Nell’ultimo contributo abbiamo parlato di come preparare gli ambienti dei tuoi clienti e di aiutare a prevenire in primo luogo che le minacce raggiungano anche dispositivi o account. Hai bisogno di queste solide basi per mantenere i clienti al sicuro.
Ma la sicurezza non è statica. Un decennio fa, potresti essere stato in grado di installare un firewall e utilizzare solo AV. I virus erano in genere solo fastidi, piuttosto che rischi maggiori (potenzialmente annientanti per l’azienda). Ma quei giorni sono passati da tempo e la prevenzione non può fermare tutto.
Per proteggere i tuoi clienti, in particolare con così tante PMI che cadono nel mirino dei criminali informatici odierni, i provider IT devono disporre di buoni metodi per rilevare gli attacchi. Mentre il primo passo per la preparazione e la prevenzione è stato quello di mettere le serrature alle porte, oggi il focus è sul sistema di allarme in casa. Oggi parleremo del rilevamento delle minacce.
(Fase uno persa? Controlla il post della scorsa settimana sulla preparazione e prevenzione qui ).
Rilevamento delle minacce odierne
Come accennato, alcune minacce sfuggiranno alle tecnologie preventive. Devi prenderli velocemente per proteggere i tuoi clienti. I criminali informatici si evolvono spesso, utilizzando tattiche di evasione come l’offuscamento del malware e gli attacchi senza file per sfuggire alle tecnologie tradizionali. Lo stack di sicurezza di oggi deve tenere conto di questo, pur rimanendo protetto dai vecchi standard.
Ecco cosa può aiutare in questa fase:
PROTEZIONE ENDPOINT
Poiché i lavoratori lavorano sempre più da remoto, avere una forte protezione degli endpoint sui dispositivi diventa più importante che mai. Tradizionalmente, questo ruolo era ricoperto da soluzioni antivirus (AV) che scansionavano i virus in base a una pianificazione prestabilita in base alle firme dei virus. Sebbene questo possa funzionare per i dipendenti a basso rischio senza accesso a molti dati sensibili, gli utenti (e le organizzazioni) ad alto rischio potrebbero dover optare per una soluzione di rilevamento e risposta degli endpoint (EDR) come SolarWinds ® EDR. Questi proteggono più dei semplici virus utilizzando l’apprendimento automatico per scoprire comportamenti anomali su una macchina, quindi determinando una risposta appropriata. Ad esempio, se la soluzione EDR rileva l’eliminazione di massa dei file, può segnalarla all’amministratore come segno di un potenziale attacco anche se l’attacco non è iniziato con un malware.
Poiché i criminali informatici lavorano sempre più per eludere gli scanner antivirus con tecniche come attacchi senza file remoti o documenti armati che lanciano script, una soluzione EDR fornisce una rete di protezione più ampia contro queste minacce all’endpoint. Inoltre, come parleremo nel nostro prossimo blog, possono essere utili anche per rispondere rapidamente. Vale la pena notare che c’è ancora spazio per l’antivirus: alcuni utenti a basso rischio possono utilizzare AV, affidandosi a scansioni delle firme basate sul tempo, e cavarsela senza problemi. Ma quando è necessaria una protezione più completa, ti consigliamo unasoluzione EDR in grado di funzionare 24 ore su 24 per proteggere l’endpoint dalle minacce.
MONITORAGGIO E PROTEZIONE DELLA RETE
Sebbene le soluzioni EDR proteggano l’endpoint, dovrai comunque monitorare la rete e le risorse aziendali per ulteriori minacce. Idealmente, uno strumento SIEM (Security Information and Event Management) sarebbe il migliore, ma non tutti hanno le competenze e le capacità interne per gestire le stazioni in ogni momento. Come minimo, considera l’inclusione di un firewall di nuova generazione su reti importanti. Questi includono spesso una protezione avanzata contro le minacce di rete, compresi i sistemi di prevenzione delle intrusioni e la capacità di rilevare malware.
PROTEZIONE E-MAIL
Quando la pandemia è iniziata per la prima volta, abbiamo assistito a un aumento degli schemi di phishing . Gli schemi di posta elettronica possono essere uno dei modi più semplici per i malintenzionati di attaccare una vittima. Possono utilizzare la posta elettronica per fornire file dannosi che compromettono la macchina dell’utente finale o potrebbero provare a utilizzare uno schema di phishing per rubare i nomi utente e le password delle persone. Durante i periodi di incertezza, le persone possono diventare ancora più inclini a cadere vittime di una minaccia di posta elettronica ben congegnata e credibile. Ecco perché è così importante utilizzare un potente filtro e-mail per rilevare queste minacce e metterle in quarantena prima che raggiungano gli occhi di un utente finale.
La maggior parte delle soluzioni di posta elettronica offre una protezione anti-spam, ma l’aggiunta di ulteriore sicurezza per la posta elettronica è fondamentale per prevenire il diluvio di minacce e-mail che le aziende devono affrontare oggi. SolarWinds Mail Assure, ad esempio, utilizza l’intelligence collettiva dell’intera base di utenti e feed di intelligence sulle minacce per rilevare anche le minacce nuove ed emergenti man mano che si presentano. Ciò offre un enorme vantaggio: anziché proteggere dalle minacce rilevate dalle principali soluzioni di posta elettronica dei clienti, protegge dalle minacce riscontrate tra gli utenti di più provider di posta elettronica. Con una più ampia gamma di dati da cui attingere, puoi proteggere i tuoi clienti anche dalle minacce e-mail emergenti.
GESTIONE DELLE PATCH
Abbiamo menzionato la gestione delle patch come parte della sezione di preparazione e prevenzione e non entreremo nei dettagli qui. Tuttavia, vale la pena notare che anche qui c’è un elemento di sicurezza del detective: è necessario eseguire una scansione coerente per rilevare eventuali sistemi privi di patch e aggiornarli di conseguenza, in particolare con gli aggiornamenti di sicurezza.
STRUMENTI RMM
Infine, avrai bisogno di una soluzione di monitoraggio e gestione remota. Per i principianti, un buon strumento RMM come SolarWinds RMM ti consentirà di gestire la sicurezza per più clienti distribuiti da un unico dashboard. Il tempo è essenziale per la sicurezza, quindi avere tutti i tuoi strumenti in un’area ti consente di rilevare le minacce e rispondere più rapidamente.
Cogliere le minacce odierne
Oggi abbiamo parlato molto delle tecnologie di rilevamento per la sicurezza. Una volta che hai costruito una solida base con i livelli preventivi, devi ancora avere il tuo sistema di allarme per avvisarti delle minacce che sfuggono ai primi livelli. Se segui i passaggi descritti qui, sarai in grado di trovare quelle minacce prima che possano devastare la tua base di utenti.
La prossima settimana parleremo di cosa fare una volta scoperta una minaccia.
FONTE: SolarWinds MSP BLOG
Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP