Ebook: 7 modi per limitare l’hacking

La lotta relativa alla sicurezza informatica necessita di un approccio sistemico e multilivello che coinvolge vari stakeholders e vari aspetti, dalla sicurezza multilivello, alla rete, al backup sicuro ed al disaster recovery.

Compila la form per scaricare l’ebook e scoprire 7 modi per limitare l’hacking

Read More

SICUREZZA IT – Phishing Simulation Attack: attacchi di Phishing e come fermarli

Phishing simulation attack – L’assonanza con il (senza dubbio più innocuo) termine “fishing” non deve trarre in inganno. Il phishing è una tipologia di attacco oltremodo subdola che negli ultimi anni sta prendendo sempre più piede – andremo successivamente a proporre un dettaglio del mercato del phishing per renderci conto delle numeriche di settore. Nel frattempo, per contrastare il fenomeno dei phishing attack andremo ad analizzare nel dettaglio nei paragrafi successivi, Swascan mette a disposizione il servizio di Phishing Simulation, di seguito la brochure relativa al Phishing Simulation Attack (Test di attacco simulato di Phishing).

Si tratta di una frode a tutti gli effetti che ha un preciso obiettivo: rubare. Ma cosa? Le informazioni più svariate:

  • Password;

  • Informazioni bancarie;

  • User name;

Le tecniche per eseguire queste tipologie di attacchi possono variare, vedremo in seguito la lista delle tecniche utilizzate. Questo è da tenere bene in considerazione, il phishing, di fatto, non si limita al mero invio di un e-mail. Il livello di sofisticazione di questi attacchi ha raggiunto un livello elevatissimo destinato ad aumentare nel prossimo futuro.

Le soluzioni di Phishing Simulation Attack permettono alle aziende di contrastare questo fenomeno attraverso un test dell’Human factor garantendo anche una efficace attività di training e awareness

Fatta questa doverosa premessa, nel seguente articolo andremo ad analizzare:

  • Phishing: il mercato globale

  • Phishing: la metodologia

  • Phishing attack: le tecniche di attacco

    • Pharming o DNS–Based phishing;

    • Tabnabbing;

    • Fast flux;

    • Malware-Based phishing;

    • Man-in-The-Middle phishing;

    • Smishing;

    • Deceptive phishing;

    • Rock phish kit;

    • Search engine phishing;

    • Vishing

  • Phishing: come difendersi

  • Swascan Phishing Simulation Attack

Phishing attack: il mercato globale

Il mercato del phishing mondiale, stando alle stime di MarketsAndMarkets ha assunto dimensioni considerevoli destinate , nel medio-lungo periodo, ad aumentare.

Nel dettaglio possiamo vedere come, stando al 2017, il mercato globale del phishing aveva un valore di 840 milioni di dollari americani.

Se consideriamo un periodo di analisi di 5 anni, 2018-2022, abbiamo un tasso di crescita del mercato (CAGR) che sfiora l’11%. Questo fa si che, al termine del periodo di analisi, nell’anno 2022 appunto il mercato raggiunga i 1401.6 milioni di dollari.

Da questi numeri si può immediatamente intuire la vastità del fenomeno: i phisher (coloro che lanciano gli attacchi di phishing) sono destinati a moltiplicarsi, così come le vittime.

Phishing e Phishing Simulation attack :
la metodologia

In questa sezione andiamo ad analizzare l’attacco di phishing “standard” anche se, come abbiamo detto in precedenza, non si tratta di mandare una semplice mail (ma questo lo vedremo in seguito)…

Gli step di un phishing attack standard sono molteplici. In breve si può così riassumere la sequenza base:

  1. Invio dell’e-mail alla potenziale vittima. Il messaggio in oggetto si presenta “appealing” agli occhi dell’utente ignaro. Per invogliare la vittima ad abboccare, il Cyber Criminale solitamente allega dei loghi aziendali, inscena situazioni verosimili,… Ci sono dei pattern ben precisi seguiti dai malintenzionati, alcuni esempi di mail phishing possono includere situazioni come: scadenze/rinnovi di carte di credito, la mancanza di informazioni sufficienti per la registrazione su siti ben noti, problemi legati alle password e molte altre situazioni simili.

  2. L’utente, attraverso un link o un allegato presente nella mail di phishing, viene indirizzato verso un sito malevolo. Questo sito può essere la brutta copia del sito originale. Questo “trucchetto” ha lo scopo ben preciso di indirizzare l’utente verso l’inserimento delle credenziali di accesso.

  3. L’utente che viene “pescato” ha appena subito un furto dei propri dati che ora sono in possesso del Cyber Criminale. Quest’ultimo ne può disporre a proprio piacimento ed uno degli scopi più diffusi, purtroppo, è quello di vendere i dati nel gran bazar del Dark Web.

Il servzio di Phishing Simulation Attack adotta lo stesso modello permettendo di misurare il livello di esposizione al rischio phishing aziendale e al contempo effettua una attività. di formazione e awareness efficace dei dipendenti

Phishing : le tecniche di attacco

In base al “tool” utilizzato, possiamo avere molteplici tipologie di attacco phishing.

Cliccando su questo link vi rimandiamo all’analisi delle tecniche principali illustrandone le dinamiche e le azioni solitamente svolte dai Cyber Criminali durante gli attacchi.

Phishing Attack: come difendersi

Dopo aver visto le innumerevoli forme che può assumere un attacco di phishing, la domanda sorge spontanea: come ci può difendere da una minaccia così subdola? La risposta, ovviamente, non è semplice e non si può condensare in poche righe. L’elemento chiave, tuttavia, nel caso di un’azienda è la formazione dei dipendenti.

Proviamo ora a vedere alcuni punti cruciali per gli utenti:

  • Eseguire dei controlli costanti del proprio conto corrente: movimenti e transazioni sono da tenere sempre monitorate in modo da accorgersi in caso di scostamenti irregolari;

  • Segnalare ogni contenuto potenzialmente pericoloso come SPAM. Se pensi di essere oggetto e bersaglio di una campagna di phishing, segnalalo al tuo client di posta contrassegnandolo come SPAM;

  • Ricevuto un messaggio, verificarne sempre la sua provenienza. Un indicatore possibile di phishing, come abbiamo visto in precedenza, sono gli errori: rileggilo più e più volte se non sei sicuro;

  • Nel caso in cui viene individuato il chiaro tentativo di phishing, ovviamente, non cliccare su alcun link presente nel messaggio e, tanto meno, non scaricarne eventuali allegati;

  • Non tenere aperte troppe schede nel tuo browser, abbiamo già visto quanto può essere pericoloso il tabnabbing.

Per le aziende, invece, le raccomandazioni sono:

  • Formare costantemente i propri dipendenti;

  • I dipendenti dovrebbero seguire alla lettera le indicazioni specificate sopra, punto fondamentale per una corretta gestione del rischio;

  • Aggiornare costantemente i web browser;

  • Eseguire attività di Vulnerability Assessment per essere certi che i siti web e le web application aziendali siano prive di vulnerabilità potenzialmente attaccabili da un terzo malintenzionato;

  • Svolgere periodicamente attività di Network Scan per essere certi che la propria infrastruttura IT aziendale sia al riparo da spiacevoli attacchi.

Tuttavia è evidente come il punto fondamentale su cui insistere è quello della formazione, ma come può un’azienda istruire i propri dipendenti a comportarsi correttamente in caso di phishing? Semplice, con un Phishing Simulation Attack.

Phishing Simulation Attack

Swascan, proprio per far fronte alla tematica più sensibile, ha sviluppato un servizio innovative che permette alle aziende di formare i propri dipendenti in maniera facile e veloce. Al seguente link è disponibile la brochure del servizio Phishing Simulation Attack:

(scarica la Brochure Test di attacco simulato di Phishing).

Nel dettaglio, il servizio Swascan di Phishing Simulation permette alle aziende di essere al riparo in caso di attacchi di phishing attraverso delle vere e proprie simulazioni di attacco. E’ infatti possibile, attraverso un’interfaccia web inviare vere e proprie campagne di phishing simulate che generano delle insostituibili occasioni di apprendimento per i dipendenti. I dipendenti, infatti, grazie a questi attacchi simulati riusciranno, in futuro, ad individuare una vera e-mail di phishing e ad evitarla.

Con il servizio Swascan di Phishing Simulation, sarà possibile per le aziende:

  • Creare attacchi simulati con tanto di link “malevoli” integrati;

  • Inviare queste campagne in più di 30 lingue diverse;

  • Riuscire a valutare i propri rischi aziendali e rispondere di conseguenza.

Oltre a quanto appena citato, ci sono molteplici vantaggi nell’eseguire una campagna di phishing simulato, alcuni di questi vantaggi si possono riassumere in:

  • Ridurre sensibilmente il rischio di subire in futuro un qualsiasi attacco di phishing;

  • Avere dei collaboratori informati e sempre vigili oltre che sensibili alla materia;

  • Diminuire i costi di formazione del personale in materia di sicurezza.

Read More

SICUREZZA IT – Phishing : le tecniche di attacco

In questo contributo analizzeremo le varie tecniche di attacco che abbiamo elencato nel precedente articolo:  Phishing Simulation Attack: attacchi di Phishing e come fermarli

In base al “tool” utilizzato, possiamo avere molteplici tipologie di attacco phishing. In questa lista cerchiamo di analizzare le tecniche principali illustrandone le dinamiche e le azioni solitamente svolte dai Cyber Criminali durante gli attacchi

Phishing attack: le tecniche di attacco

  • Pharming o DNS–Based phishing;

  • Tabnabbing;

  • Fast flux;

  • Malware-Based phishing;

  • Man-in-The-Middle phishing;

  • Smishing;

  • Deceptive phishing;

  • Rock phish kit;

  • Search engine phishing;

  • Vishing

    Pharming o DNS-Based Phishing

    Come si può dedurre dal titolo, l’elemento cardine di questa tipologia di attacco è l’indirizzo DNS o Domain Name System che permette la navigazione dell’utente. Questo attacco è una sorta di “crack” che bypassa lo step dell’apertura dell’e-mail da parte dell’utente. Un malintenzionato può ottenere informazioni di molti utenti simultaneamente e, come abbiamo detto, non è necessario che gli utenti in questioni aprano nessuna e-mail infetta. Come è possibile ciò? Manomettendo l’indirizzo DNS l’utente target non si trova a visualizzare la pagina web desiderata ma si ritrova su una pagina creata ad arte dal Cyber Criminale. Ovviamente, gli hacker, hanno sviluppato tecniche estremamente sofisticate per rendere le pagine fake quasi identiche a quelle originali. L’utente, una volta che si ritrova sulla pagina creata dall’attaccante, inserisce le proprie credenziali per entrare nell’area riservata: è proprio in questo momento che l’attaccante entra in possesso delle informazioni personali dell’utente ignaro.

    Tabnabbing

    Il nome sembra molto complicato ma in realtà si tratta di una tipologia di attacco molto semplice che sfrutta un’abitudine consolidata tra i più. Questa abitudine è quella di aprire molteplici tab – da qui il nome tabnabbing – in un browser. L’utente, dopo aver aperto molte schede, procede con la visita scheda per scheda. Come funziona il processo? Cerchiamo di schematizzarlo per fasi:

    1. L’utente clicca su un link di una pagina di suo interesse.

    2. Questa scheda appena aperta non viene consultata immediatamente, è di uso comune, infatti, attendere qualche secondo perché la pagina si carichi correttamente (per esempio).

    3. Durante questo lag temporale di qualche secondo, l’utente consulta altre schede.

    4. La pagina precedentemente aperta, invece, non è una pagina legittima ma ne ha tutte le sembianze ed in questa pagina vengono richieste delle informazioni per effettuare il login.

    5. L’utente continua, intanto, la sua navigazione su altre schede “dimenticandosi” di aver aperto quel tab con la pagina non sicura.

    6. Tornando sulla pagina infetta che, ora ha tutte le sembianze di una pagina legittima, l’utente inserisce le credenziali che diventano di proprietà dell’hacker.

    Fast flux

    Cerchiamo di essere il più precisi e brevi possibili descrivendo il fast flux: cosa succede in termini pratici?

    L’attaccante invia un messaggio di posta elettronica che contiene un link ad un sito considerabile legittimo da parte della vittima. La vittima, infatti, clicca sul link e viene reindirizzata ad un server appartenente ad una botnet (ossia una rete infetta) che è stata infettata, appunto, da un malware che permette al Cyber Criminale di controllarla a suo piacimento.

    Nella fase successiva, la vittima, che si trova su un sito clone rispetto quello che dovrebbe legittimamente visitare, introduce le proprie credenziali di accesso che vengono immediatamente assorbite dalla versione fake del sito.

    Una volta che questo sito fake ha assorbito le credenziali dell’utente ignaro, l’utente viene immediatamente indirizzato al sito legittimo ignaro del tutto.

    I Cyber Criminali riescono a proteggere il dominio infetto in un modo molto efficace, è proprio in questa operazione che consiste il fluxing: nel ruotare velocemente gli IP associati ad ulteriori bot infetti.

    In questo modo “blacklistare” gli indirizzi IP non rappresenta una soluzione efficace.

    Malware-Based phishing.

    Ci soffermeremo parecchio in questo paragrafo valutando alcune opzioni possibili quando si parla di phishing malware-related. In termini generali, un attacco di questo genere avviene in seguito all’esecuzione di un software infetto (da un malware appunto) sul device della vittima ignara del tutto. Il programma, tuttavia, com’è possibile che si trovi sul device dell’utente?

    A questo proposito ci possono essere diverse opzioni, tra cui: l’exploit di una vulnerabilità nota o la pura e semplice ingegneria sociale. Questo programma, ad ogni modo, che è in running sul device della vittima carpisce le informazioni e le trasmette al Cyber Criminale.

    Abbiamo detto in principio di come ci possano essere molteplici varianti di attacchi phishing basati su malware, tra le altre possiamo “apprezzare”:

    • Keyloggers: questa tipologia di attacco è molto curiosa per le modalità in cui si manifesta. I software infetti predisposti per svolgere l’attacco si installano da soli all’interno degli strumenti di input (solitamente una tastiera) o all’interno del browser utilizzato per la navigazione. In questo modo, questi software malevoli riescono a carpire le informazioni immesse da parte della vittima e, di conseguenza, le inoltrano al Cyber Criminale. Anche in questo caso, i Cyber Criminali dimostrano un’innovatività eccezionale: è possibile che un utente non immetta le informazioni tramite metodi di input tradizionali (mouse o tastiera), in questo caso i phisher hanno predisposto gli screenlogger. Questi ultimi monitorano anche il display oltre ai classici strumenti di input precedentemente citati.

    • Web trojans: i cavalli di troia sono molto pericolosi, di fatto permettono che le informazioni inserite dall’utente durante la fase di autenticazione ad un sito vengano trasmesse direttamente al Cyber Criminale attraverso un software malevolo che si insidia proprio nelle sezioni di login. Nell’immagine seguente si può apprezzare meglio il flusso di questa specifica tipologia di attacco.

      • Session hijacking: già dal nome si può intuire immediatamente di cosa si tratta. Ciò che viene preso di mira in questa casistica è la sessione dell’utente. Cercando di andare al sodo, si può dire che l’attacco consiste nel furto dei cookie in uso che hanno lo scopo di autenticare un utente su un server remoto. In essere in molti siti internet è la pratica di utilizzare i cosiddetti cookies di sessione. Questa tipologia di cookies permette all’utente di non dover inserire nuovamente le proprie credenziali di accesso al fine di essere riconosciuto. Ovviamente, un qualsiasi malintenzionato che riuscisse ad introdursi in questo circolo e a sottrarre questi cookies, riuscirebbe a spacciarsi senza problemi per l’utente legittimo.

        Man-in-The-Middle phishing

        L’uomo che si frappone nel mezzo (in questo caso ovviamente colui che intraprende l’attacco phishing). Il malintenzionato in questione riesce ad introdursi tra la vittima e il sito internet legittimo. Essendo in questa posizione vantaggiosa, il Cyber Criminale riesce a recepire i messaggi originariamente destinati alla vittima ed in questo modo può disporne per accedere al sito internet legittimo. Di seguito uno schema riassuntivo del flusso dell’attacco:

        Questi attacchi sono veramente difficili da individuare. L’utente, completamente ignaro, si ritrova sul sito internet che dal suo punto di vista opera perfettamente. Una vittima potenziale non avrebbe, in alcun modo, di sospettare di essere vittima di un attacco di Man in The Middle perché il Cyber Criminale che lo sta attuando non lascia nessun segno visibile del proprio passaggio

        Smishing

        Il nome smishing deriva dal mezzo attraverso cui sono inviate le comunicazioni malevole alla vittima: l’SMS appunto. Nella prassi, l’utente riceve una comunicazione dalla propria banca. Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire la Call To Action richiesta dai Cyber Criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login. L’hacker ottiene le credenziali di accesso e allo stesso modo ottiene un’informazione cruciale, ossia: attraverso quale mezzo l’utente intende ricevere l’OTP – la password che consente l’autenticazione ai servizi online. In questo modo, il Cyber Criminale riesce – attivando illegalmente una SIM card – ad ottenere la password al posto della vittima ignara. Il passo seguente è tristemente noto: il denaro della vittima è in mano agli hacker.

        Deceptive phishing

        Questa forse è la concezione più tradizionale di phishing nell’immaginario comune. Le tecniche di phishing, negli ultimi anni, sono migliorate sensibilmente. Nei costanti messaggi di phishing che riceviamo quotidianamente nelle nostre caselle di posta non è un caso ritrovarsi testi in italiano corretto, privi di errori grammaticali. Questo, anni fa non era immaginabile per esempio.

        Questi messaggi con cui veniamo bombardati mirano a fare leva su un aspetto molto importante: quello psicologico. Provate ad immaginare: quale sarebbe la vostra prima reazione nel caso se doveste ricevere una mail dalla vostra banca dove vi viene detto di aggiornare urgentemente le credenziali perché in pericolo? Ora, invece, bisogna immaginare la reazione ad un messaggio del genere da parte di chi non ha la minima idea che esista il phishing. Non potendo ipotizzare nulla, se non la veridicità del messaggio, quasi chiunque si precipiterebbe a modificare le proprie credenziali… Specialmente se, una volta cliccato sul link malevolo contenuto nella mail, ci si dovesse ritrovare in un sito in tutto e per tutto identico a quello della propria banca.

        La pagina, del tutto simile a quella legittima, è ovviamente una creazione ad hoc dell’attaccante malevolo. L’attaccante stesso, una volta che la vittima ignara inserisce le proprie credenziali, è in grado di rubarle e di disporre come meglio crede dell’area riservata dell’utente.

        La formazione in materia di phishing è il vero elemento chiave per vincere questa battaglia e il deceptive phishing è l’esempio lampante

        Rock phish kit

        Come per gli exploit kit delle vulnerabilità note che sono disponibili nel vasto mercato del Dark Web, anche per il phishing sono disponibili dei tool ready made. Il rock phish kit permette ad un qualsiasi utente malintenzionato di creare:

        • La mail da usare per le campagne di phishing con tanto di hyperlink al sito clone.

        • Il sito clone ad hoc di quello legittimo. L’unica differenza dai siti legittimi? L’inserimento di moduli di raccolta informazioni.

        Search engine phishing

        Questa metodologia di attacco dimostra, ancora una volta, tutta la fantasia di cui gli hacker dispongono. In questo caso l’attaccante mette in campo anche le proprie competenze SEO, ma in che modo? Come si può dedurre dal titolo del paragrafo: indicizzando contenuti. Nella prassi, vengono creati dei siti internet che contengono prodotti del tutto falsi. Questi siti internet vengono indicizzati dai motori di ricerca e un utente ignaro che naviga su un sito del genere e procede ad un acquisto o effettua un login troverà un’amara sorpresa alla fine del processo.

        Tutte le informazioni che l’utente fornisce, di fatto, sono facile preda del Cyber Criminale che ne potrà, di conseguenza, disporre a proprio piacimento.

        Questa tecnica di attacco non conosce ovviamente limiti in termini di creatività. Vengono costruite vere e proprie campagne pubblicitarie mirate a pushare i siti malevoli ed indurre gli utenti a trovare condizioni più vantaggiose o prodotti miracolosi.

        Vishing

        La fase iniziale di questa tipologia di attacchi non è nulla di nuovo rispetto a ciò che abbiamo visto in precedenza: l’utente riceve un messaggio da parte della propria banca in cui si richiede un’azione immediata. Ciò che cambia, nel vishing, è il fatto che all’utente non viene chiesto di collegarsi al sito della propria banca per cambiare le credenziali di accesso, ma viene chiesto di telefonare ad un numero di telefono indicato ovviamente nel messaggio.

        Chi ci può essere dall’altro capo del telefono se non un falso centralinista? L’utente a questo punto, persuaso dal centralinista, fornirà le proprie informazioni personali ed il gioco, per il Cyber Criminale, è fatto.

        Dal punto di vista psicologico, questa tecnica è potenzialmente letale. Di fatto, è del tutto plausibile che una persona non si fidi di un messaggio e-mail per quanto ben strutturato. Tutt’altra storia, invece, per quanto riguarda un altro essere umano che “dovrebbe” fare il proprio lavoro e aiutarvi a risolvere un presunto problema.

        Il Phishing simulation attack è sicuramente un servizio che permette alle aziende di contrastare in maniera efficace questi rischi. Ma da solo non basta. Scopriamo cosa fare…

Read More

NEWS – Swascan vince i Startupbootcamp !

Complimenti a Sara Colnago e a tutto lo Staff

Swascan è tra le 11 #startups mondo scelte dal più grande acceleratore Europeo.

Pierguido Iezzi ( Co-Founder – CyberSecurity Strategy Director Swascan) ha commentato:

“Un riconoscimento importante che testimonia:

– la qualità della nostra piattaforma di #cybersecurity Testing

– le competenze e forza del Team

Un riconoscimento che condivido con tutti i nostri Partner, Distributori, Reseller e Aziende che hanno scelto la piattaforma e i servizi di consulenza Swascan.”

Ovviamente non ci fermiamo e altre good #news sono in arrivo.

Read More

NEWS – SolarWinds MSP migliora Risk Intelligence con una scansione dei rischi di violazione dei dati estesa

DURHAM, North Carolina – 13 luglio 2018 – SolarWinds MSP, leader nella fornitura di soluzioni di gestione dei servizi IT complete e scalabili ai fornitori di soluzioni IT e MSP, ha annunciato oggi di aver potenziato l’offerta di Risk Intelligence di SolarWinds® con una scansione estesa dei rischi di violazione dei dati ( ExDBRS), per aiutare gli utenti a scoprire e identificare meglio i rischi derivanti dalle vulnerabilità di sicurezza archiviate su dispositivi endpoint e migliorare le capacità di conformità normativa. 

SolarWinds Risk Intelligence è progettato per identificare rapidamente le vulnerabilità delle applicazioni e del sistema operativo nelle reti dei clienti, scoprire come gli hacker possono accedere a questi dati e quindi calcolare il rischio in tempo reale di una violazione dei dati e valutare la potenziale responsabilità finanziaria. La scansione estesa dei rischi di violazione dei dati è progettata per essere utile quando la conformità normativa è fondamentale, offrendo la possibilità di:

  • Identificare le vulnerabilità di sicurezza critiche come i sistemi operativi e le applicazioni privi di patch

  • Evidenzia le impostazioni del dispositivo che non soddisfano i requisiti di configurazione della linea di base attraverso un nuovo controllo di sicurezza tecnica 
  • Trova oltre 60 tipi di informazioni personali identificabili (PII) sensibili

     

     

    La scansione estesa dei rischi di violazione dei dati produce un potenziale valore dell’impatto finanziario che aiuta gli MSP ed i loro clienti a valutare il rischio per un dispositivo specifico, tra i dispositivi di un’organizzazione e le modifiche nel tempo. “I dati sensibili lasciati esposti sui sistemi rappresentano un grande rischio per la tua azienda e per i tuoi clienti; avendo la capacità di identificare vulnerabilità di sicurezza critiche come i sistemi operativi privi di patch, è possibile ridurre il rischio di compromissione e mantenere i dati dei clienti più sicuri, “ha dichiarato Tim Brown, vicepresidente della sicurezza SolarWinds MSP.

    “Con la scansione estesa del rischio di violazione dei dati, gli utenti hanno una visione di oltre 60 tipi di informazioni personali, dando loro una maggiore conoscenza di quali dati sensibili sono memorizzati sulla loro rete. Questo rende la manutenzione quotidiana più facile e, se richiesto, più semplice modificarla o rimuovere i dati trovati. “

Read More

NEWS – Solarwinds MSP | Empower MSP Amsterdam 2018: qual’è lo stato attuale dei mezzi di sicurezza informatica per gli MSP

Tim Brown, vicepresidente della sicurezza di SolarWinds MSP, ha iniziato il suo intervento all’Empower MSP Amsterdam 2018 esaminando come stanno attualmente le cose nel panorama delle minacce.

“Abbiamo visto una serie di cose diverse nel 2017, ma ci sono un paio di cose che risaltano davvero”, ha detto Tim. “Per cominciare, il 58% delle vittime sono classificate come piccole imprese; il 68% delle violazioni ha richiesto un mese o più per essere scoperte; l’assistenza sanitaria, le strutture ricettive e il settore pubblico costituiscono la più grande percentuale di vittime, con la posta elettronica che continua a essere la via principale degli attacchi; e il 76% delle violazioni era motivato finanziariamente. “

“Come fornitore di servizi gestiti”, ha detto, “devi capire che stai entrando in un nuovo ambiente ed è importante capire che quando assumi un nuovo cliente, ci sono buone probabilità che sia stato compromesso o che stia per essere compromesso e dovrai agire di conseguenza”.

Tim ha continuato ad esaminare i diversi modelli di monetizzazione attualmente utilizzati dai criminali informatici. “Le persone non rinunceranno a trojan finanziari o malware”, ha detto, “e sia il ransomware che il mining delle monete hanno subito un cambiamento”.

“Il ransomware è stato molto importante nel 2016 e le cose sono cambiate nel 2017, con il risultato di un minor numero di nuove famiglie e di più varianti all’interno delle stesse famiglie. Questo è un indicatore che un attaccante meno sofisticato si è unito al gioco ransomware “, ha detto Tim. L’estrazione di monete, d’altra parte, ha seguito il prezzo della criptovaluta. Nel momento in cui la criptovaluta è aumentata, così ha fatto il numero di attività associate alla criptovaluta.

Tim ha continuato a parlare in generale di cos’è la criptovaluta. “Non è malizioso come il ransomware”, ha detto. “Sta solo rubando la potenza di elaborazione della macchina. Se fatto bene, la gente non se ne accorgerà nemmeno … è solo un altro modello di monetizzazione. Il punto qui è che i cattivi si trasformano rapidamente per approfittare di nuove opportunità e modelli di business “.

Qual’è il settore più preso di mira

Secondo Infoguard Cyber ​​Security , le industrie più mirate sono:

  1. Assistenza sanitaria

  2. Servizi finanziari

  3. Produzione

  4. Governo

  5. legale

Secondo Cyberedge Group , le industrie più mirate sono:

  1. Formazione scolastica

  2. Telecomunicazioni e tecnologia

  3. Produzione

  4. Finanza

  5. Governo

  6. Assistenza sanitaria

  7. Al dettaglio

“La motivazione principale per l’attacco sono i dati”, ha detto Tim. “Perché l’assistenza sanitaria è presa di mira più di altri settori? Perché le cartelle cliniche sono preziose all’esterno. Inoltre, i “cattivi” sanno che rivolgersi all’assistenza sanitaria con il ransomware è redditizio perché pagheranno per riavere la loro infrastruttura. L’assistenza sanitaria è una tempesta perfetta di opportunità per gli hackers, anche perchè spesso l’infrastruttura non è adeguatamente protetta.

Tim ha continuato a spiegare in che modo le diverse industrie sono prese di mira per ragioni diverse, ma molto spesso, gli attaccanti lancianoi un attacco ad ampio spettro, e poi vedono chi colpisce e chi viene sfruttato.

Tuttavia, uno degli aspetti chiave che Tim ha sottolineato è stata la capacità dei cattivi di muoversi velocemente. Prendendo spunto dalla perdita del Vault 7, ha detto: “Entro un mese dalla perdita, abbiamo visto gli exploit Eternal Blue utilizzati nell’attacco WannaCry. Non c’è voluto molto tempo per riconoscere e creare ransomware che si diffondono molto rapidamente.

“Tuttavia, Eternal Blue aveva una patch che è diventata disponibile a marzo. Ciò che è accaduto e che molte persone nelle aziende non si sono rese conto di aver bisogno di prendere questa patch seriamente e di aggiornarsi rapidamente. Le macchine prive di patch sono ancora là fuori e vengono compromesse perché le persone non hanno i processi giusti “.

 

Alcuni dei diversi metodi di attacco utilizzati

1. Trojan finanziari

“I Trojan finanziari sono ancora una preoccupazione importante”, ha affermato Tim. “Focalizzati sulla frode e sul furto di credenziali, ora sono più silenziosi e robusti. Stanno ancora crescendo e si sono sviluppate alcune diverse categorie. Abbiamo visto una pausa lo scorso anno prima di un enorme picco tra settembre e dicembre. Questo di solito si verifica quando un gruppo trova un Trojan efficace e decide di usarlo in massa. Gli attori delle minacce lavorano bene insieme e questo si diffonderebbe molto rapidamente. “

 

2. Ransomware

“Il ransomware continua a essere un metodo di attacco popolare poiché offre un modo diverso di monetizzare. I trojan finanziari entrano in una macchina per estrarre dati e quindi venderli. Il ransomware rimuove il passaggio di exfiltrazione “, ha affermato Tim. “Ciò che è cambiato è che gli aggressori di ransomware guardano al di là dell’attacco dei PC degli utenti finali e si concentrano invece sull’azienda o persino sul livello delle infrastrutture delle città. Questo modello di sfruttamento non sparirà, poiché è efficace e ha dimostrato di funzionare.

C’è anche un altro livello di attacchi ransomware in quanto sono spesso usati per coprire un diverso tipo di attacco, dove gli hacker hanno rubato l’IP e poi istituito un attacco ransomware per coprire le loro tracce. “

 

3 . Estrazione di monete o cripto-estrazione

“C’è stato un enorme aumento nella cripto-estrazionea a dicembre 2017, in coincidenza con un picco nel valore della criptovaluta”, ha affermato Tim. “Invece di creare una banca di processori per estrarre la cripto-valuta, i cattivi hanno cercato un altro modo per guadagnare soldi rubando il potere di elaborazione degli altri. È un’attività legittima che utilizza processori illegittimi. Gli aggressori stanno ottenendo l’accesso a queste macchine come parte di un attacco spray: si tratta di attacchi non sofisticati gestiti da attori non sofisticati della minaccia. La cosa importante da ricordare è che la comunità degli attaccanti è pronta a muoversi quando vede una nuova opportunità ed è sempre alla ricerca di modi per aumentare le entrate “.

 

Cosa significa tutto questo

Ciò che gli MSP devono capire è che tutto ciò significa che gli attacchi non spariranno e continueranno a cambiare. Ma c’è un problema, avverte Tim. “I bravi ragazzi a volte sono inavvertitamente i cattivi. C’è una grande mossa per rendere il codice più sicuro migliorando la qualità e il test del codice; c’è stata anche un’enorme ripresa del ‘white-hat hacking’. Nel complesso, questo ha avuto un grande effetto sui fornitori nel creare aggiornamenti, ma significa anche che le vulnerabilità vengono annunciate prima che le persone possano intervenire in modo appropriato, a volte i bravi ragazzi stanno effettivamente aiutando i cattivi. Come MSP, devi essere consapevole di questo e avere un programma di patch in grado di applicare rapidamente patch e protezioni. “

Ciò che è importante dal punto di vista di un MSP è chi sono gli aggressori e cosa stanno facendo. “La maggior parte degli attacchi non sono zero days attack”, ha aggiunto Tim. “Sono contro sistemi o applicazioni erroneamente configurati. Questo sta accadendo ogni giorno. Se si installa un server Windows con un SQL Server senza patch, durerà pochi minuti su una rete Internet aperta prima di essere scansionato. I sistemi che utilizzano la password predefinita, non sono corretti, o non sono configurati correttamente, vengono compromessi rapidamente. La buona cyberhygiene è il metodo più efficace per prevenire la maggior parte di questi attacchi. “

Tim ha concluso dicendo che i tuoi clienti hanno bisogno di aiuto anche se pensano di no.

Obiezioni comuni dei clienti

Nella sezione successiva, Tim ha continuato a esaminare le principali obiezioni sollevate dalle società per investire in sicurezza e in che modo gli MSP possono aiutarli a risolvere il problema.

1. Non capisco, non sono un bersaglio, non ho nulla che la gente vorrebbe

“Ho sentito questo da molte organizzazioni”, ha detto Tim. “La prima cosa che le persone devono capire è che non importa quello che pensano. Se hanno sistemi senza patch o password deboli, molto probabilmente saranno infettati, indipendentemente da chi siano. I cattivi potrebbero voler solo il tuo processore per un attacco denial of service e ne approfitteranno, semplicemente perché stanno scannerizzando il mondo intero e tu sei lì. “

2. Ho già implementato alcuni strumenti di sicurezza; non è abbastanza?

“Gli strumenti da soli non creano un ambiente sicuro”, ha affermato Tim. “Devi avere una comprensione del livello di rischio che stai affrontando e di come funziona il tuo programma. Inoltre, i tuoi strumenti sono aggiornati, sono ben gestiti, stai guardando cosa proviene dai tuoi strumenti? Mettere semplicemente l’AV sugli endpoint non significa che tu sia protetto. Questo aiuterà e manterrà l’aggiornamento e il monitoraggio di ciò che sta accadendo. Le aziende devono capire che non esiste un proiettile d’argento. Un buon livello di sicurezza si riconduce a un duro e continuo lavoro “.

3. Il mio budget è al massimo, sto già spendendo abbastanza?

“Questa è una domanda valida e devi lavorare con loro su questo”, ha detto Tim. “A volte la risposta a questo può essere ‘sì’; dipende da dove si trovano tra sicurezza di base e il bisogno di maggiore sicurezza. È una questione di rischio rispetto al valore. Questa è la conversazione da fare con quelli preoccupati per il loro budget. In realtà stanno sprecando soldi perché sono troppo sicuri? “

4. La sicurezza non è una priorità per noi

“A volte, questo non è detto esattamente in questo modo, ma è sicuramente un sentimento che la gente avrà”, ha detto Tim. “La linea di fondo è che hai davvero bisogno di aiutare i tuoi clienti a raggiungere il livello minimo di requisiti. Non è appropriato per consentire loro di cadere vittima di un semplice drive-by, consentire loro di avere accesso a Internet aperto, macchine non protette o utilizzare password predefinite. C’è un insieme minimo di cose che tutti devono fare. L’area grigia è quanto si va oltre, per sapere che è necessario comprendere il rischio aziendale. Se non soddisfano i principi di base, devi considerare se la responsabilità superi i benefici di averli come clienti. “

Industrie regolamentate e altre opportunità

Tim ha anche sottolineato che i settori regolamentati sono sempre un’opportunità per gli MSP poiché soddisfare le normative di conformità avrà quasi sempre un elemento di sicurezza. Ciò significa che le aziende dovranno incontrarsi per fare affari. Sebbene non sia compito dell’MsP assumere il ruolo di revisore contabile, essi hanno una grande opportunità di aiutare le aziende a capire quali normative devono affrontare e come ottenerle sulla strada per soddisfare l’onere della conformità.

“Ricorda, un buon programma di sicurezza ti consentirà di effettuare un controllo e renderti più sicuro”, ha affermato Tim. “Ma un programma che si concentra solo sul passaggio dell’audit non ti renderà necessariamente più sicuro. Basta guardare l’empio di Target; avevano appena passato l’audit PCI quando erano stati compromessi “.

“Al di là delle industrie fortemente regolamentate, qualsiasi fornitore di servizi con dati sensibili o accesso sensibile deve affrontare rischi e ciò significa opportunità per gli MSP”, ha spiegato Tim.

Alcuni dei tipi di attività coperte qui includono:

  • Fornitori di servizi incentrati sui dati

  • Avvocati

  • Accountants

  • Agenzie di marketing

  • Qualsiasi società che raccoglie dati personali

  • Fornitori di servizi incentrati sui servizi

  • HVAC

  • Consulenti

Queste aziende spesso si connettono virtualmente ai loro partner commerciali, lasciandoli aperti a potenziali attacchi: il fornitore di HVAC e Target. Inoltre, gli utenti potrebbero non essere particolarmente esperti di tecnologia in molte di queste industrie e gli attacchi di insider dannosi possono essere un problema reale, come un ex-paralegal insoddisfatto che ruba documenti privilegiati.

Infrastruttura critica

“Una cosa importante da sapere è che abbiamo anche un’altra classe di aggressori là fuori”, ha avvertito Tim. “Questi sono attacchi mirati da parte di gruppi appositamente pagati. Al momento, abbiamo circa 140 gruppi di attacco mirati. Mentre stanno usando un piccolo numero di attacchi zero day, stanno anche usando un gran numero di attacchi sfruttando la mancanza di un buona cyber igiene. L’obiettivo principale di questi attacchi è la raccolta e il controllo delle informazioni, il che significa che è improbabile vederli fare attacchi rumorosi come il ransomware. Sono silenziosi, pazienti, organizzati e difficili da fermare. Se si dispone di clienti che rientrano in questa fascia, è importante capire che è necessario disporre di una buona igiene e quindi eseguire alcuni controlli aggiuntivi sull’identità e sullo spazio del perimetro per garantire che gli attacchi non possano diffondersi all’infrastruttura critica. “

Un’altra cosa fondamentale da considerare qui è che i sensori IoT, ecc., possono aprire buchi nell’ambiente.

Tim ha terminato ricordando a tutti che la nostra comunità è nostra responsabilità.

“I regolamenti e le minacce informatiche indicano che la sicurezza informatica è un grande business per gli MSP”, ha concluso Tim. “Come consulenti fidati per i nostri clienti, la sicurezza informatica non è solo la nostra opportunità, è nostra responsabilità.”

Read More

GDPR & SICUREZZA IT – Solarwinds MSP & N4B srl: GDPR SMART con una piattaforma sicura ed efficiente – Privacy Day Forum 2018 Roma -Video Intervento Matteo Brusco

Seguite l’intervento di Matteo Brusco (Distribution Sales Manager Itlay di Solarwinds MSP) per scoprire in ambito GDPR come affrontare un approccio integrato verso la compliance al GDPR utilizzando una piattaforma sicura ed efficiente per garantire sicurezza informatica e business continuity.

Ogni azienda ed MSP deve considerare a proposito del GDPR:

– Ho DATI PERSONALI nella mia azienda ?

– I miei clienti hanno DATI PERSONALI in azienda ?

– Quanto valgono questi dati ?

– Dove sono questi dati ?

– Come sono conservati ?

– Chi può accedere a questi dati ?

– Quali sono i rischi attuali che corrono i miei clienti ?

– Quali sono le misure da attuare per eliminare o ridurre questi rischi ?

– Quali strumenti mi possono aiutare ?

N4b srl offre ai propri partner le soluzioni integrate SolarWinds MSP per affrontare il percorso di compliance al GDPR.

SolarWinds MSP permette agli MSPs di ogni dimensione e scala in tutto il mondo, di creare aziende altamente efficienti e redditizie che offrono un vantaggio competitivo misurabile:

– Soluzioni complete e scalabili

– Prodotti progettati esplicitamente per gli MSP

– Supporto rapido, affidabile e facilmente accessibile

– Tecnologie Cloud e on-premises

– Prezzi flessibili progettati per il mercato esigente di oggi

– Esperienza e conoscenze globali

L’importanza per gli MSP di scegliere il partner e gli strumenti adeguati per garantire alle Aziende e alla P.A. la sicurezza IT, la Business Continuity e la compliance al GDPR.

Scopri le soluzioni Saas SOLARWINDS MSP per il Remote Management ed il Backup & Disaster Recovery. Organizza e applica le procedure idonee in base ai concetti di privacy by design, privacy by default e accountability con PRIVACYLAB GDPR.

Contattaci per saperne di più: commerciale@n4b.it

Read More