Bloccare l’esecuzione di eseguibili da dispositivi rimovibili con Kaspersky

I dispositivi rimovibili sono considerati da sempre una fonte di rischio di infezione da parte del malware.

Esiste anche un’altra situazione che si vorrebbe evitare, ovvero che l’utente possa eseguire delle applicazioni, magari in edizione portable e quindi in grado di aggirare una policy che vieta l’installazione di nuovo software, trasportate tramite chiavette USB.

Kaspersky ci mette a disposizione tramite il modulo Application Startup Control lo strumento per bloccare l’esecuzione di file .exe da dispositivi rimovibili.

Come primo passo dobbiamo creare una nuova Application Categorynuova categoria

nuova categoria nuova categoria

nuova categoria
Volendo potremmo creare una esclusione per alcune applicazioni, in questo esempio andiamo ad inserire il file .exe di setup di Kaspersky Endpoint Security 10.
nuova categoria

nuova categoria
nuova categoria

Conclusa la creazione della categoria di software, possiamo creare una nuova regola su Application Startup Control.

Selezionato in Category, la nostra categoria appena creata, mettiamo in flag solo sulla voce: “Deny for other users”. In questa maniera, non avendo selezionato nessun utente a cui è permesso, la conseguenza sarà quella di impedire a tutti l’utilizzo di eseguibili dal dispositivo rimovibile.application startup controlapplication startup control

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

28 Dicembre 2016

Rilasciata nuova versione di CryptShare

E’ stata rilasciata la versione 3.11.0.0 di Cryptshare Server.

In questa versione sono presenti alcuni nuove funzionalità e la correzione di alcuni problemi noti:

  • Risolto un problema che non permetteva la visualizzazione del contenuto dei file zip nelle mail di notifica.
  • Introdotta la possibilità di notificare all’amministratore la rimozione in fase di “pre-processing” di alcuni file dal trasferimento
  • Introdotta la possibilità di visualizzare i file dei formati supportati: ‘eml’, ‘png’, ‘jpg’, ‘mp3’, ‘mp4’, ‘txt’ direttamente nel browser.
  • Migliorata la velocità quando vengono utilizzate delle politiche basate su utenti LDAP
  • Migliorata la gestione delle regole in modo da permettere la riduzione del numero di regole necessarie.
  • E’ stata migliorata la procedura guidata per la creazione di politiche
  • I log esportati da Cryptshare possono essere inviati ad intervalli configurabili.
  • Il mittente del messaggio ora è in grado di salvare una copia del messaggio scritto
  • L’amministratore del server Cryptshare viene avvisato via mail quando la licenza Cryptshare è quasi scaduta.
  • Le note di rilascio ed altre informazioni vengono incluse nella mail di notifica all’amministratore.
  • Viene utilizzata la versione v8u111 di Java Runtime Environment
  • Risolti diversi problemi che causavano la perdita delle informazioni di verificazione dell’utente.
  • Introdotto il supporto ad openLDAP.
  • Introdotto un filtro di ricerca per le regole delle politiche.
  • Introdotto un filtro di ricerca per i log di trasferimento.
  • Introdotto un nuovo sistema di log visibile dall’interfaccia di amministazione.

Alcune informazioni importanti da tenere in considerazione prima di effettuare l’aggiornamento:

  • L’aggiornamento ha necessità di almeno 800 MB di spazio libero su disco nella partizione di sistema. Vedi come verificare lo spazio libero sul tuo server Cryptshare.
  • Le dimensioni elevate di questo aggiornamento comportano una durata maggiore rispetto gli altri aggiornamenti.
  • Dopo l’aggiornamento le regole di risoluzione dei conflitti fra regole potrebbero essere cambiate.
  • Con questo aggiornamento vengono rilasciati dei nuovi pacchetti linguistici, al termine dell’aggiornamento è necessario scaricare ed installare i nuovi pacchetti.
  • Gli utenti che utilizzano Cryptshare Robot e le API JAVA devono riverificare la configurazione di verifica del mittente, perché potrebbero essere state perse durante l’aggiornamento.

LOGO-BCS_2014-Making-email-better

Cryptshare è la soluzione per rendere la tua posta elettronica moderna, funzionale e sicura.

argonavislab

Argonavis ed i suoi tecnici sono a tua disposizione. Contattaci per richiedere una demo del prodotto e rendere moderna la tua posta elettronica.

Richiedi Informazioni

 

22 Dicembre 2016

Certificazione FIPS 140-2

Il FIPS 140-2 è lo standard di certificazione rilasciato dal National Institute of Standards and Technology (NIST) per definire i requisiti dei sistemi crittografici, sia hardware che software, utilizzabili dall’amministrazione governativa degli Stati Uniti.

La certificazione prevede quattro livelli di protezione crescenti, dal Livello 1 (protezione inferiore) al Livello 4 (protezione superiore). Ciascun livello definisce le caratteristiche software (come gli algoritmo ammesso) ed aspetti fisici (come separazione delle interfacce, resistenza alle interferenze elettromagnetiche).

fips

Lo standard FIPS-2 deve essere impiegato per la certificazioni di prodotti commerciali utilizzati anche in ambiti in cui vengono conservati, trattati, modificati e divulgati dati sensibili non classificati, come ad esempio avviene in istituti finanziari oppure in strutture sanitarie.

Per informazioni più dettagliate il rapporto tecnico è scaricabile all’indirizzo: http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf

20 Dicembre 2016

Creare una regola per impedire l’avvio di applicazioni

Kaspersky Endpoint Security permette di specificare nella policy le applicazioni che si desidera non possano essere eseguite dagli endpoint.

Per poterlo fare è necessario definire una categoria a cui appartengono le applicazioni da bloccare. Il termine categoria in questo caso è scorretto perché all’interno di una categoria possono far parte anche diversi tipi di applicazione che non sono collegate da utilizzi similari.

In questo post analizziamo un caso  concreto, il caso in cui su vuole evitare che l’esecuzione degli updater possa rendere non più funzionanti dei software scritti appositamente.

Il primo passo da compiere e creare una nuova categoria dal menu “Advanced” -> “Application category“, premendo sul tasto destro del mouse selezionare nel menu contestuale il menu “New” e selezionare “Category“.

creazione_categoria

In questo caso specifico possiamo scegliere una categoria predefinita già realizzata da Kaspersky, ma è possibile anche selezionare singolarmente dei file ed estrarne la caratterizzazione.

creazione_categoria

diamo un nome alla categoria che stiamo creando

creazione_categoria

premendo il pulsante Add, compare un menu che ci permette di scegliere la categoria

creazione_categoria

selezioniamo la categoria Trusted Updater, che contiene gli eseguibili responsabili degli aggiornamenti delle applicazioni lecite.

creazione_categoria

Concludiamo la creazione della categoria premendo il tasto Next

creazione_categoria

Conclusa la creazione di questa categoria, dobbiamo modificare la policy che si applica agli endpoint a cui vogliamo inibire l’aggiornamento automatico.

modifica_policy

Nella sezione “Application Startup Control” aggiungiamo una nuova regola, selezionando la categoria che abbiamo creato, senza specificare nessun utente e mettendo il flag su “Deny for other users“. In questo modo nessuno ha il permesso di eseguire le applicazioni che fanno parte della categoria.

creazione_categoria

Salvando la regola ci appare il messaggio di avviso che approvando la regola gli utenti non potranno eseguire le applicazioni contenute nella categoria.

modifica_policy

Terminata la procedura possiamo salvare la regola ed attendere che la policy venga applicata.

modifica_policy

25 Novembre 2016

Allarme per attacchi DDoS

In queste ultime settimane si stanno moltiplicando gli allarmi per gli attacchi DDoS compiuti, ultimo per ordine di tempo l’attacco al sito di equitalia, che il 21 novembre 2016 ha bloccato il servizio per numerose ore.

Si tratta di una tipologia di attacco molto semplice ed al contempo complessa da evitare,  trafficl’obiettivo dell’attaccante è mettere in difficoltà l’infrastruttura che eroga il servizio riempiendola di chiamate contemporanee, quando queste richieste superano la soglia massima tollerata dall’infrastruttura il risultato è bloccare quasi totalmente l’attività del sito. Si tratta di un fenomeno simile a quello che si verifica nelle strade durante l’ora di punta, quando tutti hanno delle esigenze legittime  ed usufruiscono del servizio causandone il blocco.

Per poter sferrare un attacco efficace chi lo organizza deve avere la disponibilità di milioni di macchine che compiano delle richieste contemporanee, condizione all’apparenza difficile, che in realtà è molto più comune di quello che si possa immaginare. Infatti esistono delle BOT-NET ovvero degli insiemi di dispositivi che sono stati infettati da malware e che tramite dei server di command & control è possibile far agire in maniera contemporanea.

La cosa sorprendente è che non solo i computer ed i server fanno parte di queste bot-net e partecipano agli attacchi, ma qualsiasi tipo di dispositivo connesso incluse: telecamere ip, sistemi di domotica, apparecchiature medicali connesse e più in generale qualsiasi oggetto IoT.

Dobbiamo prepararci a difenderci da questo genere di attacco ed al contempo evitare che gli aggressori possano utilizzare i nostri dispositivi per compiere i loro attacchi.

argonavislab

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

22 Novembre 2016

Blog & News

Categorie