Sfide SOC: come proteggersi dalle minacce all’identità

Sfide SOC: come proteggersi dalle minacce all’identità

Man mano che gli attacchi informatici diventano sempre più sofisticati con l’evoluzione di tattiche, tecniche e procedure (TTP) e obiettivi, i team del Security Operations Center (SOC) svolgono un ruolo cruciale nella salvaguardia delle organizzazioni proteggendo le identità dei dipendenti e l’accesso ai dati aziendali.

Oggi, il ruolo evoluto dei team SOC è quello di combattere le minacce progettate specificamente per eludere il rilevamento. Mentre i criminali investono nella nuova tecnologia di infostealer malware-as-a-service, sottraendo dati da tutti i tipi di dispositivi e trovando modi per aggirare o eludere l’autenticazione, la responsabilità di creare piani di prevenzione e risposta ricade sul SOC.

Al centro di queste sfide SOC ci sono crescenti minacce all’identità che esulano dai normali confini dei team e che stanno spingendo al limite gli strumenti di sicurezza esistenti.

Quindi, team di sicurezza, non siete pazzi se pensate che il vostro lavoro sia duro. È un lavoro incessante (e talvolta ingrato) salvaguardare le identità digitali dei dipendenti e proteggere i dati aziendali. In questo blog, diamo uno sguardo più approfondito a ciò che devi affrontare in modo da poter comprendere più chiaramente come affrontare le sfide del SOC moderno.

Sfida n. 1: L’elemento umano

Un mondo digitale in cui i dipendenti possano lavorare è conveniente, ma sappiamo tutti che ha un costo in termini di sicurezza. Il comportamento umano rappresenta un ostacolo significativo per i team SOC, con oltre l’ 82% delle violazioni avviate da un errore umano.

Essendo la prima linea di difesa della rete aziendale, i dipendenti svolgono un ruolo fondamentale nella prevenzione delle minacce informatiche. Ma tutto, dalla mancanza di consapevolezza del phishing, alle tattiche di ingegneria sociale, alla scarsa igiene delle password, rende i lavoratori bersagli involontari per gli attacchi informatici.

Il comportamento umano involontario può favorire l’accesso non autorizzato, aprendo la porta a infezioni malware, violazioni di dati, credenziali rubate e cookie di sessione, che possono poi portare ad attacchi mirati come ATO, ransomware e altri risultati spiacevoli.

Le tendenze del comportamento umano spesso costringono i team SOC a distogliere l’attenzione dalla prevenzione di sofisticate minacce all’identità e da altre misure di sicurezza strategiche.

Password Fatigue

  • Utilizzo di password comuni o indovinabili
  • Utilizzando la stessa password per più account
  • Riutilizzare le password che sono state precedentemente esposte

Mancanza di consapevolezza e formazione sulla sicurezza:

  • Non riconoscere tentativi di ingegneria sociale o truffe di phishing
  • Cliccare su collegamenti su siti Web dannosi
  • Apertura di file e clic su annunci che installano inavvertitamente malware

Dare priorità alla comodità rispetto alla sicurezza

  • Sincronizzazione delle password (inclusa quella di lavoro) tra i browser su vari dispositivi
  • Utilizzo di pratiche shadow IT e shadow data

Sfida n. 2: espansione dei perimetri oltre il dispositivo gestito

L’adozione diffusa delle policy BYOD (Bring Your Own Device) e l’affidamento ad app e servizi ospitati da terze parti per condurre affari hanno introdotto vulnerabilità significative nell’attuale ambiente di sicurezza, oltre a qualsiasi shadow IT e shadow data utilizzati dai dipendenti. Ciò crea ulteriori sfide per i team SOC nel monitorare e gestire il crescente rischio di accesso non autorizzato. Mentre le organizzazioni bilanciano la comodità di integrare il lavoro nella vita quotidiana, i team di sicurezza devono evolversi e pensare oltre il dispositivo gestito.

L’adozione diffusa delle policy BYOD (Bring Your Own Device) e l’affidamento ad app e servizi ospitati da terze parti per condurre affari hanno introdotto vulnerabilità significative nell’attuale ambiente di sicurezza, oltre a qualsiasi shadow IT e shadow data utilizzati dai dipendenti. Ciò crea ulteriori sfide per i team nel monitorare e gestire il crescente rischio di accesso non autorizzato. Mentre le organizzazioni bilanciano la comodità di integrare il lavoro nella vita quotidiana, i team di sicurezza devono evolversi e pensare oltre il dispositivo gestito.

I dipendenti insoddisfatti delle soluzioni IT possono aumentare il rischio aziendale:

  • Utilizzo di un servizio di archiviazione cloud personale per archiviare file di lavoro
  • Installazione di un’applicazione software non approvata sul computer di lavoro 
  • Connessione di un dispositivo personale alla rete aziendale

E per comodità, possono aumentare il rischio:

  • Controllare la posta elettronica o modificare un documento condiviso dal dispositivo personale
  • Utilizzo del dispositivo pubblico o di un amico per accedere ai file di lavoro
  • Consentire agli appaltatori di utilizzare un dispositivo personale per accedere alla rete aziendale

Con i cambiamenti nel modo e nel luogo in cui lavorano i dipendenti, le credenziali danno accesso alla loro intera identità digitale. Poiché le credenziali vengono rubate e utilizzate più frequentemente dai criminali per compromettere gli account, ciò mette a rischio le identità digitali, i dati aziendali e l’IP critico dei dipendenti. Le credenziali sono più di un semplice nome utente e password. Ogni livello di autenticazione è una credenziale. Questo accesso è la nuova moneta per i criminali .

Sfida n. 3: una superficie di attacco in crescita

I team SOC hanno una visibilità limitata su come, dove e su quale dispositivo lavorano i dipendenti. Secondo HackerOne, il 52% delle organizzazioni non sa quanta parte della propria superficie di attacco è protetta . Ciò può comportare diversi percorsi per i criminali informatici che tentano di rubare dati riservati. I team SOC spesso non dispongono delle informazioni necessarie provenienti dai registri malware e dai cookie di sessione rubati dai dispositivi infetti per andare oltre i piani di riparazione dei dispositivi più ovvi. Ciò non tiene conto delle esposizioni nascoste di accessi aziendali compromessi sui dispositivi personali. Il nostro rapporto sulla preparazione al malware del 2023 ha rilevato che ogni infezione da malware espone all’accesso a una media di 26 applicazioni aziendali !  

Sfida n. 4: Troppe informazioni sbagliate

Un recente sondaggio tra i team SOC condotto da Tines ha rivelato che il 37% dei team ha indicato “troppi dati, non abbastanza informazioni” come la sfida principale. I team SOC sono sommersi da dati di sicurezza e informazioni sulle minacce mercificati e faticano a trasformarli in informazioni fruibili. I team SOC desiderano ampliare le proprie analisi con flussi di lavoro automatizzati, ma lo sforzo umano spesso richiesto per interpretare dati di informazioni sulle minacce goffi e talvolta inaffidabili o di bassa qualità rende tutto ciò difficile. L’automazione dei flussi di lavoro critici con dati di cui non ci si può fidare completamente comporta potenziali problemi a valle, con falsi positivi o processi interrotti.

Sfida n. 5: Strumenti disallineati, con lacune

I team SOC non sono soli nella loro missione di proteggere le identità digitali dei dipendenti; ogni team adiacente, da ITOps a CTI, desidera gli stessi risultati aziendali. Ma i team SOC sono isolati nel loro massimo supporto per prevenire gli attacchi informatici grazie al portafoglio di strumenti disponibili. Hai a che fare con strumenti di sicurezza acquistati per aiutare più team e i loro flussi di lavoro, il cui output dipende fortemente dalla qualità dei dati. L’indagine di Tines ha inoltre evidenziato che il 49% degli intervistati dispone di troppe console e strumenti diversi per indagare sugli incidenti , il che si traduce in lacune e ritardi nella risposta agli incidenti e nell’identificazione dei rischi. Queste lacune sono il luogo in cui prosperano i criminali informatici.

Come iniziare a risolvere alcune di queste sfide comuni dei SOC oggi stesso

Vedere questo lungo elenco di sfide potrebbe confermare il motivo per cui a volte la tua squadra si sente con le spalle al muro? Anche se è un po’ scoraggiante, inizia ad affrontare ciò che puoi cambiare a breve termine, a partire dai dati che inserisci per rilevare e rimediare alle esposizioni all’identità dei dipendenti. Questa è la parte del puzzle in cui SpyCloud può avere un impatto per il tuo team. 

Ecco alcune domande da porre riguardo al tuo attuale fornitore di informazioni sulle minacce:

  • Ricevo avvisi tempestivi che indicano l’intera portata delle violazioni o delle infezioni malware?
    • Ai criminali non interessa da dove provengono i dati e cercheranno punti di ingresso nei dati rubati indipendentemente dal dispositivo o dalla posizione del dipendente. La nostra analisi della criminalità informatica traccia correlazioni tra miliardi di record che sono stati rubati e distribuiti da criminali, rivelando una visione completa delle esposizioni dei tuoi dipendenti in modo da poter prendere decisioni sulla revoca dell’accesso, sulla reimpostazione delle password e sull’invalidamento delle sessioni.
  • I dati vanno oltre le password per darmi visibilità sull’intera identità digitale dei miei dipendenti?
    • I criminali possono ottenere l’accesso non autorizzato alla tua rete e alle tue applicazioni con altre credenziali e risorse, non solo con le password. Mentre le organizzazioni si orientano verso l’autenticazione senza password, i criminali trovano il modo di creare falle anche nei sistemi di autenticazione più sofisticati. Con questo cambiamento, ti consigliamo di disporre di un piano per difenderti dal bypass dell’autenticazione e dal dirottamento della sessione .
  • I dati includono esposizioni che vanno oltre i dispositivi gestiti dai dipendenti O le applicazioni ospitate che utilizziamo?
    • Questa ampiezza di conoscenze è necessaria per prevenire attacchi successivi e riparare l’intera infezione, non solo un dispositivo. SpyCloud Compass offre al tuo team visibilità delle minacce al di fuori del controllo aziendale, inclusi i dispositivi infetti da malware non gestiti (e sottogestiti) utilizzati da dipendenti, appaltatori e fornitori, nonché tutte le applicazioni di terze parti esposte a cui si accede da questi dispositivi.
  • Mi fido abbastanza dei dati per alimentare flussi di lavoro a mani libere?
    • Sei intelligente nel voler automatizzare più attività con dati di cui ti puoi fidare. Dedica tempo alla creazione di passaggi di risoluzione personalizzati nei playbook e all’assegnazione di attività, senza analizzare la precisione di ogni nuovo record pubblicato dal tuo feed. SpyCloud offre integrazioni API pronte all’uso con i principali fornitori di SIEM, SOAR, XDR, TIP e altro ancora.

Continua a concentrarti su ciò che conta per proteggere la tua attività. E continua a controllare mentre evolviamo la nostra protezione aziendale per salvaguardare le identità digitali dei tuoi dipendenti e proteggere i tuoi dati aziendali, soprattutto dalle forme più recenti di minacce informatiche.

Di Taylor Coppock

Articolo originale

Pagina SpyCloud su sito DotForce

DotForce distribuisce Equixly per la API Security

DotForce distribuisce Equixly per la API Security

Equixly, startup made in Italy pionieristica nella sicurezza delle API, distribuita da DotForce, distributore leader nel settore della sicurezza informatica.

Equixly, società innovatrice nel campo della sicurezza API, è orgogliosa di annunciare la partnership con DotForce, un distributore di primo piano nel settore della sicurezza informatica. Questa collaborazione segna un significativo passo avanti nella lotta contro le minacce informatiche sempre più sofisticate.

Equixly è conosciuta per la sua piattaforma di sicurezza API all’avanguardia, che offre una protezione continua e in tempo reale per le applicazioni aziendali. La soluzione si distingue per l’uso di tecnologie avanzate, come l’intelligenza artificiale e l’apprendimento automatico, per identificare le vulnerabilità in modo proattivo.

DotForce, con la sua vasta rete ed esperienza nel settore della sicurezza informatica, riconosce l’importanza della sicurezza delle API nell’attuale panorama digitale. Con questa partnership, DotForce estende il suo portfolio offrendo ai suoi clienti una soluzione innovativa per la di sicurezza delle API innovativa.

Il CEO di DotForce Italia, Fabrizio Bressani, ha commentato: “Gli evidenti vantaggi offerti dall’utilizzo delle API ne hanno determinato l’affermazione in moltissimi casi, e questo utilizzo è in costante crescita, favorita dalla sempre più frequente interazione tra sistemi diversi, e dall’integrazione di infrastrutture on premise e cloud. Utilizzate ormai da diverse decadi, oggi le API sono onnipresenti e svolgono un ruolo essenziale in numerosi settori, tra cui sviluppo software, cloud computing, fintech, social media, e molto altro.

Le aziende continuano a offrire API pubbliche e private per consentire l’integrazione e l’interoperabilità tra diverse piattaforme e servizi. In modo parallelo, le API vengono sfruttate anche dai criminali informatici, che le interpretano come un ulteriore vettore di attacco, Deve essere data sempre più attenzione alla sicurezza, ma è lo stesso proliferare delle API che ne rende difficile e a volte impossibile il controllo e la gestione. La sicurezza delle API richiede infatti un approccio olistico e continuo. Gli sviluppatori devono essere consapevoli delle migliori pratiche di sicurezza e monitorare costantemente e aggiornare le misure di sicurezza in risposta alle minacce emergenti.

Soluzioni come quelle offerte da Equixly colmano il divario che da sempre esiste tra gli sviluppatori e i responsabili della sicurezza aziendale, e permettono di realizzare sistemi interconnessi ed efficienti, ma con una superficie di attacco molto più contenuta e difficile da utilizzare per scopi malevoli.

Siamo certi che le aziende e gli MSP chiamati a fornire soluzioni di sicurezza vedranno Equixly come parte fondamentale del loro arsenale di difesa dagli attacchi cyber, e lieti di essere stati scelti da Equixly come distributore per il mercato italiano.”

Il CEO di Equixly, Mattia Dalla Piazza, ha aggiunto: “Siamo entusiasti di annunciare la nostra collaborazione con DotForce, un passo che rafforza il nostro impegno a fornire le migliori soluzioni di sicurezza API sul mercato. Equixly ha l’obiettivo di democratizzare il penetration testing delle API, rendendo le nostre tecnologie accessibili non solo alle grandi imprese, ma anche a startup e PMI. Questo consente a un’ampia gamma di aziende di proteggere efficacemente le proprie API. Insieme a DotForce, miriamo a ridefinire gli standard in sicurezza informatica. Investire in tecnologia ‘Made in Italy’ è fondamentale per garantire l’innovazione, la sovranità digitale e una forte presenza internazionale. Questo approccio stimola l’economia locale, crea posti di lavoro e assicura che i dati restino sotto controllo nazionale. Inoltre, abbracciando le tecnologie italiane, ci allineiamo agli elevati standard europei di sicurezza e privacy, offrendo prodotti su misura per le esigenze specifiche del mercato.”

Questa partnership è un impegno congiunto verso un futuro digitale più sicuro. Entrambe le società lavoreranno insieme per portare nelle aziende italiane soluzioni che non solo rispondano, ma anticipino le sfide di sicurezza in un panorama digitale in continua evoluzione.

Contatto stampa:
Carlo De Micheli
Email: press@equixly.com

Equixly
Equixly è stata fondata nel 2022 dai professionisti della sicurezza informatica Alessio e Mattia Dalla Piazza, che vantano oltre 15 anni di esperienza nella gestione di penetration testing a livello aziendale, inclusi progetti governativi e delle forze dell’ordine. Equixly aiuta le aziende di penetration testing a verificare rapidamente nuovi problemi di sicurezza e fornisce ai team di sicurezza strumenti aggiornati con il panorama delle minacce attuali. Gli sviluppatori possono anche utilizzare la piattaforma di Equixly per testare frequentemente la sicurezza dei loro programmi durante lo sviluppo, prima di rilasciare nuove funzionalità al pubblico.

Foto di Fotis Fotopoulos su Unsplash

ZAIUX® Evo: Perché usarlo e a chi serve?

ZAIUX® Evo: Perché usarlo e a chi serve?

Negli ultimi anni i processi di digitalizzazione si sono fatti sempre più frequenti e sempre più organizzazioni si stanno affidando alla tecnologia informatica per espletare i servizi da loro erogati. Allo stesso modo, e di pari passo, la complessità delle infrastrutture informatiche è aumentata e la necessità di renderle sempre più sicure è diventata un nuovo focus primario.

Oggi le cose stanno cambiando, o meglio sono già cambiate, grazie anche alle evidenze fornite dai continui casi di attacchi reali che colpiscono inesorabilmente le infrastrutture informatiche di tutto il mondo, a prescindere dalle loro dimensioni o dal settore di business di appartenenza.

Per questi motivi, in epoca recente, si stanno notando sul mercato IT nuove opportunità negli ambiti della sicurezza informatica, materia storicamente rivolta quasi unicamente a soluzioni difensive. Dal canto suo, PIKERED fonda le basi delle proprie competenze sui servizi di cybersecurity rivolti alle attività offensive di simulazione d’attacco alle infrastrutture, sia in modalità manuale, affidata al suo Red Team interno, sia in modalità automatica, affidata a soluzioni software proprietarie, come quelle della suite ZAIUX®.

In particolare, ZAIUX® Evo è una soluzione Full Cloud che, grazie all’intelligenza artificiale, automatizza attività di attacco Command and Control (C2), generando report privi di falsi positivi e completi di Remediation Plan e molto altro.

È stato pensato come strumento in grado di simulare, in totale automazione, un sofisticato attacco informatico all’interno di un’infrastruttura IT, basata su MS Active Directory, per testare la reale efficienza dei sistemi difensivi in essa implementati, inclusa la capacità di reazione del SOC (Security Operation Center) o di qualsiasi altro elemento atto alla difesa della rete.

Chi sono i principali attori che possono beneficiare dei servizi derivati dall’uso di ZAIUX® Evo?

MSP
Prima di tutto è doveroso definire il concetto di MSP che, letteralmente, significa Managed Service Provider. Un MSP è tipicamente un’azienda che eroga servizi informatici in modalità gestita e proattiva, in contrasto con l’antica logica “Break/Fix” che ha caratterizzato per anni la modalità operativa del mercato dei System Integrator.
In un normale MSP spesso non esistono competenze interne rivolte verticalmente alla cybersecurity, specialmente riferite alla parte offensiva. In questo scenario l’MSP può trovare in ZAIUX® Evo l’alleato giusto per offrire servizi a valore e generare nuove opportunità di business eseguendolo sulle reti dei propri clienti, al fine di verificarne lo stato di salute della postura difensiva ed offrendo poi una consulenza ulteriore per l’applicazione dei remediation plan suggeriti da ZAIUX® Evo. In questo scenario l’MSP acquista le licenze di ZAIUX® Evo, intestandosele e rivendendone la consulenza derivata dall’utilizzo della soluzione sulle reti target, senza vendere la licenza al cliente finale.

MSSP specializzati in Cybersecurity
Un MSSP (Managed Security Service Provider) è tipicamente un’azienda assimilabile ad un MSP come modello organizzativo, ma con il Core Business basato sulla sicurezza informatica. Essi normalmente svolgono attività proattive per l’erogazione di servizi di monitoraggio degli eventi, tipici ad esempio di un SOC (Security Operation Center) ma testano anche la postura delle difese grazie ad attività di simulazione d’attacco, talvolta affidate ad hacker etici o a soluzioni software semi-automatiche.

In questi casi l’MSSP potrebbe adottare ZAIUX® Evo con doppia valenza, ovvero:

Utilizzarlo, anche con ricorsività, per avere uno screening della rete.
Simulare un Breach & Attack per verificare i tempi di reazione di chi fa monitoraggio.

System & Service Integrators
Un System Integrator è un consulente o un’azienda che si occupa dell’integrazione di sistemi per ottimizzare la convivenza di elementi differenti all’interno di una rete informatica complessa. Tipicamente, i clienti dei System Integrators richiedono una vasta gamma di tipologie di servizi cercando in loro anche competenze Cyber che, talvolta, non sono presenti al loro interno.

In questo caso ZAIUX® Evo potrebbe venire in loro aiuto poiché il suo impiego all’interno della rete target non richiede alcuna competenza sugli ambiti tipici del mondo Cyber offensivo. In questo modo potranno eseguire in autonomia, e senza ricorrere a costose consulenze esterne, un BAS (Breach & Attack Simulation) offrendo quindi un prezioso servizio a valore aggiunto per i loro clienti, differenziandosi sul mercato come fornitori di innovazione cyber.

Red Teams
Solitamente, le aziende che offrono servizi di Red Team, sono composte da squadre di hacker etici, tipicamente “puristi” delle tecniche offensive manuali e amanti dell’artigianalità finalizzata al bypass delle soluzioni difensive presenti nella rete target. Si potrebbe immaginare che questi attori siano i più scettici nel valutare positivamente l’impiego di ZAIUX® Evo, per via della sua natura legata all’automazione totale, da loro non controllabile. In molti casi invece, alcuni Red Teams, hanno trovato molto utile l’utilizzo di ZAIUX® Evo come passo iniziale durante un’attività manuale di Internal Penetration Test. Utilizzano quindi il report prodotto da ZAIUX® Evo come punto di partenza dal quale poi continuare le attività di analisi e di attacco ulteriori, ottenendo vantaggi in termini di tempi di esecuzione.

Aziende di medie e grandi dimensioni
Tutte le organizzazioni che dispongono di un reparto interno dedicato alla Cyber (tipicamente non le SMB) trovano utile l’utilizzo ricorsivo di ZAIUX® Evo all’interno della loro rete, anche senza appoggiarsi ad un MSSP esterno. Lo scenario tipico in quest’ambito porta l’azienda ad eseguire ricorsivamente più test durante l’anno, anche a cadenza mensile, per verificare con frequenza lo stato di sicurezza della loro rete. In questo caso la licenza di ZAIUX® Evo sarebbe venduta direttamente all’azienda finale, utilizzatrice della soluzione internamente.

Articolo originale

Foto di Fotis Fotopoulos su Unsplash

I gruppi ransomware mietono vittime tra le multinazionali americane

I gruppi ransomware mietono vittime tra le multinazionali americane

Articolo di AJ Vicens per CyberScoop

All’inizio di questo mese, il colosso americano della difesa Boeing si è unito a uno dei club aziendali in più rapida crescita in America: le aziende che sono state violate da una nuova generazione di criminali informatici sempre più sfacciati.

La scorsa settimana, la squadra di hacker che si fa chiamare LockBit ha postato circa 43 gigabyte di dati aziendali appartenenti alle attività di distribuzione e componentistica di Boeing, ma quella era solo una di una serie di violazioni che hanno colpito le principali società statunitensi – aziende che in teoria dovrebbero avere difese abbastanza mature – perpetrati da hacker legati al mondo criminale informatico clandestino noto come Com , ALPHV , LockBit e Lapsus$ .

Tra le loro vittime ci sono Boeing, Clorox, Caesars Entertainment, Microsoft, MGM Resorts, Nvidia, Samsung, Okta e la Banca industriale e commerciale cinese (ICBC).

Reclamando vittime dopo vittime nel panorama aziendale americano, questi gruppi di hacker riescono a violare aziende dotate di risorse quasi a piacimento, rubando dati, estorcendo vittime e svergognandole lungo il percorso.

“È una specie di colpo di fulmine, nel senso che se vogliono inseguirti, probabilmente avranno un bel po’ di successo, per la maggior parte delle aziende”, ha affermato Tom Uren , ex membro dell’Australian Signals Directorate e attuale redattore. con notizie sulla sicurezza informatica di Seriously Risky Business. “Il problema è solo se ti hanno nel mirino.”

Martedì, la Cybersecurity and Infrastructure Security Agency, l’FBI e l’agenzia australiana di intelligence dei segnali hanno pubblicato un avviso redatto con il contributo di Boeing che descrive come LockBit sia riuscito a penetrare nell’appaltatore della difesa.

Secondo l’avviso, gli affiliati LockBit hanno sfruttato una vulnerabilità di Citrix tracciata come CVE-2023-4966 e “Citrix Bleed” che è stata sfruttata per la prima volta in agosto, secondo Mandiant . Secondo il ricercatore Kevin Beaumont, questa vulnerabilità è stata ampiamente sfruttata da diversi gruppi di ransomware per prendere di mira un importante studio legale e un’importante compagnia di spedizioni australiana ed è stata utilizzata per violare l’ICBC .

La violazione della ICBC ha provocato interruzioni nel mercato del Tesoro statunitense, un perno del sistema finanziario globale.

Citrix ha rivelato la vulnerabilità il 10 ottobre e ha rilasciato le patch poco dopo, ma la vulnerabilità continua ad essere sfruttata. La CISA ha notificato quasi 300 organizzazioni potenzialmente vulnerabili all’exploit, ha detto martedì un alto funzionario della CISA, anche se probabilmente ci sono altre organizzazioni vulnerabili.

Secondo i dati raccolti da GreyNoise, una società che tiene traccia delle attività dannose online, a partire da martedì ci sono quasi 360 host attivi che potrebbero lavorare per sfruttare la vulnerabilità .

L’incapacità di correggere vulnerabilità diffuse come queste ha creato un panorama criminale informatico redditizio per gruppi come LockBit, che si riferisce al nome collettivo della variante ransomware, al gruppo che la sviluppa e la mantiene e ai loro affiliati. Il gruppo ha effettuato più di 1.400 attacchi contro vittime negli Stati Uniti e in tutto il mondo da gennaio 2020, ha detto martedì un alto funzionario dell’FBI, chiedendo almeno 100 milioni di dollari in richieste di riscatto e raccogliendo decine di milioni di riscatti dalle vittime.

In assenza di azioni da parte delle forze dell’ordine contro questi hacker criminali, non c’è motivo di credere che questi attacchi cesseranno presto. L’FBI ha intrapreso “alcune azioni fino ad oggi specificatamente contro LockBit e continua a perseguire opportunità di applicazione delle norme quando e dove possiamo intraprenderle”, ha affermato l’alto funzionario dell’FBI.

Da anni gli esperti di sicurezza informatica consigliano alle aziende di seguire i protocolli igienici di base della sicurezza informatica e, dicono gli esperti, la situazione è migliorata. Ma i maggiori successi di LockBit e altri negli ultimi tempi dimostrano che c’è ancora molta strada da fare per quanto riguarda gli aspetti fondamentali, come l’applicazione di patch a software e sistemi vulnerabili.

“I controlli messi in atto dalla maggior parte delle organizzazioni per proteggere i propri dati, come [la prevenzione della perdita di dati], sembrano fallire con gravi conseguenze”, ha affermato Allan Liska, analista di intelligence di Recorded Future. “Ma non sono solo i dati all’interno della rete di un’organizzazione a preoccupare. I gruppi ransomware sono in grado di estrarre dati dal tuo cloud, dai cloud dei tuoi fornitori, dai cloud dei tuoi fornitori e così via.”

Le organizzazioni devono migliorare il monitoraggio e il controllo dell’intera catena di fornitura dei dati, ha affermato, perché “ai gruppi di ransomware non interessa da dove ottengono i tuoi dati, si preoccupano solo di averli e di poterli utilizzare per estorcerti”.

Anche se le aziende hanno migliorato le proprie difese, una serie di recenti attacchi di alto profilo sono attacchi di ingegneria sociale che i moderni sistemi di sicurezza faticano a prevenire. Questi attacchi comportano chiamate a strutture come gli help desk IT, dove le persone che controllano l’accesso a un sistema o a una rete vengono convinte telefonicamente a rinunciare alle credenziali.

Un recente rapporto di Coveware , un’azienda specializzata nella risposta agli incidenti di estorsione informatica, ha rilevato che gli help desk IT sono progettati per risolvere rapidamente i problemi dei clienti e che questo sta creando una via facile per gli aggressori.

“In molti dei casi che abbiamo studiato, era chiaro che gli incentivi del team di supporto IT (velocità di risoluzione) favorivano l’ingegneria sociale”, ha scritto Coveware. “Questo non è un problema facile da risolvere, ma elogiamo le imprese che hanno mitigato i rischi. Queste soluzioni hanno comportato un aumento dei costi e una lieve svalutazione dell’esperienza dei dipendenti e delle parti interessate, per motivi di sicurezza”.

Jon DiMaggio, il capo stratega della sicurezza di Analyst1 che ha scritto ampiamente sul funzionamento interno di LockBit , ha affermato che mentre ci sono solo pochi gruppi con “abilità, talento e capacità creativa per eseguire alcuni di questi attacchi più avanzati”, questi equipaggi , in particolare quelli associati agli attacchi AlphV, stanno diventando molto più bravi nell’ingegneria sociale.

Molte grandi aziende hanno ancora problemi con le basi della sicurezza informatica, ha affermato DiMaggio, per non parlare della creazione di help desk difficili da manipolare. “È dura, ma devono cambiare”, ha detto DiMaggio. “Cercare di concentrarsi sull’aiutare le persone e aiutare i propri clienti non può più essere sempre il numero uno.”

Ciò potrebbe rallentare i tempi di risposta, ha osservato, ma è “molto meglio che dover perdere enormi quantità di denaro, vedere la propria reputazione distrutta e tutto il resto”.

Link a Post Originale di AJ Vicens

Pagina Greynoise sul sito DotForce

L’importanza di quantificare il rischio Cyber nei processi decisionali

L’importanza di quantificare il rischio Cyber nei processi decisionali

Quando si prendono decisioni sulla sicurezza informatica, come “dove investire i miei fondi”, i CISO, gli executive e i consigli di amministrazione si affidano a vari spunti e dati. La quantificazione del rischio cibernetico (CRQ) consente ai decision-maker di prendere decisioni basate sui dati, obiettive e difendibili e facilita discussioni più efficaci tra il CISO e i leader aziendali.

Se si vogliono prendere decisioni aziendali il più informate possibile, l’analisi quantitativa del rischio è uno strumento essenziale. Approfondiamo questo concetto e come si possa per prendere decisioni sulla sicurezza informatica basate sui dati.

Cos’è la Quantificazione del Rischio Cibernetico e perché è importante?

La quantificazione del rischio misura i rischi di un’organizzazione nei medesimi termini finanziari utilizzati per prendere decisioni aziendali, mentre l’analisi qualitativa del rischio offre approfondimenti più soggettivi sulle caratteristiche dei rischi. L’analisi quantitativa è più rigorosa e completa, fornendo approfondimenti dettagliati e dati praticabili. Il CRQ utilizza una combinazione di dati e analisi per contestualizzare gli asset aziendali e produrre risultati quantitativi attraverso dashboard, visualizzazioni e report.

La quantificazione del rischio nella sicurezza informatica mira a rispondere a domande come:

  • Qual è il costo potenziale di una violazione dei dati per la nostra organizzazione?
  • Quanto costerebbe ridurre il rischio di una determinata quantità?
  • Come devo prioritizzare la rimozione di esposizioni entro i limiti delle risorse disponibili?

Alcuni dei motivi più comuni per cui le aziende quantificano il rischio nella sicurezza informatica sono fornire i mezzi per facilitare le discussioni sul rischio cibernetico, ridurre al minimo le perdite per l’azienda dovute a eventi cibernetici e rispondere ai requisiti normativi in settori fortemente regolamentati e nelle società quotate in borsa.

I Benefici della Quantificazione del Rischio Cibernetico

Ecco alcuni motivi per cui è necessario quantificare i rischi della sicurezza informatica:

Analisi oggettiva basata sui dati
Mentre le valutazioni qualitative hanno avuto il loro posto, la sicurezza informatica è complessa. La quantificazione fornisce risultati oggettivi, consentendo confronti diretti tra settori, tra pari e tra linee di business. Non è necessario indovinare cosa intenda qualcuno o determinare i loro criteri per etichettare qualcosa come “rischio elevato”. Minimizza la confusione fornendo oggettività e chiarisce interpretazioni diverse, incomprensioni e mancanze di comunicazione.

Sebbene gran parte della quantificazione del rischio si concentri sull’impatto finanziario (o perdita) di un evento, può anche fornire preziosi approfondimenti sull’esposizione finanziaria di altre aree aziendali, come le operazioni. Ad esempio, aiuta a rispondere a domande come “Quali sono le applicazioni più critiche per l’azienda e perché?” e “Quali vulnerabilità rappresentano veramente un rischio critico per l’azienda?”.

Miglioramento della comunicazione
Il CRQ aiuta le parti interessate a allinearsi grazie alla chiarezza delle informazioni disponibili. La sicurezza informatica può sembrare spesso nebulosa e vaga a persone che non hanno una conoscenza ed una comprensione esperte, il che è problematico dato che la sicurezza informatica è così varia, estesa e complessa. Le persone spesso faticano a comunicarne efficacemente la complessità e l’impatto sul business, il che può ridurre l’efficacia delle esigenze di sicurezza informatica, portando a decisioni non allineate o, nel peggiore dei casi, sbagliate. Il CRQ traduce i rischi informatici in termini finanziari comprensibili per dirigenti, leader e altre persone.

Con una migliore comunicazione, le parti interessate possono prendere decisioni ben allineate e meglio informate che trasmettono adeguatamente i rischi della sicurezza informatica. Con il CRQ, sono ora in grado di discutere delle minacce in un modo che ha senso per tutti, indipendentemente dal loro livello di conoscenza o comprensione del panorama della sicurezza informatica. Ad esempio, gli executive possono capire facilmente quanto sia importante un investimento in una nuova soluzione di rilevamento e risposta alle minacce a causa dell’esposizione finanziaria introdotta dalle carenze nella soluzione attualmente implementata. Mentre il concetto di “rischio elevato” è in qualche modo soggettivo, una valutazione quantitativa mostra i costi stimati che una violazione della sicurezza imporrebbe all’organizzazione e facilita discussioni più significative sull’impatto della sicurezza informatica sul business e su come investire in una nuova soluzione sarebbe vantaggioso dal punto di vista economico per l’azienda.

Aggregazione dei rischi dinamici o a livello generale
I rischi della sicurezza informatica aumentano costantemente a causa dell’adozione di nuove tecnologie e servizi, creando più esposizioni nella superficie di attacco dell’azienda che vengono sfruttate da un numero crescente, sofisticato e persistente di attori minacciosi con diverse motivazioni. La complessità di un ambiente aziendale rende la quantificazione un modo efficace per valutare tutte le minacce che potrebbero concretizzarsi come rischi. Aggregare le conclusioni qualitative per vedere i loro effetti cumulativi è quasi impossibile in modo accurato che guidi l’azione. L’analisi quantitativa fornisce un modo pratico per aggregare e comprendere l’esposizione finanziaria dei rischi informatici in tutta l’organizzazione.

Prioritizzazione informata
Ogni organizzazione ha rischi, e alcune ne hanno più di altre. Se così non fosse, non sarebbero in attività. L’analisi quantitativa fornisce i dettagli necessari per comprendere e dare priorità ai rischi più impattanti per l’azienda. Sposta il focus dalla valutazione soggettiva a metriche che guidano il business e sono facilmente prioritizzate per esposizione finanziaria. Inoltre, le organizzazioni possono incorporare il costo delle rimozioni dei rischi per guidare la prioritizzazione attraverso il Ritorno sugli Investimenti (ROI). La quantificazione del rischio fornisce dati pratici, riducendo l’emozione e l’attrito durante la discussione dei rischi informatici.

Comprendi il costo dei rischi informatici con ThreatConnect Risk Quantifier (RQ)

La quantificazione del rischio non deve essere un processo complesso e lungo. La soluzione Risk Quantifier (RQ) di ThreatConnect produce rapidamente informazioni praticabili per migliorare la presa di decisioni e le comunicazioni. La soluzione richiede un’implementazione minima in quanto svolge tutto il lavoro pesante e produce rapidamente risultati che è possibile valutare e criticare. Se hai già iniziato il tuo percorso di quantificazione del rischio informatico utilizzando il modello FAIR, RQ ti consente di continuare a utilizzare il tuo approccio preferito e fornisce due modelli aggiuntivi (FAIR semi-automatizzato e machine learning) che si adattano alla tua organizzazione man mano che le tue esigenze CRQ evolvono.

Cyber Escalation nel conflitto moderno: esplorazione di quattro possibili fasi del campo di battaglia digitale

Cyber Escalation nel conflitto moderno: esplorazione di quattro possibili fasi del campo di battaglia digitale

Esploriamo con Flashpoint quattro fasi della guerra cibernetica nei conflitti moderni come Israele-Hamas e Russia-Ucraina, comprendendo le minacce in evoluzione sia nei campi di battaglia virtuali che fisici.

Il 7 ottobre, a seguito dell’inaspettato attacco di Hamas contro Israele, diversi attori cibernetici si sono rivolti ai social media sia per condannare che per sostenere gli attacchi. Poco dopo, gli hacktivist sono entrati in azione, impegnandosi in defacement e attacchi Distribuited Denial of Service (DDoS) su vari siti web israeliani e palestinesi. Sebbene il contesto di questi attacchi sia unico nella Guerra Israele-Hamas, riflettono in generale uno schema che abbiamo precedentemente osservato in altri conflitti militari moderni. Questi modelli meritano un’attenzione più approfondita.

In mezzo alla Guerra Israele-Hamas, è emerso un campo di battaglia digitale che ripete schemi già visti in conflitti precedenti come la Guerra Russia-Ucraina. Questa esplorazione approfondisce le complessità di quattro possibili ondate di cyber attacchi e ciberterrorismo. Queste fasi non solo illustrano la natura in evoluzione delle minacce informatiche, ma offuscano anche i confini tra i campi di battaglia virtuali e fisici. Nonostante la guerra stia ancora evolvendo a un ritmo veloce, prevediamo che il ruolo della guerra cibernetica possa svolgersi in modo simile alla Guerra Russia-Ucraina e dimostrare le seguenti quattro fasi.

Analizzeremo le seguenti fasi:

  • Fase 1: Aumento della Scala e dell’Impatto degli Attacchi
    In questa fase iniziale, gli attacchi aumentano in portata, evolvendo da hashtag a defacement e attacchi di tipo distributed denial-of-service (DDoS).
  • Fase 2: Ampliamento dei Bersagli e Attacchi Più Sophisticati
    L’emergere di attori minaccia cibernetica proxy legati agli Stati porta tipicamente a strategie di targeting più sofisticate, compreso il ciberterrorismo.
  • Fase 3: Operazioni di Ransomware e Bandiere False
    Gruppi di ransomware e tattiche ingannevoli diventano parte del panorama cibernetico, influenzando infrastrutture virtuali e fisiche, oltre alla percezione pubblica.
  • Fase 4: Coordinamento con Operazioni Cinetiche
    Gli attacchi informatici sono strettamente coordinati con operazioni cinetiche, influenzando non solo gli aspetti virtuali, ma anche quelli fisici del conflitto armato.

Le quattro fasi della guerra cibernetica

Sebbene i confini tra ciascuna delle seguenti fasi possano sfumare, notando ulteriormente che potrebbero non verificarsi in un ordine specifico e potrebbero sovrapporsi, queste fasi possono contribuire a caratterizzare la tipica progressione della guerra cibernetica tra gruppi statali e non statali.

Fase 1
Aumento della scala e dell’impatto degli attacchi informatici

Il 7 ottobre, a seguito dell’inaspettato attacco di Hamas contro Israele, una serie di attori cibernetici si sono rivolti ai social media, condannando e elogiando le azioni di Hamas. Poco dopo, gli hacktivist si sono uniti attraverso defacements e attacchi di denial of service (DDoS) su vari domini di siti web israeliani e palestinesi.

Gli attacchi iniziali sono iniziati con hashtag che esprimevano sostegno per entrambe le parti. Questa fase è stata intensificata per includere defacements di domini di alto livello (TLD) dei governi israeliani e palestinesi ed è stata estesa alle aziende che operano in queste regioni. Gli hacktivist hanno condiviso strumenti DDoS open-source. Il targeting si è ampliato per includere partner diplomatici di entrambe le parti, riflettendo gli attacchi precedenti contro entità occidentali durante la guerra Russia-Ucraina.

Fase 2
Ampliamento del targeting, maggior sofisticazione

Numerosi gruppi di hacktivist che giurano fedeltà sia alle cause pro-Israele che pro-Hamas sono noti per comunicare attraverso canali online, tra cui Telegram e X (precedentemente Twitter). Non è completamente trasparente fino a che punto questi gruppi stiano coordinando attacchi informatici o ciberterrorismo in relazione al conflitto in corso. Tuttavia, collettivi di hacktivist noti, come Anonymous Sudan e Killnet, hanno dichiarato pubblicamente la loro partecipazione a offensive informatiche contro obiettivi nei territori israeliani e palestinesi.

Anche gruppi di Minacce Persistenti Avanzate (APTs) giocano un ruolo significativo nel conflitto Russia-Ucraina. Tuttavia, avversari supportati dallo stato, che agiscono autonomamente ma con l’approvazione del governo, sono emersi. Non è chiaro in che misura ci sia una coordinazione tra questi gruppi e le agenzie di intelligence statali. Questi gruppi intermedi fornivano una negabilità plausibile ai loro governi ospitanti. Esempi includono Killnet e Anonymous Sudan, che avevano precedentemente preso di mira entità occidentali durante la guerra Russia-Ucraina.

Fase 3
Bandiere false e operazioni di ransomware

Oltre a gruppi proxy e avversari supportati dallo stato, sono intervenuti nel conflitto anche gruppi di ransomware. Killnet ha dichiarato di allinearsi con membri del gruppo di ransomware REvil, e altri avversari come “T.Y.G Team – 1915 Team” hanno affermato di utilizzare attacchi di ransomware contro Israele, possibilmente sfruttando il proprio ransomware come “Gaza Digital Storm”. Ciò ha attirato affiliati e broker di accesso iniziale con apparente accesso alle infrastrutture israeliane e palestinesi.

La Tecnologia Operativa (OT) e le Infrastrutture Critiche all’interno di Israele vengono già indicate come bersagli. Settori delle infrastrutture critiche come le Telecomunicazioni/Comando e Controllo, il Petrolio, il Lubrificante e l’Elettricità sono spesso presi di mira in importanti conflitti militari convenzionali. Pertanto, se Israele sta conducendo operazioni di guerra cibernetica o militare all’interno di Gaza, ci si dovrebbe aspettare che parti delle infrastrutture critiche siano bersagliate nelle fasi iniziali. Questo targeting, reale o percepito, può influenzare la progressione della guerra.

Ad esempio, i “Cyber Av3ngers” hanno dichiarato di aver hackerato con successo la centrale elettrica di Dorad. Questo attacco era stato precedentemente associato a un gruppo sponsorizzato, forse, dallo stato iraniano denominato “Moses Staff”, che a sua volta era stato collegato al gruppo iraniano “Abraham’s Ax”.

Questo incidente, successivamente smentito su piattaforme di social media, potrebbe essere stato prematuramente considerato come un avvertimento. Tuttavia, sottolinea anche che tali gruppi perseguono obiettivi oltre la semplice interruzione; mirano a attirare l’attenzione, coltivare notorietà o suscitare paura, incertezza e dubbio (FUD).

“SiegedSec”, un altro gruppo di hacktivist attivo durante la guerra Russia-Ucraina, ha dichiarato anche attacchi di denial of service contro le infrastrutture israeliane con “Anonymous Sudan”. In Israele, Anonymous Sudan ha anche affermato di aver condotto attacchi di denial-of-service distribuiti (DDoS) sulle app “tzevaadom” e “Red Alert”. Predatory Sparrow (noto anche come Gonjeshke Darande), un gruppo di hacktivist che parla inglese e persiano, è stato responsabile di alcuni degli attacchi informatici più sofisticati, disruptivi e distruttivi contro l’Iran degli ultimi dieci anni, con sospetti di essere uno stato opposto all’Iran. Il gruppo è riemerso su Telegram poco dopo l’inizio della guerra Israele-Hamas, annunciando il loro ritorno.

Fase 4
Coordinazione con operazioni cinetiche

Nella fase iniziale dell’invasione dell’Ucraina nel febbraio 2022, gli attacchi principali di malware wiper contro i sistemi governativi ucraini sono coincisi strettamente con il momento dei bombardamenti russi e degli spostamenti delle truppe. È probabile che, mentre la guerra Israele-Hamas continua, ci possa essere una simile coordinazione con operazioni cinetiche, sia precedendo gli attacchi che avvenendo contemporaneamente.

La coordinazione tra operazioni cibernetiche e cinetiche è probabile che aumenti man mano che la guerra Israele-Hamas prosegue. Potrebbero esserci tentativi di interrompere l’accesso a Internet, simili alle fasi iniziali dell’invasione russa dell’Ucraina. Sono previsti ulteriori attacchi alle infrastrutture, alla connettività e potenziali mira alla Tecnologia Operativa (OT).

Le best practice cyber per le aziende in tempi di guerra moderna

In mezzo alle sfide che sorgono in tempi di conflitto moderno, le aziende devono dare la massima priorità alla sicurezza delle loro operazioni, risorse e dipendenti. Le guerre in corso tra Israele e Hamas, e tra Russia e Ucraina, insieme alla natura in evoluzione delle minacce informatiche e alla loro interconnessione con il mondo fisico, offrono preziosi spunti per costruire la resilienza. Abbracciare queste pratiche e rimanere vigili contro le minacce informatiche può garantire una maggiore sicurezza, resilienza e la capacità di prosperare anche durante i conflitti.

Domaintools: il nuovo report mostra i dati aggregati sul conteggio di tutti gli indirizzi IPv4 su Internet

Domaintools: il nuovo report mostra i dati aggregati sul conteggio di tutti gli indirizzi IPv4 su Internet

La curiosità su Internet è nel nostro DNA. La missione di DomainTools è “Mappare Internet per rilevare e prevedere minacce emergenti”.

Farsight Security, ora parte di DomainTools, ha precedentemente riportato sia sui nomi di dominio che sugli indirizzi IP visti in Farsight DNSDB. Tuttavia, lo studio più recente sugli indirizzi IPv4 (risalente al lontano 2017) ha esaminato solo la copertura/visibilità, non l’utilizzo/volume.

Molte cose sono cambiate da allora, compresa l’espansione della nostra rete di sensori e l’esaurimento efficace delle piscine di indirizzi IPv4 disponibili presso ARIN, RIPE NCC, APNIC e gli altri registri regionali. Alla luce di questi cambiamenti, cosa vediamo per l’utilizzo dello spazio degli indirizzi IPv4 assegnato/allocato agli utenti di Internet nel mondo?

Qui, aggiorniamo ed estendiamo lo studio precedente per concentrarci sui conteggi aggregati di cache miss osservati per ciascun netblock /24 per l’intero spazio degli indirizzi IPv4 di Internet (vedi grafico sopra). Quell’immagine rappresenta i totali per oltre 16,7 milioni di query di riepilogo /24 di dnsdbq, limitate a un periodo di 90 giorni. Le aree con i conteggi di osservazioni più elevati sono colorate in “giallo caldo”, mentre le aree con conteggi di osservazioni più bassi sono in “viola freddo”.

Alcuni netblock /24 presentano conteggi aggregati insolitamente elevati, compresi conteggi di cache miss aggregati superiori a 175 miliardi. Approfondiamo alcuni di questi “pesi massimi”, riportando sui domini che sembrano contribuire maggiormente a quei grandi conteggi di cache miss.

All’altro estremo dello “spettro di conteggio aggregato di cache miss”, scopriamo che oltre il 75% di tutti i netblock /24 ha conteggi aggregati di cache miss di 100 o meno.

Sono forniti diagrammi a violino e curve di Hilbert individuali per ciascun IPv4 /8 per coloro che desiderano approfondire ulteriormente.

Diagrammi a violino per l’intervallo di indirizzi IP da 80.0.0.0/8 a 89.0.0.0/8, mostrando la distribuzione dei conteggi osservati in ciascun /8.
(Un punteggio di 2 sull’asse verticale rappresenta 10^2 o 100, mentre un 9 sull’asse verticale rappresenta un conteggio di 10^9 o 1.000.000.000).

La curva di Hilbert nella parte superiore di questo pezzo mostrava la Curva di Hilbert per l’intero Internet IPv4. Questa curva “approfondisce” o “ingrandisce” la curva di Hilbert solo per 88.0.0.0/8, un /8 rappresentativo.

Questo report introduce e dimostra il valore delle migliorie alla segnalazione dei metadati di query nel client DNSDB a riga di comando dell’azienda, dnsdbq, quando dnsdbq viene utilizzato per query bulk di questo tipo.

Per evitare equivoci, questo rapporto NON afferma di descrivere lo spazio degli indirizzi IPv4 “più popolare”: i conteggi di cache miss sono fortemente influenzati da fattori come i valori TTL e la memorizzazione nella cache; allo stesso modo, non descrive nemmeno lo spazio degli indirizzi IPv4 “non utilizzato” o “incolto”: solo perché non abbiamo visto traffico per un CIDR non significa che quegli IP non siano in uso. Questo rapporto non divulga neanche dove raccogliamo DNS passivi o le query che i clienti potrebbero avere effettuato contro DNSDB. Mostra semplicemente dove DNSDB ha visto risolvere i record “A” e il volume di tali query di cache miss.

Flashpoint con DotForce per una Threat Intelligence evoluta

Flashpoint con DotForce per una Threat Intelligence evoluta

DotForce e Flashpoint Annunciano un Accordo di Distribuzione

DotForce, distributore specializzato nella cybersecurity ad elevata innovazione tecnologica, è lieta di annunciare la firma di un importante accordo di distribuzione con Flashpoint, un pioniere nel campo della sicurezza informatica. Questo accordo segna una nuova era di partnership strategiche e rafforza la posizione di entrambe le aziende nel mercato globale.

In base a questo accordo, DotForce si occuperà della promozione e distribuzione dei prodotti e delle soluzioni di cyber Threat Intelligence di Flashpoint in Italia, Spagna e Portogallo. Questa collaborazione consentirà a DotForce di ampliare ulteriormente la propria offerta di sicurezza informatica, fornendo ai propri partner l’accesso a soluzioni all’avanguardia per la gestione delle minacce digitali dei loro Clienti.

Flashpoint è ampiamente riconosciuta per le sue soluzioni innovative di threat intelligence e per il suo impegno costante nella protezione delle organizzazioni dalle minacce cibernetiche. Attraverso questa partnership, DotForce potrà offrire soluzioni di sicurezza altamente specializzate che rispondono alle crescenti esigenze di aziende e organizzazioni in tutto il mondo.

Il CEO di DotForce, Fabrizio Bressani, ha commentato: “Siamo entusiasti di questa partnership con Flashpoint. La sicurezza informatica è diventata una priorità assoluta per le aziende di ogni dimensione, e questa collaborazione ci consente di offrire ai nostri clienti soluzioni di intelligence sulla minaccia all’avanguardia. Flashpoint è un nome rispettato nell’industria della sicurezza cibernetica, e siamo ansiosi di contribuire a espandere la loro presenza nei mercati in cui operiamo.

La piattaforma Ignite di FlashPoint permette agli analisti di collaborare e affrontare i rischi in modo più rapido grazie a un’informazione tempestiva e attiva. E’ possibile avere una visione completa dei paesaggi informativi relativi alle minacce cibernetiche, alle vulnerabilità e alla sicurezza fisica. Con Ignite, gli esperti di sicurezza possono collegare i punti tra dati e informazioni per coordinare una risposta più informata ed efficace, ottenendo una visione olistica dei rischi in un unico luogo.

Jason Rivera, Executive Director of Partnerships @ Flashpoint, ha dichiarato: “Questa partnership con DotForce è un passo significativo per Flashpoint nel nostro impegno a proteggere le organizzazioni dalle minacce cibernetiche in evoluzione. Siamo entusiasti di lavorare con DotForce e di portare le nostre soluzioni di intelligence sulla minaccia a un pubblico più ampio, aiutando le organizzazioni a rafforzare la loro sicurezza informatica.”

Questo accordo rappresenta un passo importante nell’obiettivo comune di DotForce e Flashpoint di migliorare la sicurezza digitale a livello globale. Entrambe le aziende sono pronte a iniziare questa nuova fase di collaborazione e a offrire soluzioni di sicurezza informatica all’avanguardia ai propri clienti.

Informazioni su DotForce

DotForce è nata con l’obiettivo di rendere disponibili le tecnologie e le competenze necessarie per tutelare la sicurezza e la privacy di persone, dati ed applicazioni in un mondo IT mobile, sempre connesso ed in costante evoluzione. Facendo leva su di un portafoglio di Cyber Technology completo e integrato, frutto di anni di costanti ricerche di mercato, DotForce è oggi il Value Added Distributor di riferimento per tutti gli operatori professionali (Reseller, VAR, System Integrator, Service Provider) che desiderino offrire ai propri Clienti soluzioni di IT Security & Management allo stato dell’arte: i Partner DotForce. E’ proprio grazie ai nostri Partner che riusciamo a presentare al mercato soluzioni innovative, che indirizzano necessità attuali e future, migliorano la produttività e riducono costi (con il Cloud come grande driver di questo processo), trasformandosi in opportunità di sviluppo commerciali. DotForce sceglie ed è stata scelta da Vendor leader ed emergenti, specializzati e di elevata qualità, scelti per i loro approcci e contenuti innovativi, il loro modello di business esclusivamente orientato al Canale, e particolarmente adatti ad intervenire nel completamento di soluzioni integrate. Le soluzioni DotForce sono in grado di soddisfare le esigenze di sicurezza e di gestione IT delle grandi aziende e della Pubblica Amministrazione Centrale, a completamento di infrastrutture esistenti o come nuove iniziative di sicurezza.

Informazioni su Flashpoint

Con la fiducia di governi, imprese commerciali e istituzioni educative in tutto il mondo, Flashpoint aiuta le organizzazioni a proteggere i propri beni più critici, l’infrastruttura e gli stakeholder dai rischi per la sicurezza come minacce informatiche, ransomware, vulnerabilità, frodi e minacce fisiche. I principali professionisti della sicurezza nelle aree della sicurezza fisica e aziendale, dell’intelligence sulle minacce informatiche (CTI), della gestione delle vulnerabilità e della gestione dei rischi dei fornitori fanno affidamento su Flashpoint per identificare e mitigare proattivamente i rischi e rimanere un passo avanti nel panorama delle minacce in continua evoluzione.

Per saperne di più, visita il sito flashpoint.io o la pagina dedicata a FlashPoint sul sito DotForce.

Perchè la qualità del codice sorgente è importante?

Perchè la qualità del codice sorgente è importante?

Ti trovi nel campo dell’assicurazione della qualità? Ti rendi conto di essere costantemente in reazione a problemi del codice sorgente invece di prevenirli? In tal caso, potresti avere un problema – e un’opportunità – quando si tratta di qualità del codice. In questo articolo, affronteremo cosa significa la qualità del codice sorgente, perché è importante per le squadre di sviluppo software e come Kiuwan può aiutarti a garantire in modo proattivo che la qualità del tuo codice sorgente software sia sicura, portatile, affidabile, manutenibile ed efficiente.

Cos’è la Qualità del Codice?
La qualità del codice va ben oltre l’assenza di bug; essa definisce l’essenza di un software robusto, affidabile e sicuro. Il codice di alta qualità comprende una serie di attributi organici che definiscono collettivamente il calibro del tuo software.

In molte situazioni, “qualità” è un termine soggettivo e vagamente definito, ma questo non lo è. La norma ISO 25000, riconosciuta a livello internazionale per la qualità del software, definisce cinque pilastri critici della qualità: Sicurezza, Portabilità, Affidabilità, Manutenibilità ed Efficienza. Questi pilastri sono le fondamenta di un software eccezionale, e la qualità del codice è il ponte che li collega.

  • Efficienza: Un codice efficiente opera senza intoppi, conservando le risorse del sistema e offrendo prestazioni ottimali. È la differenza tra un’applicazione lenta e una che risponde con velocità fulminea.
  • Manutenibilità: Un codice che è facile da comprendere, modificare e estendere è una testimonianza della sua qualità. Assicura che, man mano che il tuo software evolve, rimanga adattabile e sostenibile.
  • Sicurezza: La sicurezza del tuo software è non negoziabile. La qualità del codice gioca un ruolo fondamentale nell’individuare e mitigare le vulnerabilità, proteggendo la tua applicazione da potenziali minacce.
  • Affidabilità: Un codice affidabile infonde fiducia nella stabilità del tuo software, garantendo un funzionamento prevedibile e costante.
  • Portabilità: Un codice portabile si adatta senza problemi a diversi ambienti, ampliando la portata e l’usabilità della tua applicazione.

Perché è Importante la Qualità del Codice Sorgente
La qualità del codice influenza ogni aspetto di un progetto, e ignorarla può avere conseguenze di vasta portata. Questo non è solo un problema per gli sviluppatori; architetti, project manager e chiunque sia coinvolto nel ciclo di sviluppo del software condividono la responsabilità. Le conseguenze altrimenti possono essere devastanti, non solo in termini finanziari, ma anche in termini di reputazione e fiducia.

Se sei mai stato frustrato da progetti ritardati, costi di sviluppo crescenti e da un ecosistema software che diventa progressivamente più difficile da mantenere, la scarsa qualità del codice è stata un fattore? Questi sono i problemi che di solito si verificano quando la qualità del codice è carente.

In breve, quando gli architetti progettano il software tenendo presente la qualità del codice, quando i project manager la prioritizzano nella pianificazione del progetto e quando i team di assicurazione della qualità la valutano attentamente, il risultato è un software che resiste alla prova del tempo.

La Connessione tra la Qualità del Codice Sorgente e la Sicurezza delle Applicazioni
Ci sono molte cose da considerare nella totalità della “sicurezza delle applicazioni”, e la qualità del codice è un aspetto importante con un ruolo chiave nell’individuare potenziali vulnerabilità e punti deboli nell’armatura del tuo software che gli attaccanti malintenzionati possono sfruttare. Eliminare le vulnerabilità attraverso rigorose misure di qualità del codice è un altro passo per proteggere la tua applicazione dalle minacce alla sicurezza in un panorama digitale sempre più ostile.

Misurare e Migliorare la Qualità del Codice con Kiuwan
Sai che Kiuwan è lo strumento leader nel settore per individuare vulnerabilità e debolezze nel tuo codice sorgente che i hacker potrebbero sfruttare. Ma sapevi che ha anche funzionalità di analisi del codice che possono aiutarti a comprendere e migliorare la qualità del tuo software? In realtà, Kiuwan è allineato con i cinque pilastri della qualità della norma ISO 25000 e garantisce che il tuo software sia efficiente, manutenibile, portabile, sicuro ed affidabile. Vuoi vedere come? Dai un’occhiata a questo blog del supporto che mostra passo dopo passo come migliorare la qualità del codice con Kiuwan.

Articolo originale

Visita la pagina di Kiuwan sul sito DotForce

Perchè la deception technology è oggi un must per le aziende

Perchè la deception technology è oggi un must per le aziende

Intervista di CyberCompare a David Brown, CEO di Countercraft

Potresti innanzitutto descriverci chi è Countercraft e qual è il vostro prodotto?

CounterCraft fornisce informazioni sulle minacce utilizzabili in tempo reale utilizzando la deception technology. A differenza di una tecnologia comparabile, che impiega fino a 270 giorni per fornire le informazioni sulle minacce necessarie a un analista perchè determini se siano rilevanti o meno, CounterCraft fornisce informazioni direttamente generate dagli avversari, in tempo reale, che consentono di implementare immediatamente la remediation.

Si tratta quindi di “tecnologia dell’inganno”. Non è ancora il termine più familiare nel contesto della sicurezza informatica. Perché sta diventando un must-have dal tuo punto di vista?

La Deception fornisce informazioni utilizzabili in tempo reale, con zero falsi positivi, collegate ai sistemi esistenti per consentire la riparazione automatizzata. Può essere distribuito su qualsiasi rete, on-premise, nel cloud, su reti air-gap e in modo rapido.

Qual è l’idea sbagliata che le persone hanno riguardo alla Deception Technology?

Che sono solo honeypot. Le nostre soluzioni vanno ben oltre il termine honeypot degli anni ’80, creando sistemi sofisticati utilizzati dai governi e dalle aziende più importanti del mondo.

Possiamo costruire una deception farm al di fuori della rete aziendale ma che sia rappresentativa di una qualsiasi organizzazione, e quindi indicare in ​​tempo reale, in un formato leggibile dalle macchine, da dove provengono i vostri aggressori, chi sono e cosa stanno tentando di fare su di un sistema come quello reale.

Oppure, possiamo allontanare un avversario dalla tua rete e inserirlo in un ambiente di deception, un “gemello digitale” in cui possiamo studiare il suo comportamento e riferire. Forniamo quindi informazioni utilizzabili in pochi secondi che diranno chi sono gli avversari, da dove provengono, dove sono stati in precedenza sulla rete e quali script hanno eseguito mentre si trovavano nell’ambiente di deception. È possibile isolare il tuo avversario in questo ambiente per mesi, mentre studi il suo comportamento in sicurezza o raccogliere tutte le informazioni necessarie per generare un CVE in meno di 1 giorno lavorativo.

Oltre il 90% delle nostre soluzioni viene fornito in 30 giorni o meno, a differenza di soluzioni comparabili che possono richiedere 12 mesi per essere implementate e anche in quel lasso di tempo raggiungono solo l’80% della rete, lasciando vulnerabili i sistemi generalmente preziosi nel restante 20% .

Hai un risultato recente ottenuto dai tuoi clienti che ti ha impressionato e funge da esempio per la tua soluzione?

Sì, abbiamo collaborato con Red Eléctrica, la società di servizi pubblici spagnola, e loro hanno stipulato un contratto con CounterCraft con l’obiettivo di rilevare le minacce prima che violino la rete. Il nostro team ha creato un rack di comunicazione fisico che imitava la vera sottostazione elettrica. Nel giro di pochi minuti dopo aver collegato la sottostazione a Internet, sono iniziati gli attacchi. Tuttavia, questi tentativi di forza bruta contro VNC, switch telnet e portale web erano tutti rumori provenienti da tentativi di accesso automatizzati, che CounterCraft è riuscito a filtrare. In meno di due settimane è arrivato un avviso ad alta priorità, facile da distinguere da un attacco automatico di basso livello grazie alla sofisticata tecnologia di CounterCraft. Hanno affermato che la nostra tecnologia è il modo migliore a loro disposizione per conoscere gli attacchi a cui potrebbero essere sottoposti e prevenirli. Il caso di studio è disponibile qui. 

Più in generale: qual è il caso d’uso più popolare per la vostra tecnologia?

Disponiamo di oltre 40 casi d’uso per la nostra tecnologia, con campagne personalizzate pronte per l’uso. Detto questo, forniamo soluzioni uniche sul mercato per problemi come minacce interne, movimenti laterali e sicurezza della rete cloud.

Quali aziende dovrebbero esaminare la tua soluzione?

Offriamo soluzioni ai problemi più difficili affrontati da settori come OT, produzione, governo, vendita al dettaglio, telecomunicazioni e sanità. Qualsiasi azienda con un team di sicurezza dedicato dovrebbe utilizzare la Deception Technology. 

Nota dell’editore: il fatto che un articolo menzioni (o non menzioni) un fornitore non rappresenta una raccomandazione di CyberCompare.

Articolo Originale

David Brown
David Brown

CEO, CounterCraft

David Brown è responsabile di tutti i processi di generazione dei ricavi nell’organizzazione. Ha il compito di garantire una stretta integrazione e allineamento tra tutte le funzioni legate alle entrate, tra cui marketing, vendite, assistenza clienti, gestione dei prezzi e delle entrate, nonché la supervisione strategica per la generazione di entrate redditizie a lungo termine. Leader commerciale e commerciale esperto ed entusiasta con oltre 20 anni di esperienza nella gestione delle vendite internazionali, David è esperto nel guidare le aziende attraverso una rapida crescita e nell’IPO o nella vendita commerciale. David ha lavorato con organizzazioni globali in una varietà di settori tra cui sicurezza informatica, servizi finanziari, servizi pubblici, energia, petrolchimico, petrolio e gas, energia, farmaceutico e manifatturiero. Con un’innata capacità di arrivare rapidamente al nocciolo dei problemi, David lavora duramente per apportare valore a tutti e ad ogni situazione. Si sforza di ottenere soluzioni “migliori per tutti” e il suo approccio alle difficili sfide aziendali è sempre logico e focalizzato sull’uomo.

Foto di Hans Veth su Unsplash

Costruire la strada della sicurezza nel settore sanitario

Costruire la strada della sicurezza nel settore sanitario

Ensuring the security and privacy of devices and patient data is one of the biggest challenges in today’s digitized healthcare environments.

eHealth provides unprecedented advantages, especially for healthcare professionals and patients, such as ePrescription, telemedicine, the Internet of Medical Things (IoMT), and remote patient monitoring. But with the increasing number of electronic data and digital endpoints, including medical devices, applications, and remote services, the eHealth environment becomes more susceptible to loss or misuse of data, and attacks on these digital endpoints.

These vulnerability risks become more critical with the increasing adoption of eHealth applications, as patients’ health and personal data are highly sensitive.

To fully leverage the potential of the various eHealth use cases without compromising on security, complete protection is key.

Utimaco provides reliable security offerings dedicated to providing complete protection for all use cases in eHealth

Ensuring that connected environments across hospitals, doctor’s surgeries, medical insurance companies, and further stakeholders are securely protected is as crucial as securing digital patient data while ensuring legal compliance.

Utimaco provides reliable and highly available products and solutions to ensure complete security for all parties within the digital Health industry, including manufacturers, suppliers, hospitals, doctors’ offices, and health insurance companies.

Pick and choose from Utimaco’s cybersecurity portfolio in combination with Professional Services and Support fitting your individual needs.

Download the industry brochure ‘Paving the way to full security in eHealth’ below and discover Utimaco’s complete portfolio!

Il tuo titolo va qui

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

DotForce e Countercraft si alleano per la deception in Italia e Spagna

DotForce e Countercraft si alleano per la deception in Italia e Spagna

CounterCraft ha firmato un accordo di distribuzione con DotForce, uno dei distributori con la maggiore esperienza nel Sud Europa per la ricerca, la distribuzione e l’abilitazione di tecnologie visionarie.

Il prodotto principale di CounterCraft, “The Platform™”, rileva minacce in modo tempestivo, raccoglie intelligence personalizzata e consente alle organizzazioni di difendere i propri dati preziosi in tempo reale.

La tecnologia di Deception di Countercraft si inserisce in maniera perfetta e complementare all’interno del portafoglio di soluzioni Enterprise di DotForce, che è impegnata ad accogliere e abilitare i nuovi partner di canale che desiderano proporre servizi di deception ai propri Clienti.

“CounterCraft è orgogliosa di unirsi a DotForce a causa del valore che porta grazie a un team esperto e motivato”, ha dichiarato Christian Stanford, VP Global Channels di CounterCraft. “La collaborazione ci offrirà accesso a sviluppi di mercato e tecnologia rilevanti, supportati dal lavoro straordinario svolto da DotForce nel supportare l’ingresso dei loro partner in nuovi mercati e nel raggiungere un potenziale di business ad alto margine.”

DotForce è un distributore IT affidabile, e fa parte della catena del valore per lo sviluppo di nuove tecnologie di sicurezza informatica. Attualmente, CounterCraft serve governi e aziende Fortune 2000 in tutto il mondo, mentre il mercato della deception technology continua a crescere a livello globale. La necessità di soluzioni innovative è più alta che mai, poiché i crimini informatici aumentano e le aziende migrano verso il cloud.

“Siamo lieti di aver trovato in CounterCraft un’azienda leader nella deception technology , in grado di offrire un approccio innovativo per i nostri partner”, ha dichiarato Fabrizio Bressani, Amministratore di DotForce. “Lavorando insieme, possiamo offrire soluzioni di sicurezza informatica che soddisfano anche le organizzazioni più esigenti.”

La collaborazione tra DotForce e CounterCraft permetterà ai partner di accedere alla competenza di lunga data di entrambe le aziende per trovare le migliori soluzioni di deception possibili per i propri clienti. Entrambe le aziende hanno un’ampia esperienza nell’implementazione di soluzioni di sicurezza informatica per aziende di tutte le dimensioni.

COUNTERCRAFT
CounterCraft è un’azienda di software che va oltre la rilevazione e la risposta per fornire soluzioni proattive di sicurezza informatica e rilevare gli attacchi in modo più rapido per le principali organizzazioni del mondo. Il loro prodotto principale, CounterCraft The Platform™, arresta costantemente team di hacker, attacchi di phishing mirati, ransomware e minacce interne. Questa piattaforma di inganno distribuita è un leader globale nella difesa attiva, con strumenti che forniscono intelligence in tempo reale e la capacità di interrompere il comportamento degli avversari. La loro tecnologia arresta gli aggressori nelle fasi di ricognizione pre-breach, integra l’intelligence sulle minacce contestualizzata con i flussi di lavoro di risposta agli incidenti e risparmia denaro e tempo aiutando i team di sicurezza a prioritizzare le loro azioni. CounterCraft The Platform è utilizzato con successo in tutto il mondo da aziende Fortune 500 e organizzazioni governative, compreso il Dipartimento della Difesa degli Stati Uniti.

DOTFORCE
DotForce è stata fondata nel 2006 con l’obiettivo di mettere a disposizione le tecnologie e le competenze necessarie per proteggere la sicurezza e la privacy in un mondo IT mobile, sempre connesso e in costante evoluzione. Sfruttando un portafoglio completo e integrato di tecnologie cyber, DotForce è il principale partner a valore aggiunto per professionisti del settore (rivenditori, VAR, integratori di sistemi, fornitori di servizi) che desiderano offrire soluzioni di sicurezza e gestione IT all’avanguardia per le imprese. Queste soluzioni affrontano le esigenze presenti e future, aumentano la produttività e riducono i costi, con un’enfasi particolare sul ruolo centrale del Cloud nell’infrastruttura IT.

Active Risk, l’ultima risk strategy di Rapid7

Active Risk, l’ultima risk strategy di Rapid7

Active Risk utilizza punteggi CVSS, insieme a informazioni provenienti da feed di minacce come AttackerKB, Metasploit, ExploitDB, Project Heisenberg, lista CISA KEV e altre fonti di dark web di terze parti, per fornire ai team di sicurezza punteggi di rischio di vulnerabilità consapevoli delle minacce, su una scala da 0 a 1000. Ora disponibile tramite InsightVM, InsightCloudSec, Nexpose e la nostra Executive Risk View., recentemente rilasciata.

Il rischio cibernetico sta aumentando sia in termini di volume che di velocità. Date le minacce, le debolezze, le vulnerabilità e le configurazioni errate nel panorama attuale, le organizzazioni, i team e gli analisti delle vulnerabilità hanno bisogno di meccanismi di priorità migliori. Ecco perché abbiamo sviluppato una nuova metodologia di valutazione del rischio: Active Risk.

Rapid7 ha offerto per molti anni cinque strategie di gestione del rischio, ognuna con il proprio approccio specifico per evidenziare ciò che conta di più. La nostra sesta strategia di rischio, Active Risk, è progettata per concentrare gli sforzi di sicurezza e di risanamento sulle vulnerabilità che sono attivamente sfruttate nel mondo reale o che hanno maggiori probabilità di essere sfruttate.

Active Risk utilizza i punteggi CVSS insieme a informazioni provenienti da feed di minacce come AttackerKB, Metasploit, ExploitDB, Project Heisenberg, lista CISA KEV e altre fonti di dark web di terze parti per fornire ai team di sicurezza punteggi di rischio di vulnerabilità consapevoli delle minacce su una scala da 0 a 1000.

Active Risk è disponibile tramite InsightVM, InsightCloudSec, Nexpose e la nostra Executive Risk View, recentemente resa disponibile.

L’exploitabilità è diventato uno di quei termini che la comunità della sicurezza ha disprezzato, non per cattiveria, ma semplicemente perché è stato applicato a troppi casi d’uso. L’exploitabilità si riferisce alla facilità con cui una vulnerabilità in un sistema informatico, un’applicazione software o una rete può essere sfruttata.

Questa nuova strategia di rischio è focalizzata sulla fornitura di un’intelligence in tempo quasi reale inequivocabile, includendo sistematicamente una serie di fonti di intelligence sulle minacce per migliorare il punteggio di rischio delle vulnerabilità.

Ci sono diverse fonti di intelligence sulle vulnerabilità che alimentano la prioritizzazione in Active Risk, tra cui:

  1. AttackerKB: Lanciato nel 2020, è un forum per l’intera comunità della sicurezza al fine di condividere informazioni e punti di vista che aiutino a superare tutta l’eccitazione e il caos, con lo scopo principale di informare i professionisti dell’infosec sulle vulnerabilità e le minacce alla sicurezza.
  2. Project Heisenberg: Una rete di honeypot a bassa interazione con un unico scopo, comprendere cosa stanno facendo gli aggressori, i ricercatori e le organizzazioni nei confronti degli ambienti cloud. Questa rete globale, fondata nel 2014 da Rapid7, registra telemetria sulle connessioni e sugli attacchi in ingresso per comprendere meglio le tattiche, le tecniche e le procedure utilizzate da bot e aggressori umani.
  3. Metasploit: il framework per l’hacking etico più ampiamente utilizzato e supportato dalla comunità su questo pianeta, utilizzato da whitehat, ricercatori di sicurezza e specialisti in test di penetrazione, formazione, nonché in esercitazioni CTF, educative e in esercitazioni di valutazione della sicurezza, sia generiche che altamente specializzate.
  4. Exploit Database (exploit-db.com): Un ampio repository online e un punto di riferimento per ricercatori di sicurezza, tester di penetrazione e hacker etici; è diventato una risorsa di riferimento che offre un vasto archivio di exploit e vulnerabilità, consentendo agli utenti di tracciare l’evoluzione delle minacce alla sicurezza nel tempo su software, hardware e sistemi operativi.
  5. CISA Key Exploited Vulnerabilities (KEV) Catalog: Fondato nel 2021 per “fornire una fonte autorevole di vulnerabilità sfruttate ‘nel mondo reale'” da parte dell’Agenzia per la Sicurezza della Cybersecurity e delle Infrastrutture; ha visto un’adozione piuttosto ampia e tempestiva in diverse industrie come metodo per concentrarsi e migliorare la velocità di remediation.

Il valore immediato nell’ingestione e normalizzazione dei dati dell’intelligence sulle minacce da parte di Active Risk da solo incentiverebbe e amplificherebbe l’interesse per una potenziale adozione. Active Risk è anche conforme a CVSS 3.1 per tutte le nuove CVE e si prepara per l’adozione futura dei sistemi di punteggio rivisti (CVSS v4.0 è previsto per essere pubblicato il 31 ottobre 2023). C’è una forte domanda di mercato e un crescente utilizzo e applicazione dell’intelligence sull’exploitabilità, come si vede in CVSS v4.0 e nel CISA KEV, come precedentemente menzionato.

Normalizzare la valutazione del rischio delle vulnerabilità tra ambienti cloud e on-premises

Active Risk normalizza i punteggi di rischio tra ambienti cloud e on-premises per valutare ed interagire efficacemente con i team all’interno di un’organizzazione.

I team di sicurezza possono sfruttare le “dashboard cards” di Active Risk in InsightVM e la “Executive Risk View” nella nostra soluzione Cloud Risk Complete per supportare conversazioni interfunzionali.

Active Risk rappresenta un cambiamento significativo lungo il percorso di miglioramento della prioritizzazione del rischio e il lungo e tortuoso cammino che percorriamo insieme verso risultati migliorati nella gestione del rischio.

Articolo Originale

Per maggiori informazioni sulle soluzioni Rapid7, scrivi a rapid7@dotforce.it

Come scegliere il giusto fornitore di HSM

Come scegliere il giusto fornitore di HSM

La scelta degli Hardware Security Module (HSM) dipende dall’applicazione specifica per cui viene utilizzato. Qui elenchiamo alcune raccomandazioni generali, delineando un elenco di criteri potenziali da considerare, indipendentemente da quale sia l’utilizzo dell’HSM.

Quali servizi di implementazione offre il fornitore?

Nell’analizzare vari fornitori di HSM, vale la pena considerare il loro portfolio e l’assistenza durante l’implementazione. Prima di tutto, assicurati che un fornitore offra una vasta gamma di soluzioni HSM e supporti tutti i tipi di applicazioni. Una vasta gamma di applicazioni generiche e di pagamento ti consente di supportare qualsiasi combinazione di opzioni firmware e software su diversi modelli di distribuzione (on-premises, cloud e ibridi). Ciò ti aiuterà a scegliere una soluzione che soddisfi le esigenze della tua azienda.

Lo sapevi?
L’ultima valutazione competitiva OEM dei Moduli di Sicurezza Hardware di ABI Research ha designato Utimaco come il ‘Top Implementer’ nel mercato degli HSM. Il portfolio di Utimaco offre la gamma più completa e diversificata di soluzioni, servendo tutti i tipi di applicazioni, a tutti i livelli di prezzo (dall’entry-level al top di gamma) e in vari fattori di forma. Secondo il rapporto, ciò è possibile perché Utimaco ha lavorato partendo dalla base di costruire una piattaforma hardware uniforme su cui possono essere aggiunte varie (e multiple) pile firmware e opzioni software, che includono API pronte per il cloud.

Fattori tecnici

Considera quanto segue:

  • Prestazioni – Guarda i fattori di prestazione per ciascun tipo di HSM, ma concentrati specificamente sul tuo caso d’uso: crittografia/decrittografia/generazione/chiusura di chiavi/firme, simmetrica, asimmetrica, EC, ecc. Chiedi dati di prestazione reali, ad esempio per un HSM connesso in rete, informazioni sulla configurazione di rete o per le schede integrate, informazioni sulle specifiche rilasciate dopo il bus PCIe.
  • Scalabilità – Quali sono i fattori limitanti in termini di scalabilità, in relazione alla tua applicazione? Hai bisogno di un numero definito di chiavi memorizzate all’interno dell’HSM? Come potresti aggiungere un altro HSM? Quanto sarebbe facile farlo?
  • Ridondanza – Cosa succede se un HSM si guasta? Quanto influirebbe ciò sulle tue operazioni? Quanto sarebbe facile sostituirlo senza perdita di servizio, ecc.
  • Backup – Come vengono eseguiti i processi di backup e ripristino? Quanto sforzo richiederebbe per la tua organizzazione implementare questi processi? Sei in grado di evitare la perdita irreversibile dei tuoi dati?
  • Supporto API – L’API è il collegamento con il tuo ambiente Application-Host. Ecco alcuni suggerimenti per gestire le domande sulle API supportate:
  1. Microsoft MS CSP/CNG: L’API “standard” di Microsoft è il modo più semplice per connettersi a un HSM quando si utilizza Windows.
  2. JCE: Lo sviluppatore Java “standard”.
  3. PKCS#11: Lo “standard industriale”, ma ci sono alcune insidie come noti problemi di sicurezza ed estensioni proprietarie del fornitore. ATTENZIONE: Le estensioni o meccanismi proprietari del fornitore sono estensioni specifiche del caso d’uso dell’API e non fanno parte dello standard PKCS#11. Ciò aumenterà i costi quando si cambia fornitore.

Software e assistenza

Scegli l’API compatibile con il tuo caso d’uso e sistema operativo. Se stai usando un sistema operativo Microsoft, scegli CNG. Se stai utilizzando un’applicazione che supporta PKCS#11, scegli PKCS#11. Chiedi orientamenti sull’integrazione o guide su come fare.

  • Supporto OS/hardware – Questo richiede di prendere in considerazione diverse questioni. La prima è: quali sistemi operativi sono supportati dalla scheda integrata (PCIe-Driver)? Un’altra questione: quali sistemi operativi sono supportati dall’HSM connesso in rete? Inoltre: quale sistema operativo è supportato dagli strumenti di gestione, ad esempio GUI/linea di comando?
  • Gestione – L’HSM può essere gestito a distanza? Quali funzioni possono essere attivate e controllate a distanza?
  • Programmabilità – La maggior parte del tuo sviluppo sarà dall’altra parte delle API, ma a volte può essere utile avere la possibilità di scrivere applicazioni che girano sul dispositivo, per una maggiore flessibilità o velocità e per specificare la tua API.
  • Sicurezza fisica – Chiediti quanto sia resistente a un attacco fisico diretto la tua soluzione. Se, per qualsiasi motivo, ritieni che sia particolarmente importante, potresti voler cercare “rilevamento e risposta attiva all’effrazione”, oltre che semplice “resistenza e prova passiva all’effrazione”. In alternativa, in termini di FIPS 140-2, cerca la sicurezza fisica di livello 4 FIPS 140-2 o attieniti al convenzionale livello 3 FIPS 140-2.
  • Algoritmi – L’HSM supporta l’algoritmo crittografico che desideri utilizzare, tramite l’API selezionata (primitive, modalità di funzionamento e parametri, ad esempio curve, dimensioni delle chiavi)?
  • Opzioni di autenticazione – password; quorum; n-fattori; smart card; ecc. Almeno dovresti cercare qualcosa che richieda una dimensione del quorum configurabile o utenti autenticati tramite password prima di consentire operazioni tramite l’uso di una chiave.
  • Opzioni di policy – Potresti voler essere in grado di definire politiche, come il controllo del fatto che le chiavi possano essere esportate dall’HSM (avvolte o non criptate); una chiave può essere utilizzata solo per firma/crittografia/decrittografia/…; l’autenticazione è richiesta per la firma, ma non per la verifica, ecc.
  • Capacità di audit – Includendo sia operazioni simili a quelle di un HSM (chiave generata, qualcosa firmata con chiave Y) che la gestione dei problemi di connessione o crash. Quanto sarà facile integrare i log nel tuo sistema di monitoraggio (syslog/snmp/altro accessibile via rete – o almeno output non proprietari)?

Architettura e distribuzione

I Moduli di Sicurezza Hardware possono essere operati in loco, ospitati o come servizio dal cloud.

Le implementazioni in loco offrono le seguenti opzioni:

  • HSM connesso in rete: per implementazioni su larga scala, soprattutto quando più applicazioni/server/client devono utilizzare servizi HSM.
  • HSM integrato (scheda PCIe): questa è una soluzione più economica rispetto agli HSM connessi in rete. È importante notare che questi tipi di soluzioni richiedono una maggiore potenza di elaborazione per eseguire contemporaneamente più applicazioni.
  • HSM containerizzati scalabili: per soluzioni multi-tenant veramente multi-tenant (ad esempio, in piattaforme cloud che operano con account client indipendenti), consentendo di eseguire implementazioni HSM, policy e firmware indipendenti per contenitore. Sconsigliamo vivamente le soluzioni multi-tenant deboli che operano con un unico motore firmware o di policy.

Soluzioni hosted o As-a-Service

  • Le soluzioni hosted o As-a-Service forniscono HSM fisicamente indipendenti nel cloud: questa soluzione offre il più alto livello di protezione fisica contro l’accesso fisico non autorizzato ed è idealmente conforme a FIPS 140-2, livello 4 per cliente. Tuttavia, la scalabilità di tale soluzione è solo al livello dei server fisici distribuiti localmente.
  • Soluzione as-a-service che fornisce HSM condivisi completamente o parzialmente gestiti. Le funzioni di gestione come la gestione delle chiavi possono far parte della soluzione di servizio o potrebbero essere gestite dal cliente in loco o in un diverso cloud.
  • Soluzione as-a-service che fornisce tenant in HSM containerizzato, protetto a livello 3 di FIPS 140-2 per tenant. Tali container forniscono politiche e firmware individuali per tenant e offrono i vantaggi di scalabilità del cloud. Sono al di fuori dell’infrastruttura del provider di servizi cloud (CSP) e preservano il controllo completo del cliente sulle proprie esigenze di crittografia.
  • Utilizzo del cluster HSM del CSP: Consente di beneficiare dei servizi delle piattaforme cloud (tra cui AWS, Azure, Google Cloud). Il controllo delle chiavi è limitato.

Certificazioni

  • Certificazioni – Una delle aree di falsa interpretazione più grandi. Se stai acquistando un prodotto certificato FIPS 140-2 di livello 3, deve passare alla cosiddetta modalità FIPS. La modalità FIPS implica una restrizione a livello di API, una restrizione su algoritmi (lunghezza della chiave, uso, attributi delle chiavi, ecc.). Chiediti quale livello ti serve effettivamente? Di cosa hai bisogno per motivi normativi?
  • FIPS 140-2 – Schema di certificazione da parte del NIST sotto il CMVP. Questo framework è utile poiché conferma che gli algoritmi approvati dal NIST funzionino normalmente e che la loro implementazione abbia superato un test di risposta noto in fase di esecuzione. Per quanto riguarda la sicurezza fisica, un certificato FIPS 140 con sicurezza di livello 3 ti dice che un prodotto soddisfa il requisito di protezione fisica di base, ma non di più!
  • Common Criteria – Le valutazioni dei prodotti possono variare di più in termini di fornitura di garanzie: leggi l’Obiettivo di Sicurezza! Al momento, c’è solo un buon set di Profili di Protezione HSM, quindi dovrai almeno leggere la Definizione del Problema di Sicurezza (minacce e presupposti) per avere un’idea di ciò che la valutazione offre.
  • Altri schemi di certificazione – Come ad esempio PCI-HSM, approvazione DK o NITES (approvazione Singapore CC), questi schemi saranno utili se sei nell’industria pertinente. Oltre alle certificazioni, chiedi referenze specifiche per il tuo settore industriale pertinente o per lo spazio governativo.
    Non fare affidamento solo sulla certificazione ISO nello sviluppo del ciclo di vita del software.

Utimaco è in grado di offrire soluzioni HSM conformi sia a PCI-HSM che a FIPS 140-2 o 3 (o nessuno, se non necessario).

Soft factor

  • Quali servizi di supporto offre il fornitore? Non considerare solo i diversi tipi di opzioni; chiedi informazioni sulla reputazione e su alcuni test!
  • Quali servizi di integrazione offre il fornitore? Se hai requisiti complessi, potrebbe valere la pena coinvolgere il fornitore nel tuo processo di configurazione/programmazione.
  • Qual è l’andamento futuro? C’è un problema che potresti conoscere che si presenterà tra qualche anno?
  • Qual è il paese d’origine (progettazione e produzione)?

Sostituzioni end-of-life

Quando si sostituisce un HSM esistente o fuori produzione, le soluzioni proprietarie potrebbero richiedere la necessità di apportare modifiche a tutte le applicazioni collegate. La soluzione preferibile sarebbe la scelta di un HSM agnostico all’applicazione e cripto-agile, in grado di:

  • Ospitare chiavi e blocchi chiave pertinenti
  • Connettersi a sistemi di gestione chiavi principali
  • Connettersi a applicazioni di grado industriale tipiche con un registro applicazioni documentato

Di conseguenza, le sostituzioni nel contesto dei cicli di servizio saranno rapide, senza richiedere molto investimento in tempo o risorse umane.

Fattori importanti

  • Costo – Come si presenta il costo per unità/i? Qual è il costo per supporto e manutenzione? Cosa è incluso nel prezzo unitario? Paghi per API, ecc.?
  • Tempo di consegna – Sii realistico! Se senti di aver bisogno di un HSM immediatamente, probabilmente stai sottovalutando la complessità di un HSM. Gli HSM non sono prodotti in serie; è richiesta una certa quantità di tempo per fabbricare gli HSM per garantire la qualità

I Microchip, o semplicemente ‘chip’, sono un componente fondamentale di molte attività economiche e si trovano in una gamma di prodotti, dai veicoli agli elettrodomestici ai telefoni cellulari. Gli HSM contengono uno o più chip necessari per eseguire operazioni crittografiche e le recenti carenze di fornitura hanno avuto un impatto sull’economia più ampia.

Utimaco non è stato significativamente influenzato dalla carenza globale di chip che ha interrotto le catene di approvvigionamento a livello globale, e possiamo continuare a fornire beni e servizi affidabili che i nostri clienti si aspettano.

Articolo Originale

Visita la pagina Utimaco sul sito DotForce

Superare la crescente minaccia del session hijacking

Superare la crescente minaccia del session hijacking

Le passkey e l’autenticazione a più fattori non sono sufficienti per combattere il malware infostealer, che può esfiltrare i dati aziendali prima che qualcuno si accorga dell’attacco.

Di Trevor Hilligoss, Direttore senior della ricerca sulla sicurezza, SpyCloud

Dalle passkey all’autenticazione a più fattori (MFA), la maggior parte delle aziende sta adottando soluzioni che proteggono le informazioni sensibili per ridurre al minimo la superficie di attacco e migliorare la posizione di sicurezza informatica. Sebbene questi approcci rappresentino un passo nella giusta direzione, i team di sicurezza dovrebbero riconoscere che potrebbero non essere sufficienti per proteggere completamente i dati degli utenti.

Mentre le aziende implementano nuovi modi per proteggere le proprie reti, i criminali informatici stanno contemporaneamente evolvendo tattiche per aggirare queste difese. I malintenzionati stanno già utilizzando tecniche come il dirottamento delle sessioni e il furto degli account per aggirare passkey e MFA per ottenere l’accesso ai sistemi aziendali . Quel che è peggio è che queste tattiche sono rese possibili principalmente dai dati filtrati dal malware, una delle lacune di sicurezza più difficili da colmare.

Il malware ruba rapidamente e furtivamente grandi quantità di dati di autenticazione accurati, comprese informazioni di identificazione personale (PII) come credenziali di accesso, informazioni finanziarie e cookie di autenticazione, e alcuni malware stanno già iniziando a esfiltrare depositi di chiavi locali come quelli gestiti dai gestori di password, molti di cui hanno iniziato a offrire soluzioni passkey. L’anno scorso, gli autori delle minacce hanno condotto oltre 4 miliardi di tentativi di malware , rendendolo il metodo di attacco informatico preferito. Inoltre, secondo il ” 2023 Annual Identity Exposure Report ” di SpyCloud, lo scorso anno oltre 22 milioni di dispositivi unici sono stati infettati da malware, con i dati rubati che si sono fatti strada verso le reti criminali per essere utilizzati in attacchi che vanno dal dirottamento della sessione al ransomware.

Sebbene i dati sottratti dal malware, compresi gli accessi alle applicazioni aziendali e i cookie per repository di codici, database dei clienti e sistemi finanziari, diventino sempre più importanti per i criminali, i team di sicurezza non hanno ancora la visibilità necessaria per affrontare tali esposizioni. Coloro che capiscono come funziona il malware e come i criminali informatici utilizzano i dati sottratti dal malware per sferrare attacchi successivi sono meglio attrezzati per affrontare la minaccia.

Il session hijacking abilitato dal malware è la grande minaccia
Il session hijacking inizia quando il malware infostealer (spesso distribuito tramite e-mail di phishing o siti Web dannosi) esfiltra i dati del dispositivo e dell’identità dalla macchina infetta e dai suoi browser Web. Sebbene tutti i dati rubati abbiano un certo valore per i criminali, il malware infostealer prende di mira sempre più dati di alto valore, inclusi i cookie.

Quando un utente accede a un sito o a un’applicazione, il server memorizza un token (o cookie) di autenticazione temporaneo in quel browser, consentendo al server di ricordare l’utente per un certo periodo di tempo. Finché il cookie rimane valido, un malintenzionato può importarlo, insieme a dettagli aggiuntivi che imitano il dispositivo e la posizione dell’utente, in un browser anti-rilevamento, dandogli accesso a una sessione già autenticata.

Il dirottamento della sessione è estremamente efficace anche contro i metodi di autenticazione più potenti. Il semplice utilizzo di cookie rubati validi consente ai criminali di saltare completamente il processo di autenticazione senza far scattare segnali di allarme. Ciò consente ai criminali di rimanere nascosti sulle reti aziendali per lunghi periodi, garantendo loro un passaggio gratuito alle informazioni sensibili e la possibilità di rubare dati aggiuntivi o aumentare i privilegi nel tentativo di sferrare attacchi mirati come il ransomware.

I criminali comprendono il potenziale devastante del dirottamento delle sessioni e hanno già creato strumenti come EvilProxy ed Emotet per prendere di mira i cookie di autenticazione. Quindi, cosa possono fare le aziende contro una minaccia che annulla le difese chiave? Sebbene possa sembrare impossibile, esistono nuovi approcci per contribuire a porre fine al ciclo della criminalità informatica.

Non puoi aggiustare ciò che non puoi vedere
Superare la crescente sfida del dirottamento delle sessioni è un compito arduo, ma non impossibile. Uno dei maggiori problemi nella difesa dagli attacchi alimentati dal malware infostealer è la capacità del malware di eludere il rilevamento. Le forme più recenti di malware possono sottrarre dati e cancellarsi in pochi secondi, rendendo difficile per i team di sicurezza sapere se si è verificato un attacco.

Inoltre, il malware infostealer può infettare i dispositivi personali dei dipendenti e quelli degli appaltatori al di fuori della normale competenza del team di sicurezza, rendendo estremamente difficile identificare tutti i casi di esposizione aziendale.

Fortunatamente, entrambe queste preoccupazioni possono essere risolte aumentando la consapevolezza e la visibilità delle minacce. Dopotutto, le organizzazioni non possono difendersi dall’ignoto… I team di sicurezza dovrebbero istruire gli utenti sugli infostealer, su come evitare di scaricarne uno erroneamente su qualsiasi dispositivo che accede alla rete aziendale o ad applicazioni aziendali critiche e su come eliminare regolarmente i cookie memorizzati nel proprio browser.

Per il malware che riesce a sfuggire, capire esattamente quali informazioni sono state rubate può aiutare i team a identificare quali credenziali utente e cookie di autenticazione devono essere riparati. Cancellare il dispositivo infetto non è sufficiente, poiché i dati attivi rubati possono essere utilizzati molto tempo dopo che l’infezione iniziale è stata risolta. Le organizzazioni devono invece identificare i dati compromessi e forzare in modo proattivo l’invalidazione della sessione e la reimpostazione della password per eliminare potenziali punti di ingresso nell’organizzazione.

In definitiva, un processo completo di riparazione del malware dovrebbe basarsi sulla conoscenza di quali dati sono stati sottratti dal malware infostealer. I team IT dovrebbero dare priorità ad approcci e soluzioni che forniscano la maggiore visibilità necessaria per colmare le lacune di sicurezza legate al malware. Una volta acquisite queste informazioni, i team possono adottare misure per affrontare tutte le risorse esposte, inclusi i dati di autenticazione, per proteggere la reputazione dell’azienda e i profitti.

Articolo Originale

Visita la pagina SpyCloud sul sito DotForce

 

I diversi utilizzi degli HSM General Purpose

I diversi utilizzi degli HSM General Purpose

La crittografia sta diventando sempre più cruciale nelle infrastrutture e nelle organizzazioni di varie industrie per numerosi casi d’uso aziendali come i requisiti di Infrastruttura a Chiave Pubblica, la generazione, l’archiviazione e l’elaborazione delle chiavi, i servizi di firma digitale, la sicurezza dei sistemi blockchain, l’autenticazione dei sottoscrittori nelle reti mobili e così via.

Di conseguenza, vi sono una serie di nuovi obblighi e responsabilità legati a come questi segreti vengono elaborati, archiviati e utilizzati, anche in base a regolamenti specifici per ciascun paese.

Gli Hardware Security Module (HSM) non sono solo il metodo più comprovato e sicuro per i casi d’uso crittografici, ma hanno anche soddisfatto nuovi obblighi e responsabilità di mercato per decenni. Gli HSM sono dispositivi fisici che eseguono operazioni crittografiche come la generazione e l’archiviazione delle chiavi, la gestione delle identità e dei database, lo scambio delle chiavi e la crittografia e la decrittografia per garantire la sicurezza dei segreti aziendali.

Gli HSM general purpose di Utimaco per la protezione degli tuoi asset più sensibili

Gli HSM a uso generico di Utimaco sono stati progettati per soddisfare le esigenze e gli standard di una vasta gamma di casi d’uso e segmenti di mercato in modo altamente affidabile e sicuro.

Qui puoi trovare una breve panoramica

Basandosi su oltre 40 anni di esperienza nella sicurezza basata su hardware, Utimaco ha sviluppato e ottimizzato una famiglia di HSM con numerosi modelli che offrono diversi livelli di prestazioni e sicurezza fisica per casi d’uso in aziende, governo e amministrazione pubblica e grandi infrastrutture. Gli HSM soddisfano vari mandati di conformità e regolamentazioni come:

  • eIDAS
  • VS-NfD
  • FIPS
  • GDPR
  • KassenSichV

Articolo Originale

Visita la pagina Utimaco sul sito DotForce

Testare la sicurezza per un’azienda nel settore sanitario

Testare la sicurezza per un’azienda nel settore sanitario

Rapid7 è stata incaricata di condurre un’analisi del sito web di un fornitore operante nel settore sanitario. Questo portale web consentiva ai fornitori di presentare candidature per posizioni lavorative, gestire gli orari, stabilire collegamenti con datori di lavoro in cerca di supporto negli ospedali, richiedere contratti e gestire la documentazione necessaria. Il sito aveva l’obiettivo di accertare la presenza di eventuali vulnerabilità nell’applicazione web, date le personalizzazioni significative apportate al sistema.

Inizialmente, è stata condotta un’analisi dei campi di input al fine di individuare potenziali vulnerabilità. La mancata corretta sanificazione di questi campi potrebbe esporre l’applicazione a rischi di attacchi informatici, come l’iniezione di codice malevolo. Un campo di input può essere qualsiasi spazio in cui sia possibile inserire dati, come ad esempio nome o indirizzo email. Nel corso dell’analisi, è stato individuato un campo che non gestiva correttamente l’input dell’utente: questo, una volta inviato, poteva essere visualizzato da account con privilegi amministrativi.

Sfruttando questa vulnerabilità, è stato attuato un attacco di Cross Site Scripting (XSS), che comporta l’inserimento di codice JavaScript all’interno di un campo vulnerabile. Tale codice viene poi restituito agli utenti, e quando visualizzato, viene eseguito nel browser della vittima. È stato creato un payload XSS che, una volta visualizzato dagli utenti, inviava un token di aggiornamento a un server sotto il nostro controllo. Questo ha consentito di ottenere token amministrativi da account che avevano visualizzato il campo vulnerabile, risultando in un presa di controllo degli account stessi. Inoltre, è stato riscontrato che il token di aggiornamento era configurato erroneamente, consentendo un accesso continuo all’applicazione anche dopo aver ottenuto il token, anche nel caso in cui la password fosse stata cambiata.

L’attenzione è stata poi focalizzata sui problemi legati all’autorizzazione nell’applicazione. Utilizzando un account non privilegiato, è stata individuata una dashboard che consentiva ai fornitori di accedere a documenti in scadenza. Tuttavia, è stato rilevato che la richiesta era vulnerabile a problemi di autorizzazione come Broken Object-Level Authorization e Insecure Direct Object Reference (IDOR). Sfruttando queste debolezze, abbiamo manipolato la richiesta e abbiamo avuto accesso a tutti i documenti caricati dagli utenti, compresi documenti sanitari, informazioni personali, documenti medici e altro.

Proseguendo nell’analisi, è stato scoperto che gli utenti non privilegiati potevano accedere a chiamate riservate agli utenti amministrativi. Queste chiamate esponevano dati sensibili come nomi utente e password per fornitori e personale associato agli ospedali contrattati tramite l’applicazione. Sfruttando una combinazione di problemi di autorizzazione e una vulnerabilità IDOR, abbiamo estratto nomi utente e password da oltre 15.000 account in pochi minuti.

Successivamente, abbiamo proseguito con ulteriori analisi e scoperto che i candidati a posizioni ospedaliere in varie sedi avevano numeri di previdenza sociale memorizzati in modo non sicuro. Sfruttando un punto di ingresso API vulnerabile a IDOR, è stato eseguito un attacco di forza bruta per recuperare nomi e numeri di previdenza sociale da centinaia di account.

Questa analisi ha messo in luce problematiche comuni riscontrabili in numerose applicazioni web. È emerso quanto sia veloce un attaccante nel raccogliere dati sensibili da un’applicazione non adeguatamente protetta. L’importanza della corretta sanificazione dell’input utente e dell’implementazione accurata delle autorizzazioni è stata evidenziata come cruciale per la sicurezza degli utenti e dell’azienda. Nel settore sanitario, in particolare, l’isolamento degli utenti e la gestione delle autorizzazioni rivestono un’importanza fondamentale per proteggere le informazioni personali e sanitarie dei clienti.

Il cliente è rimasto stupefatto dai risultati dell’analisi sulla sicurezza dell’applicazione. Questo test ha rivelato gravi vulnerabilità che erano sfuggite ai test condotti in passato da altri fornitori di sicurezza, sottolineando l’importanza di test regolari, specialmente in contesti di applicazioni personalizzate in continua evoluzione.

I vantaggi economici dell’utilizzo di DomainTools

I vantaggi economici dell’utilizzo di DomainTools

Sono stati dedicati numerosi articoli relativi alle sfide per dimostrare il valore degli investimenti in cybersecurity. Tra le varie discussioni è sorto un dibattito riguardo all’adeguatezza del termine “ROI” (ritorno sull’investimento) quando si parla di spese per la sicurezza informatica, poiché tradizionalmente il ROI implica un ritorno, idealmente positivo, di valore superiore all’investimento iniziale.

Quando un’azienda investe denaro e risorse in sicurezza e beneficia di un periodo privo di problemi, si verifica un’ambiguità nella dimostrazione del valore delle spese. Gli investimenti in sicurezza hanno effettivamente prevenuto attacchi? Oppure durante quel periodo nessuno ha tentato di attaccarli? Certamente si potrebbero considerare le indagini di routine e le scansioni di fondo che ogni indirizzo IP accessibile affronta e considerarle come attacchi respinti.

Tuttavia, le tecniche davvero costose e pericolose sono molto più difficili da rilevare. Un periodo di tranquillità potrebbe indicare l’assenza di attacchi oppure potrebbe significare che un’eventuale intrusione in corso è riuscita a passare inosservata. Uno o più attacchi sofisticati confermati e respinti con successo possono rendere il valore della spesa per la sicurezza molto più evidente. Ma anche quando tali eventi si verificano e i controlli e le procedure di sicurezza svolgono il loro ruolo, si tratta veramente di un “ritorno sull’investimento” o è più appropriato considerarlo come un valore adeguato per la spesa effettuata? È improbabile che l’intero mondo giunga mai a un consenso su come affrontare questa questione, ma la buona notizia è che esistono modi significativi per quantificare i successi legati a diverse implementazioni di sicurezza.

Per questo motivo, presentiamo uno studio commissionato a Enterprise Strategy Group (ESG), un’azienda specializzata nell’analisi IT e nella ricerca di mercato con ampia esperienza nel settore. Da parte nostra, DomainTools, siamo ovviamente orgogliosi quando riceviamo storie di successo dai nostri clienti. Tuttavia, queste storie non ci forniscono molti dettagli riguardo ai veri successi aziendali o finanziari collegati agli investimenti; sono di natura qualitativa, non quantitativa.

È qui che interviene l’ESG: li abbiamo incaricati di interagire con i clienti di DomainTools e di utilizzare una metodologia collaudata per calcolare i benefici netti. L’analisi da loro condotta è stata approvata dai clienti ed è ciò che troverete nelle pagine dello studio.

Abbiamo chiesto all’ESG di esaminare due categorie di clienti di DomainTools: gli utenti finali (personale SOC e altri professionisti in prima linea nell’ambito della sicurezza informatica e della protezione del marchio) e le aziende produttrici di attrezzature originali (OEM) che integrano le tecnologie di DomainTools nelle loro offerte per renderle più robuste e differenziate in un mercato affollato. Non riassumeremo l’intero studio in questa sede, ma sarebbe opportuno analizzare alcuni punti salienti: uno dal punto di vista degli utenti finali e uno dall’ottica del mondo degli OEM.

Individuare più Minacce, in Tempi più Brevi

Non è controverso affermare che quando si tratta di rilevare minacce emergenti, il fattore tempo è essenziale. L’ESG ha posto alcune domande ai partecipanti al sondaggio riguardo a come impiegano il loro tempo e come l’uso di DomainTools influisce su questo aspetto. Una delle domande riguardava la velocità del rilevamento, e quanto riportato da questi professionisti coincide con la nostra prospettiva su Internet – ovvero che il rilevamento tempestivo è di primaria importanza e individuare domini malevoli prima che possano causare danni (ciò che li fa finire nelle liste di blocco) è prezioso per i team SOC.

Distinguersi dalla Concorrenza

Un numero sempre maggiore di prodotti di sicurezza presenti sul mercato utilizza i dati di DomainTools come input fondamentali nei loro motori di regole e altre tecnologie. L’utilità dei dati DNS, Whois e degli altri punti di dati correlati, oltre alla valutazione del rischio, è evidente. Tuttavia, quando un’azienda cerca di incorporare questi tipi di dati nei propri prodotti, è spesso tentata di costruire internamente le funzionalità necessarie. Dopo tutto, questi dati sono principalmente di tipo OSINT (Open Source Intelligence).

Tuttavia, una volta che si iniziano a comprendere appieno le complessità coinvolte nello sviluppo di tali capacità, molti analisti di CyberSecurity scelgono i dati di DomainTools invece di cercare di costruirli autonomamente, consapevoli del vantaggio competitivo che questo comporta.

Scarica il Report ESG

Post Originale

I tre falsi miti sul consolidamento dei fornitori di sicurezza

I tre falsi miti sul consolidamento dei fornitori di sicurezza

Quando si tratta di consolidamento dei fornitori di sicurezza, Gartner ha scoperto che il 57% delle organizzazioni collabora con meno di dieci fornitori di sicurezza, utilizzando il consolidamento per ridurre i costi e migliorare la propria posizione complessiva in termini di sicurezza.

Ma cosa succede per l’altro 43%?

Sebbene il consolidamento dei fornitori di sicurezza abbia molti vantaggi, come una migliore sicurezza ed efficienza operativa, nonché la riduzione dei costi e un miglioramento del ROI, è chiaro che persistono alcune falsità sulla consolidazione. Approfondiamo tre dei miti più comuni sulla consolidazione:

  1. La supremazia delle soluzioni di sicurezza “best of breed”
  2. Mancanza di flessibilità o blocco del fornitore
  3. Aumento del rischio di compromissione del fornitore

Mito n. 1: La supremazia delle soluzioni di sicurezza “best of breed”
Uno dei miti più grandi del consolidamento dei fornitori di sicurezza è che, dopo la consolidazione, le organizzazioni perderanno l’accesso all’approccio superiore delle soluzioni di sicurezza “best of breed”. “Best of breed” si riferisce all’acquisto del miglior prodotto di ciascun tipo per le esigenze di sicurezza dell’infrastruttura. Questo potrebbe includere l’uso di un fornitore per la protezione del firewall, un altro per l’osservabilità, un terzo per la rimediazione e così via.

Sebbene sia vero che l’approccio “best of breed” sembri consentire alle organizzazioni di assemblare un insieme di tecnologie con i migliori prodotti possibili, questa non è tutta la storia. Le organizzazioni con soluzioni “best of breed” spesso si trovano con un eccesso di tecnologie, o una pila tecnologica più grande che richiede molto più lavoro di manutenzione rispetto alle offerte su piattaforma unica o più snelle. Inoltre, l’uso di strumenti di fornitori multipli porta a una maggiore quantità di dati, che può effettivamente aumentare la superficie di attacco e il livello complessivo di rischio per un’organizzazione.

Alcuni ambienti “best of breed” sono afflitti da problemi di interoperabilità, in cui gli strumenti non riescono a comunicare tra di loro e a scambiarsi informazioni correttamente. Ciò può comportare una prestazione complessiva della sicurezza peggiore, caratterizzata da falsi allarmi e un tempo medio per la risoluzione (MTTR) più lungo.

Mito n. 2: La consolidazione limita la flessibilità e crea un blocco del fornitore
Molte squadre di sicurezza credono che la consolidazione li vincoli a lavorare con un numero ridotto di fornitori che potrebbero rivelarsi poco affidabili o offrire servizi scadenti. In realtà, è possibile affrontare facilmente le preoccupazioni legate alle prestazioni e alla flessibilità del fornitore selezionando attentamente i potenziali fornitori prima di scegliere una soluzione. Durante il processo di valutazione, rivolgi domande ai potenziali fornitori riguardo all’implementazione, alla sicurezza, alla manutenzione, alle tariffe di abbonamento e licenza.

È importante ricordare anche che molti fornitori offrono flessibilità all’interno dei loro pacchetti di consolidamento, il che significa che spesso sarai in grado di creare una serie di prodotti per soddisfare le tue esigenze anziché essere bloccato in un pacchetto specifico.

Infine, lavorare con meno fornitori ti consente di sviluppare relazioni più solide con pochi rappresentanti dei fornitori, il che porta a un servizio clienti e supporto più completi.

Mito n. 3: Aumento del rischio di compromissione da parte del fornitore
Molte organizzazioni temono che, dopo la consolidazione, se uno dei loro fornitori viene compromesso, ciò rappresenti un grave rischio per la sicurezza. Tuttavia, questo è facilmente evitabile se le organizzazioni praticano la consolidazione attraverso le funzioni e non le diverse strati di sicurezza.

In generale, le organizzazioni sicure hanno livelli di sicurezza, o ridondanze, per individuare e risolvere rapidamente le vulnerabilità. Questo approccio, noto anche come “difesa in profondità”, potrebbe consistere in una soluzione di sicurezza per monitorare i tuoi endpoint e uno strumento separato per gestire le minacce nel tuo ecosistema.

Non si dovrebbe consolidare all’interno di questi livelli. Ad esempio, immagina di avere lo stesso fornitore di sicurezza sia per il monitoraggio degli endpoint che per la gestione delle minacce. Se il fornitore viene compromesso e non è in grado di fornire protezione, la tua infrastruttura rimarrebbe senza gestione degli endpoint e gestione delle minacce contemporaneamente, il che rappresenta un grave rischio per la sicurezza.

Di conseguenza, è opportuno consolidare attraverso le funzioni. Può essere utile immaginare le tue esigenze di sicurezza all’interno di un livello. Ad esempio, se cerchi una maggiore protezione degli endpoint – monitoraggio, visibilità e rimediazione – puoi cercare soluzioni di consolidamento in questo settore. La consolidazione attraverso le funzioni può effettivamente rafforzare la tua posizione in termini di sicurezza. Lavorare da una piattaforma unica può migliorare la condivisione di dati tra gli strumenti, l’efficienza e i processi di rimediazione, creando uno strato di sicurezza più forte. Quindi, se un fornitore viene compromesso, avrai comunque una protezione attiva dai fornitori negli altri livelli.

Il consolidamento ha senso
L’incertezza riguardo al consolidamento dei fornitori di sicurezza è comprensibile. È importante non affrettarsi e scegliere il fornitore o la piattaforma sbagliati, cosa che potrebbe mettere a rischio l’organizzazione. Tuttavia, i miti diffusi sulla consolidazione potrebbero frenarti nel trarre vantaggio dai benefici finanziari, operativi e di sicurezza della consolidazione.

La riduzione dei costi è uno dei principali vantaggi. Le organizzazioni con vari fornitori di sicurezza pagano per ogni servizio e spesso anche per licenze multiple. La consolidazione offre la possibilità di ridurre i costi di abbonamenti e licenze multiple, oltre a beneficiare dei pacchetti di consolidamento a prezzi competitivi.

Il consolidamento aumenta anche l’efficienza operativa. Le organizzazioni con troppi fornitori di sicurezza hanno problemi di visibilità, falsi allarmi e lacune nella copertura dell’infrastruttura. L’interoperabilità offerta dal consolidamento può eliminare falsi allarmi e migliorare la visibilità, consentendo di collaborare con i fornitori di sicurezza per creare un pacchetto di sicurezza consolidato e personalizzato che soddisfi le esigenze dell’organizzazione.

Quando si tratta di consolidamento, smontare le principali concezioni errate può portare a una soluzione di sicurezza più forte e coesa, in grado di affrontare il mutevole panorama delle minacce in modo più efficace.

Vuoi saperne di più sul consolidamento e su come iniziare? Dai un’occhiata al nostro eBook, “Il caso per il consolidamento dei fornitori di sicurezza”.

Se vuoi scoprire come le soluzioni Rapid7 favoriscano il consolidamento del tuo ambiente di cybersecurity, visita la pagina Rapid7 sul nostro sito oppure scrivi a rapid7 [at] dotforce.it

Articolo Originale

ThreatConnect Leader Forrester Wave™ per la Quantificazione del Rischio Cibernetico (CRQ)

ThreatConnect Leader Forrester Wave™ per la Quantificazione del Rischio Cibernetico (CRQ)

Di Jerry Caponera – VP Cyber Risk Strategy | Board Member, ThreatConnect

Nell’ambito di questo articolo, si discute del riconoscimento ottenuto nella Forrester Wave™ per la Quantificazione del Rischio Cibernetico e dell’approccio di ThreatConnect alla CRQ basato sulle minacce. Jerry Caponera, VP della Strategia per il Rischio Cibernetico presso ThreatConnect, è stato il principale artefice di questa strategia.

La CRQ è un argomento di crescente importanza in un mondo sempre più digitalizzato, e il contributo di Jerry Caponera è stato fondamentale nel portare avanti la comprensione e la gestione del rischio cibernetico attraverso l’approccio della quantificazione finanziaria. Grazie alla sua esperienza nel campo della sicurezza informatica e alla sua ampia formazione, ha guidato con successo la creazione di una strategia basata sulle minacce che si è dimostrata efficace e leader nel settore, come evidenziato dalla valutazione positiva nella Forrester Wave™.

L’articolo sottolinea anche l’importanza di un approccio centrato sulle minacce alla CRQ. Caponera e il team di ThreatConnect hanno abbracciato questa prospettiva, riconoscendo che la valutazione del rischio cibernetico deve andare oltre la semplice identificazione delle vulnerabilità tecniche. L’articolo spiega come questa metodologia permetta di prendere decisioni più informate e basate sui dati riguardo alla gestione del rischio cibernetico.

Inoltre, l’articolo menziona il coinvolgimento di Jerry Caponera in conferenze internazionali, dimostrando la sua influenza e l’importanza del suo lavoro nel campo della CRQ. La sua formazione accademica, che spazia dall’ingegneria elettrica all’informatica e al business, offre una base solida per affrontare le sfide complesse legate alla sicurezza cibernetica e alla quantificazione del rischio.

Nel complesso, l’articolo evidenzia il ruolo chiave di Jerry Caponera e di ThreatConnect nella promozione di un approccio centrato sulle minacce alla CRQ e nell’ottenimento del riconoscimento nella Forrester Wave™ per la Quantificazione del Rischio Cibernetico.

ThreatConnect Risk Quantifier è stato recentemente riconosciuto come leader nella The Forrester Wave™ per la Quantificazione del Rischio Cibernetico (CRQ), Q3 2023, e non potremmo essere più entusiasti per questo riconoscimento. Siamo cresciuti nel corso degli anni, passando da un piccolo team che cercava di risolvere un problema complesso a un leader nello spazio della CRQ che sfrutta al meglio l’IA e l’apprendimento automatico. Vedere che Forrester ci ha valutato con il punteggio più alto nella categoria dell’offerta attuale e il punteggio massimo possibile nelle categorie di esperienza utente, integrazioni e metodologia (per citarne alcune) è qualcosa a cui teniamo molto.

Il rapporto di Forrester ha fatto un’osservazione molto perspicace nel loro rapporto sulla nostra approccio e strategia. Hanno detto che “ThreatConnect definisce lo standard per un approccio basato sulle minacce per la CRQ”. È una dichiarazione fantastica, e non potremmo essere più d’accordo.

Inizialmente abbiamo creato RQ per poter aiutare le organizzazioni a comprendere il proprio rischio informatico in termini finanziari, per identificare dove (e quanto) potessero trasferire agli assicuratori cibernetici e, probabilmente ancora più importante, per dare priorità alle mitigazioni basate sulla riduzione del rischio finanziario. Quest’ultimo aspetto, la riduzione del rischio finanziario, è fondamentale per RQ poiché vediamo la sicurezza come una funzione aziendale, non solo tecnica. Mostrare semplicemente che esiste un rischio non è sufficiente: la CRQ deve fornire opzioni tattiche e attuabili su come mitigare e potenzialmente eliminare quel rischio.

Dedichiamo un notevole quantitativo di tempo all’analisi dei dati sulle perdite e dei dati sugli attacchi, e la nostra analisi mostra che c’è una correlazione diretta tra la perdita finanziaria causata da un attacco informatico e le caratteristiche tecniche dell’attacco in questione. In effetti, la correlazione è così chiara che l’abbiamo inserita nel prodotto.

I dati mostrano che si verifica una perdita quando un attore lancia un attacco su risorse tecniche (ad esempio, endpoint) e supera le difese circostanti. Perdita e tipo di attacco sono correlati – non sono indipendenti. Avrai una tipologia di perdita diversa in caso di attacco di violazione dei dati rispetto a un attacco di ransomware. Anche i controlli che aiutano a prevenire il successo dell’attacco variano in efficacia contro attacchi diversi (e TTP MITRE).

Ecco perché siamo impegnati non solo a “definire lo standard” per un approccio basato sulle minacce per la CRQ, ma anche a garantire che possiamo tracciare i risultati dal livello esecutivo ai leader della sicurezza e aziendali, e nel Security Operations Center (SOC). Questa tracciabilità operativa è ciò che fa sì che la CRQ diventi parte di uno sforzo di monitoraggio continuo.

Oggi la maggior parte delle organizzazioni esegue la CRQ in modo occasionale o basato su scenari. La sfida qui è che si può perdere la visione d’insieme. Le minacce cambiano regolarmente e la maggior parte della costruzione occasionale di scenari non si adatta a quella velocità. Unendo l’analisi delle minacce con la quantificazione del rischio utilizzando l’IA e l’apprendimento automatico, possiamo misurare meglio quando il rischio supera il tuo limite accettabile e – cosa più importante – aiutarti a mitigare il rischio tecnico prima che si realizzi.

Ciò che a volte si perde nella conversazione sulla CRQ è il fatto che ciò che si mitiga è di natura tecnica o incentrata sulle minacce. Trasferisci la perdita finanziaria (a una compagnia di assicurazione o a un partner), ma per prevenire che ciò accada è necessaria una comprensione della superficie di attacco e di come gli attacchi si materializzano contro le difese. Ecco perché siamo completamente d’accordo che ThreatConnect definisce lo standard per un approccio basato sulle minacce per la CRQ.

Il nostro obiettivo è continuare ad alimentare la presa di decisioni sulla CRQ a vari livelli, compresi quelli esecutivi, operativi e tattici. Dopotutto, se puoi prevenire che una minaccia diventi un evento di perdita correggendo una carenza nel sistema, perché non lo faresti?

 

Note sull’ Autore
Gerald (Jerry) Caponera è il Vice Presidente della Strategia per il Rischio Cibernetico presso ThreatConnect e guida l’effort per quantificare il rischio cibernetico in termini finanziari. Ha lavorato sugli sforzi di quantificazione del rischio cibernetico per diversi anni ed ha un’ampia esperienza nel campo della sicurezza informatica, avendo lavorato per aziende di risposta agli incidenti, analisi di malware e servizi di sicurezza. Ha tenuto discorsi in numerose conferenze in tutto il mondo, tra cui ISS World MEA, InfoSecurity Russia e TM World Forum. Possiede un MBA dall’Università del Massachusetts, una laurea magistrale in Informatica dall’Università della Pennsylvania e una laurea triennale in Ingegneria Elettrica dall’Università di Buffalo.