8 modi per ridurre i costi IT

da Fabrizio Bressani | Ott 27, 2022 | Notizie dal Mercato

Che cos’è il session hijacking e come prevenirlo?

da Fabrizio Bressani | Ott 25, 2022 | Notizie dal Mercato

Novità di InsightIDR: revisione del terzo trimestre 2022

da Fabrizio Bressani | Ott 12, 2022 | Notizie dal Mercato

Di KJ McCann, Rapid7

Questo post di riepilogo del terzo trimestre 2022 esamina alcuni degli ultimi investimenti che abbiamo fatto in InsightIDR per promuovere il rilevamento e la risposta per la tua organizzazione.

XDR a 360 gradi e copertura della superficie di attacco con Rapid7

La suite Rapid7 XDR — ammiraglia InsightIDR, insieme a InsightConnect (SOAR) e Threat Command (Threat Intel) — unifica la copertura di rilevamento e risposta sulla superficie di attacco interna ed esterna. I clienti rilevano le minacce in anticipo e rispondono più rapidamente, riducendo la finestra per il successo degli aggressori.

Con gli avvisi Threat Command ora inseriti direttamente in InsightIDR, ricevi un’immagine più olistica del tuo panorama delle minacce, oltre il tradizionale perimetro di rete. Unificando questi rilevamenti e i relativi flussi di lavoro in un’unica posizione, i clienti possono:

• Gestisci e ottimizza i rilevamenti dei comandi di minaccia esterni dalla console InsightIDR
• Indaga sulle minacce esterne insieme al contesto e ai rilevamenti del loro più ampio ambiente interno
• Attiva flussi di lavoro di risposta automatizzati per gli avvisi di Threat Command, basati su InsightConnect, da InsightIDR per estinguere le minacce più velocemente

I prodotti Rapid7 ci hanno aiutato a colmare il divario nel rilevamento e nella risoluzione degli incidenti di sicurezza con il massimo effetto. Ciò ha portato a un ambiente più sicuro per i nostri carichi di lavoro e ha creato una cultura di pratiche aziendali sicure.

— Gestore, sicurezza o IT, società di software per computer di medie imprese tramite Techvalidate

Elimina le attività manuali con l’automazione estesa

Riduci il tempo medio di risposta (MTTR) alle minacce e aumenta la fiducia nelle tue azioni di risposta con l’integrazione estesa tra InsightConnect e InsightIDR. Crea e associa facilmente i flussi di lavoro InsightConnect a qualsiasi analisi del comportamento di attacco (ABA), analisi del comportamento degli utenti (UBA) o regola di rilevamento personalizzata, in modo da poter avviare azioni di risposta personalizzate non appena viene attivato un avviso. Metti in quarantena le risorse, arricchisci le indagini con più prove, avvia i flussi di lavoro di ticketing e altro ancora, il tutto con un solo clic.

Visualizza in anteprima l’impatto delle eccezioni sulle regole di rilevamento

Basandosi sulla nostra esperienza di ottimizzazione del rilevamento intuitiva, ora è più facile prevedere in che modo le eccezioni influiranno sul volume degli avvisi. Visualizza in anteprima le eccezioni in InsightIDR per confermare la tua logica e garantire che l’ottimizzazione produca avvisi pertinenti e ad alta fedeltà. Le anteprime delle eccezioni ti consentono di perfezionare con sicurezza il comportamento delle regole di rilevamento ABA per utenti, risorse, indirizzi IP specifici e altro per adattarlo ai tuoi ambienti e circostanze unici.

Semplifica le indagini e la collaborazione con commenti e allegati

Con i team più distribuiti che mai, la capacità di collaborare virtualmente intorno alle indagini è fondamentale. Il nostro sistema di note rivisto ora consente al tuo team di creare commenti e caricare/scaricare allegati avanzati tramite Dettagli di indagine in InsightIDR, nonché tramite l’API. Questa nuova funzionalità garantisce che il tuo team abbia continuità, documentazione e tutte le informazioni rilevanti a portata di mano mentre diversi analisti collaborano a un’indagine.

Aggiungi rapidamente e facilmente commenti e carica e scarica allegati per aggiungere contesto pertinente raccolto da altri strumenti e rimanere in contatto con il tuo team durante un’indagine.

Nuova opzione di distribuzione di vCenter per Insight Network Sensor

In qualità di professionista della sicurezza che cerca di ridurre al minimo la superficie di attacco, è necessario conoscere i tipi di dati sulla rete e la quantità di dati in movimento: due aree critiche che potrebbero indicare attività dannose nel proprio ambiente.

Con la nostra nuova opzione di implementazione vCenter, ora puoi utilizzare il mirroring delle porte distribuito per monitorare il traffico interno est-ovest e il traffico su più server ESX utilizzando un solo sensore di rete Insight virtuale. Quando si utilizza il metodo di distribuzione vCenter, scegliere l’opzione GRETAP tramite la pagina di gestione del sensore.

Il primo VeloCON annuale riunisce gli esperti DFIR di tutto il mondo

Rapid7 ha riunito esperti e appassionati di DFIR da tutto il mondo questo settembre per condividere esperienze nell’utilizzo e nello sviluppo di Velociraptor per soddisfare le esigenze della più ampia comunità DFIR.

L’esclusiva piattaforma open source avanzata di monitoraggio degli endpoint, digital forensic e cyber response di Velociraptor offre la possibilità di rispondere in modo più efficace a un’ampia gamma di indagini di digital forensic e cyber incident response e violazioni dei dati.

Guarda VeloCON on-demand per vedere gli esperti di sicurezza approfondire nuove idee, flussi di lavoro e funzionalità che porteranno Velociraptor al livello successivo di gestione, rilevamento e risposta degli endpoint.

Una libreria in crescita di rilevamenti utilizzabili

Nel terzo trimestre, abbiamo aggiunto 385 nuove regole di rilevamento ABA a InsightIDR. Guardali all’interno del prodotto o visita la Libreria di rilevamento per descrizioni e consigli utili.

Post originale

Scopri di pù su Rapid7 InsightIDR oppure richiedi una demo

Come fare il deployment di un SIEM che funziona davvero

da Fabrizio Bressani | Ott 11, 2022 | Notizie dal Mercato

Di Robert Holzer, IT Administrator at Schlotterer Sonnenschutz Systeme GmbH, Rapid7

Ho distribuito il mio SIEM in giorni, non mesi: ecco come puoi farlo anche tu

In qualità di amministratore IT di un’azienda manifatturiera altamente digitalizzata, ho passato molte notti insonni senza avere visibilità sull’attività e sulla sicurezza del nostro ambiente prima di implementare una soluzione SIEM (Security Information and Event Management). Nell’azienda per cui lavoro, Schlotterer Sonnenschutz Systeme GmbH, disponiamo di molte macchine di produzione che si basano sull’accesso a Internet e società esterne che si connettono in remoto all’ambiente della nostra azienda, e non riuscivo a vedere che accadesse. Una delle mie maggiori priorità era trovare e implementare soluzioni di sicurezza all’avanguardia, a cominciare da uno strumento SIEM.

Ho chiesto a colleghi e partner del settore IT la loro esperienza nell’implementazione e nell’utilizzo della tecnologia SIEM. La maggior parte dei feedback che ho ricevuto è stata che l’implementazione di un SIEM è stato un processo lungo e difficile. Quindi, una volta alzati in piedi, ai SIEM mancavano spesso informazioni o da cui era difficile estrarre dati utilizzabili.

Il feedback non ha instillato molta fiducia, soprattutto perché questa sarebbe stata la prima volta che ho implementato personalmente un SIEM. Ero preparato per una lunga strada di schieramento davanti a noi, con il rischio che gli scaffali incombessero su di noi. Tuttavia, con mia sorpresa, dopo aver identificato InsightIDR di Rapid7 come la nostra soluzione prescelta, il processo è stato gestibile ed efficiente e abbiamo iniziato a ricevere valore pochi giorni dopo l’implementazione. Rapid7 è chiaramente un valore anomalo in questo spazio: in grado di offrire un’esperienza di onboarding intuitiva e accelerata, pur continuando a fornire informazioni fruibili e risultati di sicurezza sofisticati.

3 passaggi chiave per una distribuzione SIEM di successo

Sulla base della mia esperienza, il nostro team ha identificato tre passaggi critici che devono essere presi per avere una distribuzione SIEM di successo:

• Identificazione delle origini degli eventi principali e delle risorse che intendi integrare prima della distribuzione
• Raccolta e correlazione dei dati di telemetria di sicurezza pertinenti e attuabili per formare una visione olistica e accurata dell’ambiente, guidando al contempo un rilevamento affidabile delle minacce in anticipo (rimuovendo il rumore)
• Mettere i dati al lavoro nel tuo SIEM in modo da poter iniziare a visualizzare e analizzare per convalidare il successo della tua distribuzione

1. Identificare le origini degli eventi principali e le risorse da integrare
Prima di distribuire un SIEM, raccogli quante più informazioni possibili sul tuo ambiente in modo da poter iniziare facilmente il processo di distribuzione. Rapid7 ha fornito una documentazione di aiuto di facile comprensione durante tutto il nostro processo di implementazione per prepararci al successo. Le istruzioni erano molto dettagliate e di facile comprensione, rendendo l’installazione rapida e indolore. Inoltre, forniscono un’ampia selezione di origini eventi predefinite pronte all’uso, semplificando la mia esperienza. In poche ore, ho avuto tutte le informazioni di cui avevo bisogno davanti a me.

Sulla base delle raccomandazioni di Rapid7, abbiamo impostato quelle che vengono chiamate le sei principali fonti di eventi:

• Active Directory (AD)
• Server di protocollo (LDAP)
• Registri eventi DHCP (Dynamic Host Configuration Protocol)
• Sistema dei nomi di dominio (DNS)
• Rete privata virtuale (VPN)
• Firewall

La creazione di queste origini eventi otterrà la maggior parte delle informazioni che fluiscono attraverso il tuo SIEM e se la tua soluzione ha funzionalità di analisi dell’entità del comportamento utente (UEBA) come InsightIDR. L’acquisizione rapida di tutti i dati avvia il processo di base in modo da poter identificare anomalie e potenziali minacce per utenti e insider lungo la strada.

2. Raccolta e correlazione della telemetria di sicurezza pertinente e attuabile

Se distribuito e configurato correttamente, un buon SIEM unificherà la telemetria di sicurezza in un’unica immagine coesa. Se eseguito in modo inefficace, un SIEM può creare un labirinto infinito di rumori e avvisi. Trovare un equilibrio tra l’acquisizione della giusta telemetria di sicurezza e intelligence sulle minacce per guidare rilevamenti significativi e attuabili delle minacce è fondamentale per un rilevamento, un’indagine e una risposta efficaci. Un’ottima soluzione armonizza fonti altrimenti disparate per fornire una visione coerente dell’ambiente e delle attività dannose.

InsightIDR è stato fornito con un agente endpoint nativo, un sensore di rete e una serie di integrazioni per rendere questo processo molto più semplice. Per fornire un contesto, alla Schlotterer Sonnenschutz Systeme GmbH disponiamo di un gran numero di dispositivi mobili, laptop, dispositivi di superficie e altri endpoint che esistono al di fuori dell’azienda. Insight Network Sensor e Insight Agent combinati monitorano il nostro ambiente oltre i confini fisici del nostro IT per una visibilità completa su uffici, dipendenti remoti, dispositivi virtuali e altro ancora.

Personalmente, quando si tratta di installare qualsiasi agente, preferisco adottare un approccio graduale per ridurre i potenziali effetti negativi che l’agente potrebbe avere sugli endpoint. Con InsightIDR, ho distribuito facilmente Insight Agent sul mio computer; quindi, l’ho inviato a un gruppo aggiuntivo di computer. L’implementazione del software leggero di Rapid7 Agent è facile sulla nostra infrastruttura. Non mi ci è voluto tempo per distribuirlo in sicurezza su tutti i nostri endpoint.

Con i dati effettivamente acquisiti, ci siamo preparati a rivolgere la nostra attenzione al rilevamento delle minacce. I SIEM tradizionali che avevamo esplorato ci hanno lasciato gran parte della creazione del contenuto di rilevamento da configurare e gestire, aumentando notevolmente l’ambito dell’implementazione e delle operazioni quotidiane. Tuttavia, Rapid7 viene fornito con un’ampia libreria gestita di rilevamenti curati pronti all’uso, eliminando la necessità di personalizzare e configurare in anticipo e fornendoci immediatamente copertura. I rilevamenti di Rapid7 sono controllati dal loro MDR SOC interno, il che significa che non creano troppo rumore e ho dovuto fare poco o nessun tuning in modo che si allineassero con il mio ambiente.

3. Mettere i tuoi dati al lavoro nel tuo SIEM

Per il nostro team con risorse limitate, garantire che avessimo dashboard e report pertinenti per tenere traccia dei sistemi critici, delle attività nella nostra rete e supportare gli audit e i requisiti normativi è sempre stato un grande obiettivo. Parlando con i miei colleghi, eravamo stanchi di creare dashboard che avrebbero richiesto al nostro team di eseguire complicate operazioni di scrittura di query per creare elementi visivi e report sofisticati. I dashboard predefiniti inclusi in InsightIDR sono stati ancora una volta un enorme risparmio di tempo per il nostro team e ci hanno aiutato a mobilitarci attorno a sofisticati report sulla sicurezza fin dall’inizio. Ad esempio, sto utilizzando il dashboard di Active Directory Admin Actions di InsightIDR per identificare:

• Quali account sono stati creati nelle ultime 24 ore?
• Quali account sono stati eliminati nelle ultime 24 ore?
• Quali account hanno cambiato la loro password?
• Chi è stato aggiunto come amministratore di dominio?

Poiché i dashboard sono già integrati nel sistema, mi bastano pochi minuti per visualizzare le informazioni necessarie per visualizzare ed esportare i dati in un report HTML interattivo che posso fornire ai miei stakeholder. Quando distribuisci il tuo SIEM, ti consiglio di approfondire le opzioni di visualizzazione, vedere cosa sarà necessario per creare le tue schede ed esplorare qualsiasi contenuto predefinito disponibile per capire quanto tempo potrebbe essere necessario per iniziare a vedere i dati utilizzabili.

Ora ho conoscenza del mio ambiente. So cosa succede. So per certo che se c’è qualcosa di dannoso o sospetto nel mio ambiente, Rapid7, l’agente Insight o una qualsiasi delle fonti che abbiamo integrato in InsightIDR lo catturerà e posso agire immediatamente.

Post originale

Scopri di pù su Rapid7 InsightIDR oppure richiedi una demo

Lo stato della sicurezza DNS

da Fabrizio Bressani | Set 30, 2022 | Notizie dal Mercato

Di Trevagh Stankard, TitanHQ

Internet è diventato un rifugio sicuro per molti. Siamo in grado di passare con gioia le ore scorrendo le piattaforme dei social media, conversando con amici e familiari o impegnandoci in un acceso dibattito nel tentativo di porre finalmente l’annosa domanda “Cani contro gatti: chi è più carino?” a letto. Ma, per i suoi numerosi vantaggi, Internet può essere un luogo pericoloso, soprattutto per le aziende che fanno così tanto affidamento su di esso per svolgere il proprio lavoro.

Gli attori dannosi aspettano dietro le quinte, pronti a balzare su eventuali carenze di sicurezza informatica che la tua azienda potrebbe avere. Negli ultimi tempi, c’è stato un drastico aumento della criminalità informatica, a causa di una serie di ragioni diverse, una delle quali è l’adozione di massa di forza lavoro remota o ibrida. Senza che i tuoi dipendenti si trovino fisicamente in uno spazio ufficio, dove puoi tenere d’occhio più facilmente come utilizzano i loro dispositivi di lavoro, i siti che stanno visitando e le applicazioni o i file a cui accedono, la tua organizzazione è a rischio.

Una tattica adottata dai criminali informatici è quella di prendere di mira l’utilizzo del browser da parte dei dipendenti. Senza le adeguate misure di sicurezza DNS in atto, la tua organizzazione deve affrontare una minaccia significativa.

Le organizzazioni prendono abbastanza sul serio la sicurezza DNS?

Con il panorama della sicurezza informatica che sta subendo un cambiamento sismico, le organizzazioni stanno finalmente iniziando a dare la priorità alle loro soluzioni di sicurezza informatica, comprendendo che il mancato rispetto di ciò potrebbe, in definitiva, essere la ragione della loro caduta. Tuttavia, molti devono ancora adottare lo stesso approccio alla loro sicurezza DNS:

• Il 25% delle aziende non esegue analisi sul proprio traffico DNS
• Il 35% non utilizza il traffico DNS interno per il filtraggio
• Solo il 12% raccoglie log DNS e correla tramite ML

È essenziale che le organizzazioni si rendano conto della minaccia rappresentata da un atteggiamento negligente nei confronti della sicurezza DNS, con un recente sondaggio del Neustar International Security Council (NISC) che ha rivelato che il 72% delle organizzazioni partecipanti aveva subito un attacco DNS nei 12 mesi precedenti, di questi:

• Il 61% ha subito più di un attacco
• L’11% ha riferito di essere stato preso di mira frequentemente
• Il 58% ha riscontrato che la propria attività è stata colpita per oltre un’ora
• Il 14% ha dichiarato che le proprie attività hanno impiegato diverse ore per riprendersi

È quindi essenziale che le organizzazioni sfruttino una soluzione di sicurezza DNS, come WebTitan, per rafforzare non solo la loro sicurezza informatica globale, ma anche la loro sicurezza DNS.

Cosa può fare WebTitan per te?

Quando consideri la tua sicurezza DNS e cerchi di identificare una soluzione che funzioni per te, ci sono una serie di capacità e funzioni a cui devi prestare attenzione. Ovviamente, prima di tutto vuoi che la tua soluzione di sicurezza DNS rafforzi la tua posizione di sicurezza informatica e aumenti le tue difese generali. Ma, a differenza di altre soluzioni di sicurezza DNS, WebTitan offre anche:

• Blocco malware
• Filtraggio dei contenuti
• Scalabilità in base alle tue esigenze
• Reportistica approfondita
• Strumenti per prevenire gli attacchi di phishing
• Servizi di rilevamento dannosi
• Proteggi contro BEC
• Aggiornamenti in tempo reale
• …e molto, molto altro ancora

Dare priorità a XDR nel 2023: rilevamento e risposta più forti con meno complessità

da Fabrizio Bressani | Set 23, 2022 | Notizie dal Mercato

Di Kj McCann, Rapid7

Man mano che ci avviciniamo alla chiusura del 2022, le discussioni nel mercato continuano a girare intorno alle soluzioni di extended detection and response (XDR). Quali sono? Quali sono i vantaggi? Il mio team dovrebbe adottare XDR e, in caso affermativo, come valutiamo i fornitori per determinare l’approccio migliore?

Sebbene sul mercato continuino a esserci molte definizioni diverse di XDR, i temi comuni attorno a questa tecnologia sono:

• Prodotti di sicurezza strettamente integrati che offrono funzionalità comuni di prevenzione, rilevamento e risposta agli incidenti
• Efficienze operative pronte all’uso che richiedono una personalizzazione minima
• Funzioni di orchestrazione della sicurezza e automazione per semplificare i processi ripetitivi e accelerare la risposta
• Rilevamento di alta qualità con un setup richiesto limitato
• Analisi avanzate in grado di correlare gli avvisi provenienti da più origini agli incidenti

In poche parole, XDR è un’evoluzione dell’ecosistema di sicurezza al fine di fornire una sicurezza elevata e più forte per i team di sicurezza con risorse limitate.

XDR per il 2023

Perché XDR è la soluzione di sicurezza informatica preferita? Con una superficie di attacco in continua espansione e minacce diverse e complesse, i centri operativi di sicurezza (SOC) necessitano di maggiore visibilità e di una copertura più efficace delle minacce in tutto il loro ambiente, senza creare ulteriori sacche di dati in silos da soluzioni puntuali.

Uno studio del 2022 sui leader della sicurezza ha rilevato che il team di sicurezza medio ora gestisce 76 strumenti diversi, con un’espansione incontrollata guidata dalla necessità di stare al passo con l’adozione del cloud e i requisiti di lavoro a distanza. A causa della crescita esponenziale degli strumenti, i team di sicurezza dedicano più della metà del loro tempo alla produzione manuale di report, estraendo dati da più strumenti in silos. Una soluzione XDR offre vantaggi significativi in termini di efficienza operativa centralizzando tutti quei dati per formare un’immagine coerente del tuo ambiente.

XDR è la mossa giusta per la tua organizzazione?

Quando pianifichi la tua sicurezza per il prossimo anno, considera quali risultati vuoi ottenere nel 2023.

Prodotto di sicurezza e consolidamento dei fornitori

Per combattere la crescente complessità, i leader della sicurezza e del rischio sono alla ricerca di modi efficaci per consolidare il proprio stack di sicurezza, senza compromettere la capacità di rilevare le minacce su una superficie di attacco in crescita. In effetti, oggi il 75% dei professionisti della sicurezza sta perseguendo una strategia di consolidamento dei fornitori, rispetto al solo 29% di due anni fa. Un approccio XDR può essere un percorso efficace per ridurre al minimo il numero di strumenti che il tuo SOC deve gestire, pur continuando a riunire la telemetria critica per potenziare il rilevamento e la risposta. Per questo motivo, molti team stanno dando la priorità a XDR nel 2023 per guidare il loro movimento di consolidamento. Si prevede che entro la fine del 2027, XDR sarà utilizzato fino al 40% delle organizzazioni di utenti finali per ridurre il numero di fornitori di sicurezza esistenti.

Mentre esplori la priorità di XDR nel 2023, è importante ricordare che tutti gli XDR non sono creati uguali. Un approccio XDR ibrido può consentire di selezionare i migliori prodotti tra le categorie, ma richiederà comunque un’implementazione, una configurazione e una gestione continua significative per riunire questi prodotti (per non parlare dei rapporti con più fornitori e delle spese da affrontare). Un approccio XDR nativo offre una suite più inclusiva di funzionalità da un unico fornitore. Per i team con risorse limitate, un approccio nativo può essere superiore a quello ibrido poiché è probabile che ci sia meno lavoro per conto del cliente. Un XDR nativo fa gran parte del lavoro di consolidamento per te, mentre un XDR ibrido ti aiuta a consolidare.

Miglioramento dell’efficienza e della produttività delle operazioni di sicurezza

“Efficienza” è una grande promessa di XDR, ma può sembrare diversa per molti team. Come si misura l’efficienza oggi? Quali aree sono attualmente inefficienti e potrebbero essere rese più veloci o più facili? Comprendere questa linea di base e dove il tuo team sta perdendo tempo oggi ti aiuterà a sapere a cosa dare la priorità quando perseguirai una strategia XDR nel 2023.

Un potente XDR sostituisce gli strumenti e i processi esistenti con metodi di lavoro alternativi e più efficienti. Esempi di processi da valutare mentre esplori XDR:

• Ingestione di dati: man mano che la tua organizzazione cresce, vuoi essere sicuro che il tuo XDR possa crescere con essa. Le piattaforme XDR cloud-native saranno particolarmente forti in questa categoria, poiché avranno le basi elastiche necessarie per stare al passo con il tuo ambiente. Considera anche come aggiungere nuove origini eventi nel tempo. Questa può essere un’area critica per migliorare l’efficienza.
• Dashboard e report: il tuo team è attrezzato per creare e gestire query, report e dashboard personalizzati? La creazione e la distribuzione di report può richiedere molto tempo, soprattutto per i nuovi analisti. Se il tuo team non ha tempo per la creazione costante di dashboard, prendi in considerazione gli approcci XDR che offrono contenuti predefiniti ed esperienze più intuitive in grado di soddisfare questi casi d’uso.
• Rilevamenti: con una costante evoluzione degli attori e dei comportamenti delle minacce, è importante valutare se il tuo team ha il tempo di riunire l’intelligence sulle minacce e la creazione di regole di rilevamento necessarie per stare al passo con le minacce emergenti. Un XDR efficace può ridurre notevolmente o potenzialmente eliminare la necessità per il tuo team di creare e gestire manualmente le regole di rilevamento offrendo librerie di rilevamento integrate. È importante comprendere l’ampiezza e la fedeltà della libreria di rilevamenti offerta dal tuo fornitore e garantire che questo contenuto soddisfi le esigenze della tua organizzazione.
• Automazione: trovare il giusto equilibrio per il tuo SOC tra tecnologia ed esperienza umana consentirà agli analisti di applicare le proprie competenze e formazione in aree critiche senza dover svolgere attività ripetitive e banali in aggiunta. Poiché diverse soluzioni XDR offrono diverse istanze di automazione, dai la priorità ai flussi di lavoro che forniranno i maggiori vantaggi al tuo team. Alcuni casi d’uso di esempio potrebbero connettere i processi tra i tuoi team IT e di sicurezza, automatizzare la risposta agli incidenti a minacce comuni o ridurre le attività manuali o ripetitive.

Indagini e risposta accelerati

Sebbene le soluzioni XDR affermino di ospitare una varietà di funzionalità che possono accelerare il processo di indagine e risposta, è importante capire come funziona attualmente il tuo team. Inizia identificando il tuo tempo medio per rispondere (MTTR) al presente, quindi qual è il tuo obiettivo MTTR per il futuro. Una volta che lo hai definito, guarda indietro al modo in cui gli analisti attualmente indagano e rispondono agli attacchi e prendi nota di eventuali lacune di abilità o conoscenze, in modo da poter capire quali capacità aiuteranno meglio il tuo team. XDR mira a tracciare un quadro più completo del comportamento degli aggressori, in modo che i team di sicurezza possano analizzarlo e rispondere meglio.

Alcuni esempi di domande che possono creare i casi d’uso necessari per raggiungere il ROI target per il prossimo anno.

• Durante un’indagine, dove trascorre la maggior parte del tempo la tua squadra?
• Quali processi consolidati sono attualmente in atto per la risposta alle minacce?
• Quanto è adattabile la tua squadra di fronte a tecniche di minaccia nuove e sconosciute?
• Hai stabilito playbook per minacce specifiche? La tua squadra sa cosa fare quando queste si presenteranno?

Ancora una volta, avere una linea di base di dove si trova la tua organizzazione oggi ti aiuterà a definire obiettivi e requisiti più realistici per il futuro. Quando valuti i prodotti XDR, approfondisci il modo in cui accorceranno la finestra per il successo degli attaccanti e guideranno una risposta più efficace per il tuo team. Per un team con risorse limitate, potresti voler considerare in particolare come un approccio XDR può:

• Ridurre la quantità di disturbi di cui il tuo team ha bisogno e assicurati che gli analisti si concentrino sulle minacce prioritarie
• Ridurre il tempo per un’indagine efficace fornendo eventi, prove e informazioni rilevanti su un attacco specifico
• Fornire playbook efficaci che massimizzano l’autonomia per gli analisti, consentendo loro di rispondere alle minacce con sicurezza senza la necessità di intensificare o condurre indagini eccessive
• Fornire l’automazione con un clic che gli analisti possono sfruttare per accelerare una risposta dopo che hanno avuto accesso alla situazione

Sblocca il potenziale di XDR con Rapid7

Se tu e il tuo team date la priorità a XDR nel 2023, ci piacerebbe aiutarti. L’approccio XDR nativo di Rapid7 sblocca il rilevamento avanzato delle minacce e la risposta accelerata per i team con risorse limitate. Con una copertura della superficie di attacco a 360 gradi, i team hanno una visione sofisticata del panorama delle minacce interne ed esterne. Rapid7 Threat Intelligence and Detection Engineering cura una libreria sempre aggiornata di rilevamenti delle minacce, verificata sul campo dai nostri esperti MDR SOC per garantire avvisi ad alta fedeltà e attuabili. E con i playbook di risposta consigliati e i flussi di lavoro predefiniti, il tuo team sarà sempre pronto a rispondere alle minacce in modo rapido e sicuro.

Post originale

Scopri di pù su Rapid7 oppure richiedi una demo

Zero Trust: la migliore difesa contro gli attacchi agli MSP

da Fabrizio Bressani | Set 16, 2022 | Notizie dal Mercato

Di Dor Sarig, Product Manager, Perimeter 81

Alla luce della pandemia di COVID-19 e della trasformazione digitale che ha determinato sul posto di lavoro, i fornitori di servizi gestiti IT (MSP) devono affrontare molte sfide. Spesso hanno la responsabilità di garantire che i propri clienti possano continuare a operare in condizioni di business incerte e in continua evoluzione.

In aumento gli attacchi agli MSP

I criminali informatici vedono la pandemia come un’opportunità e gli MSP come un obiettivo ottimale poiché spesso non dispongono di risorse sufficienti per proteggersi da sofisticati attacchi informatici. Un recente avviso della Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha indicato un aumento di attività dannose nei confronti degli MSP nell’ultimo anno. Ciò è supportato da un rapporto di terze parti che afferma che quasi tutti gli MSP hanno subito un attacco informatico riuscito negli ultimi 18 mesi: oltre il 90% degli intervistati ha notato un aumento degli attacchi dall’inizio della pandemia.

È facile capire perché gli MSP dovrebbero essere presi di mira. Il loro ruolo prevede la gestione dei sistemi IT client come server, desktop, laptop e software. Con l’accesso agli agenti installati localmente, possono controllare le operazioni IT dei loro clienti senza dover mettere piede in loco. Gli MSP ospitano anche gli identificatori univoci dei loro clienti, come nomi utente e password, che possono essere utilizzati per accedere a reti e sistemi interni.

In poche parole, gli MSP sono un comodo punto di ingresso nella catena di approvvigionamento per accedere a dati e sistemi sensibili. Invece di infettare un’organizzazione con il ransomware, perché non prendere di mira il proprio fornitore di servizi e ottenere l’accesso a centinaia o migliaia di altre organizzazioni?

Gli aggressori che ottengono l’accesso al software di monitoraggio e gestione remoti (RMM) di un MSP possono quindi eseguire una serie di attacchi come compromissioni di e-mail aziendali o ransomware. Un buon esempio di ciò è stato l’attacco Kaseya, in cui le vittime sono state infettate tramite l’aggiornamento automatico del software.

Come possono proteggersi gli MSP?

Separare le reti interne

È importante che gli MSP comprendano il loro ambiente e segmentano le loro reti. Un buon inizio è applicare appropriati controlli di sicurezza della rete ai sistemi aziendali critici: identificare, raggruppare e isolare questi sistemi per ridurre l’impatto di una compromissione.

Tutte le connessioni tra i sistemi interni, i sistemi dei clienti e altre reti devono essere riviste e verificate dagli MSP. Separare i set di dati dei clienti gli uni dagli altri (e dai servizi, ove applicabile) nonché dalle reti interne dell’MSP per limitare l’impatto di un singolo vettore di attacco. Inoltre, le credenziali di amministratore non devono essere riutilizzate tra più clienti.

Usa il principio del privilegio minimo

Il principio del privilegio minimo dovrebbe essere applicato in tutto l’ambiente di rete di un MSP e i privilegi dovrebbero essere aggiornati immediatamente quando i ruoli amministrativi vengono modificati. Assicurati che gli account amministrativi non dispongano di accessi o privilegi non necessari utilizzando un modello di livelli.

Sfrutta i privilegi basati sul tempo e sulla posizione per limitare ulteriormente l’uso degli account con privilegi completi in un’azienda quando necessario. Infine, riduci l’accesso a dispositivi, servizi e utenti ad alto rischio. Questo principio dovrebbe essere applicato dagli MSP sia agli ambienti interni che a quelli dei clienti.

Applicare l’autenticazione a più fattori (MFA)

Per rafforzare l’infrastruttura che consente l’accesso a reti e sistemi, le organizzazioni dovrebbero proteggere le applicazioni di accesso remoto e applicare l’autenticazione a più fattori ove possibile. Si consiglia ai clienti di adottare la MFA in tutti i servizi e prodotti forniti dagli MSP. Inoltre, gli MSP dovrebbero implementare l’autenticazione a più fattori su tutti gli account che hanno accesso agli ambienti dei clienti e trattare tali account come privilegiati.

Migliora i processi di monitoraggio e registrazione

Implementare e mantenere un regime di registrazione separato per rilevare le minacce alla rete, tramite una soluzione SIEM o strumenti di registrazione discreti. Le attività coinvolte nella fornitura di servizi ai clienti dovrebbero essere registrate dagli MSP. A seconda dell’accordo contrattuale, gli MSP dovrebbero registrare l’attività della rete interna e del cliente.

Inoltre, le organizzazioni client MSP dovrebbero implementare funzionalità di rilevamento degli endpoint e monitoraggio della difesa della rete insieme a elenchi di applicazioni consentite/negate, sia attraverso accordi contrattuali con un MSP che in modo indipendente.

Implementa una soluzione di sicurezza Zero-Trust

Adottando una soluzione di sicurezza Zero Trust, gli MSP sono in grado di proteggere meglio dati, sistemi e servizi sensibili su reti aziendali sempre più disperse e complesse.

Il modello di sicurezza Zero Trust rimuove la fiducia implicita in qualsiasi elemento, nodo o servizio riconoscendo le minacce all’interno e all’esterno dei confini della rete tradizionale, richiedendo il monitoraggio continuo in tempo reale delle informazioni da più fonti per determinare l’accesso e altre risposte del sistema.

Partendo dal presupposto che una violazione sia inevitabile, Zero Trust limita costantemente l’accesso solo a ciò che è necessario e monitora comportamenti anomali o dannosi.

Per proteggere risorse e dati critici in tempo reale all’interno di un ambiente dinamico di minacce, una buona soluzione Zero Trust dovrebbe includere un monitoraggio completo della sicurezza, controlli granulari degli accessi basati sul rischio e l’automazione della sicurezza del sistema. Inoltre, dovrebbe fornire un unico punto di controllo e visibilità sulla rete in modo che il personale IT e di sicurezza possa vedere cosa sta succedendo ovunque si trovino gli utenti, a casa, al lavoro o in viaggio.

Con questo modello di sicurezza incentrato sull’utente, il principio dell’accesso con privilegi minimi può essere applicato alle decisioni di accesso consentendo o negando l’accesso alle risorse in base a diversi fattori contestuali.

Gli ambienti di rete stanno diventando sempre più complessi e gli avversari sono in grado di comprometterli più facilmente che mai. Pertanto, il focus difensivo deve cambiare. Utilizzando tecnologie come ZTNA, le reti critiche e i percorsi di accesso sono protetti eliminando il più possibile la fiducia implicita e verificando regolarmente ogni richiesta di accesso.

Una strategia Zero Trust correttamente implementata consente miglioramenti significativi nel rilevamento, prevenzione e contenimento delle intrusioni rispetto ad approcci e architetture di cybersecurity legacy meno integrati.

Post originale

Scopri di pù su Perimeter81

Soddisfare i requisiti di assicurazione informatica: l’AMF è sufficiente?

da Fabrizio Bressani | Set 9, 2022 | Notizie dal Mercato

Di Sarah Reilly, Senior Product Marketing Manager, HYPR

L’anno scorso, HYPR ha riferito che molti assicuratori informatici ora richiedono alle organizzazioni di adottare l’autenticazione a più fattori. La crescente domanda di assicurazione sulla responsabilità informatica, il numero crescente di reclami e un picco nella gravità degli stessi hanno spinto i sottoscrittori a esaminare più da vicino i controlli di sicurezza di un’organizzazione. Da allora, e poiché gli attacchi informatici hanno continuato a diffondersi nell’ultimo anno, i requisiti di assicurazione informatica per solide misure di sicurezza interna si sono intensificati.

Le aziende che stipuleranno o rinnoveranno polizze stanno scoprendo che la maggior parte delle compagnie assicurative informatiche ha istituito requisiti di autenticazione a più fattori ancora più severi al fine di ridurre i premi o ottenere una copertura. Gli esperti di sicurezza e gli assicuratori informatici raccomandano da anni l’autenticazione a più fattori. Allora perché più aziende non l’hanno già implementato quando il mercato e il panorama degli attacchi stanno rendendo la sua necessità estremamente chiara?

Ostacoli per soddisfare i requisiti di assicurazione informatica per l’AMF

In un recente sondaggio, il 49% degli esperti di IT e sicurezza ha indicato la scarsa esperienza utente come una sfida primaria nell’implementazione delle soluzioni MFA tradizionali e il 48% ha affermato che sono difficili da integrare con i sistemi attuali. Lavoratori e clienti spesso resistono all’adozione dell’autenticazione a più fattori poiché richiede più passaggi per l’autenticazione.

Il colpo di produttività che deriva dall’AMF tradizionale fa esitare anche molte organizzazioni. Richiedere ai dipendenti di utilizzare un fattore aggiuntivo significa che impiegano più tempo per accedere alle applicazioni e ai sistemi di cui hanno bisogno per svolgere il proprio lavoro. In caso di problemi di accesso, si verificano tempi di inattività e richieste di help desk fino a quando non possono essere risolti.

Naturalmente anche il costo gioca un ruolo. Oltre ai costi di implementazione, gestione e help desk, potrebbero esserci anche costi pesanti, come le chiavi di sicurezza. Di fronte a queste ramificazioni di affari e costi, molte organizzazioni si trovano semplicemente incapaci di soddisfare i requisiti di assicurazione informatica.

L’AMF tradizionale è vulnerabile

Forse il più grande ostacolo però si riduce al fatto che l’AMF tradizionale non riduce abbastanza il rischio. Gli analisti della sicurezza hanno dimostrato che il 90% dell’AMF può essere aggirato dal phishing e da altre tecniche.

È qui che entrano in gioco le tecnologie MFA senza password resistenti al phishing. Molti requisiti di assicurazione informatica specificano l’MFA resistente al phishing come definito dal NIST e dall’OMB.

L’accesso è semplice e veloce e, a seconda del tipo di soluzione senza password implementata, potrebbero non esserci costi hardware oltre agli smartphone già posseduti dai tuoi utenti. Ancora più importante, la tecnologia veramente senza password, in cui né l’utente né il fornitore di servizi possiedono un segreto condiviso o condivisibile, è molto meno vulnerabile agli attacchi.

Quest’ultimo punto è importante. Molte soluzioni si definiscono senza password ma possono semplicemente nascondere una password, ad esempio utilizzando la biometria per sbloccare una password. Oppure possono archiviare le credenziali in un database centrale, il che significa che possono essere violate e rubate. Molti assicuratori informatici richiedono specificamente un’AMF resistente al phishing come definito dal NIST e dall’OMB.

Molti requisiti di assicurazione informatica richiedono anche specificamente l’autenticazione a più fattori quando si accede ai desktop. La maggior parte delle soluzioni MFA, sia tradizionali che senza password, copre solo l’accesso alle applicazioni o casi d’uso desktop limitati.

Soddisfa i requisiti di assicurazione informatica con HYPR PMFA

La piattaforma True Passwordless™ MFA (PMFA) di HYPR offre sicurezza senza compromessi unita a un’esperienza utente senza interruzioni che renderà felici il tuo dipartimento di sicurezza, gli utenti finali e la tua compagnia assicurativa.

HYPR collabora con le compagnie di assicurazione informatica per offrire ai propri clienti una soluzione PMFA che soddisfi e superi i requisiti di assicurazione informatica per l’autenticazione sicura. Inoltre, collaboriamo direttamente con le organizzazioni per implementare rapidamente e facilmente l’MFA senza password che le aiuta a realizzare molti vantaggi aggiuntivi, tra cui la riduzione del rischio di violazione, il miglioramento della soddisfazione degli utenti, la riduzione dei costi relativi a IAM e il rispetto dei requisiti normativi per la sicurezza informatica e la privacy dei dati.

Post originale

Scopri di pù su HYPR