La determinazione del ritorno sull’investimento (ROI) per un investimento software è solitamente un processo indiretto. A meno che il software non guidi direttamente la crescita dei ricavi, il ROI deriva da risparmi sui costi e fattori immateriali ma importanti come la produttività dei dipendenti. Nel caso di WebTitan e SpamTitan, che i clienti utilizzano rispettivamente per proteggersi dalle minacce trasmesse dal Web e dalle e-mail di spam, il ROI emerge dall’evitare gli attacchi informatici e dal risparmio sui costi. In questo articolo, gli utenti WebTitan e SpamTitan reali su PeerSpot spiegano come hanno guadagnato un ROI sul loro investimento utilizzando queste soluzioni.
Risparmiare denaro prevenendo gli attacchi informatici
Gli attacchi informatici, che stanno diventando sempre più comuni e gravi, sono piuttosto costosi da porre rimedio. Tra il ripristino dei sistemi infetti, il recupero dei dati persi, la notifica ai clienti e la gestione dei danni al marchio, un attacco informatico lascerà una scia pesante. Evitare le spese di un attacco contribuisce al ROI per il software di sicurezza. Può sembrare ipotetico, ma i dirigenti vedranno la capacità di evitare un episodio finanziario disastroso come un ritorno sul loro investimento.
I membri di PeerSpot che utilizzano WebTitan e SpamTitan concordano sul fatto che queste soluzioni li hanno aiutati a evitare costosi attacchi informatici. Ad esempio, un Project Manager che utilizza WebTitan presso una società di servizi tecnologici afferma che la sua organizzazione ha già subito un attacco informatico perché un dipendente ha visitato un sito Web infetto.
Ha spiegato che “il malware è stato inserito nei sistemi dell’azienda e un dirigente ha quasi fornito informazioni di accesso a un gruppo di aggressori informatici”. Tuttavia, dall’utilizzo di WebTitan, l’azienda non ha subito attacchi informatici. WebTitan ha risparmiato all’azienda le spese e il fastidio di affrontare le conseguenze di un attacco.
In un altro esempio, Bornwell M., Head of Technical Support presso ZAMNET, una società di servizi tecnologici, ha rivelato di amare la funzione di blocco geografico di SpamTitan. Aiuta a impedire alle e-mail di spam di entrare nella rete e nei server di ZAMNET, riducendo la loro assunzione di spam. “La loro soluzione precedente era in grado di gestire solo il traffico in uscita”, ha affermato. “Ciò significava che non avevamo il controllo su ciò che stava arrivando attraverso la nostra rete”.
Nanyo N., amministratore delegato, utilizza SpamTitan anche per impedire agli utenti di creare collegamenti e allegati pericolosi e fornire una sicurezza IT complessiva. Ha affermato che “il canale di posta elettronica è ancora il metodo preferito per la distribuzione dei virus”. Il blocco di quel canale riduce il rischio di un attacco.
Risparmio di tempo
SpamTitan filtra spam e malware prima che raggiungano le caselle di posta degli utenti. Ciò consente alle persone di risparmiare tempo che altrimenti sprecherebbero a smistare tutto. Risparmiare tempo si traduce in un risparmio sui costi operativi, che fa guadagnare ROI per l’investimento in SpamTitan.
SpamTitan libera tempo per i dipendenti, che possono utilizzare in modo più produttivo. Ad esempio, Andrew D., il presidente di ActiveCo, una società di servizi tecnologici, gode della semplicità che fa risparmiare tempo di SpamTitan. Nelle sue parole, “alcune di queste altre soluzioni sono molto complicate da gestire. Mentre questo è molto semplice e facile. Ci ha offerto un margine non solo per i soldi, ma per la capacità di gestire una rete attraverso progetti o disastri”.
Nel frattempo, un responsabile dell’infrastruttura / database che utilizza WebTitan presso un’azienda sanitaria apprezza il tempo che la soluzione lo salva da una violazione della sicurezza. Nelle sue parole, “Ci ha evitato di dover rispondere a qualcosa di brutto che arrivava in sede”.
Ha continuato dicendo che WebTitan è un’opzione esente da manutenzione. Dopo la distribuzione iniziale, è semplice. Ha elaborato, dicendo: “Te ne dimentichi, ed è solo quando gli utenti richiedono che un sito Web venga sbloccato che devi lavorarci sopra. Potremmo avere una o due richieste alla settimana per sbloccare un sito Web. In termini di supervisione, è basta rivedere periodicamente i registri per vedere cosa sta succedendo. Non c’è manutenzione”.
Migliorare la produttività
Oltre a risparmiare tempo e denaro, l’utilizzo di WebTitan e SpamTitan può migliorare la produttività dei dipendenti, che è un altro fattore di ROI. Per prima cosa, WebTitan può bloccare l’accesso ai siti per la navigazione sui social media o per giocare, il che aiuta i dipendenti a evitare di distrarsi in modo che possano concentrarsi sul proprio lavoro.
Michael G., che utilizza WebTitan come Presidente di PJM Digital Design, una società di costruzioni, ha scoperto che lo strumento aiuta ad aumentare la produttività dell’azienda. Ha spiegato: “Ha impedito alle persone di guardare il basket, che si tratti delle Final Four o di March Madness. Ha anche impedito alle persone di andare su Amazon e fare acquisti.” WebTitan ha “aumentato la produttività impedendo agli utenti di accedere a siti indesiderati durante la giornata lavorativa”.
Allo stesso modo, l’Infrastructure/Database Lead di un’azienda sanitaria utilizza WebTitan per bloccare l’accesso a siti che potrebbero distrarre i dipendenti. Ha menzionato su PeerSpot di aver utilizzato la soluzione per mantenere tutti i dipendenti produttivi in un ambiente di produzione. Ha spiegato che un grande evento sportivo potrebbe ridurre la produttività. Per combattere questo, usa WebTitan per ridurre “l’accesso ai siti Web minimi ed essenziali dei dipendenti”. Oltre a impedire alle persone di violare le politiche di utilizzo accettabile, WebTitan riduce la probabilità che un dipendente scarichi accidentalmente malware e attivi un incidente informatico.
WebTitan e SpamTitan producono ROI evitando costosi attacchi informatici e risparmiando tempo (e quindi denaro) aumentando al contempo la produttività. Man mano che questi fattori si uniscono, le aziende che implementano queste soluzioni dovrebbero essere sulla buona strada per realizzare guadagni finanziari dall’investimento.
In quanto soluzione SIEM e XDR unificata, InsightIDR offre alle organizzazioni gli strumenti necessari per promuovere un programma di conformità elevato ed efficiente.
Gli standard di sicurezza informatica e la conformità sono mission-critical per ogni organizzazione, indipendentemente dalle dimensioni. A parte le perdite dirette derivanti da una violazione dei dati, le aziende non conformi potrebbero dover affrontare commissioni elevate, perdita di affari e persino il carcere a causa di normative crescenti. Tuttavia, la gestione e il mantenimento della conformità, la preparazione per gli audit e la creazione dei rapporti necessari possono essere un lavoro a tempo pieno, che potrebbe non rientrare nel budget. Per i team già snelli, la conformità può anche distrarre da priorità di sicurezza più critiche come il monitoraggio delle minacce, il rilevamento precoce delle minacce e la risposta accelerata, esponendo le organizzazioni a rischi maggiori.
Un’efficiente strategia di conformità riduce i rischi, assicura che il tuo team sia sempre pronto per l’audit e, cosa più importante, spinge a concentrarsi su attività di sicurezza più critiche. Con InsightIDR, i professionisti della sicurezza possono soddisfare rapidamente i propri requisiti di conformità e normativi, accelerando al contempo il loro programma complessivo di rilevamento e risposta.
Ecco tre modi in cui InsightIDR è stato creato per elevare e semplificare i processi di conformità.
1. Potenti funzionalità di gestione dei registri per la piena visibilità dell’ambiente e la preparazione alla conformità
La visibilità completa dell’ambiente e la raccolta dei registri di sicurezza sono fondamentali ai fini della conformità, nonché per fornire una base per un monitoraggio efficace e il rilevamento delle minacce. Le aziende devono monitorare l’attività degli utenti, il comportamento e l’accesso alle applicazioni nell’intero ambiente, dal cloud ai servizi locali. L’adozione di servizi cloud continua ad aumentare, creando ancora più potenziali punti di accesso con cui i team possono stare al passo.
Le potenti capacità di gestione dei log di InsightIDR forniscono visibilità completa su queste potenziali minacce, oltre a consentire un solido reporting di conformità:
Centralizzare e aggregare tutti gli eventi rilevanti per la sicurezza, rendendoli disponibili per l’uso in monitoraggio, avvisi, indagini e ricerche ad hoc
Offrire la possibilità di cercare rapidamente i dati, creare modelli di dati e pivot, salvare ricerche e pivot come report, configurare avvisi e creare dashboard
Conservazione di tutti i dati di registro per 13 mesi per tutti i clienti InsightIDR, consentendo la correlazione dei dati nel tempo e rispettando i requisiti di conformità.
Mappatura automatica dei dati ai controlli di conformità, consentendo agli analisti di creare dashboard e report completi con pochi clic
Per fare un ulteriore passo avanti, l’interfaccia utente intuitiva di InsightIDR semplifica le ricerche eliminando la necessità per gli amministratori IT di padroneggiare un linguaggio di ricerca. Le ricerche di correlazione pronte all’uso possono essere richiamate in tempo reale o programmate per essere eseguite regolarmente in un momento specifico in caso di necessità di audit di conformità e reportistica, dashboard aggiornati e altro ancora.
2. Report di conformità e dashboard predefiniti per mantenerti organizzato e coerente
I contenuti di conformità predefiniti in InsightIDR consentono ai team di creare report affidabili senza investire innumerevoli ore nella creazione e nella correlazione manuale dei dati per fornire informazioni sullo stato di conformità dell’organizzazione. Con i report e i dashboard predefiniti, puoi:
Mappa automaticamente i dati ai controlli di conformità
Salva filtri e ricerche, quindi duplicali su dashboard
Crea, condividi e personalizza i rapporti direttamente dalla dashboard
Rendi disponibili i report in più formati come PDF o file HTML interattivi
La libreria di dashboard predefinite di InsightIDR semplifica più che mai la visualizzazione dei dati nel contesto di framework comuni. Intere dashboard create dai nostri esperti Rapid7 possono essere configurate in pochi clic. I nostri dashboard coprono una varietà di framework di conformità chiave come PCI, ISO 27001, HIPAA e altro.
3. Punti dati unificati e correlati per fornire approfondimenti significativi
Con potenti funzionalità di gestione dei registri che forniscono una base per la tua posizione di sicurezza, la capacità di correlare i dati risultanti e cercare comportamenti insoliti, anomalie del sistema e altri indicatori di un incidente di sicurezza è fondamentale. Queste informazioni vengono utilizzate non solo per la notifica di eventi in tempo reale, ma anche per audit e report di conformità, dashboard delle prestazioni, analisi delle tendenze storiche e analisi forensi degli incidenti post-hoc.
Gli utenti privilegiati sono spesso il bersaglio di attacchi e, se compromessi, in genere provocano i danni maggiori. Ecco perché è fondamentale estendere il monitoraggio a questi utenti. In effetti, a causa del rischio connesso, il monitoraggio degli utenti privilegiati è un requisito comune per il reporting di conformità in molti settori regolamentati.
InsightIDR fornisce una libreria costantemente curata di rilevamenti che comprende analisi del comportamento degli utenti, endpoint, monitoraggio dell’integrità dei file, analisi del traffico di rete e rilevamento e risposta delle minacce cloud, supportati dal nostro agente endpoint nativo, sensore di rete e software di raccolta. Le autenticazioni degli utenti, i dati sulla posizione e l’attività delle risorse sono baseline per identificare escalation di privilegi anomali, spostamenti laterali e credenziali compromesse. I clienti possono anche collegare i propri strumenti di gestione degli accessi privilegiati esistenti (come CyberArk Vault o Varonis DatAdvantage) per ottenere una visione più unificata del monitoraggio degli utenti privilegiati con un’unica interfaccia.
Soddisfa gli standard di conformità accelerando il rilevamento e la risposta
Sappiamo che la conformità non è l’unica cosa di cui un centro operativo di sicurezza (SOC) deve preoccuparsi. InsightIDR può garantire che i requisiti di conformità più critici siano soddisfatti in modo rapido e sicuro. Una volta che si dispone di un processo di conformità efficiente, il team sarà in grado di concentrare il proprio tempo e gli sforzi per stare al passo con le minacce emergenti e risolvere rapidamente gli attacchi, riducendo i rischi per l’azienda.
Il ransomware continua a essere un problema ampio, persistente e complicato che è al primo posto per la C-suite: un sondaggio di oltre 400 CISO ha rilevato che il ransomware è la principale minaccia informatica più preoccupante per gli intervistati. Un modo per prevenire il ransomware è identificare e correggere i punti di ingresso comuni. Qui ne delineamo tre e discutiamo i passaggi che devi intraprendere per colmare in modo proattivo le lacune nella tua strategia di prevenzione del ransomware.
1) Credenziali compromesse
I criminali non entrano, fanno il login e non sono a corto di credenziali da usare contro di noi. Solo l’anno scorso SpyCloud ha recuperato 1,7 miliardi di credenziali esposte e 13,8 miliardi di informazioni di identificazione personale (PII), tutte disponibili per i criminali da sfruttare negli attacchi. Il Verizon 2022 Data Breach Investigations Report ha anche indicato un aumento del 30% delle credenziali rubate dal 2017 e ha affermato:
“Sosteniamo da tempo che le credenziali siano il tipo di dati preferito dagli attori criminali perché sono utili per mascherarsi da utenti legittimi del sistema. C’è anche un grande mercato per la loro rivendita”.
Con l’aumento del ransomware nel 2021, è stato riferito che l’attacco al Colonial Pipeline, il più grande oleodotto di carburante degli Stati Uniti, è stato “il risultato di un’unica password compromessa”. Gli aggressori hanno ottenuto l’accesso alle reti dell’azienda tramite l’account di rete privata virtuale di un dipendente. La password del dipendente è stata scoperta in una serie di password trapelate disponibili sul dark web, il che significa che il dipendente “potrebbe aver utilizzato la stessa password su un altro account che era stato precedentemente violato”.
Uno degli approcci più semplici alla prevenzione del ransomware è trattarlo come un attacco successivo da account takeover (ATO). L’obiettivo di ATO è che i criminali perpetrino tutti i tipi di attività dannose, non limitate al ransomware, senza essere scoperti. In uno scenario tipico, un operatore di ransomware ottiene le credenziali tramite un broker di accesso iniziale, che le ha acquistate, indovinate o rubate e le fornisce all’operatore a pagamento.
Un’altra preoccupazione per quanto riguarda le credenziali compromesse è il riutilizzo della password. SpyCloud ha riscontrato un tasso di riutilizzo delle password del 64% lo scorso anno, il che mette le aziende a rischio quando i dipendenti riutilizzano le password su più account online. Le credenziali che sono state esposte in violazioni di dati di terze parti o sottratte tramite malware possono essere sfruttate per accedere ai loro account aziendali. Una soluzione automatizzata di prevenzione ATO può proteggere la tua organizzazione da compromessi dovuti al riutilizzo delle password, ridurre il rischio di perdita di dati e tempi di inattività dovuti al ransomware e proteggere il tuo marchio e la tua reputazione.
2) Dispositivi non gestiti o Bring Your Own Device (BYOD)
Anche i dipendenti che utilizzano dispositivi personali per accedere alle risorse e alle applicazioni aziendali rappresentano una minaccia per le organizzazioni. I team di sicurezza IT lottano già per rimanere al passo con le sfide di sicurezza di cui sono consapevoli, quindi aumentare la superficie di attacco con dispositivi che non possono vedere o controllare pone ancora più oneri ai team già sopraffatti.
Il malware diventa una minaccia significativa quando i dipendenti utilizzano dispositivi non gestiti; se qualcuno utilizza le proprie credenziali aziendali per accedere alle applicazioni aziendali su un dispositivo personale che è inconsapevolmente infettato da malware, tali informazioni potrebbero essere sottratte direttamente nelle mani dei criminali informatici per essere vendute nel sottosuolo criminale.
Considera la minaccia di un solo dispositivo infetto. Con l’accesso a 50, 60, 100, 200 applicazioni di lavoro, questo rappresenta un enorme rischio per l’azienda: ogni applicazione compromessa da malware, che si tratti di un’istanza SSO, di un database CRM o di una chat aziendale. Sono tutti punti di ingresso in un’organizzazione.
E non si tratta solo di un dispositivo o di alcune credenziali compromesse o di cookie di sessione. Gli infostealer sottraggono così tante informazioni anche da un solo dispositivo che il profilo di rischio creato da quell’infezione è significativo. Inoltre, il rischio è spesso sottovalutato poiché ottenere visibilità su dispositivi personali non monitorati ed esposizioni di applicazioni della forza lavoro di terze parti è difficile o impossibile per la maggior parte dei team di sicurezza.
Queste infezioni da malware possono avere gravi ripercussioni a lungo termine. I dati sottratti al malware vengono visualizzati sui registri delle botnet che vengono poi venduti alla criminalità clandestina, che possono essere utilizzati per lanciare attacchi ransomware. Gli operatori di ransomware utilizzano frequentemente i log di malware per identificare credenziali di alto valore e altri dati possono aiutare i gruppi di ransomware ad accedere alle aziende.
Sfortunatamente, le soluzioni EDR (Endpoint Detection Response) e ASM (Application Security Management) esistenti non offrono una protezione adeguata dagli attacchi malware. Le aziende hanno bisogno di informazioni dettagliate sul quadro completo dei rischi del malware, comprese le risorse compromesse che molto probabilmente porteranno a futuri attacchi ransomware.
3) Dispositivi gestiti con vulnerabilità
I criminali informatici sono alla ricerca di targhet a basso impatto e anche i dispositivi gestiti possono presentare vulnerabilità per le organizzazioni. Un computer dei dipendenti che non è aggiornato sulle patch di sicurezza o non segue le politiche di sicurezza potrebbe fungere da porta aperta per il ransomware.
Ad esempio, un criminale può scoprire una vulnerabilità in un server back-end. Di solito, quello che stanno cercando di trovare è il database degli utenti che contiene le e-mail o i nomi utente, le password e altre PII di tutti. Remote Desktop Protocol (RDP) è un altro modo in cui i malintenzionati possono accedere alle risorse aziendali accedendo al sistema utilizzando credenziali deboli o compromesse che potrebbero essere facilmente indovinate o acquistate in clandestinità criminale. Per alcuni criminali, questo è tutto ciò che fanno: cercano buchi nei server Web o in altri servizi di connessione a Internet e cercano di ottenere l’accesso da lì.
Una volta nella rete, i criminali possono quindi spostarsi lateralmente all’interno dell’organizzazione, aggirando l’autenticazione a più fattori (MFA) e aumentando i privilegi per ottenere ancora più accesso alle applicazioni e ai dati aziendali critici per poter iniziare a crittografare e distruggere i file.
Per prevenire questo tipo di vulnerabilità, i team di sicurezza IT devono monitorare e tenere traccia della conformità alle policy di sicurezza in tutta la forza lavoro per garantire che tutte le risorse e le risorse aziendali soddisfino le policy di sicurezza informatica dell’organizzazione. SpyCloud offre anche consigli sulle password per rafforzare ulteriormente le tue difese ransomware.
Protezione contro il ransomware
Per prevenire in modo proattivo gli attacchi ransomware, suggeriamo una raccomandazione chiave per ciascuno dei punti di ingresso sopra menzionati.
Credenziali compromesse
Implementa una soluzione ATO che monitori la criminalità clandestina alla ricerca di password rubate e corregga le credenziali compromesse per i tuoi dipendenti.
Dispositivi non gestiti
Identificare le minacce al di fuori del controllo aziendale e intraprendere azioni rapide per impedire l’accesso non autorizzato, ad esempio quando i cookie dei servizi critici della forza lavoro vengono rubati dai dispositivi personali o aziendali infetti dei dipendenti.
Vulnerabilità senza patch
Assicurati che tutte le risorse e le risorse aziendali siano aggiornate sugli aggiornamenti di sicurezza e agisci immediatamente quando un dipendente o un dispositivo non è conforme alle policy di sicurezza della tua organizzazione, soprattutto quando si tratta di policy sulle password.
Mentre le bande di ransomware continuano a riscontrare un successo diffuso nei loro attacchi dannosi, c’è ancora speranza quando si tratta di prevenzione del ransomware. Essere consapevoli dei punti di ingresso rischiosi e adottare misure proattive per colmare tali lacune nella tua posizione di sicurezza aiuterà a proteggere la tua organizzazione dagli attacchi ransomware.
Di Timothy Chen – Chief Executive Officer, Domaintools
[Nuovo look, stesso impegno] Per un Internet sicuro, protetto e aperto per tutti
Oggi abbiamo lanciato un aggiornamento del sito e del marchio DomainTools e un aggiornamento della piattaforma di navigazione e hosting. Il nostro obiettivo con questo sforzo è triplice:
Consentire ai visitatori di comprendere meglio ciò che facciamo e di navigare più rapidamente verso i contenuti che stanno cercando.
Migliorare la velocità di caricamento della pagina e la deliverability da tutte le parti del mondo.
Modernizzare il marchio DomainTools per riflettere dove stiamo andando piuttosto che dove siamo stati.
DomainTools è il motore di Internet Intelligence che alimenta i migliori programmi di sicurezza. Mappiamo e monitoriamo Internet per rilevare e prevedere le minacce emergenti. Siamo, letteralmente, il primo posto in cui molti dei nostri clienti vanno quando ricevono un avviso o un IOC (indicatore di compromissione) e hanno bisogno di conoscere il contesto immediato dei domini e dell’infrastruttura DNS che possono essere associati. Abbiamo una missione ambiziosa e incentrata sulla sicurezza e c’era una chiara necessità di aggiornare il marchio e il posizionamento per rispecchiarlo.
Molte cose sono successe negli ultimi anni in DomainTools. Abbiamo continuato a investire nei nostri motori di raccolta dati su scala Internet e nella nostra tesi di inoltro dei dati per l’intelligence delle minacce e il punteggio del rischio. Abbiamo lanciato nuovi prodotti leader di mercato come Rileva l’iridee ha continuato a investire nell’intersecare la nostra intelligenza dove i nostri clienti ne hanno bisogno, come il recente aggiornamento alla nostra 4a generazioneIntegrazione Splunk. Abbiamo ricevuto un importante investimento da Battery Ventures alla fine del 2020 e acquisito Farsight Security alla fine del 2021. In effetti, parte dello sforzo di progettazione del sito consiste nell’integrare meglio i prodotti Farsight e il marchio e creare un quadro per tali acquisizioni future.
Come tutto ciò che facciamo in DomainTools, il lavoro sul nostro marchio e sul nostro sito Web è stato svolto pensando ai nostri utenti e clienti. Spero che la tua esperienza qui sia migliorata e sicuramente accogliamo con favore qualsiasi feedback su team@domaintools.com.
Di Emma Cazdov, Reponsabile Marketing di Prodotto, Corero
C’è un’intensa concorrenza tra i provider di servizi Internet sia nel mercato commerciale che in quello residenziale. L’abbandono dei clienti è una preoccupazione costante per loro, perché molti clienti hanno poca fedeltà a un particolare fornitore. Il tempo di attività del servizio è un fattore chiave per gli utenti aziendali, perché anche pochi secondi di inattività possono avere un impatto drastico sull’attività quotidiana, che si tratti di giochi online, servizi finanziari o sicurezza della rete. Anche se i tempi di inattività e l’interruzione di Internet non causano una violazione degli accordi sul livello di servizio (SLA), hanno un impatto negativo sulla reputazione del marchio dell’ISP, sulla fiducia dei clienti e sui ricavi. Sapevi che una delle minacce più grandi (se non la più grande) all’uptime sono gli attacchi Distributed Denial of Service (DDoS) ?
Il valore della visibilità e delle informazioni sugli attacchi
Molte organizzazioni considerano la sicurezza DDoS un centro di costo; tuttavia, gli ISP sono i bersagli preferiti dagli attori delle minacce ed è essenziale che gli ISP proteggano la propria infrastruttura, poiché i loro clienti tenant fanno affidamento su di essi per essere completamente funzionali. Molti ISP stanno adottando la fase di sicurezza aggiuntiva offrendo protezione DDoS come servizio, in modo che i clienti possano effettivamente avere visibilità e informazioni dettagliate sul traffico degli attacchi DDoS che colpisce la loro rete e ottenere informazioni utili. Conoscere i tipi di attacchi DDoS che sono stati mitigati non è solo un “bello da avere”, ma è un buon affare avere l’intelligence per poter regolare le regole di mitigazione DDoS che possono bloccare gli attacchi futuri. I dati degli eventi di sicurezza archiviati consentono l’analisi forense delle minacce passate per il reporting di conformità.
ROI sulla sicurezza DDoS: guadagno e mantenimento
La protezione DDoS come servizio offerto ai clienti tenant è un vero fattore di differenziazione competitivo, perché pochi provider possono garantire una solida protezione DDoS ai propri clienti. Alcuni ISP offrono protezione gratuitamente, come servizio a valore aggiunto, mentre altri scelgono di generare entrate incrementali offrendo protezione come servizio in abbonamento. Altri possono offrire servizi di mitigazione DDoS di base a tutti i clienti, ma per quei clienti che privilegiano l’elevata disponibilità, il provider può creare opzioni a valore aggiunto. Indipendentemente dal fatto che offrano un servizio di protezione DDoS gratuito oa pagamento, gli ISP ottengono e mantengono più clienti.
Qual è il miglior tipo di protezione?
Data la natura sofisticata degli attacchi DDoS odierni, gli ISP richiedono l’applicazione precisa delle politiche di mitigazione contro il traffico degli attacchi DDoS. Questo può essere ottenuto solo con prestazioni line-rate ed efficacia di massima sicurezza. I centri di scrubbing DDoS su richiesta e fuori banda legacy e i servizi cloud possono creare ritardi inaccettabili tra l’inizio di un attacco e l’inizio degli effettivi sforzi di riparazione. L’approccio legacy è anche in genere dispendioso in termini di risorse e costoso per i fornitori perché richiede personale altamente qualificato per monitorare il traffico 24 ore su 24, 7 giorni su 7. È anche soggetto a errori, dal momento che gli analisti della sicurezza umana non possono reagire abbastanza velocemente ai moderni attacchi DDoS multi-vettoriali che sono in genere di breve durata, di volume ridotto e difficili da distinguere dal traffico legittimo. Questi attacchi brevi e sub-saturanti sono motivo di preoccupazione,
Al contrario, la tecnologia di mitigazione DDoS automatica in tempo reale consente la protezione DDoS a tutta la larghezza di banda perimetrale, scalando fino a decine di terabit al secondo di capacità protetta, laddove in precedenza era possibile solo una capacità di scrubbing parziale. Elimina la necessità di analizzare manualmente gli eventi ed elimina la necessità di reindirizzare il traffico, sia buono che cattivo, per rimuovere chirurgicamente i pacchetti DDoS, prima di restituirlo alla rete. Di conseguenza, la sequenza temporale dal rilevamento alla mitigazione si riduce a secondi o addirittura a meno di secondi.
Con il modello DDoS Protection as a Service di Corero, i provider possono fornire facilmente ai propri clienti una pluripremiata protezione DDoS in tempo reale come servizio di sicurezza premium. Possono offrirlo come un servizio a valore aggiunto o monetizzare la loro protezione DDoS offrendo livelli di protezione a più livelli ai tenant. I provider possono strutturare il loro servizio a valore aggiunto in vari modi e il modello di servizio può essere gestito centralmente tramite il portale multi-tenant, che consente ai provider di integrare i clienti tenant, definire e assegnare livelli di servizio di protezione DDoS e visualizzare dashboard di attacco per ciascuno. Ogni cliente tenant può essere facilmente configurato per fornire il livello di servizio per il quale sta pagando. I clienti protetti possono accedere alla propria vista, accedere a report e analisi degli attacchi DDoS e comprendere il valore della protezione DDoS che stanno ricevendo.
Nell’odierno mercato competitivo degli ISP, la protezione DDoS come servizio è un ottimo modo per gli ISP di aggiungere valore ai loro servizi esistenti e prevenire l’abbandono dei clienti.
Da oltre un decennio, Corero fornisce soluzioni di protezione DDoS automatiche in tempo reale all’avanguardia, altamente efficaci per aziende, hosting e fornitori di servizi in tutto il mondo. Le nostre soluzioni di mitigazione DDoS SmartWall® proteggono gli ambienti on-premise, cloud, virtuali e ibridi. Per ulteriori informazioni sui diversi modelli di implementazione di Corero, fare clic qui.
Di Chris Collier, Technology Advocate for Identity and Access Management, HYPR
Nonostante l’aumento degli investimenti per la sicurezza informatica, normative più severe e attività specifiche di formazione del personale, gli attacchi informatici continuano la loro traiettoria ascendente. Nel solo 2021, c’è stato un aumento del 125% del volume degli incidentirispetto all’anno precedente. Gli attacchi alle credenziali sono il metodo più utilizzato per ottenere l’accesso non autorizzato. Secondo il Verizon 2021 Data Breach Investigations Report , il 61% delle violazioni riguarda credenziali compromesse.
Anche gestire le password è impresa che implica frustrazione, soprattutto quando si tenta di conformarsi a criteri aziendali con ottime intenzioni ma che richiedono una complessità e una frequenza sempre maggiori delle modifiche delle password. Sebbene ciò produca un aumento marginale della sicurezza, le password diventano ancora più difficili da ricordare e digitare, e non sorprende che proprio per questo motivo il 65% delle persone riutilizzi le password tra gli account. Le nuove tecnologie di autenticazione che rimuovono le password dal processo di autenticazione promettono di risolvere queste sfide, ma l’autenticazione senza password è sicura?
Per cercare di rispondere in modo completo a questa domanda, esaminiamo alcuni termini e background.
Che cos’è l’autenticazione passwordless?
Nella sua forma più semplice, l’autenticazione senza password è l’eliminazione delle password dal processo di autenticazione. Si noti che l’enfasi è sul processo di autenticazione, non sul metodo di accesso. C’è una differenza significativa tra la rimozione completa della password dal processo di accesso end-to-end e la semplice automazione del processo per comodità; ad esempio, inoltrando le credenziali da un vault o deposito (noto come “password store and forward”). Sebbene all’utente questo possa sembrare un metodo di accesso biometrico e quindi senza password, l’applicazione back-end sta ancora convalidando una password.
Che cos’è l’autenticazione a più fattori senza password?
Per complicare ulteriormente le cose, non tutta l’autenticazione senza password è multifattoriale. L’autenticazione a più fattori (MFA) riduce il rischio richiedendo agli utenti di fornire almeno due fattori di autenticazione indipendenti. Qualcosa che conosci (es. password, sequenza, domanda di sicurezza), qualcosa che possiedi (es. token crittografico, codice OTP, dispositivo fuori banda), qualcosa che sei (es. impronta digitale, riconoscimento facciale). L’autenticazione a più fattori impedisce agli aggressori di ottenere l’accesso a un sistema sicuro negando l’accesso nonostante la compromissione di una singola credenziale o fattore di autenticazione.
Gli autenticatori passwordless, come le chiavi di sicurezza hardware, possono richiedere metodi di autenticazione a uno o più fattori. A seconda del protocollo specifico, le chiavi intelligenti potrebbero richiedere solo la presenza della chiave in uno slot USB e che un utente tocchi la chiave. Pertanto le chiavi intelligenti sono comunemente combinate con una password per imporre l’autenticazione a più fattori. Richiedendo una chiave intelligente insieme a una password, il processo risultante non è più senza password. Pertanto, per rispondere “l’autenticazione senza password è sicura” è necessario sapere se la soluzione in questione è a singolo fattore o multifattore, e quali metodi di autenticazione utilizza.
Per ottenere un’autenticazione a più fattori senza password, il processo di accesso deve includere due o più metodi di autenticazione e deve eliminare completamente qualsiasi dipendenza dai segreti condivisi.
Vantaggi dell’autenticazione senza password
Se eseguita correttamente, l’implementazione dell’autenticazione senza password non è dirompente, non è traumatica per gli utenti e migliorerà significativamente la tua posizione di sicurezza generale eliminando i vettori di attacco associati ai segreti condivisi.
Riduzione della superficie attaccabile
I metodi di autenticazione dipendenti dalla password espongono l’intera organizzazione a rischi che vanno ben oltre i dati dei singoli utenti. È comunemente accettato che le password siano facilmente sfruttabili dagli aggressori e che le persone riutilizzino le password tra gli account. Di conseguenza, le credenziali sono l’obiettivo principale di molti attacchi informatici. Questi includono attacchi di phishing , key logging e altri malware e attacchi di social engineering. La rimozione totale delle password riduce il valore complessivo per gli hacker di prendere di mira dipendenti e clienti.
Login semplificato
La rimozione delle password aumenta intrinsecamente la produttività complessiva degli utenti, in modo che possano concentrarsi sul contributo alle direttive aziendali principali. Al personale a cui viene richiesto di modificare le password regolarmente, che prova frustrazione per le procedure di accesso in più fasi e agli amministratori che dedicano tempo al monitoraggio dell’igiene delle password e alle frequenti reimpostazioni delle password hanno un impatto cumulativo sulla produttività. Una ricerca recente ha rilevato che quasi la metà degli esperti di IT e sicurezza ha indicato la scarsa esperienza utente come un ostacolo all’implementazione dell’AMF nella propria organizzazione. Il passaggio all’autenticazione senza password elimina questi problemi.
Mitigazione del rischio da violazioni dei dati
Una delle conseguenze più dannose di una violazione dei dati deriva dal fatto che gli aggressori ottengono l’accesso a elenchi interni di password che possono quindi essere utilizzate in attacchi futuri. Anche se un’organizzazione utilizza protocolli di sicurezza come salting o hashing , la moderna potenza di elaborazione significa che la maggior parte delle credenziali offuscate possono essere violate facilmente. Oltre alle implicazioni immediate sulla sicurezza, le violazioni possono portare a una perdita a lungo termine di fiducia e fiducia nella tua azienda.
Protezione dei lavoratori a distanza
Il trasferimento su larga scala al lavoro da casa negli ultimi due anni sembra ora destinato a durare. Ciò ha creato importanti sfide di sicurezza per le organizzazioni, con i dipendenti che accedono alle risorse aziendali da reti domestiche non sicure, utilizzano dispositivi non protetti e installano app non controllate. Inoltre, gli attacchi RDP (Remote Desk Protocol) sono ai massimi livelli. Le soluzioni di autenticazione senza password complete consentono ai lavoratori remoti di accedere in modo sicuro ad applicazioni, desktop, VPN, gateway e altri punti di accesso remoto.
Metodi di autenticazione senza password non sicuri
L’abbiamo già detto, ma vale la pena ripeterlo: non tutte le autenticazioni senza password sono uguali. La più grande determinazione nella sicurezza di una soluzione di autenticazione senza password si basa sui fattori di verifica che utilizza e sui suoi processi di back-end.
Non veramente passwordless
Molte soluzioni di autenticazione senza password si definiscono tali ma sono solo password nascoste mascherate e combinate con passaggi aggiuntivi. Rimuovere la debolezza intrinseca delle password dovrebbe significare fare esattamente questo: sbarazzarsi di un fattore di conoscenza condivisa che un utente deve ricordare e che è archiviato, in qualche modo, su un server o nel cloud per essere verificato. Questa nomenclatura fuorviante provoca resistenza ed esitazione che impedisce l’adozione di una vera tecnologia di autenticazione senza password e i miglioramenti della sicurezza che offre.
Password monouso (OTP)
Le password monouso sono i codici inviati tramite e-mail o SMS per confermare che l’utente ha il controllo del dispositivo collegato al proprio account. Sebbene inteso a soddisfare il fattore “qualcosa che l’utente possiede” dell’AMF, il risultato è ancora l’uso di una password, che i cyberattaccanti, sfortunatamente, sono stati molto rapidi ed efficaci nello sfruttare. Gli attacchi di scambio di SIM, man-in-the-middle e di ingegneria sociale si sono dimostrati molto efficaci nel rubare queste OTP e nel continuare gli sforzi di compromissione dell’account. In effetti, i kit di hacking automatizzati progettati per aggirare questi fattori sono prontamente disponibili sul mercato nero. Sono inoltre disponibili molte app di autenticazione per generare OTP su dispositivi mobili. Questi meccanismi spesso dipendono da un segreto condiviso (seme).
Quindi l’autenticazione senza password è sicura?
Sebbene qualsiasi autenticazione MFA o senza password rappresenti un miglioramento rispetto all’utilizzo dell’accesso con password di base, se si basa su segreti condivisi che gli hacker possono rubare, si corre comunque un rischio considerevole. L’autenticazione senza password più potente e con il minimo attrito si basa sulle linee guida FIDO (Fast IDentity Online). FIDO è un insieme di standard di sicurezza e interoperabilità che sfrutta la crittografia a chiave pubblica e robusti verificatori di identità per garantire sicurezza e usabilità su vasta scala.
FIDO2 supporta test biometrici e altri verificatori resistenti al phishing , autenticando in modo sicuro le persone senza password. È considerato il gold standard per l’autenticazione dalla Cybersecurity and Infrastructure Security Agency (CISA) del governo degli Stati Uniti e dall’OMB .
HYPR – Autenticazione sicura senza password
La tecnologia True Passwordless™ MFA di HYPR utilizza i meccanismi biometrici e protegge gli elementi hardware sul dispositivo intelligente dell’utente, insieme a rigorosi protocolli crittografici, per trasformare un normale smartphone in un autenticatore FIDO sicuro. HYPR riduce la superficie di attacco offrendo al contempo un flusso di autenticazione senza interruzioni e senza attriti, dal desktop al cloud, inclusi i punti di accesso remoti. Offre una modalità di accesso offline sicura utilizzando PIN memorizzati sul dispositivo, in cui non esiste un segreto condiviso che risieda su un server o nel cloud che può essere sfruttato.
Boston, MA — 21 aprile 2022 – Rapid7, Inc. , (NASDAQ: RPD), fornitore leader di analisi e automazione della sicurezza, ha annunciato oggi di essere stato riconosciuto da Gartner come Visionary per il secondo anno consecutivo nel Magic Quadrant 2022 per i test di sicurezza delle applicazioni.
La sicurezza delle applicazioni moderne sta diventando più complessa e impegnativa a causa degli ambienti DevOps remoti e distribuiti. Oggi, la sicurezza delle applicazioni richiede una forte collaborazione interfunzionale tra i team di sicurezza, sviluppo software e operazioni, nonché la capacità di scalare rapidamente e fornire informazioni tempestive sullo stato attuale delle attività.
“C’è un crescente desiderio di un portafoglio di sicurezza delle applicazioni che faciliti senza soluzione di continuità la collaborazione e la visibilità necessarie per proteggere i moderni ambienti applicativi”, ha affermato Cindy Stanton, vicepresidente senior, gestione del rischio di vulnerabilità di Rapid7. “In Rapid7, il nostro obiettivo è fornire esperienze innovative che proteggano le aziende e siamo onorati di essere ancora una volta riconosciuti da Gartner per la nostra completezza di visione e capacità di esecuzione”.
Il portafoglio di sicurezza delle applicazioni best-in-class di Rapid7 si integra con la sua più ampia piattaforma per le operazioni di sicurezza per generare senza interruzioni informazioni dettagliate sulla sicurezza delle applicazioni per le principali parti interessate durante il ciclo di vita della distribuzione del software (SDLC) al fine di correggere rapidamente le vulnerabilità e ridurre i rischi. Ciò fornisce una visione olistica delle infrastrutture, sia cloud che tradizionali, nonché applicazioni e API.
Rapid7 è noto per il suo portafoglio in espansione di soluzioni che soddisfano i moderni requisiti di sicurezza delle applicazioni. Questo portafoglio include funzionalità di monitoraggio e protezione delle applicazioni tramite i servizi tCell RISP e WAF di nuova generazione, nonché la scansione dell’infrastruttura come codice (IaC), la protezione del carico di lavoro e la gestione dello stato di sicurezza del cloud. L’azienda ha anche collaborazioni con Checkmarx e Snyk per fornire SCA e SAST per proteggere le applicazioni moderne durante la fase di sviluppo.
Per ulteriori informazioni sul portafoglio di sicurezza delle applicazioni di Rapid7, fare clic qui .
Per visualizzare una copia gratuita del rapporto completo Gartner Magic Quadrant for Application Security Testing, fare clic qui .
Fonte: Gartner, Magic Quadrant for Application Security Testing, Dale Gardner, Mark Horvath, Dionisio Zumerle, 18 aprile 2022
Gartner non sostiene alcun fornitore, prodotto o servizio descritto nelle sue pubblicazioni di ricerca e non consiglia agli utenti di tecnologia di selezionare solo quei fornitori con le valutazioni più alte o altra designazione. Le pubblicazioni di ricerca di Gartner consistono nelle opinioni dell’organizzazione di ricerca di Gartner e non devono essere interpretate come dichiarazioni di fatto. Gartner declina ogni garanzia, espressa o implicita, in relazione a questa ricerca, comprese eventuali garanzie di commerciabilità o idoneità per uno scopo particolare.
Gartner e Magic Quadrant sono marchi registrati di Gartner, Inc. e/o delle sue affiliate negli Stati Uniti ea livello internazionale e sono qui utilizzati con autorizzazione. Tutti i diritti riservati.
Informazioni su Rapid7
Rapid7 (Nasdaq: RPD) sta migliorando la sicurezza con visibilità, analisi e automazione fornite attraverso il nostro cloud Insight. Le nostre soluzioni semplificano il complesso, consentendo ai team di sicurezza di lavorare in modo più efficace con l’IT e lo sviluppo per ridurre le vulnerabilità, monitorare i comportamenti dannosi, indagare e arrestare gli attacchi e automatizzare le attività di routine. Oltre 10.000 clienti si affidano alla tecnologia, ai servizi e alla ricerca Rapid7 per migliorare i risultati della sicurezza e far progredire in modo sicuro le proprie organizzazioni.
La sicurezza perimetrale non è più sufficiente per le reti di oggi. Questo perché ci sono tanti modi per aggirare il tuo robusto firewall e semplicemente entrare dalla porta sul retro. Alcuni dei metodi utilizzati dagli hacker per aggirare le difese perimetrali includono attacchi di phishing , deposito di codice dannoso su siti Web legittimi e attacchi al sistema wireless. Per le piccole imprese, questo significa il router wireless, quell’appliance all-inclusive da cui i tuoi utenti dipendono non solo per il wireless, ma spesso anche per la sicurezza del firewall. Per le piccole aziende, proteggere il router wireless è il primo lavoro. Tuttavia, anche se si utilizzano punti di accesso aziendali per fornire una copertura wireless globale, il sistema wireless rimane un punto di vulnerabilità.
Di seguito sono riportati sette passaggi che puoi eseguire per proteggere il tuo Wi-Fi. Tieni presente che molti di questi consigli potrebbero essere utilizzati anche dagli utenti domestici.
1. Modifica le credenziali di amministratore del router
Questo passaggio sembra ovvio e quasi abbiamo timore a menzionarlo, per paura che i lettori possano rinunciare a leggere ulteriormente, vista la banalità apparente. Eppure, anche le aziende più grandi e credibili a volte non riescono a farlo. Due mesi fa è stato scoperto da un sistema scolastico che il suo provider WAN, un importante fornitore di servizi di rete globale, non era riuscito a modificare le password dei router che erano stati in servizio all’interno del sistema scolastico per anni. La password era la password Cisco predefinita che può essere facilmente ottenuta da Internet. Sì, anche i passaggi più comuni e fondamentali vengono spesso ignorati. Che si tratti di un router wireless o di un controller wireless, la modifica della password predefinita dell’amministratore dovrebbe essere la prima operazione.
2. Disabilita la funzione Admin tramite Wireless sul tuo router
La maggior parte dei router wireless dà la possibilità di una gestione remota utilizzando un browser. Questa è una grande comodità per quando si è fuori sede. Sfortunatamente, questo è comodo anche per gli aggressori remoti. Un aggressore remoto potrebbe essere la persona nell’ufficio in fondo al corridoio o un utente malintenzionato che ha trovato su Internet la connessione del tuo router. Al giorno d’oggi, tuttavia, la sicurezza ha la meglio sulla comodità. Dovresti disporre di un mezzo sicuro per accedere in remoto alla tua rete per gestire il tuo router o dispositivi wireless. Ciò non significa aprire la rete per RDP, che è altamente vulnerabile al di fuori del firewall. Ogni azienda dovrebbe invece utilizzare una connessione VPN sicura.
3. Monitora le tue impostazioni DNS
La protezione delle impostazioni DNS è assolutamente fondamentale per garantire che i tuoi utenti non vengano reindirizzati a siti Web di phishing dannosi. Per le aziende che non dispongono di un server DNS interno, il router wireless spesso ricopre questo ruolo. Le impostazioni DNS del router wireless sono un obiettivo primario per gli hacker che desiderano reindirizzare il traffico ai propri siti Web. Ad esempio, gli hacker possono creare siti Web fasulli creati per impersonare l’aspetto di siti bancari online popolari nel tentativo di acquisire le credenziali di accesso.
4. Accendi la tua rete ospite
La segmentazione della rete dovrebbe essere un principio guida quando si tratta di architettura di rete. I dispositivi non attendibili devono essere segmentati dai dispositivi aziendali e dai file condivisi. Tuttavia, se offri un solo SSID, tutti condividono la stessa area di rete. Abilitando la tua rete ospite, i visitatori hanno un posto designato a cui connettere i propri dispositivi che li tiene a distanza di braccia dalla tua rete principale. Serve anche come rete predefinita per i dispositivi sconosciuti.
5. Riduci la portata del Wi-Fi
Sia che tu affitti uno spazio ufficio da un edificio per uffici tradizionale o uno spazio commerciale in un centro commerciale, il tuo segnale Wi-Fi viene trasmesso oltre le tue quattro mura. Ciò significa che persone non in vista possono tentare di accedere alla tua rete utilizzando attacchi di forza bruta e altri strumenti che possono essere facilmente scaricati da Internet. La visibilità gioca un ruolo importante in un piano di sicurezza. Ciò che non puoi vedere è più difficile da difendere. È possibile ridurre la potenza del segnale wireless per ridurre la superficie della copertura SSID. Ciò impedirà a potenziali aggressori di effettuare ripetuti tentativi di accedere al tuo wireless.
6. Mantieni aggiornata tutta la tua attrezzatura
Questo semplicemente non si applica al tuo router wireless. Vale per tutte le apparecchiature di rete. Mantenere il firmware del router è essenziale per due motivi. Il primo è che vuoi che il tuo dispositivo funzioni con i più recenti protocolli di sicurezza. Ci sono milioni di dispositivi nel mondo oggi che eseguono protocolli obsoleti che possono essere facilmente compromessi dagli hacker. Inoltre, i fornitori rilasciano patch per eliminare gli exploit che vengono perennemente scoperti.
7. Utilizzare il livello di crittografia più elevato possibile
Proprio come la prima raccomandazione, questo dovrebbe essere ovvio. Una rete aperta significa proprio questo, è aperta. Ciò significa che gli hacker possono annusare il traffico wireless e acquisire informazioni e dati. Come minimo, dovresti usare la crittografia WPA. Se si dispone di un dispositivo gravemente obsoleto che supporta solo WEP, dovrebbe essere davvero buttato via poiché WEP non può più offrire alcuna protezione reale. Dovrebbe essere utilizzato lo standard attuale di WPA2. Se stai acquistando un nuovo router wireless, cercane uno che supporti il nuovo WPA3 che presenta vantaggi distinti rispetto al suo predecessore.
L’email spoofing è la creazione di e-mail con un indirizzo mittente contraffatto, e ha l’obiettivo di indurre il destinatario a fornire denaro o informazioni sensibili. Se la tua azienda utilizza un dominio registrato per la propria e-mail, è probabile che tu ne abbia visti alcuni nella tua casella di posta. È anche probabile che la maggior parte, se non tutte, fosse semplicemente una truffa di phishing.
Il tuo account è stato violato (hacked) o falsificato (spoofed)?
Il timore iniziale in queste circostanze è che l’account del mittente sia stato violato. Se il tuo account fosse compromesso, un utente malintenzionato potrebbe utilizzarlo per implementare attacchi sui social media contro i tuoi colleghi, dipendenti e contatti e-mail. Oppure, potrebbe essere utilizzato come account di spamming, il che influirebbe negativamente sulla reputazione della tua posta elettronica. La buona notizia è che gli account di posta elettronica vengono raramente violati. La maggior parte di questi episodi è dovuta allo spoofing.
Lo spoofing consiste nel far sembrare che l’e-mail provenga da un mittente di cui ti fidi, incluso te stesso. In realtà, l’e-mail proviene da una fonte esterna che potrebbe trovarsi dall’altra parte del mondo. Sfortunatamente, oggi è facile falsificare un account di posta elettronica. Qualsiasi server di posta elettronica può essere configurato per inviare posta da un determinato dominio, ovviamente da qualcuno che ne possieda le competenze necessarie. Anche se non si possiede questo know-how, ci sono siti Web che permettono di inviare e-mail una tantum utilizzando un indirizzo e-mail a scelta. Tutto questo è possibile perché, per il suo stesso design, il protocollo di posta elettronica rende possibile lo spoofing. Infatti, la sicurezza non era integrata nel protocollo di posta elettronica quando questo è stato creato.
Verificare l’Origine di una e-mail
Una buona regola oggi per le email che ti chiedono di “fare qualcosa” è di non fare affidamento solo sul nome visualizzato. Ad esempio, il nome del mittente potrebbe essere PayPal ma l’indirizzo e-mail è paypal@eydh12.com. Se un’e-mail proviene da una fonte attendibile all’interno della tua azienda, una rapida occhiata alla loro firma e-mail potrebbe essere una chiara indicazione che l’e-mail non proviene da quella persona. Le firme e-mail contraffatte spesso contengono numeri di telefono fasulli che non hanno alcuna correlazione con la tua azienda, o mancano del logo aziendale obbligatorio. Puoi anche fare clic sul pulsante Avanti che mostrerà quindi i campi “A” e “Da” dell’e-mail originale nel corpo.
Sebbene la verifica dell’indirizzo e-mail corretto ti consentirà di discernere correttamente se un’e-mail è stata falsificata per la maggior parte del tempo, non è infallibile. L’unico modo per sapere con certezza da dove proviene un’e-mail è esaminare l’intestazione (header) dell’e-mail. Ogni applicazione di posta elettronica ha un modo diverso per accedere all’intestazione.
Per Office 365, apri l’e-mail e fai clic sul menu Azione contenuto nell’e-mail e seleziona “Visualizza dettagli messaggio”
Per Gmail, apri l’e-mail e fai clic sui tre punti verticali accanto alla freccia di risposta e seleziona “Mostra originale”.
Per Outlook, apri l’e-mail e vai su File – Proprietà e visualizza “Intestazione Internet”.
Ci sono molte informazioni contenute nell’intestazione dell’e-mail, molte più di quelle che probabilmente vorresti sapere. Quando leggi l’intestazione di un’e-mail, i dati sono in ordine cronologico inverso. Ciò significa che le informazioni contenute in alto sono le più recenti. Per tracciare l’e-mail dal mittente al destinatario, devi iniziare dal basso. Ci sono due campi molto importanti contenuti nell’intestazione completa.
Ricevuto (received):
Questa parte dell’intestazione elenca tutti i server e i computer utilizzati per inviare l’e-mail. Poiché andiamo dal basso verso l’alto, l’ultima riga “Ricevuto:” è il punto in cui ha avuto origine l’e-mail. Questo dominio e-mail deve corrispondere a quello visualizzato nell’e-mail.
Ricevuto-SPF:
Il Sender Policy Framework (SPF) viene utilizzato dalle organizzazioni per specificare quali server sono autorizzati a inviare e-mail per suo conto. La posta inviata dai server consentiti verrà visualizzata come “Passato” – “Pass” nel campo SPF ricevuto, che è un indicatore molto forte del fatto che l’e-mail è legittima. Se i risultati mostrano “Fail” o “Softfail”, è un’indicazione che l’e-mail potrebbe essere contraffatta. Tieni presente che questo non è vero il 100 percento delle volte poiché alcuni domini non mantengono aggiornati i record SPF, con conseguenti errori di convalida.
Campi opzionali: per quelle organizzazioni che scelgono di utilizzare DKIM e DMARC, l’intestazione ha un altro campo per fornire indizi:
Risultati dell’autenticazione (Authentication-Results) Questo campo ti consentirà di sapere se l’e-mail ha superato l’autenticazione DKIM o DMARC. Mentre SPF può essere aggirato tramite spoofing, DKIM e DMARC sono molto più affidabili.
I filtri e-mail che utilizzano le più recenti funzionalità di sicurezza anti-malware sono il modo principale con cui gli amministratori possono bloccare questi attacchi, andando alla radice del problema: le e-mail di phishing. Il blocco delle e-mail di phishing impedisce agli utenti di fare clic su collegamenti dannosi, quindi un amministratore non deve limitare la funzionalità di condivisione dei file. Invece, l’amministratore può fermare l’attacco prima che raggiunga la posta in arrivo dell’utente.
Che cos’è DMARC (Domain-based Message Authentication – Autenticazione dei messaggi basata sul dominio)?
Le difese DMARC (Domain-based Message Authentication, Reporting, and Conformance) bloccano le e-mail di phishing in base alle impostazioni dell’amministratore e a un insieme di regole che sfruttano il DNS e la crittografia a chiave pubblica-privata. DMARC comprende il Sender Policy Framework (SPF), che richiede una voce DNS dall’organizzazione in modo che i server di posta elettronica del destinatario possano identificare se l’IP del mittente è autorizzato a inviare un’e-mail per conto del proprietario del dominio.
Anche DomainKeys Identified Mail (DKIM) è compreso nelle regole DMARC. Il DKIM aggiunge una firma di crittografia a chiave pubblica che può essere decrittografata solo dal server di posta elettronica dell’organizzazione che contiene la chiave privata. Aggiungendo una firma al messaggio di posta elettronica, l’organizzazione sa che solo i messaggi crittografati con la sua chiave pubblica sono destinati al destinatario. Insieme a SPF, questo framework di sicurezza blocca i messaggi contraffatti che potrebbero sembrare provenienti da un mittente attendibile.
Gli attacchi OAuth sono comuni in natura e basta un solo errore dell’utente per consentire a un utente malintenzionato di accedere a un’unità cloud. Con DMARC e i giusti filtri e-mail, un’organizzazione può impedire a un utente malintenzionato di raggiungere la casella di posta di un utente mirato.
I rischi derivanti da e-mail contraffatte e dannose sono oggi molto maggiori. Gli individui possono perdere la stabilità finanziaria a causa del furto di identità. I database delle organizzazioni possono essere estratti per numeri di previdenza sociale, informazioni sulla carta di credito, cartelle cliniche, numeri di conto bancario, ecc. Con conseguenti danni ingenti non solo all’organizzazione, ma anche alle persone le cui informazioni sono state rubate. Non solo le grandi organizzazioni, ma anche le piccole imprese sono spesso vittime di significativi danni finanziari causati da e-mail dannose.
Rimanere protetti dai tentativi di phishing tramite e-mail contraffatte
Nonostante sia relativamente facile proteggersi dalle e-mail contraffatte, questa è ancora una tecnica molto frequente e comune utilizzata da spammer e criminali informatici. Ci vuole un certo sforzo, e quindi denaro, per combattere lo spoofing delle e-mail. Probabilmente è per questo motivo che molte medie e piccole aziende non prendono le precauzioni necessarie. Le nostre raccomandazioni sono piuttosto semplici:
Iscriviti a un servizio di filtro antispam altamente professionale, rivalutandone l’efficacia ogni anno.
Assegna qualcuno (se non un dipendente, impiega una società di outsourcing IT) per monitorare e amministrare il sistema di posta elettronica, incluso il servizio di filtro antispam. Questo non è un compito banale in quanto le funzionalità e-mail cambiano, le nuove minacce si evolvono costantemente e gli indirizzi e-mail cambiano frequentemente a causa dei cambiamenti del personale.
Educa i dipendenti allo spoofing delle e-mail e ad altre tecniche utilizzate da spammer e criminali informatici.
Informali su cosa cercare durante la scansione della posta in arrivo in modo che possano identificare rapidamente potenziali e-mail dannose. Fornisci loro una risorsa che possa aiutarli a decidere se non sono sicuri che un’e-mail sia falsa.
La posta elettronica è uno strumento di comunicazione aziendale necessario ed estremamente utile. Sfortunatamente, poiché viene utilizzato così tanto, è un facile bersaglio per i criminali informatici. Per un utente medio di posta elettronica è un compito difficile nella migliore delle ipotesi individuare un’e-mail dannosa tra le centinaia o migliaia che si riversano nella loro casella di posta. Ecco perché è così importante per le organizzazioni allocare risorse e fondi per proteggere il proprio personale e la propria organizzazione da tutte le minacce che potrebbero arrivare come un messaggio dall’aspetto innocente da parte di un amico.
Dal 1999 SpamTitan ha sviluppato informazioni sulle minacce (threat intelligence) per ridurre drasticamente i rischi e i danni provocati da un attacco riuscito alla tua organizzazione. Con SpamTitan ridurrai significativamente il rischio che nuove varianti di email dannose entrino nella tua rete.
Se stai cercando il miglior filtro antispam per gli utenti aziendali, dai un’occhiata a SpamTitan, la soluzione antispam leader per PMI, MSP e scuole.
Una storia dell’origine aiuta a spiegare chi sei e perché.
Rapid7 ha iniziato a creare InsightIDR nel 2013. È stato l’anno in cui l’epica violazione dei dati di Yahoo ha rivelato i nomi, le date di nascita, le password e le domande e risposte di sicurezza di 3 miliardi di utenti.
A quel tempo, i professionisti della sicurezza volevano semplicemente i dati. Se qualcuno avesse potuto semplicemente raccoglierli tutti, loro sarebbero partiti da lì. Quindi il mercato si è concentrato su grandi quantità di dati (data first), la maggior parte rumorosi e inutili.
Rapid7 ha scelto un percorso e un approcciodiverso: prima i rilevamenti (detection first).
Abbiamo studiato come i criminali hanno attaccato le reti e abbiamo capito di cosa avevamo bisogno per trovarli (anche grazie ai nostri amici del progetto Metasploit). Quindi abbiamo scritto e testato questi rilevamenti, assemblato una libreria e consentito agli utenti di adattare i rilevamenti ai propri ambienti. Sembra così facile ora, in questo breve paragrafo, ma ovviamente allora non lo era.
Alla fine, nel 2015, ci siamo incontrati con gli analisti del settore subito prima del lancio. Le domande sono state numerose.
“Lo chiamate InsightIDR? Che cosa significa IDR?”
Incident. Detection. Response.
Ed è allora che sono iniziate le obiezioni. È andata più o meno così: “Incident Detection and Response è una categoria di mercato, non un prodotto! Servono 10 prodotti diversi per farlo davvero! l’obiettivo è troppo ampio! State cercando di fare troppo!”
E poi il colpo di grazia: “Il nome del prodotto è stupido”.
InsightIDR ha avuto un inizio cupo ma anche fantastico
Quando stai cercando di essere dirompente, la cosa più spaventosa è la tranquilla indifferenza. Qualsiasi grande reazione è ottima, anche se vieni interpretato. Quindi abbiamo pensato che forse avevamo qualcosa di importante da dire.
A quel tempo, i lavoratori moderni stavano seminando molti modi per essere trovati online: LinkedIn, Facebook, Gmail. Gli aggressori li hanno trovati. Siamo diventati tutti bersagli. Nel 2016 sono stati acquisiti 4 miliardi di dati, quasi tutti a causa di password rubate o deboli e intuibili. Naturalmente, gli intrusi mascherati da dipendenti non sono stati catturati dal monitoraggio tradizionale. Sebbene sia una buona idea impostare la politica delle password e formare i dipendenti sull’igiene della sicurezza, abbiamo deciso di studiare la natura umana piuttosto che provare a cambiarla.
Al centro di ciò che stavamo facendo c’era un nuovo modo di tracciare l’attività e condensare i dati rumorosi in eventi significativi. Con User and Entity Behavior Analytics (UEBA), InsightIDR basa continuamente il comportamento “normale” degli utenti in modo da individuare rapidamente anomalie, rischi e, in definitiva, comportamenti dannosi, aiutandoti a interrompere la catena di attacco.
Ma UEBA è solo una parte di una piattaforma di Detection and Response. Quindi abbiamo aggiunto funzionalità SIEM tradizionali come la nostra tecnologia proprietaria data lake (che ci ha permesso di evitare una politica di prezzi basati sulla quantità di dati – questa affligge il mercato), il monitoraggio dell’integrità dei file e dashboard e report di conformità.
Abbiamo anche aggiunto alcune funzionalità non così tradizionali come l’analisi del comportamento degli aggressori e il rilevamento e la risposta degli endpoint. L’EDR era arrivato a un punto morto. I fornitori di EDR continuano a concentrarsi sulla raccolta dei dati degli agenti. Ma abbiamo deciso anni fa che l’ingegneria del rilevamento e la cura – concentrandoci sul male – sono il modo giusto di fare EDR.
Si scopre che InsightIDR non stava facendo “troppo” – stava facendo XDR
Nel 2017 abbiamo aggiunto l’orchestrazione della sicurezza e l’automazione alla piattaforma Insight. XDR è incentrato sull’efficienza dell’analista e per questo è necessaria sempre più automazione. Successivamente, il nostro sensore di rete e le funzionalità SOAR complete hanno alleggerito ulteriormente gli analisti. La triade della visibilità è stata presto completata quando abbiamo aggiunto il rilevamento e la risposta della rete.
Qualche tempo l’anno successivo, il fondatore e CTO di Palo Alto Networks coniò l’acronimo “XDR” per spiegare la “sinfonia” che richiederebbe una grande sicurezza informatica. (almeno ora avevamo un nome per questo.)
Poi, nel 2021, sono successe tre cose.
In primo luogo, Rapid7 ha acquisito Velociraptor, una piattaforma open source incentrata sul monitoraggio degli endpoint, sull’analisi forense digitale e sulla risposta agli incidenti. (Ci impegniamo per l’open source dal 2009, quando abbiamo acquisito Metasploit, ora la rete di test di penetrazione più utilizzata al mondo con una community di 300.000 collaboratori.)
In secondo luogo, con i perimetri così estesi da rompersi, abbiamo acquisito IntSights. I clienti ora beneficiano di informazioni sulle minacce interne ed esterne senza rivali, che coprono il web chiaro, profondo e oscuro. Confronteremo gli avvisi ad alta fedeltà e il rapporto segnale/rumore di InsightIDR con quelli di chiunque altro.
Infine, XDR è diventato l’argomento al centro dell’attenzione. Seriamente, non passa giorno o conferenza che non veda il dibattito sull’esatta definizione di XDR, la speculazione che sia più pettegolezzo che buona tecnologia e la preoccupazione che XDR possa spostarsi molto rapidamente attraverso il Gartner Hype Cycle fino al “Trough of Disillusionment”.
InsightIDR ti dà la libertà di concentrarti su ciò che conta di più
In un recente sondaggio tra i clienti del programma Rapid7 Voice (un gruppo che fornisce input mentre sviluppiamo nuove idee) il 42% ha affermato di utilizzare InsightIDR per ottenere risultati XDR in questo momento. Ho sentito uno dire che è sempre sorpreso dal dibattito alle conferenze e dice: ma non sai che puoi già fare queste cose? Io le faccio!
A proposito, sta lavorando completamente da solo, un one-man show per un’azienda globale quotata al NASDAQ nel settore sanitario (un obiettivo piuttosto caldo di questi tempi). XDR, giunto al suo quinto anno, può aiutare con il problema del divario di competenze del settore? Questo è per un altro blog.
Gli attacchi ransomware potrebbero costare molto più di una semplice perdita finanziaria, possono sfociare in una battaglia legale.
I blocchi del 2020 e 2021 hanno causato un aumento degli attacchi informatici, in particolare ransomware e phishing. Con più persone che lavorano da casa e alla disperata ricerca di reddito, gli aggressori informatici hanno raccolto milioni in riscatti con una media di un quarto delle vittime che hanno pagato il riscatto . Questi attacchi prendono di mira aziende ed enti governativi.
Di conseguenza, l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha emesso un avviso avvertendo le persone che sanzioni e possibili sanzioni potrebbero essere valutate se facilitano o pagano gli aggressori.
Ransomware e phishing
Con più persone che lavorano da casa, le aziende sono costrette a rimanere produttive fornendo a questi dipendenti l’accesso remoto alle applicazioni interne e alle risorse di rete. Anche se questo può essere comune nelle grandi imprese, le piccole imprese faticano a configurare un sistema che sia comodo per gli utenti ma sicuro dagli attacchi informatici. Gli aggressori sono consapevoli del fatto che la maggior parte dei lavoratori domestici non dispone delle difese di sicurezza informatica per proteggersi da sofisticati ransomware e phishing, quindi è stato un modo redditizio e di successo per compromettere i dispositivi domestici e di lavoro.
Phishing e ransomware sono due attacchi devastanti, ma il ransomware di solito inizia con una campagna di phishing. La campagna di phishing potrebbe essere presa di mira (spear-phishing) oppure gli aggressori potrebbero contattare casualmente i dipendenti trovati dopo la ricognizione. La fase di ricognizione di un attacco viene eseguita leggendo i social media e LinkedIn per trovare potenziali bersagli. Dopo che gli obiettivi sono stati valutati e l’azienda è stata esaminata, gli aggressori inviano e-mail di phishing con allegato malware. Un’altra alternativa per gli aggressori è inviare messaggi con collegamenti a server che ospitano malware.
Ciò che rende il ransomware particolarmente pericoloso è che non esiste una soluzione o un modo per eliminarlo dal dispositivo senza backup, ma il ransomware esegue la scansione della rete alla ricerca di file vulnerabili e li crittografa. L’unico modo per recuperare i file se l’utente di destinazione non ha backup è pagare il riscatto. Pagando il riscatto, OFAC riconosce che l’atto di pagamento facilita la criminalità informatica e incoraggia più campagne di ransomware.
Sanzioni OFAC e incident response
La nuova consulenza OFAC rende difficile per i team di incident response supportare completamente i clienti. A volte, l’unica opzione è tentare di pagare il riscatto e il costo aumenta se il pagamento non è stato effettuato entro un breve lasso di tempo. Gli aggressori in particolare fanno riscatti di alcune migliaia di dollari in modo che sia conveniente per privati e aziende, quindi pagare il riscatto è un rischio più economico rispetto al recupero senza backup.
Ora, questa azione rientra nelle nuove sanzioni dell’OFAC e potrebbe mettere in difficoltà una squadra di incident response con il governo degli Stati Uniti. Per aumentare il rischio, il governo degli Stati Uniti richiede alle aziende di conoscere i loro beneficiari, ma gli aggressori fanno di tutto per proteggere la loro identità. Il malware ransomware include un indirizzo e-mail usa e getta con un ID portafoglio di criptovaluta. Queste due informazioni non sono sufficienti per identificare un aggressore. Gli indirizzi bitcoin non sono anonimi, ma gli aggressori “lavano” la criptovaluta per evitare il tracciamento e l’identificazione.
Le vittime di ransomware sono tenute ad avvisare le forze dell’ordine di un attacco, ma la presentazione di una segnalazione potrebbe essere troppo onerosa per le persone. In un ambiente aziendale, mantenere le prove di una violazione influisce sulla produttività se è l’unico computer di lavoro a disposizione del dipendente. Per la piccola impresa media, la formattazione del computer e il ripristino dai backup sono una scelta che incide meglio sulle entrate rispetto alla conservazione delle prove per le forze dell’ordine.
La migliore difesa è rappresentata da strategie anti-phishing e anti-malware proattive
Il vettore ransomware più comune è preso di mira con messaggi di posta elettronica dannosi. Per fermare in modo efficace gli attacchi di phishing, le aziende necessitano di strategie anti-phishing, compresi i filtri dei server di posta elettronica e le quarantene. I filtri e-mail rilevano allegati e collegamenti dannosi e mettono in quarantena i messaggi in un luogo sicuro. Gli amministratori possono rivedere i messaggi e inoltrarli al destinatario previsto o eliminarli in modo permanente.
È una strategia di difesa comune per educare gli utenti ad aiutarli a rilevare i messaggi dannosi, in particolare gli utenti con account di rete con privilegi elevati. Tuttavia, questo metodo si basa ancora sull’interazione dell’utente e lascia spazio all’errore umano. Con i filtri e-mail, i messaggi non raggiungono mai la posta in arrivo del destinatario, quindi il rischio è notevolmente ridotto e l’errore umano eliminato. In caso di falso positivo, gli amministratori possono inoltrare messaggi e modificare le impostazioni per identificare meglio le minacce reali anziché i messaggi innocui.
Le organizzazioni non possono ottenere una rete senza minacce al 100%, ma possono implementare difese che la riducono notevolmente. Entro il 2021, il ransomware aumenterà le sanzioni anche per i team di risposta agli incidenti. Aggiungendo filtri e-mail ai normali server operativi, gli amministratori e i team di sicurezza informatica possono proteggere l’organizzazione da una delle maggiori minacce alla continuità aziendale e all’integrità dei dati.
Utilizza SpamTitan Email Protection per proteggere la tua azienda da spam, virus, malware, ransomware e collegamenti a siti Web dannosi. Con un tasso di cattura dello spam del 99,99%, puoi essere certo che le email dannose non entreranno nella tua organizzazione. Mettiti in contatto con un membro del team di SpamTitan per scoprire come possiamo proteggere meglio la tua azienda dagli attacchi ransomware. Mettiti in contatto oggi stesso.
Nel 2021, l’e-mail è stata l’arma prescelta dai criminali informatici, utilizzata nel 91% degli attacchi. Il motivo è semplice: la posta elettronica è il vettore di attacco ideale perché funge da gateway per una rete aziendale. L’e-mail contiene spesso informazioni riservate o proprietarie.
Ciò rende l’e-mail interessante non solo per un’intercettazione dannosa, ma anche una fonte di fuga accidentale di dati. Se questo gateway non è protetto, diventa una porta aperta che consente a errori, abusi e attacchi informatici di trasformarsi in violazioni dei dati. Pertanto, è fondamentale proteggere le e-mail da attacchi, usi impropri o indirizzamenti errati. La crittografia e-mail TLS viene utilizzata per fornire questa protezione.
Che cos’è TLS e come viene utilizzato per proteggere e-mail e dati?
TLS o Transport Layer Security è un protocollo di sicurezza sviluppato specificamente per proteggere i dati trasmessi tramite una connessione Internet, ad esempio il contenuto della posta elettronica. TLS è stato sviluppato nell’ambito dell’attività dell’Internet Engineering Task Force (IETF). È un sostituto del precedente protocollo Secure Sockets Layer (SSL) che è nato a metà degli anni ’90 quando l’Internet commerciale è decollato. Ci sono voluti dieci anni per perfezionare il protocollo TLS, che è stato rilasciato ad agosto 2018 ed è ora nella versione 1.3.
La sicurezza TLS si basa sulla crittografia. Tutti i dati, come password, informazioni finanziarie, contenuto e-mail, ecc., inviati tramite TLS verranno crittografati. La crittografia funziona end-to-end, in altre parole, tutti i dati trasmessi utilizzando il protocollo TLS saranno protetti durante tale trasmissione. Se una persona o una cosa tenta di intercettare quei dati crittografati, non sarà in grado di decrittografarli a meno che non sia autorizzato a farlo.
Il protocollo TLS funziona utilizzando un mix di crittografia asimmetrica e simmetrica per ottimizzare velocità e sicurezza. Questa crittografia si basa su certificati digitali e crea qualcosa noto come “TLS handshake”, accoppiando i certificati TLS corrispondenti per eseguire un processo di decrittazione sicuro. Dietro il simbolo di sicurezza del lucchetto e la S in HTTPS si trova un certificato TLS che segnala agli utenti che un sito Web è protetto tramite TLS.
Perché un’organizzazione dovrebbe utilizzare la crittografia e-mail TLS?
La posta elettronica continua a essere una fonte significativa di fughe di dati. Una ricerca recente ha rilevato che l’83% delle violazioni dei dati potrebbe essere ricondotto a un’e-mail e il 95% dei leader IT ritiene che l’e-mail rappresenti una minaccia significativa alla protezione dei dati. Uno studio del 2020 ha rilevato che il 93% delle organizzazioni ha subito una violazione dei dati a causa di e-mail in uscita compromesse.
La sicurezza delle e-mail è vulnerabile in molti modi dalle e-mail indirizzate in modo errato che finiscono nelle mani sbagliate e causano imbarazzo all’intercettazione dannosa di informazioni aziendali sensibili da parte degli hacker. Ovunque si trovi la vulnerabilità, la crittografia TLS aiuta a ridurre significativamente questo rischio.
In che modo EncryptTitan utilizza TLS per proteggere la posta elettronica
TLS è una parte fondamentale di un approccio olistico per proteggere la posta elettronica aziendale. Come standard riconosciuto, è mantenuto dal settore ed è ampiamente adottato e supportato da tutti i principali browser e app. Senza utilizzare questa crittografia end-to-end basata su protocollo standard, i messaggi di posta elettronica sono vulnerabili all’intercettazione e all’esposizione dei dati. EncryptTitan utilizza questo protocollo standard come base per la sua piattaforma di protezione della posta elettronica.
Una delle vulnerabilità comuni inerenti ai sistemi di sicurezza è l’errore umano. Spesso i sistemi di sicurezza falliscono semplicemente perché l’operatore umano, ad esempio un dipendente, dimentica di abilitare la protezione. EncryptTitan evita ciò automatizzando l’uso della crittografia e-mail in modo che i messaggi siano sempre crittografati prima dell’invio ai destinatari.
EncryptTitan offre due tipi di protezione della posta elettronica, tramite TLS Verify o un Secure Portal. Entrambi utilizzano TLS per crittografare i messaggi end-to-end, ma utilizzano metodi diversi per consentire l’accesso sicuro a un’e-mail crittografata con TLS dopo la ricezione.
In che modo i destinatari accedono a un’e-mail crittografata TLS?
TLS crittografa l’e-mail durante la sua trasmissione tra il server Web e il client di posta elettronica, ovvero il contenuto dell’e-mail è protetto utilizzando la crittografia end-to-end. Una volta ricevuta un’e-mail, è possibile proteggerla ulteriormente richiedendo le credenziali di autenticazione per accedervi.
Alcuni servizi avanzati di crittografia delle e-mail TLS, come EncryptTitan, offrono un accesso sicuro, continuo e automatizzato alle e-mail crittografate creando una rete di fiducia, chiamata TLS Verify.
Accesso tramite TLS Verify
TLS Verify automatizza il processo per crittografare i messaggi di posta elettronica e, così facendo, EncryptTitan evita l’errore umano. TLS Verify garantisce inoltre che gli standard di sicurezza dei dati soddisfino i requisiti delle normative statali e federali per l’invio di informazioni private tramite e-mail. TLS Verify utilizza il confinamento sicuro, creando una rete di fiducia, per condividere senza problemi i messaggi di posta elettronica crittografati.
Quando un destinatario riceve un messaggio di posta elettronica crittografato tramite TLS Verify, può accedere a quel messaggio utilizzando questo ambiente protetto condiviso. Il processo di decrittazione è quindi continuo e invisibile all’utente.
Funziona perché TLS Verify si connette tramite l’host di posta del destinatario, associato ai record MX del dominio, utilizzando TLS versione 1.2 o 1.3. Il nome dell’host di posta deve corrispondere al nome comune (CN) del certificato digitale utilizzato per facilitare il TLS: questa corrispondenza garantisce un accesso sicuro.
Accesso tramite un Portale Sicuro
Se un’organizzazione decide di non facilitare l’accesso senza interruzioni alla posta elettronica crittografata, può in alternativa utilizzare un metodo di “portale sicuro”. In questo scenario, il messaggio crittografato viene inviato a un’area del portale per l’accesso protetto.
Un destinatario riceve un’e-mail di notifica che il messaggio protetto lo sta aspettando nel portale. Per accedere al messaggio, il destinatario in genere inserisce l’autenticazione a due fattori per accedere al portale. Questo ulteriore livello di autenticazione aggiunge ulteriore sicurezza.
Portale sicuro e crittografia e-mail TLS
I modelli di crittografia delle e-mail end-to-end e basati su portali sicuri utilizzano TLS per proteggere le e-mail durante la trasmissione. Tuttavia, i messaggi crittografati basati su portale sicuro sono più sicuri della crittografia e-mail TLS poiché richiedono un ulteriore livello di autenticazione per accedere all’e-mail. Tuttavia, così facendo, non sono facili da usare come il metodo di verifica TLS senza interruzioni, che richiede ai dipendenti di eseguire clic aggiuntivi e inserire le credenziali di autenticazione per accedere alle e-mail.
Idealmente, un’organizzazione dovrebbe utilizzare entrambi i tipi di crittografia e-mail e scegliere quando utilizzarne uno rispetto all’altro. Per le e-mail altamente sensibili, il metodo del portale protetto è il metodo preferito. Tuttavia, per gli scambi quotidiani di posta elettronica tra dipendenti e aziende partner, TLS Verify è l’opzione migliore in quanto offre un modo più semplice ma sicuro per lo scambio di informazioni trasmesse tramite posta elettronica.
EncryptTitan per la crittografia TLS
Encrypt Titan offre sia l’accesso ai messaggi crittografato senza interruzioni utilizzando la verifica TLS che l’accesso al portale protetto. Questo approccio unisce il meglio dei due mondi alla protezione delle e-mail, permettendo di raggiungere l’equilibrio tra sicurezza e usabilità. Per vedere come la crittografia e-mail può rendere più sicure le comunicazioni aziendali, richiedi una demo gratuita di EncryptTitan.
Con l’aumento delle minacce di frode online, accelerato dall’adozione digitale da parte dei consumatori durante le chiusure pandemiche, le aziende hanno bisogno della certezza che gli utenti che interagiscono con i loro siti Web siano legittimi. Data la natura in continua evoluzione dell’attività criminale, anche i programmi di prevenzione delle frodi più sofisticati faticano a separare gli utenti buoni da quelli cattivi, in particolare quando i criminali utilizzano i dati rubati per eludere le tradizionali misure di prevenzione delle frodi.
Oggi l’offerta di SpyCloud si arricchisce di una nuova soluzione per aiutare le aziende a impedire che i criminali utilizzino i dati rubati per creare false identità e farla franca. SpyCloud Identity Risk Engine è uno strumento di prevenzione delle frodi che attinge ai dati della criminalità clandestina per valutare il rischio degli utenti, qualcosa che nessun’altra soluzione sul mercato può offrire. Può essere inserito a strati in un quadro di controllo esistente per aiutare i team antifrode a prendere decisioni più accurate, consentendo loro di prevenire più frodi e consentire più buoni affari senza interruzioni.
Identity Risk Engine offre analisi fruibili che aiutano le organizzazioni a:
Prevedere le frodi legate al malware : rileva quando i dati personali dei consumatori sono stati rubati da un malware, esponendoli a un rischio elevato di frode;
Rilevare identità sintetiche : individua le irregolarità nelle informazioni di un utente che suggeriscono che l’identità è stata rubata o creata utilizzando i dati personali disponibili per i criminali;
Anticipa l’acquisizione dell’account : identifica i segnali di pericolo che indicano che i consumatori sono ad alto rischio di acquisizione dell’account, ad esempio alti tassi di riutilizzo delle password nei loro account.
Guarda il nostro video per saperne di più su come Identity Risk Engine aiuta le aziende a fermare le frodi difficili da rilevare.
In che modo SpyCloud Identity Risk Engine può rafforzare il tuo framework di controllo delle frodi
SpyCloud Identity Risk Engine può aiutare le aziende a prendere decisioni di frode più sicure per una varietà di scenari diversi. Ecco solo alcuni esempi.
Scenario n. 1: arriva un’ondata di nuove registrazioni di account. Come puoi sapere quali sono legittime?
Una sfida comune che abbiamo sentito dai clienti dall’inizio della pandemia è capire come gestire un afflusso di nuove registrazioni di account. Mentre molte delle nuove iscrizioni provengono da utenti reali che espandono i servizi che utilizzano online, molte provengono anche da criminali informatici. Il problema è significativo: secondo Lexis Nexis , una creazione di nuovi account su 11 è potenzialmente fraudolenta .
Le creazioni fraudolente di account sono spesso difficili da rilevare perché i criminali si iscrivono utilizzando dati legittimi rubati a utenti reali, in genere combinati in identità sintetiche. La manichetta antincendio delle nuove registrazioni esacerba la sfida di eliminare i cattivi attori senza rallentare il processo di registrazione per i nuovi utenti legittimi.
Identity Risk Engine aiuta le aziende a rilevare le creazioni di account rischiose segnalando quando le informazioni di un nuovo utente includono anomalie che suggeriscono che l’identità è stata rubata o costruita. Le aziende possono chiamare l’API durante il processo di creazione dell’account per supportare altri processi di verifica dell’identità come Know Your Consumer (KYC). Oltre a un punteggio che indica il livello di rischio dell’utente, Identity Risk Engine restituisce anche codici di motivazione che spiegano perché l’account è stato segnalato come sospetto.
Scenario n. 2: un cliente effettua transazioni tramite il checkout degli ospiti. Dovresti lasciare che l’acquisto vada a buon fine?
Il check-out degli ospiti riduce l’attrito per gli acquirenti occasionali, ma può fornire informazioni limitate per supportare le decisioni di frode. Senza un account per fornire informazioni storiche, può essere difficile determinare come procedere con la transazione. I controlli per la prevenzione delle frodi possono aiutare, ma in genere offrono una protezione limitata se un malintenzionato ha riciclato i dati rubati che appartengono a utenti reali.
Identity Risk Engine elimina parte delle congetture dalla valutazione delle transazioni di checkout degli ospiti, arricchendo i dati disponibili per il tuo team antifrode con approfondimenti tratti da dati sotterranei recuperati. SpyCloud distilla miliardi di punti dati in un chiaro segnale di rischio correlando le informazioni sull’identità e analizzando fattori come l’attualità e la portata delle esposizioni precedenti, l’igiene delle password, le prove che i dati dell’utente sono stati raccolti da malware e altri indicatori chiave di rischio. Con il punteggio di rischio e i codici motivo forniti da SpyCloud, puoi prendere una decisione sicura se lasciare che l’ordine venga eseguito, richiedere all’utente un’ulteriore verifica dell’identità o rifiutare la transazione. L’utilizzo di dati sotterranei recuperati per valutare il rischio di frode può aiutare non solo a ridurre le frodi, ma anche a ridurre i tassi di revisione manuale. Un rivenditore nella versione beta di questo prodotto ha scoperto che avrebbe potuto evitare la revisione manuale per il 76% degli ordini testati con Identity Risk Engine.
Scenario n. 3: alcuni clienti utilizzano senza saperlo dispositivi infettati da malware. Come impedire ai criminali di utilizzare i loro dati per frode?
È una minaccia silenziosa: un utente accede con il browser, la posizione e le credenziali abituali, o forse anche con un cookie memorizzato. Non vengono lanciati allarmi e nulla sembra che non vada, fino a settimane dopo, quando il vero titolare del conto emette uno storno di addebito o segnala altre attività fraudolente. Dopo il fatto, il team antifrode potrebbe scoprire o meno che il motivo per cui la transazione fraudolenta è sfuggita alle loro difese era perché i dati dell’utente originale erano stati sottratti al malware e sono stati utilizzati per rubare i loro account e l’identità.
I dati raccolti dal malware per il furto di credenziali consentono ai criminali di aggirare più facilmente le misure antifrode. Ogni consumatore i cui dati sono stati raccolti da malware corre un rischio significativo di furto di account, furto di identità e altre forme di frode online.
A differenza di qualsiasi prodotto sul mercato, Identity Risk Engine è in grado di identificare in anticipo gli utenti ad alto rischio, aiutando a prevenire perdite di frode legate alle infezioni da malware. Durante i beta test dei clienti che abbiamo eseguito durante lo sviluppo di questo prodotto, Identity Risk Engine ha rivelato che circa l’1% degli account dei consumatori testati era stato colpito da malware. Identificando che i criminali hanno accesso alle impronte digitali del browser dei clienti, alle credenziali esatte e alle informazioni riservate, puoi segnalare in modo proattivo il loro account o agire prima che si verifichino ATO e frode.
Scenario n. 4: un titolare di conto esistente effettua l’accesso e modifica il proprio indirizzo. Si sono trasferiti davvero?
L’acquisizione di account rappresenta un grosso problema per le imprese e un’opportunità redditizia per i criminali. Solo l’anno scorso, SpyCloud ha recuperato 1,7 miliardi di credenziali dalla criminalità clandestina e il 70% degli utenti con più di una password nel nostro database le ha riutilizzate. I criminali testano queste password contro account online, che usano per drenare fondi, rubare punti fedeltà, effettuare acquisti fraudolenti, rivendere e monetizzare in qualsiasi altro modo gli venga in mente.
Per anni, SpyCloud è stata leader nella prevenzione dell’acquisizione di account perché consente alle aziende di rilevare e ripristinare le credenziali compromesse, ma con l’aggiunta di Identity Risk Engine, i team antifrode possono arricchire i propri modelli di rischio con nuove informazioni sufficienti per personalizzare il percorso del cliente in base a rischio del singolo utente. Comprendere l’esposizione degli utenti alla criminalità clandestina non solo può aiutare le aziende ad agire per proteggere gli account vulnerabili, ma anche evitare inutili attriti per i clienti che corrono un rischio eccezionalmente basso.
Il tipo di esposizione, la gravità e la tempistica possono tutti influenzare il rischio dell’utente. Ad esempio, se la password di un utente è apparsa in un elenco combinato, significa che le sue credenziali stanno circolando ampiamente in un formato che è facile da usare per i criminali non sofisticati negli attacchi automatici. È probabile che il loro account venga colpito da attacchi di credential stuffing. Al contrario, un utente le cui credenziali sono apparse di recente in una nuova violazione di terze parti è maggiormente a rischio di attacchi mirati di acquisizione del controllo dell’account , che possono includere sforzi creativi e manuali da parte di un utente malintenzionato. (Secondo i clienti di SpyCloud, gli attacchi mirati rappresentano solo il 10% dei tentativi di acquisizione dell’account e rappresentano l’80% delle perdite.)
In entrambi i casi, la cronologia delle password dell’utente è un fattore critico. Se l’utente ha un alto tasso di riutilizzo delle password negli altri accessi esposti (incluse le password associate agli altri indirizzi e-mail), ci sono buone probabilità che gli attacchi abbiano successo a un certo punto. Potrebbe essere utile fare un ulteriore passo per verificare che l’utente sia legittimo e non un attore di minacce, come attivare l’autenticazione a più fattori o fargli reinserire il numero di carta di credito memorizzato. D’altra parte, una forte igiene delle password su altri account significa che i criminali molto probabilmente non hanno gli strumenti per rubare l’account di questo utente. In questo caso, puoi consentire all’utente di procedere con l’aggiornamento del proprio account senza interrompere il percorso del cliente.
Come funziona Identity Risk Engine
SpyCloud Identity Risk Engine analizza miliardi di punti dati e distilla ciò che è importante in elementi statistici riepilogati che puoi utilizzare per guidare l’azione per la tua applicazione. Può fungere da complemento alle tue soluzioni esistenti, con la flessibilità di essere stratificato in un percorso del cliente in punti ad alto rischio di tua scelta (creazione di account, transazione, ecc.). Interrogando l’API Identity Risk Engine con un semplice indirizzo e-mail o numero di telefono, avrai accesso a un punteggio di rischio e agli elementi analitici che ne forniscono il contesto, informazioni che possono aiutare la tua organizzazione a migliori decisioni sulle frodi e a proteggere i tuoi profitti dalle frodi.
Per saperne di più su come SpyCloud Identity Risk Engine può aiutare a limitare le frodi e l’attrito con i clienti, pianifica una demo oggi stesso.
Percezioni errate sull’utilizzo dei Breach Data per combattere le frodi online
Ogni utente è ugualmente esposto.
I dati sulle violazioni sono preziosi solo per i criminali.
Un malinteso comune è che, dal momento che tutti sono stati esposti a violazioni dei dati, la battaglia contro il furto di identità e le frodi sia già stata persa. È vero che una parte significativa della popolazione è stata compromessa: solo l’anno scorso, SpyCloud ha recuperato 1,5 miliardi di credenziali esposte , scoprendo che l’identità della persona media è esposta in circa una violazione dei dati al trimestre.
Per quanto questo sia allarmante, non significa che siamo impotenti contro la frode alimentata dai dati esposti.
Due presupposti fondamentali stanno ostacolando la lotta contro le frodi nei pagamenti online: in primo luogo, che ogni utente sia ugualmente esposto e, in secondo luogo, che i dati sulla violazione siano preziosi solo per i criminali. Ma la verità è che la prevenzione delle frodi può trarre vantaggio dai “dati sotterranei” esposti alla violazione (dati che sono trapelati nell’area criminale). Fornisce segnali di rischio per gli utenti, consentendo un rilevamento e una prevenzione più rapidi e precisi delle frodi nelle transazioni online.
Ma per capire veramente come sfruttare per sempre i dati esposti, in primo luogo, abbiamo bisogno di capire come i criminali utilizzano i dati sotterranei per eseguire transazioni fraudolente e perché la portata del problema richiede un nuovo framework per risolverlo.
Il crescente problema delle frodi
L’epidemia di violazioni e fughe di dati si è rivelata molto redditizia per i criminali e il denaro è destinato a continuare a fluire. Secondo Juniper Research , le frodi sui pagamenti online nei prossimi quattro anni dovrebbero raggiungere quasi 206 miliardi di dollari, dieci volte l’utile netto di Amazon. nel 2020. I criminali stanno diventando più esperti e, con la crescente prevalenza di strumenti e dati utilizzati per sfruttare le vulnerabilità, gli attori delle minacce stanno crescendo in numero e abilità.
Analisi recenti indicano che gli attacchi stanno diventando più chirurgici. Il rapporto sulla violazione dei dati del 2020 del Centro risorse per il furto di identità ha citato più di 1.108 violazioni dei dati segnalate pubblicamente nel 2020, una diminuzione del 19% delle violazioni e una diminuzione del 66% delle persone colpite. Sempre più spesso, i criminali prendono di mira le aziende con maggiori vulnerabilità a causa del comportamento rischioso dei consumatori, piuttosto che rubare le informazioni personali dei consumatori in grandi quantità.
Per le aziende che dipendono dalle transazioni online, il crescente rischio di frode rappresenta una seria minaccia alla redditività a lungo termine. Questi rischi sono accentuati dalla sofisticatezza dei metodi utilizzati dai criminali, dagli utenti che effettuano transazioni da più dispositivi e dall’aumento della mobilità. Il riutilizzo delle password ha contribuito alla diffusa disponibilità di credenziali esposte nell’ambiente criminale. Il rapporto annuale sull’esposizione delle credenziali di SpyCloud ha rilevato un tasso di riutilizzo della password del 60% tra gli utenti esposti a violazioni dei dati nel 2020. Di conseguenza, le credenziali sono diventate la valuta preferita dei criminali pronti a sfruttarle per profitto, notorietà e spesso entrambi.
Le credenziali sono strumenti a basso sforzo nella cassetta degli attrezzi del criminale per rilevare gli account dei consumatori ed eseguire frodi. L’elusione dell’MFA richiede ulteriori PII che vengono anche sottratte a violazioni dei dati o dati di sessioni Web (cookie) rubati tramite infezioni da malware che consentono l’acquisizione della sessione, in particolare se abbinati a browser anti-rilevamento in grado di emulare il dispositivo affidabile di un utente legittimo e l’impronta digitale del browser.
Una crescente varietà di strumenti di crimeware insieme a enormi quantità di dati rubati a disposizione dei criminali clandestini consente loro di volare sotto il radar degli odierni controlli antifrode.
Superare il nostro stack di frodi
Per difendersi dalle frodi nelle transazioni di pagamento online, la maggior parte delle organizzazioni si affida a una serie di strumenti o “quadri di controllo”, selezionati per massimizzare l’efficacia e ridurre i costi quando possibile. È disponibile un’ampia gamma di strumenti antifrode: verifica dell’identità tradizionale, rilevamento botnet, rilevamento delle impronte digitali del dispositivo, monitoraggio dell’indirizzo IP, triangolazione della geolocalizzazione, autenticazione a più fattori, autenticazione basata sulla conoscenza, strumenti comportamentali, biometria, dati del consorzio e altro ancora.
Tutti i tipi di strumenti di rilevamento delle frodi sono, in varia misura, preziosi, fino a quando non funzionano più. Nessuna forma di protezione è impenetrabile. Inevitabilmente, gli strumenti di rilevamento delle frodi diventano prevedibili per i criminali. Una volta che i criminali rilevano un punto di debolezza, lo sfruttano a scopo di lucro, dicono ai loro stretti alleati come fare lo stesso e vendono gli strumenti e i dati per continuare a farlo nel sottosuolo criminale.
A questo punto, molte delle soluzioni antifrode disponibili sono diventate obsolete, tecnologie legacy che possono essere aggirate dai criminali con poco sforzo. Pertanto, è fondamentale dotare i framework di controllo delle frodi di molteplici soluzioni solide che possono essere facilmente e rapidamente adattate per adattarsi alle tendenze emergenti delle frodi.
Ripensare la difesa dalle frodi – Indizi di contesto
Le aziende devono bilanciare l’esperienza del cliente con l’importanza di monitorare e agire in base ai segnali di frode. Ignorare i segnali di frode per aumentare le entrate può far rischiare alle aziende di perdere la fiducia dei clienti e diventare obiettivi più grandi per i criminali. D’altro canto, l’utilizzo di strumenti troppo onerosi e dirompenti per il percorso del cliente potrebbe soffocare la crescita.
I dati sotterranei violati hanno un valore inestimabile nel fornire un contesto intorno al livello di rischio di transazione di un utente. Sepolti in grandi quantità di dati sotterranei ci sono indicatori che offrono approfondimenti critici sui profili di rischio dei clienti. Sfruttare questi indicatori in modo proattivo fornisce un nuovo metodo predittivo per difendersi dalle frodi. Queste attribuzioni di dati possono aiutare a indirizzare senza problemi gli utenti attraverso i canali di transazione appropriati per migliorare la fidelizzazione e la soddisfazione dei clienti, aumentare le vendite e ridurre le frodi.
In altre parole, più informazioni ha un’azienda sui suoi utenti, maggiore è la fiducia che può estendere. Le soluzioni di verifica dell’identità come l’autenticazione a più fattori o basata sulla conoscenza possono verificare l’accuratezza di nomi, indirizzi, telefoni ed e-mail. Tuttavia, non possono fornire un quadro completo del rischio di acquisizione dell’account da parte degli utenti o del rischio della tua azienda di essere defraudato da identità sintetiche create dalle credenziali esposte degli utenti.
Conoscere l’attribuzione, i tempi e la frequenza del momento in cui si è verificata l’esposizione di un utente, nonché in che misura le sue informazioni sensibili sono disponibili per i criminali, è un insieme di specifiche critiche che aiutano a creare un’immagine distinta del rischio dell’utente. Questa conoscenza dell’identità arricchita consente a un’azienda di conoscere meglio i propri utenti, generare un percorso di transazione fluido e senza intoppi e prendere decisioni di transazione appropriate, fornendo al contempo la fiducia e la sicurezza che gli utenti si aspettano.
Sebbene la maggior parte di noi sia stata smascherata in qualche modo, possiamo trarre importanti lezioni dai registri delle denunce che già circolano nelle reti criminali. Ignorare questi dati significa ignorare le informazioni che potrebbero aiutare a prevenire le frodi e ridurre i rischi. I criminali hanno rubato e sfruttato la conoscenza intima di chi siamo e di come ci comportiamo in un mondo digitale. È tempo di far funzionare quella conoscenza per noi.
Questo articolo è stato originariamente pubblicato su About-Fraud.com .
Contattaci per sapere come stiamo aiutando le aziende a utilizzare i dati sulle violazioni per combattere le frodi.
La carenza di visibilità sulla Supply Chain conduce ad Attacchi Cyber su tutta la catena
La Supply Chain è un fattore determinante per il business in tutto il mondo. I fornitori aggiungono funzionalità, aiutano a spostare le merci e, in generale, arricchiscono e facilitano la produzione e i processi. Ma la Supply Chain è anche un tallone d’Achille, a causa dei criminali informatici che cercano punti deboli nella sicurezza della catena per sfruttare e prendere di mira queste importanti relazioni.
Un recente sondaggio di BlueVoyant sulle dinamiche e la visibilità della Supply Chain mette in evidenza il ruolo che l’ecosistema dei fornitori svolge nel rischio di sicurezza informatica, rilevando che uno sbalorditivo 97% delle aziende è stato “colpito negativamente” da una violazione della sicurezza informatica presso un fornitore. La colpa di questa statistica scioccante risiede nella mancanza di visibilità lungo la catena che porta a una scarsa applicazione di solide misure di sicurezza.
I fornitori sono essenziali per far funzionare bene il business moderno, quindi come fa un’organizzazione a gestire e proteggere questa risorsa così vitale?
Shock per la sicurezza della Supply Chain
La natura degli attacchi alla sicurezza della Supply Chain è insidiosa e di vasta portata. Questo non è stato illustrato meglio che nel recente attacco informatico di SolarWinds. SolarWinds è un fornitore di software per molti clienti aziendali e governativi. Gli hacker hanno sfruttato una vulnerabilità nel sistema di distribuzione degli aggiornamenti dell’azienda, inserendo malware. Quando il successivo aggiornamento di SolarWinds è stato consegnato ai client, il malware è stato installato insieme al software SolarWinds.
Gli attacchi alla sicurezza della Supply Chain sono fin troppo comuni. Nel 2013, l’ hacking della catena di approvvigionamento di Target ha fatto ondate globali, costando alla società 202 milioni di dollari in reclami dei clienti, legali e altri costi finanziari.
Nel primo trimestre del 2021, gli attacchi alla catena di approvvigionamento con sede negli Stati Uniti sono aumentati del 42%. Un rapporto dell’ENISA sulle vulnerabilità della Supply Chain ha rilevato che nel 58% degli attacchi l’accesso ai dati era l’obiettivo principale. Inoltre, il 62% degli attacchi si basava sulla manipolazione della fiducia dei clienti nella catena di approvvigionamento.
Poiché le Supply Chain sono sempre più minacciate, come può un’organizzazione raggiungere questa rete eterogenea e rafforzare la sicurezza? Per capire come risolvere questo problema, dobbiamo capire come le Supply Chain vengono abusate dai cyber criminali.
In che modo gli hacker sfruttano le Supply Chain?
Ci sono diverse ragioni dietro lo sfruttamento delle Supply Chain da parte dei criminali informatici, ognuna delle quali si basa sulla precedente per creare una tempesta perfetta:
Il Mantello dell’Invisibilità della Supply Chain
Le Supply Chain sono per loro natura entità separate dall’organizzazione capofila; questo porta a problemi di visibilità. La principale scoperta dello studio BlueVoyant è stata che la mancanza di visibilità lungo la catena di approvvigionamento è una vulnerabilità fondamentale nella governance e nella gestione dei dati. Lo studio ha concluso:
“La visibilità del rischio del fornitore e il monitoraggio continuo di terze parti rimangono relativamente bassi nonostante l’accresciuta consapevolezza del rischio e gli aumenti sostanziali del budget per affrontare il problema”.
Complessità della Supply Chain
Molte Supply Chain moderne sono altamente complesse , in genere hanno più livelli, rendendo la visibilità ancora più difficile e offuscando o complicando le misure di sicurezza. Le misure di sicurezza possono anche diventare isolate, avendo un impatto minore su tutta la catena. Questa complessità della catena crea un’enorme superficie di attacco con più punti di contatto che possono essere sfruttati dai criminali informatici. Se un hacker può eludere la sicurezza in un punto cruciale di quella catena, ad esempio utilizzando l’ingegneria sociale o il phishing, può avere effetti a catena sull’intera catena fino all’organizzazione radice.
Il phishing è un problema della Supply Chain
Un ulteriore rapporto dell’ENISA sottolinea che il 95% delle e-mail di phishing necessita dell’intervento umano per avviare il processo che porta a un’infezione da malware. Il fornitore della Supply Chain è una relazione di fiducia. Questo non va perso per i criminali informatici che abusano di questa fiducia, infiltrandosi in e-mail e marchi di fornitori di terze parti, che vengono quindi utilizzati per inviare e-mail di phishing convincenti attraverso la catena.
Compromissione dell’e-mail del fornitore (VEC)
Il Social Engineering viene utilizzato all’interno delle Supply Chain per indirizzare e sfruttare gli account di posta elettronica dei dipendenti della contabilità fornitori e del dipartimento finanziario. Vendor Email Compromise (VEC) utilizza credenziali di accesso rubate per infiltrarsi in importanti account di posta elettronica. L’Agari Cyber Intelligence Division (ACID) ha scoperto che il gruppo di hacker “Silent Starling” si stava infiltrando negli account e-mail dei fornitori per indurre le aziende a pagare fatture false dei fornitori. Questo tipo di compromissione della posta elettronica sta riscuotendo successo per i criminali informatici, quindi è probabile che diventi una tattica preferita.
Servizi gestiti (MSP) sotto attacco
Gli MSP sono visti come un motore di exploit dai criminali informatici poiché spesso hanno molti clienti. Un rapporto Datto del 2020 ” Global State of the Channel Ransomware Report ” descrive un attacco ai servizi sanitari universali (UHS) iniziato da un MSP preso di mira da una campagna di phishing per rubare credenziali. Le credenziali sono state quindi utilizzate per infiltrarsi nell’intera rete client e installare il ransomware.
Tutti questi elementi si uniscono per creare un parco giochi ideale per gli attacchi dei criminali informatici.
Mantenere la Supply Chain sicura, utilizzando Smart Email Security basata su cloud
Uno dei risultati più illuminanti del rapporto BlueVoyant è stato che anche con i soldi pompati nella sicurezza informatica, si verificano ancora carenze nella sicurezza della catena di approvvigionamento. La probabile spiegazione di ciò è che le misure di sicurezza utilizzate non sono semplicemente efficaci in una Supply Chain disparata, ma connessa a Internet. Qualsiasi anello della catena può essere sfruttato e utilizzato per infiltrarsi nell’intera rete di fornitori. La fiducia può quindi essere sfruttata. Poiché il phishing è alla base di molti attacchi informatici, è fondamentale concentrare gli sforzi sulla sicurezza della posta elettronica.
Ogni e-mail attraverso una Supply Chain dovrebbe essere visualizzata utilizzando una lente di fiducia zero. Per garantire che le e-mail siano sicure lungo l’intera Supply Chain e per impedire la propagazione di malware, inclusi ransomware, lungo tutta la catena, una piattaforma di sicurezza e-mail intelligente basata su cloud che può funzionare lungo l’intera catena di approvvigionamento.
SpamTitan utilizza un approccio di difesa in profondità per proteggersi dalle minacce di phishing della Supply Chain, utilizzando l’apprendimento automatico per identificare anche le minacce di phishing zero-day. Implementando la sicurezza intelligente della posta elettronica , la Supply Chain può essere rafforzata contro il phishing e l’ingegneria sociale in modo che tutti i fornitori ne traggano vantaggio.
Group-IB, uno dei leader mondiali della sicurezza informatica, ha assistito la Guardia di Finanza (GdF), l’agenzia di polizia italiana preposta alla lotta contro i reati finanziari, nell’indagine sulle attività dell’organizzazione criminale che ha trafficato falsi Green Pass – documenti rilasciati per cittadini italiani vaccinati e quelli risultati negativi o recentemente guariti da COVID-19 – tramite Telegram messenger. A seguito dell’operazione No-Vax Free, sono stati perquisiti diversi presunti amministratori dei canali Telegram in Veneto, Liguria, Puglia e Sicilia. Gli indagati hanno ammesso il reato.
L’attività fraudolenta è stata sotto i riflettori della Guardia di Finanza a metà luglio, dopo di che ha coinvolto il dipartimento investigativo criminale hi-tech di Group-IB con sede ad Amsterdam. Gli analisti di Group-IB sono riusciti a confermare l’esistenza di almeno 35 canali Telegram che mettono in vendita Green Pass falsi, con un pubblico totale di circa 100.000 utenti, e hanno condotto una ricerca per aiutare a rivelare l’identità dei sospetti autori. Agli acquirenti sono stati promessi «autentici Green Pass con codici QR» — la prova della vaccinazione, un test negativo o il recupero dal COVID-19. I venditori hanno affermato che era possibile grazie alla complicità degli operatori sanitari. In realtà, non erano altro che falsi.
La GdF, con il supporto di Group-IB, ha fornito una completa segnalazione alla Procura di Milano, dopodiché ha avviato un’azione di contrasto che ha portato a diverse perquisizioni su cittadini italiani nelle province di Veneto, Liguria, Puglia e Sicilia . Gli indagati hanno confessato di gestire una rete di canali Telegram. Come risultato dello sforzo cooperativo, il numero di canali Telegram attivi è diminuito. L’azione delle forze dell’ordine è ancora in corso poiché nuovi canali tendono a riapparire.
Esortiamo gli italiani a non utilizzare questi servizi illegali fasulli in quanto non solo perdono i loro soldi, ma inviano i loro dati personali sensibili ai criminali e si espongono a un rischio maggiore di truffe successive. Ringrazio il team di Group-IB per aver sostenuto l’indagine GdF per smascherare questa organizzazione criminale.
Gian Luca Berruti
Colonnello,Guardia di Finanza
L’Italia è uno degli elementi centrali del nostro ecosistema globale di ricerca e ricerca delle minacce. Grazie alla nostra crescente conoscenza delle minacce specifiche locali siamo stati in grado di aiutare la GdF a smascherare gli amministratori del canale Telegram e abbiamo assistito alla raccolta di prove digitali. La tempestiva ed efficace collaborazione con la GdF e la Procura della Repubblica di Milano ha permesso di svelare gli autori, che risuona con il nostro impegno nella lotta alla criminalità informatica di qualsiasi origine.
Anton Ushakov
Vice capo del dipartimento investigativo sulla criminalità ad alta tecnologia,Group IB
Secondo gli analisti di Group-IB Digital Risk Protection (DRP), il prezzo medio per i Green Pass falsi è di € 100 e dipende dalla sua forma, digitale o stampata. I truffatori offrono ai propri clienti vari metodi di pagamento, inclusi pagamenti in criptovaluta (Bitcoin, Ethereum), trasferimento di denaro PayPal o pagamenti con voucher, come le carte regalo Amazon.
Un esempio di post di Telegram che offre in vendita un Green Pass falso.
Per ottenere un Green Pass, al potenziale cliente viene chiesto di creare una chat segreta su Telegram con il venditore — così facendo, gli attori delle minacce speravano di proteggersi da potenziali rivelazioni. Al cliente viene quindi chiesto di rivelare le proprie informazioni personali presumibilmente contenute nel codice QR: nome e cognome, data di nascita, città di residenza e identificatore del codice fiscale. In alcuni casi, i venditori chiedono anche all’acquirente di condividere le foto della propria tessera sanitaria, dei documenti di identità e del proprio indirizzo di casa per inviargli presumibilmente il certificato stampato. Dopo aver ricevuto le informazioni personali dell’acquirente e il pagamento, gli attori della minaccia eliminano la chat e scompaiono o restituiscono un codice QR falso.
I Clienti PolicyPak avranno accesso al portafoglio Netwrix di soluzioni di sicurezza e conformità, per identificare e mitigare i rischi per la sicurezza dei dati
Netwrix acquisisce PolicyPak, produttore di software che aiuta le organizzazioni di tutte le dimensioni a proteggere e gestire i propri desktop e laptop Windows 10 locali e remoti.
Con l’inserimento a portafoglio di questa realtà, Netwrix completa il portafoglio di prodotti estendendo la sicurezza dei dati e il controllo sugli account con privilegi ai desktop, supportando così ulteriormente la forza lavoro sia ibrida e sia solo remota.
In particolare, la piattaforma di gestione desktop PolicyPakNetwrix acquisisce PolicyPak, sicurezza ai desktop consente alle organizzazioni di gestire e proteggere gli endpoint in sede e remoti, inclusi i relativi browser e applicazioni; rimuovere i diritti di amministratore locale per facilitare l’implementazione di un modello Zero Trust; prevenire ransomware e altre infezioni da malware.
Inoltre, blocca le minacce su chiavette USB, DVD e CD-ROM e semplifica la gestione di Windows 10 e dei criteri di gruppo e, da ultimo, raggiungere la conformità ai requisiti normativi. I clienti della società potranno beneficiare di una piattaforma di gestione desktop che semplifica la gestione e migliora la sicurezza della forza lavoro ibrida o remota.
I clienti PolicyPak avranno accesso al portafoglio Netwrix di soluzioni di sicurezza e conformità che li aiuterà a identificare e mitigare i rischi per la sicurezza dei dati, nonché a proteggere, rispondere e recuperare dagli attacchi di sicurezza informatica.
“Siamo entusiasti di vedere PolicyPak entrare a far parte del team Netwrix. Questa acquisizione supporta ulteriormente il nostro impegno a fornire uno sportello unico per le soluzioni di sicurezza informatica. La sicurezza degli endpoint continua a essere un’esigenza pressante per le organizzazioni, in particolare per quelle che restano remote o adottano un modello di lavoro ibrido, e sono lieto che Netwrix possa ora aiutarle ad affrontare questa sfida“, ha dichiarato Steve Dickson, CEO di Netwrix.
Dal canto suo, Jeremy Moskowitz, fondatore e CTO di PolicyPak Software, ribatte: “Siamo entusiasti di entrare a far parte del team Netwrix e sfruttare i vantaggi di un fornitore globale di sicurezza dei dati. Entrambe le società condividono lo stesso obiettivo di semplificare il lavoro quotidiano dei professionisti IT e della sicurezza informatica, quindi sono fiducioso che continueremo a offrire un servizio ai nostri clienti e partner. Questa acquisizione apre un nuovo capitolo per PolicyPak e ci fornisce le risorse per espandere la nostra offerta di prodotti e servizi alle organizzazioni di tutto il mondo”.
I prodotti PolicyPak sono ora disponibili a livello globale per tutti i clienti della realtà che si occupa di sicurezza. I termini della transazione non sono stati resi noti.
L’acquisizione supporta l’investimento dell’azienda in capacità di intelligence sulle minacce predittive in tempo reale per una difesa proattiva contro le minacce emergenti.
SEATTLE, 10 novembre 2021 – DomainTools, leader nell’intelligence sui domain name e sulle minacce informatiche basata su DNS, ha annunciato oggi l’acquisizione di Farsight Security, leader nell’intelligence DNS e nelle soluzioni di sicurezza informatica passive DNS. L’acquisizione rappresenta una naturale estensione della partnership di lunga data di entrambe le società per fornire i dati passive DNS leader di mercato di Farsight tramite la piattaforma di indagine Iris di DomainTools per valutare il rischio, mappare l’infrastruttura degli aggressori e aumentare rapidamente la visibilità e il contesto sulle minacce.
La mossa arriva quando il ransomware è diventato una delle più grandi minacce finanziarie per l’economia globale. Secondo un rapporto del Financial Crimes Enforcement Network (FinCEN), una filiale del Dipartimento del Tesoro degli Stati Uniti, il ransomware è costato agli Stati Uniti quasi 600 milioni di dollari nella prima metà del 2021. Per combattere questa e altre minacce online, i team di sicurezza hanno bisogno di complete capacità di intelligence e indagine per identificare in anticipo i modelli dietro l’infrastruttura avversaria che possono aiutarli ad anticipare e difendersi in modo proattivo contro le mosse future degli attori delle minacce.
I dati di osservazione DNS leader di mercato di Farsight, combinati con i migliori dati DNS attivi di DomainTools, offrono ai clienti lo sguardo più tempestivo e completo sulle minacce che emergono al di fuori della loro rete. Farsight Security DNSDB® è il database di intelligence DNS più grande al mondo con oltre 100 miliardi di record di risoluzione del dominio aggiornati in tempo reale con oltre 300.000 risoluzioni DNS uniche al secondo in tutto il mondo. DomainTools Iris è una piattaforma di indagine e intelligence sulle minacce proprietaria che combina informazioni di livello superiore sull’infrastruttura DNS e di dominio e punteggio di rischio con i dati DNS passivi leader del settore di Farsight Security.
“DomainTools e Farsight hanno dimostrato per molti anni il valore dei nostri set di dati combinati e delle nostre soluzioni di intelligence integrate. La nostra soluzione unificata viene utilizzata da alcune delle organizzazioni di sicurezza più sofisticate in tutto il mondo per aumentare l’efficacia delle loro capacità di intelligence sulle minacce e di risposta agli incidenti”, ha affermato Tim Chen, CEO, DomainTools. “Questa acquisizione migliora la nostra capacità di guidare i risultati di rilevamento, indagine, arricchimento e mitigazione della sicurezza per i nostri clienti comuni, accelerando i nostri progressi nella scienza dei dati per il punteggio predittivo del rischio di nomi di dominio, nomi host, indirizzi IP, server dei nomi e altri indicatori DNS”.
“Nel corso degli anni, DomainTools e Farsight hanno costantemente fornito intelligence DNS leader di mercato e telemetria di sicurezza in tempo reale necessarie per difendersi dagli attacchi informatici di oggi”, ha affermato il dott. Paul Vixie, presidente, cofondatore e CEO di Farsight Security. “Riconosciamo l’immenso opportunità che questa acquisizione rappresenta non solo per entrambe le società, ma anche per i nostri clienti globali. Siamo entusiasti di unirci a DomainTools in questa prossima fase della crescita dell’azienda e, insieme, contribuiamo a rendere Internet più sicuro per tutti”.
Informazioni su DomainTools DomainTools, supportato dalla società di investimento globale Battery Ventures, consente ai professionisti della sicurezza di anticipare gli attacchi identificando l’infrastruttura degli aggressori, ottenendo un contesto e una visibilità immediati sulle minacce ed effettuando valutazioni dei rischi più rapide, migliorando così notevolmente la posizione di sicurezza della loro organizzazione. Le aziende Fortune 1000, le agenzie governative globali e i principali fornitori di soluzioni di sicurezza utilizzano la piattaforma DomainTools come ingrediente fondamentale nel loro lavoro di indagine e mitigazione delle minacce. Scopri di più su come collegare i punti sulle attività dannose su https://www.domaintools.com o su Twitter: @domaintools.
Informazioni su Farsight Security, Inc. Farsight Security, Inc. è un fornitore leader di dati DNS passivi storici e in tempo reale, inclusa la sua soluzione di punta, DNSDB, il più grande database DNS passivo al mondo. Consentiamo ai team di sicurezza di qualificare, arricchire e correlare tutte le fonti di dati sulle minacce e, infine, risparmiare tempo quando è più critico, durante un attacco o un’indagine. Le nostre soluzioni forniscono al personale e alle piattaforme aziendali, governative e del settore della sicurezza una visibilità, un contesto e una risposta globali senza pari. Farsight Security ha sede a San Mateo, California, USA. Scopri di più su come possiamo potenziare la tua piattaforma per le minacce e il tuo team di sicurezza con le soluzioni DNS passive di Farsight Security su https://www.farsightsecurity.com/ o su Twitter: @FarsightSecInc.
Il Distributore specializzato in Tecnologie di Cybersecurity innovative contribuirà allo sviluppo del mercato e della rete di Reseller/MSP/MSSP per ZAIUX
Milano, 2 Novembre 2021 – DotForce e Pikered hanno siglato un accordo che garantisce a DotForce la distribuzione in esclusiva sul territorio italiano della soluzione di Internal Pentesting automatico denominata ZAIUX.
ZAIUX è una soluzione software innovativa di Internal Penetration Test automatizzata dall’IA, che esegue numerose tecniche d’attacco per individuare e sfruttare le vulnerabilità di una qualsiasi rete basata su MS Active Directory, fornendo un piano di remediation riferito al framework MITRE ATT&CK®.
“Grazie all’accordo con Pikered per la distribuzione di ZAIUX, aggiungiamo un importante tassello al nostro portafoglio di soluzioni di cybersecurity. Con ZAIUX, infatti, ci rivolgiamo non solo ai Red Team, ai professionisti cyber incaricati di svolgere l’attività di simulazione degli attacchi informatici o agli ethical hacker ma soprattutto ai “normali” Amministratori IT che non possiedono competenze specifiche sulle tematiche di Pentesting, competenze fondamentali per individuare e correggere le vulnerabilità presenti all’interno dell’infrastruttura IT. ZAIUX è un complemento ideale anche alle operazioni svolte dai Blue Team, che hanno l’incarico di prevenire e difendere.” ha commentato Fabrizio Bressani, CEO di DotForce.”Siamo poi particolarmente lieti di promuovere una nuova tecnologia 100% Made in Italy, che rappresenta una nostra eccellenza assolutamente in grado di competere con tecnologie sviluppate in altre geografie, più comunemente ma talvolta erroneamente associate alla cybersecurity. Lo testimonia infatti la presenza di Pikered durante il recente IT-SA Expo di Norimberga (DE) che, presso il loro stand, posizionato a fianco di molti blasoni della cybersecurty mondiale, ha presentato ZAIUX oltreconfine riscuotendo l’entusiasmo dei visitatori.”
“Abbiamo scelto DotForce come nostro Distributore in esclusiva per l’Italia sulla base delle sue competenze specifiche e delle conoscenze del mercato Cyber oltre che per il suo portafoglio tecnologico, fortemente complementare alla nostra offerta. Pensiamo che questo sia un passo che ci permetterà di realizzare importanti sinergie con le migliori realtà che si occupano di cybersecurity nel nostro paese.” ha dichiarato Marco Gallina, Co-fondatore e Amministratore di Pikered. “Il mercato della Cybersecurity oggi è focalizzato sull’offerta di soluzioni difensive, finalizzate ad alzare barriere protettive e al monitoraggio proattivo. Questo scenario innesca molte complessità di gestione e non sempre l’adozione di tali soluzioni è sufficiente a proteggersi dagli errori umani o dalle vulnerabilità di software e protocolli di comunicazione. L’approccio Pikered è complementare a quello difensivo, validando lo stato di sicurezza delle reti attraverso tecniche offensive ma a scopo etico. Ci riferiamo ad attività come i Penetration test manuali, che tradizionalmente vengono poco eseguite a causa di tempistiche lunghe, costi elevati, difficile reperibilità di competenze e scarsa automazione. Unendo le competenze di Ethical Hacking e Intelligenza Artificiale (IA), con ZAIUX abbattiamo queste barriere colmando le lacune presenti nell’attuale offerta del mercato, introducendo l’automazione sul tema dei Penetration Test.”
L’offerta ZAIUX verrà presentata il prossimo 17 Novembre alle ore 10.30 all’interno di un live webinar organizzato da DotForce.
Oltre allo sviluppo di soluzioni software e l’erogazione di servizi di consulenza, Pikered si pone come obiettivo primario quello di sensibilizzare sui temi legati all’importanza della Cybersecurity. Un punto di forza nella proposta di valore di Pikered è l’applicazione di moderni algoritmi di Intelligenza Artificiale e Machine Learning, che consentono di dare alle soluzioni un’autonomia decisionale senza precedenti, risolvendo problemi concreti senza l’intervento umano. Il team di Pikered include hacker etici certificati in continuo apprendimento, permettendo di sviluppare internamente strumenti che eseguono le più avanzate tecniche di attacco informatico.
Informazioni su DotForce
DotForce distribuisce tecnologie innovative e all’avanguardia per difendere le aziende dagli attacchi informatici, dall’interno o dall’esterno degli ambienti aziendali. DotForce fornisce soluzioni comprovate, efficaci e pluripremiate. DotForce è stata fondata nel 2006 come distributore a valore aggiunto specializzato in Cyber Security con attività in Italia, Spagna e Portogallo. L’azienda promuove tecnologie emergenti di aziende affermate che hanno compiuto un importante salto tecnologico, con brevetti propri e con clienti del settore pubblico e multinazionali.
Il prestigioso programma di premi internazionali premia i prodotti e le aziende di sicurezza delle informazioni eccezionali.
Austin, TX – 30 settembre 2021 – SpyCloud, leader nella prevenzione dell’account takeover (ATO), ha annunciato oggi di essere stata nominata vincitrice del premio “Overall Threat Detection Solution of the Year” nella quinta edizione dei CyberSecurity Breakthrough Awards. Il programma di premi è condotto da CyberSecurity Breakthrough, un’organizzazione leader di intelligence di mercato indipendente che riconosce le migliori aziende, tecnologie e prodotti nel mercato globale della sicurezza delle informazioni oggi.
SpyCloud agisce come un sistema di allerta precoce per avvisare in modo proattivo i team di sicurezza quando le credenziali sono state compromesse in modo che possano agire rapidamente per bloccare l’account. SpyCloud è in grado di recuperare i dati compromessi da violazioni di mesi, a volte anni, prima che vengano condivisi ampiamente all’interno della rete criminale. SpyCloud ospita anche il database più solido di informazioni sulle minacce di credenziali compromesse e PII: oltre 130 miliardi di risorse. Solo nell’ultimo anno, i ricercatori di SpyCloud hanno recuperato più di 4,6 miliardi di record di informazioni di identificazione personale e 1,5 miliardi di credenziali di account rubate sul dark web.
L’impareggiabile capacità di SpyCloud di recuperare rapidamente i dati rubati consente alla piattaforma di prevenire attacchi informatici basati sull’identità come l’acquisizione dell’account, che provoca ransomware, compromissione della posta elettronica aziendale, furto di identità e frode con carta di credito.
“La criminalità informatica è arrivata alla ribalta della coscienza pubblica con importanti attacchi alla catena di approvvigionamento che hanno un impatto sulle infrastrutture del paese. Nonostante l’urgenza del problema, la maggior parte delle aziende fa ancora fatica a rilevare e prevenire gli attacchi informatici derivanti dall’uso di credenziali rubate”.
e ancora
“Miriamo a essere la piattaforma più completa per l’acquisizione di account e la prevenzione delle frodi sul mercato, sfruttando la qualità dei nostri dati e la velocità con cui possiamo identificare le esposizioni per aiutare le aziende a combattere i criminali informatici”.
ha affermato Ted Ross, CEO e co-fondatore di SpyCloud.
La missione dei CyberSecurity Breakthrough Awards è quella di onorare l’eccellenza e riconoscere l’innovazione, il duro lavoro e il successo in una gamma di categorie di sicurezza delle informazioni, tra cui Cloud Security, Threat Detection, Risk Management, Fraud Prevention, Mobile Security, Email Security e molte altre. Il programma di quest’anno ha attirato più di 4.000 nomination da oltre 20 paesi diversi in tutto il mondo.
“La prevenzione si basa spesso su misure di difesa tradizionali come la protezione degli endpoint invece di concentrarsi sull’origine di un gran numero di questi attacchi, con le credenziali degli account degli utenti finali. La combinazione unica di intelligenza umana di SpyCloud, recupero precoce dei dati e la più ampia raccolta di dati sulle violazioni del settore consente alle aziende di trovare più compromessi, stare al passo con gli attacchi difficili da rilevare e proteggere dipendenti, consumatori e i loro profitti.
ha affermato James Johnson, amministratore delegato di CyberSecurity Breakthrough.
