La protezione e la formazione con Kaspersky Endpoint Security Cloud

Tratto da Blog Kaspersky
Autore: Nikolay Pankov – 21/10/2020
 
 

La carenza sul mercato di specialisti della sicurezza informatica, già evidente negli ultimi anni, è diventata particolarmente problematica nel 2020. La pandemia, che ha costretto in molti a passare allo smart working, ha anche evidenziato la necessità di cambiare le strategie di sicurezza in molte aziende. Anche le piccole imprese si sono rese conto che le competenze dei loro amministratori IT non sono più sufficienti per garantire la continuità del business e proteggere le informazioni aziendali.

I dirigenti si trovano di fronte a una scelta: assumere un ulteriore specialista in sicurezza informatica oppure offrire una formazione avanzata specializzata al personale IT esistente. Entrambi gli approcci sono validi ma, per quanto riguarda la seconda strategia, possiamo darvi una mano.

Il nuovo panorama delle minacce

La persona che può spiegare meglio cosa è cambiato dall’inizio dell’isolamento sociale e dell’obbligo di restare in casa, è lo stesso amministratore IT. Al team IT è stato affidato il compito di rendere lo smart working il più comodo possibile per i lavoratori; nella maggior parte dei casi sono stati in grado di affrontare la sfida, fornendo l’accesso ai sistemi informatici aziendali, creando nuovi servizi e aiutando i dipendenti a risolvere le difficoltà che si sono presentate.

Tuttavia, nel giro di poche settimane, è diventato chiaro a molti che i nuovi processi richiedevano anche nuovi meccanismi di sicurezza. Ciò è accaduto principalmente perché cybercriminali di ogni tipo si sono attivati inviando messaggi di phishing e sferrando attacchi BEC ai dipendenti che lavorano da casa (anche i tentativi di attacchi di forza bruta sugli strumenti di accesso remoto hanno visto una crescita esplosiva).

I dipendenti hanno complicato la situazione. Trovandosi in ambienti per loro non famigliari e poco comodi, molti si sono presi l’onere di cercare strumenti per facilitare il lavoro di squadra. In molti casi, non si sono preoccupati di chiedere l’approvazione degli specialisti IT per l’utilizzo di tali applicazioni e servizi, e raramente si sono interessati della messa in sicurezza.

Di conseguenza, gli amministratori IT non solo hanno dovuto tenere d’occhio una serie di nuovi fattori sul proprio posto di lavoro, ma hanno dovuto anche pensare a nuovi modi per rendere il lavoro a distanza il più sicuro possibile. Acquisire una conoscenza più approfondita dell’attuale panorama delle minacce e avere una migliore comprensione di ciò che accade nelle workstation dei dipendenti da remoto, di conseguenza, è diventato di fondamentale importanza.

Kaspersky Endpoint Security Cloud

La soluzione Kaspersky Endpoint Security Cloud può aiutare gli amministratori IT a proteggere le workstation dei dipendenti.

Essendo su cloud e non richiedendo un hardware aggiuntivo, Kaspersky Endpoint Security Cloud non impone un carico inutile sulle risorse IT. Allo stesso tempo, l’amministratore può gestire la soluzione da un’unica console su cloud.

Uno degli ultimi aggiornamenti delle sue funzionalità è un meccanismo per il rilevamento dei sistemi shadow IT, ovvero i servizi su cloud che i dipendenti utilizzano per lavorare con i dati aziendali senza aver informato i tecnici.

E’ stata poi rilasciata una nuova funzionalità sperimentale, chiamata Cybersecurity for IT Online, uno strumento di formazione a cui si può accedere direttamente dalla stessa console. Il corso di formazione porta le conoscenze dei manager delle soluzioni IT al livello di un esperto di sicurezza principiante.

Al momento, la formazione si concentra specificamente sul miglioramento della comprensione dei software dannosi. Agli utenti viene insegnata la classificazione di base dei malware e come riconoscere i comportamenti pericolosi e sospetti; inoltre, vengono assegnati loro dei compiti interattivi in un ambiente simulato. In questo modo, acquisiscono le competenze di uno specialista nel rilevamento degli incidenti.

Questa funzionalità è stata implementata nella versione beta della soluzione, e gli esperti Kaspersky sono pronti ad ampliare la gamma di lezioni disponibili, qualora vi sia una richiesta in tal senso. Un’altra novità di questa versione di Kaspersky Endpoint Security Cloud è rappresentata dalle guide video sui prodotti, accessibili anche dalla console. Le guide aiuteranno i dipendenti a configurare la nuova soluzione senza dover cercare tra i manuali.

Per ulteriori informazioni: dircom@argonavis.it

23 Ottobre 2020

Motore antivirus Bitdefender per l’UTM di Endian

Tratto da LineaEDP
Autore: Redazione LineaEDP – 09/10/2020
 

Con l’ultima release UTM 5.2.0, Endian offre un livello di sicurezza superiore grazie all’integrazione del motore antivirus Bitdefender

Il vendor di security Endian ha annunciato il rilascio di una nuova funzionalità della sua linea di appliance UTM: nell’ultima versione UTM 5.2.0, Endian offre un livello di sicurezza ancora più avanzato grazie all’integrazione del motore antivirus Bitdefender.

Con un’interfaccia utente ottimizzata e High Availability potenziata, la nuova release di Endian è ora in grado di rispondere a una più vasta gamma di richieste dei propri clienti.

Soluzioni di sicurezza IT sempre più articolate

La “Nuova Normalità” con sempre più persone in tutto il mondo che lavorano da casa, unitamente all’espansione della digitalizzazione e i cyberattacchi in continuo aumento, richiedono oggi soluzioni di sicurezza IT articolate.

Endian offre sistemi di Unified Threat Management (UTM) per aziende di tutte le dimensioni, che costituiscono una barriera contro gli attacchi alla rete.

Come sottolineato in una nota ufficiale da Raphael Vallazza, CEO di Endian: «Con la nuova release UTM 5.2.0 abbiamo il piacere di proporre una security appliance al passo con le richieste sempre più esigenti del mercato IT. Con le nuove funzionalità e grazie alla partnership con Bitdefender i nostri clienti riscontreranno un sostanziale miglioramento delle prestazioni».

Bitdefender offre una tecnologia di primo piano nel filtraggio web ed email e una protezione superiore contro le minacce zero-day. In questo modo vengono bloccati potenziali attacchi al perimetro della rete ed evitati danni ad azienda, dipendenti e clienti.

In aggiunta al motore antivirus, ogni UTM prevede un esteso security feature-set che include firewall, email filtering, intrusion prevention con deep packet inspection e molto altro. Grazie a ciò Endian offre un sistema di protezione solido e articolato contro le cyber-minacce che mutano rapidamente.

Per garantire massima flessibilità, gli UTM Endian sono disponibili come hardware, software e virtual appliance, tutti basati sulla piattaforma EndianOS. Si tratta di un sistema operativo basato su Linux, ottimizzato per i lunghi cicli di aggiornamento.

La piattaforma Endian OS consente elevate performance e ampie possibilità di integrazione con terze parti, potendosi inserire in modo trasparente in qualunque infrastruttura senza sacrificare flessibilità e scalabilità.

Prestazioni dell’interfaccia utente web potenziate

Migliorate le performance dell’interfaccia utente web, per una maggiore scalabilità e supporto per ambienti multiutente più grandi con miglior responsività all’interfaccia web.

Nuove funzionalità in Alta Affidabilità

Novità anche sul modulo Alta Affidabilità (High Availability) che consente di configurare in cluster due apparecchi Endian e ottenere ridondanza hardware.

Incrementate le opzioni di notifica HA e la sincronizzazione dei servizi e del loro corrispondente stato.

Endian annuncia inoltre il nuovo programma di rilasci per le future versioni UTM: a partire dalla versione 5.2.0, viene introdotta la modalità “rolling release” per consentire l’implementazione di nuove funzionalità con maggiore frequenza e a intervalli ridotti.

19 Ottobre 2020

Phishing: attenzione alle false email provenienti dall’OMS

Tratto da BitMAT
Autore: Redazione BitMAT – 08/10/2020
 
 
Phishing: attenzione alle false email provenienti dall'OMS
 

I criminali informatici hanno ampiamente sfruttato l’emergenza sanitaria che negli ultimi mesi ha occupato le prime pagine di tutti i media, utilizzandola più volte come esca per diffondere numerosi malware. La strategia è stata spesso quella di nascondere i malware all’interno di documenti falsi sulla diffusione del coronavirus. Molti venivano diffusi come allegati di una mail contenenti le istruzioni su come proteggersi dal virus. In realtà, questi file contenevano diverse minacce tra cui Trojan e worm, in grado di distruggere, bloccare, modificare o copiare i dati, oltre ad interferire con il funzionamento dei computer o delle reti di computer. In questi giorni i ricercatori di Kaspersky hanno rilevato un’ulteriore minaccia che utilizza la stessa strategia. A fine settembre è stato rilevato uno schema di phishing che ha preso di mira gli utenti italiani. Circa 1.000 utenti italiani di soluzioni Kaspersky hanno ricevuto una mail, apparentemente inviata dall’OMS (Organizzazione Mondiale della Sanità) contenente una lettera in cui venivano indicate tutte le precauzioni da mettere in atto contro l’infezione.

La mail contiene in realtà un allegato dannoso attraverso il quale viene scaricato un Trojan: Trojan-Downloader.MSOffice.Agent.gen.

Phishing: attenzione alle false email provenienti dall'OMS

Tatyana Shcherbakova, security expert di Kaspersky ha dichiarato: “Abbiamo rilevato link simili in diverse lingue che sostenevano di contenere misure precauzionali emanate dall’OMS durante la prima ondata della pandemia. Dal momento che i tassi di infezione sono nuovamente in aumento, questo tipo di truffa è apparso nuovamente. L’OMS viene spesso utilizzata come esca per convincere le vittime che i documenti inviati siano legittimi”.

14 Ottobre 2020

Kaspersky ha rilevato MontysThree

Tratto da LineaEDP
Autore: Redazione LineaEDP – 09/10/2020
 
MontysThree, rilevato da Kaspersky, è un nuovo toolset utilizzato per lo spionaggio industriale
 
 
Kaspersky - MontysThree

I ricercatori di Kaspersky hanno rilevato una serie di attacchi mirati contro le organizzazioni industriali risalenti al 2018. Nel panorama delle minacce persistenti avanzate (APT) questo tipo di attacchi sono molto più rari rispetto alle campagne contro i diplomatici e altri esponenti politici di alto profilo. Il toolset utilizzato, denominato in origine MT3 dagli autori del malware, è stato poi soprannominato da Kaspersky “MontysThree”. Questo malware utilizza diverse tecniche per eludere il rilevamento, tra cui l’hosting delle comunicazioni con il server di controllo su servizi cloud pubblici e l’occultamento del principale modulo dannoso mediante steganografia.

Enti governativi, diplomatici e operatori delle telecomunicazioni sono il bersaglio preferito delle APT perché possiedono un patrimonio di informazioni politiche altamente confidenziali ed estremamente sensibili. Invece, le campagne di spionaggio mirate contro le realtà industriali sono molto più rare, ma, come ogni altro attacco contro il settore industriale, possono avere conseguenze devastanti per il business. Ecco perché, dopo aver notato l’attività di MontysThree, i ricercatori di Kaspersky hanno approfondito le ricerche.

Per effettuare l’attività di spionaggio, MontysThree utilizza un programma malware composto da quattro moduli. Il primo è il loader, che si diffonde inizialmente utilizzando un file RAR SFX (archivi auto-estraente) con i nomi relativi alle liste di contatto dei dipendenti, la documentazione tecnica e i risultati di analisi mediche con lo scopo di indurre i dipendenti a scaricare i file, secondo una comune tecnica di spear phishing. Il compito fondamentale del loader è garantire che il malware non venga rilevato sul sistema e a tal fine utilizza una tecnica nota come steganografia.

La steganografia è una tecnica utilizzata dai criminali informatici per nascondere lo scambio di dati. Nel caso di MontysThree, il payload malevolo principale è occultato come file bitmap (un formato per l’archiviazione di immagini digitali). Dopo aver inserito il comando corretto, il loader utilizzerà un algoritmo personalizzato per decifrare il contenuto dall’array di pixel ed eseguire il payload dannoso.

Il payload dannoso principale utilizza diverse tecniche di encryption proprie per eludere il rilevamento. In particolare, utilizza l’algoritmo RSA, che permette di crittografare le comunicazioni con il server di controllo e decrittografare i principali “task” assegnati dal malware. Questo include la ricerca di documenti con estensioni specifiche e in particolari directory aziendali. MontysThree è progettato per prendere di mira i documenti Microsoft e Adobe Acrobat; può anche catturare screenshot e “impronte digitali”, ossia raccogliere informazioni sulle impostazioni di rete, sul nome dell’host e molto altro.

Le informazioni raccolte e le altre comunicazioni con il server di controllo sono poi ospitate su servizi cloud pubblici come Google, Microsoft e Dropbox. Questo sistema rende difficile distinguere il traffico di comunicazione come dannoso e, poiché nessun antivirus blocca questi servizi, garantisce che il server di controllo possa eseguire comandi ininterrottamente.

MontysThree, inoltre, utilizza un modifier per Windows Quick Launch come metodo per ottenere la persistenza sul sistema infetto. Ogni volta che gli utenti utilizzano la barra degli strumenti di avvio rapido per eseguire applicazioni legittime come i browser, attivano a loro insaputa anche il modulo iniziale del malware.

Kaspersky non ha riscontrato elementi comuni nel codice dannoso o nell’infrastruttura che corrispondessero ad altre APT note.

“MontysThree è interessante non solo perché mira alle realtà industriali, ma anche perché combina TTP (Text Transfer Protocol) sofisticati ad altri che si potrebbero definire più “amatoriali”. In generale, la sofisticazione varia da modulo a modulo, ma non può essere paragonata al livello impiegato dalle APT più avanzate. Tuttavia, i creatori di MontysThree utilizzano standard crittografici robusti e scelte piuttosto tecniche come quella di utilizzare la steganografia personalizzata. Gli attaccanti si sono notevolmente impegnati nello sviluppo del toolset di MontysThree, e questo lascia intendere che sono determinati a perseguire i loro obiettivi e che non si tratta di una campagna di breve durata”, ha dichiarato Denis Legezo, senior security researcher with del Global Research and Analysis Team di Kaspersky.

Per proteggere le organizzazioni da minacce come MontysThree, gli esperti di Kaspersky raccomandano:

• Fornire ai dipendenti una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano sfruttando strategie di phishing o altre tecniche di ingegneria sociale. Condurre simulazioni di attacchi di phishing per assicurarsi che il personale sappia riconoscere email di questo tipo.

• Fornire al team SOC l’accesso alla threat intelligence (TI) più aggiornata. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI dell’azienda, e fornisce dati sugli attacchi informatici e molte informazioni raccolte da Kaspersky in 20 anni di esperienza sul campo.

• Implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento a livello degli endpoint, l’indagine e la remediation tempestiva degli incidenti.

• Oltre ad adottare un livello di protezione base per gli endpoint, implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform

• Assicurarsi di proteggere sia gli endpoint industriali che quelli aziendali. La soluzione Kaspersky Industrial CyberSecurity integra una protezione dedicata per gli endpoint e il monitoraggio della rete per rivelare qualsiasi attività sospetta e potenzialmente dannosa nella rete industriale.

13 Ottobre 2020

Audio-video: il nuovo modo per ottenere l’identità SPID

Tratto da BitMAT
Autore: Redazione BitMAT – 08/10/2020
 

Audio-video: il nuovo modo per ottenere l'identità SPID

Il nuovo modo sicuro e veloce per ottenere l’identità digitale Spid (Sistema pubblico di identità Digitale), attraverso una procedura semplificata di riconoscimento, si chiama audio-video. Verrà resa disponibile nei siti web dei gestori, man mano che la attiveranno.

Restano funzionanti le altre procedure di attivazione di Spid che sono le seguenti: di persona presso gli uffici dei gestori di identità digitale (identity provider), via webcam con operatore messo a disposizione dal provider. L’attivazione di Spid può avvenire anche con Carta d’identità elettronica (Cie) o un passaporto elettronico, identificandosi attraverso le app dei gestori scaricabili dagli store. Infine è possibile attivare Spid dai siti dei provider con Cie, Carta nazionale dei servizi o firma digitale e con l’ausilio di un lettore di smart card da collegare al computer.

Si ricorda che sono nove i gestori di identità digitale a cui poter richiedere Spid: Aruba, In.Te.S.A., InfoCert, Lepida, Namirial, Poste Italiane, Register, Sielte, TI Trust Technologies.

Nell’ultimo anno Spid si è diffuso notevolmente, arrivando a superare oggi il numero di undici milioni di utenti contro i 4 milioni e 800 mila del settembre 2019. La Ministra per l’Innovazione Tecnologica e la Digitalizzazione Paola Pisano, il Dipartimento per la trasformazione digitale e l’Agenzia per l’Italia Digitale (AgID) sono impegnati nella continua evoluzione di Spid per individuare soluzioni sempre più semplici e sicure di rilascio e agevolare così i cittadini che lo richiedono.

Attraverso la nuova modalità di riconoscimento online, il cittadino potrà ottenere Spid, comodamente da casa, senza l’aiuto di un operatore e con pochi passaggi. Per richiederlo dovrà:

  1. registrarsi sul sito del gestore di identità prescelto, che ha attiva la nuova modalità, avendo a portata di mano indirizzo e-mail e numero di cellulare personali;
  2. realizzare con il proprio telefono o computer un video in cui mostra il suo documento di riconoscimento italiano (carta d’identità, carta d’identità elettronica, patente o passaporto) e la tessera sanitaria o, in alternativa, il tesserino del codice fiscale. Come misura di tutela contro il furto di identità, durante il video il cittadino dovrà leggere un codice ricevuto via sms o tramite una delle app dei gestori di identità, che avrà provveduto ad installare sul proprio cellulare;
  3. effettuare un bonifico da un conto corrente italiano a lui intestato (o cointestato), indicando nella causale un codice specifico che avrà ricevuto dal gestore di identità.

Il bonifico è un ulteriore elemento di verifica dell’identità. Alcuni gestori hanno già scelto di chiedere una somma simbolica, anche di pochi centesimi di euro, da devolvere poi in beneficenza. Altri potranno decidere di adottare scelte commerciali.

L’operatore verificherà nel giro di pochi giorni le informazioni ricevute dal cittadino ai fini di controlli di sicurezza e antifrode, quindi rilascerà l’identità digitale.

Tutte le procedure di attivazione sono reperibili sul sito​ dedicato: esistono modalità gratuite o a pagamento che è bene conoscere prima di scegliere il gestore.

Questa nuova modalità ha ricevuto nei giorni scorsi il parere favorevole del Garante per la protezione dei dati personali e successivamente è stata adottata da AgID, ente vigilato dalla Ministra per l’Innovazione Tecnologica e la Digitalizzazione.

Tra le misure a garanzia della sicurezza e della tutela della privacy, concordate con il Garante, sono previsti controlli a campione sulle richieste, con doppia verifica da parte degli operatori, e il monitoraggio costante delle richieste respinte per motivi legati a tentativi fraudolenti.

12 Ottobre 2020

Blog & News

Categorie