Attacchi RDP (Remote Desktop Protocol) in crescita del 280%

 

Tratto da BitMAT
Autore: Redazione BitMAT – 11/12/2020
 
Gli attaccanti si stanno impegnando per prendere di mira gli utenti che lavorano da casa
 
Attacchi RDP (Remote Desktop Protocol) in crescita del 280%
 

Le nuove abitudini dettate dalle norme anti-Covid hanno imposto alle aziende di adeguare le proprie infrastrutture e consentire ai dipendenti di lavorare da remoto. Questo ha favorito l’emergere di nuove minacce e l’intensificarsi di quelle esistenti. Secondo quanto emerso dal report di Kaspersky Story of the year: remote work, rispetto allo scorso anno, in Italia, è stata registrata una crescita del 280% degli attacchi di forza bruta sui protocolli RDP (Remote Desktop Protocol) per un totale di 174 miliardi di file dannosi mascherati da applicazioni di comunicazione aziendale. Entrambi questi risultati riflettono il modo in cui gli attaccanti si stanno impegnando per prendere di mira gli utenti che lavorano da casa.

Il numero elevato di dipendenti in smart working ha favorito la nascita di nuove vulnerabilità che i criminali informatici hanno prontamente sfruttato. Il volume del traffico aziendale è cresciuto e gli utenti, per svolgere il proprio lavoro e scambiare dati con i colleghi, si sono spesso affidati a servizi di terze parti o a reti Wi-Fi potenzialmente non sicure.

Un’altra sfida per i team di sicurezza informatica è stata, indubbiamente, il numero elevato di persone costrette ad utilizzare strumenti per l’accesso da remoto. Uno dei protocolli più popolari a livello applicativo per l’accesso alle workstation o ai server Windows è il protocollo proprietario di Microsoft, RDP. Durante il primo lockdown, il numero dei computer configurati in modo non corretto e messi a disposizione dei dipendenti per lavorare da remoto è cresciuto in modo esponenziale e di conseguenza sono aumentati anche gli attacchi informatici a loro rivolti. La tipologia di attacchi riscontrati nella maggior parte dei casi era di tipo forza bruta. Si tratta di attacchi che cercano di individuare le credenziali di accesso ad un account provando quante più combinazioni di caratteri possibile fino a trovare quella corretta. Questi attacchi mirano a ricavare lo username e la password per accedere ai protocolli RDP e quindi ad ottenere l’accesso da remoto al computer violato.

A partire dall’inizio di marzo di quest’anno, in Italia il numero di rilevamenti Bruteforce.Generic.RDP individuati è salito vertiginosamente, infatti nei primi undici mesi del 2020 è stato registrato un aumento di 3,8 volte rispetto allo stesso periodo del 2019. Complessivamente, tra gennaio e novembre 2020 sono stati rilevati quasi 174 miliardi di attacchi ai server Remote Desktop Protocol. Guardando allo stesso periodo del 2019, in Italia, Kaspersky aveva rilevato 45,7 milioni di attacchi di questo tipo.

Oltre agli attacchi ai server RDP, i criminali informatici hanno preso di mira anche gli strumenti di comunicazione online sfruttati ampiamente dai dipendenti durante lo smart working. Kaspersky ha rilevato 1,66 milioni di file dannosi in tutto il mondo che sono stati diffusi attraverso false applicazioni di messaggistica e videoconferenze molto popolari e tipicamente utilizzate per il lavoro. Una volta installati, questi file caricavano principalmente adware, ovvero programmi che inondano i dispositivi delle vittime con pubblicità indesiderata con l’obiettivo di raccogliere i loro dati personali. È stato rilevato anche un altro gruppo di file camuffati da applicazioni aziendali, i Downloaders, ovvero applicazioni che non possono essere dannose, ma che sono in grado di consentire il download di altre applicazioni, dai Trojan agli strumenti di accesso remoto.

Morten Lehn, General Manager Italy di Kaspersky ha dichiarato: “Il 2020 ci ha insegnato molto. Venivamo da quello che abbiamo sempre reputato un mondo già digitalizzato eppure, nonostante ciò, la migrazione verso le piattaforme digitali non è stata per niente semplice. Quando l’attenzione si è spostata verso il lavoro da remoto anche i criminali informatici ne hanno approfittato reindirizzando i propri sforzi verso questo nuovo trend. Sono felice di constatare che il processo di adozione del lavoro da remoto sia stato veloce perché questo ha permesso al mondo di andare avanti e all’economia di non fermarsi. Oggi siamo sicuramente più consapevoli che c’è ancora molto da imparare sull’uso responsabile della tecnologia, soprattutto per quanto riguarda la condivisione dei dati”.

“Una delle maggiori sfide del 2020 è stata proprio la scarsa consapevolezza rispetto ai potenziali pericoli della rete. Il vero problema in questo caso è stata la crescita improvvisa della domanda di servizi online – siano essi legati al lavoro o ai servizi per il cibo d’asporto. Molte persone che prima di questo periodo si tenevano ben lontane dal mondo digitale hanno dovuto iniziare a utilizzare servizi online a loro sconosciuti cosi come lo erano i pericoli che avrebbero potuto incontrare in rete. Queste persone si sono rivelate, di conseguenza, le più vulnerabili durante la pandemia. Il processo di digitalizzazione ha rappresentato una grande sfida per tutto il mondo ma spero che abbia contribuito ad aumentare il livello di consapevolezza sulla sicurezza informatica tra gli utenti”, ha aggiunto Morten Lehn.

Tenuto conto che lo smart working è destinato a durare ancora a lungo, Kaspersky raccomanda alle aziende di:

  • Abilitare l’accesso alla rete attraverso una VPN aziendale e, se possibile, abilitare l’autenticazione multi-fattore per rimanere protetti dagli attacchi rivolti ai server RDP.
  • Utilizzare una soluzione di sicurezza aziendale dotata di una protezione dalle minacce rivolte alla rete, come Kaspersky Integrated Endpoint Security. La soluzione include anche la funzione di ispezione del registro per configurare le regole di monitoraggio e di alert per gli attacchi di forza bruta e i tentativi di accesso non riusciti.
  • Assicurarsi che i propri dipendenti abbiano tutto ciò di cui hanno bisogno per lavorare in sicurezza da casa e sappiano chi contattare in caso di problemi informatici o di cybersecurity.
  • Programmare una formazione di base in materia di sicurezza informatica per i propri dipendenti. Il training può essere svolto online e riguarda pratiche essenziali come la gestione di account e delle password, la sicurezza degli endpoint e la navigazione sul web. Kaspersky e Area9 Lyceum1 hanno preparato un corso gratuito per aiutare i dipendenti a lavorare in sicurezza anche da casa.
  • Assicurarsi che dispositivi, software, applicazioni e servizi vengano aggiornati regolarmente.
  • Assicurarsi di avere accesso alle più recenti informazioni sulla threat intelligence in grado di rafforzare soluzione di protezione aziendale. Ad esempio, Kaspersky offre gratuitamente un threat data feed relativo al COVID-19.
  • Oltre agli endpoint fisici, è importante proteggere i workload nel cloud e l’infrastruttura desktop virtuale. A questo proposito, Kaspersky Hybrid Cloud Security protegge l’infrastruttura ibrida di endpoint fisici e virtuali, nonché i workload sul cloud, sia che vengano eseguiti in sede, in un data center o in un cloud pubblico. Supporta l’integrazione con le principali piattaforme cloud come VMware, Citrix o Microsoft e facilita la migrazione dai desktop fisici a quelli virtuali.

È importante che anche i dipendenti osservino alcune regole durante il lavoro da remoto per rimanere protetti:

  • Assicurarsi che il proprio router supporti la trasmissione Wi-Fi a più dispositivi contemporaneamente, anche nel momento in cui più persone sono online e il traffico è intenso (come avviene quando si utilizzano strumenti di videoconferenza).
  • Impostare password complesse per il router e la rete Wi-Fi che includano una combinazione di lettere minuscole e maiuscole, numeri e punteggiatura.
  • Se possibile, lavorare solo su dispositivi forniti dall’azienda. L’inserimento di informazioni aziendali su dispositivi personali potrebbe portare a potenziali problemi di sicurezza e privacy.
  • Non condividere i dettagli del proprio account aziendale con nessun altro, anche se in qualche occasione potrebbe sembrare una buona idea per velocizzare il lavoro.
  • Per proteggere i dispositivi personali, utilizzare una soluzione di sicurezza affidabile come Kaspersky Security Cloud in grado di proteggere la privacy, i dati e le risorse finanziarie con una serie completa di strumenti e funzionalità, tra cui la VPN, la protezione dei pagamenti, il PC cleaning, il blocco di accessi non autorizzati alle webcam, il criptaggio dei file, l’archiviazione delle password, il parental control e molte altre.

È possibile leggere il report completo a questo link.

Tutte le storie del Kaspersky Security Bulletin con i dati del 2020 e le previsioni per il 2021 sono disponibili qui.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

17 Dicembre 2020

Come evitare un attacco “evil-maid” o della cameriera malvagia

Tratto da Blog Kaspersky
Autore: Bender The Robot – 10/12/2020
 
 
Ecco come proteggere il vostro computer aziendale da accessi fisici non autorizzati
 

Un attacco evil-maid è il più primitivo che ci sia, ma è anche una delle tipologie più spiacevoli. Avventandosi sui dispositivi incustoditi, la “cameriera malvagia” cerca di rubare informazioni segrete o di installare spyware e strumenti per l’accesso remoto, con lo scopo di entrare nella rete aziendale. In questo post vi spiegheremo come difendervi.

Un esempio classico

Nel dicembre 2007, una delegazione del Dipartimento del Commercio degli Stati Uniti si è recata a Pechino per un colloquio su una strategia comune con lo scopo di fermare la pirateria. Al ritorno negli Stati Uniti, tuttavia, il portatile del segretario conteneva degli spyware la cui installazione richiede l’accesso fisico al computer. Il proprietario del portatile ha confermato di aver avuto il dispositivo sempre con sé durante le trattative e di averlo lasciato nella sua stanza d’albergo, nella cassaforte, solo durante la cena.

In teoria, un professionista può compromettere un dispositivo in 3 o 4 minuti, ma questo genere di situazioni tende a verificarsi quando il computer viene lasciato incustodito e sbloccato (o non protetto da password). Ma anche prendendo le dovute misure di sicurezza di base, un attacco evil-maid può comunque essere possibile.

Come fanno i criminali informatici ad accedere alle informazioni?

Esistono molti modi per arrivare alle informazioni critiche; dipende da quanto è vecchio il computer e dal software di sicurezza attivo. Ad esempio, i dispositivi meno recenti che non supportano l’Avvio protetto (Secure Boot) possono essere avviati mediante unità esterne e, di conseguenza, non hanno mezzi per difendersi dagli attacchi evil-maid. Sui PC moderni di solito l’Avvio protetto è attivo di default.

Le porte di comunicazione che supportano lo scambio veloce di dati o l’interazione diretta con la memoria del dispositivo possono servire per l’estrazione di dati personali o aziendali. Thunderbolt, ad esempio, raggiunge la sua elevata velocità di trasmissione dati attraverso l’accesso diretto alla memoria, spalancando le porte agli attacchi evil-maid.

La scorsa primavera, l’esperto di sicurezza informatica Björn Ruytenberg ha condiviso un modo per violare la sicurezza di qualsiasi dispositivo Windows o Linux con Thunderbolt abilitato, anche se bloccato e disattivata la connessione di dispositivi non convenzionali attraverso interfacce esterne. Il metodo di Ruytenberg, soprannominato Thunderspy, presuppone l’accesso fisico al dispositivo e bisogna riscrivere il firmware del controller.

Per portare a termine Thunderspy, il cybercriminale deve riprogrammare il chip Thunderbolt con la sua versione del firmware. Il nuovo firmware disabilita la protezione incorporata e il cybercriminale ottiene il pieno controllo del dispositivo.

In teoria, la politica di protezione DMA del kernel risolve la vulnerabilità, ma non tutti la utilizzano (e con le versioni prima di Windows 10 non era possibile). Tuttavia, Intel ha annunciato una soluzione al problema: Thunderbolt 4.

La cara, vecchia USB può servire anche come canale di attacco. Un dispositivo in miniatura, inserito in una porta USB, si attiva quando l’utente accende il computer e può eseguire un attacco BadUSB.

Se le informazioni che cercano sono particolarmente preziose, i cybercriminali potrebbero anche provare a rubare il dispositivo per sostituirlo con uno simile che contiene già lo spyware, un’impresa ardua e costosa. Certo, lo scambio verrà smascherato abbastanza in fretta, ma molto probabilmente solo dopo che la vittima avrà inserito la propria password. Per fortuna come abbiamo detto, si tratta di un’operazione difficoltosa e onerosa.

Come ridurre i rischi al minimo

Il modo più semplice e affidabile per proteggervi dagli attacchi evil-maid è quello di custodire il dispositivo in un luogo al quale solo voi avete accesso. Non lasciatelo in una stanza d’albergo se potete evitarlo, per esempio. Se i vostri dipendenti devono andare in viaggio d’affari con un computer portatile, ecco alcune misure che potete adottare per attenuare i rischi:

  • Utilizzate portatili temporanei senza accesso a sistemi aziendali critici o a dati di lavoro, quindi formattate l’hard disk e reinstallate il sistema operativo dopo ogni viaggio;
  • Richiedete ai dipendenti di spegnere i portatili prima di lasciarli incustoditi;
  • Cifrate gli hard disk di tutti i computer che saranno portati fuori dall’ufficio;
  • Utilizzate soluzioni di sicurezza che blocchino il traffico in uscita sospetto;
  • Assicuratevi che la soluzione di sicurezza rilevi gli attacchi BadUSB (come fa Kaspersky Endpoint Security for Business);
  • Aggiornate tempestivamente tutti i software, in particolare il sistema operativo;
  • Limitate l’accesso diretto alla memoria del dispositivo attraverso FireWire, Thunderbolt, PCI e PCI Express su ogni dispositivo che lo consente.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

14 Dicembre 2020

Software non aggiornato, quanto mi costi?

Tratto da LineaEDP
Autore: Redazione LineaEDP – 04/12/2020
 
 
Secondo un’indagine Kaspersky, le PMI con software obsoleti subiscono il 53% in più di danni economici in caso di violazione dei dati
 
 
 
 

Secondo un recente report di Kaspersky intitolato: “How businesses can minimize the cost of a data breach”, in caso di violazione dei dati le enterprise europee che utilizzano tecnologie obsolete subiscono il 23% delle perdite economiche in più rispetto alle aziende che aggiornano i propri software in modo tempestivo.

Per le PMI la differenza è ancora più netta, arrivando fino al 53%. Avere in uso software datati e non aggiornati è un problema abbastanza comune tra le imprese, infatti, quasi la metà delle organizzazioni europee (44%) utilizza almeno una tecnologia obsoleta nelle proprie infrastrutture.

Tutti i software presentano qualche vulnerabilità ma patch e aggiornamenti regolari possono minimizzare il rischio che vengano sfruttate. Per questo motivo si consiglia sempre agli utenti di installare le ultime versioni dei software non appena queste vengono rilasciate, anche se a volte richiedono molto tempo alle imprese.

Tenuto conto che in Europa il 44% delle aziende utilizza almeno una qualche forma di tecnologia obsoleta risulta fondamentale che le imprese diano la priorità al rinnovo dei software e si dimostrino disposte a investire per ottenere un risparmio economico sul lungo termine.

Software e OS non aggiornati: le perdite in euro

Nel caso in cui a subire una violazione dei dati sia un’impresa che utilizza tecnologia obsoleta come ad esempio sistemi operativi non aggiornati, vecchi software e dispositivi mobile non supportati, la perdita economica si attesta a 753.500 euro, il 23% in più dei costi per le aziende con tecnologie completamente aggiornate la cui perdita è di 610.000 euro. Guardando alle PMI con tecnologia obsoleta il danno economico totale è di 86.000 euro, ovvero il 53% in più rispetto ai 56.000 euro delle PMI che hanno installato tutti gli aggiornamenti necessari.

Tra le ragioni che vengono fornite per giustificare il mancato aggiornamento delle tecnologie, quella più comunemente segnalata è l’incompatibilità degli aggiornamenti con i software aziendali (46%). Questa motivazione può essere molto importante per le organizzazioni che sviluppano software internamente per soddisfare le loro esigenze o quando si utilizzano applicazioni molto specifiche con supporto limitato. Gli altri motivi segnalati appaiono più concreti: i dipendenti spesso si rifiutano di lavorare utilizzando le nuove versioni dei software (46%). In alcuni casi, le tecnologie non vengono aggiornate perché appartengono ai membri della C-suite (25%).

Come sottolineato in una nota ufficiale da Sergey Martsynkyan, Head of B2B Product Marketing di Kaspersky: «Qualsiasi costo aggiuntivo può rivelarsi un problema per le aziende, soprattutto in questo periodo. La situazione economica mondiale è instabile a causa della pandemia ed è prevista una diminuzione degli investimenti nel settore IT e nella cybersecurity. Per questo motivo nel report di quest’anno “IT Security Economics” abbiamo voluto indagare come le aziende possano ridurre i danni in caso di incidenti di sicurezza informatica. Il report argomenta in modo approfondito l’importanza della questione legata ai software obsoleti. Anche se è impossibile sbarazzarsene da un giorno all’altro, esistono alcune misure da prendere per minimizzare il rischio. Le imprese non solo possono risparmiare denaro, ma possono anche evitare altre potenziali conseguenze – il che è cruciale per qualsiasi azienda».

Come risparmiare denaro e ridurre i rischi di data breach

Per risparmiare denaro e ridurre al minimo il rischio di violazione dei dati come conseguenza delle vulnerabilità dei software, Kaspersky suggerisce di adottare le seguenti misure:

  • Assicurarsi che l’azienda utilizzi l’ultima versione dei sistemi operativi e delle applicazioni scelte, abilitando le funzionalità di autoaggiornamento in modo che il software sia sempre aggiornato.
  • Se non è possibile aggiornare il software si consiglia, insieme ad altre misure, di gestire questo vettore di attacco separando in modo intelligente i nodi vulnerabili dal resto della rete.
  • Attivare la funzione di vulnerability assessment e di gestione delle patch della soluzione di protezione degli endpoint. In questo modo è possibile eliminare automaticamente le vulnerabilità nel software dell’infrastruttura, installare le patch in modo proattivo e scaricare gli aggiornamenti essenziali del software.
  • È importante aumentare la consapevolezza riguardo la sicurezza e le competenze pratiche in materia di sicurezza informatica per i manager IT, in quanto sono in prima linea quando si tratta di aggiornamenti dell’infrastruttura informatica. Un corso di formazione online sulla cybersecurity può essere d’aiuto.
  • I sistemi IT critici e le tecnologie dei sistemi operativi devono essere sempre protetti indipendentemente dall’eventuale disponibilità di aggiornamenti dei software. Questo vuol dire che dovrebbero consentire solo attività prestabilite dai sistemi. KasperskyOS supporta questo concetto, conosciuto anche come cyber-immunity, che viene utilizzato per costruire sistemi IT secure by design.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

11 Dicembre 2020

Data breach: l’importanza di identificarli

Tratto da BitMAT
Autore: Redazione BitMAT – 27/11/2020
 
 
Rilevarli proattivamente consente alle PMI di subire il 40% di danni finanziari in meno
 
 
Data breach: l'importanza di identificarli
 

Il modo in cui viene divulgato un data breach e le perdite finanziarie totali subite da un’organizzazione sono strettamente legati. I risultati del nuovo report di Kaspersky dal titolo How businesses can minimize the cost of a data breach indicano che, nel caso di violazione dei dati, le PMI che scelgono di informare volontariamente i propri stakeholder e clienti subiscono una perdita economica del 40% in meno rispetto alle aziende le cui violazioni vengono comunicate direttamente dai media. La stessa tendenza è stata riscontrata anche nelle grandi imprese.

Non informare in modo tempestivo i clienti in merito ad un possibile data breach, comporta ripercussioni finanziare e danni reputazionali gravi. Tra i casi che hanno avuto grande risonanza ricordiamo, ad esempio, Yahoo! che è stato multato e giudicato negativamente per non aver informato gli investitori di aver subito una violazione dei dati e Uber che è stato multato per aver nascosto un incidente simile.

L’indagine di Kaspersky, che si basa su un sondaggio a livello globale fatto su 5.200 professionisti che operano in ambito IT e cybersecurity, evidenzia come le aziende che prendono in mano la situazione e comunicano proattivamente gli incidenti informatici solitamente riescono a limitare i danni. In media si stima che le perdite subite da una PMI che comunica apertamente un data breach ammontino a 93 mila dollari, mentre chi lascia che la notizia dell’incidente trapeli attraverso i media subisce in media un danno economico pari a 155 mila dollari. Lo stesso vale per le enterprise. Infatti, le grandi aziende che informano volontariamente i propri clienti riguardo una possibile fuga di dati subiscono il 28% in meno di danni economici rispetto a chi lascia ai media il compito, rispettivamente 1.134 milioni di dollari contro 1.538 milioni.

Dall’indagine è emerso, inoltre, che solo il 46% delle aziende ha rivelato un data breach in modo proattivo. Il 30% delle aziende che ha subito un furto di dati ha preferito non comunicarlo pubblicamente. Quasi un quarto (24%) delle aziende ha provato a nascondere l’incidente ma senza successo. Anche nei casi in cui le aziende riescono a non far trapelare l’incidente questo si rivela comunque un approccio non corretto. Queste aziende si sottopongono al rischio di subire perdite peggiori nel caso in cui l’incidente venga rivelato in un secondo momento. Inoltre, il sondaggio ha dimostrato che i rischi sono particolarmente elevati per quelle aziende che non riescono a individuare tempestivamente un attacco. Il 29% delle PMI che ha impiegato più di una settimana a identificare la violazione subita, si è ritrovato a leggere sui media la notizia dell’attacco. Questo dato è quasi il doppio rispetto alle aziende che hanno rilevato tempestivamente l’incidente (15%). Il trend è confermato anche per le grandi imprese, rispettivamente il 32% e il 19%.

“Una divulgazione proattiva da parte dell’azienda può aiutare a ribaltare la situazione a proprio favore, andando oltre al semplice impatto economico. Se i clienti ricevono le informazioni direttamente dall’azienda, sono più inclini a dare fiducia al brand. Inoltre, l’azienda potrebbe cogliere l’occasione per informare i propri clienti su ciò che possono fare per non subire perdite. Così facendo, le aziende avrebbero anche la possibilità di raccontare la vicenda dal proprio punto di vista, condividendo con i media informazioni corrette e affidabili, anziché lasciare a fonti esterne il compito di descrivere la situazione e rischiare che lo facciano in modo non corretto”, ha commentato Yana Shevchenko, Senior Product Marketing Manager di Kaspersky.

Per ridurre la possibilità di subire conseguenze disastrose in seguito ad una violazione dei dati, Kaspersky suggerisce alle aziende di mettere in atto queste misure preventive:

  • Per il rilevamento avanzato delle minacce a livello di endpoint aziendale, l’indagine, la ricerca proattiva delle minacce e una risposta rapida, si consiglia di implementare soluzioni EDR, Endpoint Detection and Response
  • Oltre alla protezione degli endpoint, le imprese dovrebbero implementare una soluzione di sicurezza di livello aziendale in grado di rilevare le minacce avanzate sulla rete e che sia anche dotata di threat intelligence
  • Per rispondere in modo tempestivo ad un attacco informatico, è opportuno avere una prima linea di difesa composta da un Incident Response Team (IRT) interno all’azienda e delegare la gestione di problemi più complessi a professionisti esterni.
  • Introdurre un programma di formazione per i dipendenti con l’obiettivo di educarli a riconoscere un incidente informatico e informarli su quali comportamenti adottare, come ad esempio contattare immediatamente il dipartimento di sicurezza informatica dell’azienda.
  • Prendere in considerazione la possibilità di organizzare una formazione specifica per tutte le parti coinvolte nella gestione delle conseguenze di una violazione dei dati, compresi gli specialisti della comunicazione e il responsabile della sicurezza IT.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

4 Dicembre 2020

Threat Intelligence: scopri se è arrivato il momento di integrarla in azienda

Tratto da Blog Kaspersky
Autore: Daniela Incerti – 24/11/2020
 
E’ giunto il momento di integrare la Threat Intelligence in azienda? Ecco le informazioni fondamentali per prevedere e prevenire cyberminacce e attacchi informatici
 

 

Aziende, vendor e analisti sono attualmente impegnati in un accurato processo di studio e verifica volto a definire cos’è effettivamente la Threat Intelligence e ciò che invece non lo è. Si tratta di un processo assolutamente necessario, perché solo comprendendo ciò che NON è Threat Intelligence, si potrà registrare un’evoluzione del settore in termini di sviluppo di prodotti e servizi che serviranno da base per una Cybersecurity proattiva.

Originariamente, sono state considerate in qualità di precursori della “Threat Intelligence” le blacklist di IP e URL; in seguito, per integrare le informazioni contenute in tali elenchi, sono stati sviluppati prodotti di sicurezza come i firewall next generation (NGFW) e specifici prodotti per la gestione degli eventi (SIEM). Tuttavia, con il trascorrere del tempo, la quantità di dati riconducibili alla Threat Intelligence è cresciuta in modo esponenziale; è quindi divenuto particolarmente difficile stabilire cosa fosse davvero rilevante e cosa no. Inoltre, i controlli di sicurezza allora esistenti non erano stati affatto progettati per elaborare un numero così elevato di Indicatori di Compromissione.

L’importanza dell’analisi dei dati

Vi sono attualmente numerosi provider di threat feed e servizi di intelligence sulle minacce intenti a processare e fornire grandi quantità di dati essenzialmente non elaborati (ovvero indicatori privi di contesto), proposti sul mercato come “Threat Intelligence”. Alimentare le proprie attività di sicurezza con una simile “intelligence” causa inevitabilmente un numero eccessivo di falsi avvisi di sicurezza quotidiani, che si riflette in un sovraccarico di lavoro per i team responsabili della sicurezza IT, creando notevoli difficoltà nella gestione di tali notifiche. Situazioni del genere provocano un forte impatto negativo, sia in termini di effettiva capacità di risposta agli incidenti, sia a livello di sicurezza complessiva dell’azienda. Secondo una ricerca condotta da Cisco nel 2018, il 44% degli avvisi di sicurezza quotidiani non viene sottoposto ad alcuna investigation: i dati rimangono semplicemente inutilizzati. Selezionare e classificare un’enorme quantità di dati (privi di effettivo contesto) provenienti dalle fonti di intelligence sulle minacce non significa affatto produrre e fornire una vera Threat Intelligence.

Ciò ha generato la consapevolezza che non esiste, di fatto, una soluzione di Threat Intelligence pronta all’uso per garantire la protezione dell’azienda. È opinione comune, al giorno d’oggi, che montagne di dati non elaborati e privi di qualsiasi struttura non debbano essere definite “utili”, e men che meno classificate come “intelligence”. E soprattutto, i dati, per quanto rilevanti, continuano a rivelarsi inutili se non risultano finalizzati all’azione e contestualizzati.

L’attenzione è ora interamente rivolta alla qualità delle fonti di dati. La sola identificazione di ciò che in passato rappresentava una minaccia appartiene ormai a un’epoca remota. I dati devono necessariamente fornire non solo gli insight, ma anche precise linee guida per le conseguenti decisioni e azioni. E se la qualità dei dati risulta limitata dalla carenza di valide fonti, ad esempio in caso di visibilità insufficiente riguardo alle minacce che si celano nella Darknet, o di assenza di una vision globale e multilingue, è impossibile trasformare gli stessi in un’efficace Threat Intelligence. Una vera intelligence deve essere in grado di prevedere il modo in cui l’azienda dovrà necessariamente prepararsi per combattere le future minacce.

Ogni organizzazione è diversa e necessità di soluzioni mirate

Inoltre, una valida soluzione di Threat Intelligence deve sapersi adattare perfettamente alle specifiche esigenze di ogni singola organizzazione in termini di sicurezza IT. Deve guidare l’azienda nell’impostare, in relazione agli asset di natura critica, gli indispensabili punti di raccolta interna dei dati, in modo da abbinare questi ultimi con la Threat Intelligence esterna, al fine di identificare in modo efficiente le potenziali minacce. Senza tale approccio mirato, non si potranno stabilire le necessarie priorità in termini di informazioni occorrenti per difendere le risorse chiave. “Le minacce sono effettivamente tali solo nello specifico contesto di rischio dell’azienda”, afferma Helen Patton, Chief Information Security Officer (CISO) presso la Ohio State University.

 

Fondamentale l’integrazione con i processi aziendali

In ultima analisi, se l’intelligence non è “finalizzata all’azione” non si rivela utile. Per esserlo, deve riuscire a integrare perfettamente più fonti di Threat Intelligence nelle attività di sicurezza svolte dall’organizzazione, attraverso un unico entry point. Se la Threat Intelligence di tipo machine-readable e human-readable non può essere utilizzata in modo rapido e agevole assieme ai sistemi già implementati in azienda, se i relativi formati e metodi di fornitura non supportano una facile integrazione con le attività di sicurezza già esistenti, ciò significa che i dati prodotti non potranno essere convertiti in una efficace soluzione di Threat Intelligence.

In conclusione, se risulta impossibile elaborare, integrare e convertire i dati in intelligence finalizzata ad un’azione immediata, allo scopo di garantire esclusivi insight sulle minacce emergenti, consentire ai security team di assegnare le giuste priorità agli avvisi di sicurezza, ottimizzare le risorse e accelerare i processi decisionali, un simile accumulo di dati non potrà mai superare il test di “Threat Intelligence” in base ai requisiti necessari nel 2020.

Come decidere se la propria azienda è “pronta” per la Threat Intelligence?

Di seguito sono riportate alcune domande, estremamente utili per determinarlo. Se la maggior parte delle risposte è SÌ, allora è già tempo di pensare a integrare la Threat Intelligence in azienda.

  1. L’azienda ha bisogno di prendere decisioni informate più rapide e più efficaci in materia di sicurezza IT, basate su prove concrete, anziché starsene a inseguire delle ombre?
  2. Gli esperti del security team aziendale si trovano in difficoltà nella gestione degli avvisi di sicurezza e nell’assegnazione delle relative priorità? Forse un considerevole numero di avvisi non viene esaminato semplicemente perché il team in questione è già sovraccarico di lavoro?
  3. L’azienda deve comprendere meglio quali sono le vulnerabilità maggiormente soggette allo sfruttamento da parte di cybercriminali? Non sa esattamente in che modo assegnare le priorità a livello di patching?
  4. L’azienda ha forse bisogno di informazioni in tempo reale più accurate riguardo agli URL e agli indirizzi IP malevoli che minacciano il proprio ambiente digitale?
  5. L’azienda deve individuare eventuali dati carpiti da qualche malintenzionato, che potrebbero arrecare danni all’immagine o al brand dell’impresa?
  6. All’azienda occorre forse un quadro ben più chiaro riguardo a chi possa effettivamente essere l’avversario, in merito alle tipologie di attacco più probabili e alle misure proattive da adottare per rafforzare le difese informatiche?
  7. L’azienda corre il rischio di non riuscire a rilevare le minacce attive in agguato all’interno dell’infrastruttura IT, oppure i cyberattacchi nel momento stesso in cui si verificano (e individua l’assalto solo in seguito, o addirittura mai!), mentre aumentano i costi generati dall’attacco e si amplifica la portata delle conseguenze negative prodotte dallo stesso?
  8. L’azienda si trova in difficoltà nello stabilire le priorità in relazione agli incidenti occorsi e rischia di perseguire una strategia di sicurezza per nulla adeguata alle attuali minacce attive?

Per un test dimostrativo riguardo ai vantaggi prodotti dall’implementazione di un servizio di Threat Intelligence all’interno della propria azienda, è possibile accedere gratuitamente al Threat Intelligence Portal (TIP) di Kaspersky, che mette a disposizione decine di tecnologie di analisi avanzata, combinate tra loro, relativamente a file, hash, indirizzi IP e URL sospetti, consentendo ben 4.000 lookup al giorno per ogni singola azienda.

26 Novembre 2020

Blog & News

Categorie