da Fabrizio Bressani | Mag 18, 2023 | Notizie dal Mercato
Il passaggio a un futuro senza password è uno sviluppo positivo. Ci sarà un giorno in cui gli account di tutti saranno meno vulnerabili alle attività criminali? Questo è un enorme passo avanti nella visione di SpyCloud per rendere Internet un posto più sicuro. Purtroppo quel giorno è ancora molto lontano. Le passkey, pur essendo un coraggioso passo nella giusta direzione, sono semplicemente un miglioramento rispetto a una metodologia di password per applicazione e presentano molte delle stesse sfide quando si tratta di mantenere la sicurezza degli account utente.
In risposta ai miglioramenti nelle tecnologie senza password, gli ecosistemi criminali si stanno rapidamente adattando:
- Spostando la loro attenzione dalle credenziali dell’account ai metodi di recupero dell’account
- Sviluppando modi per rubare passkey
- Lavorando su passkey e altri metodi di autenticazione senza password con attacchi di session hijacking
In SpyCloud, ci concentriamo sul recupero su larga scala dei dati esfiltrati da violazioni e malware, mentre cerchiamo e recuperiamo nuove forme di dati che gli attori malintenzionati trovano preziosi per le loro intenzioni criminali per aiutare le aziende a reagire rapidamente, invalidando i dati di autenticazione rubati per mantenere i loro utenti e la loro attività protetta. Le chiavi di accesso, insieme ad altre tecnologie che verranno sviluppate in futuro, fanno parte di questa missione.
Man mano che la tecnologia passa, sarebbe ignorante presumere che qualsiasi nuova soluzione sia immune da compromissioni informatiche. Questo è vero nel caso del passaggio da password a passwordless.
Poiché le password sono una misura di sicurezza semplice, conveniente e onnipresente, facile da implementare e praticamente senza curva di apprendimento per l’utente medio, è probabile che siano disponibili per un po’ di tempo.
Ma nel frattempo, esaminiamo le opzioni per l’autenticazione senza password che esistono ora.
L’autenticazione senza password è un concetto di controllo della sicurezza progettato per sostituire le password tradizionali. E per decenni, nuovi metodi di autenticazione aumentata si sono avvicinati a categorie di hard token e soft token. I più comunemente usati sono:
HARD TOKENS
YubiKey
Dispositivo di autenticazione proprietario basato su hardware che consente l’accesso sicuro a computer, reti e servizi online attraverso l’uso di password monouso, sviluppato da FIDO Alliance.
Biometria
Utilizza identificatori personali univoci, come una scansione della retina, il riconoscimento facciale o l’impronta digitale che fornisce l’accesso tramite l’integrazione direttamente con l’hardware o l’applicazione.
SOFT TOKENS
Time-based One Time Password (TOTP)
Un tipo di autenticazione a due fattori (2FA) in cui vengono create password numeriche univoche basate sul tempo. Offre un ulteriore livello di sicurezza dell’account attraverso un processo continuo e facile da usare, disponibile anche offline.
Passkey
Progettata in conformità con FIDO, una passkey è una credenziale digitale legata in modo univoco a un sito Web oa un’applicazione che consente l’autenticazione senza la necessità di un nome utente, una password o persino un fattore di autenticazione aggiuntivo.
Sebbene rappresentino la prossima iterazione della tecnologia senza password, generando molta eccitazione e novità, le passkey non sono immuni ai compromessi. Sono più sicuri di alcuni metodi di autenticazione e decisamente meno soggetti a cattive pratiche igieniche e, in termini di usabilità, è molto più facile tenere traccia dell’accesso a tutto ciò che riguarda la nostra impronta digitale. Detto questo, qualsiasi livello di autenticazione non bloccherà mai completamente l’accesso a un malintenzionato.
Le soluzioni SpyCloud si evolvono con l’evolversi dei criminali, poiché miriamo a mantenere i clienti agili nel rispondere a tattiche criminali in continua evoluzione. Negli ultimi 12-18 mesi, abbiamo iniziato a vedere i criminali andare oltre le password rubate per perpetrare il furto di account . Sono passati a ciò che chiamiamo ATO di nuova generazione: dirottamento di sessione .
Con l’elevato volume di cookie di sessione esfiltrati da malware disponibili sulla darknet, questo attacco sta diventando sempre più popolare. Gli infostealer sottraggono tutto ciò che è contenuto nel browser di un utente infetto, inclusi i cookie di sessione. Questi cookie vengono venduti (e talvolta regalati) sui mercati del darknet e consentono un attacco che richiede solo pochi secondi, consentendo a un criminale di impersonare l’utente legittimo senza sollevare segnali d’allarme.
Tutto ciò che serve è un cookie rubato per una sessione attiva e un browser anti-rilevamento per consentire a un criminale di perpetrare il dirottamento della sessione. Questi attacchi aggirano qualsiasi meccanismo di autenticazione forte esistente. Non importa se l’utente ha effettuato l’accesso con un nome utente e una password, ha completato una verifica MFA o ha utilizzato una passkey. E se il cookie rubato è legato a una sessione SSO attiva, ciò potrebbe aprire la porta a un criminale informatico a oltre 200 applicazioni per la media impresa di grandi dimensioni.
Indipendentemente dal fatto che una sessione sia stata originariamente autenticata con una password o una passkey, ogni sito e applicazione assegna un cookie/token, una stringa di caratteri che il sito o il server utilizza per ricordare i visitatori e rendere più facile visitare nuovamente il sito senza eseguire l’autenticazione. Questi cookie variano in termini di “tempo di vita”, ma rimarrai sorpreso dal fatto che molti di essi rimangano validi per settimane, mesi o anche di più.
Se ti stai chiedendo, ‘quanti di questi cookie sono davvero disponibili per essere utilizzati dai criminali?’ Solo lo scorso anno, SpyCloud ha recuperato oltre 22 miliardi di cookie di sessione rubati da infostealer. Solo per i dipendenti di Fortune 1000, 1,87 miliardi .
Se ti stai chiedendo, ‘possiamo eliminare i cookie se presentano un rischio così grande?’ Francamente no. I cookie sono fondamentali per il funzionamento di Internet.
Inutile dire che ci sono enormi opportunità per i criminali quando si tratta di dirottamento della sessione, che rimarrà una minaccia critica anche se le passkey cresceranno in popolarità.
Articolo originale di Grant Cole
da Fabrizio Bressani | Mag 18, 2023 | Notizie dal Mercato
Articolo originale di Grant Cole
da Fabrizio Bressani | Mag 18, 2023 | How-To
Ultimo aggiornamento mercoledì 17 maggio 2023 18:35:01 GMT
CVE-2023-27350 è una vulnerabilità legata all’esecuzione di codice in modalità remota non autenticata nel software di gestione della stampa PaperCut MF/NG che consente agli aggressori di aggirare l’autenticazione ed eseguire codice arbitrario come SISTEMA su obiettivi vulnerabili.
È disponibile una patch per questa vulnerabilità e deve essere applicata in caso di emergenza.
Panoramica
La vulnerabilità è stata pubblicata nel marzo 2023 ed è ampiamente sfruttata in natura da un’ampia gamma di attori delle minacce, tra cui più APT e gruppi di ransomware come Cl0p e LockBit. Diverse altre società di sicurezza e testate giornalistiche hanno già pubblicato articoli sull’uso di CVE-2023-27350 da parte di attori delle minacce, incluso il team di intelligence sulle minacce di Microsoft, che sta monitorando lo sfruttamento da parte di più attori delle minacce sponsorizzati dallo stato iraniano .
La US Cybersecurity and Infrastructure Security Agency (CISA) e l’FBI hanno rilasciato un avviso congiunto l’11 maggio 2023 avvertendo che CVE-2023-27350 era stato sfruttato almeno da metà aprile e veniva utilizzato negli attacchi ransomware Bl00dy in corso contro “il Sottosettore delle strutture educative. Il loro avviso include indicatori di compromissione (IOC) e rafforza la necessità di patch immediate.
La superficie di attacco esposta a Internet per CVE-2023-27350 sembra essere modesta, con meno di 2.000 istanze vulnerabili di PaperCut identificate ad aprile 2023. Tuttavia, la società afferma di avere più di 100 milioni di utenti, il che è un forte motivatore per un vasta gamma di attori della minaccia.
Prodotti interessati
Secondo l’ avviso del fornitore , CVE-2023-27350 riguarda PaperCut MF o NG 8.0 e versioni successive su tutte le piattaforme. Questo include le seguenti versioni:
- 8.0.0 a 19.2.7 (incluso)
- 20.0.0 a 20.1.6 (incluso)
- Dal 21.0.0 al 21.2.10 (compreso)
- Dal 22.0.0 al 22.0.8 (compreso)
PaperCut ha una FAQ disponibile per i clienti alla fine del loro avviso . Tieni presente che l’aggiornamento a una versione fissa di PaperCut risolve sia CVE-2023-27350 che CVE-2023-27351 .
Clienti Rapid7
La seguente copertura di prodotti è disponibile per i clienti Rapid7:
InsightVM e Nexpose
Un controllo autenticato per CVE-2023-27350 su sistemi Windows e MacOS è disponibile per i clienti Nexpose e InsightVM a partire dal 28 aprile 2023.
Un controllo remoto e non autenticato per PaperCut MF dovrebbe essere spedito nella versione di solo contenuto del 17 maggio.
InsightIDR e rilevamento e risposta gestiti
La seguente regola è stata aggiunta per i clienti Rapid7 InsightIDR e Managed Detection and Response (MDR) e si attiverà in caso di comportamenti dannosi noti derivanti dallo sfruttamento di PaperCut:
Suspicious Process - PaperCut Process Spawning Powershell or CMD
Articolo originale di Caitlin Condon
Foto di Luca Bravo su Unsplash
da Fabrizio Bressani | Mar 19, 2023 | Notizie dal Mercato
GALWAY, Irlanda e SHELTON, Conn., 15 marzo 2023- @TitanHQ , leader nella sicurezza delle e-mail aziendali, ha annunciato oggi di essere stato riconosciuto come leader in cinque categorie nel rapporto G2 Crowd Grid® Winter 2023, oltre a guadagnare una delle prime cinque posizioni in altre 12 categorie: una prestazione eccezionale.
Notizie entusiasmanti da G2 questo mese in quanto SpamTitan Email Security è stato nominato leader nel rapporto Winter 2023 di G2 per le seguenti categorie: Cloud Email Security, Small Business Email Security, Email Anti-Spam SMB e Email Security. Questo riconoscimento arriva sulla scia del rilascio dei G2 Grid Reports dell’inverno 2023, in cui la sicurezza e-mail di SpamTitan è stata anche annunciata in una posizione di vertice per altre 12 categorie.

I premi per gli utenti di G2 Crowd sono una classifica definitiva delle migliori aziende di software e prodotti in tutto il mondo. G2 è una fonte altamente affidabile per le recensioni tecnologiche, combina recensioni verificate dei clienti, opinioni sui social media e altre fonti di dati online per valutare software e servizi per i loro report Grid trimestrali. I premi si basano su autentiche revisioni tra pari e mostrano all’utente che il sito è sicuro e affidabile. Le organizzazioni classificate nel quadrante Leader sono molto apprezzate dagli utenti e hanno una presenza significativa sul mercato.
La piattaforma di sicurezza informatica di TitanHQ riceve costantemente valutazioni di soddisfazione molto elevate da parte dei nostri utenti. Oltre ai premi G2, SpamTitan ha oltre 500 recensioni di clienti a 5 stelle su Capterra/Gartner, GetApp e Software Advice. È anche il leader di categoria per la sicurezza della posta elettronica su Expert Insights e PeerSpot, siti di recensioni del settore della sicurezza molto rispettati. “Il feedback estremamente positivo degli utenti di SpamTitan sui siti di recensioni indipendenti è un ritorno per il massiccio investimento che abbiamo fatto nei nostri prodotti e nelle informazioni sulle minacce”, ha affermato Ronan Kavanagh, CEO di TitanHQ.
Attacchi di phishing e malware causano gravi danni alle aziende, con conseguenti perdite finanziarie significative e danni alla reputazione. TitanHQ ha lanciato SpamTitan Plus lo scorso anno, che si concentra in particolare sul blocco degli attacchi di phishing in tempo reale utilizzando l’intelligenza artificiale e l’apprendimento automatico all’avanguardia. Le informazioni sulle minacce alla base di questa soluzione sono 1,5 volte più potenti delle soluzioni leader del settore. Il nuovo prodotto ha riscosso un enorme successo tra i clienti di TitanHQ ed è la soluzione più popolare nel settore. Che tu sia un professionista IT in un’azienda o un MSP che offre servizi di sicurezza, TitanHQ semplifica l’implementazione della sicurezza e-mail e Web e aggiunge livelli di protezione altamente efficaci contro malware, ransomware e attacchi di phishing.
SpamTitan compete direttamente con leader del settore come Proofpoint, Mimecast e Barracuda ed è visto come un’opzione efficace, facile da usare e più conveniente con un eccellente supporto di prima linea. Per ulteriori informazioni sulla piattaforma TitanHQ e su come proteggiamo i tuoi utenti e clienti da malware, ransomware, phishing, virus, botnet e altre minacce informatiche, visita www.titanhq.com
Grazie a G2 Crowd e a tutti gli utenti G2 che continuano a dare alla suite di soluzioni TitanHQ queste eccellenti valutazioni!
A proposito di TitanHQ
TitanHQ offre una piattaforma di sicurezza informatica SaaS best-in-class che offre una soluzione di sicurezza a più livelli per prevenire la vulnerabilità degli utenti. La nostra piattaforma incentrata sugli MSP consente ai nostri partner di generare entrate ricorrenti attraverso la vendita delle nostre soluzioni alle PMI e di ridimensionare e gestire in modo efficace le proprie attività.
Foto di Compare Fibre su Unsplash
da Fabrizio Bressani | Feb 15, 2023 | How-To
da Fabrizio Bressani | Feb 15, 2023 | Case Study, How-To, Notizie dal Mercato
Ultimo aggiornamento venerdì 10 febbraio 2023 16:55:49 GMT
La scorsa settimana, diverse organizzazioni hanno emesso avvisi secondo cui una campagna ransomware denominata “ESXiArgs” stava prendendo di mira i server VMware ESXi, presumibilmente sfruttando CVE-2021-21974, una vulnerabilità di overflow dell’heap di quasi due anni. Due anni. Eppure, la ricerca di Rapid7 ha rilevato che un numero significativo di server ESXi rimane probabilmente vulnerabile. Riteniamo, con grande sicurezza, che ci siano almeno 18.581 server ESXi vulnerabili connessi a Internet al momento della stesura di questo documento.
Quel numero di 18.581 si basa sulla telemetria del Project Sonar. Sfruttiamo la firma Recog del certificato TLS per determinare che un determinato server è un server ESXi legittimo. Quindi, dopo aver rimosso i probabili honeypot dai risultati, abbiamo confrontato gli ID build dei server scansionati con un elenco di ID build vulnerabili.
Project Sonar è uno sforzo di ricerca Rapid7 volto a migliorare la sicurezza attraverso l’analisi attiva delle reti pubbliche. Come parte del progetto, conduciamo sondaggi su Internet su più di 70 diversi servizi e protocolli per ottenere informazioni sull’esposizione globale a vulnerabilità comuni.
Abbiamo anche osservato ulteriori incidenti che prendono di mira i server ESXi, non correlati alla campagna ESXiArgs, che probabilmente sfruttano anche CVE-2021-21974. RansomExx2: è stato osservato che un ceppo relativamente nuovo di ransomware scritto in Rust e mirato a Linux sfrutta i server ESXi vulnerabili. Secondo un recente rapporto IBM Security X-Force , il ransomware scritto in Rust ha tassi di rilevamento antivirus inferiori rispetto a quelli scritti in linguaggi più comuni.
Problemi CISA risolti, più o meno
La US Cybersecurity and Infrastructure Security Agency (CISA) mercoledì ha rilasciato un decryptor ransomware per aiutare le vittime a riprendersi dagli attacchi ESXiArgs. Tuttavia, è importante notare che lo script non è una cura per tutti e richiede strumenti aggiuntivi per un ripristino completo. Inoltre, i rapporti suggeriscono che l’autore della minaccia dietro la campagna ha modificato il proprio attacco per mitigare il decryptor.
Lo script funziona consentendo agli utenti di annullare la registrazione delle macchine virtuali che sono state crittografate dal ransomware e di registrarle nuovamente con un nuovo file di configurazione. Tuttavia, è comunque necessario disporre di un backup delle parti crittografate della VM per eseguire un ripristino completo.
Il vantaggio principale dello script decryptor è che consente agli utenti di riportare le macchine virtuali a uno stato funzionante mentre il ripristino dei dati dal backup avviene in background. Ciò è particolarmente utile per gli utenti di strumenti di backup tradizionali senza funzionalità di ripristino di emergenza basate sulla virtualizzazione.
I consigli di Rapid7
Negare l’accesso ai server. A meno che un servizio non debba assolutamente essere su Internet, non esporlo a Internet. Alcune vittime di questi attacchi hanno esposto questi server a Internet aperto, ma avrebbero potuto ricavarne altrettanto valore commerciale limitando l’accesso agli indirizzi IP consentiti. Se stai eseguendo un server ESXi o qualsiasi server, per impostazione predefinita nega l’accesso a quel server tranne che dallo spazio IP attendibile.
Applica patch ai server ESXi vulnerabili. VMware ha rilasciato una patch per CVE-2021-21974 quasi due anni fa. Se disponi di server ESXi senza patch nel tuo ambiente, fai clic su quel collegamento e correggili ora.
Sviluppare e aderire a una strategia di patching. L’applicazione di patch presenta indubbiamente delle sfide. Tuttavia, questo evento illustra perfettamente il motivo per cui è essenziale disporre di una strategia di patching e attenersi ad essa.
Eseguire il backup delle macchine virtuali. Assicurati di disporre di una soluzione di backup, anche per le macchine virtuali. Come notato sopra, lo script decryptor emesso dalla CIA è solo una soluzione parziale. L’unico modo per recuperare completamente dagli attacchi associati a CVE-2021-21974 è tramite backup operativi. Oggi è disponibile un’ampia varietà di soluzioni di backup per proteggere le macchine virtuali.
Articolo di Erick Galinkin
Foto di Taylor Vick su Unsplash
da Fabrizio Bressani | Dic 15, 2022 | Case Study, Notizie dal Mercato
Di Trevor Hilligoss, SpyCloud.
Malware-as-a-service (MaaS) è un’economia in crescita nel sottosuolo criminale, che apre le porte a ransomware, frode di identità e altri crimini informatici. L’aumento della popolarità del malware per il furto di credenziali (noto anche come infostealer) è particolarmente una grande preoccupazione per le organizzazioni perché può rubare i dati di autenticazione dei dipendenti direttamente dai dispositivi dei dipendenti (gestiti o non gestiti), consentendo ai criminali informatici di impersonare quegli individui – e basta pochi secondi.
Probabilmente hai sentito molto che i criminali informatici diventano sempre più sofisticati. Ma non ci vuole molto buon senso per sfruttare gli infostealer. Chiunque abbia un paio di centinaia di dollari e qualche minuto libero può lanciare una campagna di malware, soprattutto considerando che ci sono anche persone che eseguiranno l’installazione per te.
Per immaginare l’entità della minaccia, considera il Raccoon Infostealer che è stato nelle notizie di recente. Il Dipartimento di Giustizia degli Stati Uniti ha recentemente incriminato la mente dietro il malware, un cittadino ucraino di 26 anni. Come parte della sua indagine, il DOJ ha trovato più di 50 milioni di credenziali di accesso univoche che sono state sottratte da endpoint infetti, ma ciò non tiene conto di tutto ciò che potrebbe ancora circolare sulla rete oscura.
La barriera all’ingresso per questo infostealer è praticamente nulla. Venduto nei mercati clandestini per circa $ 200 al mese, Raccoon era completo di tutti gli strumenti necessari per infettare i dispositivi e rubare i dati, inclusa una dashboard che consentiva al cliente di scaricare i dati rubati e creare configurazioni di malware individuali che potevano essere utilizzate per prendere di mira una varietà di privati o aziende. E anche se il governo degli Stati Uniti ha smantellato l’infrastruttura di Raccoon, la banda dietro questo MaaS è tornata in attività. Raccoon 2.0 viene pubblicizzato come una versione nuova e migliorata, con ancora più funzionalità.
Uno degli strumenti che consente agli attori malintenzionati di eseguire ampi attacchi di infostealer sono le “botnet” o reti di robot. Mentre gli infostealer sono spesso una delle parti più dannose del pacchetto, le botnet possono amplificare la portata e l’efficacia di una campagna automatizzando la parte di accesso iniziale del ciclo di attacco. Anche le botnet possono essere una specie di doppio smacco: devi preoccuparti non solo che i dati critici vengano sottratti su larga scala, ma anche che i dispositivi dei dipendenti diventino parte di questa rete.
L’evoluzione delle botnet
Le botnet sono state notoriamente utilizzate per lanciare attacchi DDoS (Distributed Denial-of-Service), come la botnet BredoLab del 2010 che, al suo apice, comprendeva oltre 30 milioni di singole macchine. Oggi le botnet si sono evolute per distribuire malware, compresi gli infostealer, spesso progettati per lasciare tracce minime o nulle sul dispositivo bersaglio. Questo malware spesso vola sotto il radar rimuovendosi dopo l’esecuzione, quindi qualsiasi segno viene eliminato quando il computer viene riavviato.
Dotati di strumenti come i moderni infostealer e altri mezzi per ottenere l’accesso iniziale, gli aggressori possono spesso prendere piede su una rete in pochi minuti. Il cloud lo rende ancora più semplice, poiché un utente malintenzionato può ridimensionare tale processo in modo tale da poter infettare migliaia di computer con poche interazioni manuali e sottrarre passivamente dati sensibili da una vasta rete di host infetti.
Grazie all’economia sommersa, chiunque può acquistare una botnet o pagare un infostealer, estrarre le credenziali che ha sottratto, creare un elenco combinato (combinazioni di nome utente e password) e lanciarlo contro un elenco di siti mirati per provare ad accedere ad altri account. Oppure, in alternativa, lo stesso utente malintenzionato può decidere di vendere un accesso prezioso, per una società specifica o forse per un asset come un grande conto di criptovaluta, al miglior offerente, che può essere un affiliato di ransomware o un altro attore criminale motivato finanziariamente.
Ma gli attori nefasti non devono nemmeno prendersi così tanti problemi. Basta guardare Raccoon – il gruppo dietro di esso lo pubblicizzava come un processo completamente automatizzato che era il risultato di mesi di sviluppo per far risparmiare ai “clienti” tempo prezioso e mal di testa – con tutti i componenti software, front-end e back-end inclusi.
Ciò che rende gli infostealer così pericolosi è che i dati sottratti direttamente dal dispositivo dei dipendenti aumentano notevolmente la percentuale di successo dei criminali informatici. Questi dati vengono condivisi in piccoli circoli criminali tra collaboratori fidati che possono utilizzarli per lanciare rapidamente attacchi. Ecco perché le infezioni da malware sono così strettamente legate agli attacchi ransomware: con le credenziali e i cookie appena raccolti o i dati delle impronte digitali del browser in mano, i malintenzionati sfruttano rapidamente tali informazioni per dirottare una sessione, aggirare l’autenticazione a più fattori (MFA), accedere al enterprise e iniziare a crittografare le risorse.
Quando il team di sicurezza scopre cosa è successo, è troppo tardi. E questo se rilevano effettivamente il malware. Considerando l’esplosione di dispositivi non gestiti e non monitorati, in particolare con l’aumento del lavoro da remoto, per non parlare dei dispositivi gestiti non sicuri e dei dispositivi degli appaltatori che non sono aggiornati, molti team di sicurezza hanno una visibilità limitata o nulla su ciò che accade sui dispositivi che i dipendenti utilizzare per accedere alle risorse aziendali.
Cosa può fare la tua azienda
Soluzioni di rilevamento e risposta alle minacce degli endpoint, backup dei dati, MFA, robuste policy di accesso: questi e altri controlli di sicurezza di base aiutano tutti a ridurre al minimo i rischi contro le botnet e le successive infezioni da malware. Per un’ulteriore prevenzione, le aziende possono assumere una posizione forte riducendo al minimo o addirittura eliminando completamente le pratiche BYOD che possono rappresentare una minaccia significativa per l’organizzazione.
Ma la prevenzione è solo uno strato. Le infezioni da malware possono capitare a chiunque: anche gli utenti più scaltri possono essere inconsapevolmente compromessi aprendo accidentalmente un’e-mail fantasticamente ingannata con un collegamento dannoso. Il rilevamento del malware distribuito dalle botnet al momento dell’infezione e la rapida risoluzione post-infezione sono una parte necessaria della tua difesa.
Cancellare semplicemente il malware dal dispositivo non fornisce quel livello di protezione. Devi sapere esattamente quali dati sono stati sottratti e come possono essere utilizzati come armi contro la tua azienda e reagire rapidamente prima che l’attaccante abbia l’opportunità di farlo.
È qui che la visibilità sui dati della rete oscura è fondamentale. Il monitoraggio di utenti e dispositivi compromessi consente di eseguire rapidamente la riparazione post-infezione. Per limitare la portata della minaccia, è necessario sapere non solo quali utenti e dati sono stati esposti, ma anche quali sistemi e applicazioni sono stati compromessi.
Sebbene le botnet siano solo un tipo di attacco informatico di cui essere a conoscenza, è anche utile rimanere aggiornati sulle minacce che colpiscono il proprio settore. Non hai necessariamente bisogno di un costoso feed di intelligence sulle minacce per essere a conoscenza delle tendenze e delle tattiche che i criminali informatici stanno impiegando: puoi farlo anche leggendo ricerche e notizie del settore. Sapere quali vulnerabilità vengono prese di mira attivamente può aiutarti a dare la priorità ai passaggi critici di mitigazione all’interno della tua organizzazione.
Tieni presente che la maggior parte degli infostealer moderni impiega meno di un secondo per infettare un dispositivo. Una volta che i tuoi dati sono fuori dalla porta, il rischio potrebbe durare per anni se non agisci per riparare tutte le informazioni compromesse. Nessuna impresa può permettersi di correre questo rischio.
Post originale
Scopri di più su SpyCloud oppure richiedi una demo
da Fabrizio Bressani | Dic 7, 2022 | Case Study, How-To
Di Jake Godgart, Rapid7
Tutti i motivi
C’è troppo da fare con troppo poco talento? Se il tuo SOC non funziona correttamente da un po’ di tempo, ci sono probabilmente più ragioni per cui. Come dice una frase gergale popolare in questi giorni, è a causa di “tutti i motivi”. Budget, tasso di abbandono dei talenti, gestione degli avvisi ovunque; potresti anche lavorare in un settore ad alto rischio / ad alta frequenza di attacco come l’assistenza sanitaria o i media.
A causa di “tutti questi motivi” – e forse alcuni altri – ti ritrovi con un carico pesante da mettere al sicuro. Un carico che forse non sembra mai alleggerirsi. Anche quando ottieni personale di sicurezza veramente talentuoso e inizi il processo di onboarding, più spesso in questi giorni sembra un enorme punto interrogativo se saranno disponibili anche solo tra un anno. E forse l’attuale divario di competenze in materia di sicurezza informatica è qui per restare.
Ma ciò non significa che non ci sia niente che tu possa fare al riguardo. Ciò non significa che non puoi essere potente di fronte a quel carico pesante e alla frequenza di attacco. Rafforzando il tuo elenco attuale e mettendo a punto strategie su come il tuo talento potrebbe collaborare al meglio con un fornitore di servizi di rilevamento e risposta gestiti (MDR), potresti non doverti semplicemente accontentare di superare il divario di talenti. Potresti scoprire che stai risparmiando denaro, creando nuove efficienze e attivando un superpotere che può aiutarti a sollevare il carico come mai prima d’ora.
Il vantaggio nascosto
Diciamo che la conservazione non è un grosso problema nella tua organizzazione. Come manager, cerchi di rimanere ottimista, rafforzare la positività quotidiana e mostrare la tua gratitudine per un lavoro ben fatto. Se è davvero così, molto probabilmente le persone si divertono a lavorare per te e probabilmente restano nei paraggi se sono pagate bene e in modo equo per la media del settore. Allora perché non rafforzare quella cultura e fiducia:
- Alleggerire il carico: elimina la necessità di gestire la maggior parte dei falsi positivi e gli avvisi frequenti. Se alle tue persone piace davvero lavorare nella tua organizzazione, anche nel bel mezzo di un difficile divario di talenti, apprezzano il loro equilibrio tra lavoro e vita privata. Sfidare questo equilibrio chiedendo orari più lunghi per trasformare i tuoi dipendenti in glorificati pusher di pulsanti invierà il messaggio sbagliato e potrebbe mandarli a fare i bagagli per altri lavori.
- Prevenire il burnout: i professionisti della sicurezza informatica devono iniziare da qualche parte e probabilmente in una posizione di livello base si occuperanno di molti avvisi e attività ripetitive mentre acquisiscono una preziosa esperienza. Ma di fronte allo stress crescente di incidenti ripetuti e ripetuti, falsi o meno, è più probabile che i lavoratori esperti pensino di abbandonare il loro lavoro attuale per qualcosa che considerano migliore. Quasi il 30% degli intervistati in un recente sondaggio di ThreatConnect ha citato il forte stress come motivo principale per cui lascerebbe un lavoro.
- Creare spazio per innovare: tutti devono affrontare noiosi avvisi in qualche modo nel corso di una carriera. Tuttavia, le persone qualificate dovrebbero avere lo spazio per affrontare sfide più grandi e creative rispetto a qualcosa che molto probabilmente può essere automatizzato o gestito da un partner di servizi qualificato. Ecco perché un partner MDR può essere un moltiplicatore di forza, fornendo valore al tuo programma di sicurezza consentendo ai tuoi analisti di fare di più in modo che possano proteggere meglio l’azienda.
La conservazione potrebbe essere la ragione
L’ultimo punto sopra è più che giusto da fare. Liberare i singoli membri del tuo team per lavorare su progetti che guidano la visione e la missione più macro dell’organizzazione di sicurezza può essere quel moltiplicatore di forza che determina alti tassi di conservazione. Ed è fantastico!
La sfida successiva, quindi, consiste nel trovare quel partner che può essere un’estensione del tuo team di sicurezza, uno specialista di rilevamento e risposta in grado di raccogliere gli avvisi e concentrarsi sull’eliminazione delle attività ripetitive dalla tua organizzazione, aumentando il tasso di conservazione e creando spazio per innovare . Garantire un’ottima connessione tra il tuo team e il tuo fornitore di servizi preferito è fondamentale. Il fornitore diventerà essenzialmente parte del tuo team, quindi quella relazione è importante tanto quanto le dinamiche interpersonali dei tuoi team interni.
Un fornitore con una squadra di esperti interni di risposta agli incidenti può aiutare a velocizzare l’identificazione degli avvisi e la risoluzione delle vulnerabilità. Se puoi collaborare con un fornitore che gestisce la risposta alle violazioni al 100% internamente, invece di subappaltarla, questo può aiutare a formare legami più stretti tra il tuo team interno e quello del fornitore in modo da poter contenere e sradicare le minacce in modo più efficace.
Post originale
Scopri di più su Rapid7
da Fabrizio Bressani | Nov 22, 2022 | How-To
Di Aaron Wells, Rapid7
Sfruttare appieno ciò che ti viene dato
Come puoi fare di più quando ti viene costantemente dato lo stesso o meno? Quando i budget per la sicurezza non corrispondono al ritmo delle operazioni cloud che hanno il compito di proteggere, l’unica cosa da fare è diventare un esperto del tratto. È difficile e potresti essere attualmente sotto stress crescente per farcela.
Mentre i budget complessivi totali diminuiranno effettivamente, Gartner ha recentemente previsto che la spesa per la sicurezza informatica e la gestione del rischio aumenterebbe dell’11,3% nel 2023, guidata in gran parte dal passaggio alle piattaforme cloud. E qual è stato un fattore importante nell’aumento dell’adozione del cloud? Hai indovinato: il passaggio a modelli di lavoro a distanza o ibridi durante il culmine delle misure di mitigazione della pandemia. In questi giorni potresti avere più a sostegno della tua argomentazione per un aumento dei finanziamenti.
Nella corsa del 2020 per mantenere le persone al sicuro esortandole a rimanere a casa e a rimanere occupate, la forza lavoro è diventata rapidamente virtuale, più distribuita e incredibilmente dipendente dalle piattaforme cloud per consentire la connettività reciproca. Le aziende che avrebbero potuto immergere le dita dei piedi prima della pandemia ora stanno facendo il pieno tuffo nel cloud dopo la pandemia.
La promessa del cloud è un punto interessante da discutere. Può essere più economico scalare nel cloud, ma a seconda di come è fatto e in quale settore, potrebbe effettivamente richiedere una parte maggiore del budget. Ma può ancora essere potente e flessibile. In altre parole, molto probabilmente i budget continueranno ad aumentare per l’adozione del cloud. Detto questo, se hai ancora problemi ad acquisire più budget per la sicurezza, cosa dovresti fare?
Trovare la giusta misura
Non stiamo parlando di uno scenario apocalittico in cui non vedrai mai un altro aumento del tuo budget. La sicurezza informatica e la sicurezza del cloud sono argomenti prioritari per le aziende e le nazioni di tutto il mondo. Tuttavia, le soluzioni si sono evolute per affrontare i problemi di budget delle organizzazioni di sicurezza. E ci sono fornitori affidabili che hanno creato offerte che possono fare di più senza chiedere di più al tuo budget. Questo scenario più con meno ha il potenziale per soddisfare tutti i livelli aiutandoti a:
- Concentrarti sui casi d’uso: di che tipo di sicurezza cloud hai bisogno? Spendere inutilmente denaro per soluzioni di cui non hai bisogno equivale a un comportamento criminale nell’attuale crisi economica globale. Assicurati di sapere esattamente cosa devi proteggere, quanto si estendono i tuoi perimetri e i tipi generali di sicurezza disponibili (CSPM, CWPP, ecc.). InsightCloudSec di Rapid7 è una piattaforma unificata che incorpora molteplici casi d’uso e tipi di sicurezza cloud.
- Estrapolare i potenziali costi e dimostrare il valore della sicurezza: una volta che sai di cosa hai bisogno e il tipo o i tipi di soluzioni che possono risolverlo, è una buona idea collaborare con chiunque controlli i tuoi budget per la sicurezza. Perché si tratta meno dei costi o delle quote di abbonamento che vedi oggi e più dell’estrapolazione dei risparmi sui costi man mano che crescono gli ambienti cloud, il trasferimento dei dati, l’archiviazione e altri aspetti di tale adozione. Allora saprai quanto o poco ti servirà per impegnarti in atti eroici che allungano il budget.
- Individuaew soluzioni sotto un unico ombrello: vuoi trattare con uno o più fornitori? In quest’ultimo scenario, tieni a mente i molteplici team di supporto con cui dovrai destreggiarti e le diverse piattaforme su cui opereranno tali soluzioni. Non esiste una soluzione valida per tutti, ma esistono fornitori in grado di fornire una suite di funzionalità ad ampio raggio in modo da avere un unico punto di contatto e rendere operativa al meglio la sicurezza del cloud.
A proposito di tutta quella faccenda del “dimostrare il valore della sicurezza”…
Al giorno d’oggi, non dovresti davvero dimostrare il valore della tua organizzazione. Ma molto probabilmente ti senti così ogni volta che devi lottare per una fetta più grande della torta del budget. Certo, puoi impegnarti nell’allungamento dell’eroismo, ma dovresti impegnarti in quegli eroismi giorno dopo giorno, per anni e anni? Si spera non ora, quando il ransomware è ancora di gran moda e gli attacchi sponsorizzati dagli stati nazionali stanno diventando affari più legittimi in molte parti del mondo.
Il tempismo è tutto, tuttavia, e ora – alla fine dell’anno – sarebbe il momento di tirare fuori alcuni di quegli eroi e sostenere la tua causa per più budget. Ciò consentirà la tua esplorazione in una soluzione che può fare di più con meno. InsightCloudSec di Rapid7 è una piattaforma di gestione dei rischi e della conformità del cloud che consente alle organizzazioni di accelerare in modo sicuro l’adozione del cloud con sicurezza e conformità continue durante l’intero ciclo di vita dello sviluppo del software (SDLC).
Fornisce una soluzione completa per gestire e mitigare i rischi anche negli ambienti cloud più complessi. La piattaforma rileva i segnali di rischio in tempo reale e in un contesto completo, consentendo ai tuoi team di concentrarsi sui problemi che presentano il rischio maggiore per la tua azienda in base al potenziale impatto e alla probabilità di sfruttamento.
Articolo originale
Scopri di più su InsightCloudSec oppure Landing – Richiesta Demo Rapid7
da Fabrizio Bressani | Ott 27, 2022 | Notizie dal Mercato
I responsabili IT sono sempre sotto pressione per fornire prestazioni senza interruzioni al minor costo possibile. Di recente, queste pressioni sono aumentate notevolmente con l’aumento dell’inflazione in gran parte del mondo. Tutto sta diventando più costoso e molto più costoso. I dipartimenti IT prestano ancora più attenzione ai potenziali risparmi. Fortunatamente, ci sono molte che qualsiasi manager IT può prendere in considerazione.
1. Riduci la dipendenza dall’hardware
Se stai ancora eseguendo server per le tue attività principali, dovresti considerare seriamente se stai ancora ottenendo un buon rapporto qualità-prezzo con questo approccio. Quasi tutte le esigenze aziendali possono ora essere gestite nel cloud, liberandoti dai tuoi server e da gran parte dei tuoi costi di manutenzione.
2. Automatizza gli aggiornamenti del software
La distribuzione di aggiornamenti software può consumare un’enorme quantità di tempo per un reparto IT. Per motivi di sicurezza, è importante che tu abbia sempre le ultime versioni installate sui tuoi dispositivi. Ma questo processo non deve essere eseguito manualmente: puoi pianificare tutto in modo che avvenga al di fuori degli orari di produzione.
3. Automatizza gli aggiornamenti di Windows
Anche gli aggiornamenti di Windows non devono necessariamente richiedere tempo prezioso; l’intero problema può essere affrontato mentre dormi e nessuno lavora. Ovviamente, se preferisci programmare gli aggiornamenti, puoi farlo anche tu, ma ogni volta che hai bisogno di sapere quali patch sono installate su quali dispositivi, tali informazioni dovrebbero essere disponibili su un’unica schermata.
4. Non sprecare risorse per software e licenze inutilizzate
Quando il budget annuale arriva e i capi dipartimento ti dicono le loro esigenze software, raramente qualcuno ti dirà che hanno bisogno di meno di qualsiasi cosa. Ma spesso è richiesto di più. Non deve essere difficile avere queste discussioni in pieno possesso dei fatti rilevanti: se hai pagato 100 licenze costose ma puoi vedere in tempo reale che ne stai usando solo 30, dovresti liberartene 70.
5. Niente più viaggi
Remote Connect è da tempo parte integrante dei tipici processi di supporto IT. Quindi, se stai ancora migrando tra i diversi edifici nella tua posizione, o addirittura stai guidando verso posizioni diverse, vale la pena dare un’occhiata alle soluzioni di gestione degli endpoint che includono Remote Connect per impostazione predefinita.
6. Non sprecare nemmeno un KWH
Anche se questo potrebbe non rientrare direttamente nel centro di costo IT, puoi comunque dare un contributo significativo alla riduzione dei costi complessivi dell’elettricità della tua azienda. Ora è possibile impostare facilmente piani di risparmio energetico che riducano il consumo delle postazioni di lavoro senza incidere negativamente sulla facilità d’uso.
7. Evita numerosi ticket di helpdesk
Se stai utilizzando una soluzione dal riavvio al ripristino che ripristina ogni workstation al suo stato originale dopo un riavvio, probabilmente scoprirai che una grossa fetta di ticket dell’helpdesk scompare: un riavvio è spesso tutto ciò che è necessario.
8. Previeni il deteriorarsi dell’hardware
Un altro vantaggio di Reboot-to-Restore è che riduce significativamente l’impatto del degrado dell’hardware. Le tue stesse workstation sono estremamente costose ed è fondamentale trarre il massimo vantaggio da questo enorme investimento. Ogni volta che un utente avvia una sessione, viene liberato da tutto il disordine che ostruisce un computer nel tempo, pur essendo in grado di eseguire il backup di tutto il proprio lavoro sincronizzandosi su un’unità cloud.
da Fabrizio Bressani | Ott 27, 2022 | Case Study
SpamTitan, TitanHQ
Cosa rende i buoni servizi di sicurezza e-mail?
I servizi di sicurezza della posta elettronica sono uno dei componenti più importanti per proteggere la tua organizzazione dalle violazioni dei dati. Leggi le attuali violazioni dei dati di oggi e noterai che molte di esse iniziano con un messaggio di posta elettronica dannoso. Phishing, ingegneria sociale, frode del CEO, script dannosi che scaricano malware e frode sulle fatture sono tutte truffe comuni che sfruttano i messaggi di posta elettronica.
Spesso le organizzazioni iniziano con una formazione sulla sicurezza informatica. Sebbene la formazione riduca il rischio di compromissione da un’e-mail, lascia comunque l’organizzazione esposta all’errore umano. Anche i dipendenti che hanno familiarità con i messaggi dannosi possono essere colti alla sprovvista e potrebbero essere vittime di una truffa via e-mail o di phishing. Invece di fare affidamento esclusivamente sulla formazione sulla sicurezza informatica, dovrebbe essere combinato con un’adeguata sicurezza della posta elettronica.
I buoni servizi di sicurezza della posta elettronica impediscono ai messaggi dannosi di raggiungere la posta in arrivo di un utente mirato, salvandoli dal commettere errori e cadendo vittime di un attacco. Questi servizi metteranno in quarantena i messaggi e consentiranno agli amministratori di esaminarli prima di consentire a qualsiasi messaggio di raggiungere il destinatario previsto. Con la sicurezza della posta elettronica, la tua organizzazione riduce il rischio di violazione dei dati dovuta a errore umano.
Cosa succede quando la tua email non dispone di sicurezza informatica?
L’ultimo Verizon Data Breach Investigation Report indica che l’82% delle violazioni dei dati coinvolge un elemento umano e circa il 25% delle violazioni dei dati inizia con il phishing. Per le piccole imprese che pensano di non essere obiettivi, ripensaci. Le piccole imprese sono i bersagli preferiti dai criminali informatici, perché sanno che le piccole imprese non hanno i soldi per investire in una sofisticata sicurezza informatica che potrebbe costare centinaia di migliaia di dollari.
Circa un’e-mail di phishing su 99 (circa l’1%) ha esito positivo. Delle e-mail di phishing inviate alle aziende, circa il 65% di esse è indirizzato a utenti con privilegi elevati. Lo spear phishing prende di mira dirigenti, dipartimenti finanziari, contabili, risorse umane e altre aree di attività in cui gli aggressori sanno che le loro vittime hanno accesso a un’ampia raccolta di dati personali per dipendenti e clienti.
Anche la posta elettronica poco protetta è un problema di conformità. Molti degli standard conformi più severi odierni richiedono che le organizzazioni facciano ciò che è necessario per proteggersi dalle minacce comuni, inclusi gli attacchi e-mail. Una violazione dei dati in un’organizzazione poco protetta può costare milioni in violazioni e contenziosi. Per alcune organizzazioni, il danno al marchio associato a una violazione dei dati riuscita è sufficiente per incidere gravemente su entrate, fedeltà dei clienti e continuità aziendale.
L’email è sicura?
Per quanto importante sia la posta elettronica per molte organizzazioni, è una delle forme di comunicazione meno sicure. La posta ordinaria potrebbe non essere più una forma di comunicazione veloce, ma è più sicura dell’e-mail. Senza alcuna infrastruttura di sicurezza, i messaggi di posta elettronica vengono inviati non crittografati su Internet e possono essere intercettati con un aggressore correttamente posizionato. Ad esempio, un utente malintenzionato sulla stessa rete potrebbe intercettare i messaggi di posta elettronica e leggerli.
Poiché la posta elettronica non è sicura, gli utenti dovrebbero sapere di non inviare informazioni private tramite i sistemi di posta elettronica. In effetti, l’invio di informazioni sanitarie tramite e-mail è una violazione delle normative HIPAA (Health Insurance Portability and Accountability Act). L’assistenza sanitaria e altri dati sensibili non devono mai essere inviati tramite e-mail, anche internamente con altri dipendenti.
Alcuni servizi di posta elettronica gratuiti pubblici includono la sicurezza. Ad esempio, Gmail e Office 365 hanno la sicurezza integrata nei loro servizi. Per gli individui, questa sicurezza e-mail è sufficiente per gli attacchi di base. Per gli attacchi sofisticati, tuttavia, nessuno dei due è in grado di gestire messaggi indirizzati agli utenti da un elenco raccolto di potenziali vittime con privilegi elevati.
Esempio di email di phishing che aggirano la sicurezza standard
Un errore comune commesso da una piccola impresa è pensare che servizi come Office 365 abbiano una sicurezza sufficiente per proteggerla dal phishing. Il falso senso di sicurezza è ciò che rende gli attacchi di phishing così efficaci contro queste aziende. Sebbene Microsoft Office 365 svolga un buon lavoro nel difendersi da attacchi semplici, una minaccia dedicata rivolta a un’azienda può aggirare le difese di Office 365.
Un trucco comune consiste nell’utilizzare i messaggi di “consegna e-mail non riuscita” e nell’inviarli a una vittima mirata. Il messaggio indica che il messaggio non è riuscito, ma l’utente di destinazione può fare clic su un pulsante per inviare nuovamente il messaggio. Quando l’utente fa clic sul pulsante di invio, il messaggio scarica uno script dannoso che installerà malware sul computer locale.
Un altro attacco comune utilizza gli avvisi di sistema. Ad esempio, Office 365 offre agli utenti una determinata quantità di spazio di archiviazione per il piano di abbonamento scelto. Quando gli utenti raggiungono i propri limiti, Office 365 invia un messaggio agli utenti per informarli che raggiungeranno presto i propri limiti di archiviazione. Gli aggressori utilizzano una copia di questo avviso da inviare alle potenziali vittime. Il messaggio di posta elettronica potrebbe contenere uno script dannoso o richiedere agli utenti mirati di fare clic su un pulsante per aggiornare il proprio account o rivedere la capacità di archiviazione. Gli utenti che scaricano uno script dannoso avranno malware installato sul proprio sistema. Se il collegamento invia l’utente a una pagina Web controllata da un utente malintenzionato, la pagina chiederà loro di immettere le credenziali di Office 365 per accedere ai propri report. La pagina è una pagina di phishing e l’inserimento delle credenziali le invierà a un atta
Gli avvisi con tecniche simili indicheranno agli utenti che il loro account sta per essere disattivato o che devono accedere al proprio account per risolvere un problema di fatturazione. Tutti questi esempi termineranno con il furto di credenziali o l’installazione di malware sul computer locale. I file potrebbero essere allegati in modo da sembrare documenti Office 365 legittimi, inclusi i file condivisi che utilizzano SharePoint per aggirare la convalida della sicurezza e raggiungere la posta in arrivo del destinatario previsto. Per ogni e-mail di phishing che raggiunge l’obiettivo previsto, la tua organizzazione accumula ulteriori rischi per la sicurezza informatica. Questi rischi non sono necessari con la giusta infrastruttura di sicurezza informatica.
Best practices per i servizi di sicurezza della posta elettronica
Sebbene i servizi di sicurezza e-mail siano uno dei componenti più importanti in una strategia di sicurezza informatica, è anche uno dei più semplici con SpamTitan. SpamTitan fornisce una difesa sicura tra i tuoi utenti, Internet e i tuoi destinatari di posta elettronica. Implementa diverse best practice che qualsiasi organizzazione può implementare come efficace strategia di sicurezza informatica della posta elettronica.
La crittografia è lo strumento numero uno per qualsiasi organizzazione per evitare l’intercettazione dei dati. È comunemente usato per i siti di e-commerce e altre attività che scambiano dati sensibili su Internet, ma è utile anche per i messaggi di posta elettronica. I dipendenti non dovrebbero comunque inviare dati sensibili tramite e-mail, ma la crittografia interrompe le intercettazioni qualora i messaggi contengano informazioni sensibili come segreti commerciali o proprietà intellettuale.
Il filtraggio dei contenuti e l’identificazione delle e-mail sospette sono due protezioni che SpamTitan fa meglio. Utilizzando l’intelligenza artificiale, SpamTitan scansiona le e-mail man mano che vengono inviate e ricevute. L’intelligenza artificiale rileva i trigger contestuali e il linguaggio che potrebbero indicare che un messaggio è dannoso. SpamTitan scansiona anche gli allegati per assicurarsi che non contengano script o malware dannosi.
I collegamenti incorporati possono anche puntare a siti Web dannosi. Un filtro del contenuto insieme alla sicurezza della posta elettronica aiuterà a impedire agli utenti di accedere a siti Web controllati da aggressori. La sicurezza dell’e-mail rileva il dominio dannoso utilizzato per il collegamento incorporato e invia il messaggio a un’area in quarantena della rete. Simile al modo in cui il software antivirus mette in quarantena i file sospetti, SpamTitan invia i messaggi sospetti a un’area in quarantena dove un amministratore può esaminare il messaggio e determinare se si tratta effettivamente di un tentativo di phishing di un dipendente e con l’inganno di accedere a un sito Web dannoso. Se l’amministratore determina che la quarantena è un falso positivo, può essere inoltrata al destinatario previsto.
Sono inoltre necessarie politiche di sicurezza e-mail efficaci e disponibili con SpamTitan. Un criterio di posta elettronica determinerà il tipo di allegati e messaggi che un utente può ricevere. Ad esempio, gli amministratori potrebbero dover leggere i PDF, ma questi file possono avere script incorporati che scaricano malware. Gli amministratori di posta elettronica possono creare criteri per consentire a persone specifiche di ricevere file PDF, ma il sistema di posta elettronica impedirà ad altri utenti di ricevere messaggi con allegati PDF.
I criteri possono bloccare e consentire qualsiasi tipo di messaggio, messaggi con collegamenti incorporati, messaggi con allegati o mittenti specifici. Queste politiche miglioreranno i tuoi servizi di sicurezza della posta elettronica in modo che i tuoi utenti ricevano messaggi solo da utenti legittimi e non vengano indotti ad accedere a siti Web dannosi. Le politiche di sicurezza della rete combinate con la sicurezza della posta elettronica rappresentano un modo efficace per fermare gli attacchi sofisticati, inclusi malware come il ransomware.
SpamTitan fa molto di più della semplice protezione della posta elettronica. Può fermare gli attacchi zero-day, fermare i messaggi fastidiosi sotto forma di spam e prevenire la fuga di dati. Il livello di protezione aggiuntivo di Office 365 si integra con il tuo attuale sistema Office 365 in modo da poter migliorare la sicurezza della posta elettronica. Le blacklist predefinite bloccano i domini comuni già noti per la distribuzione eccessiva di spam e malware, in modo da ottenere una protezione immediata dei dati immediata.
Gli amministratori possono visualizzare i rapporti sulla quarantena dello spam in modo da comprendere i molti modi in cui SpamTitan blocca efficacemente i messaggi dannosi. Se gli amministratori devono modificare le configurazioni per consentire o bloccare messaggi aggiuntivi, SpamTitan include un dashboard delle politiche personalizzabile in cui gli amministratori possono configurare il sistema di sicurezza della posta elettronica per soddisfare le tue pratiche aziendali uniche.
Man mano che gli attacchi informatici continuano a evolversi, puoi assicurarti che la tua organizzazione e i suoi dati siano protetti dalle numerose minacce che prendono di mira i dipendenti. L’errore umano non deve essere un rischio enorme per la tua organizzazione.
Articolo originale
Scopri di più su SpamTitan
da Fabrizio Bressani | Ott 25, 2022 | Notizie dal Mercato
I dispositivi infetti da malware possono devastare le organizzazioni, ma la minacce spesso provengono dall’esterno dell’azienda.
I dispositivi non gestiti (personali o condivisi) rappresentano minacce significative quando vengono utilizzati per accedere alle applicazioni aziendali. Gli utenti hanno il 71% di probabilità in più di essere infettati su un dispositivo non gestito. Un sondaggio Gartner ha rilevato che il 55% dei lavoratori digitali utilizza dispositivi di proprietà personale per il proprio lavoro almeno una parte del tempo. I team di sicurezza non hanno visibilità su questi dispositivi perché esistono al di fuori del controllo aziendale e, senza la consapevolezza dell’infezione, i rischi non possono essere adeguatamente mitigati e corretti.
Il malware sottrae tutto da un dispositivo infetto, comprese le credenziali e i cookie di sessione web. Con i cookie rubati, i criminali possono mascherarsi da utenti legittimi utilizzando un attacco chiamato session hijacking.
Che cos’è il session hijacking?
Il session hijacking si verifica quando la sessione Web di un utente viene rilevata da un utente malintenzionato. Quando si accede a un sito o a un’applicazione, il server imposta un cookie di sessione temporaneo nel tuo browser. Ciò consente all’applicazione di ricordare che hai effettuato l’accesso e che sei autenticato. Alcuni cookie possono durare solo 24-48 ore, mentre altri durano mesi.
I criminali sfruttano i cookie di sessione del dispositivo per perpetrare il session hijacking, ignorando del tutto la necessità di credenziali e autenticazione a più fattori (MFA) . Il session hijacking è un precursore sempre più diffuso delle frodi e degli attacchi ransomware.
In che modo i criminali rubano i cookie di sessione? Facilmente (purtroppo).
1) si induce l’utente a fare clic su un collegamento pericoloso o a scaricare un allegato dannoso per infettare il proprio dispositivo con malware.
2) Il malware sottrae tutti i tipi di dati dal dispositivo infetto, comprese credenziali, informazioni di riempimento automatico e cookie di sessione Web senza che l’utente sia a conoscenza dell’infezione.
3) Il criminale può quindi utilizzare un cookie di sessione rubato per autenticarsi come utente, senza la necessità di un nome utente e una password, aggirando i controlli di sicurezza e frode, inclusa l’autenticazione a più fattori.
In genere i criminali ottengono l’accesso ai cookie di sessione in due modi: implementando malware direttamente sul dispositivo di un utente o acquistando o scambiando log di botnet sulla darknet. Una volta che un criminale acquisisce i cookie di sessione web rubati, è spaventoso quanto velocemente e facilmente lanci attacchi di acquisizione di account (Account Takeover) sia personali che di lavoro, e quindi le possibilità di ciò che può fare sono infinite.
Con i cookie delle applicazioni aziendali, anche di terze parti come SSO e VPN, i criminali possono impersonare il dipendente, accedere a informazioni private e modificare i privilegi di accesso per spostarsi facilmente all’interno dell’organizzazione. I cookie degli account dei consumatori consentono ai criminali di rubare punti fedeltà e premi, drenare fondi, alterare le informazioni di spedizione e fatturazione, richiedere credito ed effettuare acquisti fraudolenti utilizzando le informazioni di pagamento salvate.
In che modo il session hijacking porta ad attacchi ransomware
È fondamentale che le organizzazioni prevengano in modo proattivo il dirottamento delle sessioni perché non solo ti rende vulnerabile all’acquisizione di account, ma è anche un modo semplice per i criminali di lanciare un attacco ransomware dall’interno della rete aziendale o da un servizio critico della forza lavoro (incluso SSO).
Una volta che i criminali hanno accesso alle applicazioni aziendali, possono facilmente spostarsi lateralmente all’interno dell’organizzazione travestiti da utenti legittimi e tentare di aumentare i privilegi per accedere e crittografare dati aziendali preziosi.
Un dipendente con cattive abitudini informatiche che fa clic su un collegamento dannoso o scarica un documento sospetto e viene infettato da un infostealer, noto anche come una minaccia interna inconsapevole, è uno dei punti di ingresso più sfruttabili per il ransomware.
Che cosa si può fare? Il monitoraggio attivo dei cookie delle sessioni Web o dei dispositivi rubati da malware è un modo efficace per prevenire gli incidenti di ransomware se si intraprende un’azione per invalidare le sessioni compromesse prima che gli attori delle minacce possano accedervi tramite il session hijacking. In caso contrario, armati di questi dati, gli aggressori possono utilizzare i browser anti-rilevamento per aggirare l’autenticazione a più fattori e anche le tecnologie anti-frode di fingerprinting del browser più recenti.
Con il monitoraggio proattivo, puoi identificare i dipendenti i cui endpoint gestiti e non gestiti sono stati infettati da infostealer in modo da poter intraprendere le corrette misure di riparazione post-infezione, invalidando le loro sessioni Web attive (e reimpostando le credenziali rubate), interrompendo la possibilità che un’infezione malware diventi un vero e proprio incidente di sicurezza.
“ Con il monitoraggio proattivo, è possibile eseguire le corrette misure di riparazione post-infezione, eliminando la possibilità che un’infezione da malware diventi un vero e proprio incidente di sicurezza. “
Come prevenire il session hijacking
Il recente sondaggio di SpyCloud su oltre 300 leader della sicurezza ha rivelato che i principali attacchi ransomware negli ultimi due anni hanno accresciuto le preoccupazioni relative al malware, costringendo le organizzazioni a rafforzare ulteriormente il proprio framework di sicurezza con livelli aggiuntivi. Soluzioni che prima non erano molto considerate, come il monitoraggio delle sessioni web compromesse, sono ora tra le principali contromisure pianificate per l’investimento. Ciò suggerisce che le organizzazioni stanno cercando di estendere la protezione ad altre aree poiché gli attori delle minacce, confrontati con le difese più tradizionali, spostano la loro attenzione su altre vulnerabilità che sono protette meno spesso o meno completamente.
Per le aziende, il modo migliore per prevenire il session hijacking consiste nel capire che cos’è e come viene eseguito, monitorare a livello di codice le sessioni Web rubate e sviluppare un processo per invalidare le sessioni Web relative agli utenti infetti . Reagire rapidamente assicura che i criminali rimangano bloccati e impedisce loro di sfruttare i vantaggi di attività dannose.
Poiché le sessioni Web possono essere valide per un paio di giorni o anche un paio di mesi, avere informazioni preliminari sulle sessioni compromesse dal malware può aiutare le organizzazioni ad agire rapidamente per contrastare il session hijacking. La chiave è:
- Identificare gli utenti infettati da infostealer
- Invalidare qualsiasi sessione attiva identificata da un cookie compromesso
- Proteggere gli account di alto valore dagli aggressori che sfruttano i cookie rubati per imitare i dispositivi affidabili
- Contrassegnare gli account utente con dispositivi noti compromessi per un maggiore controllo degli accessi futuri o delle interazioni del sito, indipendentemente dal tempo di scadenza dei cookie
Nonostante i crescenti livelli di difesa che le organizzazioni implementano per proteggersi dagli attacchi informatici, i criminali stanno ancora trovando modi innovativi per sfondare. Un feed dei dati compromessi da malware dei tuoi utenti è ora un livello importante in un solido framework di sicurezza.
Bloccando i malintenzionati dagli account dei consumatori, i criminali non hanno la possibilità di accedere alle informazioni sull’account e perpetrare frodi. Inoltre, identificando e agendo rapidamente sui dispositivi infetti da malware dei dipendenti che accedono alle applicazioni aziendali, gestite o personali, è possibile impedire l’accesso non autorizzato a informazioni e account business-critical.
da Fabrizio Bressani | Ott 17, 2022 | Notizie dal Mercato
La piattaforma di monitoraggio della sicurezza della rete open source leader a livello mondiale è ora distribuita su oltre un miliardo di endpoint globali
Corelight, leader nel rilevamento e risposta di rete aperta (NDR), ha annunciato oggi l’integrazione di Zeek®, la piattaforma di monitoraggio della sicurezza di rete open source più popolare al mondo, come componente di Microsoft Windows e Defender for Endpoint. L’integrazione aiuterà i team di sicurezza a rispondere agli attacchi più impegnativi fornendo “segnali più ricchi per la ricerca avanzata delle minacce, il rilevamento completo e accurato dei dispositivi IoT e capacità di rilevamento e risposta più potenti”.
Creato originariamente dal co-fondatore e capo scienziato di Corelight, il dottor Vern Paxson, mentre lavorava al Lawrence Berkeley National Laboratory (Berkeley Lab), Zeek trasforma il traffico di rete in registri compatti e ad alta fedeltà, contenuto di file e analisi comportamentali per accelerare le operazioni di sicurezza. Il finanziamento vitale per Zeek proveniva inizialmente dalla National Science Foundation e dall’Office of Science del Dipartimento dell’Energia degli Stati Uniti.
Con l’aumento dell’adozione, Corelight è stata fondata per fornire un modello finanziario e uno sponsor aziendale per il progetto. Questa settimana ad Austin TX, Corelight ospita la conferenza annuale degli utenti ZeekWeek, dove la community si riunirà e dove relatori Microsoft descriveranno la nuova integrazione.
“Microsoft è fortemente impegnata a supportare progetti ed ecosistemi open source”, ha affermato Rob Lefferts, vicepresidente aziendale di Microsoft. “Siamo orgogliosi di lavorare con Zeek e siamo entusiasti di portare questo livello di intelligence di rete e monitoraggio ai nostri clienti”.
“Questo è uno sviluppo straordinario per Zeek e la sua comunità di contributori e utenti”, ha affermato Paxson. “Non avrei mai immaginato che lo strumento che ho sviluppato per il monitoraggio della rete avrebbe trovato un’applicazione più ampia nella difesa degli endpoint, ma fa parte della magia creativa dello sviluppo open source. Siamo grati per i contributi e il supporto di Microsoft e siamo entusiasti che l’impatto del progetto e quello della comunità di contributori aumenterà in modo così drammatico”.
Articolo originale su PR NewsWire
Photo by Marvin Meyer on Unsplash
da Fabrizio Bressani | Ott 12, 2022 | Notizie dal Mercato
Di KJ McCann, Rapid7
Questo post di riepilogo del terzo trimestre 2022 esamina alcuni degli ultimi investimenti che abbiamo fatto in InsightIDR per promuovere il rilevamento e la risposta per la tua organizzazione.
XDR a 360 gradi e copertura della superficie di attacco con Rapid7
La suite Rapid7 XDR — ammiraglia InsightIDR, insieme a InsightConnect (SOAR) e Threat Command (Threat Intel) — unifica la copertura di rilevamento e risposta sulla superficie di attacco interna ed esterna. I clienti rilevano le minacce in anticipo e rispondono più rapidamente, riducendo la finestra per il successo degli aggressori.
Con gli avvisi Threat Command ora inseriti direttamente in InsightIDR, ricevi un’immagine più olistica del tuo panorama delle minacce, oltre il tradizionale perimetro di rete. Unificando questi rilevamenti e i relativi flussi di lavoro in un’unica posizione, i clienti possono:
- Gestisci e ottimizza i rilevamenti dei comandi di minaccia esterni dalla console InsightIDR
- Indaga sulle minacce esterne insieme al contesto e ai rilevamenti del loro più ampio ambiente interno
- Attiva flussi di lavoro di risposta automatizzati per gli avvisi di Threat Command, basati su InsightConnect, da InsightIDR per estinguere le minacce più velocemente
I prodotti Rapid7 ci hanno aiutato a colmare il divario nel rilevamento e nella risoluzione degli incidenti di sicurezza con il massimo effetto. Ciò ha portato a un ambiente più sicuro per i nostri carichi di lavoro e ha creato una cultura di pratiche aziendali sicure.
— Gestore, sicurezza o IT, società di software per computer di medie imprese tramite Techvalidate
Elimina le attività manuali con l’automazione estesa
Riduci il tempo medio di risposta (MTTR) alle minacce e aumenta la fiducia nelle tue azioni di risposta con l’integrazione estesa tra InsightConnect e InsightIDR. Crea e associa facilmente i flussi di lavoro InsightConnect a qualsiasi analisi del comportamento di attacco (ABA), analisi del comportamento degli utenti (UBA) o regola di rilevamento personalizzata, in modo da poter avviare azioni di risposta personalizzate non appena viene attivato un avviso. Metti in quarantena le risorse, arricchisci le indagini con più prove, avvia i flussi di lavoro di ticketing e altro ancora, il tutto con un solo clic.
Visualizza in anteprima l’impatto delle eccezioni sulle regole di rilevamento
Basandosi sulla nostra esperienza di ottimizzazione del rilevamento intuitiva, ora è più facile prevedere in che modo le eccezioni influiranno sul volume degli avvisi. Visualizza in anteprima le eccezioni in InsightIDR per confermare la tua logica e garantire che l’ottimizzazione produca avvisi pertinenti e ad alta fedeltà. Le anteprime delle eccezioni ti consentono di perfezionare con sicurezza il comportamento delle regole di rilevamento ABA per utenti, risorse, indirizzi IP specifici e altro per adattarlo ai tuoi ambienti e circostanze unici.

Semplifica le indagini e la collaborazione con commenti e allegati
Con i team più distribuiti che mai, la capacità di collaborare virtualmente intorno alle indagini è fondamentale. Il nostro sistema di note rivisto ora consente al tuo team di creare commenti e caricare/scaricare allegati avanzati tramite Dettagli di indagine in InsightIDR, nonché tramite l’API. Questa nuova funzionalità garantisce che il tuo team abbia continuità, documentazione e tutte le informazioni rilevanti a portata di mano mentre diversi analisti collaborano a un’indagine.

Aggiungi rapidamente e facilmente commenti e carica e scarica allegati per aggiungere contesto pertinente raccolto da altri strumenti e rimanere in contatto con il tuo team durante un’indagine.
Nuova opzione di distribuzione di vCenter per Insight Network Sensor
In qualità di professionista della sicurezza che cerca di ridurre al minimo la superficie di attacco, è necessario conoscere i tipi di dati sulla rete e la quantità di dati in movimento: due aree critiche che potrebbero indicare attività dannose nel proprio ambiente.
Con la nostra nuova opzione di implementazione vCenter, ora puoi utilizzare il mirroring delle porte distribuito per monitorare il traffico interno est-ovest e il traffico su più server ESX utilizzando un solo sensore di rete Insight virtuale. Quando si utilizza il metodo di distribuzione vCenter, scegliere l’opzione GRETAP tramite la pagina di gestione del sensore.
Il primo VeloCON annuale riunisce gli esperti DFIR di tutto il mondo
Rapid7 ha riunito esperti e appassionati di DFIR da tutto il mondo questo settembre per condividere esperienze nell’utilizzo e nello sviluppo di Velociraptor per soddisfare le esigenze della più ampia comunità DFIR.

L’esclusiva piattaforma open source avanzata di monitoraggio degli endpoint, digital forensic e cyber response di Velociraptor offre la possibilità di rispondere in modo più efficace a un’ampia gamma di indagini di digital forensic e cyber incident response e violazioni dei dati.
Guarda VeloCON on-demand per vedere gli esperti di sicurezza approfondire nuove idee, flussi di lavoro e funzionalità che porteranno Velociraptor al livello successivo di gestione, rilevamento e risposta degli endpoint.
Una libreria in crescita di rilevamenti utilizzabili
Nel terzo trimestre, abbiamo aggiunto 385 nuove regole di rilevamento ABA a InsightIDR. Guardali all’interno del prodotto o visita la Libreria di rilevamento per descrizioni e consigli utili.
Post originale
Scopri di pù su Rapid7 InsightIDR oppure richiedi una demo
da Fabrizio Bressani | Ott 11, 2022 | Notizie dal Mercato
Di Robert Holzer, IT Administrator at Schlotterer Sonnenschutz Systeme GmbH, Rapid7
Ho distribuito il mio SIEM in giorni, non mesi: ecco come puoi farlo anche tu
In qualità di amministratore IT di un’azienda manifatturiera altamente digitalizzata, ho passato molte notti insonni senza avere visibilità sull’attività e sulla sicurezza del nostro ambiente prima di implementare una soluzione SIEM (Security Information and Event Management). Nell’azienda per cui lavoro, Schlotterer Sonnenschutz Systeme GmbH, disponiamo di molte macchine di produzione che si basano sull’accesso a Internet e società esterne che si connettono in remoto all’ambiente della nostra azienda, e non riuscivo a vedere che accadesse. Una delle mie maggiori priorità era trovare e implementare soluzioni di sicurezza all’avanguardia, a cominciare da uno strumento SIEM.
Ho chiesto a colleghi e partner del settore IT la loro esperienza nell’implementazione e nell’utilizzo della tecnologia SIEM. La maggior parte dei feedback che ho ricevuto è stata che l’implementazione di un SIEM è stato un processo lungo e difficile. Quindi, una volta alzati in piedi, ai SIEM mancavano spesso informazioni o da cui era difficile estrarre dati utilizzabili.
Il feedback non ha instillato molta fiducia, soprattutto perché questa sarebbe stata la prima volta che ho implementato personalmente un SIEM. Ero preparato per una lunga strada di schieramento davanti a noi, con il rischio che gli scaffali incombessero su di noi. Tuttavia, con mia sorpresa, dopo aver identificato InsightIDR di Rapid7 come la nostra soluzione prescelta, il processo è stato gestibile ed efficiente e abbiamo iniziato a ricevere valore pochi giorni dopo l’implementazione. Rapid7 è chiaramente un valore anomalo in questo spazio: in grado di offrire un’esperienza di onboarding intuitiva e accelerata, pur continuando a fornire informazioni fruibili e risultati di sicurezza sofisticati.
3 passaggi chiave per una distribuzione SIEM di successo
Sulla base della mia esperienza, il nostro team ha identificato tre passaggi critici che devono essere presi per avere una distribuzione SIEM di successo:
- Identificazione delle origini degli eventi principali e delle risorse che intendi integrare prima della distribuzione
- Raccolta e correlazione dei dati di telemetria di sicurezza pertinenti e attuabili per formare una visione olistica e accurata dell’ambiente, guidando al contempo un rilevamento affidabile delle minacce in anticipo (rimuovendo il rumore)
- Mettere i dati al lavoro nel tuo SIEM in modo da poter iniziare a visualizzare e analizzare per convalidare il successo della tua distribuzione
1. Identificare le origini degli eventi principali e le risorse da integrare
Prima di distribuire un SIEM, raccogli quante più informazioni possibili sul tuo ambiente in modo da poter iniziare facilmente il processo di distribuzione. Rapid7 ha fornito una documentazione di aiuto di facile comprensione durante tutto il nostro processo di implementazione per prepararci al successo. Le istruzioni erano molto dettagliate e di facile comprensione, rendendo l’installazione rapida e indolore. Inoltre, forniscono un’ampia selezione di origini eventi predefinite pronte all’uso, semplificando la mia esperienza. In poche ore, ho avuto tutte le informazioni di cui avevo bisogno davanti a me.
Sulla base delle raccomandazioni di Rapid7, abbiamo impostato quelle che vengono chiamate le sei principali fonti di eventi:
- Active Directory (AD)
- Server di protocollo (LDAP)
- Registri eventi DHCP (Dynamic Host Configuration Protocol)
- Sistema dei nomi di dominio (DNS)
- Rete privata virtuale (VPN)
- Firewall
La creazione di queste origini eventi otterrà la maggior parte delle informazioni che fluiscono attraverso il tuo SIEM e se la tua soluzione ha funzionalità di analisi dell’entità del comportamento utente (UEBA) come InsightIDR. L’acquisizione rapida di tutti i dati avvia il processo di base in modo da poter identificare anomalie e potenziali minacce per utenti e insider lungo la strada.
2. Raccolta e correlazione della telemetria di sicurezza pertinente e attuabile
Se distribuito e configurato correttamente, un buon SIEM unificherà la telemetria di sicurezza in un’unica immagine coesa. Se eseguito in modo inefficace, un SIEM può creare un labirinto infinito di rumori e avvisi. Trovare un equilibrio tra l’acquisizione della giusta telemetria di sicurezza e intelligence sulle minacce per guidare rilevamenti significativi e attuabili delle minacce è fondamentale per un rilevamento, un’indagine e una risposta efficaci. Un’ottima soluzione armonizza fonti altrimenti disparate per fornire una visione coerente dell’ambiente e delle attività dannose.
InsightIDR è stato fornito con un agente endpoint nativo, un sensore di rete e una serie di integrazioni per rendere questo processo molto più semplice. Per fornire un contesto, alla Schlotterer Sonnenschutz Systeme GmbH disponiamo di un gran numero di dispositivi mobili, laptop, dispositivi di superficie e altri endpoint che esistono al di fuori dell’azienda. Insight Network Sensor e Insight Agent combinati monitorano il nostro ambiente oltre i confini fisici del nostro IT per una visibilità completa su uffici, dipendenti remoti, dispositivi virtuali e altro ancora.
Personalmente, quando si tratta di installare qualsiasi agente, preferisco adottare un approccio graduale per ridurre i potenziali effetti negativi che l’agente potrebbe avere sugli endpoint. Con InsightIDR, ho distribuito facilmente Insight Agent sul mio computer; quindi, l’ho inviato a un gruppo aggiuntivo di computer. L’implementazione del software leggero di Rapid7 Agent è facile sulla nostra infrastruttura. Non mi ci è voluto tempo per distribuirlo in sicurezza su tutti i nostri endpoint.
Con i dati effettivamente acquisiti, ci siamo preparati a rivolgere la nostra attenzione al rilevamento delle minacce. I SIEM tradizionali che avevamo esplorato ci hanno lasciato gran parte della creazione del contenuto di rilevamento da configurare e gestire, aumentando notevolmente l’ambito dell’implementazione e delle operazioni quotidiane. Tuttavia, Rapid7 viene fornito con un’ampia libreria gestita di rilevamenti curati pronti all’uso, eliminando la necessità di personalizzare e configurare in anticipo e fornendoci immediatamente copertura. I rilevamenti di Rapid7 sono controllati dal loro MDR SOC interno, il che significa che non creano troppo rumore e ho dovuto fare poco o nessun tuning in modo che si allineassero con il mio ambiente.
3. Mettere i tuoi dati al lavoro nel tuo SIEM
Per il nostro team con risorse limitate, garantire che avessimo dashboard e report pertinenti per tenere traccia dei sistemi critici, delle attività nella nostra rete e supportare gli audit e i requisiti normativi è sempre stato un grande obiettivo. Parlando con i miei colleghi, eravamo stanchi di creare dashboard che avrebbero richiesto al nostro team di eseguire complicate operazioni di scrittura di query per creare elementi visivi e report sofisticati. I dashboard predefiniti inclusi in InsightIDR sono stati ancora una volta un enorme risparmio di tempo per il nostro team e ci hanno aiutato a mobilitarci attorno a sofisticati report sulla sicurezza fin dall’inizio. Ad esempio, sto utilizzando il dashboard di Active Directory Admin Actions di InsightIDR per identificare:
- Quali account sono stati creati nelle ultime 24 ore?
- Quali account sono stati eliminati nelle ultime 24 ore?
- Quali account hanno cambiato la loro password?
- Chi è stato aggiunto come amministratore di dominio?
Poiché i dashboard sono già integrati nel sistema, mi bastano pochi minuti per visualizzare le informazioni necessarie per visualizzare ed esportare i dati in un report HTML interattivo che posso fornire ai miei stakeholder. Quando distribuisci il tuo SIEM, ti consiglio di approfondire le opzioni di visualizzazione, vedere cosa sarà necessario per creare le tue schede ed esplorare qualsiasi contenuto predefinito disponibile per capire quanto tempo potrebbe essere necessario per iniziare a vedere i dati utilizzabili.
Ora ho conoscenza del mio ambiente. So cosa succede. So per certo che se c’è qualcosa di dannoso o sospetto nel mio ambiente, Rapid7, l’agente Insight o una qualsiasi delle fonti che abbiamo integrato in InsightIDR lo catturerà e posso agire immediatamente.
Post originale
Scopri di pù su Rapid7 InsightIDR oppure richiedi una demo
da Fabrizio Bressani | Set 30, 2022 | Notizie dal Mercato
Di Trevagh Stankard, TitanHQ
Internet è diventato un rifugio sicuro per molti. Siamo in grado di passare con gioia le ore scorrendo le piattaforme dei social media, conversando con amici e familiari o impegnandoci in un acceso dibattito nel tentativo di porre finalmente l’annosa domanda “Cani contro gatti: chi è più carino?” a letto. Ma, per i suoi numerosi vantaggi, Internet può essere un luogo pericoloso, soprattutto per le aziende che fanno così tanto affidamento su di esso per svolgere il proprio lavoro.
Gli attori dannosi aspettano dietro le quinte, pronti a balzare su eventuali carenze di sicurezza informatica che la tua azienda potrebbe avere. Negli ultimi tempi, c’è stato un drastico aumento della criminalità informatica, a causa di una serie di ragioni diverse, una delle quali è l’adozione di massa di forza lavoro remota o ibrida. Senza che i tuoi dipendenti si trovino fisicamente in uno spazio ufficio, dove puoi tenere d’occhio più facilmente come utilizzano i loro dispositivi di lavoro, i siti che stanno visitando e le applicazioni o i file a cui accedono, la tua organizzazione è a rischio.
Una tattica adottata dai criminali informatici è quella di prendere di mira l’utilizzo del browser da parte dei dipendenti. Senza le adeguate misure di sicurezza DNS in atto, la tua organizzazione deve affrontare una minaccia significativa.
Le organizzazioni prendono abbastanza sul serio la sicurezza DNS?
Con il panorama della sicurezza informatica che sta subendo un cambiamento sismico, le organizzazioni stanno finalmente iniziando a dare la priorità alle loro soluzioni di sicurezza informatica, comprendendo che il mancato rispetto di ciò potrebbe, in definitiva, essere la ragione della loro caduta. Tuttavia, molti devono ancora adottare lo stesso approccio alla loro sicurezza DNS:
- Il 25% delle aziende non esegue analisi sul proprio traffico DNS
- Il 35% non utilizza il traffico DNS interno per il filtraggio
- Solo il 12% raccoglie log DNS e correla tramite ML
È essenziale che le organizzazioni si rendano conto della minaccia rappresentata da un atteggiamento negligente nei confronti della sicurezza DNS, con un recente sondaggio del Neustar International Security Council (NISC) che ha rivelato che il 72% delle organizzazioni partecipanti aveva subito un attacco DNS nei 12 mesi precedenti, di questi:
- Il 61% ha subito più di un attacco
- L’11% ha riferito di essere stato preso di mira frequentemente
- Il 58% ha riscontrato che la propria attività è stata colpita per oltre un’ora
- Il 14% ha dichiarato che le proprie attività hanno impiegato diverse ore per riprendersi
È quindi essenziale che le organizzazioni sfruttino una soluzione di sicurezza DNS, come WebTitan, per rafforzare non solo la loro sicurezza informatica globale, ma anche la loro sicurezza DNS.
Cosa può fare WebTitan per te?
Quando consideri la tua sicurezza DNS e cerchi di identificare una soluzione che funzioni per te, ci sono una serie di capacità e funzioni a cui devi prestare attenzione. Ovviamente, prima di tutto vuoi che la tua soluzione di sicurezza DNS rafforzi la tua posizione di sicurezza informatica e aumenti le tue difese generali. Ma, a differenza di altre soluzioni di sicurezza DNS, WebTitan offre anche:
- Blocco malware
- Filtraggio dei contenuti
- Scalabilità in base alle tue esigenze
- Reportistica approfondita
- Strumenti per prevenire gli attacchi di phishing
- Servizi di rilevamento dannosi
- Proteggi contro BEC
- Aggiornamenti in tempo reale
- …e molto, molto altro ancora
da Fabrizio Bressani | Set 25, 2022 | Notizie dal Mercato
La soluzione di gestione delle password di MATESO protegge l’accesso al team aziendale e alle password personali da qualsiasi luogo .
IRVINE, California, 23 settembre 2022 – Netwrix, un fornitore di sicurezza informatica che semplifica la sicurezza dei dati, ha annunciato oggi l’acquisizione di MATESO, un produttore di software con sede in Germania che sviluppa, vende e supporta un prodotto che consente ai clienti di ridurre il rischio di una violazione dei dati proteggendo l’accesso alle credenziali dei dipendenti .
Con questa acquisizione, Netwrix approfondisce la sua esperienza nella gestione delle password e rafforza la sua posizione nel mercato della gestione dell’identità e dell’accesso (IAM). Netwrix migliora anche le sue capacità tecniche nella funzione Protect del NIST Cybersecurity Framework. I termini della transazione non sono stati divulgati.
Netwrix dispone già di una soluzione di gestione degli accessi privilegiati (PAM) di nuova generazione, Netwrix SbPAM, che copre gli account privilegiati. L’applicazione di gestione delle password di MATESO la integra proteggendo tutte le altre credenziali riducendo al minimo l’affaticamento della sicurezza informatica dei dipendenti. L’applicazione offre date di scadenza delle password, flussi di lavoro di approvazione personalizzati, rotazione delle credenziali completamente automatizzata per gli account di servizio e altro ancora.
Allo stesso tempo, i clienti MATESO potranno utilizzare i prodotti Netwrix per garantire protezione non solo sulle identità degli utenti, ma su tutte e tre le principali superfici di attacco: dati, identità e infrastruttura. In particolare, sapere esattamente quali dati sono sensibili aiuterà i clienti MATESO a prendere decisioni più informate su come proteggere ciò che conta davvero e individuare attività sospette intorno a quei dati li aiuterà a rispondere efficacemente alle minacce.
“Siamo entusiasti di rafforzare ulteriormente la nostra offerta nella gestione delle identità e degli accessi: Netwrix USERCUBE fornisce la governance e l’amministrazione delle identità, il prodotto di gestione delle password di MATESO protegge l’accesso a tali identità e Netwrix SbPAM garantisce che alle identità vengano concessi privilegi solo quando sono necessari. Siamo lieti di aggiungere il prodotto MATESO al portafoglio Netwrix e non vediamo l’ora di unire le competenze dei nostri team”, ha affermato Steve Dickson, CEO di Netwrix.
” Secondo il Ponemon Institute , la compromissione dell’account è stato il vettore di attacco iniziale più comune nel 2021, responsabile del 20% delle violazioni. L’unione dell’applicazione di MATESO con il portafoglio di prodotti Netwrix affronta questa minaccia per garantire che i dati dei nostri clienti siano più sicuri domani di quanto non lo siano oggi”, ha affermato Sascha Martens, CTO di MATESO.
Scopri di più su questo strumento di gestione delle password visitando il sito web di MATESO .
A proposito di Netwrix
Netwrix semplifica la sicurezza dei dati, semplificando così il modo in cui i professionisti possono controllare i dati sensibili, regolamentati e business-critical, indipendentemente da dove risiedono. Più di 11.500 organizzazioni in tutto il mondo si affidano alle soluzioni Netwrix per proteggere i dati sensibili, realizzare il pieno valore aziendale dei contenuti aziendali, superare gli audit di conformità con meno sforzi e spese e aumentare la produttività dei team IT e dei knowledge worker.
Fondata nel 2006, Netwrix ha vinto più di 150 premi del settore ed è stata nominata sia negli elenchi Inc. 5000 che Deloitte Technology Fast 500 delle aziende in più rapida crescita negli Stati Uniti
Per ulteriori informazioni, visitare www.netwrix.com .
Photo by Philipp Katzenberger on Unsplash
da Fabrizio Bressani | Set 23, 2022 | Notizie dal Mercato
Di Kj McCann, Rapid7
Man mano che ci avviciniamo alla chiusura del 2022, le discussioni nel mercato continuano a girare intorno alle soluzioni di extended detection and response (XDR). Quali sono? Quali sono i vantaggi? Il mio team dovrebbe adottare XDR e, in caso affermativo, come valutiamo i fornitori per determinare l’approccio migliore?
Sebbene sul mercato continuino a esserci molte definizioni diverse di XDR, i temi comuni attorno a questa tecnologia sono:
- Prodotti di sicurezza strettamente integrati che offrono funzionalità comuni di prevenzione, rilevamento e risposta agli incidenti
- Efficienze operative pronte all’uso che richiedono una personalizzazione minima
- Funzioni di orchestrazione della sicurezza e automazione per semplificare i processi ripetitivi e accelerare la risposta
- Rilevamento di alta qualità con un setup richiesto limitato
- Analisi avanzate in grado di correlare gli avvisi provenienti da più origini agli incidenti
In poche parole, XDR è un’evoluzione dell’ecosistema di sicurezza al fine di fornire una sicurezza elevata e più forte per i team di sicurezza con risorse limitate.
XDR per il 2023
Perché XDR è la soluzione di sicurezza informatica preferita? Con una superficie di attacco in continua espansione e minacce diverse e complesse, i centri operativi di sicurezza (SOC) necessitano di maggiore visibilità e di una copertura più efficace delle minacce in tutto il loro ambiente, senza creare ulteriori sacche di dati in silos da soluzioni puntuali.
Uno studio del 2022 sui leader della sicurezza ha rilevato che il team di sicurezza medio ora gestisce 76 strumenti diversi, con un’espansione incontrollata guidata dalla necessità di stare al passo con l’adozione del cloud e i requisiti di lavoro a distanza. A causa della crescita esponenziale degli strumenti, i team di sicurezza dedicano più della metà del loro tempo alla produzione manuale di report, estraendo dati da più strumenti in silos. Una soluzione XDR offre vantaggi significativi in termini di efficienza operativa centralizzando tutti quei dati per formare un’immagine coerente del tuo ambiente.
XDR è la mossa giusta per la tua organizzazione?
Quando pianifichi la tua sicurezza per il prossimo anno, considera quali risultati vuoi ottenere nel 2023.
Prodotto di sicurezza e consolidamento dei fornitori
Per combattere la crescente complessità, i leader della sicurezza e del rischio sono alla ricerca di modi efficaci per consolidare il proprio stack di sicurezza, senza compromettere la capacità di rilevare le minacce su una superficie di attacco in crescita. In effetti, oggi il 75% dei professionisti della sicurezza sta perseguendo una strategia di consolidamento dei fornitori, rispetto al solo 29% di due anni fa. Un approccio XDR può essere un percorso efficace per ridurre al minimo il numero di strumenti che il tuo SOC deve gestire, pur continuando a riunire la telemetria critica per potenziare il rilevamento e la risposta. Per questo motivo, molti team stanno dando la priorità a XDR nel 2023 per guidare il loro movimento di consolidamento. Si prevede che entro la fine del 2027, XDR sarà utilizzato fino al 40% delle organizzazioni di utenti finali per ridurre il numero di fornitori di sicurezza esistenti.
Mentre esplori la priorità di XDR nel 2023, è importante ricordare che tutti gli XDR non sono creati uguali. Un approccio XDR ibrido può consentire di selezionare i migliori prodotti tra le categorie, ma richiederà comunque un’implementazione, una configurazione e una gestione continua significative per riunire questi prodotti (per non parlare dei rapporti con più fornitori e delle spese da affrontare). Un approccio XDR nativo offre una suite più inclusiva di funzionalità da un unico fornitore. Per i team con risorse limitate, un approccio nativo può essere superiore a quello ibrido poiché è probabile che ci sia meno lavoro per conto del cliente. Un XDR nativo fa gran parte del lavoro di consolidamento per te, mentre un XDR ibrido ti aiuta a consolidare.
Miglioramento dell’efficienza e della produttività delle operazioni di sicurezza
“Efficienza” è una grande promessa di XDR, ma può sembrare diversa per molti team. Come si misura l’efficienza oggi? Quali aree sono attualmente inefficienti e potrebbero essere rese più veloci o più facili? Comprendere questa linea di base e dove il tuo team sta perdendo tempo oggi ti aiuterà a sapere a cosa dare la priorità quando perseguirai una strategia XDR nel 2023.
Un potente XDR sostituisce gli strumenti e i processi esistenti con metodi di lavoro alternativi e più efficienti. Esempi di processi da valutare mentre esplori XDR:
- Ingestione di dati: man mano che la tua organizzazione cresce, vuoi essere sicuro che il tuo XDR possa crescere con essa. Le piattaforme XDR cloud-native saranno particolarmente forti in questa categoria, poiché avranno le basi elastiche necessarie per stare al passo con il tuo ambiente. Considera anche come aggiungere nuove origini eventi nel tempo. Questa può essere un’area critica per migliorare l’efficienza.
- Dashboard e report: il tuo team è attrezzato per creare e gestire query, report e dashboard personalizzati? La creazione e la distribuzione di report può richiedere molto tempo, soprattutto per i nuovi analisti. Se il tuo team non ha tempo per la creazione costante di dashboard, prendi in considerazione gli approcci XDR che offrono contenuti predefiniti ed esperienze più intuitive in grado di soddisfare questi casi d’uso.
- Rilevamenti: con una costante evoluzione degli attori e dei comportamenti delle minacce, è importante valutare se il tuo team ha il tempo di riunire l’intelligence sulle minacce e la creazione di regole di rilevamento necessarie per stare al passo con le minacce emergenti. Un XDR efficace può ridurre notevolmente o potenzialmente eliminare la necessità per il tuo team di creare e gestire manualmente le regole di rilevamento offrendo librerie di rilevamento integrate. È importante comprendere l’ampiezza e la fedeltà della libreria di rilevamenti offerta dal tuo fornitore e garantire che questo contenuto soddisfi le esigenze della tua organizzazione.
- Automazione: trovare il giusto equilibrio per il tuo SOC tra tecnologia ed esperienza umana consentirà agli analisti di applicare le proprie competenze e formazione in aree critiche senza dover svolgere attività ripetitive e banali in aggiunta. Poiché diverse soluzioni XDR offrono diverse istanze di automazione, dai la priorità ai flussi di lavoro che forniranno i maggiori vantaggi al tuo team. Alcuni casi d’uso di esempio potrebbero connettere i processi tra i tuoi team IT e di sicurezza, automatizzare la risposta agli incidenti a minacce comuni o ridurre le attività manuali o ripetitive.
Indagini e risposta accelerati
Sebbene le soluzioni XDR affermino di ospitare una varietà di funzionalità che possono accelerare il processo di indagine e risposta, è importante capire come funziona attualmente il tuo team. Inizia identificando il tuo tempo medio per rispondere (MTTR) al presente, quindi qual è il tuo obiettivo MTTR per il futuro. Una volta che lo hai definito, guarda indietro al modo in cui gli analisti attualmente indagano e rispondono agli attacchi e prendi nota di eventuali lacune di abilità o conoscenze, in modo da poter capire quali capacità aiuteranno meglio il tuo team. XDR mira a tracciare un quadro più completo del comportamento degli aggressori, in modo che i team di sicurezza possano analizzarlo e rispondere meglio.
Alcuni esempi di domande che possono creare i casi d’uso necessari per raggiungere il ROI target per il prossimo anno.
- Durante un’indagine, dove trascorre la maggior parte del tempo la tua squadra?
- Quali processi consolidati sono attualmente in atto per la risposta alle minacce?
- Quanto è adattabile la tua squadra di fronte a tecniche di minaccia nuove e sconosciute?
- Hai stabilito playbook per minacce specifiche? La tua squadra sa cosa fare quando queste si presenteranno?
Ancora una volta, avere una linea di base di dove si trova la tua organizzazione oggi ti aiuterà a definire obiettivi e requisiti più realistici per il futuro. Quando valuti i prodotti XDR, approfondisci il modo in cui accorceranno la finestra per il successo degli attaccanti e guideranno una risposta più efficace per il tuo team. Per un team con risorse limitate, potresti voler considerare in particolare come un approccio XDR può:
- Ridurre la quantità di disturbi di cui il tuo team ha bisogno e assicurati che gli analisti si concentrino sulle minacce prioritarie
- Ridurre il tempo per un’indagine efficace fornendo eventi, prove e informazioni rilevanti su un attacco specifico
- Fornire playbook efficaci che massimizzano l’autonomia per gli analisti, consentendo loro di rispondere alle minacce con sicurezza senza la necessità di intensificare o condurre indagini eccessive
- Fornire l’automazione con un clic che gli analisti possono sfruttare per accelerare una risposta dopo che hanno avuto accesso alla situazione
Sblocca il potenziale di XDR con Rapid7
Se tu e il tuo team date la priorità a XDR nel 2023, ci piacerebbe aiutarti. L’approccio XDR nativo di Rapid7 sblocca il rilevamento avanzato delle minacce e la risposta accelerata per i team con risorse limitate. Con una copertura della superficie di attacco a 360 gradi, i team hanno una visione sofisticata del panorama delle minacce interne ed esterne. Rapid7 Threat Intelligence and Detection Engineering cura una libreria sempre aggiornata di rilevamenti delle minacce, verificata sul campo dai nostri esperti MDR SOC per garantire avvisi ad alta fedeltà e attuabili. E con i playbook di risposta consigliati e i flussi di lavoro predefiniti, il tuo team sarà sempre pronto a rispondere alle minacce in modo rapido e sicuro.
Post originale
Scopri di pù su Rapid7 oppure richiedi una demo
da Fabrizio Bressani | Set 16, 2022 | Notizie dal Mercato
Di Dor Sarig, Product Manager, Perimeter 81
Alla luce della pandemia di COVID-19 e della trasformazione digitale che ha determinato sul posto di lavoro, i fornitori di servizi gestiti IT (MSP) devono affrontare molte sfide. Spesso hanno la responsabilità di garantire che i propri clienti possano continuare a operare in condizioni di business incerte e in continua evoluzione.
In aumento gli attacchi agli MSP
I criminali informatici vedono la pandemia come un’opportunità e gli MSP come un obiettivo ottimale poiché spesso non dispongono di risorse sufficienti per proteggersi da sofisticati attacchi informatici. Un recente avviso della Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha indicato un aumento di attività dannose nei confronti degli MSP nell’ultimo anno. Ciò è supportato da un rapporto di terze parti che afferma che quasi tutti gli MSP hanno subito un attacco informatico riuscito negli ultimi 18 mesi: oltre il 90% degli intervistati ha notato un aumento degli attacchi dall’inizio della pandemia.
È facile capire perché gli MSP dovrebbero essere presi di mira. Il loro ruolo prevede la gestione dei sistemi IT client come server, desktop, laptop e software. Con l’accesso agli agenti installati localmente, possono controllare le operazioni IT dei loro clienti senza dover mettere piede in loco. Gli MSP ospitano anche gli identificatori univoci dei loro clienti, come nomi utente e password, che possono essere utilizzati per accedere a reti e sistemi interni.
In poche parole, gli MSP sono un comodo punto di ingresso nella catena di approvvigionamento per accedere a dati e sistemi sensibili. Invece di infettare un’organizzazione con il ransomware, perché non prendere di mira il proprio fornitore di servizi e ottenere l’accesso a centinaia o migliaia di altre organizzazioni?
Gli aggressori che ottengono l’accesso al software di monitoraggio e gestione remoti (RMM) di un MSP possono quindi eseguire una serie di attacchi come compromissioni di e-mail aziendali o ransomware. Un buon esempio di ciò è stato l’attacco Kaseya, in cui le vittime sono state infettate tramite l’aggiornamento automatico del software.
Come possono proteggersi gli MSP?
Separare le reti interne
È importante che gli MSP comprendano il loro ambiente e segmentano le loro reti. Un buon inizio è applicare appropriati controlli di sicurezza della rete ai sistemi aziendali critici: identificare, raggruppare e isolare questi sistemi per ridurre l’impatto di una compromissione.
Tutte le connessioni tra i sistemi interni, i sistemi dei clienti e altre reti devono essere riviste e verificate dagli MSP. Separare i set di dati dei clienti gli uni dagli altri (e dai servizi, ove applicabile) nonché dalle reti interne dell’MSP per limitare l’impatto di un singolo vettore di attacco. Inoltre, le credenziali di amministratore non devono essere riutilizzate tra più clienti.
Usa il principio del privilegio minimo
Il principio del privilegio minimo dovrebbe essere applicato in tutto l’ambiente di rete di un MSP e i privilegi dovrebbero essere aggiornati immediatamente quando i ruoli amministrativi vengono modificati. Assicurati che gli account amministrativi non dispongano di accessi o privilegi non necessari utilizzando un modello di livelli.
Sfrutta i privilegi basati sul tempo e sulla posizione per limitare ulteriormente l’uso degli account con privilegi completi in un’azienda quando necessario. Infine, riduci l’accesso a dispositivi, servizi e utenti ad alto rischio. Questo principio dovrebbe essere applicato dagli MSP sia agli ambienti interni che a quelli dei clienti.
Applicare l’autenticazione a più fattori (MFA)
Per rafforzare l’infrastruttura che consente l’accesso a reti e sistemi, le organizzazioni dovrebbero proteggere le applicazioni di accesso remoto e applicare l’autenticazione a più fattori ove possibile. Si consiglia ai clienti di adottare la MFA in tutti i servizi e prodotti forniti dagli MSP. Inoltre, gli MSP dovrebbero implementare l’autenticazione a più fattori su tutti gli account che hanno accesso agli ambienti dei clienti e trattare tali account come privilegiati.
Migliora i processi di monitoraggio e registrazione
Implementare e mantenere un regime di registrazione separato per rilevare le minacce alla rete, tramite una soluzione SIEM o strumenti di registrazione discreti. Le attività coinvolte nella fornitura di servizi ai clienti dovrebbero essere registrate dagli MSP. A seconda dell’accordo contrattuale, gli MSP dovrebbero registrare l’attività della rete interna e del cliente.
Inoltre, le organizzazioni client MSP dovrebbero implementare funzionalità di rilevamento degli endpoint e monitoraggio della difesa della rete insieme a elenchi di applicazioni consentite/negate, sia attraverso accordi contrattuali con un MSP che in modo indipendente.
Implementa una soluzione di sicurezza Zero-Trust
Adottando una soluzione di sicurezza Zero Trust, gli MSP sono in grado di proteggere meglio dati, sistemi e servizi sensibili su reti aziendali sempre più disperse e complesse.
Il modello di sicurezza Zero Trust rimuove la fiducia implicita in qualsiasi elemento, nodo o servizio riconoscendo le minacce all’interno e all’esterno dei confini della rete tradizionale, richiedendo il monitoraggio continuo in tempo reale delle informazioni da più fonti per determinare l’accesso e altre risposte del sistema.
Partendo dal presupposto che una violazione sia inevitabile, Zero Trust limita costantemente l’accesso solo a ciò che è necessario e monitora comportamenti anomali o dannosi.
Per proteggere risorse e dati critici in tempo reale all’interno di un ambiente dinamico di minacce, una buona soluzione Zero Trust dovrebbe includere un monitoraggio completo della sicurezza, controlli granulari degli accessi basati sul rischio e l’automazione della sicurezza del sistema. Inoltre, dovrebbe fornire un unico punto di controllo e visibilità sulla rete in modo che il personale IT e di sicurezza possa vedere cosa sta succedendo ovunque si trovino gli utenti, a casa, al lavoro o in viaggio.
Con questo modello di sicurezza incentrato sull’utente, il principio dell’accesso con privilegi minimi può essere applicato alle decisioni di accesso consentendo o negando l’accesso alle risorse in base a diversi fattori contestuali.
Gli ambienti di rete stanno diventando sempre più complessi e gli avversari sono in grado di comprometterli più facilmente che mai. Pertanto, il focus difensivo deve cambiare. Utilizzando tecnologie come ZTNA, le reti critiche e i percorsi di accesso sono protetti eliminando il più possibile la fiducia implicita e verificando regolarmente ogni richiesta di accesso.
Una strategia Zero Trust correttamente implementata consente miglioramenti significativi nel rilevamento, prevenzione e contenimento delle intrusioni rispetto ad approcci e architetture di cybersecurity legacy meno integrati.
Post originale
Scopri di pù su Perimeter81
da Fabrizio Bressani | Set 9, 2022 | Notizie dal Mercato
Di Sarah Reilly, Senior Product Marketing Manager, HYPR
L’anno scorso, HYPR ha riferito che molti assicuratori informatici ora richiedono alle organizzazioni di adottare l’autenticazione a più fattori. La crescente domanda di assicurazione sulla responsabilità informatica, il numero crescente di reclami e un picco nella gravità degli stessi hanno spinto i sottoscrittori a esaminare più da vicino i controlli di sicurezza di un’organizzazione. Da allora, e poiché gli attacchi informatici hanno continuato a diffondersi nell’ultimo anno, i requisiti di assicurazione informatica per solide misure di sicurezza interna si sono intensificati.
Le aziende che stipuleranno o rinnoveranno polizze stanno scoprendo che la maggior parte delle compagnie assicurative informatiche ha istituito requisiti di autenticazione a più fattori ancora più severi al fine di ridurre i premi o ottenere una copertura. Gli esperti di sicurezza e gli assicuratori informatici raccomandano da anni l’autenticazione a più fattori. Allora perché più aziende non l’hanno già implementato quando il mercato e il panorama degli attacchi stanno rendendo la sua necessità estremamente chiara?
Ostacoli per soddisfare i requisiti di assicurazione informatica per l’AMF
In un recente sondaggio, il 49% degli esperti di IT e sicurezza ha indicato la scarsa esperienza utente come una sfida primaria nell’implementazione delle soluzioni MFA tradizionali e il 48% ha affermato che sono difficili da integrare con i sistemi attuali. Lavoratori e clienti spesso resistono all’adozione dell’autenticazione a più fattori poiché richiede più passaggi per l’autenticazione.
Il colpo di produttività che deriva dall’AMF tradizionale fa esitare anche molte organizzazioni. Richiedere ai dipendenti di utilizzare un fattore aggiuntivo significa che impiegano più tempo per accedere alle applicazioni e ai sistemi di cui hanno bisogno per svolgere il proprio lavoro. In caso di problemi di accesso, si verificano tempi di inattività e richieste di help desk fino a quando non possono essere risolti.
Naturalmente anche il costo gioca un ruolo. Oltre ai costi di implementazione, gestione e help desk, potrebbero esserci anche costi pesanti, come le chiavi di sicurezza. Di fronte a queste ramificazioni di affari e costi, molte organizzazioni si trovano semplicemente incapaci di soddisfare i requisiti di assicurazione informatica.
L’AMF tradizionale è vulnerabile
Forse il più grande ostacolo però si riduce al fatto che l’AMF tradizionale non riduce abbastanza il rischio. Gli analisti della sicurezza hanno dimostrato che il 90% dell’AMF può essere aggirato dal phishing e da altre tecniche.
È qui che entrano in gioco le tecnologie MFA senza password resistenti al phishing. Molti requisiti di assicurazione informatica specificano l’MFA resistente al phishing come definito dal NIST e dall’OMB.
L’accesso è semplice e veloce e, a seconda del tipo di soluzione senza password implementata, potrebbero non esserci costi hardware oltre agli smartphone già posseduti dai tuoi utenti. Ancora più importante, la tecnologia veramente senza password, in cui né l’utente né il fornitore di servizi possiedono un segreto condiviso o condivisibile, è molto meno vulnerabile agli attacchi.
Quest’ultimo punto è importante. Molte soluzioni si definiscono senza password ma possono semplicemente nascondere una password, ad esempio utilizzando la biometria per sbloccare una password. Oppure possono archiviare le credenziali in un database centrale, il che significa che possono essere violate e rubate. Molti assicuratori informatici richiedono specificamente un’AMF resistente al phishing come definito dal NIST e dall’OMB.
Molti requisiti di assicurazione informatica richiedono anche specificamente l’autenticazione a più fattori quando si accede ai desktop. La maggior parte delle soluzioni MFA, sia tradizionali che senza password, copre solo l’accesso alle applicazioni o casi d’uso desktop limitati.
Soddisfa i requisiti di assicurazione informatica con HYPR PMFA
La piattaforma True Passwordless™ MFA (PMFA) di HYPR offre sicurezza senza compromessi unita a un’esperienza utente senza interruzioni che renderà felici il tuo dipartimento di sicurezza, gli utenti finali e la tua compagnia assicurativa.
HYPR collabora con le compagnie di assicurazione informatica per offrire ai propri clienti una soluzione PMFA che soddisfi e superi i requisiti di assicurazione informatica per l’autenticazione sicura. Inoltre, collaboriamo direttamente con le organizzazioni per implementare rapidamente e facilmente l’MFA senza password che le aiuta a realizzare molti vantaggi aggiuntivi, tra cui la riduzione del rischio di violazione, il miglioramento della soddisfazione degli utenti, la riduzione dei costi relativi a IAM e il rispetto dei requisiti normativi per la sicurezza informatica e la privacy dei dati.
Post originale
Scopri di pù su HYPR