SUPPORTO IT – Monitoraggio remoto ed EDR: meglio insieme. RMM & EDR sono oggi integrati in un’unica Dashboard

Alcune cose funzionano meglio insieme. Burro di arachidi e cioccolato. Laurel e Hardy. Ginger Rogers e Fred Astaire. Baseball e hot dog. Torta di mele e Chevrolet ® .

E adesso,SolarWinds ® RMM e Endpoint Detection and Response (EDR).

Oggi, siamo lieti di annunciare che SolarWinds RMM è ora integrato con SolarWinds EDR e riteniamo che scoprirai che combinare i due in un’unica dashboard di gestione ti porterà numerosi vantaggi.

Dopo il rilascio di N-central ® con EDR integrato all’inizio di quest’anno, SolarWinds MSP ha ora completato il primo passo di un viaggio verso la sicurezza e migliorato l’ecosistema con i nostri partner. Sia il monitoraggio remoto che le soluzioni di gestione offrono ora una protezione avanzata dalle minacce, che è diventata sempre più una soluzione a valore aggiunto che può consentirti di servire e proteggere meglio i tuoi clienti e scalare la tua attività.

Prevenire, rilevare, rispondere

Se non hai familiarità con SolarWinds EDR , iniziamo col dire che ti aiuta a prevenire, rilevare e rispondere alle minacce in continua evoluzione e a ripristinare i devices rapidamente quando il ransomware o altri exploit colpiscono. La riparazione e il rollback (solo sistema operativo Windows) aiutano a invertire gli effetti di un attacco e ripristinare lo stato integro pre-attacco degli endpoint per ridurre al minimo i tempi di inattività del cliente. E tutto questo è disponibile da una dashboard unificata, così puoi gestire i tuoi dispositivi in ​​modo più intelligente con RMM o N-central. Il monitoraggio e la gestione completi della sicurezza degli endpoint sin dal primo giorno, da un’unica dashboard facile da usare, è un punto di svolta.

Secondo alcune proiezioni, si ritiene che un’azienda cadrà vittima di un attacco ransomware ogni 11 secondi entro il 2021 Ecco perché l’aggiunta della funzione EDR in RMM è significativa: molti MSP che servono le piccole e medie imprese devono affrontare nuovi attacchi informatici rivolti sia a loro che ai loro clienti. Non solo il ransomware e altri malware possono danneggiare un’azienda, ma possono anche avere implicazioni di vasta portata per gli MSP. La perdita di un cliente non è l’unica cosa a rischio; Anche gli MSP possono essere ritenuti responsabili delle perdite. Ora più che mai è necessaria una protezione dalle minacce che copra un ampio spettro.

La gestione di più integrazioni non deve essere difficile. Tutti i tuoi strumenti, inclusi backup, antivirus, EDR, gestione delle patch e altri, sono accessibili da un’unica console. Avrai una visione mirata della totalità dei dispositivi dei tuoi clienti, tramite uno stato a colpo d’occhio che consente una facile individuazione degli incidenti e delle minacce su tutti i loro endpoint.

Diamo un’occhiata ad alcune delle caratteristiche di EDR che lo rendono un’aggiunta utile al tuo stack di sicurezza. È possibile utilizzare EDR in RMM e le sue funzionalità di automazione per:

  • Distribuire ed aggiornare le ultime versioni dell’agente EDR per i dispositivi con sistema operativo Windows utilizzando la funzionalità RMM nativa
  • Configurare rapidamente criteri EDR, esclusioni e altre impostazioni
  • Sfruttare i flussi di lavoro PSA per gestire gli avvisi EDR, inclusa la notifica delle infezioni del dispositivo
  • Visualizzare i widget della dashboard a colpo d’occhio per lo stato dettagliato o di riepilogo sui dispositivi
  • Ridurre gli avvisi e aiutare a mitigare le minacce senza lasciare la pagina tramite il Centro minacce con barra di stato migliorata
  • Automatizzare i controlli del servizio della piattaforma

Minaccia i dati quando ne hai bisogno

Con così tante minacce che emergono ogni giorno, gli MSP possono avere poco tempo, ma hanno comunque bisogno dei dati attuali sulle minacce in un attimo. Di conseguenza, sia la dashboard N-central che quella RMM/EDR offrono una comoda “Visualizzazione widget” per fornire le informazioni più importanti necessarie per valutare lo stato attuale di tutti gli endpoint (Figura 2).

Questi widget includono:

  • Minacce irrisolte: indaga sulle minacce con la massima priorità
  • Endpoint infetti: visualizza gli endpoint che necessitano di ispezione
  • Agenti S1 che richiedono attenzione: scopri gli agenti che richiedono il riavvio o altre azioni
  • Stato della rete dell’agente S1: vedere la disponibilità degli agenti
  • Copertura della versione dell’agente S1: osserva le metriche della versione dell’agente nella rete
  • Rilevamento delle minacce in base al motore: valuta i tipi di minacce

C’è molto di più da scoprire con EDR integrato. Che tu sia un utente RMM o N-central, troverai sicuramente molto da apprezzare e una vasta gamma di funzionalità per aiutarti a proteggere i clienti e far crescere la tua attività.

Oggi puoi richiedere una demo di RMM o N-central con EDR integrato.

Guarda il nostro video Come configurare l’EDR integrato in RMM .

FONTE: SolarWinds MSP BLOG – di Michael Tschirret, Sr. Product Marketing Manager, EDR

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

Read More

Cybersecurity Awareness Month: risposta e recupero dalle minacce man mano che si presentano

Nel nostro precedente post per il Cybersecurity Awareness Month (CSAM), abbiamo parlato del rilevamento delle minacce. Poiché le minacce sono cambiate, in particolare durante lo scorso anno, disporre degli strumenti e dei processi giusti per rilevare le minacce man mano che si presentano è fondamentale  per mantenere una solida posizione di sicurezza.

Tuttavia, il rilevamento delle minacce gioca solo una parte. Mentre alcune minacce, una volta rilevate, hanno risposte semplici, altre possono gonfiare i danni al punto da danneggiare seriamente un’organizzazione. Oggi parleremo di due cose: la risposta agli incidenti e le tecnologie di ripristino.

Immergiamoci.

Rispondi e recupera

Quando sorgono minacce, il tuo team deve risolvere i problemi in modo rapido e professionale. Il modo in cui lo gestisci può fare un’enorme differenza sul fatto che tu mantenga o meno il cliente felice (e pagante). Ciò significa che è necessaria una combinazione di politiche forti e tecnologia solida.

SVILUPPA UN PROCESSO IR (RISPOSTA AGLI INCIDENTI)

Prima di poter ripristinare la piena forza dei tuoi clienti, ti consigliamo di disporre di un piano di risposta agli incidenti (IR). Il piano non deve essere ampio, ma dovresti avere un processo fisso in atto per affrontare gli incidenti man mano che si verificano. Sebbene la risposta agli incidenti sia un argomento in sé e per sé (e può essere una profonda tana di coniglio), cerca di assicurarti almeno di avere un’idea dei passaggi da intraprendere: mettere in quarantena macchine infettive, indagare su cosa è successo, risolvere il problema, quindi test per assicurarsi che non ci siano effetti collaterali indesiderati. Dovrai anche capire come comunicare al meglio con i tuoi clienti durante il processo, sia in termini di tenerli aggiornati durante i tempi di inattività sia spiegando come prevenirai problemi futuri.

FORMALIZZA IL TUO PIANO

Quindi assicurati di scriverlo . Non vuoi saltare questo passaggio. Quando si verifica un incidente, sarai grato di avere istruzioni dettagliate per il tuo team su come gestire al meglio un incidente. Una buona parte della gestione degli incidenti di sicurezza implica mantenere la mente lucida sotto pressione; avere un piano scritto aiuta a ridurre il rischio di confusione o errori. Inoltre, assicurati di rivisitare e aggiungere al piano almeno una volta al trimestre, poiché i tuoi passaggi cambieranno nel tempo (e potrebbero essere leggermente diversi a seconda della base di clienti).

FAI PRATICA PER GLI INCIDENTI PRIMA CHE ACCADANO

Abbiamo detto che avere un piano scritto aiuta a ridurre la confusione. Così fa la pratica. Quando le persone affrontano per la prima volta un incidente di sicurezza, possono innervosirsi o entrare in modalità panico. Ecco perché è importante prepararsi in anticipo. Se riesci a trovare il tempo, prova a mettere in atto incidenti specifici, in particolare ransomware, in modo che ogni persona sappia la sua parte e non la affronterà per la prima volta dal vivo.

ESEGUI SPESSO IL BACKUP

Oltre al tuo processo, avrai anche bisogno di alcuni strumenti nella tua cassetta degli attrezzi e un backup basato su cloud è un must. Il backup delle workstation nell’archiviazione cloud è un must assoluto per aiutare a prevenire la perdita di dati, in particolare durante l’era del lavoro remoto pesante, poiché le persone potrebbero essere più rilassate riguardo alla connessione a un server aziendale per salvare i propri file. Se puoi, prova a eseguire il backup dell’intero endpoint o almeno dei documenti aziendali critici. E assicurati di pianificare i tuoi processi di backup in modo da soddisfare comunque gli obiettivi del punto di ripristino.

PROVA PER IL RECUPERO

Riprendendo un tema da prima, ti consigliamo di assicurarti di essere pronto quando arriva il momento di ripristinare. Ecco perché consigliamo di testare frequentemente la recuperabilità dei backup dei clienti. L’ultima cosa che vuoi è scoprire che un backup è stato danneggiato o che non puoi ripristinarlo mentre sei nel mezzo di una crisi.

USA EDR CON ROLLBACK

Infine, SolarWinds ® Endpoint Detection and Response (EDR) include una funzione di rollback automatizzata che può ripristinare rapidamente uno stato sicuro di un endpoint basato su Windows dopo una potenziale minaccia. In effetti, può eseguire una serie di azioni guidate da criteri, tra cui mettere in quarantena i file, disconnettere endpoint da una rete o bloccare le connessioni a siti dannosi. Sebbene l’EDR sia stato menzionato nel blog precedente sul rilevamento, svolge anche un ruolo fondamentale nei processi di risposta e ripristino. Poiché i clienti lavorano in remoto, EDR può lavorare quasi come team di risposta agli incidenti indipendenti su ciascun endpoint, spesso interrompendo un problema prima che subisca danni eccessivi. E poiché il 76% delle organizzazioni ha previsto che il lavoro remoto aumenterebbe i tempi di IR nel Costo di una violazione dei dati di quest’annorapporto di Ponemon e IBM, la funzione di rollback automatizzato potrebbe valere il suo peso in oro. Tuttavia, è importante notare che questa funzione non sostituisce il backup basato su cloud. Ne avrai ancora bisogno per il rollback su macchine che non sono Windows ed è comunque importante per altre forme di perdita di dati.

Mantenere la calma sotto pressione

Gli incidenti di sicurezza si verificheranno nonostante i tuoi piani e le tue difese migliori. Succede alle grandi imprese tanto quanto alle piccole imprese. Ciò che ti fa dimostrare il tuo valore ai tuoi clienti dipende da come gestisci l’incidente e dalla rapidità con cui li ripristini. Assicurati di avere un buon processo IR in atto in modo da poter mantenere i tuoi clienti al sicuro (e felici).

A volte, c’è un intoppo quando si tratta di recupero. Da un lato, hai bisogno degli strumenti giusti per assicurarti di poter ripristinare i dati in un attimo. Ma alcuni clienti possono risparmiare sul backup nel tentativo di risparmiare sui costi, spesso senza comprendere veramente il rischio fino a quando non è troppo tardi.

Per aiutarti a risolvere questo problema, scarica l’EBook gratuito: Guida completa alla vendita della protezione dei datiAiuterà la preparazione dei tuoi clienti a un evento di perdita di dati e contribuirà a migliorare i tuoi profitti

Ottieni la tua copia oggi 

FONTE: SolarWinds MSP BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

Read More

Cybersecurity Awareness Month: rilevamento delle ultime minacce informatiche

Nell’ultimo contributo abbiamo parlato di come preparare gli ambienti dei tuoi clienti e di aiutare a prevenire in primo luogo che le minacce raggiungano anche dispositivi o account. Hai bisogno di queste solide basi per mantenere i clienti al sicuro.

Ma la sicurezza non è statica. Un decennio fa, potresti essere stato in grado di installare un firewall e utilizzare solo AV. I virus erano in genere solo fastidi, piuttosto che rischi maggiori (potenzialmente annientanti per l’azienda). Ma quei giorni sono passati da tempo e la prevenzione non può fermare tutto.

Per proteggere i tuoi clienti, in particolare con così tante PMI che cadono nel mirino dei criminali informatici odierni, i provider IT devono disporre di buoni metodi per rilevare gli attacchi. Mentre il primo passo per la preparazione e la prevenzione è stato quello di mettere le serrature alle porte, oggi il focus è sul sistema di allarme in casa. Oggi parleremo del rilevamento delle minacce.

(Fase uno persa? Controlla il post della scorsa settimana sulla preparazione e prevenzione qui ). 

Rilevamento delle minacce odierne

Come accennato, alcune minacce sfuggiranno alle tecnologie preventive. Devi prenderli velocemente per proteggere i tuoi clienti. I criminali informatici si evolvono spesso, utilizzando tattiche di evasione come l’offuscamento del malware e gli attacchi senza file per sfuggire alle tecnologie tradizionali. Lo stack di sicurezza di oggi deve tenere conto di questo, pur rimanendo protetto dai vecchi standard.

Ecco cosa può aiutare in questa fase:

PROTEZIONE ENDPOINT

Poiché i lavoratori lavorano sempre più da remoto, avere una forte protezione degli endpoint sui dispositivi diventa più importante che mai. Tradizionalmente, questo ruolo era ricoperto da soluzioni antivirus (AV) che scansionavano i virus in base a una pianificazione prestabilita in base alle firme dei virus. Sebbene questo possa funzionare per i dipendenti a basso rischio senza accesso a molti dati sensibili, gli utenti (e le organizzazioni) ad alto rischio potrebbero dover optare per una soluzione di rilevamento e risposta degli endpoint (EDR) come SolarWinds ® EDR. Questi proteggono più dei semplici virus utilizzando l’apprendimento automatico per scoprire comportamenti anomali su una macchina, quindi determinando una risposta appropriata. Ad esempio, se la soluzione EDR rileva l’eliminazione di massa dei file, può segnalarla all’amministratore come segno di un potenziale attacco anche se l’attacco non è iniziato con un malware.

Poiché i criminali informatici lavorano sempre più per eludere gli scanner antivirus con tecniche come attacchi senza file remoti o documenti armati che lanciano script, una soluzione EDR fornisce una rete di protezione più ampia contro queste minacce all’endpoint. Inoltre, come parleremo nel nostro prossimo blog, possono essere utili anche per rispondere rapidamente. Vale la pena notare che c’è ancora spazio per l’antivirus: alcuni utenti a basso rischio possono utilizzare AV, affidandosi a scansioni delle firme basate sul tempo, e cavarsela senza problemi. Ma quando è necessaria una protezione più completa, ti consigliamo unasoluzione EDR in grado di funzionare 24 ore su 24 per proteggere l’endpoint dalle minacce.

MONITORAGGIO E PROTEZIONE DELLA RETE

Sebbene le soluzioni EDR proteggano l’endpoint, dovrai comunque monitorare la rete e le risorse aziendali per ulteriori minacce. Idealmente, uno strumento SIEM (Security Information and Event Management) sarebbe il migliore, ma non tutti hanno le competenze e le capacità interne per gestire le stazioni in ogni momento. Come minimo, considera l’inclusione di un firewall di nuova generazione su reti importanti. Questi includono spesso una protezione avanzata contro le minacce di rete, compresi i sistemi di prevenzione delle intrusioni e la capacità di rilevare malware.

PROTEZIONE E-MAIL

Quando la pandemia è iniziata per la prima volta, abbiamo assistito a un aumento degli schemi di phishing . Gli schemi di posta elettronica possono essere uno dei modi più semplici per i malintenzionati di attaccare una vittima. Possono utilizzare la posta elettronica per fornire file dannosi che compromettono la macchina dell’utente finale o potrebbero provare a utilizzare uno schema di phishing per rubare i nomi utente e le password delle persone. Durante i periodi di incertezza, le persone possono diventare ancora più inclini a cadere vittime di una minaccia di posta elettronica ben congegnata e credibile. Ecco perché è così importante utilizzare un potente filtro e-mail per rilevare queste minacce e metterle in quarantena prima che raggiungano gli occhi di un utente finale.

La maggior parte delle soluzioni di posta elettronica offre una protezione anti-spam, ma l’aggiunta di ulteriore sicurezza per la posta elettronica è fondamentale per prevenire il diluvio di minacce e-mail che le aziende devono affrontare oggi. SolarWinds Mail Assure, ad esempio, utilizza l’intelligence collettiva dell’intera base di utenti e feed di intelligence sulle minacce per rilevare anche le minacce nuove ed emergenti man mano che si presentano. Ciò offre un enorme vantaggio: anziché proteggere dalle minacce rilevate dalle principali soluzioni di posta elettronica dei clienti, protegge dalle minacce riscontrate tra gli utenti di più  provider di posta elettronica. Con una più ampia gamma di dati da cui attingere, puoi proteggere i tuoi clienti anche dalle minacce e-mail emergenti.

GESTIONE DELLE PATCH

Abbiamo menzionato la gestione delle patch come parte della sezione di preparazione e prevenzione e non entreremo nei dettagli qui. Tuttavia, vale la pena notare che anche qui c’è un elemento di sicurezza del detective: è necessario eseguire una scansione coerente per rilevare eventuali sistemi privi di patch e aggiornarli di conseguenza, in particolare con gli aggiornamenti di sicurezza.

STRUMENTI RMM

Infine, avrai bisogno di una soluzione di monitoraggio e gestione remota. Per i principianti, un buon strumento RMM come SolarWinds RMM ti consentirà di gestire la sicurezza per più clienti distribuiti da un unico dashboard. Il tempo è essenziale per la sicurezza, quindi avere tutti i tuoi strumenti in un’area ti consente di rilevare le minacce e rispondere più rapidamente.

Cogliere le minacce odierne

Oggi abbiamo parlato molto delle tecnologie di rilevamento per la sicurezza. Una volta che hai costruito una solida base con i livelli preventivi, devi ancora avere il tuo sistema di allarme per avvisarti delle minacce che sfuggono ai primi livelli. Se segui i passaggi descritti qui, sarai in grado di trovare quelle minacce prima che possano devastare la tua base di utenti.

La prossima settimana parleremo di cosa fare una volta scoperta una minaccia. 

FONTE: SolarWinds MSP BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

Read More

SICUREZZA IT – Best practice per la sicurezza informatica: una guida per MSP e imprese

Gli MSP gestiscono grandi quantità di dati sensibili, motivo per cui i criminali informatici li considerano buoni potenziali bersagli. Per proteggere adeguatamente questi dati sensibili dagli attacchi sofisticati odierni, è fondamentale che gli MSP sfruttino le migliori pratiche di sicurezza informatica per garantire la sicurezza e la protezione dei propri sistemi e dei sistemi dei propri clienti.

Questa guida illustrerà alcune best practice di sicurezza informatica per MSP e aziende, coprendo l’importanza di un’efficace gestione dell’infrastruttura remota, utilizzando una sofisticata soluzione di sicurezza EDR (Endpoint Detection and Response) e implementando software di gestione delle patch.

Perché gli MSP sono gli obiettivi principali degli attacchi informatici?

Le grandi imprese, che hanno accesso a grandi quantità di informazioni sui clienti, sono obiettivi ovvi per gli attacchi informatici. Tuttavia, la maggior parte delle grandi organizzazioni utilizzerà soluzioni di sicurezza di livello aziendale che le aiutano a impiegare misure di sicurezza sofisticate. Ciò significa che, sebbene possano essere un obiettivo redditizio per i criminali informatici, possono (in genere) richiedere molte competenze e risorse per attaccare con successo.

Gli MSP, d’altra parte, hanno probabilmente accesso a grandi quantità di dati preziosi sui clienti, indipendentemente dal fatto che i loro clienti siano piccole, medie o grandi imprese. Gli MSP hanno le mani in mille pezzi e possono fungere da gateway efficace per i criminali informatici che sperano di sfruttare dati riservati.

Le soluzioni MSP sono in genere create per fornire ai tecnici un accesso facile e diretto ai propri clienti, consentendo loro di risolvere i problemi, eseguire attività di manutenzione, distribuire software e molto altro con restrizioni minime. Data l’enorme quantità di accesso che gli MSP offrono ai clienti, non sorprende che i criminali informatici considerino gli MSP come obiettivi interessanti. Se un criminale informatico riesce a compromettere un solo MSP, potrebbe trovarsi con accesso a un’intera ventina di altri potenziali bersagli.

Inoltre, poiché l’offerta principale di un MSP è mantenere le reti dei clienti sicure e operative, la minaccia di danni e interruzioni rivolti ai clienti rende gli MSP l’obiettivo ideale per l’estorsione. Se, ad esempio, un MSP scoprisse che tutti i suoi clienti sono stati infettati da ransomware, i criminali informatici sperano che pagheranno una cifra considerevole per risolvere il problema.

Sei best practice per la sicurezza informatica

Con i criminali informatici che cercano di introdursi nei sistemi MSP e aziendali, è più importante che mai per gli MSP implementare le migliori pratiche di sicurezza informatica che li aiuteranno a evitare di cadere vittime di un attacco. Ecco sei attività chiave che gli MSP e le grandi aziende dovrebbero intraprendere per proteggersi dalle vulnerabilità sfruttabili:

1. DARE PRIORITÀ ALLA GESTIONE DELLE PATCH

Alcune organizzazioni possono subire centinaia, a volte anche migliaia, di attacchi informatici individuali ogni anno , sebbene queste attività siano certamente anomale. Tuttavia, la maggior parte delle aziende è a rischio di minacce informatiche semplicemente perché i criminali informatici sono sempre alla ricerca di potenziali vulnerabilità nelle applicazioni.

Gli MSP dovrebbero rendere i sistemi con patch e aggiornati una priorità perché software e firmware obsoleti sono obiettivi primari per i criminali informatici e possono essere facilmente sfruttati. Uno dei modi più efficaci per proteggere la tua attività MSP ei suoi clienti da problemi associati a hardware e software obsoleti è utilizzare un software di gestione delle patch robusto e sofisticato . Questo può aiutarti a tenerti aggiornato sugli aggiornamenti e distribuire le patch su base regolare prima che i criminali abbiano la possibilità di trarne vantaggio.

2. PARTECIPARE AL MONITORAGGIO E ALLA GESTIONE REGOLARI DELLE VULNERABILITÀ

Un po ‘come la gestione delle patch, il monitoraggio e la gestione delle vulnerabilità richiede di cercare le vulnerabilità che i criminali potrebbero essere in grado di sfruttare per evitare che ciò accada. Scansionando e testando regolarmente il tuo ambiente per rilevare eventuali punti deboli, puoi identificare le aree nei tuoi sistemi o nei sistemi dei tuoi clienti che richiedono aggiornamenti, che si tratti di una password predefinita, di una configurazione scadente o di un software senza patch. Questo è un modo semplice ed economico per migliorare in modo significativo la tua sicurezza informatica.

Una parte fondamentale della gestione delle vulnerabilità è l’esecuzione di scansioni di vulnerabilità che cercano potenziali vulnerabilità che i criminali informatici potrebbero cercare di sfruttare. La scansione basata su host può eseguire controlli di vulnerabilità su tutti i dispositivi delle reti per assicurarsi che non ci siano software privi di patch o potenziali minacce malware.

3. ESEGUIRE IL RILEVAMENTO E LA GESTIONE PROATTIVI DELLE MINACCE

Gli strumenti di rilevamento e prevenzione delle minacce possono comprendere firewall, sistemi di rilevamento delle intrusioni e risposte affidabili di rilevamento degli endpoint (EDR) . Il rilevamento completo ed efficace delle minacce è una parte cruciale della protezione della tua azienda e dei suoi clienti. L’implementazione di un firewall è il primo passo per monitorare e controllare con successo il traffico di rete in base alle regole di sicurezza individuali dei clienti. Se possibile, un firewall di nuova generazione può aiutare non solo controllando il traffico, ma fornendo anche altre funzionalità di sicurezza come la scansione antivirus. Un sistema di rilevamento delle intrusioni può identificare e bloccare eventuali entità dannose che violano il firewall.

Il blocco degli endpoint è un altro componente chiave per un rilevamento e una gestione delle minacce efficaci. La stragrande maggioranza degli attacchi informatici inizia con un utente che viene ingannato da un’e-mail dannosa. Gli strumenti di filtraggio di e-mail e web possono aiutare a impedire a dipendenti e utenti di commettere errori potenzialmente critici. Per supportare le misure di protezione della posta elettronica , è necessario configurare DMARC, SPF e DKIM o utilizzare uno strumento di protezione della posta elettronica in grado di farlo per te. Molti antivirus gestiti il software e le soluzioni di sicurezza EDR offrono una gamma di funzionalità di rilevamento delle minacce. Tuttavia, prima di scegliere una soluzione di sicurezza, dovresti considerare se è abbastanza completa da soddisfare i tuoi requisiti di sicurezza. Gli strumenti di sicurezza informatica e RMM all-in-one, in particolare quelli che offrono EDR avanzato insieme alla protezione web e alla protezione della posta elettronica, possono offrire un approccio centralizzato e semplificato che può essere sia economico che meno dispendioso in termini di risorse.

4. ESERCITATI NEL MONITORAGGIO DEI REGISTRI

Un monitoraggio efficace dei registri implica l’esame dei registri per rilevare eventuali anomalie. Ciò potrebbe includere il traffico proveniente da domini dannosi o tentativi di aumentare i privilegi degli utenti. Il monitoraggio dei registri può aiutarti a rilevare i modelli di minaccia e a colmare le lacune di sicurezza informatica. A seconda delle dimensioni della tua azienda o delle reti dei tuoi clienti e del numero di reti e dispositivi che richiedono il monitoraggio, potresti prendere in considerazione uno strumento SIEM (Security Information and Event Management). Questi strumenti ti aiuteranno a setacciare enormi quantità di dati e ti aiuteranno a dare la priorità agli elementi che necessitano di attenzione.

5. UTILIZZARE UNA SOLUZIONE DI BACKUP

I backup sono una parte cruciale per porre rimedio alle attività dannose e salvaguardare la continuità aziendale in caso di disastro o attacco informatico. Una buona soluzione di backup consente a te e ai tuoi clienti di accedere alle ultime versioni di applicazioni e dati aziendali, offrendoti la massima tranquillità da violazioni dei dati e disastri naturali. Le soluzioni di backup sono particolarmente importanti per gli MSP e le aziende che devono soddisfare i requisiti di conformità come PCI DSS e HIPAA .

Dovresti cercare una buona soluzione di backup basata su cloud che consenta trasferimenti di dati rapidi e ti dia la flessibilità di scegliere la modalità di ripristino dei dati. Essere in grado di ripristinare rapidamente dopo un evento di inattività, dovuto a un attacco ransomware, a un errore umano o a un disastro naturale, è fondamentale per mantenere i clienti al sicuro. Inoltre, è importante che i backup siano archiviati nel cloud nel caso in cui un attacco ransomware tenti di eliminare i backup locali sulle macchine.

6. IMPLEMENTARE E RIVEDERE LA GESTIONE DEGLI ACCESSI PRIVILEGIATI

Le aziende sperimentano spesso cambiamenti interni sotto forma di onboarding, offboarding e spostamenti laterali all’interno di un’organizzazione. Per questo motivo, rivedere regolarmente i privilegi di accesso è di fondamentale importanza. Quando si eseguono le revisioni degli accessi, è possibile che i dipendenti che una volta richiedevano l’accesso a determinate risorse mission-critical non ne abbiano più bisogno. Ciò può rappresentare un grave rischio per la sicurezza, soprattutto se la persona con accesso ha lasciato l’azienda. Per mitigare questo rischio, è necessario condurre controlli regolari per garantire che l’accesso dei dipendenti a dati e applicazioni critici sia strettamente “necessario sapere”.

Il modo migliore per prevenire l’abuso dei privilegi è stabilire barriere tra utenti e risorse. Per ottenere ciò, è possibile adottare un approccio a più livelli, aderendo al principio del privilegio minimo. Il principio del privilegio minimo limita i privilegi al minimo indispensabile per portare a termine il lavoro. Altre best practice per la gestione degli accessi includono evitare la condivisione o il riutilizzo delle credenziali di accesso, l’abilitazione dell’autenticazione a più fattori, l’utilizzo di un gestore di password per creare password complesse e un processo efficace per l’offboarding dei dipendenti e la revoca dei privilegi secondo necessità.

Introduzione all’implementazione delle migliori pratiche di sicurezza informatica

Rimanere in cima a tutte le best practice incluse in questa guida può essere una vera sfida ed è probabile che la tua organizzazione abbia requisiti di sicurezza informatica unici che non sono stati presi in considerazione. Per semplificare questo processo per la tua azienda, il modo più affidabile ed efficace per proteggere la tua organizzazione ei tuoi clienti dalle minacce informatiche è utilizzare una soluzione RMM all-in-one.

SolarWinds ® RMM  è progettato per aiutarti a soddisfare le tue esigenze di sicurezza informatica da un’unica dashboard. Il set di strumenti in RMM consente alle aziende di proteggere, mantenere e migliorare in modo efficiente i sistemi IT dei clienti, il tutto da un unico dashboard. Questa soluzione include le seguenti funzionalità:

  • Modelli di monitoraggio predefiniti
  • Accesso remoto veloce e sicuro
  • Funzionalità avanzate di protezione web
  • Backup e ripristino
  • Antivirus gestito
  • Rilevamento e risposta degli endpoint

SolarWinds RMM è una soluzione popolare progettata per supportare MSP e professionisti IT. È scalabile, conveniente e facile da usare. Senza alcuna formazione o esperienza richiesta, puoi iniziare a utilizzare SolarWinds RMM in poche ore.

Registrati per una prova gratuita di 30 giorni di SolarwWindsRMM

FONTE: SolarWinds MSP BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

Read More

SolarWinds EDR è ora integrato in Solarwinds N-Central – Distribuisci, configura e monitora facilmente il rilevamento e la risposta degli endpoint per difendere i tuoi clienti MSP

SolarWinds EDR è ora integrato pienamente all’interno della soluzione SolarWinds N-central, mentre l’integrazione nella versione RMM è prevista per Ottobre 2020.

Tramite la dashboard di N-central è ora possibile gestire direttamente la distribuzione la configurazione e il monitoraggio degli end point tramite SolarWinds End Point Detection e Response (EDR)

Le principali caratteristiche della funzionalità integrata sono:

Aiuta a prevenire gli attacchi informatici prima che minaccino le reti dei tuoi clienti

Il modo migliore per proteggere i tuoi clienti è cercare di prevenire il verificarsi di attacchi informatici in primo luogo. SolarWinds® Endpoint Detection and Response (EDR) è progettato per aiutarti a rilevare possibili minacce e rispondere ad esse prima che influenzino le reti dei tuoi clienti.

Il software EDR SolarWinds offre una serie di funzionalità importanti, tra cui:

● Un approccio senza firma in modo da non dover aspettare gli aggiornamenti quotidiani delle definizioni e affrontare una lacuna nella copertura
● Analisi dei file continua, quasi in tempo reale, che elimina la necessità di scansioni ricorrenti che richiedono molto tempo standard
● Protezione anche quando un endpoint è disconnesso

Rileva rapidamente le attività sospette e agisci prima che le reti dei clienti vengano infiltrate

Le minacce informatiche sono in continua evoluzione. Indipendentemente dai passaggi che intraprendi per prevenirli, c’è la possibilità che nuove minacce possano passare attraverso il tuo primo livello di difesa.

SolarWinds EDR consente di rilevare rapidamente la potenziale attività di minaccia. Lo strumento utilizza più motori di intelligenza artificiale comportamentale per identificare le minacce e determinare se è necessaria una risposta.

Inoltre, aiuta gli MSP a comprendere le informazioni sulle minacce necessarie per proteggere i clienti in modo efficace. Lo fa attraverso:

● Avvisi quasi in tempo reale per avvisarti quando una minaccia viene rilevata o neutralizzata
● Una dashboard intuitiva che ti consente di visualizzare le informazioni sulle minacce a colpo d’occhio, con collegamenti alle azioni di riparazione chiave
● Informazioni forensi e rapporti sui dati grezzi
● Approfondimenti esecutivi e risultati chiave

Risponde rapidamente agli attacchi con risposte automatiche

Con uno strumento di rilevamento e risposta degli endpoint in grado di agire in modo autonomo, puoi rimediare alle minacce molto più rapidamente, il che si traduce in una migliore protezione per i tuoi clienti.

Per garantire che queste risposte automatizzate siano efficaci e appropriate per una determinata minaccia, il software SolarWinds EDR viene fornito con una gamma di funzionalità che aiutano a guidare le sue risposte autonome. Questi includono:

● La capacità di personalizzare le politiche di protezione per cliente: ciò significa consentire / bloccare il traffico USB o endpoint e specificare la migliore risposta automatica
● L’opzione di scegliere tra diverse opzioni di ripristino preferite dopo un attacco
● Opzioni di quarantena avanzate che consentono di disconnettere l’endpoint compromesso da la rete prima che possa diffondere ulteriori danni
● Rollback automatico che contiene e neutralizza gli attacchi sostituendo i file compromessi con l’ultima versione integra nota in modo che i clienti possano tornare al lavoro rapidamente

Distribuisci, configura e monitora EDR dalla dashboard di N-central

Con SolarWinds EDR integrato in SolarWinds N-central, è possibile implementare e configurare rapidamente il software per iniziare.

Da una singola dashboard puoi:

● Utilizzare le regole N-central di SolarWinds per automatizzare il modo in cui EDR viene distribuito e aggiornato per i dispositivi Windows e macOS
● Configurare facilmente criteri EDR, esclusioni e altro
● Ottenere il rilevamento avanzato delle minacce, analizza le minacce attive e rimedi più rapidamente da una console centralizzata
● Gestire le licenze EDR con il report sull’utilizzo delle licenze N-central
● Sfruttare i flussi di lavoro PSA per gestire gli avvisi EDR

 

Scopri SolarWinds N-central e registrati per una Demo oppure contattataci per saperne di più: commerciale@n4b.it

FONTE: Sito SolarWinds MSP

Traudizione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

Read More

Cybersecurity Awareness Month (CSAM) – Un momento per riflettere e fare il punto della situazione

Dire che quest’anno è stato insolito è un eufemismo. L’incertezza e il cambiamento sono stati la norma e i team IT e di sicurezza hanno dovuto adattarsi. Durante i periodi di grandi cambiamenti, quelli con processi consolidati sono spesso meglio attrezzati per resistere alla tempesta.

Poiché ottobre è il Cybersecurity Awareness Month (CSAM), stiamo rivisitando le linee generali di un framework che puoi utilizzare per proteggere i tuoi clienti. Oggi vogliamo dare il via al mese fornendo un’anteprima di ogni fase del processo. Nelle prossime quattro settimane, tratteremo ciascuna fase in modo più approfondito, con tecnologie e tattiche specifiche.

Solarwinds MSP e N4B SRL si propongono di approfondire questi argomenti per sensibilizzare i provider IT, gli MSP e gli utenti. In particolare approfondiremo 4 aspetti:

1. Preparare e prevenire grazie a strumenti di gestione adeguati

Quest’anno, il settore IT è stato sconvolto dalla pandemia, costringendo molti fornitori a trasferire i propri clienti al lavoro remoto dall’oggi al domani. Successivamente, i provider IT avevano meno controllo e visibilità sulle reti a cui si collegavano i loro clienti. La sicurezza basata sul perimetro si era già dimostrata obsoleta; questo rapido passaggio al lavoro a distanza ne ha ulteriormente accelerato la fine. Nel post della prossima settimana, parleremo di alcuni lavori di preparazione e passaggi preventivi necessari per supportare una forza lavoro remota, quindi assicurati di controllarlo nel caso in cui ci sia qualcosa che potresti non aver considerato. Inoltre, parleremo un po ‘delle implicazioni del ritorno dei dipendenti nei loro uffici e di cosa ciò potrebbe significare per le reti aziendali.

2. Tecnologie per rilevare le minacce

Successivamente, parleremo di quale tecnologia è necessaria per rilevare le minacce oggi disponibili. Molte delle vecchie tecnologie di rilevamento funzionano ancora, ma in molti casi i clienti avranno bisogno di strumenti aggiornati. In particolare, i provider IT dovrebbero fare affidamento su una tecnologia più adattabile e attiva. Durante i periodi di incertezza, i criminali informatici spesso trovano modi per trarne vantaggio, sia tramite schemi di phishing legati alle notizie o sfruttando nuove vulnerabilità introdotte nello sconvolgimento. Ecco perché è così importante avere l’intelligenza artificiale e l’intelligenza collettiva mentre le frecce nella tua sicurezza informatica tremano. Parleremo delle soluzioni che meglio soddisfano questi momenti e del motivo per cui le soluzioni di rilevamento e risposta degli endpoint  sono progettate appositamente per questi tempi.

3. Rispondere agli incidenti e processo di recupero e ripristino

Nonostante le tue difese migliori, alcune minacce continueranno a sfuggire. Avere un solido piano per rispondere e recuperare dagli incidenti è assolutamente essenziale per aiutare a mantenere i clienti al sicuro. Parleremo ovviamente di tecnologie di backup e ripristino , ma parleremo anche dello sviluppo di un processo di risposta agli incidenti, che è particolarmente importante nell’era della maggiore privacy dei dati e delle normative in materia di segnalazione come GDPR e CCPA. Sebbene nessuno voglia mai che si verifichi un incidente di sicurezza, il modo in cui gestisci questo passaggio può spesso creare o distruggere i tuoi rapporti con i clienti, dimostrando la tua professionalità o inviandoli alla concorrenza.

4. Analizzare e migliorare la sicurezza

Infine, parleremo dell’analisi continua che i fornitori IT dovrebbero intraprendere per migliorare continuamente le posizioni di sicurezza dei loro clienti. Ciò comporta il monitoraggio dei rapporti giornalieri, ma implica anche l’esecuzione dei giusti tipi di analisi sia dopo gli incidenti che su base periodica. Parleremo anche di una tecnologia più avanzata che puoi considerare di implementare per ottimizzare ulteriormente le tue capacità di analisi della sicurezza (e migliorare la protezione in generale). Essere in grado di analizzare gli incidenti ti consente di stare al passo con le minacce quando proteggi i tuoi clienti e, poiché le minacce continuano a proliferare e i criminali informatici continuano a innovare, un’analisi coerente ti aiuta a migliorare la sicurezza per i singoli clienti e individuare le tendenze che puoi utilizzare per aiutare ulteriormente gli altri. Inoltre, questo passaggio ha un ruolo nel marketing: dovresti considerare la tua analisi come un’opportunità per dimostrare valore e forse anche persuadere i clienti ad aumentare ulteriormente le loro difese. Ne tratteremo molto nel post sul blog dell’ultima settimana.

Un momento per riflettere

Per questo mese, discuteremo di come i provider IT possono affrontare il momento attuale e oltre. I passaggi descritti qui si applicano indipendentemente dall’ambiente attuale delle minacce informatiche: è sempre necessario pensare in termini di preparazione e prevenzione, rilevamento, ripristino e analisi. Ma gli elementi che compongono ogni passaggio devono adattarsi. Nelle prossime quattro settimane, copriremo ogni passaggio. Quindi rimanete sintonizzati per i nostri prossimi post di questo mese, dove approfondiremo i dettagli di ogni passaggio.

 

Proteggere i tuoi clienti non dovrebbe essere un’impresa caotica. Ecco perché SolarWinds ® RMM integra più strumenti di sicurezza in un unico dashboard basato sul web. Con esso, puoi offrire sicurezza ai tuoi clienti dallo stesso sistema che utilizzi per monitorare e gestire la loro infrastruttura IT. 

Scopri di più su SolarWinds RMM oggi e registrati per una trial gratuita di 30 giorni

FONTE: Solarwinds MSP BLOG

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato Solarwinds MSP

Read More

SICUREZZA IT – Cos’è Active EDR? La rivoluzione nell’End Point Detection

SolarWinds ® Endpoint Detection and Response (EDR), alimentato da SentinelOne, offre molteplici funzionalità per aiutare a migliorare la sicurezza dei tuoi clienti a livello di endpoint e darti un controllo senza precedenti nella lotta contro la criminalità informatica.

Oggi, volevamo mettere in evidenza una caratteristica specifica: ActiveEDR.

ActiveEDR tiene traccia e contestualizza tutto su un dispositivo, aiuta a identificare azioni dannose in tempo reale e consente di automatizzare le risposte richieste. Continua a leggere per scoprire perché la funzione è stata sviluppata e come rappresenta un balzo in avanti nel rilevamento basato su endpoint.

Sfondo

Nella breve storia della sicurezza informatica, abbiamo visto come le tecnologie diventano obsolete abbastanza rapidamente poiché il panorama delle minacce cambia continuamente. Quando le minacce hanno iniziato a emergere negli anni ’90, molte aziende si sono trasferite per installare la protezione antivirus. Questi nuovi prodotti sono stati in grado di combattere una quantità relativamente piccola di virus noti, sebbene non siano stati in grado di combattere nuovi attacchi.

Gli autori di malware si sono adattati rapidamente con trojan e worm che inseguivano il nuovo oro.

A ciò si è aggiunta l’esplosione del Dark Web e la capacità dei cybercriminali di condividere e vendere strumenti e tattiche senza essere rintracciati. Il solo commercio di strumenti ransomware ha creato una microeconomia tra i criminali online. Quando è nata la criptovaluta, ha risolto un enorme problema per questi gruppi dannosi, poiché ora potevano sfruttare individui e aziende traendo potenza di elaborazione dalle loro macchine per generare nuova criptovaluta senza lasciare tracce finanziarie. Il ransomware rimane un problema, soprattutto perché i prezzi delle criptovalute sono diminuiti.

Rendere l’Intelligenza Artificial (AI) accessibile a tutti

Per affrontare queste sfide, le aziende avevano bisogno di soluzioni migliori. Quando la tecnologia AI è diventata disponibile, non ci è voluto molto perché nuovi prodotti innovativi sostituissero gli strumenti legacy basati sul rilevamento delle firme.

Questi nuovi strumenti della piattaforma di protezione degli endpoint (EPP) hanno addestrato un modello di intelligenza artificiale su un gran numero di campioni, quindi hanno utilizzato un agente sull’endpoint per affrontare il malware basato su file. Poiché gran parte del malware basato su file riutilizza il malware esistente, l’AI potrebbe rilevare somiglianze nel comportamento dei file senza bisogno di un agente locale con hash delle firme costantemente aggiornati. In altre parole, potrebbero esaminare il comportamento dei file per integrare la protezione basata sulla firma.

Questi nuovi strumenti hanno fornito un certo sollievo all’azienda, ma i gruppi di malware hanno scoperto rapidamente che i prodotti EPP erano completamente ciechi al malware basato sulla memoria, al movimento laterale e agli attacchi di malware senza file. A peggiorare le cose, sofisticati strumenti di hacking si sono fatti strada verso un pubblico più ampio. Attraverso le fughe di notizie, gli strumenti e le tecniche del malware degli stati nazionali sono diventati disponibili per i criminali informatici. L’impresa aveva bisogno di una nuova soluzione.

Per colmare questa lacuna, è nata una nuova linea di prodotti chiamati strumenti di rilevamento e risposta degli endpoint (EDR). EDR ha risposto all’esigenza dell’azienda di essere in grado di vedere almeno cosa stava succedendo sulla rete aziendale. La visibilità era la soluzione e la sua nuova casa era il cloud.

Ma queste soluzioni EDR hanno creato una nuova serie di problemi. Molte soluzioni EDR, così come sono oggi, forniscono visibilità, ma richiedono personale qualificato che possa prendere la grande quantità di dati generati dalle soluzioni, contestualizzarli e quindi utilizzarli per mitigare le minacce informatiche. La maggiore domanda di cyberanalisti di talento ha creato una massiccia carenza di manodopera nel settore della sicurezza. Allo stesso tempo, le soluzioni basate su cloud soffrono del problema dell’aumento del tempo di permanenza: il ritardo tra l’infezione e il rilevamentoRisolvere questi problemi è dove entra in gioco ActiveEDR.

Con così tante attività in corso su ogni dispositivo, l’invio di tutte queste informazioni al cloud per l’analisi potrebbe offrire visibilità, ma è ancora lontano dal risolvere il problema principale: il flusso di avvisi che devono affrontare i team di sicurezza a corto di personale. E se potessi mettere l’equivalente di un analista SOC esperto su ciascuno dei tuoi dispositivi? Un agente in grado di contestualizzare tutte le attività del dispositivo e identificare e mitigare i tentativi di minaccia in tempo reale?

SolarWinds Endpoint Detection and Response presenta alcune somiglianze con altre soluzioni EDR, ma a differenza di queste, non si basa sulla connettività cloud per rilevare una minaccia.

Questo aiuta efficacemente a ridurre il tempo di sosta per il tempo di esecuzione. L’agente utilizza l’AI per prendere una decisione senza dipendere dalla connettività cloud. La funzione ActiveEDR disegna costantemente storie di ciò che sta accadendo sull’endpoint. Una volta rilevato il danno, è in grado di mitigare non solo i file e le operazioni dannose, ma l’intera “trama”.

Considera questo scenario tipico: un utente apre una scheda in Google Chrome e scarica un file che ritiene sia sicuro. Esegue il file senza rendersi conto che è dannoso. Il programma avvia PowerShell per eliminare i backup locali e quindi crittografa tutti i dati sul disco. ActiveEDR conosce l’intera storia, quindi lo mitigherà in fase di esecuzione, prima che inizi la crittografia. Quando l’attacco viene mitigato, tutti gli elementi di quella storia verranno presi in considerazione, fino alla scheda Chrome che l’utente ha aperto nel browser. Active EDR funziona assegnando a ciascuno degli elementi della storia lo stesso ID, quindi inviando queste storie alla console di gestione, consentendo visibilità e chiarezza agli analisti della sicurezza e agli amministratori IT.

Una nuova esperienza per analisti della sicurezza e tecnici IT

Il lavoro di un analista della sicurezza o di un tecnico MSP che utilizza EDR passivo può essere difficile.

Inondato di avvisi, l’analista deve assemblare i dati in una storia significativa. Con ActiveEDR, questo lavoro di assemblaggio viene invece svolto dall’agente sull’endpoint. La soluzione ha già raccolto le storie in modo che l’analista della sicurezza possa risparmiare tempo e concentrarsi su ciò che conta. Invece di assemblare storie, l’analista può rivedere storie complete e contestualizzate, sulla base di un singolo indicatore di ricerca di compromesso. Ciò consente ai team di sicurezza di comprendere rapidamente la storia e la causa principale di una minaccia. La tecnologia può attribuire autonomamente ogni evento sull’endpoint alla sua causa principale senza fare affidamento sulle risorse cloud.

Conclusione

La maggior parte delle attuali soluzioni antivirus, EPP ed EDR non risolvono il problema della sicurezza informatica per l’azienda. Per compensare, alcuni si affidano a servizi cloud aggiuntivi per colmare il divario. Ma affidarsi al cloud aumenta il tempo di permanenza. A seconda della connettività, potresti essere troppo in ritardo nel gioco per affrontare la minaccia, poiché bastano pochi secondi perché un’attività dannosa infetti un endpoint, danneggi e rimuova le tracce di se stessa. Questa dipendenza dalla connettività al cloud rende passivi molti degli strumenti EDR odierni poiché si affidano a operatori e servizi per rispondere dopo che è già troppo tardi.

SolarWinds EDR trasforma l’EDR in modo che sia attivo, permettendogli di rispondere in tempo reale, trasformando il tempo di permanenza in nessun tempo.

ActiveEDR consente ai team di sicurezza e agli amministratori IT di concentrarsi sugli avvisi che contano, aiutando a ridurre i tempi e i costi necessari per contestualizzare la complessa e schiacciante quantità di dati necessari con altre soluzioni EDR passive.

L’introduzione di ActiveEDR è una tecnologie che aiuta gli esseri umani a diventare più efficienti e a risparmiare tempo e denaro. Come il modo in cui l’auto ha sostituito il cavallo e il veicolo autonomo sostituirà i veicoli come li conosciamo oggi, ActiveEDR sta trasformando il modo in cui le aziende intendono la sicurezza degli endpoint. 

Scopri come adottare un approccio più attivo alla sicurezza degli endpoint imparando di più su SolarWinds EDR oggi oppure contattaci: commerciale@n4b.it

FONTE: Solarwinds MSP BLOG

Traduzione: N4B SRL – Distributore Autorizzato Solarwinds MSP

Read More

SICUREZZA IT – Antivirus gestito vs. EDR: differenze chiave da ricordare

Sebbene ci siano alcune notevoli somiglianze tra la protezione antivirus gestita e il software di rilevamento e risposta degli endpoint (EDR) , ci sono notevoli differenze chiave tra i due. È fondamentale per i fornitori di servizi gestiti (MSP) comprendere queste differenze al momento di decidere quale soluzione è più adatta alle esigenze dei propri clienti. Questo articolo ti fornirà informazioni su entrambe le soluzioni per aiutarti a fare una scelta informata tra antivirus gestito ed EDR.

Cos’è la protezione antivirus gestita?

Il software antivirus è progettato per proteggere i computer dai virus. Una soluzione antivirus viene “gestita” quando viene installata, aggiornata e monitorata da un provider IT. Invece di eseguire l’antivirus in modo indipendente, un’azienda che utilizza un antivirus gestito ha un professionista IT che installa il software su workstation, server, computer e dispositivi dei dipendenti, pianifica le scansioni e lo utilizza per monitorare l’integrità della rete.

Gli attacchi informatici sono in continua evoluzione, motivo per cui l’utilizzo di un’opzione antivirus gestito può aiutare a garantire che un team sia costantemente aggiornato con le minacce più recenti e i nuovi virus. Con l’emergere di nuove minacce ogni giorno, l’antivirus gestito si basa sul monitoraggio delle firme delle minacce note, che devono essere aggiornate regolarmente sull’endpoint.

Con l’antivirus gestito, le attività di aggiornamento e scansione vengono tolte dalle mani dei tuoi clienti, liberando il loro tempo e mitigando il rischio di errore umano. Utilizzando una soluzione antivirus gestita , il tuo MSP ti aiuterà a garantire che quando il software rileva malware o virus, la fonte venga immediatamente messa in quarantena. Ciò riduce la probabilità che il virus o il malware causi danni estesi, dando al tuo MSP e alla tua azienda il tempo per risolvere il problema.

Come funziona EDR?

Le soluzioni EDR sono strumenti progettati per aiutare a identificare ed esaminare attività sospette o dannose su tutti i tuoi endpoint. Questa tecnologia è diventata sempre più popolare da diversi anni, con molte organizzazioni che scelgono di incorporare EDR nella loro strategia di sicurezza IT.

Le soluzioni EDR funzionano installando agenti sugli endpoint aziendali, il che consente al team IT di raccogliere dati sul comportamento della rete tramite questi endpoint. Queste informazioni vengono raccolte su un database centrale per l’analisi. L’analisi avanzata all’interno della soluzione EDR lavora per identificare modelli e anomalie. Se rileva un comportamento sospetto, la soluzione EDR può inviare avvisi automatici in modo che tu possa indagare o intraprendere ulteriori azioni.

Si ritiene generalmente che le soluzioni EDR forniscano una sicurezza di rete più completa rispetto alle tradizionali soluzioni antivirus gestite. Sono più efficaci degli strumenti antivirus nel combattere le minacce avanzate agli endpoint, il che è sempre più importante poiché i nostri ambienti di lavoro moderni sono alle prese con un numero sempre maggiore di endpoint ogni giorno.

EDR offre molto al tavolo, inclusa una gamma di funzionalità che molti programmi software antivirus gestiti non offrono. Ad esempio, EDR non utilizza le firme tradizionali. Invece, raccoglie dati su numerose attività su un endpoint ed esegue analisi per identificare e correggere le minacce. EDR utilizza l’apprendimento automatico e l’intelligenza artificiale per tracciare potenziali minacce e agire per tuo conto per riparare e persino riportare i dispositivi allo stato precedente all’attacco, fornendo risultati con velocità e precisione.

I documenti armati forniscono un buon esempio di come funziona una soluzione EDR. Se un individuo commette l’errore di scaricare un allegato da un’e-mail di phishing, il documento dannoso tenterà di esercitare il controllo sul server avviando uno script in modo che possa scaricare un payload di ransomware. Uno strumento EDR registrerà e monitorerà questo comportamento e, se ha funzionalità di avviso ed è configurato per farlo, ti invierà un avviso. Una soluzione EDR avanzata metterà in quarantena il ransomware e ripristinerà l’endpoint a uno stato sicuro noto. Alcuni, come SolarWinds ® EDR, consentono persino di disconnettere il dispositivo infetto dalla rete, riducendo al minimo il rischio che altri dispositivi vengano infettati.

Una potente soluzione EDR può avere un impatto enormemente positivo sulla tua rete più ampia. Molte soluzioni antivirus legacy e firewall di rete si concentrano sulla difesa da potenziali minacce esterne. Le minacce moderne, tuttavia, sono sempre più avanzate e utilizzano il movimento laterale per infiltrarsi in una rete. Ciò significa che una volta che un programma dannoso infetta un endpoint, tenterà di diffondere e infettare altri componenti di rete. Questa mossa potrebbe sfuggire a una soluzione antivirus tradizionale, motivo per cui sono essenziali strumenti di sicurezza degli endpoint efficaci.

Gli strumenti di protezione degli endpoint possono anche difendersi dagli attacchi interni. Gli attacchi interni sono particolarmente diffusi tra le reti aziendali, dove la condivisione tra i dispositivi è comune. Quando una soluzione EDR identifica un’attività sospetta, ne bloccherà l’origine e aiuterà a impedire che un potenziale attacco si infiltri nella rete più ampia. Uno dei grandi vantaggi di EDR è che può utilizzare l’IA per agire in modo autonomo, fornendo una risposta rapida e ragionevole alle attività dannose prima che l’infezione si diffonda.

L’EDR può sostituire l’antivirus gestito?

Poiché le moderne soluzioni EDR includono antivirus, possono sostituire efficacemente le soluzioni antivirus gestite. Ogni giorno vengono scoperte centinaia di migliaia di nuove varianti di malware . Gli attacchi informatici stanno diventando sempre più sofisticati e lo stato mutevole del mercato ha dimostrato che le soluzioni antivirus stanno lottando per competere.

I criminali informatici cercano costantemente di rendere le loro attività meno vulnerabili alle soluzioni antivirus, il che significa che gli strumenti antivirus tradizionali stanno diventando sempre più obsoleti. Per combattere le minacce più recenti e garantire che la loro sicurezza sia la più solida possibile, i tuoi clienti potrebbero voler considerare la sostituzione dei loro programmi antivirus gestiti con una soluzione EDR.

Antivirus gestito vs EDR: qual è il migliore per te?

Poiché il software antivirus diventa meno efficace contro una varietà di minacce odierne, gli MSP che cercano di stare al passo con la concorrenza e di offrire una sicurezza di alto livello trarrebbero probabilmente vantaggio da una soluzione EDR. Innanzitutto, uno strumento EDR ti consentirà di fornire servizi di sicurezza più solidi e proattivi. La richiesta di sicurezza avanzata è in crescita, quindi puoi distinguerti dal gruppo dimostrando la tua implementazione di una strategia di sicurezza completa e sofisticata.

Gli strumenti di sicurezza degli endpoint possono aiutare il tuo MSP a sviluppare offerte più complete per i tuoi clienti. Gli strumenti EDR possono agire in modo autonomo, eliminando la necessità di inviare dati al cloud o attendere una risposta. Ciò significa che sei in una posizione migliore per correggere potenziali problemi di sicurezza prima che causino danni ingenti. Se, ad esempio, il ransomware tenta di crittografare i file sul dispositivo di un cliente, uno strumento EDR può isolare il comportamento dannoso e ripristinare rapidamente l’endpoint. Questo processo ti aiuta a ridurre la perdita di produttività, prevenire i tempi di inattività e mantenere felici i tuoi clienti.

Forse ancora più importante, gli strumenti di sicurezza degli endpoint possono ridurre significativamente il rischio che si verifichi una grave violazione. Una violazione su larga scala può avere un impatto drastico sui tuoi clienti e danneggiare la tua reputazione di fornitore affidabile. Utilizzando strumenti di protezione degli endpoint appropriati, puoi proteggere sia i tuoi clienti che la tua azienda.

Scegliere il giusto software di protezione degli endpoint

SolarWinds Remote Monitoring and Management (RMM) è una soluzione completa di monitoraggio remoto che consolida una varietà di strumenti di gestione IT in un potente dashboard. Comprende una gamma di funzionalità di sicurezza a più livelli, come la gestione di password e documentazione, monitoraggio remoto, monitoraggio dei dispositivi di rete, individuazione della rete, gestione delle patch, automazione e scripting e funzionalità di backup, il tutto da un’unica posizione centrale. Inoltre, include funzionalità antivirus gestite e offre funzionalità avanzate di protezione degli endpoint eseguendo anche SolarWinds Endpoint Detection and Response, il che significa che puoi scegliere quale soluzione funziona meglio per ogni cliente.

Per aiutare a prevenire gli attacchi informatici, SolarWinds RMM offre un’analisi dei file quasi in tempo reale, il che significa che il sistema può analizzare continuamente i dati. Questo sostituisce le scansioni ricorrenti e dispendiose in termini di tempo generalmente utilizzate negli antivirus gestiti. SolarWinds RMM utilizza un approccio senza firma per combattere le minacce più recenti, in modo da non dover attendere l’arrivo degli aggiornamenti quotidiani delle definizioni. RMM offre anche protezione offline: i dati dell’intelligenza artificiale sono archiviati sull’endpoint, il che significa che possono essere protetti anche offline. 

Per provare SolarWinds RMM oggi, puoi accedere a una prova gratuita qui di 30 giorni.

Read More

SICUREZZA IT – Non dimenticare l’igiene informatica, parte 1: 5 consigli per rimanere al sicuro oggi

Gli attacchi informatici sono sempre presenti, ma la confusione che circonda i tempi di incertezza può indurre le persone ad abbassare la guardia. Ciò non solo può aumentare l’attività complessiva del crimine informatico, ma può anche portare a un aumento degli attacchi riusciti. E una volta che hanno avuto successo, i criminali informatici potrebbero facilmente rimanere nella rete di un’azienda per mesi senza essere rilevati.

Tenendo questo in mente, è importante assicurarti di coprire le tue basi. Soprattutto in tempi di crisi, è importante verificare di stare al passo con i fondamenti dell’igiene informatica.

Oggi torneremo ai fondamentali. Parleremo di ciò che dovresti controllare nel tuo elenco di cyber-igiene.

1. Autenticazione a più fattori

L’autenticazione a più fattori (MFA) non è più solo piacevole da avere, è un must per tutti i sistemi critici. I nomi utente e le password sono stati progettati per un periodo in cui le persone avevano solo una manciata da ricordare; di questi tempi ne abbiamo troppi da tenere a mente. Ciò può portare le persone a riutilizzare le password e, infine, a lasciare i propri account aperti a compromessi.

Questo è un problema particolare quando si tratta di servizi cloud. Man mano che sempre più persone lavorano a casa, le aziende faranno sempre più affidamento sui servizi cloud e trasferiranno la loro infrastruttura nel cloud. Una delle maggiori minacce ai servizi cloud sono le credenziali dell’utente. In questo caso, MFA deve essere una parte essenziale della tua strategia di sicurezza, sia che si tratti di e-mail, SMS, app come Google Authenticator o Authy, o hardware come Yubikeys.

2. Gestisci le tue identità

Un modo per mitigare il rischio informatico è ridurre i potenziali modi in cui i criminali possono trarre vantaggio da dati preziosi. Ciò significa conservare i dati in base alla necessità di utilizzo e assicurarsi che solo le persone giuste possano accedere alle informazioni giuste. Ad esempio, un grafico non avrà bisogno di accedere ai dati delle risorse umane dell’azienda o ai dati finanziari dei clienti. Assicurandoti che gli utenti possano accedere solo ai dati e ai sistemi di cui hanno bisogno, non solo puoi ridurre la probabilità di minacce interne, ma anche ridurre i danni causati se un malintenzionato esterno compromette i loro account.

Per fare ciò, assicurati che i nuovi account e gli account esistenti siano conformi a questo principio di privilegio minimo. Le autorizzazioni degli utenti possono diventare ingombranti nel tempo, quindi ora è un buon momento per pianificare un po ‘di tempo per eseguire un controllo e intraprendere le azioni necessarie. Inoltre, vale la pena programmare questi controlli in modo che si verifichino regolarmente.

3. Conosci e proteggi i tuoi gioielli della corona

Non puoi dipingere la sicurezza con un pennello largo. Alcuni dati potrebbero essere più rischiosi da perdere rispetto ad altri. Alcuni dipendenti necessitano di un accesso più sensibile di altri. Questi sono i tuoi gioielli della corona e dovrebbero ottenere una protezione aggiuntiva rispetto al resto dell’organizzazione e dell’infrastruttura. Ciò consente di concentrare gli sforzi e le risorse in materia di sicurezza nei posti giusti ed evitare di sovraccaricare i singoli dipendenti.

Ad esempio, gli amministratori di sistema avranno molto potere e accesso a dati e sistemi critici. L’aggiunta di più passaggi che richiedono loro di attivare la forte autenticazione a due fattori (2FA) per l’accesso a sistemi critici (o anche più fattori) potrebbe essere un passaggio per questo. Un altro dovrebbe comportare il monitoraggio attivo dei loro account per gli indicatori di attività sospetta (che potrebbe indicare un attacco interno, ma più probabilmente significa che un account è stato compromesso). Per i dipendenti a basso rischio come grafici o venditori, potrebbe non essere necessario lo stesso numero di cerchi per passare.

4. Proteggi i tuoi endpoint

Con un maggior numero di utenti che lavorano fuori dall’ufficio, la battaglia per la sicurezza viene condotta ancora di più a livello endpoint. Gli endpoint sono semplicemente ovunque, dai laptop forniti dall’azienda ai dispositivi IoT (Internet of Things) personali acquistati in negozio. Gli MSP hanno meno controllo sulle reti a cui si connettono gli endpoint, quindi la sicurezza degli endpoint è diventata più essenziale che mai.

L’antivirus (AV) deve rimanere aggiornato, ma alla fine questo ambiente sempre più ostile richiede spesso una protezione più avanzata. Un buon strumento di rilevamento e risposta degli endpoint (EDR) può aiutare a rilevare e riparare le minacce a livello di endpoint oltre al malware. Poiché gli aggressori utilizzano sempre più metodi di offuscamento del malware e attacchi senza file, disporre di un EDR in grado di rilevare anomalie che potrebbero essere indicatori di attacco al di là dei file malware tradizionali sarà essenziale per proteggere i clienti che lavorano fuori dall’ufficio aziendale.

5. Patch, patch e patch

L’applicazione di patch dovrebbe essere una delle pratiche più fondamentali per qualsiasi pacchetto di sicurezza. Le vulnerabilità vengono scoperte frequentemente ei criminali informatici possono affrettarsi rapidamente a sfruttare questi problemi. Assicurarsi che gli endpoint dei clienti dispongano delle patch più recenti, sia per il sistema operativo che per il software di terze parti, aiuta a prevenire un buon numero di attacchi (per lo più) facilmente prevenibili. Imposta un programma di gestione delle patch automatizzato e rispettalo. Se alcuni endpoint sembrano obsoleti nel tuo sistema RMM, prova a risolverli il prima possibile.

I buoni fondamentali contano

La pratica di solidi fondamenti spesso fa la differenza più grande per sconfiggere i criminali informatici. I criminali altamente motivati ​​possono utilizzare tecniche sofisticate, ma il più delle volte la maggior parte dei criminali informatici cerca bersagli facili, come sistemi privi di patch o account con password deboli e comuni. Mentre i tempi difficili continuano, non lasciare che questi fondamentali cadano nel dimenticatoio.

Restate sintonizzati per la seconda parte di questo in cui tratterò altri cinque suggerimenti di cyberhygiene per aiutarvi a mantenere i vostri clienti al sicuro.

Durante questo articolo, abbiamo menzionato gli strumenti di rilevamento e risposta degli endpoint, che possono offrire protezione contro una gamma più ampia di minacce rispetto al malware tradizionale, inclusi attacchi senza file, documenti armati e malware polimorfico. SolarWinds ® Endpoint Detection and Response (EDR) è stato creato per aiutare gli MSP a offrire una forte protezione ai propri clienti. Può persino ripristinare automaticamente gli endpoint in uno stato sicuro dopo un attacco ransomware. Scopri di più su EDR

FONTE: Solarwinds MSP BLOG

Traduzione: N4B SRL – Distributore Autorizzato Solarwinds MSP

Read More

Solarwinds EDR Rollback – Ritorno al Futuro: la macchina del tempo è reale

In un precedente post sul blog , ho parlato delle differenze tra Managed Antivirus (MAV) e Endpoint Detection and Response (EDR). EDR è una soluzione più completa ed è particolarmente adatta per le aziende con informazioni personali identificabili (PII) o altri dati sensibili a rischio.

Tuttavia, la funzionalità di rollback è ciò che distingue davvero EDR dal MAV.

È un’incredibile tecnologia in grado di proteggere i tuoi clienti e la tua attività. Diamo un’occhiata più da vicino a questo aspetto rivoluzionario di SolarWinds ® EDR, basato su SentinelOne.

Il percorso di rollback

SolarWinds EDR offre cinque diverse opzioni quando segnala una minaccia. Tre possono essere classificati come preventivi, nel senso che mettono fine ai danni causati dalla minaccia. Le altre due opzioni possono essere classificate come risposta, il che significa che è possibile riportare un endpoint al suo stato prima dell’attacco.

OPZIONI PREVENTIVE

  • Uccidi: questa opzione interrompe immediatamente l’attacco: pensalo come il grande pulsante rosso che viene premuto per impedire l’autodistruzione. L’attività dannosa viene catturata e terminata, indipendentemente dal fatto che agisca in una o più posizioni.
  • Quarantena: l’opzione Quarantena prende in carico e gestisce tutti i file eseguibili che rappresentano una minaccia e li sposta in un percorso protetto. Questi file possono essere esaminati per ulteriori analisi in un ambiente sandbox.
  • Disconnessione dalla rete: questa opzione consente di disconnettere un endpoint dalla rete. Per gli amministratori di rete, ciò è particolarmente utile perché limita l’accesso alla rete in uscita alla console di gestione, impedendo così qualsiasi diffusione di malware sulle reti a cui è collegato un endpoint. È quindi possibile indagare su ciò che è accaduto utilizzando la serie completa di strumenti forensi disponibili nella piattaforma.

OPZIONI DI RISPOSTA

  • Remediation: questa è la penultima opzione. Rimuove il danno causato dalla minaccia, ma non dovrebbe essere considerato un rollback completo, che, come vediamo di seguito, “riavvolge” il nastro riportando il device alla situazione esistente in un determinato momento precedente all’attacco.
  • Rollback: durante un rollback, il dispositivo interessato viene ripristinato su un’istantanea del servizio Copia Shadow del volume (VSS) salvata, che annulla qualsiasi danno. È una funzione particolarmente utile in un attacco di ransomware. In tal caso, il rollback dei file infetti rimuove la crittografia, annullando la necessità di considerare anche il pagamento del riscatto.

Puoi vedere come queste cinque opzioni sono presentate nella Figura 1 di seguito:

 

Se si sceglie di implementare una delle precedenti azioni come prima azione (ovvero, si mette in quarantena una minaccia), EDR implementerà anche tutte le azioni disponibili prima di questo, in questo caso applicherà anche “kill”.

Meglio di una DeLorean

La tecnologia chiave alla base del rollback è VSS (Volume Shadow Copy Service). Questa è una funzionalità dei sistemi operativi Microsoft Windows. VSS è in grado di conservare più copie di volumi o file di computer, anche mentre sono in uso.

Come funziona? È quasi simile a scattare una foto digitale, che ha un timbro di data e ora: VSS non è diverso. Crea un’immagine digitale dell’intero sistema in un intervallo e tempo specifici e la memorizza in modo che possa essere utilizzata per sovrascrivere un endpoint danneggiato. VSS fornisce all’utente finale un’immagine speculare del loro pre-attacco al sistema. È una tecnologia potente utilizzata ancora di più nel rollback.

Sembra fantastico, pensi, ma forse implica l’uso di un’alta intensità di risorse. Buone notizie, non è così. VSS è altamente efficiente. Quando sposta i file nella posizione temporanea, lo fa in modo incrementale. Sposta solo i file che sono stati modificati dall’ultima istantanea.

Per coloro che sono curiosi, VSS è stato introdotto in Microsoft Windows XP / Server 2003 ed è disponibile da allora in tutte le versioni di Windows. Il rollback è incluso negli agenti per Windows Vista/Windows Server 2008 R2 e versioni successive. Al momento, non è supportato su Mac OS e Linux.

Perché rollback

Semplice: un clic può infettare l’intera rete. La nostra infografica di Ransomware Rescue è molto dettagliata su questo flagello e su come aiutarlo a prevenirlo, ma considera le seguenti statistiche trovate nel documento:

  • 16,2 giorni è la quantità media di tempi di inattività che le aziende hanno sperimentato alla fine del 2019 a causa di attacchi ransomware
  • 1 impresa ogni 11 secondi è la frequenza prevista che le imprese cadranno vittima di un attacco di ransomware entro il 2021
  • $ 20 miliardi sono il costo previsto per i danni dovuti al ransomware nel 2021

Rollback: analisi costi-benefici

A questo punto, probabilmente stai pensando: “Soluzione venduta. Quanto costa questa funzione? ” Mentre l’EDR costa un po ‘di più rispetto al MAV tradizionale, è importante considerare ciò che guadagni in termini di funzionalità rispetto al costo incrementale.

L’abbiamo detto prima e vale la pena ripeterlo: nelle organizzazioni esiste un posto sia per MAV che per EDR, a seconda dei casi d’uso. Ma se cadi in quest’ultimo campo per i motivi delineati all’inizio di questo articolo, considera cosa costa di più: un po ‘di più per device per l’EDR o da quattro a sei ore per ricreare un endpoint infetto. Il costo aumenta di ordini di grandezza se si supporta un’organizzazione di grandi dimensioni. E non dimenticare che i tempi di fermo sono il costo più critico di tutti. Quando i dipendenti non lavorano, produttività e profitti seguono un percorso parallelo. Bisogna tenere conto di tutti i costi ed i danni correlati che EDR evita e così ci rendiamo conto che la differenza di prezzo diventa facilmente gestibile.

Rollback in azione

Un attacco ransomware è semplice nelle sue intenzioni, ma straordinariamente complesso nella sua esecuzione. A tal fine, abbiamo creato un VIDEO DIMOSTRATIVO sul funzionamento di EDR che simula un attacco di ransomware e mostra come funziona la funzione di rollback. Osserva come si svolge un attacco e come Rollback gestisce il problema in modo automatizzato, annullando il danno.

Alcune cose sono troppo belle per essere vere. La funzione di rollback non è una di queste. Essere in grado di fornire ai tuoi clienti un’incredibile tranquillità e rafforzare la loro sicurezza, specialmente quando gli attacchi predatori alle aziende sono in aumento, è enorme. Scopri di più su SolarWinds EDR  o contattaci per saperne di più: commerciale@n4b.it

Michael Tschirret, responsabile marketing prodotti senior, EDR

FONTE: Solarwinds MSP BLOG

Traduzione N4B SRL – Distributore Autorizzato Solarwinds MSP

Read More