Kaspersky: ML (Machine Learning) nel nuovo servizio MDR per le PMI

 

Tratto da www.lineaedp.it
Autore: Redazione LineaEDP – 17/03/2021
 
 
L’innovativo servizio di Kaspersky adatta l’offerta alla preparazione delle aziende in termini di sicurezza IT
 
Kaspersky-Logo_2019
 

Il nuovo servizio Kaspersky Managed Detection and Response (MDR) garantisce una protezione continua basata sul machine learning, consentendo ai team di sicurezza IT di concentrarsi sull’analisi, sulle indagini e sulla risposta alle minacce. Grazie alle due versioni del prodotto, Kaspersky MDR è ora disponibile non solo per le grandi imprese, ma anche per le aziende di medie dimensioni con diversi livelli di maturità ed esigenze di sicurezza IT. Con il lancio di MDR, Kaspersky rinnova anche il suo approccio basato sui framework di cybersecurity. I diversi framework combinano infatti vari set di soluzioni e servizi di sicurezza per la protezione da diversi tipi di minacce.

Le attività di rilevamento e risposta agli attacchi sofisticati richiedono competenze specifiche, ma i budget destinati alla cybersecurity non sempre prevedono la formazione interna o l’assunzione di tecnici specializzati. La mancanza di risorse può portare a rispondere in ritardo agli incidenti e, di conseguenza, a incrementare le perdite sostenute da un’impresa. Secondo il report di Kaspersky “IT Security Economics 2020”, il costo medio di una violazione dei dati per le imprese di grandi dimensioni aumenta di oltre 400 mila dollari a seconda che una violazione venga scoperta quasi istantaneamente o dopo una settimana.

Kaspersky Managed Detection and Response offre i vantaggi di un security operations center (SOC) in outsourcing senza che i team interni debbano avere competenze specifiche nel threat hunting e nell’analisi degli incidenti, il che può essere particolarmente rilevante per le aziende di medie dimensioni. Il servizio è arricchito da tecnologie di rilevamento e dalla vasta esperienza nel threat hunting e nella incident response di diversi team di esperti, tra cui il Global Research & Analysis Team (GReAT). È anche potenziato da AI Analyst che consente la risoluzione automatica degli alert e permette agli analisti del SOC di Kaspersky di concentrarsi sulla gestione delle segnalazioni più importanti. Questa combinazione di tecnologie e competenze offre ai clienti una protezione contro le minacce che eludono il rilevamento, ad esempio imitando programmi legittimi. Gli esperti di sicurezza IT sono in grado di controllare lo stato di protezione di tutte le risorse e la threat detections in tempo reale, di ricevere istruzioni di risposta pronte all’uso o autorizzare scenari gestiti.

Il servizio integra diversi componenti. I prodotti Kaspersky come, ad esempio, la endpoint protection o EDR, inviano la loro telemetria al Kaspersky Security Network. Questa telemetria viene poi analizzata nel SOC (Security Operations Center) interno di Kaspersky utilizzando più di 700 “hunt” proprietarie basate su TTP costantemente aggiornate e adattate alle esigenze del cliente e ai vari motori di rilevamento. Gli alert vengono raccolti da tutti gli endpoint, consentendo così al sistema di stabilire eventuali collegamenti tra una serie di attacchi a vari dispositivi. Successivamente, il team di threat hunting di Kaspersky convalida e classifica tutti i rilevamenti in ordine di importanza per garantire una risposta tempestiva. Dopo l’indagine, i clienti ricevono l’alert degli incidenti e una guida completa sulle azioni da intraprendere nel portale MDR dedicato. Le opzioni di risposta possono quindi essere avviate tramite un agente di endpoint detection and response (EDR). I clienti possono anche combinare MDR con l’Incident Response retainer di Kaspersky per esternalizzare completamente le indagini forensi sugli incidenti e la loro eliminazione.
Il livello Kaspersky MDR Optimum garantisce una protezione as-a-service chiavi in mano, mentre Kaspersky MDR Expert consente di formare e dotare di certificazioni OSCP, GCTI, SANS SEC560, SANS SEC660 gli analisti SOC del vendor, di accedere al Kaspersky Threat Intelligence Portal e a una API (Application Programming Interface) per integrare i security workflow esistenti.

Insieme a questo nuovo prodotto, Kaspersky presenta anche nuovi framework volti a soddisfare le esigenze delle aziende in termini di difesa dalle minacce e in base al livello di maturità della loro sicurezza IT. Kaspersky MDR potenzia ogni framework abilitando una funzione di sicurezza IT consolidata e consentendo ai team di esperti di sicurezza IT di focalizzarsi sulla gestione degli eventi critici evidenziati.

Kaspersky Security Foundations offre una protezione adattiva contro le minacce più diffuse che colpiscono endpoint, dispositivi mobili, infrastrutture cloud e server dei clienti. Questa solida soluzione di base aiuta le organizzazioni a valorizzare gli investimenti in sicurezza grazie alla prevenzione automatica delle minacce. Grazie al Premium Support e al portfolio rinnovato Professional Services, i clienti possono usufruire di assistenza professionale ogni volta che ne hanno bisogno.

Il framework Kaspersky Optimum Security migliora il livello di sicurezza rispetto a minacce nuove, sconosciute e difficili da rilevare, aiutando le piccole e medie imprese che dispongono di risorse di cybersecurity limitate a elaborare piani di incident response. Il framework si avvale di meccanismi di rilevamento avanzati con algoritmi basati sul machine learning e di una sandbox, e offre una maggiore visibilità delle minacce, una capacità di analisi delle cause degli incidenti e una vasta gamma di azioni di risposta. Kaspersky Optimum Security raccomanda inoltre programmi di formazione sulla security awareness per aiutare le organizzazioni a sviluppare una cultura aziendale di cybersicurezza.

Il framework Kaspersky Expert Security rappresenta una strategia olistica per aiutare ad informare e guidare gli esperti interni ad affrontare l’intera gamma delle complesse minacce odierne, come APT e attacchi mirati. Kaspersky Anti Targeted Attack Platform con Kaspersky EDR agisce come una soluzione di Extended Detection and Response (XDR), offrendo una protezione APT all-in-one con capacità di rilevamento delle minacce di rete e EDR. Gli IT security specialist sono dotati di tutte le tecnologie necessarie per gestire il rilevamento multidimensionale delle minacce di qualità superiore sia a livello di endpoint che di rete, intraprendendo indagini efficaci e una threat hunting proattiva e fornendo una risposta rapida e centralizzata attraverso un’unica soluzione. Inoltre, il framework mette a disposizione Kaspersky Threat Intelligence and training per aggiornare il personale addetto alla sicurezza IT, per accrescere la qualità dell’assistenza e il supporto immediato e per permettere di consultare gli esperti di terze parti di Kaspersky attraverso il portafoglio di servizi di cybersecurity.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

18 Marzo 2021

Monero: Kaspersky rileva un aumento di 2000 attacchi in due mesi

 

Tratto da BitMAT
Autore: Redazione BitMAT – 12/03/2021
 
 
Aumentano drasticamente le installazioni di applicazioni fake in cui si cela la criptovaluta Monero
 
 
Monero

 

Alla fine di gennaio gli esperti di Kaspersky hanno registrato un severo aumento di applicazioni fake. Sotto questo fenomeno si nascondeva la criptovaluta Monero che, i cybercriminali, hanno distribuito, tramite queste applicazioni, nei vari siti web.

Kaspersky è arrivata alla conclusione che è stata messa a punto una vera e propria campagna distruttiva, che ha avuto inizio già in estate e segnalata dai membri della community di sicurezza. La segnalazione riguardava la distribuzione, da parte dei criminali informatici, di miner nascosti in finti programmi di installazione di antivirus.

Durante la seconda ondata di attacchi nel 2021, l’installer XMRig ha assunto le sembianze di diverse nuove applicazioni, come gli ad blocker AdShield e Netshield e il servizio OpenDNS. Monero viene distribuito sfruttando i nomi di famose applicazioni legittime per sistemi mobile e tenta di apparire come un’equivalente versione per Windows. Quando l’utente avvia manualmente il programma, quest’ultimo cambia le impostazioni DNS sul dispositivo in modo che tutti i domini vengano risolti attraverso i server degli attaccanti.

Questi server, a loro volta, impediscono agli utenti di accedere a determinati siti antivirus, come Malwarebytes.com. Come payload finale, il pacchetto contiene il famigerato miner open-source XMRig.

Secondo quanto emerso dai dati raccolti attraverso il Kaspersky Security Network, fino all’inizio di febbraio 2021, gli attaccanti hanno tentato di installare, con Monero, app fake sui dispositivi di 21.141 utenti.

Numero di utenti attaccati tra agosto 2020 e febbraio 2021

Al culmine della campagna, sono stati attaccati più di 2.500 utenti al giorno, la maggior parte dei quali localizzati in Russia e nella Comunità degli Stati Indipendenti.

Le soluzioni di Kaspersky per difendersi da Monero, rilevano le minacce precedentemente descritte con i seguenti nomi:

• Trojan.Win64.Patched.netyyk
• Trojan.Win32.DNSChanger.aaox
• Trojan.Win64.Miner.gen
• HEUR:Trojan.Multi.Miner.gen

17 Marzo 2021

Patch Microsoft per vulnerabilità su Exchange Server

Tratto da Blog Kaspersky
Autore: Hugh Aver – 09/03/2021
 
 
 
 

Microsoft ha rilasciato una patch fuori programma per risolvere numerose vulnerabilità presenti su Exchange Server. Secondo quanto afferma l’azienda, quattro di queste vulnerabilità sarebbero già state utilizzate in attacchi mirati, per questo installare le patch al più presto è di sicuro la decisione più saggia.

Qual è il rischio?

Le quattro vulnerabilità più pericolose già sfruttate consentono ai cybercriminali di effettuare un attacco in tre fasi. Prima accedono a un server Exchange, poi creano una web shell per l’accesso da remoto al server e infine utilizzano questo accesso per rubare dati dalla rete della vittima. Le vulnerabilità sono:

  • CVE-2021-26855, che può essere utilizzata per la falsificazione delle richieste dal lato server e che porta all’esecuzione di un codice da remoto;
  • CVE-2021-26857, che può essere utilizzata per eseguire un codice arbitrario per conto del sistema (anche se questa fase richiede diritti di amministratore o lo sfruttamento della vulnerabilità menzionata nel punto precedente);
  • CVE-2021-26858 e CVE-2021-27065, che possono essere utilizzate dai cybercriminali per sovrascrivere i file sul server.

I criminali informatici si avvalgono di tutte e quattro le vulnerabilità; tuttavia, secondo Microsoft, a volte sostituiscono la prima fase di attacco con l’utilizzo di credenziali rubate e accedono al server senza sfruttare la vulnerabilità CVE-2021-26855.

La stessa patch corregge alcune altre vulnerabilità minori su Exchange che non sono direttamente collegate ad attacchi mirati attivi (per quanto ne sappiamo).

Chi è a rischio?

La versione su cloud di Exchange non è interessata da queste vulnerabilità, che rappresentano una minaccia solo per i server all’interno dell’infrastruttura. Inizialmente Microsoft aveva rilasciato aggiornamenti per Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e un ulteriore aggiornamento “Defense in Depth” per Microsoft Exchange Server 2010. Tuttavia, a causa della gravità dell’attacco, hanno esteso la patch anche su Exchange Server obsoleti.

Secondo i ricercatori di Microsoft, a sfruttare le vulnerabilità per rubare informazioni riservate sono stati i criminali informatici del gruppo Hafnium. I loro obiettivi includono grandi industrie statunitensi, ricercatori di malattie infettive, studi legali, organizzazioni no profit e analisti politici. Il numero esatto delle vittime non è ancora noto, ma secondo le fonti di KrebsOnSecurity parliamo di almeno 30.000 aziende negli Stati Uniti, tra cui piccole imprese, amministrazioni comunali e governi locali, la cui  sicurezza è stata violata utilizzando queste vulnerabilità. I nostri esperti hanno scoperto che a essere in pericolo non sono solo le aziende americane: i criminali informatici di tutto il mondo stanno già sfruttando queste vulnerabilità. Troverete maggiori informazioni sulla geografia dell’attacco nel nostro post su Securelist.

Come difendersi dagli attacchi su MS Exchange

  • Prima di tutto, installate la patch per Microsoft Exchange Server. Se la vostra azienda non può installare gli aggiornamenti, Microsoft raccomanda una serie di soluzioni alternative;
  • Secondo Microsoft, negare a risorse non affidabili, l’accesso al server Exchange sulla porta 443, o in generale limitare le connessioni dall’esterno alla rete aziendale, può fermare la fase iniziale dell’attacco. Ma tale metodo non aiuterà se gli i cybercriminali si trovano già all’interno dell’infrastruttura o se ottengono l’accesso di un utente con diritti di amministratore per eseguire un file dannoso;
  • Una buona soluzione di Endpoint Detection and Response (se avete esperti in azienda) o specialisti esterni che si occupano di Managed Detection and Response possono rilevare questi comportamenti dannosi;
  • Tenete sempre a mente che ogni computer connesso a Internet, sia esso server o workstation, ha bisogno di una soluzione di sicurezza per endpoint affidabile, in grado di gli exploit e di rilevare in modo proattivo i comportamenti dannosi.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

10 Marzo 2021

Kaspersky avverte: Lazarus prende di mira il settore della difesa

Tratto da BitMAT
Autore: Redazione BitMAT – 26/02/2021
 
 
 
 

I ricercatori di Kaspersky hanno identificato una nuova campagna APT a opera di Lazarus, un threat actor di minacce avanzate molto prolifico che risulta attivo almeno dal 2009 e al quale sono state attribuite una serie di campagne diverse tra loro.

A partire dai primi mesi del 2020, il gruppo ha preso di mira il settore della difesa con una backdoor personalizzata e soprannominata ThreatNeedle. La backdoor esegue movimenti laterali attraverso le reti infette sottraendo informazioni sensibili.

Lazarus è uno dei threat actor più prolifici del momento. Attivo almeno dal 2009, questo gruppo è stato coinvolto in campagne di cyberspionaggio su larga scala, campagne ransomware e persino attacchi contro il mercato delle criptovalute. Negli ultimi anni il gruppo si è concentrato sulle istituzioni finanziarie ma all’inizio del 2020 ha aggiunto ai suoi obiettivi anche organizzazioni che operano nel settore della difesa.

Silente, Lazarus, si espande a macchia d’olio

I ricercatori di Kaspersky si sono resi conto dell’esistenza di questa nuova campagna nel momento in cui sono stati coinvolti in un’attività di incident response. Il team preposto alla gestione dell’incidente ha scoperto che l’organizzazione coinvolta era vittima di una backdoor personalizzata (ovvero un malware che consente il controllo da remoto completo sul dispositivo). Soprannominata ThreatNeedle, questa backdoor si muove lateralmente attraverso le reti infette ed estrae informazioni riservate.

A oggi, sono state colpite organizzazioni in più di dodici Paesi.

L’infezione iniziale avviene utilizzando una tecnica di spear phishing. Le organizzazioni prese di mira ricevono una e-mail contente un allegato Word dannoso o un collegamento ad un file ospitato sui server aziendali. I messaggi di posta, inviati da presunti centri medici affidabili, dichiarano di contenere aggiornamenti urgenti relativi alla pandemia.

Nel momento in cui si apre il documento il malware viene rilasciato dando così il via al processo di distribuzione. Il malware ThreatNeedle, utilizzato in questa campagna, appartiene a una famiglia di malware del gruppo Lazarus nota come Manuscrypt ed era stato precedentemente rilevato in attacchi rivolti alle imprese di criptovaluta. Una volta installato, ThreatNeedle è in grado di ottenere il pieno controllo del dispositivo della vittima, il che significa che può fare qualsiasi cosa, dalla manipolazione dei file all’esecuzione dei comandi ricevuti.

Una delle tecniche più interessanti di questa campagna è la capacità del gruppo di rubare dati sia dalle reti IT dell’ufficio (ovvero una rete che contiene computer con accesso a Internet) e sia dalla rete limitata di un impianto (ovvero una rete che contiene mission-critical asset e computer con dati altamente sensibili e nessun accesso a Internet). Secondo la policy aziendale, nessuna informazione dovrebbe poter essere trasferita tra queste due reti. Tuttavia, gli amministratori possono connettersi a entrambe le reti per la gestione di questi sistemi. Lazarus è stato in grado di ottenere il controllo delle workstation degli amministratori per poi impostare un gateway malevolo e attaccare la rete limitata estraendo dati riservati.

Lazarus non è solo molto prolifico, ma anche sofisticato

Come sottolineato in una nota ufficiale da Seongsu Park, senior security researcher with the Global Research and Analysis Team (GReAT): «Lazarus è stato forse il threat actor più attivo del 2020 e questo è un trend che non accenna a diminuire. Infatti, già a gennaio di quest’anno, il Threat Analysis Team di Google ha riferito che Lazarus aveva utilizzato questa stessa backdoor per colpire i ricercatori di sicurezza. In futuro, ci aspettiamo di incontrare ancora ThreatNeedle e per questo terremo gli occhi aperti».

Come aggiunto da Vyacheslav Kopeytsev, security expert di Kaspersky ICS CERT: «Lazarus non è solo molto prolifico, ma anche sofisticato. Questo gruppo, infatti, oltre a superare la segmentazione della rete, ha anche condotto ricerche approfondite per creare e-mail di spear phishing altamente personalizzate ed efficaci e ha costruito strumenti personalizzati per estrarre le informazioni rubate su un server remoto. Tenuto conto che molti settori e aziende fanno ancora molto affidamento al lavoro a distanza e che, quindi, sono ancora più vulnerabili, è importante che vengano prese ulteriori precauzioni di sicurezza per proteggersi da questo genere di attacchi avanzati».

Per proteggersi da attacchi come ThreatNeedle, gli esperti di Kaspersky raccomandano di:

  • Fornire al personale una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano proprio con tecniche di ingegneria sociale come il phishing.
  • Se un’azienda utilizza una tecnologia operativa (OT) o ha una infrastruttura critica, è importante assicurarsi che queste siano separate dalla rete aziendale o che non ci siano connessioni non autorizzate.
  • Assicurarsi che i dipendenti conoscano e seguano le politiche di sicurezza informatica.
  • Fornire al team SOC l’accesso alla più recente threat intelligence (TI). Il Kaspersky Threat Intelligence Portal è un punto di accesso unico per la TI dell’azienda, che fornisce dati sugli attacchi informatici e approfondimenti raccolti da Kaspersky in oltre 20 anni di esperienza.
  • Implementare una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
  • Implementare una soluzione dedicata ai nodi e alle reti industriali che consenta il monitoraggio del traffico di rete OT, l’analisi e il rilevamento delle minacce, come Kaspersky Industrial CyberSecurity.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

4 Marzo 2021

Kaspersky Automated Security Awareness Platform (ASAP) – Semplice gestione del programma e micro apprendimento continuo

 
 
Autore: Redazione Argonavis
 

Il fattore umano è la causa principale degli incidenti informatici. I dipendenti rappresentano il principale punto d’ingresso nell’organizzazione per un attaccante.

Le preoccupazioni circa l’uso improprio delle risorse IT da parte di dipendenti variano notevolmente a seconda delle dimensioni dell’organizzazione, con aziende molto piccole che si sentono più a rischio rispetto alle aziende con più di mille dipendenti.

Personale ben formato e informato che segue best practice efficaci e che è consapevole del mondo informatico potrebbe diventare la prima linea di difesa.

Automated Security Awareness Platform

Qui di seguito illustriamo brevemente le caratteristiche e le funzionalità del programma Kaspersky Automated Security Awareness Platform (ASAP) che rappresenta un nuovo approccio rispetto ai programmi formativi online che sono in grado di creare vere e proprie competenze di cybersecurity per i dipendenti.

L’approccio di Kaspersky Lab si basa su moderne tecniche di apprendimento e combina sessioni ludiche, in cui si generano anche interessanti dinamiche di gruppo, apprendimento attraverso attività pratiche e rafforzamento dei concetti.

Argomenti del corso Security Awareness

  • E-mail
  • Navigazione in Internet
  • Password
  • Social network e servizi di messaggistica
  • Sicurezza del PC
  • Dispositivi mobili
  • Dati riservati
  • Dati personali/GDPR
  • Social engineering
  • Sicurezza a casa e in viaggio.

Ciascun argomento comprende diversi livelli, in cui vengono spiegate nel dettaglio le competenze di sicurezza specifiche.

Semplice gestione del programma: semplicità attraverso la completa automazione.

Avvio del programma in 10 minuti: basta impostare l’obiettivo e caricare l’elenco degli utenti.

Sono utilizzate regole automatizzate per assegnare il livello di formazione finale desiderato ai singoli dipendenti. Il livello finale è strettamente correlato al rischio rappresentato dallo specifico utente per l’azienda. Maggiore è il rischio, più elevato dovrebbe essere il livello di formazione finale. Ad esempio, utenti del reparto IT o contabilità tipicamente rappresentano un rischio più elevato rispetto a quello della maggior parte dei dipendenti di un ufficio.

Efficienza della formazione: micro apprendimento continuo.

I contenuti sono strutturati appositamente per la micro formazione (da 2 a 10 minuti), per evitare lezioni lunghe e poco stimolanti.

Ogni gruppo di utenti viene formato esclusivamente sul materiale pertinente al proprio ruolo, senza sprecare tempo di lavoro in altri training.

Le competenze aumentano livello dopo livello, dal più facile al più avanzato. La piattaforma riassegna automaticamente più moduli di formazione a coloro che non sono riusciti a completare il livello precedente. In questo modo si garantisce il mantenimento delle competenze e si evita che vengano dimenticate.

I dipendenti sono coinvolti nella formazione con un approccio ludico e la formazione è pertinente alla vita quotidiana delle persone.

Vengono fornite tutte le informazioni necessarie alla valutazione dei progressi (suggerimenti su cosa fare per migliorare i risultati e confronto dei risultati con benchmark mondiali/di settore).

Set di strumenti completo su ogni argomento di sicurezza

  1. Moduli online (lezioni),
  2. Rinforzi motivazionali via e-mail,
  3. Indagini e test (valutazione delle conoscenze),
  4. Attacchi di phishing simulati.

Risposta a diverse esigenze aziendali: supporto multi-tenant per la gestione di più clienti da una singola console, possibilità di pagare soltanto per gli utenti attivi e supporto multilingue: lo stile e i testi non sono solo tradotti nelle diverse lingue, ma vengono adattati perché riflettano le culture locali.

Per ulteriori informazioni o per richiedere una prova gratuita della Piattaforma: dircom@argonavis.it

1 Marzo 2021

Blog & News

Categorie