falsi positivi guadagna anche maggiore fiducia da parte degli utenti che lavorano con un MSP.

Conclusione

Gli MSP possono generare entrate ricorrenti essendo proattivi nell’istruzione dei clienti sulle minacce e-mail. La formazione degli utenti è essenziale per gli MSP per fornire una buona sicurezza informatica della posta elettronica ai propri clienti. Oltre alla formazione, l’utilizzo di efficaci applicazioni per la sicurezza informatica della posta elettronica impedirà a questi messaggi di raggiungere le caselle di posta degli utenti. Le soluzioni per la sicurezza della posta elettronica assicurano che phishing o e-mail dannose non raggiungano le caselle di posta dei dipendenti. La combinazione di queste due tecniche eviterà che gli MSP cadano in insidie ​​comuni quando configurano server di posta elettronica e sicurezza informatica per i loro clienti.

La sicurezza informatica inizia con i fondamentali

La sicurezza informatica inizia con i fondamentali

Troppo spesso gli amministratori aziendali seguono le best practice per numerose infrastrutture di rete, ma dimenticano l’importanza della sicurezza della posta elettronica. Si potrebbe sostenere che la sicurezza delle e-mail è più importante di qualsiasi altra strategia OpSec,  poiché molte delle più grandi violazioni dei dati iniziano con un’e-mail di phishing. Con un numero sempre maggiore di dipendenti che lavorano da casa, è più importante che mai garantire che la sicurezza delle e-mail sia configurata e implementata su tutti i canali di comunicazione.

Solo un’e-mail di phishing riuscita porta a milioni di danni

È sufficiente una sola e-mail di phishing riuscita per un utente malintenzionato per compromettere una rete. Gli aggressori potrebbero inviare dozzine di e-mail agli utenti all’interno di un’organizzazione o utilizzare l’ingegneria sociale insieme al phishing per prendere di mira specifici account utente con privilegi elevati. Un recente rapporto Ponemon ha mostrato che il costo medio di una violazione dei dati è di 3,86 milioni di dollari. In molti di questi messaggi di posta elettronica dannosi, gli aggressori tentano di indurre gli utenti mirati ad aprire un allegato dannoso e ad eseguire malware sulla rete, oppure un utente malintenzionato potrebbe tentare di attirare la vittima su una delle loro pagine Web ospitate in cui l’utente viene indotto con l’inganno a inviare informazioni sensibili e credenziali per l’attaccante.

Tech Radar riferisce che ogni anno vengono inviati un trilione di e-mail e 3,4 miliardi di e-mail ogni giorno. Con più dipendenti che lavorano da casa, i loro account personali si mescolano con i dispositivi aziendali, il che significa che ci sono buone probabilità che i dipendenti ricevano almeno una di queste email ogni giorno. Se i dipendenti non sono addestrati a identificare le e-mail di phishing, queste potrebbero essere il prossimo vettore di una violazione dei dati. Con le numerose e-mail di phishing inviate ogni giorno, basta un solo dipendente per lasciare la rete dell’organizzazione vulnerabile al malware.

Anche gli utenti addestrati possono cadere vittima di un attacco di phishing. Gli amministratori, i dipendenti delle risorse umane e il personale finanziario ricevono la formazione necessaria per identificare un attacco di phishing perché spesso sono obiettivi specifici nello spear phishing. Anche con la formazione, i dipendenti possono cadere vittime di attacchi di phishing e ingegneria sociale. Quando gli utenti con privilegi elevati cadono vittime di questi attacchi, i dati divulgati e rubati agli aggressori possono essere molto più gravi. Questi utenti hanno accesso a dati finanziari, dati personali di dipendenti e clienti e numeri di previdenza sociale. Questi dati sono molto preziosi sui mercati darknet, quindi vale la pena pagare per un attacco complesso a lungo termine.

Cybersecurity e-mail

Firewall, controlli di accesso, gestione dell’identità degli utenti e altri elementi fondamentali della rete sono tutti componenti in una buona posizione di sicurezza informatica. Ciò che manca in questo elenco e spesso trascurato è la sicurezza informatica delle e-mail. La sicurezza informatica delle e-mail, offerta da soluzioni come SpamTitan, rimuove la responsabilità degli utenti e utilizza l’intelligenza artificiale per identificare i messaggi dannosi. I messaggi dannosi potrebbero essere phishing, quelli che contengono un collegamento a un server controllato da un utente malintenzionato o quelli con allegati malware. Gli utenti non vedono nemmeno più questi messaggi e invece il sistema li mette in quarantena finché gli amministratori non esaminano e verificano che i messaggi siano benigni.

La sicurezza della posta elettronica si basa su due componenti principali: Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM). Un record SPF è il più semplice da implementare e richiede solo pochi minuti del tempo dell’amministratore. Il record SPF viene aggiunto al server DNS dell’organizzazione come voce TXT. Questa voce TXT è una stringa con una sintassi specifica che fornisce ai server di posta elettronica del destinatario un elenco di indirizzi IP autorizzati che possono essere utilizzati per inviare posta elettronica aziendale.

DKIM è simile a una firma crittografata. Un’intestazione viene aggiunta a un messaggio di posta elettronica con la firma del mittente. Il destinatario verifica questa firma per assicurarsi che il messaggio sia stato inviato dal dominio del destinatario. Insieme a SPF, la sicurezza informatica DKIM convalida il mittente e impedisce ai server di posta elettronica del destinatario di inviare e-mail di phishing contraffatte alla posta in arrivo dell’utente mirato.

Il server di posta elettronica del destinatario può essere configurato con la sicurezza DMARC (Domain-based Message Authentication, Reporting and Conformance). Le regole DMARC determinano come un server di posta elettronica deve gestire i messaggi quando sono presenti SPF e DKIM. Con le rigide regole DMARC, i server di posta elettronica potrebbero rifiutare i messaggi in cui non è presente alcun record SPF. Ad esempio, le organizzazioni che utilizzano Google Suite potrebbero trovare le loro email di dominio bloccate se non è presente un record SPF per il mittente di terze parti.

Con gli attacchi e-mail più comuni che mai, la sicurezza informatica della posta elettronica dovrebbe far parte dei fondamenti della rete di qualsiasi organizzazione. Gli amministratori lavorano duramente per garantire che ogni aspetto della rete sia protetto dai firewall che bloccano il traffico Internet pubblico esterno ai controlli di accesso alle identità interne che limitano l’accesso non autorizzato ai dati. DMARC, DKIM e SPF sono tutti strumenti di base per la sicurezza, in grado di limitare le possibilità che l’organizzazione sia vittima di una grave violazione dei dati.

Uno dei buoni propositi per il nuovo anno: migliorare le proprie password

Uno dei buoni propositi per il nuovo anno: migliorare le proprie password

È quel periodo dell’anno in cui pensiamo tutti a come migliorare le nostre vite nel 2021, e non sarà difficile trovare idee su come rendere il prossimo anno migliore del 2020, ma quando si tratta di buoni propositi per l’anno nuovo, perchè non proviamo qualcosa di diverso dai soliti “perdere peso” e “mangiare meglio” come ad esempio “migliorare le proprie password”!

Diventiamo più scaltri con le password
Usi “12345678” o “password” come password? O forse usi “87654321” o “p@ssword”. Forse riutilizzi la stessa password sui tuoi account Netflix e Gmail come fai per l’accesso al tuo laptop, ma per la tua password bancaria, metti in maiuscolo la prima lettera e aggiungi un numero alla fine. Se sei colpevole di una di queste cattive abitudini, stai mettendo in pericolo te stesso, la tua identità, i tuoi beni e persino la tua azienda. Non aspettare per modificare queste abitudini. Cambiale ora.

Smetti di riutilizzare le stesse password per i tuoi account
Non sei il solo. Un sondaggio di Google del 2019 ha rilevato che il 52% delle persone riutilizza le password su più account e il 13% riutilizza la stessa password su ogni account. Ecco perché questa è una cattiva abitudine: i siti web subiscono frequenti violazioni della sicurezza e, quando ciò accade, i criminali ottengono l’accesso alle credenziali di accesso e password per quel sito. Quindi li testano su altri siti e vendono le credenziali ad altri hacker che li testano ancora di più. Se riutilizzi la stessa password, quei criminali sono tenuti a sbloccare account aggiuntivi, anche se quei siti non sono mai stati violati.

Quando SpyCloud, che cura la più grande raccolta al mondo di dati sulle violazioni, ha esaminato il riutilizzo delle password tra i dipendenti di Fortune 1000, ha scoperto che il 76,5% ha riutilizzato la stessa password abbinata alla propria e-mail aziendale su altri account violati. Questo è un problema sia per i consumatori che per le imprese.

Presta attenzione agli avvisi di violazione
Negli ultimi anni, i tuoi dati sono stati probabilmente parte di una violazione, o più. L’azienda i cui dati sono stati violati ti ha informato che le tue informazioni erano a rischio e ti ha costretto (o fortemente consigliato) a cambiare la tua password. Quante volte hai cambiato la stessa password o le sue varianti in tutti i tuoi siti?

Penseresti che sapere che una password sia a rischio potrebbe spingere tutti gli interessati a cambiarla, ma quando Google ha notificato agli utenti tramite un’estensione di Chrome che le loro password erano state compromesse, solo il 26% delle persone le ha cambiate.

Le violazioni sono così pericolose perché spesso non vengono scoperte fino a mesi dopo, il che dà ai cattivi un lungo vantaggio. Quando gli utenti vengono informati che i loro dati sono stati inclusi in una violazione, i criminali hanno setacciato i loro account e identificato altri che sono vulnerabili perché utilizzano le stesse password. Come ho spiegato sopra, ecco perché è importante non riutilizzare le password. Se vieni avvisato di una violazione, non ignorarla. Segui le istruzioni per proteggerti e aggiornare altri account che utilizzano le stesse password.

Usa password complesse
Oltre a riciclare le password tra account, le persone tendono a utilizzare password semplici facili da ricordare. Quando SpyCloud ha analizzato i dati sulla violazione raccolti solo lo scorso anno, ha trovato 13 milioni di istanze di “qwerty123” e 3 milioni di istanze di “iloveyou”. Queste password e le loro varianti sono facili da indovinare per i criminali. Mantengono elenchi di password comuni e li utilizzano negli attacchi di password spraying, mettendo a rischio gli account con password deboli anche se l’utente non ha riutilizzato la password.

Mentre i cracker di password possono capire praticamente qualsiasi password composta da caratteri alfanumerici, le password più lunghe e complesse sono più difficili. Utilizza password di almeno 16 caratteri, con una combinazione casuale di lettere minuscole e maiuscole, numeri e caratteri speciali. La realtà è che gli hacker hanno tempo e potenza di calcolo variabili per decifrare le password. Più gli fai fatica, più è probabile che si arrendano.

Usa un password manager
I password manager ti aiutano a generare password casuali e ad archiviarle in modo da non dover ricordare password diverse per ogni sito. Ci sono tanti password manager disponibili, quindi sceglierne uno richiederà un po’ di ricerca. Assicurati di sceglierne uno che supporti qualunque piattaforma utilizzi e che abbia anche integrato il monitoraggio delle credenziali violate. La maggior parte, ma non tutti, funzionano su PC o Mac e iOS e Android. Inoltre variano in base a ciò che fanno pagare, al numero di password che memorizzano e ad altre funzionalità.

Indipendentemente dal gestore che utilizzi, richiedono tutti una password principale per accedere al tuo gestore di password, quindi ricorda ciò che hai imparato nella sezione precedente sull’impostazione di password complesse.

Abilita l’autenticazione a più fattori
Probabilmente hai ricevuto suggerimenti dai tuoi vari account per configurare l’autenticazione a più fattori (MFA), un miglioramento della sicurezza che richiede di presentare due credenziali separate per accedere a un account. Di solito, quelle credenziali sono qualcosa che conosci come una password o un PIN, qualcosa che hai come un token digitale o fisico o qualcosa che sei come un’impronta digitale o una scansione della retina. In genere è necessario presentare due di questi tre, quindi dopo aver inserito la password, potrebbe essere richiesto di inserire un codice monouso inviato al telefono. L’idea è che mentre gli hacker potrebbero essere in grado di scoprire la tua password, non avranno nemmeno il tuo telefono o l’impronta digitale.

Come minimo, dovresti abilitare MFA sui tuoi account più sensibili, come i tuoi account di posta elettronica e finanziari. Nota: è possibile che ti venga presentata la possibilità di inviare i codici al tuo telefono o e-mail, ma gli hacker potrebbero essere in grado di intercettarli. Utilizzare un token hardware fisico è l’opzione più sicura, seguita da vicino utilizzando un’app come Hypr, Google Authenticator o OneLogin.

Questo è un periodo dell’anno frenetico e stressante, ma avere a che fare con un account compromesso, acquisti fraudolenti o denaro rubato o punti fedeltà non farà che peggiorare le cose. Rendi le pratiche migliori per le password parte dei tuoi piani per il 2021 o, meglio ancora, inizia ora.

Netwrix e Stealthbits si fondono per rispondere alla crescente domanda di protezione dei dati sensibili

Netwrix e Stealthbits si fondono per rispondere alla crescente domanda di protezione dei dati sensibili

Le società Netwrix e Stealthbits si uniscono le forze per offrire soluzioni per la sicurezza dei dati sensibili e la privacy a organizzazioni di qualsiasi dimensione e in qualsiasi regione del mondo.

Netwrix, fornitore di cybersecurity che semplifica la sicurezza dei dati, ha annunciato oggi una fusione con Stealthbits, leader della sicurezza informatica che protegge i dati sensibili e le credenziali dagli aggressori. L’entità combinata continuerà a offrire il suo portafoglio completo di oltre una mezza dozzina di soluzioni di sicurezza volte a identificare e rilevare i rischi per la sicurezza dei dati, nonché a proteggere dagli attacchi informatici e a rispondere in maniera proattiva alle minacce di cybersecurity.

Le soluzioni frammentate nel mercato della sicurezza dei dati impediscono alle organizzazioni di costruire strategie di sicurezza complete per proteggere i propri dati sensibili e regolamentati. Per affrontare questa sfida, Netwrix e Stealthbits stanno unendo le loro forze per sfruttare le reciproche competenze ed ampliare le funzionalità del prodotto migliorando l’esperienza utente. Ciò consentirà all’organizzazione combinata di offrire sette prodotti principali che coprono tutti gli elementi della sicurezza dei dati e delle informazioni, investire nell’innovazione per superare le aspettative dei clienti e dei partner esistenti ed espandere la propria base di clienti a livello globale.

Con oltre 500 dipendenti e clienti provenienti da più di 50 paesi, la società combinata opererà come Netwrix con Steve Dickson che continuerà a servire come CEO e nel consiglio di amministrazione della società. Steve Cochran, fondatore e presidente di Stealthbits, sarà un investitore in Netwrix e farà parte del suo consiglio di amministrazione.

Non potremmo essere più entusiasti di unirci alle persone e ai prodotti di Stealthbits. La nostra organizzazione combinata può ora offrire soluzioni di sicurezza dei dati per qualsiasi organizzazione in qualsiasi parte del mondo.
Steve Dickson, CEO di Netwrix

 

Stealthbits è sempre stata incline a lavorare con i nostri clienti per risolvere i loro requisiti più impegnativi di credenziali e sicurezza dei dati. Combinando la nostra ampiezza di prodotti e la nostra profonda esperienza con quella di Netwrix, i nostri clienti possono rafforzare rapidamente la loro posizione di sicurezza e soddisfare molteplici progetti e requisiti attraverso un unico fornitore
Steve Cochran, fondatore e chairman di Stealthbits

Per il prossimo futuro, clienti, potenziali clienti e partner di ogni azienda continueranno a interagire con ciascuna azienda come fanno oggi per le vendite, il supporto e l’attività dei partner. Sia Netwrix che Stealthbits si impegnano per la trasparenza e nei prossimi mesi informeranno i propri clienti, potenziali clienti e partner dei cambiamenti operativi.

Per maggiori informazioni sull’acquisizione, visita la nostra pagina delle FAQ

Informazioni su Stealthbits
Stealthbits Technologies, Inc. è una società di software incentrata sulla sicurezza dei clienti e focalizzata sulla protezione dei dati sensibili di un’organizzazione e delle credenziali utilizzate dagli aggressori per rubare tali dati. Rimuovendo l’accesso inappropriato ai dati, applicando criteri di sicurezza e rilevando minacce avanzate, riduciamo i rischi per la sicurezza, soddisfiamo i requisiti di conformità e diminuiamo le spese operative. Per maggiori informazioni visita www.stealthbits.com

Informazioni su Netwrix
Netwrix semplifica la sicurezza dei dati, rendendo facile il modo in cui i professionisti possono controllare i dati sensibili, regolamentati e business-critical, indipendentemente da dove risiedono. Più di 10.000 organizzazioni in tutto il mondo si affidano alle soluzioni Netwrix per proteggere i dati sensibili, comprendere a pieno il valore dei contenuti aziendali, superare gli audit di conformità con meno sforzi e spese e aumentare la produttività dei team IT e dei knowledge worker. Fondata nel 2006, Netwrix ha ottenuto più di 150 premi di settore ed è stata nominata negli elenchi Inc. 5000 e Deloitte Technology Fast 500 delle aziende in più rapida crescita negli Stati Uniti Per maggiori informazioni visitare il sito www.netwrix.it

Password moderne e sicure grazie ai suggerimenti del NIST

Password moderne e sicure grazie ai suggerimenti del NIST

Password moderne e sicure grazie ai suggerimenti del NIST

Le policy di sicurezza obsolete peggiorano le password degli utenti?

Negli ultimi dieci anni, gli esperti di sicurezza hanno imparato che molti criteri comuni per le password non portano a password più complesse. Al contrario, in effetti. Rigide regole di complessità e politiche periodiche di modifica forzata delle password rendono le password più difficili da ricordare per le persone, incoraggiando scorciatoie rischiose come la scelta di password prevedibili o il riutilizzo di alcuni preferiti su centinaia di account … Suona familiare? Molti di noi sono colpevoli di queste abitudini.

Queste scorciatoie sono esattamente il modo in cui i criminali informatici si insinuano. Gli aggressori testano sistematicamente le credenziali rubate da altre violazioni dei dati. Le password riutilizzate aprono la porta e, con l’aiuto di strumenti automatici di controllo degli account, anche i criminali non sofisticati possono facilmente colpire centinaia di bersagli.

Ecco perché le più recenti linee guida sulle password create dal National Institute of Standards and Technology (NIST) tengono conto del comportamento umano, incorporando le lezioni apprese in politiche che incoraggiano password complesse e mitigano i rischi. Per le aziende, queste modifiche possono aiutare a ridurre i costi derivanti dall’acquisizione di account, furto di dati e frodi online, ma possono essere impegnative e richiedono molte risorse da implementare.

SpyCloud ha lavorato duramente per creare soluzioni che riducano tale carico. Molti clienti di SpyCloud beneficiano già delle funzionalità di rilevamento e risposta automatizzate fornite da Active Directory Guardian per applicare le linee guida NIST ai propri dipendenti. Oggi abbiamo ampliato la nostra offerta Consumer ATO Prevention per rendere più semplice l’applicazione delle linee guida per le password NIST agli account consumer con la nostra nuova API Password Exposure. Le aziende possono impedire ai consumatori di scegliere password deboli o esposte confrontandole con miliardi di password precedentemente compromesse nel database di SpyCloud, contribuendo a ridurre il furto di account e le frodi online.

L’allineamento dei criteri per le password della tua organizzazione con le ultime linee guida del NIST aiuterà i tuoi dipendenti e i consumatori a creare password più sicure e ridurrà il rischio di acquisizione dell’account. Di seguito abbiamo condensato i consigli del NIST, iniziando con alcune buone notizie.

Lascia che sia il Directory Service a svolgere la gran parte del lavoro pesante

Proprio così. È possibile applicare criteri di password di base per i dipendenti tramite la maggior parte dei servizi di directory o, nel caso di account consumer, all’interno della propria applicazione. Questi includono:

  • Minimo 8 caratteri
  • Consenti più di 64 caratteri
  • Consenti (ma non richiedere) caratteri speciali
  • Limita i tentativi di accesso non riusciti

Solo alcuni consigli, come determinare se le password sono state esposte in una violazione di terze parti, richiedono l’applicazione esterna. Maggiori informazioni su questo alla fine di questo post.

Leggi la guida passo per passo su come impostare Active Directory allineandola ai suggerimenti del NIST.

Policy di password Human-Friendly: cosa non fare

Poiché le ultime linee guida del NIST hanno la precedenza su credenze vecchie di decenni su ciò che rende una policy forte per le password, offrono linee guida piuttosto significative sui modi per scoraggiare le cattive abitudini storiche degli utenti.

Non richiedere password complesse
Il NIST inverte la vecchia guida sconsigliando di richiedere regole come l’utilizzo di una combinazione di lettere e simboli. In teoria, una combinazione di lettere, numeri e simboli può aumentare la difficoltà di decifrare una password. In pratica, tuttavia, questo requisito ha portato gli utenti a creare password più brevi facili da decifrare per i criminali.

Ad esempio, un utente può sfuggire alla maggior parte dei requisiti di complessità con una password come “P @ ssw0rd!” Gli strumenti di controllo dell’account criminale testano automaticamente questo “parlare liberamente”, ovvero la pratica di sostituire le lettere con numeri o caratteri speciali che assomigliano a lettere. Peggio ancora, gli utenti spesso riutilizzano le varianti della loro password “sicura” su più servizi, esponendo tutti quegli account a ulteriori rischi.

Non forzare modifiche arbitrarie della password
Ciò include le politiche comuni come la scadenza della password ogni 90 giorni. Questo requisito rende più difficile per gli utenti ricordare le password e incoraggia cattive abitudini come la scelta di password deboli, la rotazione attraverso una serie di password familiari o l ‘”aggiornamento” delle password esistenti con modifiche banali.

La rotazione delle password è un vantaggio per i criminali. I criminali sanno che alcuni utenti passeranno inevitabilmente in rassegna le password più vecchie, comprese quelle che sono state esposte in precedenti violazioni. Questo è uno dei motivi per cui i criminali testeranno pazientemente le credenziali rubate su altri account nel corso di mesi o addirittura anni.

Non utilizzare suggerimenti o promemoria per la password
Gli utenti spesso sottovalutano il rischio di fornire troppe informazioni in un campo di promemoria, il che rende più facile per un criminale indovinare la password e accedere all’account. Alcuni in realtà arrivano al punto di impostare la password come suggerimento.

Non utilizzare l’autenticazione basata sulla conoscenza
Le risposte alle richieste di autenticazione basata sulla conoscenza, come la richiesta del modello della prima auto di un utente, sono spesso disponibili tramite registri pubblici o social media. Inoltre, agli utenti potrebbe essere richiesto di rispondere alle stesse domande su più servizi, incoraggiando il riutilizzo delle credenziali. Se un criminale ha accesso ad altre informazioni sull’utente, questo tipo di autenticazione può essere facile da indovinare.

Aiuta i tuoi utenti ad aiutare se stessi

Ok, sai cosa non fare. Queste linee guida sull’usabilità approvate dal NIST incoraggiano gli utenti a creare password complesse, senza implementare direttamente requisiti aggiuntivi.

Offri la possibilità di visualizzare la password completa
Consenti agli utenti di selezionare un’opzione per visualizzare la loro password completa, che può aiutarli a verificare la presenza di errori nella loro immissione. Facoltativamente, il NIST suggerisce di mostrare un carattere alla volta mentre l’utente lo inserisce per aiutare gli utenti mobili a evitare errori.

Consenti agli utenti di incollare le password
La possibilità di incollare le password facilita l’uso dei gestori di password, che secondo il NIST possono aumentare la probabilità che gli utenti scelgano password più forti.

Fornire indicazioni per la creazione della password, ad esempio un misuratore di sicurezza della password
Fornire indicazioni sulla sicurezza della password agli utenti mentre creano una password. Questo spesso assume la forma di un misuratore di sicurezza della password. Sebbene questa non sia una funzionalità pronta all’uso con Active Directory, può essere ottenuta tramite strumenti di terze parti, inclusi molti gestori di password. Le organizzazioni possono anche fornire ai dipendenti materiali di riferimento sulla sicurezza della password.

Stabilire controlli di sicurezza essenziali

Genera PIN sicuri
Se si generano pin o password per conto dei propri utenti, il NIST richiede che siano lunghi almeno 6 caratteri e “generati utilizzando un generatore di bit casuale approvato” come descritto nella pubblicazione speciale NIST 800-90A.

Crittografa le password durante la trasmissione
Questo requisito NIST per “utilizzare la crittografia approvata e un canale protetto autenticato” durante la trasmissione delle password degli utenti riduce il rischio che una terza parte possa intercettare le password degli utenti. Se la tua comunicazione di rete non è sicura, chiunque si connetta può vedere il suo traffico e quando vengono inviate le informazioni di accesso, la password può essere visualizzata in chiaro. Per gli utenti esterni, assicurati che il tuo portale di accesso disponga di un certificato SSL valido per garantire che la comunicazione di rete sia crittografata.

Credenziali archiviate in salt e hash

Le linee guida del NIST per il salting e l’hashing delle credenziali archiviate includono:

  • Scegli un algoritmo di hashing moderno (PBKDF2, bcrypt, ecc.) Resistente agli sforzi di decrittazione
  • Scegli un salt abbastanza lungo per ogni hash
  • Assicurati che anche il particolare algoritmo di hashing utilizzi un pepper

Vieta le password di uso comune

Non consentire agli utenti di scegliere password “comunemente usate, previste o compromesse”, come:

  • Password ottenute da precedenti corpi di violazione
  • Parole del dizionario
  • Caratteri ripetitivi o sequenziali (ad es. “Aaaaaa”, “1234abcd”)
  • Parole specifiche del contesto, come il nome del servizio, il nome utente e i suoi derivati

I criminali utilizzano attivamente questi tipi di password comuni e compromesse negli attacchi di acquisizione di account. Secondo il Verizon Breach Report del 2020, le credenziali rubate sono state la principale tecnica di hacking negli ultimi quattro anni.

Seguire le indicazioni del NIST bloccando la capacità degli utenti di scegliere questi tipi di password è uno dei modi più efficaci con cui le organizzazioni possono proteggere se stesse e i propri clienti. Tuttavia, questa funzionalità richiede l’accesso a una fonte di password completa e regolarmente aggiornata che dovrebbe essere bloccata, nonché la possibilità di controllare le password degli utenti su larga scala. È qui che un partner fidato può aiutare.

Non devi far tutto da solo

Mentre molti dei consigli del NIST possono essere soddisfatti facilmente utilizzando risorse interne e il minimo sforzo, c’è un’eccezione evidente: il controllo di password comuni o precedentemente compromesse.

Poiché la maggior parte dei team di sicurezza non ha le risorse per ricercare e rendere operativi i dati sulle violazioni da sola, affidarsi a un partner specializzato nella prevenzione delle acquisizioni di account può fare la differenza. Mentre consideri i fornitori, cerca queste capacità.

Controlla le password degli utenti con un elenco in evoluzione
Un elenco statico semplicemente non lo taglierà, data la frequenza con cui si verificano nuove violazioni. Per il contesto, i ricercatori di SpyCloud aggiungono circa un miliardo di nuove risorse di violazione al nostro database, ogni mese. Questo elenco in continua evoluzione aumenta continuamente la tua esposizione al rischio.

Accedi a nuove esposizioni il prima possibile dopo una violazione
Questo perché quando una violazione ha fatto notizia, il danno peggiore è già stato fatto. Il periodo più redditizio per i criminali è nei primi 18 mesi circa dopo una violazione; durante questo periodo limitano l’accesso alle informazioni rubate mentre lavorano per decifrare le password e monetizzare le credenziali rubate.

Raccogli i dati sulla violazione utilizzando HUMINT
I dati sulle violazioni raccolti tramite lo scraping e la scansione del dark web offrono una protezione limitata: nel momento in cui i dati sulla violazione giungono a queste fonti pubbliche, il danno peggiore è già stato fatto. Le tecniche di intelligenza umana sono l’unico modo per identificare le credenziali rubate all’inizio della sequenza temporale della violazione, mentre puoi comunque agire in tempo per proteggere i tuoi utenti.

In conclusione

Le linee guida per le password del NIST forniscono una roadmap per policy di password sicure e di facile utilizzo che combattono i modi più comuni in cui i criminali si intromettono negli account degli utenti.

SpyCloud consente la riparazione quando conta davvero, prima che i criminali abbiano accesso illegittimo ai sistemi e ai dati aziendali o sottraggano denaro e punti fedeltà ai tuoi consumatori.

Ulteriori informazioni su come Active Directory Guardian ti aiuta ad automatizzare la prevenzione del furto di account e ad allinearti alle linee guida del NIST.

 

Scopri di più su come Consumer ATO Prevention ti consente di prevenire le frodi per tutta la durata di un account consumatore, senza aggiungere attriti.

I 4 pilastri della Network Security di Windows

I 4 pilastri della Network Security di Windows

Il CISO di Microsoft elenca le quattro aree chiave su cui concentrarsi per proteggere le reti Windows: gestione delle identità passwordless, gestione delle patch, controllo dei dispositivi e benchmark.

Prima della conferenza Ignite di Microsoft, ho potuto parlare con il CISO di Microsoft Bret Arsenault di alcuni elementi chiave che tutti noi dovremmo considerare per mantenere le reti Windows protette. Parla di quattro pilastri della sicurezza: gestione delle identità senza password, gestione delle patch, controllo dei dispositivi e benchmark di sicurezza.

1. Passwordless identity management

I consigli di Arsenault iniziano con l’utilizzo dell’autenticazione a più fattori (MFA) e passano alla gestione dell’identità senza password. Sulla base del report Verizon Data Breach Investigations 2020, le credenziali rubate sono alla base dell’80% degli attacchi informatici. È una delle ragioni principali per cui Microsoft enfatizza l’eliminazione delle password normali e si concentra sulle tecniche passwordless.

Sono disponibili tre opzioni principali passwordless per Windows. La prima utilizza Windows Hello for Business, che include l’autenticazione biometrica. Per supportare Windows Hello for Business per distribuzioni solo cloud, è necessario Windows 10 versione 1511 o successiva, un account Microsoft Azure, Azure Active Directory (AD), Azure Multi-factor Authentication, Modern Management (Intune o MDM di terze parti supportato). Opzionalmente, una sottoscrizione ad Azure AD Premium per la registrazione MDM automatica quando il dispositivo si unisce ad Azure AD. Per le distribuzioni ibride, è necessario Windows 10 versione 1511 o successiva, aggiunto ad Azure AD ibrido o aggiunto ad Azure AD.

L’opzione successiva, e quella che utilizzo, è l’app Microsoft Authenticator. (Si può anche utilizzare l’app Google Authenticator per la verifica a due fattori, ma avrai bisogno di Microsoft Authenticator per l’implementazione passwordless.) Questa potrebbe essere un’opzione praticabile se le applicazioni supportano l’app Authenticator e gli utenti possono utilizzare la stessa piattaforma per più applicazioni cloud. Come indicato nella documentazione di Microsoft, la tecnologia utilizzata è simile a Windows Hello. Per distribuirlo è necessaria Azure Multi-Factor Authentication con notifiche push consentite come metodo di verifica. Quindi è necessaria l’ultima versione di Microsoft Authenticator installata sui dispositivi con iOS 8.0 o versioni successive o Android 6.0 o versioni successive.

Infine, si possono soluzioni senza password con le chiavi di sicurezza FIDO 2.0. Hai bisogno di qualcosa come Yubikey, che supporta una chiave residente, un PIN client, un segreto HMAC e più account per relying party (RP).

2. Patch management

Il prossimo elemento chiave che Arsenault ha indicato è assicurarsi di avere un processo per la gestione delle patch. La sua raccomandazione è di non ritardare e di rattoppare, rattoppare, rattoppare! Inoltre, consiglia di disporre di un sistema per mantenere aggiornato tutto il software utilizzato dai dipendenti.

Le aziende spesso non applicano immediatamente le patch. Piuttosto, testano immediatamente e poi decidono di distribuire l’aggiornamento se non sorgono problemi durante il test. Microsoft ha bisogno di ricostruire la fiducia dell’azienda con la qualità dei propri aggiornamenti. A giugno, le stampanti con driver PCL 5 sono state colpite da un effetto collaterale introdotto da KB4557957 che ha causato l’interruzione della stampa. Molte aziende si sono trattenute a distribuire gli aggiornamenti di giugno finché non hanno trovato una soluzione alternativa o hanno ricevuto una correzione da Microsoft. La maggior parte delle aziende alla fine applica le patch, ma chiaramente non così rapidamente come vorrebbero Arsenault o Microsoft.

3. Device control

Arsenault esorta gli amministratori della sicurezza a ottenere un controllo sul controllo del dispositivo. Assicurati che tutti i dispositivi che si connettono alla tua rete, inclusi i dispositivi di proprietà dell’azienda, personali e periferici come stampanti e sistemi telefonici, siano identificati, patchati e protetti. Soprattutto se si dispone di Microsoft 365, si consiglia di utilizzare Intune per identificare e gestire i dispositivi che si connettono alla rete. A causa della pandemia, le persone utilizzano più dispositivi di consumo per connettersi alle risorse aziendali. Microsoft Intune può aiutare a gestire una varietà di risorse, inclusi dispositivi iOS / iPadOS, Android, Windows e macOS.

Per le aziende, la gestione delle stampanti è ancora un lavoro in corso. Le esigenze principali spesso determinano determinati tipi e tipi di stampanti di rete. In quanto tali, comunicano a Internet, dispongono di dischi rigidi ed eseguono software. Il loro firmware deve essere aggiornato per essere sicuro, a volte in modi che non sono efficienti come l’applicazione di patch ai sistemi operativi. Con il passaggio al lavoro da casa, c’è meno bisogno di stampanti di rete e di più per la gestione dei PDF, ma in alcuni settori le stampanti sono ancora un’esigenza fondamentale.

Vorrei aggiungere un ulteriore elemento ai consigli di Arsenault sul controllo dei dispositivi: assicurati che i tuoi consulenti utilizzino anche strumenti sicuri e aggiornati quando si connettono in remoto e forniscono assistenza alla tua azienda. Troppi attacchi ransomware quest’anno sono iniziati con un utente malintenzionato che ha ottenuto l’accesso all’azienda tramite i suoi consulenti. Gli aggressori spesso non danneggiano solo un’azienda, ma tutte le aziende sotto la guida del fornitore di servizi gestiti. Rivedi anche la loro posizione sulla sicurezza.

4. Security benchmarks

La revisione dei benchmark ti dice quanto le tue best practice di sicurezza si confrontano con quelle dei tuoi colleghi, consiglia Arsenault. Microsoft 365 include il punteggio di sicurezza di Microsoft. È inoltre possibile utilizzare i documenti di benchmark del Center for Internet Security per verificare le impostazioni. Quindi rivedere periodicamente le informazioni nel Centro sicurezza di Microsoft 365 per le modifiche e rivedere le impostazioni per Microsoft 365 di conseguenza.

Stare al passo con i cambiamenti significa tenere traccia dei prodotti, della roadmap del prodotto e, spesso, delle modifiche al nome del prodotto. Ad esempio, le seguenti modifiche al nome del prodotto sono state annunciate a Ignite:

  • Microsoft Threat Protection è ora Microsoft 365 Defender
  • Azure Advanced Threat Protection è ora Microsoft Defender for Identity
  • Microsoft Defender Advanced Threat Protection è ora Microsoft Defender for Endpoint
  • Office 365 Advanced Threat Protection è ora Microsoft Defender per Office 365
  • Azure Security Center Standard Edition è ora Azure Defender for Servers
  • Il Centro sicurezza di Azure per IoT è ora Azure Defender per IoT
  • Advanced Threat Protection per SQL è ora Azure Defender per SQL

L’intento dei nuovi nomi è definire più chiaramente ciò che ciascuno fa. Aggiungi ai segnalibri ogni sito di destinazione e rivedi ciascuno. Se al momento non hai accesso alle funzionalità, registrati per una versione di prova (preferibilmente una versione di prova di Microsoft 365 E5 che riunisce tutti i pezzi) per vedere la visione di sicurezza unificata di Microsoft.

Tenere il passo con i cambiamenti di Microsoft può essere scoraggiante. Spesso il modo migliore per seguire Microsoft è prestare molta attenzione alle loro principali conferenze. Con la pandemia, Microsoft (e molti altri fornitori) si sono orientati verso luoghi online e hanno reso la conferenza gratuita oa basso costo.

La tecnologia sta cambiando rapidamente. Questi quattro pilastri: gestione delle identità senza password, gestione delle patch, controllo dei dispositivi e confronto con i benchmark sono tutti pilastri di una buona sicurezza aziendale.